Erläuterungen zum Umgang mit Studierendendaten

Erläuterung

Mit der Regelung in Art. 4 wird festgelegt, wer in welchem Umfang das Recht hat, die Daten der Bewerbenden und Studierenden zu bearbeiten. Das Recht, Daten zu bearbeiten, besteht dabei grundsätzlich jeweils im Rahmen der entsprechenden Aufgaben.

Dozierende verarbeiten Daten von Studierenden in Zusammenhang mit Lerneinheiten, z.B.:

- Zugriff auf persönliche Daten soweit erforderlich zur Erfüllung des Lehrauftrags
- Noten
- Resultate von Semesterleistungen und Leistungselementen

Dozierende können in eDoz Stellvertretungen definieren. Diese erhalten entsprechend auch Zugriff auf die relevanten Studierendendaten und müssen sich gleichermassen an die Vorgaben in Bezug auf Datenschutz und Datensicherheit halten.

Erläuterung

Von Bewerbenden und Studierenden dürfen die in Art. 5 Abs. 1 aufgelisteten Kategorien von Daten bearbeitet werden. Es handelt sich um die Kategorien Personalien, Daten zur Personenidentifikation, Bewerbungs- und Anmeldedaten, Daten über die persönliche Situation sowie weitere Daten. Zu diesen aufgeführten Datenkategorien werden im Reglement jeweils einige Beispiele genannt. 

Erläuterung

Die Bestimmung erläutert, wie die Daten der Bewerbenden und Studierenden vor unbefugtem Zugriff zu schützen sind.

Studierendendaten sind als «vertraulich» zu behandeln.

Mit dem Zugang zu den Daten erhalten die Dozierenden die Verantwortung, Art. 6 einzuhalten. Wie die Datensicherheit gewährleistet wird, liegt in der Eigenverantwortung der Dozierenden.

Es gelten übergeordnete Regelungen, wie z.B. die Weisung Informationssicherheit an der ETH Zürich, RSETHZ 203.25.

Wichtig ist, dass Studierendendaten (z.B. Notenlisten) nicht in selbst organisierte Clouddienste, wie privaten E-Mailkonten, weitergeleitet werden dürfen. Eine Aufbewahrung in der Microsoft-Cloud oder Google-Suite ist nur mittels Nutzung des eigenen ETH-Accounts erlaubt.

Erläuterung

In Art. 9 Abs. 1 werden die verschiedenen Arten aufgeführt, in denen die Aufbewahrung der Daten erfolgt. Als Beispiele können das zentrale Studieninformationssystem sowie Korrespondenzdaten in E-Mail-Verzeichnissen genannt werden.

Erläuterung

Der Zugriff auf die Daten wird den berechtigten Personen jeweils in demjenigen Umfang gewährt, der für die Erfüllung der Aufgaben erforderlich ist. Die Leiterin/der Leiter der Akademischen Dienste teilt den berechtigten Personen die passende Benutzerrolle zu. In Art. 12 Abs. 2 werden zudem die Zugriffsbeschränkungen explizit aufgeführt. Ein Zugriff auf Daten ausserhalb des definierten Bereichs ist grundsätzlich nicht möglich.

Über eDoz wird den Dozierenden Zugriff auf die Daten gewährt, die sie für die Durchführung des Lehrbetriebs erfordern. Weitere Daten können alternativ über das Studiensekretariat bezogen werden.

Erläuterung

Die Bekanntgabe von Personendaten ist gemäss den Vorgaben des Datenschutzgesetzes nur unter bestimmten Voraussetzungen zulässig.

Die Zulässigkeit ist dabei unter anderem in denjenigen Fällen zu bejahen, in denen eine Rechtsgrundlage vorliegt oder die betroffene Person ihr Einverständnis gegeben hat. Mit Art. 14 wurde die rechtliche Grundlage geschaffen, um bestimmte Daten aus dem zentralen Studieninformationssystem an Dritte bekannt zu geben. Die Zuständigkeit liegt bei den Akademischen Diensten.

Daraus ergibt sich für die Dozierenden, dass sie selbst keine Studierendendaten an «Dritte» weitergeben können. Mit dem Begriff «Dritte» sind auch Studierende gemeint. Das heisst, es dürfen keine Namenslisten oder Listen mit Telefonnummern von Studierenden für Gruppenarbeiten o.ä. weitergereicht werden. Hingegen fallen die zu Art. 4 erläuterten Möglichkeiten der Stellvertretung nicht unter den Begriff «Dritte».

Erläuterung

Art. 22 regelt die Archivierung, Löschung bzw. Vernichtung von Daten.

Hinsichtlich der Prüfungsunterlagen wird auf Art. 23 der Verordnung der ETH Zürich über die Lerneinheiten und Leistungskontrollen an der ETH Zürich (externe Seite SR 414.135.1) verwiesen.