FAQ

Als öffentliche Stelle hat die Leuphana Universität insbesondere die Datenschutz-Grundverordnung (DSGVO) und das Niedersächsische Datenschutzgesetz (NDSG) zu beachten. Dieser rechtliche Rahmen umfasst die wesentlichen Vorgaben im Hinblick auf den Datenschutz. Darüber hinaus gelten für die einzelnen Fachbereiche spezifische Vorschriften, welche die allgemeinen Datenschutzbestimmungen ergänzen (Bspw.: Das Niedersächsische Hochschulgesetz (NHG), welches die Aufgaben der Hochschule festlegt). Das Bundesdatenschutzgesetz (BDSG) gilt nur für solche Stellen, die als Unternehmen am Wettbewerb teilnehmen und dabei personenbezogene Daten in Ausübung ihrer wirtschaftlichen Tätigkeit verarbeiten. Innerhalb der Leuphana Universität trifft dieser Anwendungsbereich die allermeisten Bereiche nicht.

Die DSGVO gilt für alle datenverarbeitenden Stellen innerhalb Europas und des Europäischen Wirtschaftsraumes. Bitte seien Sie besonders vorsichtig im Hinblick auf datenverarbeitende Prozesse, die Drittländer (Länder außerhalb des Geltungsbereiches der DSGVO) betreffen, da davon auszugehen ist, dass der datenschutzrechtliche Standard weit unter dem der Europäischen Union liegt. Hierzu berät Sie die für den Datenschutz zuständige Stelle.

Das Schutzgut der DSGVO sind personenbezogene Daten. Dabei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. 
Wenn die Person identifiziert ist, gelten alle Daten, die mit ihr in Verbindung gebracht werden können, als personenbezogene Daten. Der Name der Person muss nicht bekannt sein. Wenn die Person nicht identifiziert ist stellt sich die Frage, ob die Person unter kumulativer Nutzung aller verfügbaren Daten mit verhältnismäßigem Aufwand identifiziert werden kann.

Zu den besonderen Daten zählen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Gesundheitsdaten, Sexualleben oder sexuelle Orientierung. Werden besondere Daten verarbeitet ist stets zu beachten, dass dies einen erhöhten Schutzbedarf mit sich bringt. Es müssen also umfangreiche technische und organisatorische Maßnahmen installiert werden, um den Schutz der besonderen Daten zu gewährleisten. 

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Gilt die Leuphana Universität also als verantwortliche Stelle (nach außen hin), so kann sich eine Abteilung nicht darauf berufen, dass eine Person aufgrund der innerhalb der Abteilung/Ordnungseinheit verfügbaren Datenbestands nicht identifizieren kann, wenn weitere Daten innerhalb der Hochschule verfügbar sind. Verantwortlich innerhalb der Gesamtorganisation (Leuphana Universität Lüneburg) ist die jeweilige Stelle, die mit der Datenverarbeitung befasst ist.

Verarbeitung wird definiert als jeder, mit oder ohne Hilfe automatisierte Verfahren ausgeführte, Vorgang oder jede solche Vorgangsreihe in Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder nicht Vernichtung. 
Kurz: Verarbeiten beinhaltet eigentlich alles, was man mit Daten machen kann.

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter (siehe Frage Nr. 18) und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. Werden personenbezogene Daten an einen Dritten übermittelt, so bedarf diese Übermittlung immer einer Rechtsgrundlage.

Zunächst gilt das sogenannte „Verbot mit Erlaubnisvorbehalt“. Danach ist jede Datenverarbeitung verboten, es sei denn, diese kann auf eine Rechtsgrundlage gestützt werden. Weiterhin besteht seitens der verantwortlichen Stelle eine umfassende Dokumentationspflicht (Rechenschaftspflicht), die den Nachweis (insbesondere gegenüber der zuständigen Datenschutzbehörde) darstellt, dass alle Grundsätze des Datenschutzes eingehalten werden. Personenbezogene Daten sind rechtmäßig, nach den Grundsätzen von Treu und Glauben und transparent zu verarbeiten. Die Datenverarbeitung muss sich auf einen konkreten Zweck beziehen und ist zur Gewährleistung der Datenminimierung auf ein Maß zu reduzieren, das tatsächlich zur Zweckerfüllung erforderlich ist. Verarbeitete personenbezogene Daten sollten immer richtig sein, durch Löschung und Anonymisierung der Speicherumfang begrenzt und die Integrität und Vertraulichkeit (Datensicherheit) stets sichergestellt werden.

Im Wesentlichen ist die Leuphana als verantwortliche Stelle verpflichtet, alle Verarbeitungsvorgänge zu dokumentieren (Verzeichnis von Verarbeitungstätigkeiten) und die betroffenen Personen vor der jeweiligen Verarbeitung umfassend zu informieren (Betroffeneninformation). Dazu gehören alle ganz oder teilweise automatisierten Verarbeitungen personenbezogener Daten, sowie nicht automatisierte Verarbeitungen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Bei einem Dateisystem handelt es sich um jede Art der organisierten Ablage, die nicht elektronisch sein muss, sondern auch bei systematischer Ablage in einer Akte vorliegen kann. Als intern datenverarbeitende Stelle sind Sie für die Dokumentation und die Information verantwortlich.

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist im Wesentlichen eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Der Inhalt des VVT wird in der DSGVO festgelegt. Demnach müssen die wesentlichen Angaben zur Datenverarbeitung, wie beispielsweise die Kategorie der Daten, der Kreis der betroffenen Personen, der Zweck der Verarbeitung die Rechtsgrundlage, uvm. dokumentiert werden. Das VVT wird sicher von der für den Datenschutz zuständigen Stelle verwaltet und regelmäßig aktualisiert.

Den Umfang der Betroffeneninformationen legen Art. 13 und 14 DSGVO fest. Vor jeder Verarbeitung von personenbezogenen Daten sind die betroffenen Personen vom Verantwortlichen über den Umfang der Datenverarbeitung und ihre Rechte zu informieren. Deshalb müssen die entsprechenden Datenschutzhinweise dringend vor der Verarbeitung den betroffenen Personen zur Kenntnis gebracht werden. Im Fall der Einwilligung genügt die reine Kenntnisnahme nicht und es ist eine eindeutige bestätigende Handlung notwendig. Die Datenschutzhinweise nennen die Zwecke der Verarbeitung, die Rechtsgrundlagen und die Rechte der betroffenen Person. Informationen dazu finden Sie in den Vorlagen zu den Datenschutzhinweisen, Rechtsgrundlage Art. 6 DSGVO.

Den Umfang der zur Verfügung stehenden Rechtsgrundlagen legt Art. 6 DSGVO fest.     
- Art. 6 Abs. 1 S. 1 lit. a) DSGVO: Einwilligung (es ist stets zu prüfen, ob die Verarbeitung auf eine andere Rechtsgrundlage gestützt werden kann).
- Art. 6 Abs. 1 S. 1 lit. b) DSGVO: Vertragserfüllung (nur einschlägig, soweit ein Vertragsverhältnis unmittelbar vom Betroffenen vorliegt, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen). 
- Art. 6 Abs. 1 S. 1 lit. c) DSGVO: rechtliche Verpflichtung (Beispiel: Haushaltsrecht, Ordnungsrecht, Steuerrecht, ö.ä.).
- Art. 6 Abs. 1 S. 1 lit. d) DSGVO: Schutz lebenswichtiger Interessen
- Art. 6 Abs. 1 S. 1 lit. e) DSGVO: Wahrnehmung einer Aufgabe die im öffentlichen Interesse liegt (hier erfolgt in der Regel eine Bezugnahme auf die Aufgaben der Hochschule im öffentlichen Interesse [§ 3 Abs. 1 NHG]) 
- Art. 6 Abs. 1 S. 1 lit. f) DSGVO: berechtigtes Interesse (das berechtigte Interesse an der Datenverarbeitung ist mit dem schutzwürdigen Interesse der betroffenen Person abzuwägen und muss den schutzwürdigen Interessen der betroffenen Person überwiegen. Art. 6 Abs. 1 S. 1 lit. f) gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.  
 

Wird die Einwilligung als Rechtsgrundlage für eine Datenverarbeitung herangezogen, so willigt die betroffene Person freiwillig und nachweislich in die Datenverarbeitung zu den genannten Zwecken ein. Die Einwilligung ist als Rechtsgrundlage wenn möglich zu meiden, da die betroffene Person ihre Einwilligung jederzeit widerrufen kann, was die Datenverarbeitung mit Wirkung für die Zukunft unmöglich macht. Da der Freiwilligkeit ein besonderes Gewicht zukommt ist zu berücksichtigen, dass in Fällen, in denen ein Machtungleichgewicht besteht, diese ggf. nicht gewährleistet werden kann. Die Einwilligung darf nicht an einen Vertrag gekoppelt werden, also Voraussetzung für den Vertragsabschluss sein (sog. Kopplungsverbot). Bei Minderjährigen muss zusätzlich ein Träger der elterlichen Sorge einwilligen. Eine feste Altersgrenze, ab wann die Zustimmung eines Elternteils nicht mehr erforderlich ist, existiert nicht. Empfohlen wird ab dem Alter von 16 Jahren auf die Zustimmung der Eltern zu verzichten und immer den Einzelfall zu prüfen, da dem Betroffenen die Tragweite der Datenverarbeitung bewusst sein muss. 
Wird eine Einwilligung über das Internet abgegeben, so stellt die Dokumentation die verantwortliche Stelle vor besondere Herausforderungen. Hier ist im Wege der Double-Opt-In-Verfahrens sicherzustellen, dass die Abgabe der Einwilligung nachgewiesen werden kann.

Das Double-Opt-In Verfahren findet seinen Einsatz hauptsächlich im Bereich des E-Mail-Marketing und im Bereich der elektronischen Übermittlung einer Einwilligungserklärung im Allgemeinen. Durch das Verfahren stellt der Werbende bzw. der Verantwortliche sicher, dass der Betroffene rechtlich nachweisbar und tatsächlich seine Einwilligung abgegeben hat. In der Praxis hat sich der folgende Ablauf etabliert: 
1.    Der Betroffene gibt seine Einwilligung im ersten Schritt durch aktive Anwahl eines Auswahlkästchens kund, oder hinterlässt seine E-Mail-Adresse auf einer Webseite im Newsletter-Anmeldeformular.
2.    Anschließend bekommt die betroffene Personen eine E-Mail mit einem Aktivierungslink bzw. einer Aufforderung über die Bestätigung der Einwilligung (idealerweise verbunden mit dem konkreten Einwilligungstext in der E-Mail) zugeschickt. 
3.    Protokollierung der IP-Adresse der betroffenen Person, sowie den Zeitpunkt der Zustimmung und der Bestätigung des Aktivierungs-Link (Time Stamp), verbunden mit dem konkreten Einwilligungstext.

Pseudonymisieren ist das Verarbeiten personenbezogener Daten unter Verwendung von Kennziffern, Chiffren, Barcodes etc. Die personenbezogenen Daten können durch die Pseudonymisierung nicht mehr ohne Weiteres einer konkreten Person zugeordnet werden. Eine Zuordnung innerhalb der verantwortlichen Stelle ist jedoch grundsätzlich auch weiterhin mittels des Schlüssels möglich (Bsp.: Matrikelnummer). Bei der Anonymisierung kann die betroffene Person mit verhältnismäßigem Aufwand (im Einzelfall zu bewerten) mit den Mitteln der verantwortlichen Stelle nicht mehr identifiziert werden. Die Anonymisierung entspricht datenschutzrechtlich einer Löschung. Entfällt der Personenbezug durch die Anonymisierung, so gelten grundsätzlich auch keinen datenschutzrechtlichen Vorgaben. Bei der Pseudonymisierung hingegen bleibt der Personenbezug möglich, was das Erfordernis der Einhaltung datenschutzrechtlicher Bestimmungen aufrechterhält.

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen (vgl. Art. 4 Nr. 4 DSGVO). 
Profiling ist dadurch gekennzeichnet, dass Dienstleister und Datensammler Bestände personenbezogener Daten im Wege automatisierter Verarbeitung anhand von Algorithmen auswerten, um auf dieser Grundlage bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um bestimmte Verhaltensweisen zu analysieren oder vorherzusagen. Dies kann bspw. die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel einer natürlichen Person betreffen.
Die betroffene Person sollte keiner Entscheidung von sie betreffenden persönlichen Aspekten unterworfen werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Liegt Profiling vor, sind gesonderte Informationen bei den allgemeinen Datenschutzhinweisen zur Verfügung zu stellen. Bei Profiling-Maßnahmen ist die verantwortliche Stelle außerdem verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen.

Das Scoring ist als ein Unterfall des Profiling zu betrachten. Es ist unter Art. 22 DSGVO zu fassen, der als allgemeine Bestimmung die automatisierte Entscheidung im Einzellfall regelt. Beim Scoring (als einem speziellen Anwendungsfall des Profiling) wird der Einsatz des Bewertungsverfahrens zur Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses herangezogen. Das bedeutet, es werden Entscheidungen auf Grundlage eines zuvor ermittelten Scorewertes gefällt, ohne dass eine dazwischentretende menschliche Entscheidung zustande kommt. Praxisrelevante Fälle sind bspw. die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren, diese verbietet die DSGVO. Erlaubt bleiben hingegen solche Entscheidungen, die nicht vollständig automatisiert sind, bei denen also ein nicht näher definiertes menschliches Eingreifen stattfindet.

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sofern eine Datenverarbeitung im Auftrag erfolgen soll, ist mit dem Auftragsverarbeiter ein Vertrag gemäß Art. 28 Abs. 3 DSGVO abzuschließen. Gemäß Art. 28 Abs. 1 DSGVO darf nur mit Auftragsverarbeitern zusammengearbeitet werden, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Ein Vertragsmuster für die Auftragsdatenverarbeitung erhalten Sie bei Bedarf von der für den Datenschutz zuständigen Stelle bzw. direkt auf der Intranetseite.

Gemeinsam verantwortlich sind zwei oder mehr Verantwortliche nach Art. 26 DSGVO immer dann, wenn sie die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten gemeinsam festlegen. In Abgrenzung zur Auftragsdatenverarbeitung agieren die Verantwortlichen bei gemeinsamer Verarbeitung gleichberechtigt und im Wesentlichen weisungsungebunden. Dies betrifft insbesondere Forschungsprojekte und die Nutzung von Social Media Diensten. Liegt eine gemeinsame Verantwortlichkeit vor, müssen die Verantwortlichen eine Vereinbarung schließen, die in transparenter Form festlegt, wer welche Verpflichtungen aus der DSGVO erfüllt. Ein Vertragsmuster für die gemeinsame Verantwortlichkeit erhalten Sie bei Bedarf von der Datenschutzstelle.

Die betroffene Person darf in angemessenen Abständen Auskunft über die Datenverarbeitung, insbesondere über deren Zwecke, den Umfang der verarbeiteten Daten und die Empfänger verlangen (Art. 15 DSGVO). Mehr Informationen über das Auskunftsrecht finden Sie in unserer Handreichung zu den Betroffenenrechten.

Das Prinzip der Datensparsamkeit verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Der konkrete Zweck ist vor dem Beginn der Verarbeitungstätigkeit vom Verantwortlichen festzulegen.
Grundsätzlich kann hier keine pauschale Aussage im Hinblick auf die in Ihrem Bereich anzusetzende Speicherdauer bzw. die Löschroutine getroffen werden. Orientieren Sie sich wenn möglich an gesetzlichen Aufbewahrungsfristen und kontaktieren Sie bei Unsicherheiten die für den Datenschutz zuständige Stelle. Stellen Sie sich immer die Frage, ob das Vorhalten der Daten im Einzelfall tatsächlich notwenidg ist, oder lediglich der Vorratsdatenspeicherung dient.

Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung / unbefugtem Zugang zu personenbezogenen Daten führt. Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen (Art. 33 Abs. 1 DSGVO).

Sobald Ihnen ein Verstoß gegen den Schutz personenbezogener Daten oder eine Unregelmäßigkeit bei der Verarbeitung personenbezogener Daten bekannt ist, wenden Sie sich bitte unverzüglich an die für den Datenschutz zuständige Stelle der Leuphana Universität. Diese entscheidet über das weitere Verfahren und wird im Falle des Vorliegens einer meldepflichtigen Datenschutzverletzung die zuständige Aufsichtsbehörde in Kenntnis setzen, es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Weitere Hinweise und ein Formular zu einem Datenschutzvorfall finden Sie hier: Hinweise & Formular downloaden.

Die Datenschutz-Folgenabschätzung (DSFA) ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Bei Formen der Verarbeitung (hier steht ein einzelner Verarbeitungsvorgang zur Rede), die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben (insbesonder bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung) ist eine DSFA nach Art. 35 DSGVO durchzuführen. Sie befasst sich mit Abhilfemaßnahmen, durch die der Schutz von personenbezogenen Daten sichergestellt und die Einhaltung der DSGVO nachgewiesen werden kann. 
Typische Anwendungsbeispiele: 
-    Umfangreiche Verarbeitung von Personalaktendaten, die auch vertrauliche und höchstpersönliche Daten betrifft (Personalverwaltung).
-    Automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung persönlicher Aspekte der betroffenen Personen (Persönlichkeitsauswertung)
-    Umfangreiche und innovative Verarbeitung vertraulicher oder höchstpersönlicher Daten in Drittländern
-    Umfangreiche Verarbeitung von Sozialdaten
 

Die Erstellung von Foto- und/oder Videoaufnahmen kann sowohl auf eine Rechtsgrundlage, als auch auf die Einwilligung zurückgeführt werden. Beachten Sie bitte, dass die zur Verfügung stehenden Rechstgrundlagen ggü. der Einwilligung zu bevorzugen sind. Werden Foto- und/oder Videoaufnahmen erstellt beachten Sie bitte, dass die Verwendung in Zusammenhang mit Social-Media-Kanälen ggf. den Abschluss einer gesonderten Vereinbarung zum Datenschutz mit den jeweiligen Anbietern erforderlich macht. Es empfielt sich zudem, auf die sog. „Buttonlösung“ zurückzugreifen: Indem Sie am Einlass auf die geplanten Aufnahmen hinweisen und farbige Ansteckbuttons oder Aufklebern für Personen, die nicht aufgenommen werden möchten, zur Verfügung stellen, können Sie das Risiko stark minimieren, dass die betroffenen Personen nachträglich ihre Einwilligung widerrufen oder der Datenverarbeitung widersprechen, was in der Regel zur Unbrauchbarkeit Ihrer Aufnahmen führt. 
Weiterhin sollten die Aufnahmen idealerweise unter Einsatz einer SHK erfolgen. Die Beauftragung eines freiberuflichen Fotografen erfordert eine zusätzliche schriftliche Vereinbarung und bedarf einer gesonderten Überprüfung der oder des Fotografen in Bezug auf deren/dessen datenschutzrechtlichen Vorkehrungen.
Bitte orientieren Sie sich an der Handreichung zur Organisation von Veranstaltungen und den dortigen Hinweisen zur Erstellung von Foto- und/oder Videoaufnahmen.

Personenbezogene Daten dürfen nicht ohne Weiteres an Dritte übermittelt werden. Jede Übermittlung (an Personen / Stellen außerhalb der verantwortlichen Stelle) stellt einen eigenständigen Verarbeitungsvorgang dar und bedarf somit im Vorwege einer Rechtsgrundlage (Art. 6 DSGVO oder Auftragsdatenverarbeitung). Werden die Daten darüber hinaus in ein Drittland übermittelt (an eine Stelle außerhalb der EU / des EWR, bspw.: USA), so muss der Verantwortliche sicherstellen, dass durch zusätzliche Anforderungen ein angemessenes Datenschutzniveau nachgewiesen werden kann. Dieser Nachweis kann auf unterschiedlichen Grundlagen basieren: 
-    Das Datenschutzniveau des Ziellandes wurde von der Europäischen Kommission als angemessen anerkannt (dies gilt bspw. für Argentinien, Canada, Schweiz, Neuseeland, Uruguay etc.)
-    Der Empfänger der personenbezogenen Daten ist im Rahmen der Privacy-Shield-Zertifizierung nachweisebar als Stelle mit einem vertretbaren Datenschutzniveau gelistet. Die Zertifizierung ist umstritten, da sie lediglich auf Grundlage des Selbstverständnisses der Stellen vorgenommen wird. 
-    Übermittler und Empfänger der personenbezogenen Daten haben eine Vereinbarung abgeschlossen, die auf den Standardvertragsklauseln der Europäischen Kommission basiert und somit geeignete Maßnahmen zum Schutz der personenbezogenen Daten vorsieht.
-    Der Empfänger hat spezielle genehmigte Schutzverfahren (Binding-Corporate-Rules) installiert, um den Schutz personenbezogener Daten am Niveau der EU sicherzustellen.

Der universitäre Forschungsbereich ist ein datenschutzrechtliches Spezialthema und umfasst diverse kritische Felder, die es aus datenschutzrechtlicher Sicht richtig einzuordnen gilt. Bitte nutzen Sie für umfassende Informationen unsere Handreichung zur Forschung. 

Für personenbezogene Daten von Kindern ist ein zusätzlicher Schutz vorgesehen, da Kinder sich der Risiken und Folgen des Datenaustauschs und ihrer Rechte weniger bewusst sind. Jegliche Informationen, die sich speziell an Kinder richten, sollten so angepasst werden, dass sie in leicht zugänglicher Form und in einer klaren und einfachen Sprache abgefasst sind. 
Bei der Verarbeitung personenbezogener Daten eines Kindes ist die Einwilligung eines Elternteils oder Erziehungsberechtigten erforderlich. Die Altersgrenze für das Einwilligunserfordernis der Eltern variiert zwischen 13 und 16 Jahren, je nach Festlegung im jeweiligen EU-Mitgliedstaat. Die DSGVO sieht eine Grenze von 16 Jahren vor. Da allerdings nicht nur auf das Alter, sondern insbesondere auf die Einsichtfähigkeit ankommt und das Kind in der Lage sein muss, die Tragweite seiner Entscheidung vernünftigerweise abzusehen, wird empfohlen, die Einwilligung eines Trägers der elterlichen Verantwortung bei Minderjährigen grundsätzlich mit einzuholgen.

Nach Art. 82 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht der Verordnung entsprechende Verarbeitung verursacht wird.