Datenschutz an der TU Darmstadt

Datenschutz ist der Technischen Universität Darmstadt nicht nur in Lehre und Forschung ein wichtiger Punkt. Auch in den zentralen Services der Verwaltung für unsere Studierenden und Beschäftigten ist der Datenschutz ein wichtiges Querschnittsthema.

Der Datenschutz an der TU Darmstadt wird durch fünf Kolleginnen und Kollegen vertreten.

  • Jan Hansen, Dezernat II; Datenschutzbeauftragter, 06151 16 27063
  • Stefanie Koch, Dezernat VI; 06151 16 57490
  • Sibylla Pendl, Dezernat VII; 06151 16 26557
  • Dr. Oliver Schmid, HRZ; 06151 16 71057

E-Mail:

Das Team nimmt insbesondere folgende Aufgaben wahr:

  • Beratung der Verantwortlichen der TU Darmstadt in sämtlichen Fragen des Datenschutzes;
  • Sammeln von Informationen zur Ermittlung von Datenverarbeitungstätigkeiten;
  • Kontrolle der Einhaltung der Vorgaben bei Datenverarbeitungstätigkeiten;
  • Unterstützung des Verantwortlichen bei der Durchführung von DS-Folgenabschätzung nach Art. 39 DSGVO;
  • Erarbeitung von Empfehlungen zur Information des Verantwortlichen oder der Auftragsverarbeiter zur DSGVO;
  • Erarbeitung von Schulungskonzepten und Durchführung von Schulungen zum Datenschutz;
  • Erarbeitung von Vorschlägen zur strategischen Weiterentwicklung des Datenschutzes an der TU Darmstadt;
  • Austausch der Datenschutzthemen mit den Verantwortlichen der IT-Sicherheit.

Der behördliche Datenschutzbeauftragte hat gemäß § 7 HDSIG u.a. die Aufgabe, auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Maßnahmen hinzuwirken, die das das Recht des einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, betreffen.

Bei seiner Tätigkeit ist der behördliche Datenschutzbeauftragte nicht an Weisungen gebunden und unmittelbar dem Präsidenten der Technischen Universität Darmstadt als Verantwortlichem im Sinne der DSGVO unterstellt.

Die Mitglieder der Technischen Universität Darmstadt können sich in allen Angelegenheiten des Datenschutzes auch ohne Einhaltung des Dienstweges an ihn wenden.

Name und Anschrift des Verantwortlichen

Die Technische Universität Darmstadt ist eine rechtsfähige Körperschaft des öffentlichen Rechts gemäß § 1 Abs. 1 i.V.m. § 2 Abs. 1 Nr. 1 HHG

HHG (Hessisches Hochschulgesetz vom 14. Dezember 2009, GVBl. I S. 666), zuletzt geändert durch Artikel 2 des Gesetzes vom 18. Dezember 2017 (GVBl. S. 482). Seit dem In-Kraft-Treten des TU Darmstadt-Gesetzes (Gesetz zur organisatorischen Fortentwicklung der Technischen Universität Darmstadt vom 05. Dezember 2004, GVBl. I S. 382, in der Fassung vom 14. Dezember 2009, GVBl. I S. 699) ist sie autonome Universität des Landes Hessen.

Verantwortlicher nach Art. 13 DGVO ist:

Der Präsident der Technischen Universität Darmstadt

Technische Universität Darmstadt

vertreten durch ihren Präsidenten (Verantwortlicher nach Art. 13 DSGVO)
Karolinenplatz 5
64289 Darmstadt
Telefon 06151 / 16-01

Behördlicher Datenschutzbeauftragter

Den Datenschutzbeauftragten der Technischen Universität Darmstadt erreichen Sie unter www.tu-darmstadt.de/datenschutz

Postanschrift:

Karolinenplatz 5
64289 Darmstadt

Rechte und Beschwerdemöglichkeiten

Sie haben das Recht, sich bei datenschutzrechtlichen Problemen an die zuständige Aufsichtsbehörde zu wenden:

Der Hessische Datenschutzbeauftragte
Postfach 3163
65021 Wiesbaden

Kontaktformular an HDSB
Telefon: +49 611 1408 – 0
Telefax: +49 611 1408 – 611

Datenschutz hat in Hessen Tradition und ist der Technischen Universität Darmstadt wichtig. Welche personenbezogene Daten wir verarbeiten und wie wir sie verwenden, möchten wir Ihnen, je nachdem, ob Sie sich z.B. auf einen Studienplatz bewerben wollen oder Studierende_r oder Doktorand_in sind, erläutern.

1.1. Bewerber_innen und Studierende

Die Technische Universität Darmstadt verarbeitet die Daten von Studienbewerber_innen und Studierenden im Campusmanagement System TUCaN.

Die Rechtsgrundlage für die Datenerhebung ist Art. 6 Abs. 1c DSGVO i. V. m. § 2 Immatrikulationsverordnung (HImmaVO). Fundstellen oder Links für die Rechtsgrundlagen (Gesetze, Verordnungen) finden Sie am Ende dieser Seite unter „Weitergehende Informationen“.

Sie haben gem. Art. 15 DSGVO das Recht, Auskünfte über die zu Ihrer Person gespeicherten Daten zu erhalten. Hierfür wenden Sie sich bitte an den Studierendenservice, Karolinenplatz 5, 64289 Darmstadt.

Ihre personenbezogenen Daten werden in einer automatisierten Datei an der Technischen Universität Darmstadt gespeichert (§15 Abs. 2 HImmaVO).

Die Speicherung erfolgt zu folgenden Zwecken:

  • Verwaltung der Einschreibung/Rückmeldung nach den Vorschriften der HImmaVO
  • Für die Prüfungsverwaltung nach den Vorschriften der Allgemeinen Prüfungsbestimmungen der Technischen Universität Darmstadt in der jeweils gültigen Fassung
  • Für die Erstellung eines Wählerverzeichnisses nach § 35 HHG* und § 14 der Wahlordnung der Technischen Universität Darmstadt
  • Zur Durchführung von Bundes- und Landesstatistiken nach Maßgabe des Hochschulstatistikgesetzes, des Bundestatistikgesetzes und des Hess. Landesstatistikgesetzes.

Ihre Angaben zur Hochschulstatistik werden anonym an das Statistische Landesamt in Wiesbaden weitergegeben.

Die Bewerbungsdaten geben Sie im Rahmen der Bewerbung für ein Studienfach an.
Dies ist in § 2 Abs. 2 der HImmaVO geregelt. Es handelt sich um folgende Daten:

  1. Familienname, frühere Namen,
  2. Vornamen,
  3. Geburtsdatum,
  4. Ort und Land der Geburt,
  5. Geschlecht,
  6. Anschrift,
  7. Elektronische Anschrift (E-Mail-Adresse),
  8. Staatsangehörigkeiten,
  9. gewünschter Studiengang oder gewünschte Studiengänge, jeweils mit Angabe des gewünschten Studienabschlusses, gegebenenfalls der Haupt- und Nebenfächer oder der Module, sowie Fachsemester, in das die antragstellende Person eingestuft werden möchte,
  10. Fachbereich, in dem das Wahlrecht ausgeübt werden soll,
  11. Name, Anschrift und Art der bisher besuchten sowie der gleichzeitig besuchten weiteren staatlichen oder staatlich anerkannten Hochschulen und Berufsakademien im In- und Ausland, die an ihnen verbrachten Studien- oder Ausbildungszeiten mit Jahr und Semester einschließlich der Urlaubssemester und der jeweils gewählten Studien- oder Ausbildungsgänge bei Hochschulen im Ausland auch den Staat,
  12. Ergebnisse der bisher abgelegten Vor-, Zwischen-, Abschluss- oder Modulprüfungen sowie der studienbegleitenden Leistungskontrollen,
  13. Datum des Erwerbs, Art und Ergebnis der zum Studium befähigenden Qualifikation sowie bei Erwerb in Deutschland das Land und den Kreis, bei Erwerb im Ausland den Staat, in dem sie erworben worden ist; gegebenenfalls die Anzahl der absolvierten Semester an einem Studienkolleg in Deutschland
  14. besondere studiengangsspezifische Kenntnisse und Fähigkeiten, die nach § 54 Abs. 4 des Hessischen Hochschulgesetzes zu Beginn des Studiums vorhanden sein müssen,
  15. bei angestrebtem Studienabschluss im Inland die Hochschule und den Ort des angestrebten Studienabschlusses, bei angestrebtem Studienabschluss im Ausland den Staat des angestrebten Studienabschlusses.

Nach der Einschreibung

Wenn Sie eingeschrieben sind, verarbeiten wir die Studierendendaten:

Diese sind Familien-, Geburts- und den Vornamen, das Geburtsdatum, den Geburtsort, das Geschlecht, den Studiengang oder die Studiengänge mit den dazugehörigen Studienfächern (Haupt- und Nebenfächer und gegebenenfalls Module), die Matrikelnummer, das Datum der Immatrikulation und der Exmatrikulation, Zeiten der Beurlaubung vom Studium und des Teilzeitstudiums, Praxissemester oder sonstige Studienunterbrechungen, Beitragsbefreiungen und das ermittelte Studienguthaben nach § 2 des Hessischen Studienguthabengesetzes vom 18. Dezember 2003 (GVBl. I S. 513, 516), zuletzt geändert durch Gesetz vom 18. Juni 2006 (GVBl. I S. 764 ), außer Kraft getreten mit Ablauf des 31. Dezember 2008, die Art der Prüfung, die Zulassungsvoraussetzungen zur Prüfung sowie das Datum und das Ergebnis der Prüfung 60 Jahre automatisiert verarbeiten.

Alle sonstigen personenbezogenen Daten in automatisierten Dateien werden innerhalb eines Jahres nach der Exmatrikulation oder der Beendigung der Zulassung als Gasthörerin oder -hörer gelöscht.

Die Daten von Personen, die nicht immatrikuliert werden, sind für ein Sommersemester spätestens bis zum 30. September des Folgejahres, für ein Wintersemester spätestens bis zum 31. März des Folgejahres, zu löschen.

Die Technische Universität Darmstadt erstellt zudem ein Wählerverzeichnis für die Hochschulwahlen.

Ansonsten werden wir Ihre Daten nur dann erheben und weiter verarbeiten, wenn Sie dazu Ihre Einwilligung erteilt haben.


1.2. Welche Daten werden von Doktorandinnen und Doktoranden verarbeitet?

Die Hochschulen erheben von Personen, die als Doktorandinnen oder Doktoranden angenommen worden sind, die in § 2 Abs. 2 Nr. 1 bis 7 und 10 bis 12 HImmaVO genannten Daten:

  1. Familienname, frühere Namen,
  2. Vornamen,
  3. Geburtsdatum,
  4. Ort und Land der Geburt,
  5. Geschlecht,
  6. Anschrift,
  7. Elektronische Anschrift (E-Mail-Adresse),
  8. Fachbereich, in dem das Wahlrecht ausgeübt werden soll,
  9. Name, Anschrift und Art der bisher besuchten sowie der gleichzeitig besuchten weiteren staatlichen oder staatlich anerkannten Hochschulen und Berufsakademien im In- und Ausland,
  10. die an ihnen verbrachten Studien- oder Ausbildungszeiten mit Jahr und Semester einschließlich der Urlaubssemester und der jeweils gewählten Studien- oder Ausbildungsgänge bei Hochschulen im Ausland, auch den Staat.
  11. Ergebnisse der bisher abgelegten Vor-, Zwischen-, Abschluss- oder Modulprüfungen sowie der studienbegleitenden Leistungskontrollen sowie Angaben und Nachweise über:
    • die Art der Promotion,
    • das Promotionsfach,
    • die Art der Registrierung als Promovierende,
    • den Monat und das Jahr des Promotionsbeginns und der Promotionsbeendigung,
    • die Teilnahme an einem strukturierten Promotionsprogramm,
    • ein an der Hochschule bestehendes Beschäftigungsverhältnis,
    • die Art der Dissertation.


1.3 Umgang mit Bewerbungsdaten für ein Beschäftigungsverhältnis

Die Daten von Bewerber_innen werden zur ordnungsgemäßen Durchführung und bis zum Abschluss des Bewerbungsverfahrens entsprechend den Grundsätzen der Bestenauslese sowie für die sich eventuell daran anschließende Begründung eines Beschäftigungsverhältnisses erhoben und verarbeitet. Die Verarbeitung der Daten erfolgt auf der Grundlage der Datenschutz-Grundverordnung (DSGVO) und des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG).

Die Bewerbungsdaten werden nach der Erhebung so lange gespeichert, wie dies unter Beachtung der einschlägigen Aufbewahrungsfristen für die jeweilige Aufgabenerfüllung ggf. auch hinsichtlich von Dokumentationspflichten erforderlich ist. Regelmäßig erfolgt nach spätestens sechs Monaten die Löschung der übermittelten/überlassenen Daten, wenn sich kein Beschäftigungsverhältnis anschließt.

Empfänger_innen von personenbezogenen Daten (Art. 4 Nr. 9 DSGVO)

Die Bewerbungsdaten werden weitergegeben an:

  • den Fachbereich, das Dezernat, die Einrichtungen bzw. den Bereich, bei welchem sich der bzw. die Bewerber_in beworben hat,
  • das Dezernat Personal- und Rechtsangelegenheiten (Dez. VII),
  • den Personalrat, die Gleichstellungsbeauftragte, ggf. die Schwerbehindertenvertretung sowie ggf. die Jugend- und Auszubildendenvertretung zur Wahrung der jeweiligen Beteiligungsrechte,
  • das Dezernat Struktur und Strategie (Dez. I), das Präsidium, den Hochschulrat und den Senat (bei Berufungsverfahren).

2.1. Statistik

Die Technische Universität Darmstadt beteiligt sich aufgrund gesetzlicher Verpflichtungen an der Durchführung von Bundes- und Landesstatistiken (Regelungen im Hochschulstatistikgesetz, im Bundesstatistikgesetz und im Hess. Landesstatistikgesetz).

Ihre Angaben zur Hochschulstatistik werden anonymisiert an das Statistische Landesamt in Wiesbaden weitergegeben.

Im Rahmen des Dialogorientierten Studienplatzvergabeverfahrens werden Bewerberdaten mit der Stiftung für Hochschulzulassung abgeglichen.

2.2. Studierendenwerk

Die Technische Universität Darmstadt übermittelt personenbezogene Daten der Bewerber_innen und Studierenden an die Studierendenschaft und an das Studierendenwerk, soweit diese die Daten zur rechtmäßigen Erfüllung ihrer Aufgaben benötigen. Dies betrifft insbesondere die Mitteilung der Exmatrikulation von Studierenden an das Studierendenwerk.

2.3. Übermittlung von Daten an die Bibliothek

Die Technische Universität Darmstadt kann zur Abwicklung des Leihverkehrs folgende personenbezogenen Daten der Studierenden an die Universitäts- und Landesbibliothek elektronisch übermitteln:

  1. Familienname,
  2. Vornamen,
  3. Geschlecht,
  4. Geburtsdatum oder Matrikelnummer,
  5. Anschrift.

2.4. Übermittlung von Daten an das für das Hochschulwesen zuständige Ministerium

Die Technische Universität Darmstadt übermittelt personenbezogene Daten der in § 55 Abs. 4 des Hessischen Hochschulgesetzes genannten Personen (Bewerberinnen und Bewerber, Studierenden, Gasthörerinnen und -hörer, Doktorandinnen und Doktoranden und Prüfungskandidatinnen und -kandidaten) an das für das Hochschulwesen zuständige Ministerium, soweit dieses die Daten zur rechtmäßigen Erfüllung seiner Aufgaben benötigt. Eine elektronische Datenübertragung ist zulässig.

2.5. Übermittlung von Daten an die zuständige Krankenkasse

Die Technische Universität Darmstadt übermittelt der zuständigen Krankenkasse personenbezogene Daten der versicherten Studierenden nach § 4 der Studentenkrankenversicherungs-Meldeverordnung. Eine elektronische Datenübertragung ist zulässig.

2.6. Übermittlung im Bewerbungsverfahren DOSV

Bewerberdaten werden an die Stiftung für Hochschulzulassung im sogenannten Dialogorientierten Serviceverfahren mit hochschulstart.de weiter gegeben.

Dies gilt zurzeit für die Bewerbungsverfahren Bachelor Psychologie und Bachelor Biologie.

Es handelt sich um folgende Daten:

Eine Reihe von Daten wird – mit unterschiedlichen Zeiträumen – länger gespeichert.

Diese Speicherung dient dazu, auch noch nach Ihrem Ausscheiden aus der Technischen Universität Darmstadt Auskünfte über Ihre Studienzeiten und Ihre Prüfungsdaten geben zu können, z.B. wenn Ihre Unterlagen nicht mehr vollständig oder verloren gegangen sind.

Alle sonstigen personenbezogenen Daten in automatisierten Dateien werden innerhalb eines Jahres nach der Exmatrikulation oder der Beendigung der Zulassung als Gasthörer_in gelöscht.

60 Jahre gespeichert werden:

  • Familien-, Geburts- und Vornamen, Geburtsdatum, Geburtsort,
  • Geschlecht, den Studiengang oder die Studiengänge mit den dazugehörigen Studienfächern (Haupt- und Nebenfächer und gegebenenfalls Module), Matrikelnummer, Datum der Immatrikulation und der Exmatrikulation, Zeiten der Beurlaubung vom Studium und des Teilzeitstudiums, Praxissemester oder sonstige Studienunterbrechungen, Art der Prüfung, Zulassungsvoraussetzungen zur Prüfung sowie das Datum und das Ergebnis der Prüfung.

Die Daten von Personen, die sich beworben haben (Daten der Bewerber_innen), aber dann nicht immatrikuliert werden, werden für ein Sommersemester spätestens bis zum 30. September des Folgejahres, für ein Wintersemester spätestens bis zum 31. März des Folgejahres gelöscht.

4.1. Auskunftsrecht

Sie haben das Recht, Auskünfte über die zu Ihrer Person gespeicherten Daten zu erhalten (Studierendenservice, Karolinenplatz 5, 64289 Darmstadt).

Die meisten der von der Technischen Universität Darmstadt gespeicherten Daten können Sie selbst einsehen:

Persönliche Daten der Studierenden

  • Im Webportal von TUCaN unter dem Menüpunkt Service -> Persönliche Daten
  • Im Studiendatenblatt, das dem Studierenden zu Beginn jeden Semesters zugesandt zusammen mit dem Studierendenausweis wird

Daten der Bewerbung zum Studium (bis zum Ende des Folgejahres, dann wird der Datensatz gelöscht)

  • Im Webportal von TUCaN unter dem Menüpunkt Bewerbung

Daten des aktuellen und ggf. bisherigen Studiums

  • Im Studiendatenblatt, das dem Studierenden zu Beginn jeden Semesters zugesandt wird

Daten des Studienverlaufs

  • Im Studiendatenblatt, das dem Studierenden zu Beginn jeden Semesters zugesandt wird

Anmeldedaten zu Modulen, Lehrveranstaltungen und Prüfungen

  • Im Webportal von TUCaN unter dem Menüpunkt Veranstaltungen bzw. Prüfungen; hier meldet sich der Studierende an bzw. ggf. wieder ab und kann einsehen, wo er aktuell angemeldet ist.

Leistungsdaten des Studierenden

  • In Leistungsübersichten, die durch den Studierenden selbst im Webportal von TUCaN unter dem Menüpunkt Prüfungen -> Leistungsspiegel angezeigt und ausgedruckt werden können
  • In den Semesterergebnissen, die durch den Studierenden selbst im Webportal von TUCaN unter dem Menüpunkt Prüfungen -> Semesterergebnisse angezeigt werden können

4.2. Löschungsrecht

Ein Löschungsrecht besteht nur, insoweit wir Ihre Daten aufgrund Ihrer Einwilligung verarbeiten und Sie diese Einwilligung widerrufen (zurückziehen). Soweit wir die Daten aufgrund einer rechtlichen Verpflichtung verarbeiten oder weiter speichern, müssen wir dies beachten und Sie haben kein Löschungsrecht.

4.3. Berichtigung

Im Campus Management System „TUCaN“ können Sie Ihre Anschrift selbst ändern. Für Änderungen wie Name oder Staatsangehörigkeit nutzen Sie bitte das Änderungsformular.

4.4. Widerspruchsrecht

Die Erfassung der Daten zur Bewerbung und nach der Einschreibung für die Organisation Ihres Studiums ist zwingend erforderlich und rechtlich vorgeschrieben. Rechtsgrundlage ist Art. 5 Abs. 1 Buchstabe e der DSGVO (Aufgabe im öffentlichen Interesse), § 55 Abs. 4 HHG und die Hess. Immatrikulationsverordnung. Sie haben deshalb keine Widerspruchsmöglichkeit nach Art. 21 DSGVO.

4.5. Recht auf Datenübertragbarkeit

Die Technische Universität Darmstadt verarbeitet Ihre Daten aufgrund einer besonderen rechtlichen Grundlage (-> 3.2). Das Recht, Ihre Daten auf Dritte zu übertragen, steht Ihnen nur insoweit zu, wie wir Ihre Daten ausnahmsweise nur aufgrund einer Einwilligung durch Sie verarbeiten.

4.6. Beschwerderecht beim HDSB

Jedem Bürger steht ein Recht zur Beschwerde bei der Aufsichtsbehörde in Hessen zu.

Der Hessische Datenschutzbeauftragte
Postfach 3163
65021 Wiesbaden

Kontaktformular des Hessischen Datenschutzbeauftragten
Telefon: +49 611 1408 – 0
Telefax: +49 611 1408 – 611

Die neue Datenschutzgrundverordnung DSGVO betrifft auch die TU als öffentlich-rechtliche Körperschaft.

Auch das neue Hessische Datenschutzgesetz (Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG)) ist inzwischen in Kraft, so dass die TU an die Umsetzung der Verordnung gehen kann.

An der TU Darmstadt bestehen für unsere wesentlichen Datenspeicherungs-Systeme (SAP; TUCaN) jeweils eine Rechtsgrundlage für den Betrieb. Es liegen Verfahrensverzeichnisse und Vorabkontrollen nach altem Recht vor.

Soweit Änderungsbedarf besteht, sind die Datenschutzbeauftragte dabei, konkrete Schritte auszuarbeiten.

Nutzbare Erst-Informationen für einen Überblick finden sich unter

https://www.zendas.de/themen/datenschutz-grundverordnung/teil2_ueberblick_aenderungen.html

Sukzessive werden hier weitere Informationen bereitgestellt

HDSG alt DSGVO
Verbot mit Erlaubnisvorbehalt:
Die Verarbeitung der Daten ist zulässig, wenn der/die Betroffene zugestimmt hat oder eine Rechtsvorschrift dies gestattet.
Verbot mit Erlaubnisvorbehalt
Voraussetzungen der Einwilligung (Art. 7) präziser gefasst: Verständlich; Aufklärung über Verwendungszweck der Daten, Hinweis auf Widerrufsmöglichkeit, Freiwilligkeit
Zweckbindung Art. 5 Abs. 1 b
Erforderlichkeitsprinzip Datensparsamkeit
Technisch-organisatorische Maßnahmen Sicherheit der Verarbeitung Art. 32

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 EU-DSGVO)
– „privacy by design“
– „privacy by default“
Verfahrensverzeichnis öffentlich Verzeichnis der Verarbeitungstätigkeiten (intern)
Vorabkontrolle nur noch bei besonderem Risiko; Datenschutz-Folgeabschätzung

Rechenschafts- und Nachweispflicht Art. 5 Abs. 2

Dokumentationspflichten Art. 33 Abs.5

Meldepflichten bei Pannen Art. 33 Art. 34
Anrufung HDSB Beschwerde bei Aufsichtsbehörde
Das Speichern der Daten ist mitzuteilen.
Den Betroffenen muss Auskunft über ihre gespeicherten Daten erteilt werden.
Informations- und Auskunftspflichten (Art. 13, Art. 14, Art. 15)
Recht auf Kopie der Daten

Aber: Gilt nicht für Daten, die nur noch aufgrund von Aufbewahrungspflichten oder für DV-Sicherheit usw. gespeichert § 33 I HDSiG
Den Betroffenen muss mit geteilt werden, an wen ihre Daten regelmäßig weitergegeben werden. Art. 14 Information
Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
Unrichtige Daten sind zu berichtigen. Berichtigungsanspruch Art. 16
Bestrittene Daten sind zu sperren. Überflüssige Daten oder unzulässige Daten sind zu löschen. Löschung Recht auf „Vergessen werden“ Art. 17
Widerspruchsrecht Art. 21
Die Daten sind vor Missbrauch zu schützen. Datensicherheit
Unternehmen müssen ein angemessenes Schutzniveau in Bezug auf die Sicherheit der Verarbeitung gewährleisten und die dafür implementierten Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen (Art. 24 und 32 DSGVO).

Recht auf Datenübertragbarkeit nach Art. 20 DSGVO

Freiheit der Lehre

Die Nutzung von KI kann in Veranstaltungen eine von vielen Arbeitsmethoden eingesetzt sein. Bei Prüfungen muss der Einsatz von KI entweder eindeutig verboten oder eindeutig erlaubt werden. Wenn es Grenzen beim Einsatz von KI geben soll, müssen diese Grenzen ebenfalls eindeutig kommuniziert werden. Die Gestaltung des Einsatzes von KI fällt unter die Freiheit der Hochschul-Lehre, Art. 5 Abs. 3 GG. Damit ist der Weg frei für den Einsatz. Mit der Freiheit kommt aber auch die Verantwortung für die Rechtmäßigkeit des Einsatzes.

Datenschutzregeln

Personenbezogene Daten dürfen nur mach den Regeln des Datenschutzes eingesetzt werden. Daten sind dann personenbezogen, wenn sie die Identifikation einer Person ermöglichen, Art. 4 Nr. 1 DSGVO. Sie dürfen verwendet werden, wenn es dafür entweder eine Einwilligung der Betroffenen oder eine ausdrückliche gesetzliche Erlaubnis gibt, Art. 6 Abs.1 DSGVO. Einwilligungen sind nur dann möglich, wenn es eine freie Entscheidung darüber gibt, ob Andere die Daten über die eigene Person nutzen dürfen. In den Verhältnissen der Studierenden und der Mitarbeiter einer Universität sind wirklich freie Entscheidungen über die Nutzung von personenbezogenen Daten sehr selten.

Rechtsgrundlagen für die Nutzung personenbezogener Daten

Deshalb die ist Nutzung personenbezogener Daten im Universitätskontext nur dann rechtmäßig, wenn es dafür eine ausdrückliche gesetzliche Erlaubnis gibt. Art. 6 Abs. f DSGVO enthält die Möglichkeit einer Interessenabwägung. Welche Argumente sprechen für eine Nutzung personenbezogener Daten? Welche Argumente sprechen gegen eine Nutzung? Man kann sich viele Situationen vorstellen, in denen Beträge einzelner Personen zu wissenschaftlichen Fragestellungen der Gegenstand fachlicher Situationen sind. Hier würde viel dafür sprechen, dass die Nutzung der Daten für die wissenschaftliche Arbeit sinnvoll ist. Allerdings ist hier eine Grenze zu beachten, die der Gesetzgeber in die DSGVO eingebaut hat. Staatliche Einrichtungen dürfen sich nicht auf eine selbst durchgeführte Interessenabwägung berufen. Sie dürfen nur dann personenbezogene Daten nutzen, wenn es dafür eine ausdrückliche gesetzliche Erlaubnis gibt. Eine Selbsteinschätzung darf nicht die Grundlage sein.

Art. 6 Abs. 1 c DSGVO sagt, dass eine Datennutzung dann rechtmäßig ist, wenn es dafür eine rechtliche Verpflichtung gibt. § 3 Abs. 2 des Hessischen Hochschulgesetztes verpflichtet die Hochschulen, auf die Berufsausübung vorzubereiten. Dazu gehört auch die Auseinandersetzung mit neuen Technologien. Aus dem gleichen Grund können sich Hochschulen auch auf Art. 6 Abs. 1 e DSGVO berufen. Denn es ist im öffentlichen Interesse das staatlich finanzierte Hochschulen eine Ausbildung anbieten, die auf der Höhe der Zeit ist und den Studierenden ermöglicht, mit den Chancen und Risiken einer hochentwickelten Wissensgesellschaft umzugehen.

US-Anbieter

Ein nur schwer lösbares Problem ergibt sich daraus, dass viele KI-Applikationen von US-Anbietern betrieben werden. Damit sind US-Gesetz z. B. auf Open AI ( Chat GPT) und auf die Midjourney Inc. anwendbar. Scharfe Konflikte mit der DSGVO treten hier auf. Aktuell ist die Verwendung personenbezogener Daten in Texten von Chat GPT oder in Bildern von midjourney durch einen Angemessenheitsbeschluss der Europäischen Kommission gedeckt. Der Angemessenheitsbeschluss beruht auf dem Privacy Data Framework Agreement zwischen der EU und den USA. Die Rechtmäßigkeit des Angemessenheitsbeschlusses ist zweifelhaft und es gibt eine hohe Wahrscheinlichkeit, dass der Europäische Gerichtshof den Angemessenheitsbeschluss wieder aufheben wird. Wenn das geschieht, fehlt eine verlässliche Rechtsgrundlage für den Datenaustausch mit US-Anbietern.

Nutzung von Personen-Abbildungen

Nach deutschem Recht ist die Verwendung von personenbezogenen Daten in KI-erzeugten Texten und Bildern Daten nicht einfach. Die §§ 22,23 KunstUrhG formulieren Persönlichkeitsrechte bei der Verwendung von Personen-Abbildungen. Hier spielt es eine entscheidende Rolle, welchen gesellschaftlichen Status eine Person hat.

Am besten sind Privatpersonen geschützt, die keine öffentliche Bedeutung haben. Es gibt kein Interesse der Öffentlichkeit, etwas über diese Menschen zu erfahren. Abbildungen ihrer Person dürfen nur mit ihrer Einwilligung erstellt und genutzt werden. Dies gilt nicht, wenn sie zufällig auf einem Bild eines öffentlichen Gebäudes zu sehen sind. Wenn es bei diesem Bild nicht um sie geht, sondern z.B. um die Gebäude der Mathildenhöhe in Darmstadt, dann kann das Bild auch ohne ihre Einwilligung genutzt werden.

Etwas schwerer haben es Personen, die für eine kurze Zeit on der Öffentlichkeit stehen. Einige Menschen geraten für eine Woche in die Medien, weil etwas getan haben, was man ihnen gut vorwerfen kann. Eine Woche später widmet sich die öffentliche Aufregung einer anderen Person. Während der Woche im „Rampenlicht“ müssen sich die Betroffenen eine Berichterstattung über ihre „Fehler“ weitgehend gefallen lassen.

Unter noch größerem Druck stehen Personen, die für längere Zeit im Fokus der Öffentlichkeit stehen. Hier darf nur über das Privatleben nicht berichtet werden. Alle anderen Bereiche des Lebens dürfen für eine Berichterstattung verwendet werden.

Für die Hochschullehre gelten ebenfalls diese Grundregeln, wenn es um Personen-Abbildungen geht.

Nutzung von Texten mit personenbezogenen Daten

Die Nutzung von Texten über Personen ist in den gleichen Grenzen rechtmäßig.

Rechtsfolgen bei Verletzungen der Datenschutzregeln

Falls es durch die Nutzung von personenbezogenen Daten in KI-Erzeugnissen zu Datenschutzverletzungen kommen sollte, haben Betroffene Personen Ansprüche auf Schadensersatz, Art 82 DSGVO.

Verantwortlich für Datenschutzverletzungen in der Hochschullehre sind diejenigen, die durch Eingabe von Prompts das Erzeugen der KI-Ergebnisse anstoßen und formen. Schadensersatzforderungen können sowohl Studierende als auch Lehrende treffen, je nach dem wer die Prompts eingegeben hat.

Bitte informieren Sie sich auf den HRZ-Webseiten.

Aus datenschutzrechtlicher Sicht ist der Einsatz der des datenschutzrechtlich unbedenklichen DFN-Terminplaners des Deutschen Forschungsnetzes (DFN) zu empfehlen.

Die vom DFN für Forschungszwecke adaptierte Software hat die notwendigen Funktionalitäten, hat jedoch weder eine kommerzielle Ausrichtung noch sind Fremdprogramme eingebunden. Zusätzlich ist bereits beim Anlegen eines Terminplanes die Angabe eines Löschdatums erforderlich und es erfolgt eine über https verschlüsselte Übertragung der Daten.

Detaillierte Informationen können Sie der datenschutzrechlichen Bewertung von ZENDAS entnehmen. Die darin auf Basis des baden-württembergischen Landesdatenschutzgesetzes getroffenen Aussagen gelten für den Bereich des Hessischen Datenschutzgesetzes entsprechend (§ 17 Abs. 2 i.V.m. §§ 16 Abs. 1, 11 Abs. 1, 14 HDSG). Durch die Funktionalitäten des DFN-Terminplaners werden die gesetzlichen Vorgaben, insbesondere aus §§ 19 Abs. 3, 11 Abs. 1 HDSG, erfüllt.

Die TU Darmstadt hat einen Prozess für den Umgang mit Datenschutzverletzungen etabliert, der sicherstellt, dass die möglichen Verletzungen dokumentiert und – wie in der DSGVO vorgeschrieben – an den hessischen Datenschutzbeauftragten weiter gemeldet werden.

Meldung und Klärung des Verdachts

Wenn eine Person feststellt, dass an der Technischen Universität Darmstadt möglicherweise der Schutz personenbezogener Daten verletzt wurde, so muss der oder die behördliche Datenschutzbeauftragte (DSB) umgehend über diesen Verdacht informiert werden. Prinzipiell steht hierfür allen der Weg der direkten Mitteilung an den oder die DSB offen (bei einer Verdachtsmeldung per E-Mail wird automatisch ein Ticket im Ticketsystem des Datenschutz-Teams erstellt.). Darüber hinaus können Organisationseinheiten (OE) der Technischen Universität Darmstadt für Verdachtsmeldungen innerhalb der OE eigene Prozesse zur internen Weitergabe der Verdachtsmeldung an den oder die DSB festlegen (dabei muss sichergestellt werden, dass sich durch den indirekten Weg die Weitergabe der Meldung nur unerheblich verzögert). Studierende können sich zudem auch an das Dezernat II (Studium und Lehre, Hochschulrecht) wenden.

Der oder die Datenschutzbeauftragte kontaktiert nach Erhalt der Verdachtsmeldung die für den Verdacht verantwortliche Stelle, um den Sachverhalt zu klären und zu entscheiden, ob eine Verletzung des Schutzes personenbezogener Daten vorliegt oder nicht. Wenn es sich nicht um eine Datenschutzverletzung handelt, wird das Ticket geschlossen und die Person, die den Verdacht gemeldet hat, über diese Entscheidung informiert.

Vorgehensweise bei Verletzung des Schutzes personenbezogener Daten

Im Falle einer Datenschutzverletzung notiert der oder die Datenschutzbeauftragte den Zeitpunkt der Meldung und bestimmt das Ende der Meldefrist von 72 Stunden. Dann informiert er oder sie die Leitung der verantwortlichen Organisationseinheit mit Verweis auf die Ticket-Nummer per E-Mail über die fest¬gestellte Datenschutzverletzung und klärt sie detailliert über ihre Pflichten und die damit verbundenen weiteren notwendigen Schritte auf, die auch auf der Website des Hessischen Beauftragten für Datenschutz und Informationssicherheit (HBDI) (wird in neuem Tab geöffnet) erläutert werden:

  1. Die für die Organisationseinheit verantwortliche Person lädt von der Website des HBDI das Formular für „Meldungen von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 1 DS-GVO“ herunter.
  2. Die verantwortliche Person füllt das Formular im Auftrag der Präsidentin oder des Präsidenten der Technischen Universität Darmstadt aus.
  3. Die verantwortliche Person fordert einen Upload-Link an, den sie per E-Mail erhält.
  4. Sie bestätigt diesen Upload-Link zum Öffnen der Upload-Seite von HessenDrive.
  5. Sie lädt das ausgefüllte Formular sowie etwaige ergänzende Dokumente hoch.

Der oder die Datenschutzbeauftragte weist die Leitung in der E-Mail darauf hin, innerhalb welcher Frist das Hochladen der Unterlagen abgeschlossen sein muss und dass die verantwortliche Person den oder die DSB per E-Mail über die vollzogene Meldung beim HBDI informieren muss. Erst mit dem abgeschlossenen Hochladen der Unterlagen und der Rückmeldung an den oder die DSB gilt die Meldung der Datenschutzverletzung als abgeschlossen.

Prozess als pdf (wird in neuem Tab geöffnet)

Wie lange sind Akten und Dateien aufzubewahren? Was muss ich tun, wenn die Aufbewahrung nicht mehr erforderlich ist?

Die relevanten Informationen zum Thema Akten – und Dateiaussonderung und Aufbewahrungsfristen hat das Universitätsarchiv zusammengestellt.

Recht auf Auskunft
Personen haben gemäß Art. 15 DS-GVO das Recht, von der Technischen Universität Darmstadt Auskunft darüber zu erhalten, welche sie betreffenden personenbezogenen Daten verarbeitet werden. Hierfür kann eine Person ein Auskunftsersuchen an den oder die behördlichen(n) Datenschutzbeauftragte(n) (DSB) der Technischen Universität Darmstadt richten. Das Ersuchen kann schriftlich per Brief oder E-Mail (datenschutz@tu-darmstadt.de) sowie mittels persönlicher Vorsprache erfolgen. (Auskunftsersuchen, die an anderer Stelle eingehen, werden unter Verweis auf diesen Prozess an den oder die DSB weitergeleitet.) Der oder die DSB notiert den Zeitpunkt der Anfrage und bestimmt das Ende der Frist zur Erteilung der Auskunft.

Klärung des Sachverhalts und Identitätsprüfung
Der oder die Datenschutzbeauftragte kontaktiert dann bei schriftlichen Anfragen die anfragende Person und klärt mit ihr, mit welchen Organisationseinheiten (OE) der TU Darmstadt sie in Verbindung steht oder stand. (Die Informationen sollen der lückenlosen Nachvollziehbarkeit von Kontakten zur TU Darmstadt dienen, um beispielsweise auch die Speicherung von E-Mail-Kommunikation sowie deren Zweck dokumentieren zu können.) Des Weiteren muss eine Identitätsprüfung durch den oder die DSB erfolgen, um den Anspruch der anfragenden Person auf die Erteilung der Auskünfte nachzuweisen. Diese Prüfung erfolgt nach Wahl der anfragenden Person durch persönliche Vorlage eines amtlichen Ausweisdokuments oder durch Zusendung einer Kopie desselben an den oder die DSB per Brief oder E-Mail. (Die Kopie dient nur zur Identitätsprüfung und wird nach erfolgter Prüfung umgehend vernichtet.) Die erfolgte Identitätsprüfung wird mittels Aktenvermerk dokumentiert.

Zusammenführung dezentral verarbeiteter Daten
Der oder die Datenschutzbeauftrage veranlasst nun die Übermittlung der dezentral verarbeiteten Daten von den OEs wie Dezernaten, Fachbereichen, HRZ usw. zu ihm oder ihr selbst. Hierfür informiert der oder die DSB die OEs über das Ersuchen durch die anfragende Person, welche Informationen benötigt werden und innerhalb welcher Frist die OEs die Daten an den oder die DSB übermitteln müssen. Für die Sammlung und Übermittlung der Daten an den oder die DSB erhalten die OEs eine Frist von zwei Wochen. In der verbleibenden Zeit bis zum Ablauf der Frist führt der oder die DSB die Daten zusammen, prüft sie auf eventuelle Lücken und fordert bei Bedarf die betroffenen OEs zur Vervollständigung auf.

Übermittlung der Daten
Nach der Zusammenführung übermittelt der oder die Datenschutzbeauftragte die Daten an die betreffende Person. Die Übermittlung der Daten erfolgt nach Wahl der betreffenden Person durch persönliche Abholung (mit erneuter Identitätsprüfung) oder per Post an eine der universitären Verwaltung vorliegende Adresse. (Sollte die gewünschte Empfängeradresse von den der TU Darmstadt vorliegenden Kontaktadressen abweichen, ist eine Klärung der Abweichung notwendig. Für die Klärung genügt beispielsweise eine Bescheinigung der Ummeldung vom Einwohnermeldeamt.) Auf ausdrücklichen Wunsch der betreffenden Person kann die Übermittlung auch elektronisch per E-Mail erfolgen.(Der Wunsch der Übermittlung per E-Mail muss zur Nachweisbarkeit schriftlich an den oder die DSB gerichtet werden. Der Antrag bedarf keiner besonderen Form, darf jedoch nicht per E-Mail erfolgen.) Für die Übermittlung der Daten per E-Mail müssen im Vorfeld geeignete Sicherheitsmaßnahmen verabredet werden, um eine sichere Übermittlung durch die TU Darmstadt gewährleisten zu können. (Beispielsweise kann ein sicheres Passwort zur Verschlüsselung der zu übermittelnden Datei(en) verabredet werden. Dieses Passwort darf aus Sicherheitsgründen nicht per E-Mail übermittelt werden.) Mit der erfolgten Übermittlung gilt das Auskunftsersuchen als abgeschlossen.

Prozess als pdf (wird in neuem Tab geöffnet)