Datenschutzerklärung

Elektronische Prüfungsunterstützung und Support (EPIS)

In dieser Datenschutzerklärung finden Sie Informationen dazu, welche Daten die UZH bei Online-Prüfungen erhebt, weiterbearbeitet und bekannt gibt, und welche Massnahmen getroffen worden sind, um für die Sicherheit dieser Daten zu sorgen.

1. Gegenstand des Datenschutzes

Personendaten sind nach § 3 Gesetz über die Information und den Datenschutz des Kantons Zürich (IDG/ZH) alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Hierunter fallen z.B. Angaben wie Name, Anschrift, Telefonnummer, Matrikelnummer, E-Mail- oder IP-Adresse. Die Grundlagen der Datenbearbeitung durch die UZH sind in § 7a, 7b und 7c des Universitätsgesetzes (UniG) geregelt.

2. Datenerhebung, -bearbeitung, -speicherung

Bei jedem Aufruf einer Webseite werden folgende technische Zugriffsdaten erhoben und in einer Webserver-Logdatei auf Servern der UZH gespeichert:

  • die IP-Adresse und Port des anfordernden Rechners (z. B. 130.60.133.70)
  • die Seite/Adresse (URL), von der aus die Webseite der UZH angefordert wurde
  • der Pfad und der Name der angeforderten Webseite der UZH
  • das Datum und die Uhrzeit der Anforderung (z. B. [12/Apr/2016:00:00:01 +0200])
  • die übertragene Datenmenge
  • der Zugriffsstatus
  • die Zugriffsart
  • die Beschreibung des verwendeten Webbrowsertyps bzw. des verwendeten Betriebssystems
  • die Session-ID

Ein Eintrag im Olat-Log könnte beispielsweise wie folgt aussehen:

2020-12-10 14:46:46,412 [ajp-nio2-127.0.0.1-8888-exec-10] INFO UserSessionManager - OLAT::AUDIT ^%^ N1-A8 ^%^ org.olat.core.util.session ^%^ amuster ^%^ 130.60.133.70 ^%^ https://aai-idp.uzh.ch/ ^%^ Mozilla/5.0 (Macintosh; Intel Mac OS X 11_0_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 ^%^ n/a ^%^ Logged on: login: [amuster] first: [Anna] last: [Muster] fromIP: [130.60.133.70] fromFQN: [vpn-uzh-130.60.133.70.ch] authProvider: [Shib] webdav: [false] REST: [false] secure: [true] webMode: [null] duration: [7]s releaseAllLocksFor: 652905 END (0 locks deleted)

Ein Eintrag im Apache-Log könnte wie folgt aussehen:

130.60.133.70:5224 - - [10/Dec/2020:14:46:38 +0100] "GET /dmz/ HTTP/1.1" 200 7659 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 11_0_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36"

Zudem wird auf Prüfungsseiten auch das Prüfungsverhalten protokolliert. Abhängig von der konkreten Prüfungsgestaltung werden in der Regel folgende Informationen gespeichert:

  • Antwort, die angeklickt oder eingegeben wurde
  • Zeitpunkt, an dem die Antwort / Sektion gespeichert wurde
  • Anzahl Eingaben (Wiederholungen) pro Frage
  • Dauer der Bearbeitung einer Frage / Sektion
  • Zeitpunkt, an dem die Prüfung beendet wurde
  • Zeitpunkt, an dem eine Datei hochgeladen, ersetzt oder gelöscht wurde

Die Bearbeitung dieser Daten erfolgt zu folgenden Zwecken:

  • Durchführung der Prüfung
  • Verhinderung von unlauterem Prüfungsverhalten
  • Identifikation und Nachverfolgung unzulässiger Zugriffsversuche
  • Sicherstellung der Netzinfrastruktur und der technischen Administration
  • Optimierung des Web-Angebots

Die Logdateien werden ab Beendigung des Zugriffs aus Rekursgründen für einen Zeitraum von 5 Jahren gespeichert. Danach werden die Webserver-Logdateien automatisch gelöscht, soweit nicht ein erkannter Angriff auf unsere Netzinfrastruktur zu einer zivil- oder strafrechtlichen Verfolgung des Angreifers führt und damit eine weitere Speicherung erforderlich macht.

3. Bekanntgabe von Personendaten

Personendaten werden ausschliesslich dann an Dritte (z.B. an andere Behörden) bekannt gegeben, soweit dies im Rahmen zwingender Rechtsvorschriften (z.B. behördlichen Aufforderungen, Gerichtsbeschlüssen) oder zum Zweck der Rechts- oder Strafverfolgung (z.B. im Fall von Angriffen auf die UZH-Netzinfrastruktur) erforderlich ist.

Dessen ungeachtet kann die UZH im Einklang dem Gesetz über die Information und den Datenschutz externe Dienstleister damit beauftragen, die über UZH-Webseiten erhoben Daten zu den oben genannten Zwecken weiter zu bearbeiten. Die UZH und die beauftragten Drittdienstleister werden mittels rechtlicher, technischer und organisatorischer Massnahmen dazu verpflichtet, die Einhaltung datenschutzrechtlicher Bestimmungen zu gewährleisten.

4. Tracking-Einstellungen

Um die Inhaltsstrukturen und Navigationsmechanismen der Webseiten besser an die Bedürfnisse der Nutzer anpassen zu können, werden die Seitenaufrufe und die angeklickten Elemente innerhalb der Seiten protokolliert und analysiert. Die durch die Cookies erzeugten Nutzungsinformationen einschliesslich ihrer gekürzten IP-Adresse werden nicht an Dritte weitergeleitet, sondern auf Servern der UZH zum Zweck der Nutzungsanalyse und der Webseitenoptimierung gespeichert. Die IP-Adressen werden bei diesem Vorgang umgehend anonymisiert. Daher ist es nicht möglich, die Auswertungsergebnisse einer bestimmten IP-Adresse zuzuordnen oder eine personenbezogene Verhaltensüberwachung durchzuführen.

5. Cookies

Beim Aufruf einzelner UZH-Webseiten können sogenannte Cookies eingesetzt werden. Hierbei handelt es sich um kleine Dateien, die von der UZH-Website, die Sie besuchen, auf Ihrem Rechner zu dem Zweck gespeichert werden, um eine optimale Nutzung der Webseiten zu ermöglichen. Die temporären Cookies werden mit dem Schliessen des Webbrowsers automatisch gelöscht. Sie können den Einsatz solcher Cookies grundsätzlich unterbinden, indem Sie entsprechende Einstellungen in dem von Ihnen verwendeten Webbrowser vornehmen. Wir weisen allerdings darauf hin, dass das Ablehnen, Sperren oder Deaktivieren von Cookies zu Einschränkungen der Funktion abgerufener UZH-Webseiten führen kann.

6. Login mit SWITCHaai

SWITCH ist eine Stiftung des Bunds und verschiedenen Hochschulkantonen. Der Zweck der Stiftung ist es, die nötigen Grundlagen für den wirksamen Gebrauch moderner Methoden der Teleinformatik im Dienste der Lehre und Forschung in der Schweiz zu schaffen, zu fördern, anzubieten, sich an solchen zu beteiligen und sie zu erhalten. Die Stiftung verfolgt weder kommerzielle Zwecke noch ist sie auf die Realisierung eines Gewinnes ausgerichtet.

SWITCHaai ist ein Authentifizierungsverfahren, das von der Stiftung SWITCH bereitgestellt wird und von vielen Hochschulen und Fachhochschulen der Schweiz genutzt wird. Es ermöglicht unter anderem Zugriff auf Services anderer Hochschulen mit einem bereits vorhandenen Hochschulkonto (beispielsweise für Austauschstudenten).

Da zum Login via AAI eine kurzzeitige Verbindung zu SWITCH hergestellt wird, werden Teile der oben aufgelisteten Zugriffsdaten vor dem eigentlichen Loginprozess zur Authentifizierung an SWITCH übergeben. Auf die danach übertragenen technischen Daten als auch auf die Daten zum Prüfungsverhalten hat SWITCH keinen Zugriff.

7. Sicherheit

Die UZH setzt technische und organisatorische Sicherheitsmassnahmen ein, damit die Daten, die sie über die UZH-Webseiten erhebt und weiterbearbeitet,

  • vertraulich bleiben und vor zufälligen oder unrechtmässigen Zugriffen, Veränderungen oder Offenlegungen sowie vor Verlusten und Zerstörung geschützt werden; und
  • ein Zugriff auf die Daten ausschliesslich nach dem Grundsatz der Erforderlichkeit («Need-to-Know») denjenigen Personen erteilt wird, die aufgrund ihrer Funktion und Aufgabe auf die Personendaten zugreifen müssen.

Die zu treffenden Massnahmen richten sich nach der Art der Information, nach Art und Zweck der Verwendung und nach dem jeweiligen Stand der Technik.

8. Gültigkeit

Die UZH behält sich vor, die Datenschutzerklärung jederzeit mit Wirkung für die Zukunft zu ändern, sollte die Implementierung neuer Technologien oder die Gesetzeslage eine solche Anpassung erforderlich machen. Wir empfehlen Ihnen daher, die Datenschutzerklärung regelmässig zu überprüfen.

9. Auskunftsrecht

Sollten Sie eine Auskunft zu den über Sie erhobenen und bearbeiteten Personendaten oder eine Berichtigung, Vernichtung oder Sperrung dieser Daten wünschen oder weitergehende Fragen zu deren Verwendung haben, wenden Sie sich bitte an Abteilung Datenschutzrecht der UZH. Diese ist unter folgender Adresse erreichbar:

Abteilung Datenschutzrecht der UZH
Hirschengraben 56
CH-8001 Zürich

Weitere Informationen finden Sie auf der Webseite der Abteilung www.dsd.uzh.ch.