Datenschutzerklärung für den „Mensa-Pass“-Service
Version 13. November 2025
1 Verantwortliche Stelle
Dieser Service wird im Auftrag der TUM betrieben. Die TUM betreibt die gesamte Serverinfrastruktur und die Datenbank für den Mensa-Pass.
Der Dienst ist unter der Domain mensapass.stwm.de erreichbar, die vom Studierendenwerk München Oberbayern bereitgestellt wird. Die technische Verarbeitung der personenbezogenen Daten erfolgt jedoch ausschließlich auf von der TUM verwalteten Systemen (Hosting in der Azure Region Deutschland).
Das Studierendenwerk München Oberbayern ist Kooperationspartner und Betreiber der Mensen sowie der Kassensysteme. Beim Scan des Mensa-Passes erhält das Kassensystem ausschließlich den Status (Studierende oder Beschäftigte) ohne Personenkennzeichen oder andere personenbezogene Daten.
2 Datenschutzbeauftragter
3 Zwecke der Verarbeitung
Mit dem Service können Studierende und Beschäftigte der teilnehmenden Hochschulen einen digitalen Mensa-Pass erstellen und entweder
(a) als .pkpass in Apple Wallet oder
(b) als Smart-Tap-Pass in Google Wallet hinterlegen.
Der Pass gewährt ausschließlich einen Rabatt beim Mensa-Kauf.
Die Anmeldung erfolgt über die Single-Sign-on-Systeme der teilnehmenden Hochschulen. Hierbei werden insbesondere Name, E-Mail-Adresse, Status (Studierende oder Beschäftigte), Nutzerkennung sowie die zugehörige Institution (z. B. TUM, HM) übernommen.
Wir verarbeiten Daten nur, um
- den personalisierten Pass zu erzeugen und bereitzustellen,
- Aktualisierungen zu verteilen (z. B. neue Gültigkeit oder Design),
- Pässe an den Kassen zu prüfen,
- den Dienst zu schützen (Protokolle, Missbrauchserkennung) und
- gesetzlichen Archivierungs- und Nachweispflichten nachzukommen.
4 Kategorien personenbezogener Daten
| Kategorie | Beispiele | Protokolliert | Rechtsgrundlage* |
|---|---|---|---|
| Pass-UUID | Seriennummer im Pass, interne Pass-ID | ✔︎ | Art. 6 (1) b DSGVO |
| Basis-Stammdaten | Name, E-Mail-Adresse | ✔︎ | Art. 6 (1) b DSGVO |
| Statusgruppe | „Studierende“ oder „Beschäftigte“ | ✔︎ | Art. 6 (1) b DSGVO |
| Nutzerkennung | Hochschulkennung (z. B. TUM-Kennung) | ✔︎ | Art. 6 (1) b DSGVO |
| Institution | Teilnehmende Hochschule (z. B. TUM, Hochschule München) | ✔︎ | Art. 6 (1) b DSGVO |
| Geräte- und Log-Daten | IP-Adresse, Zeitstempel, angefragte URL, User-Agent | ✔︎ | Art. 6 (1) f DSGVO |
| Scan-Daten an der Kasse | Übertragener Status (Studierende oder Beschäftigte) für die Preisgruppe | ⨯ | Art. 6 (1) b DSGVO |
*Download-Links per E-Mail senden wir nur mit Ihrer Einwilligung (Art. 6 (1) a DSGVO).
5 Datenfluss beim Scan in der Mensa
- Apple Wallet: Wallet zeigt den im
.pkpasseingebetteten NFC-Inhalt an. Beim Scan wird nur der Status (Studierende oder Beschäftigte) übertragen, es werden keine Namen, E-Mail-Adressen oder Nutzerkennungen übermittelt. - Google Wallet / Smart Tap: Das Gerät sendet eine minimale NFC-Nutzlast, die ebenfalls nur den Status für die Preiskategorie enthält, ohne Personenkennzeichen.
- Das Kassenterminal des Studierendenwerks erhält nur die Statusinformation, um die richtige Preisgruppe zuzuordnen, und speichert diese Information nicht dauerhaft. Ein Bezug zu einzelnen Personen wird an den Kassen nicht hergestellt.
6 Besonderheiten Apple Wallet
Der Mensa-Pass verbleibt ausschließlich in der verschlüsselten Wallet-Datenbank des Geräts. Die maßgebliche Pass-Datei liegt auf von der TUM betriebenen Servern. Apple übermittelt lediglich technische Signale (z. B. Push-Benachrichtigungen zur Aktualisierung) und speichert den Passinhalt nach unserem Kenntnisstand nicht dauerhaft.
7 Besonderheiten Google Wallet
Jedes Pass-Objekt wird über die Google-Wallet-API in unserem Issuer-Account bei Google gespeichert. Aktualisierungen erfolgen ebenfalls über diese API und werden an die Geräte synchronisiert. Die Einlösung an der Kasse erfolgt über Google Smart Tap, wobei nur die für die Preisgruppe erforderliche Statusinformation übertragen wird.
8 Rechtsgrundlagen (Art. 6 DSGVO)
- Pass-Erstellung und -Aktualisierung: Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 (1) b DSGVO)
- E-Mail-Link für den Pass-Download: Einwilligung (Art. 6 (1) a DSGVO)
- Protokollierung von Zugriffs- und Systemereignissen: berechtigtes Interesse an IT-Sicherheit und Betriebsstabilität (Art. 6 (1) f DSGVO)
- Archivierung und gesetzliche Nachweispflichten: rechtliche Verpflichtung (Art. 6 (1) c DSGVO in Verbindung mit hochschulrechtlichen Vorschriften, insbesondere dem Bayerischen Hochschulinnovationsgesetz (BayHIG))
Für Angehörige weiterer teilnehmender Hochschulen (z. B. Hochschule München) ergibt sich die konkrete hochschulrechtliche Grundlage aus dem jeweils einschlägigen Hochschulrecht und den Satzungen der jeweiligen Hochschule.
9 Empfänger und Drittlandübermittlungen
| Empfänger | Rolle | Garantien |
|---|---|---|
| Apple Inc., USA | Eigenständiger Verantwortlicher für Apple Wallet und Push-Zustellung | Standardvertragsklauseln, ergänzende Schutzmaßnahmen |
| Google LLC, USA | Eigenständiger Verantwortlicher für Google Wallet / Smart Tap | Standardvertragsklauseln, ergänzende Schutzmaßnahmen |
| Microsoft (Azure) | Auftragsverarbeiter für Hosting und Datenbankbetrieb in der von der TUM genutzten Azure Region Deutschland | Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, technische und organisatorische Maßnahmen |
| Studierendenwerk München Oberbayern | Kooperationspartner, Betreiber der Mensen und Kassensysteme; erhält beim Scan nur Statusdaten ohne Personenbezug | Vertragliche Regelungen zur Zusammenarbeit |
10 Speicherfristen
- Pass-UUID, Status, Nutzerkennung, Institution: 12 Monate nach Passablauf
- Server-Logs: 14 Tage (längere Speicherung nur im Anlassfall, z. B. zur Analyse von Sicherheitsvorfällen)
- Buchhaltungsunterlagen: 10 Jahre (§ 147 AO)
11 Ihre Rechte
Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit sowie Widerruf einer Einwilligung mit Wirkung für die Zukunft, jeweils im Rahmen der gesetzlichen Vorgaben. Beschwerden können Sie an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) richten.
12 Pflicht zur Bereitstellung
Die Anmeldung mit einer gültigen Hochschulkennung sowie die Übermittlung des Status (Studierende oder Beschäftigte) und der zugehörigen Institution sind erforderlich, um einen Mensa-Pass auszustellen. Ohne diese Angaben kann der Dienst nicht genutzt werden. Weitere Angaben sind freiwillig, können aber die Funktionalität des Dienstes beeinflussen.
13 Sicherheitsmaßnahmen
- TLS 1.3 für alle Verbindungen zwischen Ihrem Browser und unseren Servern
- Serverstandort ausschließlich in deutschen Rechenzentren (Azure Region Deutschland)
- Admin-Zugriff nur mit Multi-Factor-Authentifizierung und rollenbasierten Rechten
- Apple-Pässe sind lokal in der Wallet des Geräts verschlüsselt gespeichert; Google-Pässe sind durch das Google-Konto und die Gerätesperre sowie durch die von Google implementierten Sicherheitsmechanismen geschützt.
14 Änderungen dieser Erklärung
Wir passen diese Erklärung an, wenn rechtliche oder technische Änderungen dies erfordern. Die aktuelle Fassung finden Sie stets unter https://mensapass.stwm.de/privacy. Wesentliche Änderungen teilen wir, soweit möglich, über die beteiligten Hochschulen mit.