Datenschutz

Datenschutz heisst Pers?nlichkeitsschutz. Der Datenschutz ist immer dann relevant, wenn es um personenbezogene Daten geht. Personenbezogene Daten sind laut Datenschutzgesetz Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Anonymisierte Daten liegen vor, wenn der Personenbezug nicht hergestellt werden kann und zwar auch dann nicht, wenn einzelne Informationen miteinander kombiniert werden. Anonymisierte Daten fallen nicht unter den Geltungsbereich des Datenschutzgesetzes.

Reine Sachdaten k?nnen auch ?sensitiv? oder vertraulich sein und Schutzbedarf haben. Die Datenschutzgesetze (Schweizer DSG oder EU-DSGVO) sind auf Sachdaten hingegen nicht anwendbar.

Personendaten und damit das Thema Datenschutz kommen an der ETH Zürich in verschiedenen Bereichen vor. So wird in Forschungsprojekten und in der Lehre, aber auch in der Verwaltungsarbeit mit personenbezogenen Daten gearbeitet. Dafür bestehen zahlreiche Regularien. Der "Compliance Guide" gibt dazu unter den Titeln ?Datenschutz? sowie unter ?Forschung mit Menschen und Personendaten? eine ?bersicht.

Bei der Bearbeitung von personenbezogenen Daten sind folgende Grunds?tze einzuhalten:

  • Rechtm?ssigkeit: Die Bearbeitung braucht eine Rechtsgrundlage oder das Einverst?ndnis der betroffenen Person;
  • Zweckgebundenheit: Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umst?nden ersichtlich ist oder gesetzlich vorgesehen ist;
  • Verh?ltnism?ssigkeit: zur Zweckerfüllung dürfen nur so viele Personendaten wie n?tig bearbeitet werden – nicht so viele wie m?glich;
  • Transparenz: die Beschaffung von Personendaten und insbesondere auch der Zweck der Bearbeitung müssen für die betroffenen Personen erkennbar sein;
  • Richtigkeit: wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern;
  • Sicherheit: Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen Verlust und unbefugtes Bearbeiten geschützt werden.
     

In diesem Moodle-Link k?nnen Sie das ?E-Learning-Modul zum Datenschutz“ des ETH-Bereichs aufrufen. Sie wollen den korrekten Umgang mit pers?nlichen Daten und den Schutz der verfassungsm?ssigen Rechte von Personen kennen lernen und Ihr Bewusstsein dafür sch?rfen. Herzlich willkommen und viel Spass!

Erkl?rung, warum dieses Modul EPFL-bezogen ist und sich nur auf EPFL-Stellen und EPFL-Personen verweist: Die EPFL war die erste Institution des ETH-Bereichs, die im Hinblick auf die Erneuerung der schweizerischen Datenschutzgesetze ein solches E-Learning für ihre Angeh?rigen entwickelt hat. Der ETH-Bereich hat entschieden, dass das Modul die Eckpfeiler des Umgangs mit dem Datenschutz auf attraktive Weise erkl?rt und deshalb auch anderen Mitgliedern des ETH-Bereichs angeboten werden soll. Zu diesem Zweck wurde das EPFL-Modul ins Englische übersetzt, um es hier auf den Servern der ETH Zürich anbieten zu k?nnen, ohne ein ganz neues Modul entwerfen zu müssen. Ein massgeschneidertes Modul auf Deutsch kann zu einem sp?teren Zeitpunkt folgen.

Daher, wenn Sie das E-Learning durchgehen, konzentrieren Sie sich einfach auf den materiellen Inhalt. Er ist generisch, unabh?ngig davon, in welcher Institution des ETH-Bereichs Sie sich befinden. Wo im Modul ?mter oder Personen der EPFL erw?hnt werden, müssen Sie sich natürlich auf das entsprechende Amt oder die Person in Ihrer Institution beziehen.

Bitte beachten Sie:

Da das Tracking in diesem Modul nicht aktiviert ist, wird Ihr Fortschritt im Modul nicht gespeichert. Das bedeutet, dass Sie das gesamte Modul neu starten müssen, wenn Sie es vor dem Ende verlassen.

Nutzungsbestimmungen/ Lizenz

Gem?ss unserer Lizenzvereinbarung mit der EPFL als Rechteinhaberin dürfen nur Mitarbeitende der Institutionen des ETH-Bereichs und des ETH-Rats das Modul nutzen, und zwar ausschliesslich für interne Ausbildungszwecke. Sie dürfen das Modul nicht an Dritte weitergeben. Die kommerzielle oder anderweitige Nutzung der EPFL-Lizenz ist untersagt.

geschützte Seite Zugang zum e-Learning Datenschutz

Wenn Sie als Mitarbeiterin oder Mitarbeiter der ETH Zürich im Rahmen Ihrer Aufgabenerfüllung Personendaten bearbeiten, sind Sie für die Einhaltung des Datenschutzes verantwortlich. Die wichtigsten Regularien dazu finden Sie im Compliance Guide unter ?Informationssicherheit und Datenschutz“.
In Ihrem Berufsalltag sollten Sie vor allem folgende Regeln beachten:

  • bearbeiten Sie nur so viele Personendaten wie zur Aufgabenerfüllung erforderlich sind;
  • schützen elektronischen Daten durch ein Passwort, das Sie nach Kriterien der Informatikdienste bestimmt haben; halten Sie Ihr Passwort geheim, geben Sie es nicht weiter;
  • halten Sie Daten, Unterlagen und Datentr?ger (z.B. USB-Sticks, CD, externe Festplatten etc.) unter Verschluss (z.B. Einschliessen in ein Bürom?bel);
  • sperren Sie beim Verlassen Ihres Arbeitsplatzes den Bildschirm oder fahren Sie Ihren Rechner herunter; schliessen Sie die Tür zum Büro ab;
  • lassen Sie Ihre Dokumente nicht beim Drucker liegen;
  • behandeln Sie die Personendaten vertraulich und achten Sie darauf, dass sie nur an Berechtigte bekanntgegeben werden (bei Unklarheiten bei der vorgesetzten Person nachfragen);
  • grunds?tzlich sollten Sie keine Personendaten ins Ausland übermitteln, es sei denn die betroffene Person hat zugestimmt.

    In Forschungsprojekten, egal ob in nationalen oder internationalen (z.B. EU-Projekten) ist der/die Projektleiter/in (PI) für die Einhaltung des Datenschutzes verantwortlich. Er/sie hat seine/ihre Projektmitarbeitenden entsprechend zu instruieren. Das ergibt sich aus dem ?Richtlinien für Integrit?t in der Forschung und gute wissenschaftliche Praxis an der ETH Zürich“

    Es gibt verschiedene Stellen, die Sie betreffend Einhaltung des Datenschutzes beraten k?nnen → Hier finden Sie Unterstützung
     

Wenn immer m?glich sollten in (Forschungs-)Projekten anonymisierte Daten verwendet werden. Wenn Sie in einem (Forschungs-)Projekt dennoch Personendaten bearbeiten, sollten Sie sich immer die sogenannten ?W-Fragen“ stellen bzw. für Ihren Datenmanagementplan beantworten k?nnen: Wer bearbeitet welche Daten zu welchem Zweck für wie lange, wo werden sie aufbewahrt sowie wie werden sie geschützt und wann werden sie anonymisiert bzw. vernichtet? Ausführlicheres finden Sie im Factsheet geschützte Seite ?Data protection in Research Projects“.

 

Das Schweizer Bundesgesetz über den Datenschutz (DSG) schreibt vor, dass eine Datenschutzfolgenabsch?tzung (DSFA) durchzuführen ist, wenn die Bearbeitung von Personendaten ein hohes Risiko für die Pers?nlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Diese DSFA ist vor der eigentlichen Bearbeitung der Personendaten zu erstellen und - wenn trotz getroffener Massnahmen hohe Risiken verbleiben - dem eidgen?ssischen Datenschutzbeauftragten zur Prüfung einzureichen. Wir haben für die Durchführung einer DSFA ein geschützte Seite Factsheet samt Checkliste erstellt. Damit wird das Vorgehen erkl?rt und die Checkliste versucht alle relevanten Fragen zu einer Personendatenbearbeitung zu stellen, damit Sie bei Ihrer Projektüberprüfung keinen Aspekt vergessen. Die Checkliste dient daher auch allgemein zur Prüfung datenschutzrechtlicher Aspekte.
Daneben stellen wir Ihnen ein zweites Formular zur Verfügung, geschützte Seite das eigentliche DSFA-Formular, worin Sie die Ergebnisse Ihrer DSFA festhalten k?nnen.

Auch die europ?ische Datenschutzgrundverordnung (DSGVO), die in einzelnen F?llen auch für die ETH Zürich anwendbar ist, sieht die Pflicht zu einer vorg?ngigen Datenschutzfolgenabsch?tzung vor. Diese Pflicht ist auch hier gegeben, wenn die beabsichtigte Bearbeitung von personenbezogenen Daten ein hohes Risiko für die Interessen der betroffenen Personen, d.h. hohes Risiko für die Pers?nlichkeit oder die Grundrechte der betroffenen Person birgt.

 

?Data Breaches? oder ?Datenschutzpannen- oder -verletzungen? sind Verletzungen der Datensicherheit bei Personendaten (einschliesslich pseudonymisierter Personendaten), die dazu führen, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gel?scht, vernichtet oder ver?ndert werden oder Unbefugten offengelegt oder zug?nglich gemacht werden.

Solche Datenschutzverletzungen müssen dem Datenschutzberater der ETH Zürich gemeldet werden, falls diese voraussichtlich zu einem hohen Risiko für die Pers?nlichkeit oder die Grundrechte der betroffenen Personen führen.

geschützte Seite Benützen Sie für Ihre Meldung dieses Formular. Es ist ausschliesslich für Mitarbeitende der ETH Zürich.

Datenschutzberater/ DPO der ETH Zürich ist Tomislav Mitar (). Stellvertretende Datenschutzberaterin/ DPO der ETH Zürich ist Ayse Sezer Cansev ().

Das ausgefüllte Formular übermitteln Sie uns bitte m?glichst innerhalb von 72 Stunden nach Entdeckung der Datenschutzverletzung. Senden Sie das Formular dazu an folgende drei Adressen: und direkt an uns: sowie .

Bitte kontaktieren Sie den ED?B nicht selbst. Der ED?B ist eine Aufsichtsbeh?rde. Der Kontakt zu ihm muss über den Rechtsdienst bzw. Datenschutzberater laufen.

Ihre Meldung muss nicht in jedem Detail vollst?ndig und endgültig sein. Wichtiger ist, dass die grossen Zusammenh?nge schnell gemeldet werden, um einen ersten ?berblick über den Vorfall zu gewinnen.

Wenn Sie als Verantwortlicher im Zusammenhang mit einem Vorfall nicht sicher sind, wie hoch das Risiko für die betroffenen Personen tats?chlich ist, oder wenn Sie zum Zeitpunkt der Meldung noch keine endgültige Risikobewertung vornehmen konnten, melden Sie uns Ihre vorl?ufigen Erkenntnisse nach aktuellem Stand. Sobald Ihnen mehr Informationen vorliegen, k?nnen Sie eine erg?nzende Meldung übermitteln.

Wo die ETH Zürich Personendaten bearbeitet, tut sie dies in erster Linie gem?ss der schweizerischen Datenschutzgesetzgebung. Soweit anwendbar richtet sie sich nach der EU-Datenschutzgrundverordnung (DSGVO; Verordnung [EU] 2016/679 vom 27. April 2016).

Die ETH Zürich als nicht im EU-Raum ans?ssige Hochschule kann unter den Anwendungsbereich der EU-DSGVO fallen, wenn sie personenbezogene Daten in der EU ans?ssiger Personen bearbeitet, z.B. indem sie solchen Personen ihre Bildungsdienstleistungen anbietet oder wenn von ihren Forschenden im Rahmen wissenschaftlicher Projekte das ?Verhalten betroffener Personen in der EU beobachtet? wird (Umfragen, Datenerhebungen etc.). So sprechen beispielsweise ihre Masterangebote und Weiterbildungsangebote (School for Continuing Education) auch EU-ans?ssige Personen an. In Projekten aller Art kann ein Bezug zur EU-Datenschutzgesetzgebung gegeben sein, wenn beispielsweise Auftragsdatenbearbeiter in der EU eingesetzt werden, die sich selbst an der EU Gesetzgebung orientieren müssen.

Die Pflicht zur Benennung eines Vertreters in der EU gilt nicht für Beh?rden oder ?ffentliche Stellen. Die ETH Zürich ist eine autonome ?ffentlich-rechtliche Anstalt des Bundes mit eigener Rechtspers?nlichkeit (Artikel 5 ETH-Gesetz; SR 414.110). Als dezentralisierte Verwaltungseinheit geh?rt sie zur Bundesverwaltung, steht unter der Aufsicht des Bundes und untersteht dem schweizerischen Recht (Art. 2 Abs. 3 Regierungs- und Verwaltungsorganisationsgesetz, RVOG; SR 172.010).

Als solche ist die ETH Zürich nicht verpflichtet, einen Vertreter in der EU für Datenschutzfragen zu benennen. Ansprechstelle für die Belange des Datenschutzes an der ETH Zürich sind mithin die handelnde Stelle der ETH Zürich, oder - in zweiter Linie - der Datenschutzberater der ETH Zürich in der Schweiz (Tomislav Mitar, DPO; ).

Diese Stellen k?nnen Sie beim Thema Datenschutz unterstützen:

  • Rechtsdienst: Mit generellen Fragen rund um das Thema Datenschutz k?nnen Sie an den Rechtsdienst, insbesondere an Tomislav Mitar gelangen. 
  • Informatikdienste: Bei Fragen, die insbesondere die Datenspeicherung, -sicherheit und –archivierung betreffen, wenden Sie sich bitte an die Abteilung Informatikdienste (insbesondere an die Systemdienste oder Services for Departments). 
  • Bibliothek: Im Zusammenhang mit Fragen zum Datenmanagement, insbesondere auch bei Fragen zur Erstellung von Data Management Plans sowie zur Archivierung bietet die ETH-Bibliothek Unterstützung, und zwar die Fachstelle Digitaler Datenerhalt.
  • Ethikkommission der ETH Zürich: Forschungsvorhaben, in denen nicht Personendaten für nicht personenbezogene Zweck bearbeitet werden und nicht die Kantonale Ethikkommission zust?ndig, werden von der Ethikkommission der ETH Zürich beurteilt. Bei Fragen dazu kontaktieren Sie bitte das Sekretariat der Ethikkommission.
  • Chief Information Security Officer (CISO): Bei Fragen zum Thema Informations-sicherheit wenden Sie sich an Johannes Hadodo. Zudem verfügt jedes Departement und jede Abteilung über eine/n Information Security Officer (ISO), die/der ebenfalls Anlaufstelle für Fragen zur Informationssicherheit ist.
     
JavaScript wurde auf Ihrem Browser deaktiviert