Verordnung des ETH-Rates vom 8. Dezember 2022 über den Schutz von Personendaten des Personals im ETH-Bereich (Personendatenschutzverordnung ETH-Bereich, PDV-ETH)

Typ Verordnung

Veröffentlichung 2022-12-08

Status In Kraft

Ministerium Bundeskanzlei

Quelle Fedlex

Der ETH-Rat,

gestützt auf die Artikel 27 Absätze 5 und 6 sowie 37 Absätze 3 und 3^bis des Bundespersonalgesetzes vom 24. März 2000[^1] (BPG) und Artikel 36a Absatz 4 des ETH-Gesetzes vom 4. Oktober 1991[^2],

verordnet:

1. Kapitel: Allgemeine Bestimmungen

1. Abschnitt: Anwendungsbereich und Informationsrechte des Personals

Art. 1 Gegenstand und Geltungsbereich

¹ Diese Verordnung regelt die Bearbeitung der Personendaten folgender Personalkategorien:

a. Mitarbeiterinnen und Mitarbeiter im ETH-Bereich nach Artikel 1 Absatz 1 der Personalverordnung ETH-Bereich vom 15. März 2001[^3] (PVO-ETH);

b. Professorinnen und Professoren nach Artikel 1 der Professorenverordnung ETH vom 18. September 2003[^4];

c. Mitarbeiterinnen und Mitarbeiter im ETH-Bereich sowie Professorinnen und Professoren mit privatrechtlicher Anstellung;

d. Stellenbewerberinnen und -bewerber für Anstellungen im ETH-Bereich nach den Buchstaben a–c;

e. ehemalige Mitarbeiterinnen und Mitarbeiter im ETH-Bereich nach den Buchstaben a–c.

² Das 4. Kapitel dieser Verordnung gilt zusätzlich für Personen, die mit Institutionen des ETH-Bereichs in einem Auftragsverhältnis oder in einem Personalverleihverhältnis stehen.

Art. 2 Information des Personals

Das Personal oder seine Vertretung wird vor der Einführung oder Änderung eines Informationssystems oder einer Datenbank informiert, sofern die Rechtsstellung oder die Tätigkeit des Personals massgeblich betroffen ist.

Art. 3 Ansprechperson in Datenschutzbelangen

Die Datenschutzberaterinnen und Datenschutzberater der beiden ETH, der Forschungsanstalten und des ETH-Rats stehen dem Personal in Belangen des Datenschutzes als Ansprechperson zur Verfügung.

2. Abschnitt: Verantwortlichkeiten und Zuständigkeiten

Art. 4 Verantwortlichkeiten

¹ Die Schulleitungen der beiden ETH, die Direktionen der Forschungsanstalten und die Präsidentin oder der Präsident des ETH-Rates sind für die von ihnen eingesetzten Informationssysteme verantwortlich.

² Die jeweiligen Personalabteilungen und weiteren ermächtigten Stellen sind für die Datenbearbeitung in ihrem Bereich verantwortlich.

³ Die beiden ETH, die Forschungsanstalten und der ETH-Rat erlassen für ihre Informationssysteme die Bearbeitungsreglemente nach Artikel 6 der Datenschutzverordnung vom 31. August 2022[^5] (Bearbeitungsreglemente).

Art. 5 Zuständigkeiten

¹ Die zuständige Personalabteilung und die Fachstellen der beiden ETH für die Professorenrekrutierung und -betreuung (Fachstellen Professuren) bearbeiten die zur Erfüllung ihrer Aufgaben erforderlichen Daten. Sie bearbeiten insbesondere:

a. Informationen aus den Bewerbungsunterlagen, dem Arbeitsvertrag, der Stellenbeschreibung und den Personalbeurteilungsformularen;

b. die auf einer Personalbeurteilung beruhenden Entscheide;

c. die Abwesenheiten;

d. die Arztzeugnisse;

e. die Ergebnisse von Persönlichkeitstests und Abklärungstests zur Potenzialerfassung;

f. die Auszüge aus öffentlichen Registern;

g. Daten betreffend administrative, strafrechtliche oder soziale Massnahmen.

² Die Vorgesetzten oder die von ihnen beigezogenen Personen bearbeiten die Daten, die in Zusammenhang mit Stellenbesetzungen und zur Erfüllung ihrer Führungsaufgaben notwendig sind, insbesondere die Bewerbungsdossiers, die Zielvereinbarungs- und Leistungsbeurteilungsformulare und die Daten zu Lohnanpassungen, die aufgrund der individuellen Leistung vorgenommen werden.

³ Die erforderlichen Zugriffsrechte werden wie folgt erteilt:

a. für Informationssysteme: durch das Schulleitungsmitglied der betreffenden ETH oder das Direktionsmitglied der betreffenden Forschungsanstalt, das für Informatiksysteme zuständig ist;

b. für Informatiksysteme des ETH-Rats: durch die Geschäftsführerin oder den Geschäftsführer des Stabs des ETH-Rats.

⁴ Die Personalabteilungen und die Fachstellen Professuren können Personen, die im Rahmen ihrer Aufgaben einen Zugriff auf bestimmte Daten benötigen, beschränkte Zugriffsrechte erteilen.

3. Abschnitt: Datenschutz und Datensicherheit

Art. 6 Datensicherheit

¹ Die beiden ETH, die Forschungsanstalten und der ETH-Rat sorgen für die Einhaltung der Bestimmungen des Datenschutzgesetzes vom 25. September 2020[^6] und der Datenschutzverordnung vom 31. August 2022[^7]. Sie sind dafür verantwortlich, dass die mit der Datenbearbeitung befassten Stellen und Personen angemessene organisatorische und technische Massnahmen und Vorkehrungen zur Sicherung der Personendaten treffen.

² Die in Papierform gesammelten Daten sind unter Verschluss zu halten.

³ Die Datensicherheit für die Informationssysteme richtet sich nach der Datenschutzverordnung vom 31. August 2022, insbesondere den Artikeln 1–4 und 6.

⁴ Die beiden ETH, die Forschungsanstalten sowie der ETH-Rat führen die organisatorischen und technischen Massnahmen zur Sicherung der Personendaten in ihren Bearbeitungsreglementen näher aus.

Art. 7 Anmeldung der Bearbeitungstätigkeiten

¹ Die beiden ETH, die Forschungsanstalten und der ETH-Rat melden sämtliche Verzeichnisse der Bearbeitungstätigkeiten im Zeitpunkt des Entscheids der Projektentwicklung oder der Projektfreigabe beim Datenschutz- und Öffentlichkeitsbeauftragten zur Registrierung an (Art. 12 des Datenschutzgesetzes vom 25. September 2022[^8]).

² Automatisierte Bearbeitungen von Personendaten (Informationssysteme) müssen bereits im Projektstadium gemeldet werden (Art. 31 der Datenschutzverordnung vom 31. August 2022[^9]).

Art. 8 Auskunfts-, Berichtigungs- und Löschungsrecht

¹ Die betroffenen Personen können ihr Auskunfts-, Berichtigungs- und Löschungsrecht bei der jeweiligen Personalabteilung, bei den Fachstellen Professuren oder bei der Vertrauensärztin oder dem Vertrauensarzt (Art. 48) geltend machen. Vorbehalten bleibt Artikel 23.

² Unrichtige Daten sind von Amtes wegen zu berichtigen.

Art. 9 Protokollierung

¹ Die Zugriffe sowie Änderungen in den Informationssystemen werden laufend protokolliert.

² Die Protokolle werden während eines Jahres getrennt vom System, in dem die Personendaten bearbeitet werden, aufbewahrt.

³ Die Protokolle können zwecks Überprüfung, ob die Datenschutzvorschriften eingehalten werden, von der für die Überwachung dieser Vorschriften zuständigen Stelle der jeweiligen ETH, der jeweiligen Forschungsanstalt oder des ETH-Rates ausgewertet werden.

4. Abschnitt: Aufbewahrungsfristen, Archivierung und Vernichtung

Art. 10

¹ Für die Aufbewahrung der Daten gelten folgende Fristen:

a. für Daten über Sozialmassnahmen sowie administrative, betreibungs- und strafrechtliche Massnahmen: fünf Jahre nach Abschluss der Massnahme;

b. für Leistungsbeurteilungen und die Ergebnisse von Persönlichkeits- oder Abklärungstests zur Potenzialerfassung: fünf Jahre nach der Beurteilung oder dem Test;

c. für alle übrigen Daten des Personaldossiers und des Personalinformationssystems: zehn Jahre nach Beendigung des Arbeitsverhältnisses oder nach dem Ableben einer Mitarbeiterin oder eines Mitarbeiters.

² Nach Ablauf der Aufbewahrungsfrist werden die nach dem Archivierungsgesetz vom 26. Juni 1998[^10] und der Archivierungsverordnung vom 8. September 1999[^11] archivwürdigen Daten dem zuständigen Archiv angeboten, die übrigen Daten werden unter Vorbehalt von Artikel 38 Absatz 2 des Datenschutzgesetzes vom 25. September 2022[^12] vernichtet.

³ Die in Papierform eingereichten Bewerbungsdossiers von nicht berücksichtigten Stellenbewerberinnen und Stellenbewerbern werden mit Ausnahme des Bewerbungsschreibens innerhalb von drei Monaten nach Stellenbesetzung zurückgesandt. Die übrigen Daten werden innerhalb von drei Monaten vernichtet. Vorbehalten bleiben besondere Vereinbarungen mit den Stellenbewerberinnen und Stellenbewerbern. Die Daten können länger aufbewahrt werden, wenn sie für die Behandlung von Beschwerden nach Artikel 13 Absatz 2 des Gleichstellungsgesetzes vom 24. März 1995[^13] benötigt werden.

⁴ Dossiers und Daten für Bewerbungen auf eine Professur und sämtliche während der Tätigkeit als Professorin, Professor, Titularprofessorin oder Titularprofessor erhobenen Daten werden aufbewahrt und nach dem Tod der Person dem Archiv der zuständigen ETH angeboten.

5. Abschnitt: Bekanntgabe von Daten

Art. 11 Interne Veröffentlichung von Personendaten

Die Veröffentlichung von Daten aus der Privatsphäre des Personals im Intranet, in einem internen Publikationsorgan oder am Anschlagbrett ist nur mit schriftlicher Einwilligung der betroffenen Person zulässig. Die Einwilligung kann per E-Mail erfolgen.

Art. 12 Adressverzeichnisse

Die beiden ETH, die Forschungsanstalten und der ETH-Rat können Funktion und dienstliche Kontaktangaben des Personals in öffentlich zugänglichen Adressverzeichnissen publizieren; dies kann in Papierform oder in elektronischer Form geschehen. Die Veröffentlichung von Fotos ist nur mit schriftlicher Einwilligung der betroffenen Person zulässig. Die Einwilligung kann per E-Mail erfolgen.

Art. 13 Weitergabe von Daten an Dritte

¹ Stellen Dritte, insbesondere neue Arbeitgeber, Bank- und Kreditinstitute und Vermieterinnen und Vermieter ein Auskunftsbegehren, so dürfen Daten nur mit schriftlicher Einwilligung der betroffenen Person oder gestützt auf eine gesetzliche Grundlage weitergegeben werden. Wer Daten weitergibt, muss überprüfen, ob eine entsprechende Einwilligung oder eine gesetzliche Grundlage vorliegt.

² Die Einwilligung der betroffenen Person gilt als gegeben, wenn sie eine andere Mitarbeiterin oder einen anderen Mitarbeiter als Referenzperson für die Auskunftserteilung bezeichnet hat.

³ Die Datenweitergabe beschränkt sich auf die für den Zweck der Anfrage notwendigen Informationen.

⁴ Die Bestimmungen dieses Artikels gelten auch für Personal, das innerhalb des ETH-Bereichs die Stelle wechselt.

⁵ Artikel 37 bleibt vorbehalten.

Art. 14 Datenbekanntgabe für die Nutzung von Informatikdienstleistungen in externen Rechnernetzen (Cloud-Dienste)

Die beiden ETH, die Forschungsanstalten und der ETH-Rat können Anbietern von Informatikdiensten, die ihre Dienste in externen Rechnernetzen anbieten, die für die Nutzung dieser Dienste erforderlichen Daten bekannt geben, insbesondere den Namen und die dienstliche E-Mail-Adresse.

Art. 15 Berufungs- und Evaluationsverfahren für Professorinnen und Professoren

Die Unterlagen aus Berufungs- und Evaluationsverfahren für Professorinnen und Professoren, insbesondere Peer-Reviews und Referenzschreiben, sind vertraulich.

2. Kapitel: Bewerbungsdossier

1. Abschnitt: Allgemeine Bestimmungen

Art. 16 Form der Bewerbung

¹ Die beiden ETH, die Forschungsanstalten und der ETH-Rat bestimmen, in welcher Form Bewerbungsdossiers eingereicht werden können.

² Sie können in Papierform eingereichte Bewerbungsdossiers einlesen.

³ Als Bewerbungsdossier im Sinn dieser Verordnung gelten auch die Akten über das Berufungs- und Evaluationsverfahren und die Ernennung von Professorinnen und Professoren.

⁴ Die beiden ETH, die Forschungsanstalten und der ETH-Rat können anstelle des Bewerbungsgespräches vor Ort Aufnahmen von Gesprächen, die über Videotelefonie geführt wurden oder von zeitversetzten Videointerviews nutzen. Diese sind Teil des Bewerbungsdossiers und werden nach Abschluss des Bewerbungsverfahrens vernichtet.

Art. 17 Inhalt

¹ Das Bewerbungsdossier kann besonders schützenswerte Personendaten, insbesondere im Lebenslauf, enthalten.

² Es kann insbesondere die in Anhang 1 aufgeführten Daten enthalten.

Art. 18 Datenbearbeitung

¹ Die Personalabteilungen, die Fachstellen Professuren und die für die Selektion verantwortlichen Personen bearbeiten die Daten der Dossiers der Stellenbewerberinnen und -bewerber, soweit es für die Erfüllung ihrer Aufgaben erforderlich ist.

² Am Ende des Bewerbungsverfahrens werden die Daten der Stellenbewerberinnen und Stellenbewerber, die angestellt werden, in das Personaldossier (Art. 25–32) und in das Informationssystem für das Personaldatenmanagement (Art. 33–37) übertragen.

³ Die Datenbearbeitung von nicht berücksichtigten Stellenbewerberinnen und Stellenbewerbern richtet sich nach Artikel 10 Absätze 3 und 4.

Art. 19 Persönlichkeitstests, Referenzauskünfte

¹ Für folgende Abklärungen ist das ausdrückliche Einverständnis der Stellenbewerberinnen und Stellenbewerber erforderlich:

a. die Durchführung von Persönlichkeitstests, einschliesslich Schriftanalysen;

b. das Einholen von Referenzen.

² Die Stellenbewerberinnen und Stellenbewerber müssen vor der Durchführung von Persönlichkeitstests informiert werden über:

a. den Zweck der Tests;

b. die Verwendung der Testergebnisse;

c. den Personenkreis, der über die Testergebnisse informiert wird.

2. Abschnitt: Informationssysteme für Bewerbungen

Art. 20 Zweck

Die beiden ETH, die Forschungsanstalten und der ETH-Rat betreiben je ein Informationssystem für Bewerbungen, das dazu dient, Stellen auszuschreiben und den Bewerbungsprozess zu vereinfachen.

Art. 21 Struktur

¹ Die Informationssysteme bestehen aus den Komponenten Stellenausschreibung und Bewerbungsmanagement.

² Mit der Komponente Stellenausschreibung werden die Stelleninserate erstellt und publiziert.

³ In der Komponente Bewerbungsmanagement werden die auszuschreibenden Stellen mit den notwendigen Informationen erfasst und die Daten der Stellenbewerberinnen und Stellenbewerber bearbeitet.

Art. 22 Zugriffsrechte

¹ Die nach Artikel 5 Absatz 3 verantwortlichen Stellen erteilen auf Antrag den Personalabteilungen und den Fachstellen Professuren unbefristete Zugriffsrechte.

² Die Personalabteilungen und Fachstellen Professuren können im Einzelfall weiteren für die Auswahl verantwortlichen Personen die Zugriffsrechte erteilen, soweit und solange es für die Erfüllung von deren Aufgaben notwendig ist.

Art. 23 Auskunfts-, Berechtigungs- und Löschungsrecht

Bei einer elektronischen Bewerbung kann die Wahrnehmung des Auskunfts-, Berichtigungs- und Löschungsrecht durch Erteilen eines entsprechenden Zugriffrechts an die Stellenbewerberin oder den Stellenbewerber erfolgen.

Art. 24 Nutzung externer Informatiksysteme für Bewerbungen (Plattformen)

Die beiden ETH, die Forschungsanstalten und der ETH-Rat können Informatiksysteme externer Anbieter für Stellenausschreibungen und Bewerbungen nutzen. Sie sorgen dafür, dass die Bestimmungen über die Bearbeitung durch Auftragsbearbeiter eingehalten werden.

3. Kapitel: Personaldossier

1. Abschnitt: Allgemeine Bestimmungen

Art. 25 Inhalt

¹ Das Personaldossier kann folgende Kategorien von Personendaten, einschliesslich besonders schützenswerter Personendaten, enthalten:

a. Angaben zur Person, ihrer Nationalität, ihrer Familie und ihren Angehörigen;

b. Informationen aus den Bewerbungsunterlagen und im Rahmen des Bewerbungsverfahrens erhobene Daten einschliesslich der Ergebnisse eines Persönlichkeitstests nach Artikel 19;

c. Daten über die Gesundheit in Bezug auf das Arbeitsverhältnis, insbesondere Arztzeugnisse, Absenzen infolge von Krankheit und Unfall, Berichte der Vertrauensärztin oder des Vertrauensarztes, Eignungsbeurteilungen und Daten des Case-Management;

d. Angaben zu Leistungen, Kompetenzen und Potenzial;

e. Arbeitszeugnisse;

f. rechtskräftige Entscheide von Behörden, Beschwerde- oder Gerichtsinstanzen, insbesondere Lohnpfändungen, Verfügungen der Fachstelle für Personensicherheitsprüfungen, Auszüge aus Gerichtsurteilen zwecks Festlegung der Anspruchsberechtigung für Familienzulagen, Akten betreffend Streitigkeiten aus dem Arbeitsverhältnis und Akten betreffend Disziplinaruntersuchungen;

g. Meldungen an die Ausgleichskassen der Alters- und Hinterlassenenversicherung (AHV), der Invalidenversicherung (IV), der Erwerbsersatzordnung (EO) und der Arbeitslosenversicherung, die Familienausgleichskassen, die Schweizerische Unfallversicherungsanstalt (Suva) oder eine andere Unfallversicherung, die Pensionskasse des Bundes (Publica) und die Militärversicherung (Sozialversicherungen) sowie Mitteilungen oder Entscheide dieser Versicherungen und allfälliger ausländischer Versicherungen.

² Das Personaldossier kann insbesondere die in Anhang 2 aufgeführten Daten in elektronischer Form oder auf Papier enthalten.

Art. 26 Datenbearbeitung

Die Personalabteilungen, die Fachstellen Professuren, von ihnen beigezogene interne Fachspezialistinnen und Fachspezialisten, beauftragte Dritte, die verantwortlichen Vorgesetzten und die Rechtsdienste bearbeiten die Daten der Personaldossiers, soweit es für die Erfüllung ihrer Aufgaben notwendig ist.

Art. 27 Verbleib des Personaldossiers bei Übertritt innerhalb

des ETH-Bereichs

¹ Tritt eine angestellte Person in eine andere ETH, eine andere Forschungsanstalt oder in den Stab des ETH-Rats über, so wird das Personaldossier nicht dem neuen Arbeitgeber übergeben. Jede Abweichung ist mit der angestellten Person zu vereinbaren.

² Im Einvernehmen mit der angestellten Person kann der neue Arbeitgeber die von der angestellten Person bei der vorherigen Institution bereits eingereichten Unterlagen anfordern.

Art. 28 Aufbewahrung, Archivierung und Vernichtung

Die Aufbewahrung, die Archivierung und die Vernichtung der Daten des Personaldossiers richten sich nach Artikel 10 dieser Verordnung.

2. Abschnitt: Informationssystem für die Personaldossiers

Art. 29 Zweck

Die beiden ETH, die Forschungsanstalten und der Stab des ETH-Rats betreiben je ein Informationssystem für die Personaldossiers, das der elektronischen Verwaltung, der Bewirtschaftung und der Ablage von Personendaten des Personals dient.

Art. 30 Daten aus dem Informationssystem für das Personaldatenmanagement

Nicht besonders schützenswerte Daten können aus dem jeweiligen Informationssystem für das Personaldatenmanagement (IPDM) übernommen werden.

Art. 31 Zugriffsrechte

Die offiziellen Rechtstexte der Schweizerischen Eidgenossenschaft sind gemäss Art. 5 Abs. 1 lit. a–c des Urheberrechtsgesetzes (URG) gemeinfrei. Dieses Dokument ersetzt nicht die amtliche Publikation in der Amtlichen Sammlung (AS) oder im Bundesblatt (BBl). Für eventuelle Ungenauigkeiten bei der Konvertierung in dieses Format wird keine Haftung übernommen.