Datenschutz
Erhebung, Verarbeitung und Nutzung von personenbezogenen und nicht-personenbezogenen Daten
Die RWTH Aachen legt großen Wert auf den Schutz persönlicher Daten. Das Datenschutzgesetz des Landes Nordrhein-Westfalen (DSG NRW) und die sich daraus ergebenden Rechte der Betroffenen werden in vollem Umfang berücksichtigt und gewährleistet.
Ein Verfahrensverzeichnis wurde erstellt. Sie können dies auf Wunsch beim Datenschutzbeauftragten der RWTH Aachen einsehen.
Alle Daten, die für die RWTH BlueCard erhoben werden, werden einzig für die Erstellung und Verwaltung der RWTH BlueCard genutzt. Sie werden nur dann weitergegeben, wenn dies zur Aufgabenerfüllung unbedingt nötig ist, zum Beispiel an die Bibliothek oder das Studierendenwerk. Eine Nutzung der Daten für einen anderen Zweck, als der, für den sie erhoben worden sind, ist ausgeschlossen.
Die rechtliche Grundlage für die Ausgabe des Studierendenausweises als multifunktionale Chipkarte und für die Erhebung der dafür notwendigen Daten ergibt sich aus § 48 Absatz 1 des Hochschulgesetzes NRW und der jeweils aktuell gültigen Einschreibungsordnung.
Die BlueCard – Optisch und elektronisch lesbare Angaben
Auf der BlueCard sind folgende personenbezogenen Angaben optisch lesbar aufgedruckt:
- Vorname
- Nachname
- Matrikelnummer
- Foto
- Gültigkeitszeitraum
- RWTH-ID
- RWTH-Kartennummer
Das Foto auf der RWTH BlueCard wird für den Abgleich zwischen der Ausweisinhaberin oder dem Ausweisinhaber und der Chipkarte benötigt. Bei der Ausgabe der RWTH BlueCard werden die Daten auf dieser mit den persönlichen Daten auf einem amtlichen Lichtbildausweis abgeglichen. Dadurch kann die RWTH BlueCard den amtlichen Lichtbildausweis im Hochschulbereich (zum Beispiel bei Klausuren) ersetzen.
Wie auch die übrigen Daten, die auf der RWTH BlueCard gespeichert werden, ist auch das Foto strikt zweckgebunden. Es wird ausschließlich für die Erstellung der BlueCard verwendet.
Auf dem Chip der BlueCard sind zwei Applikationen angelegt worden, die zurzeit genutzt werden. Folgende Daten sind neben der herstellerseitig aufgebrachten Kartenseriennummer in diesen beiden Applikationen gespeichert:
| Folgende Daten sind neben der Kartenseriennummer in diesen beiden Applikationen gespeichert | |
|---|---|
| Bezahlfunktion des Studierendenwerks | RWTH-ID |
| RWTH-Kartennummer | |
| CMS-Kartennummer | |
| Benutzergruppe (Studierende) | |
| Saldo der elektronischen Geldbörse | |
| Gültigkeitszeitraum | |
| Token (werden zum Beispiel für Nachlässe oder Rabattierungen benötigt) | |
| Applikation der RWTH | RWTH-ID |
| RWTH-Kartennummer | |
Über die verschiedenen Applikationen auf der BlueCard wird gewährleistet, dass die einzelnen Einrichtungen (zurzeit RWTH und Studierendenwerk) jeweils nur Zugriff auf ihre eigene Applikation und die darauf befindlichen Daten haben.
Für weitere acht Applikationen wurden Voreinstellungen vorgenommen, sie enthalten jedoch keine Anwendungen. Diese wurden aus Gründen der funktionalen Erweiterungsfähigkeit der BlueCard vorsorglich aufgebracht, beinhalten jedoch keine gespeicherten Daten.
Übermittlung von Daten an das Kartenmanagementsystem (CMS)
Für die Verwaltung der RWTH BlueCard werden folgende Daten vom Identity Management beim IT Center an das Kartenmanagementsystem der RWTH übermittelt:
- Benutzergruppe (Studierende)
- RWTH-ID
- Matrikelnummer
- Geschlecht
- Nachname
- Vorname
- aktiv (eingeschrieben oder zurückgemeldet)
- Kartengültigkeit (Semester)
- Foto
- Foto-Datum
Damit die RWTH-BlueCard-Servicestelle die Studierenden schnell informieren kann, zum Beispiel über den Produktionsstatus ihrer RWTH BlueCard, wird die E-Mail Adresse vom Identity Management im IT Center an das Kartenmanagementsystem übertragen und dort gespeichert.
Nach Produktion einer RWTH BlueCard werden die Kartenseriennummer (UID, nur im Falle einer BlueCard mit Chiptechnologie) und das Produktionsdatum der Karte an das Kartenmanagementsystem übermittelt.
Im Kartenmanagementsystem werden für jede Person zwei kartenspezifische Merkmale generiert: die CMS- und die RWTH-Kartennummer. Da diese an eine Karte gebunden sind, ändern sich diese beiden Nummern bei erneuter Ausgabe einer Karte, zum Beispiel bei Verlust.
Die CMS-Kartennummer ist Bestandteil der Bezahlfunktion und notwendig, um mit dem Bezahlsystem des Studierendenwerks zu kommunizieren.
Die RWTH-Kartennummer ist eine zwölfstellige alphanumerische Zeichenkombination und dient als Ersatz für die auf jeder Chipkarte befindliche unverschlüsselte Kartenseriennummer (UID). Sie wird verschlüsselt auf der Karte abgelegt und für verschiedene Prozesse an der RWTH benötigt (zukünftig für das Finanzclearing des Studierendenwerks mit der Universitätsbibliothek und gegebenenfalls für die Funktion zur Registrierung der Wahlbeteiligung).
Übermittlung von Daten an das Identitymanagementsystem (TIM)
Nach Generierung einer RWTH-Kartennummer wird diese zusammen mit dem Produktionsdatum an das Identitymanagementsystem des IT Center übermittelt.
Die RWTH-Kartennummer wird anschließend vom TIM an die Universitätsbibliothek für die Funktion des Bibliotheksausweises übermittelt.
Übermittlung von Daten an das Studierendenwerk
Für die Bezahlfunktion werden folgende Daten an das Studierendenwerk übermittelt:
- RWTH-ID
- CMS-Kartennummer
- RWTH-Kartennummer
- Benutzergruppe (Studierende)
- Kostenstelle
- Gültigkeitszeitraum
- Kartenstatus (Karte in Benutzung, Karte gesperrt, etc.)
- Kartenproduktionsdatum
Übermittlung von Daten an externen Kartenlieferanten
Für die Massenproduktion von RWTH BlueCards bedient sich die RWTH mittelbar eines externen Kartenlieferanten. Der Kartenlieferant hat sich auf die datenschutzkonforme Verarbeitung (insbesondere Zweckbindung und Löschen nach Beendigung der Tätigkeit) verpflichtet.
Löschfristen
Alle Daten, mit Ausnahme des Fotos, werden für die Dauer der Kartengültigkeit plus 1 Jahr (für den Fall, dass sich Nachbearbeitungsbedarf ergibt) im Kartenmanagementsystem gespeichert.
Fotos, die zur Erstellung der RWTH BlueCard in TIM hochgeladen oder an der Servicestelle erstellt wurden, werden jeweils zum 15.5. (für das Sommersemester) und zum 15.11. (zum Wintersemester) gelöscht, wenn die Produktion und die qualifizierte Ausgabe der RWTH BlueCard erfolgt ist.
Änderung Ihrer Daten
Sie können Ihre gespeicherten personenbezogenen Daten jederzeit aktualisieren, korrigieren oder ergänzen. Adressänderungen können Sie in RWTHonline selbst vornehmen. Bei allen anderen Änderungen wenden Sie sich bitte an das Studierendensekretariat.
Zugriffsberechtigte Personen
Ihre persönlichen Daten können Sie im Identitymanagementsystem einsehen.
Zugriffsberechtigte Personen auf das Kartenmanagementsystem sind die Sachbearbeiterinnen und Sachbearbeiter des Studierendensekretariats, der Servicestelle RWTH BlueCard und der Abteilung 5.3 der Zentralen Hochschulverwaltung (IT-Basisdienste).
Datensicherheit
Wir fühlen uns der Sicherheit Ihrer Daten verpflichtet. Um einen unbefugten Zugang oder eine unbefugte Offenlegung zu verhindern, die Richtigkeit der Daten zu gewährleisten und die berechtigte Nutzung der Daten sicherzustellen, haben wir entsprechende technische und organisatorische Maßnahmen getroffen.
Auskünfte/Anregungen
Auskunft zum Datenschutz gibt der Datenschutzbeauftragte der RWTH Aachen. Auch Anregungen sind unter dieser E-Mail-Adresse willkommen.
Sollten Sie gemäß § 18 DSG NRW Auskunftsbedarf haben, wenden Sie sich bitte im Rahmen der Öffnungszeiten an die Servicestelle BlueCard, die Ihnen einen Ausdruck der von Ihnen gespeicherten Daten im Kartenmanagementsystem erstellt. Für weitere Auskünfte steht Ihnen das Studierendensekretariat zur Verfügung.