Datenschutzhinweise zur Weitergabe von personenbezogenen Daten für prüfungsverwaltende Stellen
Prüfungsverwaltende Stellen arbeiten täglich mit personenbezogenen Daten von Studierenden und Prüfenden. In diesen Bereichen ist es deshalb besonders wichtig, auf den Datenschutz zu achten. Gerade die Weitergabe von personenbezogenen Daten an interne und externe Empfänger wirft immer wieder die Frage auf, ob Daten weitergegeben werden dürfen. Im Folgenden sollen die wichtigsten Fragen geklärt werden.
Prinzipien des Datenschutzes
Zwei allgemeine Prinzipien des Datenschutzes seien hier als Basis voraus gestellt:
Datenvermeidung und Datensparsamkeit
Bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten sollte man immer berücksichtigen, welche Daten tatsächlich benötigt werden. Wird ein Datum nicht gebraucht, sollte es auch nicht erhoben oder weitergegeben werden. Überprüfen Sie gegebenenfalls, ob eine anonymisierte Weitergabe der Daten für die Zwecke der Empfängerin oder des Empfängers ausreichend ist.
Transparenz
Die Betroffenen sollen wissen, dass und welche ihrer personenbezogenen Daten erhoben, verarbeitet oder genutzt werden. Im Normalfall müssen die Daten deshalb direkt bei den Betroffenen mit deren Kenntnis erhoben werden. Überprüfen Sie gegebenenfalls, ob die Empfängerin oder der Empfänger die Daten direkt bei den Studierenden erheben kann (z.B. durch Anfordern eines Leistungsnachweises). Kann die Empfängerin oder der Empfänger nicht selbst erheben, ist u.U. das Einverständnis der Studierenden für die Weitergabe einzuholen.
Sicherheit bei der Weitergabe
Daten möglichst im System belassen
Zunächst sollte immer überprüft werden, ob die Daten das System (zumeist TUMonline) verlassen müssen. Können die Prozesse so gestaltet werden, dass die Daten innerhalb des Systems bleiben ohne dabei weitreichende Berechtigungen einräumen zu müssen, kann dies eine gute Alternative sein. Sollen beispielsweise Prüflinge via Mail kontaktiert werden, kann diese entweder durch Export der Adressen und Anschreiben mit dem lokal installierten E-Mailprogramm oder direkt in TUMonline erfolgen. Die zweite Alternative ist aus der Sicht des Datenschutzes vorzuziehen. Werden z.B. für Gutachtenschreiben vereinzelt Leistungsnachweise benötigt, so kann der entsprechenden Person entweder der Zugriff auf die Leistungsnachweise aller Studierenden der Fakultät in TUMonline gegeben werden oder der Leistungsnachweis wird von den Studierenden der Gutachterin oder dem Gutachter direkt übermittelt. Auch hier bevorzugt der Datenschützer die zweite Alternative.
Ist eine Weitergabe von Daten notwendig, so ist dabei darauf zu achten, dass die Übertragung auf einem sicheren Weg stattfindet sollte. Bitte prüfen Sie immer, ob die Daten anonymisiert oder zumindest pseudonymisiert weiter gegeben werden können.
Weitergabe per Mail (verschlüsselt, per Passwort gesichert, pseudonymisiert)
Sollen die Daten via Mail verschickt werden, so sollte sichergestellt sein, dass die Mail verschlüsselt[1] geschickt wird. Ist eine Verschlüsselung nicht möglich, kann auf mit Passwort gesicherte ZIP-Dateien zurückgegriffen werden. Das Passwort sollte dabei nicht zu einfach sein und auf einem anderen Kommunikationskanal (z.B. via Telefon) übermittelt werden.
Beim Austausch von Daten zu einzelnen Studierenden kann auf das Pseudonymisieren zurückgegriffen werden. Übermitteln Sie dabei nur die Matrikelnummer als Pseudonym und verzichten Sie auf Name oder Geburtsdatum.
Gemeinsame Dateiablage
Wird eine gemeinsame Dateiablage verwendet, so soll diese nur den berechtigten Empfängern und den berechtigten Absendern zugänglich sein. Die Daten sollten nach der Abholung schnellstmöglich entfernt werden und nicht in ein Backup einfließen. Keinesfalls dürfen Dienste verwendet werden, die die Daten auf Fremdservern ablegen.
Weitergabe von Prüfungsergebnissen
Immer wieder werden prüfungsverwaltende Stellen nach Prüfungsergebnissen von Studierenden gefragt. Zur Beantwortung der Frage, ob Prüfungsergebnisse weiter gegeben werden dürfen, kann zunächst die Frage gestellt werden, ob die oder der Anfragende im Rahmen der eigenen Tätigkeit die gesetzliche Erlaubnis oder Verpflichtung hat, die Ergebnisse zu erhalten. Ist diese Voraussetzung vorhanden, so können die Ergebnisse in der entsprechenden Form weiter gegeben werden.
Nicht berechtigt ist beispielsweise die Anfrage von Dozentinnen oder Dozenten nach Leistungsübersichten von Studierenden – auch nicht, falls diese eine Arbeit oder ein Praktikum am Lehrstuhl beginnen wollen. Die Leistungsübersicht muss direkt bei den Studierenden angefordert werden. Diese könnten allerdings zur Beschleunigung des Vorgangs die prüfungsverwaltende Stelle bitten, die Leistungsübersicht direkt weiter zu leiten.
Die folgende Auflistung zeigt die häufigsten Anfragen, deren datenschutzrechtliche Bewertung und Hinweise:
- Prüferin/Prüfer … erhält auf Anfrage nur Ergebnisse/Listen/… zu den eigenenverantworteten Prüfungen.
- Prüferinnen und Prüfer können in TUMonline die Prüfungsergebnisse von Studierenden zu allen eigenverantworteten Prüfungen einsehen. Zu finden ist diese Ansicht über die „Studierendenkartei“, Menüpunkt „Prüfungsergebnisse“
- Studiendekanin/Studiendekan … erhält für ihre bzw. seine Aufgaben anonymisierte Ergebnisse und Statistiken, diese sind z.B. in TUMonline über den Menüpunkt „Auswertungen/ Statistiken“ erstellbar sind.
- Prüfungsausschuss …erhält keine direkten Einsichtsrechte in TUMonline, die Schriftführung stellt die entsprechenden Daten bereit.
Prüfungsergebnisse werden im Rahmen von Einzelfallentscheidungen, Anträgen an den Prüfungsausschuss und zur Qualitätskontrolle (nur als anonymisierte Statistiken) weitergegeben. - TUM-interne Stellen (z.B. Fachstudienberatung, International Office, Stipendiengeber, BAFöG-Beauftragte) … erhalten keine Auskunft zu Prüfungsergebnissen oder anderen Daten ohne explizites Einverständnis des Studierenden.
- Studierende … erhalten ohne Vollmacht keine Auskunft zu Prüfungsergebnissen anderer Studierender.
- extern Anfragende (auch: externe Stipendiengeber und Eltern) … erhalten keine Auskunft zu Prüfungsergebnissen oder über Ranking-Plätze ohne schriftliches Einverständnis des Studierenden.
Weitergabe von Adressen/Mailadressen
Ebenfalls häufig werden die Adressen oder Mailadressen von Bewerberinnen und Bewerbern, Studierenden oder Alumni angefragt. Prinzipiell gilt hier: Adressen bzw. Mailadressen dürfen ohne Einverständnis der Studierenden nicht an extern Anfragende weitergegeben werden.
Sollen für interne Anfragen zentral verwaltete Daten aus TUMonline zur Kontaktierung verwendet werden, so muss der Zweck des Anschreibens einer Aufgabe der Hochschule entsprechen. Diese sind definiert in Art 2 BayHIG (externer Link).
Werden dezentrale Datenbestände verwendet, so muss der in der jeweiligen Verfahrensbeschreibung angegebene Zweck eingehalten werden.
Eine Zweckentfremdung der erhobenen Daten ist nur sehr eingeschränkt erlaubt, z.B. wenn ein Einverständnis der Betroffenen vorliegt.
Mögliche Anfragen, die durch die Anfragenden selbst oder die prüfungsverwaltende Stelle der Fakultät in TUMonline durchgeführt werden können:
- Kontaktieren von Lehrveranstaltungsteilnehmerinnen und -teilnehmer
Die Dozenten bzw. der Dozent einer Lehrveranstaltung kann die in TUMonline angemeldete Teilnehmerinnen und Teilnehmer direkt kontaktieren. - Kontaktieren von Prüfungsteilnehmerinnen und -teilnehmer
Die Prüferin bzw. der Prüfer kann die in TUMonline angemeldeten Teilnehmerinnen und Teilnehmer direkt kontaktieren. - Kontaktieren von Studierenden des Studiengang X (im Y. Fachsemester)
Die prüfungsverwaltende Stelle der Fakultät kann diese über die Studierendenmassenabfrage filtern und via Mail oder Brief anschreiben. - Kontaktieren von Bewerberinnen und Bewerber der Fakultät X (für den Studiengang Y) (zum Semester Z)
Die bewerbungsverwaltende Stelle der Fakultät kann Bewerberinnen und Bewerber via Mail über TUMonline anschreiben. - Kontaktierten von einzelnen Studierenden
Einzelne Studierende der eigenen Fakultät können von der prüfungsverwaltenden Stelle über die Studierendenkartei angeschrieben werden.
Bei der Kontaktierung via Massenmail ist folgendes zu beachten:
- Adressaten sind im BCC-Feld einzutragen.
- Es ist empfehlenswert abstrakt anzugeben, wer die Mail erhält (z.B. alle Studierenden des Studiengangs X).
- Ein eindeutiger Absender für Rückfragen ist unbedingt erforderlich
[1]Jede Mitarbeiterin und jeder Mitarbeiter der TUM erhält auf Antrag ein Zertifikat. Mit diesem Zertifikat können Mails verschlüsselt versandt werden. Mehr Infos zu Zertifikaten