Datenschutz

Bei der Bearbeitung von personenbezogenen Daten sind folgende Grundsätze einzuhalten:

• Rechtmässigkeit: Die Bearbeitung braucht eine Rechtsgrundlage oder das Einverständnis der betroffenen Person;
• Zweckgebundenheit: Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich ist oder gesetzlich vorgesehen ist;
• Verhältnismässigkeit: zur Zweckerfüllung dürfen nur so viele Personendaten wie nötig bearbeitet werden – nicht so viele wie möglich;
• Transparenz: die Beschaffung von Personendaten und insbesondere auch der Zweck der Bearbeitung müssen für die betroffenen Personen erkennbar sein;
• Richtigkeit: wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern;
• Sicherheit: Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen Verlust und unbefugtes Bearbeiten geschützt werden.
   

Wenn Sie als Mitarbeiterin oder Mitarbeiter der ETH Zürich im Rahmen Ihrer Aufgabenerfüllung Personendaten bearbeiten, sind Sie für die Einhaltung des Datenschutzes verantwortlich. Die wichtigsten Regularien dazu finden Sie im Compliance Guide unter „Informationssicherheit und Datenschutz“.
In Ihrem Berufsalltag sollten Sie vor allem folgende Regeln beachten:

• bearbeiten Sie nur so viele Personendaten wie zur Aufgabenerfüllung erforderlich sind;
• schützen elektronischen Daten durch ein Passwort, das Sie nach Kriterien der Informatikdienste bestimmt haben; halten Sie Ihr Passwort geheim, geben Sie es nicht weiter;
• halten Sie Daten, Unterlagen und Datenträger (z.B. USB-Sticks, CD, externe Festplatten etc.) unter Verschluss (z.B. Einschliessen in ein Büromöbel);
  
• sperren Sie beim Verlassen Ihres Arbeitsplatzes den Bildschirm oder fahren Sie Ihren Rechner herunter; schliessen Sie die Tür zum Büro ab;
• lassen Sie Ihre Dokumente nicht beim Drucker liegen;
• behandeln Sie die Personendaten vertraulich und achten Sie darauf, dass sie nur an Berechtigte bekanntgegeben werden (bei Unklarheiten bei der vorgesetzten Person nachfragen);
• grundsätzlich sollten Sie keine Personendaten ins Ausland übermitteln, es sei denn die betroffene Person hat zugestimmt.
  
  In Forschungsprojekten, egal ob in nationalen oder internationalen (z.B. EU-Projekten) ist der/die Projektleiter/in (PI) für die Einhaltung des Datenschutzes verantwortlich. Er/sie hat seine/ihre Projektmitarbeitenden entsprechend zu instruieren. Das ergibt sich aus dem „Richtlinien für Integrität in der Forschung und gute wissenschaftliche Praxis an der ETH Zürich“
  
  Es gibt verschiedene Stellen, die Sie betreffend Einhaltung des Datenschutzes beraten können → Hier finden Sie Unterstützung
   

Wenn immer möglich sollten in (Forschungs-)Projekten anonymisierte Daten verwendet werden. Wenn Sie in einem (Forschungs-)Projekt dennoch Personendaten bearbeiten, sollten Sie sich immer die sogenannten „W-Fragen“ stellen bzw. für Ihren Datenmanagementplan beantworten können: Wer bearbeitet welche Daten zu welchem Zweck für wie lange, wo werden sie aufbewahrt sowie wie werden sie geschützt und wann werden sie anonymisiert bzw. vernichtet? Ausführlicheres finden Sie im Factsheet geschützte Seite„Data protection in Research Projects“lock.

 

Die europäische Datenschutzgrundverordnung (DSGVO), die in einzelnen Fällen auch für die ETH Zürich anwendbar ist, schreibt unter den nachfolgend erklärten Umständen vor, eine Datenschutzfolgenabschätzung zu machen, und zwar bevor die Personendatenbearbeitung aufgenommen wird. Diese Pflicht ist dann gegeben, wenn die beabsichtigte Bearbeitung von personenbezogenen Daten ein hohes Risiko für die Interessen der betroffenen Personen, d.h. hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person birgt. Das geltende schweizerische Datenschutzgesetz sieht diese Pflicht nicht vor.

Das Schweizer Bundesgesetz über den Datenschutz (DSG) wird aber zur Zeit revidiert. Der Revisionsentwurf zum schweizerischen DSG schreibt in Risikofällen ebenfalls eine Datenschutzfolgenabschätzung vor. Anlehnend an die Vorgaben der DSGVO haben wir ein geschützte SeiteFactsheet samt Checklistelock erstellt. Damit sollten möglichst sämtliche Fragen im Zusammenhang mit einer Personendatenbearbeitung gestellt sein (damit Sie bei Ihrer Projektüberprüfung keinen Aspekt vergessen) und das Vorgehen zur Durchführung einer solchen Datenschutzfolgenabschätzung erklärt werden.

 

«Data Breaches» oder «Datenschutzpannen- oder -verletzungen» sind Verletzungen der Datensicherheit bei Personendaten (einschliesslich pseudonymisierter Personendaten), die dazu führen, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.

Solche Datenschutzverletzungen müssen dem Datenschutzberater der ETH Zürich gemeldet werden, falls diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen.

geschützte SeiteBenützen Sie für Ihre Meldung dieses Formular.lock Es ist ausschliesslich für Mitarbeitende der ETH Zürich.

Datenschutzberater/ DPO der ETH Zürich ist Tomislav Mitar (). Stellvertretende Datenschutzberaterin/ DPO der ETH Zürich ist Ayse Sezer Cansev ().

Das ausgefüllte Formular übermitteln Sie uns bitte möglichst innerhalb von 72 Stunden nach Entdeckung der Datenschutzverletzung. Senden Sie das Formular dazu an folgende drei Adressen: und direkt an uns: sowie .

Bitte kontaktieren Sie den EDÖB nicht selbst. Der EDÖB ist eine Aufsichtsbehörde. Der Kontakt zu ihm muss über den Rechtsdienst bzw. Datenschutzberater laufen.

Ihre Meldung muss nicht in jedem Detail vollständig und endgültig sein. Wichtiger ist, dass die grossen Zusammenhänge schnell gemeldet werden, um einen ersten Überblick über den Vorfall zu gewinnen.

Wenn Sie als Verantwortlicher im Zusammenhang mit einem Vorfall nicht sicher sind, wie hoch das Risiko für die betroffenen Personen tatsächlich ist, oder wenn Sie zum Zeitpunkt der Meldung noch keine endgültige Risikobewertung vornehmen konnten, melden Sie uns Ihre vorläufigen Erkenntnisse nach aktuellem Stand. Sobald Ihnen mehr Informationen vorliegen, können Sie eine ergänzende Meldung übermitteln.

Wo die ETH Zürich Personendaten bearbeitet, tut sie dies in erster Linie gemäss der schweizerischen Datenschutzgesetzgebung. Soweit anwendbar richtet sie sich nach der EU-Datenschutzgrundverordnung (DSGVO; Verordnung [EU] 2016/679 vom 27. April 2016).

Die ETH Zürich als nicht im EU-Raum ansässige Hochschule kann unter den Anwendungsbereich der EU-DSGVO fallen, wenn sie personenbezogene Daten in der EU ansässiger Personen bearbeitet, z.B. indem sie solchen Personen ihre Bildungsdienstleistungen anbietet oder wenn von ihren Forschenden im Rahmen wissenschaftlicher Projekte das «Verhalten betroffener Personen in der EU beobachtet» wird (Umfragen, Datenerhebungen etc.). So sprechen beispielsweise ihre Masterangebote und Weiterbildungsangebote (School for Continuing Education) auch EU-ansässige Personen an. In Projekten aller Art kann ein Bezug zur EU-Datenschutzgesetzgebung gegeben sein, wenn beispielsweise Auftragsdatenbearbeiter in der EU eingesetzt werden, die sich selbst an der EU Gesetzgebung orientieren müssen.

Die Pflicht zur Benennung eines Vertreters in der EU gilt nicht für Behörden oder öffentliche Stellen. Die ETH Zürich ist eine autonome öffentlich-rechtliche Anstalt des Bundes mit eigener Rechtspersönlichkeit (Artikel 5 ETH-Gesetz; SR 414.110). Als dezentralisierte Verwaltungseinheit gehört sie zur Bundesverwaltung, steht unter der Aufsicht des Bundes und untersteht dem schweizerischen Recht (Art. 2 Abs. 3 Regierungs- und Verwaltungsorganisationsgesetz, RVOG; SR 172.010).

Als solche ist die ETH Zürich nicht verpflichtet, einen Vertreter in der EU für Datenschutzfragen zu benennen. Ansprechstelle für die Belange des Datenschutzes an der ETH Zürich sind mithin die handelnde Stelle der ETH Zürich, oder - in zweiter Linie - der Datenschutzberater der ETH Zürich in der Schweiz (Tomislav Mitar, DPO; ).

Diese Stellen können Sie beim Thema Datenschutz unterstützen:

• Rechtsdienst: Mit generellen Fragen rund um das Thema Datenschutz können Sie an den Rechtsdienst, insbesondere an Tomislav Mitar gelangen. 
• Informatikdienste: Bei Fragen, die insbesondere die Datenspeicherung, -sicherheit und –archivierung betreffen, wenden Sie sich bitte an die Abteilung Informatikdienste (insbesondere an die Systemdienste oder Services for Departments). 
• Bibliothek: Im Zusammenhang mit Fragen zum Datenmanagement, insbesondere auch bei Fragen zur Erstellung von Data Management Plans sowie zur Archivierung bietet die ETH-Bibliothek Unterstützung, und zwar die Fachstelle Digitaler Datenerhalt.
• Ethikkommission der ETH Zürich: Forschungsvorhaben, in denen nicht Personendaten für nicht personenbezogene Zweck bearbeitet werden und nicht die Kantonale Ethikkommission zuständig, werden von der Ethikkommission der ETH Zürich beurteilt. Bei Fragen dazu kontaktieren Sie bitte das Sekretariat der Ethikkommission.
• Chief Information Security Officer (CISO): Bei Fragen zum Thema Informationssicherheit wenden Sie sich an Domenico Salvati. Zudem verfügt jedes Departement und jede Abteilung über eine/n Information Security Officer (ISO), die/der ebenfalls Anlaufstelle für Fragen zur Informationssicherheit ist.