Datenschutzerklärung für den „Mensa-Pass“-Service
Version 13. November 2025
1 Verantwortliche Stelle
Die Technische Universität München und das Studierendenwerk München betreiben diesen Dienst in gemeinsamer Verantwortlichkeit.
Der Dienst ist unter der Domain mensapass.stwm.de erreichbar. Die technische Verarbeitung personenbezogener Daten erfolgt auf von der TUM verwalteten Systemen (Hosting in der Azure Region Deutschland). Das Studierendenwerk betreibt die Mensen und Kassensysteme; beim Scan des Mensa-Passes erhält das Kassensystem ausschließlich den Status (Studierende oder Beschäftigte) ohne Personenkennzeichen oder weitere personenbezogene Daten.
2 Datenschutzbeauftragter
Den behördlichen Datenschutzbeauftragten der Technischen Universität München erreichen Sie unter: beauftragter@datenschutz.tum.de.
3 Zwecke der Verarbeitung
Mit diesem Service können Studierende und Beschäftigte der teilnehmenden Hochschulen einen digitalen Mensa-Pass erstellen und mit diesem bei der Bezahlung in den Mensen des Studierendenwerks Münchens ihren Studierendenstatus nachweisen. Der digitale Mensa-Pass wird im Apple Wallet (als .pkpass) oder im Google Wallet (als Smart-Tap-Pass) hinterlegt.
Für die Ausstellung ist eine einmalige Anmeldung über die Single-Sign-on-Systeme der teilnehmenden Hochschulen erforderlich. Hierbei werden insbesondere Name, E-Mail-Adresse, Status (Studierende oder Beschäftigte), Nutzerkennung sowie die zugehörige Institution (z. B. TUM, HM) übernommen.
Wir verarbeiten Daten nur, um den personalisierten Pass zu erzeugen und bereitzustellen. Die Teilnahme an diesem Angebot erfolgt freiwillig durch Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
4 Kategorien personenbezogener Daten
| Kategorie | Beispiele | Protokolliert | Rechtsgrundlage* |
|---|---|---|---|
| Pass-UUID | Seriennummer im Pass, interne Pass-ID | ✔︎ | Art. 6 (1) a DSGVO |
| Basis-Stammdaten | Name, E-Mail-Adresse | ✔︎ | Art. 6 (1) a DSGVO |
| Statusgruppe | „Studierende“ oder „Beschäftigte“ | ✔︎ | Art. 6 (1) a DSGVO |
| Nutzerkennung | Hochschulkennung (z. B. TUM-Kennung) | ✔︎ | Art. 6 (1) a DSGVO |
| Institution | Teilnehmende Hochschule (z. B. TUM, Hochschule München) | ✔︎ | Art. 6 (1) a DSGVO |
| Geräte- und Log-Daten | IP-Adresse, Zeitstempel, angefragte URL, User-Agent | ✔︎ | Art. 6 (1) e DSGVO i. V. m. Art. 4 (1) BayDSG |
| Scan-Daten an der Kasse | Übertragener Status (Studierende oder Beschäftigte) für die Preisgruppe | ⨯ | Art. 6 (1) a DSGVO |
*Download-Links per E-Mail senden wir nur mit Ihrer Einwilligung (Art. 6 (1) a DSGVO).
5 Datenfluss beim Scan in der Mensa
- Apple Wallet: Wallet zeigt den im
.pkpasseingebetteten NFC-Inhalt an. Beim Scan wird nur der Status (Studierende oder Beschäftigte) übertragen, es werden keine Namen, E-Mail-Adressen oder Nutzerkennungen übermittelt. - Google Wallet / Smart Tap: Das Gerät sendet eine minimale NFC-Nutzlast, die ebenfalls nur den Status für die Preiskategorie enthält, ohne Personenkennzeichen.
- Das Kassenterminal des Studierendenwerks erhält nur die Statusinformation, um die richtige Preisgruppe zuzuordnen, und speichert diese Information nicht dauerhaft. Ein Bezug zu einzelnen Personen wird an den Kassen nicht hergestellt.
6 Besonderheiten Apple Wallet
Der Mensa-Pass verbleibt ausschließlich in der verschlüsselten Wallet-Datenbank des Geräts. Für Aktualisierungen erhält Apple technische Push-Informationen (insbesondere Pass-Typ, Seriennummer und Push-Token). Der vollständige Passinhalt wird von unseren Servern an das Endgerät ausgeliefert.
7 Besonderheiten Google Wallet
Jedes Pass-Objekt wird über die Google-Wallet-API in unserem Issuer-Account bei Google gespeichert. Hierzu übermitteln wir die für den Pass erforderlichen Objektdaten (z. B. Name, Statusgruppe, Institution, Pass-ID und Gültigkeitsinformationen). Aktualisierungen erfolgen ebenfalls über diese API und werden an die Geräte synchronisiert. Die Einlösung an der Kasse erfolgt über Google Smart Tap, wobei nur die für die Preisgruppe erforderliche Statusinformation übertragen wird.
8 Rechtsgrundlagen (Art. 6 DSGVO)
- Pass-Erstellung und -Aktualisierung: Einwilligung (Art. 6 (1) a DSGVO)
- E-Mail-Link für den Pass-Download: Einwilligung (Art. 6 (1) a DSGVO)
- Protokollierung von Zugriffs- und Systemereignissen (IT-Sicherheit und Betriebsstabilität): Wahrnehmung einer Aufgabe im öffentlichen Interesse (Art. 6 (1) e DSGVO i. V. m. Art. 4 (1) BayDSG)
- Archivierung und gesetzliche Nachweispflichten: rechtliche Verpflichtung (Art. 6 (1) c DSGVO in Verbindung mit hochschulrechtlichen Vorschriften, insbesondere dem Bayerischen Hochschulinnovationsgesetz (BayHIG))
Für Angehörige weiterer teilnehmender Hochschulen (z. B. Hochschule München) ergibt sich die konkrete hochschulrechtliche Grundlage aus dem jeweils einschlägigen Hochschulrecht und den Satzungen der jeweiligen Hochschule.
9 Empfänger und Drittlandübermittlungen
| Empfänger | Rolle | Garantien |
|---|---|---|
| Apple Inc., USA | Eigenständiger Verantwortlicher für Apple Wallet und Push-Zustellung | Standardvertragsklauseln, ergänzende Schutzmaßnahmen; technische Push-Metadaten |
| Google LLC, USA | Eigenständiger Verantwortlicher für Google Wallet / Smart Tap | Standardvertragsklauseln, ergänzende Schutzmaßnahmen; Pass-Objektdaten via API |
| Microsoft (Azure) | Auftragsverarbeiter für Hosting und Datenbankbetrieb in der von der TUM genutzten Azure Region Deutschland | Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, technische und organisatorische Maßnahmen |
| Studierendenwerk München Oberbayern | Gemeinsam Verantwortlicher, Betreiber der Mensen und Kassensysteme; erhält beim Scan nur Statusdaten ohne Personenbezug | Vertragliche Regelungen zur Zusammenarbeit |
Klarstellung zu Apple und Google: Apple erhält für die Aktualisierung von Pässen technische Push-Metadaten. Google erhält die für die Wallet-Bereitstellung erforderlichen Pass-Objektdaten über die Google-Wallet-API.
10 Speicherfristen
- Pass-UUID, Status, Nutzerkennung, Institution: 12 Monate nach Passablauf
- Server-Logs: 14 Tage (längere Speicherung nur im Anlassfall, z. B. zur Analyse von Sicherheitsvorfällen)
- Buchhaltungsunterlagen: 10 Jahre (§ 147 AO)
11 Ihre Rechte
Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit sowie Widerruf einer Einwilligung mit Wirkung für die Zukunft, jeweils im Rahmen der gesetzlichen Vorgaben. Beschwerden können Sie an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) richten.
12 Pflicht zur Bereitstellung
Die Anmeldung mit einer gültigen Hochschulkennung sowie die Übermittlung des Status (Studierende oder Beschäftigte) und der zugehörigen Institution sind erforderlich, um einen Mensa-Pass auszustellen. Ohne diese Angaben kann der Dienst nicht genutzt werden. Weitere Angaben sind freiwillig, können aber die Funktionalität des Dienstes beeinflussen.
13 Sicherheitsmaßnahmen
- TLS 1.3 für alle Verbindungen zwischen Ihrem Browser und unseren Servern
- Serverstandort ausschließlich in deutschen Rechenzentren (Azure Region Deutschland)
- Admin-Zugriff nur mit Multi-Factor-Authentifizierung und rollenbasierten Rechten
- Apple-Pässe sind lokal in der Wallet des Geräts verschlüsselt gespeichert; Google-Pässe sind durch das Google-Konto und die Gerätesperre sowie durch die von Google implementierten Sicherheitsmechanismen geschützt.
14 Änderungen dieser Erklärung
Wir passen diese Erklärung an, wenn rechtliche oder technische Änderungen dies erfordern. Die aktuelle Fassung finden Sie stets unter https://mensapass.stwm.de/privacy. Wesentliche Änderungen teilen wir, soweit möglich, über die beteiligten Hochschulen mit.