Datenschutz an der TU Darmstadt

Datenschutz ist der Technischen Universität Darmstadt nicht nur in Lehre und Forschung ein wichtiger Punkt. Auch in den zentralen Services der Verwaltung für unsere Studierenden und Beschäftigten ist der Datenschutz ein wichtiges Querschnittsthema.

Auf diesen Seiten haben wir unsere Informationen für Sie zusammengestellt.

Der behördliche Datenschutzbeauftragte hat gemäß § 7 HDSIG u.a. die Aufgabe, auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Maßnahmen hinzuwirken, die das das Recht des einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, betreffen.

Bei seiner Tätigkeit ist der behördliche Datenschutzbeauftragte nicht an Weisungen gebunden und unmittelbar dem Präsidenten der Technischen Universität Darmstadt als Verantwortlichem im Sinne der DSGVO unterstellt.

Die Mitglieder der Technischen Universität Darmstadt können sich in allen Angelegenheiten des Datenschutzes auch ohne Einhaltung des Dienstweges an ihn wenden.

Name und Anschrift des Verantwortlichen

Die Technische Universität Darmstadt ist eine rechtsfähige Körperschaft des öffentlichen Rechts gemäß § 1 Abs. 1 i.V.m. § 2 Abs. 1 Nr. 1 HHG

HHG (Hessisches Hochschulgesetz vom 14. Dezember 2009, GVBl. I S. 666), zuletzt geändert durch Artikel 2 des Gesetzes vom 18. Dezember 2017 (GVBl. S. 482). Seit dem In-Kraft-Treten des TU Darmstadt-Gesetzes (Gesetz zur organisatorischen Fortentwicklung der Technischen Universität Darmstadt vom 05. Dezember 2004, GVBl. I S. 382, in der Fassung vom 14. Dezember 2009, GVBl. I S. 699) ist sie autonome Universität des Landes Hessen.

Verantwortlicher nach Art. 13 DGVO ist:

Der Präsident der Technischen Universität Darmstadt

Technische Universität Darmstadt

vertreten durch ihren Präsidenten (Verantwortlicher nach Art. 13 DSGVO)
Karolinenplatz 5
64289 Darmstadt
Telefon 06151 / 16-01

Behördlicher Datenschutzbeauftragter

Den Datenschutzbeauftragten der Technischen Universität Darmstadt erreichen Sie unter www.tu-darmstadt.de/datenschutz

Postanschrift:

Karolinenplatz 5
64289 Darmstadt

Rechte und Beschwerdemöglichkeiten

Sie haben das Recht, sich bei datenschutzrechtlichen Problemen an die zuständige Aufsichtsbehörde zu wenden:

Der Hessische Datenschutzbeauftragte
Postfach 3163
65021 Wiesbaden

E-Mail an HDSB
Telefon: +49 611 1408 – 0
Telefax: +49 611 1408 – 611

Datenschutz hat in Hessen Tradition und ist der Technischen Universität Darmstadt wichtig. Welche personenbezogene Daten wir verarbeiten und wie wir sie verwenden, möchten wir Ihnen, je nachdem, ob Sie sich z.B. auf einen Studienplatz bewerben wollen oder Studierende_r oder Doktorand_in sind, erläutern.

1.1. Bewerber_innen und Studierende

Die Technische Universität Darmstadt verarbeitet die Daten von Studienbewerber_innen und Studierenden im Campusmanagement System TUCaN.

Die Rechtsgrundlage für die Datenerhebung ist Art. 6 Abs. 1c DSGVO i. V. m. § 2 Immatrikulationsverordnung (HImmaVO). Fundstellen oder Links für die Rechtsgrundlagen (Gesetze, Verordnungen) finden Sie am Ende dieser Seite unter „Weitergehende Informationen“.

Sie haben gem. Art. 15 DSGVO das Recht, Auskünfte über die zu Ihrer Person gespeicherten Daten zu erhalten. Hierfür wenden Sie sich bitte an den Studierendenservice, Karolinenplatz 5, 64289 Darmstadt.

Ihre personenbezogenen Daten werden in einer automatisierten Datei an der Technischen Universität Darmstadt gespeichert (§15 Abs. 2 HImmaVO).

Die Speicherung erfolgt zu folgenden Zwecken:

  • Verwaltung der Einschreibung/Rückmeldung nach den Vorschriften der HImmaVO
  • Für die Prüfungsverwaltung nach den Vorschriften der Allgemeinen Prüfungsbestimmungen der Technischen Universität Darmstadt in der jeweils gültigen Fassung
  • Für die Erstellung eines Wählerverzeichnisses nach § 35 HHG* und § 14 der Wahlordnung der Technischen Universität Darmstadt
  • Zur Durchführung von Bundes- und Landesstatistiken nach Maßgabe des Hochschulstatistikgesetzes, des Bundestatistikgesetzes und des Hess. Landesstatistikgesetzes.

Ihre Angaben zur Hochschulstatistik werden anonym an das Statistische Landesamt in Wiesbaden weitergegeben.

Die Bewerbungsdaten geben Sie im Rahmen der Bewerbung für ein Studienfach an.
Dies ist in § 2 Abs. 2 der HImmaVO geregelt. Es handelt sich um folgende Daten:

  1. Familienname, frühere Namen,
  2. Vornamen,
  3. Geburtsdatum,
  4. Ort und Land der Geburt,
  5. Geschlecht,
  6. Anschrift,
  7. Elektronische Anschrift (E-Mail-Adresse),
  8. Staatsangehörigkeiten,
  9. gewünschter Studiengang oder gewünschte Studiengänge, jeweils mit Angabe des gewünschten Studienabschlusses, gegebenenfalls der Haupt- und Nebenfächer oder der Module, sowie Fachsemester, in das die antragstellende Person eingestuft werden möchte,
  10. Fachbereich, in dem das Wahlrecht ausgeübt werden soll,
  11. Name, Anschrift und Art der bisher besuchten sowie der gleichzeitig besuchten weiteren staatlichen oder staatlich anerkannten Hochschulen und Berufsakademien im In- und Ausland, die an ihnen verbrachten Studien- oder Ausbildungszeiten mit Jahr und Semester einschließlich der Urlaubssemester und der jeweils gewählten Studien- oder Ausbildungsgänge bei Hochschulen im Ausland auch den Staat,
  12. Ergebnisse der bisher abgelegten Vor-, Zwischen-, Abschluss- oder Modulprüfungen sowie der studienbegleitenden Leistungskontrollen,
  13. Datum des Erwerbs, Art und Ergebnis der zum Studium befähigenden Qualifikation sowie bei Erwerb in Deutschland das Land und den Kreis, bei Erwerb im Ausland den Staat, in dem sie erworben worden ist; gegebenenfalls die Anzahl der absolvierten Semester an einem Studienkolleg in Deutschland
  14. besondere studiengangsspezifische Kenntnisse und Fähigkeiten, die nach § 54 Abs. 4 des Hessischen Hochschulgesetzes zu Beginn des Studiums vorhanden sein müssen,
  15. bei angestrebtem Studienabschluss im Inland die Hochschule und den Ort des angestrebten Studienabschlusses, bei angestrebtem Studienabschluss im Ausland den Staat des angestrebten Studienabschlusses.

Nach der Einschreibung

Wenn Sie eingeschrieben sind, verarbeiten wir die Studierendendaten:

Diese sind Familien-, Geburts- und den Vornamen, das Geburtsdatum, den Geburtsort, das Geschlecht, den Studiengang oder die Studiengänge mit den dazugehörigen Studienfächern (Haupt- und Nebenfächer und gegebenenfalls Module), die Matrikelnummer, das Datum der Immatrikulation und der Exmatrikulation, Zeiten der Beurlaubung vom Studium und des Teilzeitstudiums, Praxissemester oder sonstige Studienunterbrechungen, Beitragsbefreiungen und das ermittelte Studienguthaben nach § 2 des Hessischen Studienguthabengesetzes vom 18. Dezember 2003 (GVBl. I S. 513, 516), zuletzt geändert durch Gesetz vom 18. Juni 2006 (GVBl. I S. 764 ), außer Kraft getreten mit Ablauf des 31. Dezember 2008, die Art der Prüfung, die Zulassungsvoraussetzungen zur Prüfung sowie das Datum und das Ergebnis der Prüfung 60 Jahre automatisiert verarbeiten.

Alle sonstigen personenbezogenen Daten in automatisierten Dateien werden innerhalb eines Jahres nach der Exmatrikulation oder der Beendigung der Zulassung als Gasthörerin oder -hörer gelöscht.

Die Daten von Personen, die nicht immatrikuliert werden, sind für ein Sommersemester spätestens bis zum 30. September des Folgejahres, für ein Wintersemester spätestens bis zum 31. März des Folgejahres, zu löschen.

Die Technische Universität Darmstadt erstellt zudem ein Wählerverzeichnis für die Hochschulwahlen.

Ansonsten werden wir Ihre Daten nur dann erheben und weiter verarbeiten, wenn Sie dazu Ihre Einwilligung erteilt haben.

1.2. Welche Daten werden von Doktorandinnen und Doktoranden verarbeitet?

Die Hochschulen erheben von Personen, die als Doktorandinnen oder Doktoranden angenommen worden sind, die in § 2 Abs. 2 Nr. 1 bis 7 und 10 bis 12 HImmaVO genannten Daten:

  1. Familienname, frühere Namen,
  2. Vornamen,
  3. Geburtsdatum,
  4. Ort und Land der Geburt,
  5. Geschlecht,
  6. Anschrift,
  7. Elektronische Anschrift (E-Mail-Adresse),
  8. Fachbereich, in dem das Wahlrecht ausgeübt werden soll,
  9. Name, Anschrift und Art der bisher besuchten sowie der gleichzeitig besuchten weiteren staatlichen oder staatlich anerkannten Hochschulen und Berufsakademien im In- und Ausland,
  10. die an ihnen verbrachten Studien- oder Ausbildungszeiten mit Jahr und Semester einschließlich der Urlaubssemester und der jeweils gewählten Studien- oder Ausbildungsgänge bei Hochschulen im Ausland, auch den Staat.
  11. Ergebnisse der bisher abgelegten Vor-, Zwischen-, Abschluss- oder Modulprüfungen sowie der studienbegleitenden Leistungskontrollen sowie Angaben und Nachweise über:
    • die Art der Promotion,
    • das Promotionsfach,
    • die Art der Registrierung als Promovierende,
    • den Monat und das Jahr des Promotionsbeginns und der Promotionsbeendigung,
    • die Teilnahme an einem strukturierten Promotionsprogramm,
    • ein an der Hochschule bestehendes Beschäftigungsverhältnis,
    • die Art der Dissertation.
2.1. Statistik

Die Technische Universität Darmstadt beteiligt sich aufgrund gesetzlicher Verpflichtungen an der Durchführung von Bundes- und Landesstatistiken (Regelungen im Hochschulstatistikgesetz, im Bundesstatistikgesetz und im Hess. Landesstatistikgesetz).

Ihre Angaben zur Hochschulstatistik werden anonymisiert an das Statistische Landesamt in Wiesbaden weitergegeben.

Im Rahmen des Dialogorientierten Studienplatzvergabeverfahrens werden Bewerberdaten mit der Stiftung für Hochschulzulassung abgeglichen.

2.2. Studierendenwerk

Die Technische Universität Darmstadt übermittelt personenbezogene Daten der Bewerber_innen und Studierenden an die Studierendenschaft und an das Studierendenwerk, soweit diese die Daten zur rechtmäßigen Erfüllung ihrer Aufgaben benötigen. Dies betrifft insbesondere die Mitteilung der Exmatrikulation von Studierenden an das Studierendenwerk.

2.3. Übermittlung von Daten an die Bibliothek

Die Technische Universität Darmstadt kann zur Abwicklung des Leihverkehrs folgende personenbezogenen Daten der Studierenden an die Universitäts- und Landesbibliothek elektronisch übermitteln:

  1. Familienname,
  2. Vornamen,
  3. Geschlecht,
  4. Geburtsdatum oder Matrikelnummer,
  5. Anschrift.
2.4. Übermittlung von Daten an das für das Hochschulwesen zuständige Ministerium

Die Technische Universität Darmstadt übermittelt personenbezogene Daten der in § 55 Abs. 4 des Hessischen Hochschulgesetzes genannten Personen (Bewerberinnen und Bewerber, Studierenden, Gasthörerinnen und -hörer, Doktorandinnen und Doktoranden und Prüfungskandidatinnen und -kandidaten) an das für das Hochschulwesen zuständige Ministerium, soweit dieses die Daten zur rechtmäßigen Erfüllung seiner Aufgaben benötigt. Eine elektronische Datenübertragung ist zulässig.

2.5. Übermittlung von Daten an die zuständige Krankenkasse

Die Technische Universität Darmstadt übermittelt der zuständigen Krankenkasse personenbezogene Daten der versicherten Studierenden nach § 4 der Studentenkrankenversicherungs-Meldeverordnung. Eine elektronische Datenübertragung ist zulässig.

2.6. Übermittlung im Bewerbungsverfahren DOSV

Bewerberdaten werden an die Stiftung für Hochschulzulassung im sogenannten Dialogorientierten Serviceverfahren mit hochschulstart.de weiter gegeben.

Dies gilt zurzeit für die Bewerbungsverfahren Bachelor Psychologie und Bachelor Biologie.

Es handelt sich um folgende Daten:

Eine Reihe von Daten wird – mit unterschiedlichen Zeiträumen – länger gespeichert.

Diese Speicherung dient dazu, auch noch nach Ihrem Ausscheiden aus der Technischen Universität Darmstadt Auskünfte über Ihre Studienzeiten und Ihre Prüfungsdaten geben zu können, z.B. wenn Ihre Unterlagen nicht mehr vollständig oder verloren gegangen sind.

Alle sonstigen personenbezogenen Daten in automatisierten Dateien werden innerhalb eines Jahres nach der Exmatrikulation oder der Beendigung der Zulassung als Gasthörer_in gelöscht.

60 Jahre gespeichert werden:

  • Familien-, Geburts- und Vornamen, Geburtsdatum, Geburtsort,
  • Geschlecht, den Studiengang oder die Studiengänge mit den dazugehörigen Studienfächern (Haupt- und Nebenfächer und gegebenenfalls Module), Matrikelnummer, Datum der Immatrikulation und der Exmatrikulation, Zeiten der Beurlaubung vom Studium und des Teilzeitstudiums, Praxissemester oder sonstige Studienunterbrechungen, Art der Prüfung, Zulassungsvoraussetzungen zur Prüfung sowie das Datum und das Ergebnis der Prüfung.

Die Daten von Personen, die sich beworben haben (Daten der Bewerber_innen), aber dann nicht immatrikuliert werden, werden für ein Sommersemester spätestens bis zum 30. September des Folgejahres, für ein Wintersemester spätestens bis zum 31. März des Folgejahres gelöscht.

4.1. Auskunftsrecht

Sie haben das Recht, Auskünfte über die zu Ihrer Person gespeicherten Daten zu erhalten (Studierendenservice, Karolinenplatz 5, 64289 Darmstadt).

Die meisten der von der Technischen Universität Darmstadt gespeicherten Daten können Sie selbst einsehen:

Persönliche Daten der Studierenden

  • Im Webportal von TUCaN unter dem Menüpunkt Service -> Persönliche Daten
  • Im Studiendatenblatt, das dem Studierenden zu Beginn jeden Semesters zugesandt zusammen mit dem Studierendenausweis wird

Daten der Bewerbung zum Studium (bis zum Ende des Folgejahres, dann wird der Datensatz gelöscht)

  • Im Webportal von TUCaN unter dem Menüpunkt Bewerbung

Daten des aktuellen und ggf. bisherigen Studiums

  • Im Studiendatenblatt, das dem Studierenden zu Beginn jeden Semesters zugesandt wird

Daten des Studienverlaufs

  • Im Studiendatenblatt, das dem Studierenden zu Beginn jeden Semesters zugesandt wird

Anmeldedaten zu Modulen, Lehrveranstaltungen und Prüfungen

  • Im Webportal von TUCaN unter dem Menüpunkt Veranstaltungen bzw. Prüfungen; hier meldet sich der Studierende an bzw. ggf. wieder ab und kann einsehen, wo er aktuell angemeldet ist.

Leistungsdaten des Studierenden

  • In Leistungsübersichten, die durch den Studierenden selbst im Webportal von TUCaN unter dem Menüpunkt Prüfungen -> Leistungsspiegel angezeigt und ausgedruckt werden können
  • In den Semesterergebnissen, die durch den Studierenden selbst im Webportal von TUCaN unter dem Menüpunkt Prüfungen -> Semesterergebnisse angezeigt werden können
4.2. Löschungsrecht

Ein Löschungsrecht besteht nur, insoweit wir Ihre Daten aufgrund Ihrer Einwilligung verarbeiten und Sie diese Einwilligung widerrufen (zurückziehen). Soweit wir die Daten aufgrund einer rechtlichen Verpflichtung verarbeiten oder weiter speichern, müssen wir dies beachten und Sie haben kein Löschungsrecht.

4.3. Berichtigung

Im Campus Management System „TUCaN“ können Sie Ihre Anschrift selbst ändern. Für Änderungen wie Name oder Staatsangehörigkeit nutzen Sie bitte das Änderungsformular.

4.4. Widerspruchsrecht

Die Erfassung der Daten zur Bewerbung und nach der Einschreibung für die Organisation Ihres Studiums ist zwingend erforderlich und rechtlich vorgeschrieben. Rechtsgrundlage ist Art. 5 Abs. 1 Buchstabe e der DSGVO (Aufgabe im öffentlichen Interesse), § 55 Abs. 4 HHG und die Hess. Immatrikulationsverordnung. Sie haben deshalb keine Widerspruchsmöglichkeit nach Art. 21 DSGVO.

4.5. Recht auf Datenübertragbarkeit

Die Technische Universität Darmstadt verarbeitet Ihre Daten aufgrund einer besonderen rechtlichen Grundlage (-> 3.2). Das Recht, Ihre Daten auf Dritte zu übertragen, steht Ihnen nur insoweit zu, wie wir Ihre Daten ausnahmsweise nur aufgrund einer Einwilligung durch Sie verarbeiten.

4.6. Beschwerderecht beim HDSB

Jedem Bürger steht ein Recht zur Beschwerde bei der Aufsichtsbehörde in Hessen zu.

Der Hessische Datenschutzbeauftragte
Postfach 3163
65021 Wiesbaden

Kontaktformular des Hessischen Datenschutzbeauftragten
Telefon: +49 611 1408 – 0
Telefax: +49 611 1408 – 611

Die neue Datenschutzgrundverordnung DSGVO betrifft auch die TU als öffentlich-rechtliche Körperschaft.

Auch das neue Hessische Datenschutzgesetz (Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG)) ist inzwischen in Kraft, so dass die TU an die Umsetzung der Verordnung gehen kann.

An der TU Darmstadt bestehen für unsere wesentlichen Datenspeicherungs-Systeme (SAP; TUCaN) jeweils eine Rechtsgrundlage für den Betrieb. Es liegen Verfahrensverzeichnisse und Vorabkontrollen nach altem Recht vor.

Soweit Änderungsbedarf besteht, sind die Datenschutzbeauftragte dabei, konkrete Schritte auszuarbeiten.

Nutzbare Erst-Informationen für einen Überblick finden sich unter

https://www.zendas.de/themen/datenschutz-grundverordnung/teil2_ueberblick_aenderungen.html

Sukzessive werden hier weitere Informationen bereitgestellt

HDSG alt DSGVO
Verbot mit Erlaubnisvorbehalt:
Die Verarbeitung der Daten ist zulässig, wenn der/die Betroffene zugestimmt hat oder eine Rechtsvorschrift dies gestattet.
Verbot mit Erlaubnisvorbehalt
Voraussetzungen der Einwilligung (Art. 7) präziser gefasst: Verständlich; Aufklärung über Verwendungszweck der Daten, Hinweis auf Widerrufsmöglichkeit, Freiwilligkeit
Zweckbindung Art. 5 Abs. 1 b
Erforderlichkeitsprinzip Datensparsamkeit
Technisch-organisatorische Maßnahmen Sicherheit der Verarbeitung Art. 32

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 EU-DSGVO)
– „privacy by design“
– „privacy by default“
Verfahrensverzeichnis öffentlich Verzeichnis der Verarbeitungstätigkeiten (intern)
Vorabkontrolle nur noch bei besonderem Risiko; Datenschutz-Folgeabschätzung

Rechenschafts- und Nachweispflicht Art. 5 Abs. 2

Dokumentationspflichten Art. 33 Abs.5

Meldepflichten bei Pannen Art. 33 Art. 34
Anrufung HDSB Beschwerde bei Aufsichtsbehörde
Das Speichern der Daten ist mitzuteilen.
Den Betroffenen muss Auskunft über ihre gespeicherten Daten erteilt werden.
Informations- und Auskunftspflichten (Art. 13, Art. 14, Art. 15)
Recht auf Kopie der Daten

Aber: Gilt nicht für Daten, die nur noch aufgrund von Aufbewahrungspflichten oder für DV-Sicherheit usw. gespeichert § 33 I HDSiG
Den Betroffenen muss mit geteilt werden, an wen ihre Daten regelmäßig weitergegeben werden. Art. 14 Information
Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
Unrichtige Daten sind zu berichtigen. Berichtigungsanspruch Art. 16
Bestrittene Daten sind zu sperren. Überflüssige Daten oder unzulässige Daten sind zu löschen. Löschung Recht auf „Vergessen werden“ Art. 17
Widerspruchsrecht Art. 21
Die Daten sind vor Missbrauch zu schützen. Datensicherheit
Unternehmen müssen ein angemessenes Schutzniveau in Bezug auf die Sicherheit der Verarbeitung gewährleisten und die dafür implementierten Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen (Art. 24 und 32 DSGVO).

Recht auf Datenübertragbarkeit nach Art. 20 DSGVO

Aus datenschutzrechtlicher Sicht ist der Einsatz der Software “doodle” zur Online-Terminvereinbarung an der TU Darmstadt nicht zu empfehlen. Stattdessen sollte der datenschutzrechtlich unbedenkliche DFN-Terminplaner des Deutschen Forschungsnetzes (DFN) genutzt werden.

Hintergrund ist die kommerzielle Ausrichtung sowie die datenschutzrechtlich bedenkliche Einbindung der Software Google Analytics zur Zugriffsstatistikaufzeichnung bei “doodle”. Die vom DFN für Forschungszwecke adaptierte Software ist in den Funktionalitäten mit “doodle” vergleichbar, hat jedoch weder eine kommerzielle Ausrichtung noch Fremdprogramme eingebunden. Zusätzlich ist bereits beim Anlegen eines Terminplanes die Angabe eines Löschdatums erforderlich und es erfolgt eine über https verschlüsselte Übertragung der Daten.

Detaillierte Informationen können Sie der datenschutzrechlichen Bewertung von ZENDAS entnehmen. Die darin auf Basis des baden-württembergischen Landesdatenschutzgesetzes getroffenen Aussagen gelten für den Bereich des Hessischen Datenschutzgesetzes entsprechend (§ 17 Abs. 2 i.V.m. §§ 16 Abs. 1, 11 Abs. 1, 14 HDSG). Durch die Funktionalitäten des DFN-Terminplaners werden die gesetzlichen Vorgaben, insbesondere aus §§ 19 Abs. 3, 11 Abs. 1 HDSG, erfüllt.