Datenschutz an der TU Darmstadt

Datenschutz ist der Technischen Universität Darmstadt nicht nur in Lehre und Forschung ein wichtiger Punkt. Auch in den zentralen Services der Verwaltung für unsere Studierenden und Beschäftigten ist der Datenschutz ein wichtiges Querschnittsthema.

Der Datenschutz an der TU Darmstadt wird durch fünf Kolleginnen und Kollegen vertreten.

  • Jan Hansen, Dezernat II; stellvertr. Datenschutzbeauftragter, 06151 16 27063
  • Stefanie Koch, Dezernat VI; 06151 16 57490
  • Sibylla Pendl, Dezernat VII; 06151 16 26557
  • Dr. Oliver Schmid, HRZ; 06151 16 71057
  • Gerhard Schmitt, Dezernat II, Datenschutzbeauftragter; 06151 16 28221

E-Mail:

Das Team nimmt insbesondere folgende Aufgaben wahr:

  • Beratung der Verantwortlichen der TU Darmstadt in sämtlichen Fragen des Datenschutzes;
  • Sammeln von Informationen zur Ermittlung von Datenverarbeitungstätigkeiten;
  • Kontrolle der Einhaltung der Vorgaben bei Datenverarbeitungstätigkeiten;
  • Unterstützung des Verantwortlichen bei der Durchführung von DS-Folgenabschätzung nach Art. 39 DSGVO;
  • Erarbeitung von Empfehlungen zur Information des Verantwortlichen oder der Auftragsverarbeiter zur DSGVO;
  • Erarbeitung von Schulungskonzepten und Durchführung von Schulungen zum Datenschutz;
  • Erarbeitung von Vorschlägen zur strategischen Weiterentwicklung des Datenschutzes an der TU Darmstadt;
  • Austausch der Datenschutzthemen mit den Verantwortlichen der IT-Sicherheit.

Der behördliche Datenschutzbeauftragte hat gemäß § 7 HDSIG u.a. die Aufgabe, auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Maßnahmen hinzuwirken, die das das Recht des einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, betreffen.

Bei seiner Tätigkeit ist der behördliche Datenschutzbeauftragte nicht an Weisungen gebunden und unmittelbar dem Präsidenten der Technischen Universität Darmstadt als Verantwortlichem im Sinne der DSGVO unterstellt.

Die Mitglieder der Technischen Universität Darmstadt können sich in allen Angelegenheiten des Datenschutzes auch ohne Einhaltung des Dienstweges an ihn wenden.

Name und Anschrift des Verantwortlichen

Die Technische Universität Darmstadt ist eine rechtsfähige Körperschaft des öffentlichen Rechts gemäß § 1 Abs. 1 i.V.m. § 2 Abs. 1 Nr. 1 HHG

HHG (Hessisches Hochschulgesetz vom 14. Dezember 2009, GVBl. I S. 666), zuletzt geändert durch Artikel 2 des Gesetzes vom 18. Dezember 2017 (GVBl. S. 482). Seit dem In-Kraft-Treten des TU Darmstadt-Gesetzes (Gesetz zur organisatorischen Fortentwicklung der Technischen Universität Darmstadt vom 05. Dezember 2004, GVBl. I S. 382, in der Fassung vom 14. Dezember 2009, GVBl. I S. 699) ist sie autonome Universität des Landes Hessen.

Verantwortlicher nach Art. 13 DGVO ist:

Der Präsident der Technischen Universität Darmstadt

Technische Universität Darmstadt

vertreten durch ihren Präsidenten (Verantwortlicher nach Art. 13 DSGVO)
Karolinenplatz 5
64289 Darmstadt
Telefon 06151 / 16-01

Behördlicher Datenschutzbeauftragter

Den Datenschutzbeauftragten der Technischen Universität Darmstadt erreichen Sie unter www.tu-darmstadt.de/datenschutz

Postanschrift:

Karolinenplatz 5
64289 Darmstadt

Rechte und Beschwerdemöglichkeiten

Sie haben das Recht, sich bei datenschutzrechtlichen Problemen an die zuständige Aufsichtsbehörde zu wenden:

Der Hessische Datenschutzbeauftragte
Postfach 3163
65021 Wiesbaden

E-Mail an HDSB
Telefon: +49 611 1408 – 0
Telefax: +49 611 1408 – 611

Datenschutz hat in Hessen Tradition und ist der Technischen Universität Darmstadt wichtig. Welche personenbezogene Daten wir verarbeiten und wie wir sie verwenden, möchten wir Ihnen, je nachdem, ob Sie sich z.B. auf einen Studienplatz bewerben wollen oder Studierende_r oder Doktorand_in sind, erläutern.

1.1. Bewerber_innen und Studierende

Die Technische Universität Darmstadt verarbeitet die Daten von Studienbewerber_innen und Studierenden im Campusmanagement System TUCaN.

Die Rechtsgrundlage für die Datenerhebung ist Art. 6 Abs. 1c DSGVO i. V. m. § 2 Immatrikulationsverordnung (HImmaVO). Fundstellen oder Links für die Rechtsgrundlagen (Gesetze, Verordnungen) finden Sie am Ende dieser Seite unter „Weitergehende Informationen“.

Sie haben gem. Art. 15 DSGVO das Recht, Auskünfte über die zu Ihrer Person gespeicherten Daten zu erhalten. Hierfür wenden Sie sich bitte an den Studierendenservice, Karolinenplatz 5, 64289 Darmstadt.

Ihre personenbezogenen Daten werden in einer automatisierten Datei an der Technischen Universität Darmstadt gespeichert (§15 Abs. 2 HImmaVO).

Die Speicherung erfolgt zu folgenden Zwecken:

  • Verwaltung der Einschreibung/Rückmeldung nach den Vorschriften der HImmaVO
  • Für die Prüfungsverwaltung nach den Vorschriften der Allgemeinen Prüfungsbestimmungen der Technischen Universität Darmstadt in der jeweils gültigen Fassung
  • Für die Erstellung eines Wählerverzeichnisses nach § 35 HHG* und § 14 der Wahlordnung der Technischen Universität Darmstadt
  • Zur Durchführung von Bundes- und Landesstatistiken nach Maßgabe des Hochschulstatistikgesetzes, des Bundestatistikgesetzes und des Hess. Landesstatistikgesetzes.

Ihre Angaben zur Hochschulstatistik werden anonym an das Statistische Landesamt in Wiesbaden weitergegeben.

Die Bewerbungsdaten geben Sie im Rahmen der Bewerbung für ein Studienfach an.
Dies ist in § 2 Abs. 2 der HImmaVO geregelt. Es handelt sich um folgende Daten:

  1. Familienname, frühere Namen,
  2. Vornamen,
  3. Geburtsdatum,
  4. Ort und Land der Geburt,
  5. Geschlecht,
  6. Anschrift,
  7. Elektronische Anschrift (E-Mail-Adresse),
  8. Staatsangehörigkeiten,
  9. gewünschter Studiengang oder gewünschte Studiengänge, jeweils mit Angabe des gewünschten Studienabschlusses, gegebenenfalls der Haupt- und Nebenfächer oder der Module, sowie Fachsemester, in das die antragstellende Person eingestuft werden möchte,
  10. Fachbereich, in dem das Wahlrecht ausgeübt werden soll,
  11. Name, Anschrift und Art der bisher besuchten sowie der gleichzeitig besuchten weiteren staatlichen oder staatlich anerkannten Hochschulen und Berufsakademien im In- und Ausland, die an ihnen verbrachten Studien- oder Ausbildungszeiten mit Jahr und Semester einschließlich der Urlaubssemester und der jeweils gewählten Studien- oder Ausbildungsgänge bei Hochschulen im Ausland auch den Staat,
  12. Ergebnisse der bisher abgelegten Vor-, Zwischen-, Abschluss- oder Modulprüfungen sowie der studienbegleitenden Leistungskontrollen,
  13. Datum des Erwerbs, Art und Ergebnis der zum Studium befähigenden Qualifikation sowie bei Erwerb in Deutschland das Land und den Kreis, bei Erwerb im Ausland den Staat, in dem sie erworben worden ist; gegebenenfalls die Anzahl der absolvierten Semester an einem Studienkolleg in Deutschland
  14. besondere studiengangsspezifische Kenntnisse und Fähigkeiten, die nach § 54 Abs. 4 des Hessischen Hochschulgesetzes zu Beginn des Studiums vorhanden sein müssen,
  15. bei angestrebtem Studienabschluss im Inland die Hochschule und den Ort des angestrebten Studienabschlusses, bei angestrebtem Studienabschluss im Ausland den Staat des angestrebten Studienabschlusses.

Nach der Einschreibung

Wenn Sie eingeschrieben sind, verarbeiten wir die Studierendendaten:

Diese sind Familien-, Geburts- und den Vornamen, das Geburtsdatum, den Geburtsort, das Geschlecht, den Studiengang oder die Studiengänge mit den dazugehörigen Studienfächern (Haupt- und Nebenfächer und gegebenenfalls Module), die Matrikelnummer, das Datum der Immatrikulation und der Exmatrikulation, Zeiten der Beurlaubung vom Studium und des Teilzeitstudiums, Praxissemester oder sonstige Studienunterbrechungen, Beitragsbefreiungen und das ermittelte Studienguthaben nach § 2 des Hessischen Studienguthabengesetzes vom 18. Dezember 2003 (GVBl. I S. 513, 516), zuletzt geändert durch Gesetz vom 18. Juni 2006 (GVBl. I S. 764 ), außer Kraft getreten mit Ablauf des 31. Dezember 2008, die Art der Prüfung, die Zulassungsvoraussetzungen zur Prüfung sowie das Datum und das Ergebnis der Prüfung 60 Jahre automatisiert verarbeiten.

Alle sonstigen personenbezogenen Daten in automatisierten Dateien werden innerhalb eines Jahres nach der Exmatrikulation oder der Beendigung der Zulassung als Gasthörerin oder -hörer gelöscht.

Die Daten von Personen, die nicht immatrikuliert werden, sind für ein Sommersemester spätestens bis zum 30. September des Folgejahres, für ein Wintersemester spätestens bis zum 31. März des Folgejahres, zu löschen.

Die Technische Universität Darmstadt erstellt zudem ein Wählerverzeichnis für die Hochschulwahlen.

Ansonsten werden wir Ihre Daten nur dann erheben und weiter verarbeiten, wenn Sie dazu Ihre Einwilligung erteilt haben.

1.2. Welche Daten werden von Doktorandinnen und Doktoranden verarbeitet?

Die Hochschulen erheben von Personen, die als Doktorandinnen oder Doktoranden angenommen worden sind, die in § 2 Abs. 2 Nr. 1 bis 7 und 10 bis 12 HImmaVO genannten Daten:

  1. Familienname, frühere Namen,
  2. Vornamen,
  3. Geburtsdatum,
  4. Ort und Land der Geburt,
  5. Geschlecht,
  6. Anschrift,
  7. Elektronische Anschrift (E-Mail-Adresse),
  8. Fachbereich, in dem das Wahlrecht ausgeübt werden soll,
  9. Name, Anschrift und Art der bisher besuchten sowie der gleichzeitig besuchten weiteren staatlichen oder staatlich anerkannten Hochschulen und Berufsakademien im In- und Ausland,
  10. die an ihnen verbrachten Studien- oder Ausbildungszeiten mit Jahr und Semester einschließlich der Urlaubssemester und der jeweils gewählten Studien- oder Ausbildungsgänge bei Hochschulen im Ausland, auch den Staat.
  11. Ergebnisse der bisher abgelegten Vor-, Zwischen-, Abschluss- oder Modulprüfungen sowie der studienbegleitenden Leistungskontrollen sowie Angaben und Nachweise über:
    • die Art der Promotion,
    • das Promotionsfach,
    • die Art der Registrierung als Promovierende,
    • den Monat und das Jahr des Promotionsbeginns und der Promotionsbeendigung,
    • die Teilnahme an einem strukturierten Promotionsprogramm,
    • ein an der Hochschule bestehendes Beschäftigungsverhältnis,
    • die Art der Dissertation.
2.1. Statistik

Die Technische Universität Darmstadt beteiligt sich aufgrund gesetzlicher Verpflichtungen an der Durchführung von Bundes- und Landesstatistiken (Regelungen im Hochschulstatistikgesetz, im Bundesstatistikgesetz und im Hess. Landesstatistikgesetz).

Ihre Angaben zur Hochschulstatistik werden anonymisiert an das Statistische Landesamt in Wiesbaden weitergegeben.

Im Rahmen des Dialogorientierten Studienplatzvergabeverfahrens werden Bewerberdaten mit der Stiftung für Hochschulzulassung abgeglichen.

2.2. Studierendenwerk

Die Technische Universität Darmstadt übermittelt personenbezogene Daten der Bewerber_innen und Studierenden an die Studierendenschaft und an das Studierendenwerk, soweit diese die Daten zur rechtmäßigen Erfüllung ihrer Aufgaben benötigen. Dies betrifft insbesondere die Mitteilung der Exmatrikulation von Studierenden an das Studierendenwerk.

2.3. Übermittlung von Daten an die Bibliothek

Die Technische Universität Darmstadt kann zur Abwicklung des Leihverkehrs folgende personenbezogenen Daten der Studierenden an die Universitäts- und Landesbibliothek elektronisch übermitteln:

  1. Familienname,
  2. Vornamen,
  3. Geschlecht,
  4. Geburtsdatum oder Matrikelnummer,
  5. Anschrift.
2.4. Übermittlung von Daten an das für das Hochschulwesen zuständige Ministerium

Die Technische Universität Darmstadt übermittelt personenbezogene Daten der in § 55 Abs. 4 des Hessischen Hochschulgesetzes genannten Personen (Bewerberinnen und Bewerber, Studierenden, Gasthörerinnen und -hörer, Doktorandinnen und Doktoranden und Prüfungskandidatinnen und -kandidaten) an das für das Hochschulwesen zuständige Ministerium, soweit dieses die Daten zur rechtmäßigen Erfüllung seiner Aufgaben benötigt. Eine elektronische Datenübertragung ist zulässig.

2.5. Übermittlung von Daten an die zuständige Krankenkasse

Die Technische Universität Darmstadt übermittelt der zuständigen Krankenkasse personenbezogene Daten der versicherten Studierenden nach § 4 der Studentenkrankenversicherungs-Meldeverordnung. Eine elektronische Datenübertragung ist zulässig.

2.6. Übermittlung im Bewerbungsverfahren DOSV

Bewerberdaten werden an die Stiftung für Hochschulzulassung im sogenannten Dialogorientierten Serviceverfahren mit hochschulstart.de weiter gegeben.

Dies gilt zurzeit für die Bewerbungsverfahren Bachelor Psychologie und Bachelor Biologie.

Es handelt sich um folgende Daten:

Eine Reihe von Daten wird – mit unterschiedlichen Zeiträumen – länger gespeichert.

Diese Speicherung dient dazu, auch noch nach Ihrem Ausscheiden aus der Technischen Universität Darmstadt Auskünfte über Ihre Studienzeiten und Ihre Prüfungsdaten geben zu können, z.B. wenn Ihre Unterlagen nicht mehr vollständig oder verloren gegangen sind.

Alle sonstigen personenbezogenen Daten in automatisierten Dateien werden innerhalb eines Jahres nach der Exmatrikulation oder der Beendigung der Zulassung als Gasthörer_in gelöscht.

60 Jahre gespeichert werden:

  • Familien-, Geburts- und Vornamen, Geburtsdatum, Geburtsort,
  • Geschlecht, den Studiengang oder die Studiengänge mit den dazugehörigen Studienfächern (Haupt- und Nebenfächer und gegebenenfalls Module), Matrikelnummer, Datum der Immatrikulation und der Exmatrikulation, Zeiten der Beurlaubung vom Studium und des Teilzeitstudiums, Praxissemester oder sonstige Studienunterbrechungen, Art der Prüfung, Zulassungsvoraussetzungen zur Prüfung sowie das Datum und das Ergebnis der Prüfung.

Die Daten von Personen, die sich beworben haben (Daten der Bewerber_innen), aber dann nicht immatrikuliert werden, werden für ein Sommersemester spätestens bis zum 30. September des Folgejahres, für ein Wintersemester spätestens bis zum 31. März des Folgejahres gelöscht.

4.1. Auskunftsrecht

Sie haben das Recht, Auskünfte über die zu Ihrer Person gespeicherten Daten zu erhalten (Studierendenservice, Karolinenplatz 5, 64289 Darmstadt).

Die meisten der von der Technischen Universität Darmstadt gespeicherten Daten können Sie selbst einsehen:

Persönliche Daten der Studierenden

  • Im Webportal von TUCaN unter dem Menüpunkt Service -> Persönliche Daten
  • Im Studiendatenblatt, das dem Studierenden zu Beginn jeden Semesters zugesandt zusammen mit dem Studierendenausweis wird

Daten der Bewerbung zum Studium (bis zum Ende des Folgejahres, dann wird der Datensatz gelöscht)

  • Im Webportal von TUCaN unter dem Menüpunkt Bewerbung

Daten des aktuellen und ggf. bisherigen Studiums

  • Im Studiendatenblatt, das dem Studierenden zu Beginn jeden Semesters zugesandt wird

Daten des Studienverlaufs

  • Im Studiendatenblatt, das dem Studierenden zu Beginn jeden Semesters zugesandt wird

Anmeldedaten zu Modulen, Lehrveranstaltungen und Prüfungen

  • Im Webportal von TUCaN unter dem Menüpunkt Veranstaltungen bzw. Prüfungen; hier meldet sich der Studierende an bzw. ggf. wieder ab und kann einsehen, wo er aktuell angemeldet ist.

Leistungsdaten des Studierenden

  • In Leistungsübersichten, die durch den Studierenden selbst im Webportal von TUCaN unter dem Menüpunkt Prüfungen -> Leistungsspiegel angezeigt und ausgedruckt werden können
  • In den Semesterergebnissen, die durch den Studierenden selbst im Webportal von TUCaN unter dem Menüpunkt Prüfungen -> Semesterergebnisse angezeigt werden können
4.2. Löschungsrecht

Ein Löschungsrecht besteht nur, insoweit wir Ihre Daten aufgrund Ihrer Einwilligung verarbeiten und Sie diese Einwilligung widerrufen (zurückziehen). Soweit wir die Daten aufgrund einer rechtlichen Verpflichtung verarbeiten oder weiter speichern, müssen wir dies beachten und Sie haben kein Löschungsrecht.

4.3. Berichtigung

Im Campus Management System „TUCaN“ können Sie Ihre Anschrift selbst ändern. Für Änderungen wie Name oder Staatsangehörigkeit nutzen Sie bitte das Änderungsformular.

4.4. Widerspruchsrecht

Die Erfassung der Daten zur Bewerbung und nach der Einschreibung für die Organisation Ihres Studiums ist zwingend erforderlich und rechtlich vorgeschrieben. Rechtsgrundlage ist Art. 5 Abs. 1 Buchstabe e der DSGVO (Aufgabe im öffentlichen Interesse), § 55 Abs. 4 HHG und die Hess. Immatrikulationsverordnung. Sie haben deshalb keine Widerspruchsmöglichkeit nach Art. 21 DSGVO.

4.5. Recht auf Datenübertragbarkeit

Die Technische Universität Darmstadt verarbeitet Ihre Daten aufgrund einer besonderen rechtlichen Grundlage (-> 3.2). Das Recht, Ihre Daten auf Dritte zu übertragen, steht Ihnen nur insoweit zu, wie wir Ihre Daten ausnahmsweise nur aufgrund einer Einwilligung durch Sie verarbeiten.

4.6. Beschwerderecht beim HDSB

Jedem Bürger steht ein Recht zur Beschwerde bei der Aufsichtsbehörde in Hessen zu.

Der Hessische Datenschutzbeauftragte
Postfach 3163
65021 Wiesbaden

Kontaktformular des Hessischen Datenschutzbeauftragten
Telefon: +49 611 1408 – 0
Telefax: +49 611 1408 – 611

Die neue Datenschutzgrundverordnung DSGVO betrifft auch die TU als öffentlich-rechtliche Körperschaft.

Auch das neue Hessische Datenschutzgesetz (Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG)) ist inzwischen in Kraft, so dass die TU an die Umsetzung der Verordnung gehen kann.

An der TU Darmstadt bestehen für unsere wesentlichen Datenspeicherungs-Systeme (SAP; TUCaN) jeweils eine Rechtsgrundlage für den Betrieb. Es liegen Verfahrensverzeichnisse und Vorabkontrollen nach altem Recht vor.

Soweit Änderungsbedarf besteht, sind die Datenschutzbeauftragte dabei, konkrete Schritte auszuarbeiten.

Nutzbare Erst-Informationen für einen Überblick finden sich unter

https://www.zendas.de/themen/datenschutz-grundverordnung/teil2_ueberblick_aenderungen.html

Sukzessive werden hier weitere Informationen bereitgestellt

HDSG alt DSGVO
Verbot mit Erlaubnisvorbehalt:
Die Verarbeitung der Daten ist zulässig, wenn der/die Betroffene zugestimmt hat oder eine Rechtsvorschrift dies gestattet.
Verbot mit Erlaubnisvorbehalt
Voraussetzungen der Einwilligung (Art. 7) präziser gefasst: Verständlich; Aufklärung über Verwendungszweck der Daten, Hinweis auf Widerrufsmöglichkeit, Freiwilligkeit
Zweckbindung Art. 5 Abs. 1 b
Erforderlichkeitsprinzip Datensparsamkeit
Technisch-organisatorische Maßnahmen Sicherheit der Verarbeitung Art. 32

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 EU-DSGVO)
– „privacy by design“
– „privacy by default“
Verfahrensverzeichnis öffentlich Verzeichnis der Verarbeitungstätigkeiten (intern)
Vorabkontrolle nur noch bei besonderem Risiko; Datenschutz-Folgeabschätzung

Rechenschafts- und Nachweispflicht Art. 5 Abs. 2

Dokumentationspflichten Art. 33 Abs.5

Meldepflichten bei Pannen Art. 33 Art. 34
Anrufung HDSB Beschwerde bei Aufsichtsbehörde
Das Speichern der Daten ist mitzuteilen.
Den Betroffenen muss Auskunft über ihre gespeicherten Daten erteilt werden.
Informations- und Auskunftspflichten (Art. 13, Art. 14, Art. 15)
Recht auf Kopie der Daten

Aber: Gilt nicht für Daten, die nur noch aufgrund von Aufbewahrungspflichten oder für DV-Sicherheit usw. gespeichert § 33 I HDSiG
Den Betroffenen muss mit geteilt werden, an wen ihre Daten regelmäßig weitergegeben werden. Art. 14 Information
Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
Unrichtige Daten sind zu berichtigen. Berichtigungsanspruch Art. 16
Bestrittene Daten sind zu sperren. Überflüssige Daten oder unzulässige Daten sind zu löschen. Löschung Recht auf „Vergessen werden“ Art. 17
Widerspruchsrecht Art. 21
Die Daten sind vor Missbrauch zu schützen. Datensicherheit
Unternehmen müssen ein angemessenes Schutzniveau in Bezug auf die Sicherheit der Verarbeitung gewährleisten und die dafür implementierten Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen (Art. 24 und 32 DSGVO).

Recht auf Datenübertragbarkeit nach Art. 20 DSGVO

Bitte informieren Sie sich auf den HRZ-Webseiten.

Aus datenschutzrechtlicher Sicht ist der Einsatz der des datenschutzrechtlich unbedenklichen DFN-Terminplaners des Deutschen Forschungsnetzes (DFN) zu empfehlen.

Die vom DFN für Forschungszwecke adaptierte Software hat die notwendigen Funktionalitäten, hat jedoch weder eine kommerzielle Ausrichtung noch sind Fremdprogramme eingebunden. Zusätzlich ist bereits beim Anlegen eines Terminplanes die Angabe eines Löschdatums erforderlich und es erfolgt eine über https verschlüsselte Übertragung der Daten.

Detaillierte Informationen können Sie der datenschutzrechlichen Bewertung von ZENDAS entnehmen. Die darin auf Basis des baden-württembergischen Landesdatenschutzgesetzes getroffenen Aussagen gelten für den Bereich des Hessischen Datenschutzgesetzes entsprechend (§ 17 Abs. 2 i.V.m. §§ 16 Abs. 1, 11 Abs. 1, 14 HDSG). Durch die Funktionalitäten des DFN-Terminplaners werden die gesetzlichen Vorgaben, insbesondere aus §§ 19 Abs. 3, 11 Abs. 1 HDSG, erfüllt.

Die TU Darmstadt hat einen Prozess für den Umgang mit Datenschutzverletzungen etabliert, der sicherstellt, dass die möglichen Verletzungen dokumentiert und – wie in der DSGVO vorgeschrieben – an den hessischen Datenschutzbeauftragten weiter gemeldet werden.

Meldung und Klärung des Verdachts

Wenn eine Person feststellt, dass an der Technischen Universität Darmstadt möglicherweise der Schutz personenbezogener Daten verletzt wurde, so muss der oder die behördliche Datenschutzbeauftragte (DSB) umgehend über diesen Verdacht informiert werden. Prinzipiell steht hierfür allen der Weg der direkten Mitteilung an den oder die DSB offen (bei einer Verdachtsmeldung per E-Mail wird automatisch ein Ticket im Ticketsystem des Datenschutz-Teams erstellt.). Darüber hinaus können Organisationseinheiten (OE) der Technischen Universität Darmstadt für Verdachtsmeldungen innerhalb der OE eigene Prozesse zur internen Weitergabe der Verdachtsmeldung an den oder die DSB festlegen (dabei muss sichergestellt werden, dass sich durch den indirekten Weg die Weitergabe der Meldung nur unerheblich verzögert). Studierende können sich zudem auch an das Dezernat II (Studium und Lehre, Hochschulrecht) wenden.

Der oder die Datenschutzbeauftragte kontaktiert nach Erhalt der Verdachtsmeldung die für den Verdacht verantwortliche Stelle, um den Sachverhalt zu klären und zu entscheiden, ob eine Verletzung des Schutzes personenbezogener Daten vorliegt oder nicht. Wenn es sich nicht um eine Datenschutzverletzung handelt, wird das Ticket geschlossen und die Person, die den Verdacht gemeldet hat, über diese Entscheidung informiert.

Vorgehensweise bei Verletzung des Schutzes personenbezogener Daten

Im Falle einer Datenschutzverletzung notiert der oder die Datenschutzbeauftragte den Zeitpunkt der Meldung und bestimmt das Ende der Meldefrist von 72 Stunden. Dann informiert er oder sie die Leitung der verantwortlichen Organisationseinheit mit Verweis auf die Ticket-Nummer per E-Mail über die fest¬gestellte Datenschutzverletzung und klärt sie detailliert über ihre Pflichten und die damit verbundenen weiteren notwendigen Schritte auf, die auch auf der Website des Hessischen Beauftragten für Datenschutz und Informationssicherheit (HBDI) erläutert werden:

  1. Die für die Organisationseinheit verantwortliche Person lädt von der Website des HBDI das Formular für „Meldungen von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 1 DS-GVO“ herunter.
  2. Die verantwortliche Person füllt das Formular im Auftrag der Präsidentin oder des Präsidenten der Technischen Universität Darmstadt aus.
  3. Die verantwortliche Person fordert einen Upload-Link an, den sie per E-Mail erhält.
  4. Sie bestätigt diesen Upload-Link zum Öffnen der Upload-Seite von HessenDrive.
  5. Sie lädt das ausgefüllte Formular sowie etwaige ergänzende Dokumente hoch.

Der oder die Datenschutzbeauftragte weist die Leitung in der E-Mail darauf hin, innerhalb welcher Frist das Hochladen der Unterlagen abgeschlossen sein muss und dass die verantwortliche Person den oder die DSB per E-Mail über die vollzogene Meldung beim HBDI informieren muss. Erst mit dem abgeschlossenen Hochladen der Unterlagen und der Rückmeldung an den oder die DSB gilt die Meldung der Datenschutzverletzung als abgeschlossen.

Prozess als pdf

Wie lange sind Akten aufzubewahren? Was muss ich tun, wenn die Aufbewahrung nicht mehr erforderlich ist?

Die relevanten Informationen zum Thema Aktenaussonderung und Aufbewahrungsfristen hat das Universitätsarchiv zusammengestellt.

Recht auf Auskunft
Personen haben gemäß Art. 15 DS-GVO das Recht, von der Technischen Universität Darmstadt Auskunft darüber zu erhalten, welche sie betreffenden personenbezogenen Daten verarbeitet werden. Hierfür kann eine Person ein Auskunftsersuchen an den oder die behördlichen(n) Datenschutzbeauftragte(n) (DSB) der Technischen Universität Darmstadt richten. Das Ersuchen kann schriftlich per Brief oder E-Mail (datenschutz@tu-darmstadt.de) sowie mittels persönlicher Vorsprache erfolgen. (Auskunftsersuchen, die an anderer Stelle eingehen, werden unter Verweis auf diesen Prozess an den oder die DSB weitergeleitet.) Der oder die DSB notiert den Zeitpunkt der Anfrage und bestimmt das Ende der Frist zur Erteilung der Auskunft.

Klärung des Sachverhalts und Identitätsprüfung
Der oder die Datenschutzbeauftragte kontaktiert dann bei schriftlichen Anfragen die anfragende Person und klärt mit ihr, mit welchen Organisationseinheiten (OE) der TU Darmstadt sie in Verbindung steht oder stand. (Die Informationen sollen der lückenlosen Nachvollziehbarkeit von Kontakten zur TU Darmstadt dienen, um beispielsweise auch die Speicherung von E-Mail-Kommunikation sowie deren Zweck dokumentieren zu können.) Des Weiteren muss eine Identitätsprüfung durch den oder die DSB erfolgen, um den Anspruch der anfragenden Person auf die Erteilung der Auskünfte nachzuweisen. Diese Prüfung erfolgt nach Wahl der anfragenden Person durch persönliche Vorlage eines amtlichen Ausweisdokuments oder durch Zusendung einer Kopie desselben an den oder die DSB per Brief oder E-Mail. (Die Kopie dient nur zur Identitätsprüfung und wird nach erfolgter Prüfung umgehend vernichtet.) Die erfolgte Identitätsprüfung wird mittels Aktenvermerk dokumentiert.

Zusammenführung dezentral verarbeiteter Daten
Der oder die Datenschutzbeauftrage veranlasst nun die Übermittlung der dezentral verarbeiteten Daten von den OEs wie Dezernaten, Fachbereichen, HRZ usw. zu ihm oder ihr selbst. Hierfür informiert der oder die DSB die OEs über das Ersuchen durch die anfragende Person, welche Informationen benötigt werden und innerhalb welcher Frist die OEs die Daten an den oder die DSB übermitteln müssen. Für die Sammlung und Übermittlung der Daten an den oder die DSB erhalten die OEs eine Frist von zwei Wochen. In der verbleibenden Zeit bis zum Ablauf der Frist führt der oder die DSB die Daten zusammen, prüft sie auf eventuelle Lücken und fordert bei Bedarf die betroffenen OEs zur Vervollständigung auf.

Übermittlung der Daten
Nach der Zusammenführung übermittelt der oder die Datenschutzbeauftragte die Daten an die betreffende Person. Die Übermittlung der Daten erfolgt nach Wahl der betreffenden Person durch persönliche Abholung (mit erneuter Identitätsprüfung) oder per Post an eine der universitären Verwaltung vorliegende Adresse. (Sollte die gewünschte Empfängeradresse von den der TU Darmstadt vorliegenden Kontaktadressen abweichen, ist eine Klärung der Abweichung notwendig. Für die Klärung genügt beispielsweise eine Bescheinigung der Ummeldung vom Einwohnermeldeamt.) Auf ausdrücklichen Wunsch der betreffenden Person kann die Übermittlung auch elektronisch per E-Mail erfolgen.(Der Wunsch der Übermittlung per E-Mail muss zur Nachweisbarkeit schriftlich an den oder die DSB gerichtet werden. Der Antrag bedarf keiner besonderen Form, darf jedoch nicht per E-Mail erfolgen.) Für die Übermittlung der Daten per E-Mail müssen im Vorfeld geeignete Sicherheitsmaßnahmen verabredet werden, um eine sichere Übermittlung durch die TU Darmstadt gewährleisten zu können. (Beispielsweise kann ein sicheres Passwort zur Verschlüsselung der zu übermittelnden Datei(en) verabredet werden. Dieses Passwort darf aus Sicherheitsgründen nicht per E-Mail übermittelt werden.) Mit der erfolgten Übermittlung gilt das Auskunftsersuchen als abgeschlossen.

Prozess als pdf