Datenschutz

Bei der Bearbeitung von personenbezogenen Daten sind folgende Grunds?tze einzuhalten:

• Rechtm?ssigkeit: Die Bearbeitung braucht eine Rechtsgrundlage oder das Einverst?ndnis der betroffenen Person;
• Zweckgebundenheit: Personendaten d¨¹rfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umst?nden ersichtlich ist oder gesetzlich vorgesehen ist;
• Verh?ltnism?ssigkeit: zur Zweckerf¨¹llung d¨¹rfen nur so viele Personendaten wie n?tig bearbeitet werden ¨C nicht so viele wie m?glich;
• Transparenz: die Beschaffung von Personendaten und insbesondere auch der Zweck der Bearbeitung m¨¹ssen f¨¹r die betroffenen Personen erkennbar sein;
• Richtigkeit: wer Personendaten bearbeitet, hat sich ¨¹ber deren Richtigkeit zu vergewissern;
• Sicherheit: Personendaten m¨¹ssen durch angemessene technische und organisatorische Massnahmen gegen Verlust und unbefugtes Bearbeiten gesch¨¹tzt werden.
   

Wenn Sie als Mitarbeiterin oder Mitarbeiter der ETH Z¨¹rich im Rahmen Ihrer Aufgabenerf¨¹llung Personendaten bearbeiten, sind Sie f¨¹r die Einhaltung des Datenschutzes verantwortlich. Die wichtigsten Regularien dazu finden Sie im Compliance Guide unter ?Informationssicherheit und Datenschutz¡°.
In Ihrem Berufsalltag sollten Sie vor allem folgende Regeln beachten:

• bearbeiten Sie nur so viele Personendaten wie zur Aufgabenerf¨¹llung erforderlich sind;
• sch¨¹tzen elektronischen Daten durch ein Passwort, das Sie nach Kriterien der Informatikdienste bestimmt haben; halten Sie Ihr Passwort geheim, geben Sie es nicht weiter;
• halten Sie Daten, Unterlagen und Datentr?ger (z.B. USB-Sticks, CD, externe Festplatten etc.) unter Verschluss (z.B. Einschliessen in ein B¨¹rom?bel);
  
• sperren Sie beim Verlassen Ihres Arbeitsplatzes den Bildschirm oder fahren Sie Ihren Rechner herunter; schliessen Sie die T¨¹r zum B¨¹ro ab;
• lassen Sie Ihre Dokumente nicht beim Drucker liegen;
• behandeln Sie die Personendaten vertraulich und achten Sie darauf, dass sie nur an Berechtigte bekanntgegeben werden (bei Unklarheiten bei der vorgesetzten Person nachfragen);
• grunds?tzlich sollten Sie keine Personendaten ins Ausland ¨¹bermitteln, es sei denn die betroffene Person hat zugestimmt.
  
  In Forschungsprojekten, egal ob in nationalen oder internationalen (z.B. EU-Projekten) ist der/die Projektleiter/in (PI) f¨¹r die Einhaltung des Datenschutzes verantwortlich. Er/sie hat seine/ihre Projektmitarbeitenden entsprechend zu instruieren. Das ergibt sich aus dem ?Richtlinien f¨¹r Integrit?t in der Forschung und gute wissenschaftliche Praxis an der ETH Z¨¹rich¡°
  
  Es gibt verschiedene Stellen, die Sie betreffend Einhaltung des Datenschutzes beraten k?nnen ¡ú Hier finden Sie Unterst¨¹tzung
   

Wenn immer m?glich sollten in (Forschungs-)Projekten anonymisierte Daten verwendet werden. Wenn Sie in einem (Forschungs-)Projekt dennoch Personendaten bearbeiten, sollten Sie sich immer die sogenannten ?W-Fragen¡° stellen bzw. f¨¹r Ihren Datenmanagementplan beantworten k?nnen: Wer bearbeitet welche Daten zu welchem Zweck f¨¹r wie lange, wo werden sie aufbewahrt sowie wie werden sie gesch¨¹tzt und wann werden sie anonymisiert bzw. vernichtet? Ausf¨¹hrlicheres finden Sie im Factsheet gesch¨¹tzte Seite?Data protection in Research Projects¡°lock.

 

Die europ?ische Datenschutzgrundverordnung (DSGVO), die in einzelnen F?llen auch f¨¹r die ETH Z¨¹rich anwendbar ist, schreibt unter den nachfolgend erkl?rten Umst?nden vor, eine Datenschutzfolgenabsch?tzung zu machen, und zwar bevor die Personendatenbearbeitung aufgenommen wird. Diese Pflicht ist dann gegeben, wenn die beabsichtigte Bearbeitung von personenbezogenen Daten ein hohes Risiko f¨¹r die Interessen der betroffenen Personen, d.h. hohes Risiko f¨¹r die Pers?nlichkeit oder die Grundrechte der betroffenen Person birgt. Das geltende schweizerische Datenschutzgesetz sieht diese Pflicht nicht vor.

Das Schweizer Bundesgesetz ¨¹ber den Datenschutz (DSG) wird aber zur Zeit revidiert. Der Revisionsentwurf zum schweizerischen DSG schreibt in Risikof?llen ebenfalls eine Datenschutzfolgenabsch?tzung vor. Anlehnend an die Vorgaben der DSGVO haben wir ein gesch¨¹tzte SeiteFactsheet samt Checklistelock erstellt. Damit sollten m?glichst s?mtliche Fragen im Zusammenhang mit einer Personendatenbearbeitung gestellt sein (damit Sie bei Ihrer Projekt¨¹berpr¨¹fung keinen Aspekt vergessen) und das Vorgehen zur Durchf¨¹hrung einer solchen Datenschutzfolgenabsch?tzung erkl?rt werden.

 

?Data Breaches? oder ?Datenschutzpannen- oder -verletzungen? sind Verletzungen der Datensicherheit bei Personendaten (einschliesslich pseudonymisierter Personendaten), die dazu f¨¹hren, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gel?scht, vernichtet oder ver?ndert werden oder Unbefugten offengelegt oder zug?nglich gemacht werden.

Solche Datenschutzverletzungen m¨¹ssen dem Datenschutzberater der ETH Z¨¹rich gemeldet werden, falls diese voraussichtlich zu einem hohen Risiko f¨¹r die Pers?nlichkeit oder die Grundrechte der betroffenen Personen f¨¹hren.

gesch¨¹tzte SeiteBen¨¹tzen Sie f¨¹r Ihre Meldung dieses Formular.lock Es ist ausschliesslich f¨¹r Mitarbeitende der ETH Z¨¹rich.

Datenschutzberater/ DPO der ETH Z¨¹rich ist Tomislav Mitar (). Stellvertretende Datenschutzberaterin/ DPO der ETH Z¨¹rich ist Ayse Sezer Cansev ().

Das ausgef¨¹llte Formular ¨¹bermitteln Sie uns bitte m?glichst innerhalb von 72 Stunden nach Entdeckung der Datenschutzverletzung. Senden Sie das Formular dazu an folgende drei Adressen: und direkt an uns: sowie .

Bitte kontaktieren Sie den ED?B nicht selbst. Der ED?B ist eine Aufsichtsbeh?rde. Der Kontakt zu ihm muss ¨¹ber den Rechtsdienst bzw. Datenschutzberater laufen.

Ihre Meldung muss nicht in jedem Detail vollst?ndig und endg¨¹ltig sein. Wichtiger ist, dass die grossen Zusammenh?nge schnell gemeldet werden, um einen ersten ?berblick ¨¹ber den Vorfall zu gewinnen.

Wenn Sie als Verantwortlicher im Zusammenhang mit einem Vorfall nicht sicher sind, wie hoch das Risiko f¨¹r die betroffenen Personen tats?chlich ist, oder wenn Sie zum Zeitpunkt der Meldung noch keine endg¨¹ltige Risikobewertung vornehmen konnten, melden Sie uns Ihre vorl?ufigen Erkenntnisse nach aktuellem Stand. Sobald Ihnen mehr Informationen vorliegen, k?nnen Sie eine erg?nzende Meldung ¨¹bermitteln.

Wo die ETH Z¨¹rich Personendaten bearbeitet, tut sie dies in erster Linie gem?ss der schweizerischen Datenschutzgesetzgebung. Soweit anwendbar richtet sie sich nach der EU-Datenschutzgrundverordnung (DSGVO; Verordnung [EU] 2016/679 vom 27. April 2016).

Die ETH Z¨¹rich als nicht im EU-Raum ans?ssige Hochschule kann unter den Anwendungsbereich der EU-DSGVO fallen, wenn sie personenbezogene Daten in der EU ans?ssiger Personen bearbeitet, z.B. indem sie solchen Personen ihre Bildungsdienstleistungen anbietet oder wenn von ihren Forschenden im Rahmen wissenschaftlicher Projekte das ?Verhalten betroffener Personen in der EU beobachtet? wird (Umfragen, Datenerhebungen etc.). So sprechen beispielsweise ihre Masterangebote und Weiterbildungsangebote (School for Continuing Education) auch EU-ans?ssige Personen an. In Projekten aller Art kann ein Bezug zur EU-Datenschutzgesetzgebung gegeben sein, wenn beispielsweise Auftragsdatenbearbeiter in der EU eingesetzt werden, die sich selbst an der EU Gesetzgebung orientieren m¨¹ssen.

Die Pflicht zur Benennung eines Vertreters in der EU gilt nicht f¨¹r Beh?rden oder ?ffentliche Stellen. Die ETH Z¨¹rich ist eine autonome ?ffentlich-rechtliche Anstalt des Bundes mit eigener Rechtspers?nlichkeit (Artikel 5 ETH-Gesetz; SR 414.110). Als dezentralisierte Verwaltungseinheit geh?rt sie zur Bundesverwaltung, steht unter der Aufsicht des Bundes und untersteht dem schweizerischen Recht (Art. 2 Abs. 3 Regierungs- und Verwaltungsorganisationsgesetz, RVOG; SR 172.010).

Als solche ist die ETH Z¨¹rich nicht verpflichtet, einen Vertreter in der EU f¨¹r Datenschutzfragen zu benennen. Ansprechstelle f¨¹r die Belange des Datenschutzes an der ETH Z¨¹rich sind mithin die handelnde Stelle der ETH Z¨¹rich, oder - in zweiter Linie - der Datenschutzberater der ETH Z¨¹rich in der Schweiz (Tomislav Mitar, DPO; ).

Diese Stellen k?nnen Sie beim Thema Datenschutz unterst¨¹tzen:

• Rechtsdienst: Mit generellen Fragen rund um das Thema Datenschutz k?nnen Sie an den Rechtsdienst, insbesondere an Tomislav Mitar gelangen. 
• Informatikdienste: Bei Fragen, die insbesondere die Datenspeicherung, -sicherheit und ¨Carchivierung betreffen, wenden Sie sich bitte an die Abteilung Informatikdienste (insbesondere an die Systemdienste oder Services for Departments). 
• Bibliothek: Im Zusammenhang mit Fragen zum Datenmanagement, insbesondere auch bei Fragen zur Erstellung von Data Management Plans sowie zur Archivierung bietet die ETH-Bibliothek Unterst¨¹tzung, und zwar die Fachstelle Digitaler Datenerhalt.
• Ethikkommission der ETH Z¨¹rich: Forschungsvorhaben, in denen nicht Personendaten f¨¹r nicht personenbezogene Zweck bearbeitet werden und nicht die Kantonale Ethikkommission zust?ndig, werden von der Ethikkommission der ETH Z¨¹rich beurteilt. Bei Fragen dazu kontaktieren Sie bitte das Sekretariat der Ethikkommission.
• Chief Information Security Officer (CISO): Bei Fragen zum Thema Informationssicherheit wenden Sie sich an Domenico Salvati. Zudem verf¨¹gt jedes Departement und jede Abteilung ¨¹ber eine/n Information Security Officer (ISO), die/der ebenfalls Anlaufstelle f¨¹r Fragen zur Informationssicherheit ist.