Sächsisches Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 (Sächsisches Datenschutz-Umsetzungsgesetz – SächsDSUG)

Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89, L 127 vom 23.5.2018, S. 9).">¹

erlassen als Artikel 3 des

Gesetzes zur Neustrukturierung des Polizeirechtes des Freistaates Sachsen

Vom 11. Mai 2019

Inhaltsübersicht

Abschnitt 1 Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

Abschnitt 2 Rechtsgrundlagen der Verarbeitung personenbezogener Daten

§ 4

Verarbeitung besonderer Kategorien personenbezogener Daten

§ 5

Verarbeitung zu anderen Zwecken

§ 6

Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken

§ 7

Verarbeitung auf Grund einer Einwilligung

§ 8

Verarbeitung auf Weisung des Verantwortlichen

§ 9

Datengeheimnis

§ 10

Automatisierte Einzelentscheidung

Abschnitt 3 Rechte der betroffenen Person

§ 11

Allgemeine Informationen zur Datenverarbeitung

§ 12

Benachrichtigung betroffener Personen

§ 13

Auskunftsrecht

§ 14

Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung

§ 15

Verfahren für die Ausübung der Rechte der betroffenen Person

§ 16

Recht zur Anrufung des Sächsischen Datenschutzbeauftragten

§ 17

Gerichtlicher Rechtsschutz gegen Anordnungen des Sächsischen Datenschutzbeauftragten und bei dessen Untätigkeit

Abschnitt 4 Pflichten der Verantwortlichen und Auftragsverarbeiter

§ 18

Auftragsverarbeitung

§ 19

Gemeinsam Verantwortliche

§ 20

Sicherheit der Datenverarbeitung

§ 21

Meldungen von Verletzungen des Schutzes personenbezogener Daten an den Sächsischen Datenschutzbeauftragten

§ 22

Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten

§ 23

Durchführung einer Datenschutz-Folgenabschätzung

§ 24

Zusammenarbeit mit dem Sächsischen Datenschutzbeauftragten

§ 25

Anhörung des Sächsischen Datenschutzbeauftragten

§ 26

Verzeichnis von Verarbeitungstätigkeiten

§ 27

Technikgestaltung und datenschutzfreundliche Voreinstellungen

§ 28

Unterscheidung zwischen verschiedenen Kategorien betroffener Personen

§ 29

Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen

§ 30

Verfahren bei Übermittlungen

§ 31

Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung

§ 32

Protokollierung

§ 33

Vertrauliche Meldungen von Verstößen

Abschnitt 5 Datenschutzbeauftragter

Abschnitt 6 Sächsischer Datenschutzbeauftragter

Abschnitt 7 Datenübermittlung an Drittstaaten und an internationale Organisationen

§ 42

Allgemeine Voraussetzungen

§ 43

Datenübermittlung ohne Angemessenheitsbeschluss mit geeigneten Garantien

§ 44

Datenübermittlung ohne Angemessenheitsbeschluss und ohne geeignete Garantien

§ 45

Sonstige Datenübermittlung an Empfänger in Drittstaaten

Abschnitt 8 Gegenseitige Amtshilfe

§ 46

Gegenseitige Amtshilfe

Abschnitt 9 Schadensersatz und Sanktionen

Abschnitt 10 Einschränkung von Grundrechten

§ 50

Einschränkung von Grundrechten

Abschnitt 1 Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

§ 1 Anwendungsbereich

(1)

Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen des Freistaates Sachsen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten.

Die öffentlichen Stellen gelten dabei als Verantwortliche.

Die Verhütung von Straftaten im Sinne des Satzes 1 umfasst den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit.

(2) Absatz 1 Satz 1 und 2 findet zudem Anwendung auf diejenigen öffentlichen Stellen des Freistaates Sachsen, die für die Vollstreckung von Strafen, von Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des

Strafgesetzbuchs

, von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des

Jugendgerichtsgesetzes

in der Fassung der Bekanntmachung vom 11. Dezember 1974 (BGBl. I S. 3427), das zuletzt durch Artikel 4 des Gesetzes vom 27. August 2017 (BGBl. I S. 3295) geändert worden ist, in der jeweils geltenden Fassung, und von Geldbußen zuständig sind.

(3) Nehmen nicht-öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes.

(4) Für Auftragsverarbeiter gilt dieses Gesetz nur, soweit dies ausdrücklich geregelt ist.

(5)

Andere Rechtsvorschriften des Freistaates Sachsen oder des Bundes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor.

Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung.

(6)

Bei der Verarbeitung personenbezogener Daten zur Erfüllung der Aufgaben nach den Absätzen 1 und 2 stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mitgliedstaaten der Europäischen Union gleich.

Andere Staaten gelten insoweit als Drittstaaten.

§ 2 Begriffsbestimmungen

Im Sinne dieses Gesetzes bedeutet der Begriff:

öffentliche Stellen des Freistaates Sachsen: die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Freistaates Sachsen, einer Gemeinde, eines Landkreises oder sonstiger der Aufsicht des Freistaates Sachsen unterstehenden juristischen Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform;

personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;

Verarbeitung: jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Einschränkung der Verarbeitung: die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

Profiling: jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, der Aufenthaltsorte oder der Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

Pseudonymisierung: die Verarbeitung personenbezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden sowie technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten keiner betroffenen Person zugewiesen werden können;

Dateisystem: jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

Verantwortlicher: die zuständige öffentliche Stelle des Freistaates Sachsen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet;

Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

10.

Empfänger: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften möglicherweise personenbezogene Daten erhalten, gelten nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

11.

Verletzung des Schutzes personenbezogener Daten: eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten geführt hat, die verarbeitet wurden;

12.

genetische Daten: personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser Person liefern, insbesondere solche, die aus der Analyse einer biologischen Probe der Person gewonnen wurden;

13.

biometrische Daten: mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;

14.

Gesundheitsdaten: personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

15.

besondere Kategorien personenbezogener Daten:

Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,

genetische Daten,

biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,

Gesundheitsdaten und

Daten zum Sexualleben oder zur sexuellen Orientierung;

16.

Aufsichtsbehörde: eine von einem Mitgliedstaat gemäß Artikel 41 der Richtlinie (EU) 2016/680 eingerichtete unabhängige staatliche Stelle;

17.

internationale Organisation: eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Staaten geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde;

18.

Einwilligung: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

§ 3 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle des Freistaates Sachsen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(2)

Personenbezogene Daten müssen

auf rechtmäßige Weise sowie nach Treu und Glauben verarbeitet werden,

für festgelegte, eindeutige und rechtmäßige Zwecke erhoben sowie nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,

dem Verarbeitungszweck entsprechen und für das Erreichen des Verarbeitungszwecks erforderlich sein; ihre Verarbeitung darf nicht außer Verhältnis zu diesem Zweck stehen,

sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden, und

in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Personenbezogene Daten dürfen nicht länger, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht.

Abschnitt 2 Rechtsgrundlagen der Verarbeitung personenbezogener Daten

§ 4 Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist und

in einer Rechtsvorschrift vorgesehen ist,

der Wahrung lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person dient oder

sich auf Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat.

(2)

Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen.

Geeignete Garantien können insbesondere sein:

spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle,

die Festlegung von besonderen Aussonderungsprüffristen,

die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,

die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle,

die von anderen Daten getrennte Verarbeitung,

die Pseudonymisierung personenbezogener Daten,

die Verschlüsselung personenbezogener Daten oder

spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.

§ 5 Verarbeitung zu anderen Zwecken

Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen der in § 1 Absatz 1 und 2 genannten Zwecke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist.

Die Verarbeitung personenbezogener Daten zu einem anderen, in § 1 Absatz 1 und 2 nicht genannten Zweck ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

§ 6 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken

Personenbezogene Daten dürfen im Rahmen der in § 1 Absatz 1 und 2 genannten Zwecke in archivarischer, wissenschaftlicher oder statistischer Form verarbeitet werden, wenn hieran ein öffentliches Interesse besteht und geeignete Garantien für die Rechtsgüter der betroffenen Personen vorgesehen werden.

Solche Garantien können in einer so zeitnah wie möglich erfolgenden Anonymisierung der personenbezogenen Daten, in Vorkehrungen gegen ihre unbefugte Kenntnisnahme durch Dritte oder in ihrer räumlich und organisatorisch von den sonstigen Fachaufgaben getrennten Verarbeitung bestehen.

§ 7 Verarbeitung auf Grund einer Einwilligung

(1) Soweit die Verarbeitung personenbezogener Daten nach einer Rechtsvorschrift auf der Grundlage einer Einwilligung erfolgen kann, muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen können.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in einer klaren und einfachen Sprache in verständlicher und leicht zugänglicher Form so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

(3)

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.

Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der auf Grund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Die betroffene Person ist vor der Abgabe der Einwilligung hiervon in Kenntnis zu setzen.

(4)

Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht.

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, müssen die Umstände der Erteilung berücksichtigt werden.

Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung hinzuweisen.

Ist dies nach den Umständen des Einzelfalls erforderlich oder verlangt die betroffene Person dies, ist sie auch über die Folgen der Verweigerung der Einwilligung zu belehren.

(5) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.

§ 8 Verarbeitung auf Weisung des Verantwortlichen

Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass der Auftragsverarbeiter oder die dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person nach einer Rechtsvorschrift zur Verarbeitung verpflichtet ist.

§ 9 Datengeheimnis

Mit der Verarbeitung personenbezogener Daten befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis).

Die Personen nach Satz 1 sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis schriftlich zu verpflichten.

Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.

§ 10 Automatisierte Einzelentscheidung

(1) Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung, die mit einer nachteiligen Rechtsfolge für die betroffene Person verbunden ist oder sie erheblich beeinträchtigt, ist nur zulässig, wenn sie in einer Rechtsvorschrift, die zumindest das Recht auf persönliches Eingreifen seitens des Verantwortlichen enthält, vorgesehen ist.

(2) Entscheidungen nach Absatz 1 dürfen nicht auf besonderen Kategorien personenbezogener Daten beruhen, sofern nicht geeignete Maßnahmen zum Schutz der Rechtsgüter und der berechtigten Interessen der betroffenen Person getroffen wurden.

(3) Profiling, das zur Folge hat, dass betroffene Personen auf der Grundlage von besonderen Kategorien personenbezogener Daten diskriminiert werden, ist verboten.

Abschnitt 3 Rechte der betroffenen Person

§ 11 Allgemeine Informationen zur Datenverarbeitung

Der Verantwortliche hat in allgemeiner Form und für jedermann zugänglich Informationen zur Verfügung zu stellen über:

die Existenz eines Verarbeitungsvorgangs,

die Zwecke der von ihm vorgenommenen Verarbeitungen,

die im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten bestehenden Rechte der betroffenen Person auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung,

den Namen und die Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten und

das Recht, den Sächsischen Datenschutzbeauftragten anzurufen, und dessen Kontaktdaten.

§ 12 Benachrichtigung betroffener Personen

(1) Ist die Benachrichtigung betroffener Personen über die Verarbeitung sie betreffender personenbezogener Daten in speziellen Rechtsvorschriften, insbesondere bei verdeckten Maßnahmen, vorgesehen oder angeordnet, hat diese Benachrichtigung zumindest folgende Angaben zu enthalten:

die Angaben nach § 11,

die Rechtsgrundlage der Verarbeitung,

die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,

gegebenenfalls die Kategorien von Empfängern der personenbezogenen Daten und

erforderlichenfalls weitere Informationen, insbesondere, wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben wurden.

(2) In den Fällen des Absatzes 1 kann der Verantwortliche die Benachrichtigung insoweit und solange aufschieben, einschränken oder unterlassen, wie andernfalls

die Erfüllung der Aufgaben nach § 1 Absatz 1 und 2,

die öffentliche Sicherheit oder

Rechtsgüter Dritter

gefährdet würden, wenn das Interesse an der Vermeidung dieser Gefahren das Informationsinteresse der betroffenen Person überwiegt.

(3) Bezieht sich die Benachrichtigung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, ist sie nur mit Zustimmung der Stellen zulässig, an die die Daten übermittelt wurden.

(4) Im Fall der Einschränkung nach Absatz 2 gilt § 13 Absatz 5 entsprechend.

§ 13 Auskunftsrecht

(1)

Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft darüber zu erteilen, ob er sie betreffende personenbezogene Daten verarbeitet.

Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über:

die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören,

alle verfügbaren Informationen über die Herkunft der Daten,

die Zwecke der Verarbeitung und deren Rechtsgrundlage,

die Empfänger oder die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, insbesondere bei Empfängern in Drittstaaten oder bei internationalen Organisationen,

die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,

das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten durch den Verantwortlichen und

das Recht, den Sächsischen Datenschutzbeauftragten anzurufen, und dessen Kontaktdaten.

(2) Der Verantwortliche kann insoweit und solange von der Auskunft nach Absatz 1 Satz 1 absehen oder die Auskunftserteilung nach Absatz 1 Satz 2 teilweise oder vollständig einschränken, wie andernfalls

die Erfüllung der Aufgaben nach § 1 Absatz 1 und 2,

die öffentliche Sicherheit oder

Rechtsgüter Dritter

gefährdet würden, wenn das Interesse an der Vermeidung dieser Gefahren das Informationsinteresse der betroffenen Person überwiegt.

(3) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, ist sie nur mit Zustimmung der Stellen zulässig, an die die Daten übermittelt wurden.

(4)

Der Verantwortliche hat die betroffene Person über das Absehen von einer Auskunft oder die Einschränkung einer Auskunft unverzüglich schriftlich zu unterrichten.

Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des Absatzes 2 mit sich bringen würde.

Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von der Auskunft oder der Einschränkung der Auskunft verfolgten Zweck gefährden würde.

(5)

Wird die betroffene Person nach Absatz 4 über das Absehen von der Auskunft oder die Einschränkung der Auskunft unterrichtet, kann sie ihr Auskunftsrecht auch über den Sächsischen Datenschutzbeauftragten ausüben.

Der Verantwortliche hat die betroffene Person über diese Möglichkeit und darüber zu unterrichten, dass sie den Sächsischen Datenschutzbeauftragten anrufen oder gerichtlichen Rechtsschutz suchen kann.

Macht die betroffene Person von ihrem Recht nach Satz 1 Gebrauch, ist die Auskunft auf ihr Verlangen dem Sächsischen Datenschutzbeauftragten zu erteilen.

Der Sächsische Datenschutzbeauftragte hat die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen erfolgt sind oder eine Überprüfung durch ihn erfolgt ist.

Die Mitteilung des Sächsischen Datenschutzbeauftragten an die betroffene Person kann die Information enthalten, ob datenschutzrechtliche Verstöße festgestellt wurden.

Die Mitteilung darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser keiner weitergehenden Auskunft zustimmt.

Der Verantwortliche darf die Zustimmung nur insoweit und solange verweigern, wie er nach Absatz 2 von einer Auskunft absehen oder sie einschränken könnte.

Der Sächsische Datenschutzbeauftragte hat zudem die betroffene Person über ihr Recht auf gerichtlichen Rechtsschutz zu unterrichten.

(6) Der Verantwortliche hat die sachlichen oder rechtlichen Gründe für die Entscheidung zu dokumentieren.

§ 14 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung

(1)

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger Daten zu verlangen.

Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder der Beurteilung, sondern die Tatsache, dass die Aussage oder Beurteilung so erfolgt ist.

Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung.

In diesem Fall hat der Verantwortliche die betroffene Person zu unterrichten, bevor er die Einschränkung wieder aufhebt.

Die betroffene Person kann zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist.

(2)

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Löschung sie betreffender Daten zu verlangen, wenn deren Verarbeitung unzulässig ist, deren Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist oder diese zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen.

Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden, oder die Daten zu Beweiszwecken in Verfahren, die Zwecken des § 1 Absatz 1 und 2 dienen, weiter aufbewahrt werden müssen.

(3) In ihrer Verarbeitung eingeschränkte Daten dürfen nur für den Zweck verarbeitet werden, der ihrer Löschung entgegenstand.

(4) Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschränkung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist.

(5)

Hat der Verantwortliche eine Berichtigung vorgenommen, hat er der Stelle, die ihm die personenbezogenen Daten zuvor übermittelt hat, die Berichtigung mitzuteilen.

In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Absätzen 1 bis 3 hat der Verantwortliche Empfängern, denen die Daten übermittelt wurden, diese Maßnahmen mitzuteilen.

Die Empfänger haben die Daten zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken.

(6)

Der Verantwortliche hat die betroffene Person über ein Absehen von der Berichtigung oder Löschung personenbezogener Daten oder über die an deren Stelle tretende Einschränkung der Verarbeitung schriftlich zu unterrichten.

Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 13 Absatz 2 mit sich bringen würde.

Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von der Unterrichtung verfolgten Zweck gefährden würde.

(7) § 13 Absatz 5 und 6 gilt entsprechend.

§ 15 Verfahren für die Ausübung der Rechte der betroffenen Person

(1)

Der Verantwortliche hat mit betroffenen Personen unter Verwendung einer klaren und einfachen Sprache in präziser, verständlicher und leicht zugänglicher Form zu kommunizieren.

Unbeschadet besonderer Formvorschriften soll er bei der Beantwortung von Anträgen grundsätzlich die für den Antrag gewählte Form verwenden.

(2) Bei Anträgen hat der Verantwortliche die betroffene Person unbeschadet des § 13 Absatz 4 und des § 14 Absatz 6 unverzüglich schriftlich darüber in Kenntnis zu setzen, wie verfahren wurde.

(3)

Die Erteilung von Informationen nach § 11, die Benachrichtigungen nach den §§ 12 und 22 sowie die Bearbeitung von Anträgen nach den §§ 13 und 14 erfolgen unentgeltlich.

Bei offenkundig unbegründeten oder exzessiven Anträgen nach den §§ 13 und 14 kann der Verantwortliche entweder eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, auf Grund des Antrags tätig zu werden.

In diesem Fall muss der Verantwortliche die offenkundige Unbegründetheit oder den exzessiven Charakter des Antrags belegen können.

(4) Hat der Verantwortliche begründete Zweifel an der Identität einer betroffenen Person, die einen Antrag nach § 13 oder § 14 gestellt hat, kann er von ihr zusätzliche Informationen anfordern, die zur Bestätigung ihrer Identität erforderlich sind.

§ 16 Recht zur Anrufung des Sächsischen Datenschutzbeauftragten

(1)

Jede betroffene Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an den Sächsischen Datenschutzbeauftragten wenden, wenn sie der Auffassung ist, bei der Verarbeitung ihrer durch öffentliche Stellen für Zwecke nach § 1 Absatz 1 und 2 erhobenen personenbezogenen Daten in ihren Rechten verletzt worden zu sein.

Dies gilt nicht für die Verarbeitung personenbezogener Daten durch Gerichte, soweit diese die Daten im Rahmen ihrer justiziellen Tätigkeit verarbeitet haben.

Der Sächsische Datenschutzbeauftragte hat die betroffene Person über den Stand und das Ergebnis der Beschwerde zu unterrichten und sie hierbei auf die Möglichkeit gerichtlichen Rechtsschutzes nach § 17 hinzuweisen.

(2)

Der Sächsische Datenschutzbeauftrage hat eine bei ihm eingelegte Beschwerde über eine Verarbeitung, die in die Zuständigkeit einer Aufsichtsbehörde eines anderen Bundeslandes, des Bundes oder eines anderen Mitgliedstaates der Europäischen Union fällt, unverzüglich an die zuständige Aufsichtsbehörde weiterzuleiten.

Er hat in diesem Fall die betroffene Person über die Weiterleitung zu unterrichten und ihr auf deren Ersuchen weitere Unterstützung zu leisten.

§ 17 Gerichtlicher Rechtsschutz gegen Anordnungen des Sächsischen Datenschutzbeauftragten und bei dessen Untätigkeit

(1) Jede natürliche oder juristische Person kann unbeschadet anderer Rechtsbehelfe gerichtlich gegen eine verbindliche Entscheidung des Sächsischen Datenschutzbeauftragten vorgehen.

(2) Absatz 1 gilt entsprechend für betroffene Personen, wenn sich der Sächsische Datenschutzbeauftragte mit einer Beschwerde nach § 16 nicht befasst oder die betroffene Person nicht innerhalb von drei Monaten nach Einlegung der Beschwerde über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

(3)

In Verfahren nach den Absätzen 1 und 2 ist der Sächsische Datenschutzbeauftragte beteiligungsfähig.

Er ist in diesen Verfahren der Beklagte oder der Antragsgegner.

(4) Der Sächsische Datenschutzbeauftragte darf gegenüber einer Behörde oder deren Rechtsträger nicht die sofortige Vollziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der

Verwaltungsgerichtsordnung

in der Fassung der Bekanntmachung vom 19. März 1991 (BGBl. I S. 686), die zuletzt durch Artikel 7 des Gesetzes vom 12. Juli 2018 (BGBl. I S. 1151) geändert worden ist, in der jeweils geltenden Fassung, anordnen.

Abschnitt 4 Pflichten der Verantwortlichen und Auftragsverarbeiter

§ 18 Auftragsverarbeitung

(1)

Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen.

Die Rechte der betroffenen Person auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.

(2) Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

(3)

Auftragsverarbeiter dürfen ohne vorherige schriftliche Genehmigung des Verantwortlichen keine weiteren Auftragsverarbeiter hinzuziehen.

Hat der Verantwortliche dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter erteilt, hat der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung zu informieren.

Der Verantwortliche kann in diesem Fall die Hinzuziehung oder Ersetzung untersagen.

(4)

Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, hat er diesem dieselben Verpflichtungen aus seinem Vertrag mit dem Verantwortlichen nach Absatz 5 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon auf Grund anderer Vorschriften verbindlich sind.

Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.

(5)

Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage einer Verwaltungsvorschrift, eines Vertrags oder eines schriftlichen Auftrags zu erfolgen, der den Auftragsverarbeiter an den Verantwortlichen bindet und der den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Rechte und Pflichten des Verantwortlichen festlegt.

Die Verwaltungsvorschrift, der Vertrag oder der schriftliche Auftrag haben insbesondere vorzusehen, dass der Auftragsverarbeiter

nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren,

gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,

den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten,

alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,

dem Verantwortlichen alle erforderlichen Informationen, insbesondere die gemäß § 32 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt,

Überprüfungen, die von dem Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt,

die in den Absätzen 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält,

alle gemäß § 20 erforderlichen Maßnahmen ergreift und

unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 20 bis 23 und 25 genannten Pflichten unterstützt.

(6) Der Vertrag im Sinne des Absatzes 5 ist schriftlich oder elektronisch abzufassen.

(7) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen die Absätze 1 bis 6 bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.

§ 19 Gemeinsam Verantwortliche

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam Verantwortliche.

Die gemeinsam Verantwortlichen haben in diesen Fällen ihre jeweiligen Aufgaben und datenschutzrechtlichen Verantwortlichkeiten in transparenter Form in einer Vereinbarung festzulegen, soweit diese nicht bereits in Rechtsvorschriften festgelegt sind.

Aus der Vereinbarung muss insbesondere hervorgehen, wer welchen Informationspflichten nachzukommen hat sowie wie und gegenüber wem betroffene Personen ihre Rechte wahrnehmen können.

Eine entsprechende Vereinbarung hindert die betroffene Person nicht, ihre Rechte gegenüber jedem der gemeinsam Verantwortlichen geltend zu machen.

§ 20 Sicherheit der Datenverarbeitung

(1)

Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten.

Diese Maßnahmen werden vom Verantwortlichen und vom Auftragsverarbeiter regelmäßig überprüft und aktualisiert.

(2)

Die Maßnahmen nach Absatz 1 können insbesondere die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind.

Die Maßnahmen nach Absatz 1 sollen dazu führen, dass

die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden sowie

die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.

(3)

Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

Verwehrung des Zugangs zu Anlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),

Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),

Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),

Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),

Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle),

Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),

Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),

Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt wird (Transportkontrolle),

Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),

10.

Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),

11.

Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),

12.

Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

13.

Gewährleistung, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), und

14.

Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).

Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.

§ 21 Meldungen von Verletzungen des Schutzes personenbezogener Daten an den Sächsischen Datenschutzbeauftragten

(1)

Der Verantwortliche hat die Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm diese bekannt wurden, dem Sächsischen Datenschutzbeauftragten zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat.

Erfolgt die Meldung an den Sächsischen Datenschutzbeauftragten nicht binnen 72 Stunden, ist die Verzögerung zu begründen.

(2) Ein Auftragsverarbeiter hat Verletzungen des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.

(3) Die Meldung nach Absatz 1 Satz 1 hat zumindest folgende Informationen zu enthalten:

eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren Zahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Zahl der betroffenen personenbezogenen Datensätze zu enthalten hat,

den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann,

eine Beschreibung der wahrscheinlichen Folgen der Verletzung und

eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung und der getroffenen Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(4) Wenn die Informationen nach Absatz 3 nicht zusammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen.

(5)

Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren.

Die Dokumentation hat alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen.

(6) Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, sind die Informationen nach Absatz 3 dem dortigen Verantwortlichen unverzüglich zu übermitteln.

(7) Der Inhalt einer Meldung nach Absatz 1 Satz 1 darf in einem Strafverfahren oder in einem Verfahren nach dem

Gesetz über Ordnungswidrigkeiten

in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 3 des Gesetzes vom 17. Dezember 2018 (BGBl. I S. 2571) geändert worden ist, in der jeweils geltenden Fassung, gegen den Verantwortlichen oder seine in § 52 Absatz 1 der

Strafprozessordnung

in der Fassung der Bekanntmachung vom 7. April 1987 (BGBl. I S. 1074, 1319), die zuletzt durch Artikel 3 des Gesetzes vom 18. April 2019 (BGBl. I S. 466) geändert worden ist, in der jeweils geltenden Fassung, bezeichneten Angehörigen nur mit Zustimmung des Verantwortlichen verwendet werden.

§ 22 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten

(1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine erhebliche Gefahr für Rechtsgüter betroffener Personen zur Folge, hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen.

(2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die Informationen nach § 21 Absatz 3 Nummer 2 bis 4 zu enthalten.

(3) Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn

der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen personenbezogenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie eine Verschlüsselung, durch die personenbezogene Daten für unbefugte Personen unzugänglich gemacht wurden,

der Verantwortliche durch der Verletzung nachfolgende Maßnahmen sichergestellt hat, dass die erhebliche Gefahr für Rechtsgüter betroffener Personen aller Wahrscheinlichkeit nach nicht mehr besteht, oder

dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

(4) Wenn der Verantwortliche die betroffenen Personen nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann der Sächsische Datenschutzbeauftragte unter Berücksichtigung der Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten eine erhebliche Gefahr zur Folge hat, von dem Verantwortlichen verlangen, dies nachzuholen oder feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.

(5)

Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den Voraussetzungen nach § 12 Absatz 2 aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person auf Grund der von der Verletzung ausgehenden erheblichen Gefahr im Sinne des Absatzes 1 überwiegen.

Erfolgte die Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, ist eine Benachrichtigung nach Absatz 1 nur mit Zustimmung der Stellen zulässig, an die die Daten übermittelt wurden.

(6) Der Inhalt einer Benachrichtigung nach Absatz 1 darf in einem Strafverfahren oder in einem Verfahren nach dem

Gesetz über Ordnungswidrigkeiten

gegen den Verantwortlichen oder seine in § 52 Absatz 1 der

Strafprozessordnung

bezeichneten Angehörigen nur mit Zustimmung des Verantwortlichen verwendet werden.

§ 23 Durchführung einer Datenschutz-Folgenabschätzung

(1) Hat eine Form der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten und eine nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen.

(2) Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden.

(3) Der Verantwortliche hat den Datenschutzbeauftragten an der Durchführung einer Datenschutz-Folgenabschätzung zu beteiligen.

(4) Die Folgenabschätzung hat den Rechten und den berechtigten Interessen der von der Verarbeitung betroffenen Personen und sonstiger Betroffener Rechnung zu tragen sowie zumindest Folgendes zu enthalten:

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,

eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,

eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und

die Maßnahmen, mit denen bestehenden Gefahren abgeholfen wird, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt sowie die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.

(5) Soweit erforderlich hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Folgenabschätzung ergeben haben.

(6)

Der Verantwortliche hat dem Sächsischen Datenschutzbeauftragten die nach Absatz 1 durchgeführte Datenschutz-Folgenabschätzung vorzulegen.

Auf Anforderung sind dem Sächsischen Datenschutzbeauftragten zudem alle sonstigen Informationen zu übermitteln, die er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.

§ 24 Zusammenarbeit mit dem Sächsischen Datenschutzbeauftragten

Der Verantwortliche und der Auftragsverarbeiter haben mit dem Sächsischen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zusammenzuarbeiten.

§ 25 Anhörung des Sächsischen Datenschutzbeauftragten

(1)

Der Verantwortliche oder der Auftragsverarbeiter hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen den Sächsischen Datenschutzbeauftragten anzuhören, wenn

aus einer Datenschutz-Folgenabschätzung nach § 23 hervorgeht, dass die Verarbeitung eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hätte, wenn der Verantwortliche keine Abhilfemaßnahmen treffen würde, oder

die Form der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten und eine nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren, eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hat.

Der Sächsische Datenschutzbeauftragte kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur Anhörung nach Satz 1 unterliegen.

(2)

Dem Sächsischen Datenschutzbeauftragten sind im Fall des Absatzes 1 vorzulegen:

die gemäß § 23 durchgeführte Datenschutz-Folgenabschätzung,

gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,

Angaben zu den Zwecken und Mitteln der beabsichtigten Verarbeitung,

Angaben zu den zum Schutz der Rechtsgüter der betroffenen Personen vorgesehenen Maßnahmen und Garantien sowie

Name und Kontaktdaten des Datenschutzbeauftragten.

Auf Anforderung sind ihm zudem alle sonstigen Informationen zu übermitteln, die er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.

(3)

Ist der Sächsische Datenschutzbeauftragte der Auffassung, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder keine ausreichenden Abhilfemaßnahmen getroffen hat, kann er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von sechs Wochen nach Einleitung der Anhörung schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten.

Der Sächsische Datenschutzbeauftragte kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist.

Er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung zu informieren.

§ 26 Verzeichnis von Verarbeitungstätigkeiten

(1)

Der Verantwortliche hat ein Verzeichnis aller Kategorien von Tätigkeiten der Verarbeitungen zu führen, die in seine Zuständigkeit fallen.

Dieses Verzeichnis hat folgende Angaben zu enthalten:

den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten des Datenschutzbeauftragten,

die Zwecke der Verarbeitung,

die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen,

eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,

gegebenenfalls die Verwendung von Profiling,

gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation,

Angaben über die Rechtsgrundlage der Verarbeitung,

die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und

eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 20.

(2)

Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag eines Verantwortlichen durchführt.

Dieses Verzeichnis hat Folgendes zu enthalten:

den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, und gegebenenfalls des Datenschutzbeauftragten,

gegebenenfalls Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation unter Angabe des Drittstaates oder der internationalen Organisation und

eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 20.

(3)

Die Verzeichnisse nach den Absätzen 1 und 2 sind nur für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten und für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, zu führen.

Die Verzeichnisse sind schriftlich oder elektronisch zu führen.

(4) Der Verantwortliche und der Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse dem Sächsischen Datenschutzbeauftragten zur Verfügung zu stellen.

§ 27 Technikgestaltung und datenschutzfreundliche Voreinstellungen

(1)

Der Verantwortliche hat sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene Vorkehrungen wie Pseudonymisierung zu treffen, die geeignet sind, die Datenschutzgrundsätze wie Datensparsamkeit wirksam umzusetzen, und die sicherstellen, dass die gesetzlichen Anforderungen eingehalten sowie die Rechte der betroffenen Personen geschützt werden.

Er hat hierbei den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und die Schwere der mit der Verarbeitung verbundenen Gefährdung für die Rechtsgüter der betroffenen Personen zu berücksichtigen.

Insbesondere sind die Verarbeitung personenbezogener Daten sowie die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verarbeiten.

Personenbezogene Daten sind zum frühestmöglichen Zeitpunkt zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verarbeitungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

(2)

Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist.

Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.

Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht automatisiert einer unbestimmten Anzahl von Personen zugänglich gemacht werden können.

§ 28 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen

Der Verantwortliche hat bei der Verarbeitung personenbezogener Daten soweit möglich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden.

Dies betrifft insbesondere folgende Kategorien:

Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben,

Personen, gegen die ein begründeter Verdacht besteht, dass sie in naher Zukunft eine Straftat begehen werden,

verurteilte Straftäter,

Opfer einer Straftat oder Personen, bei denen Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein könnten, und

andere Personen wie insbesondere Zeugen, Hinweisgeber oder Personen, die mit den in den Nummern 1 bis 4 genannten Personen in Kontakt oder Verbindung stehen.

§ 29 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen

Bei der Verarbeitung personenbezogener Daten hat der Verantwortliche soweit möglich danach zu unterscheiden, ob personenbezogene Daten auf Tatsachen oder auf persönlichen Einschätzungen beruhen.

Zu diesem Zweck soll er, soweit dies im Rahmen der jeweiligen Verarbeitung möglich und angemessen ist, Beurteilungen, die auf persönlichen Einschätzungen beruhen, als solche kenntlich machen.

Es muss außerdem feststellbar sein, welche Stelle die Unterlagen führt, die der auf einer persönlichen Einschätzung beruhenden Beurteilung zugrunde liegen.

§ 30 Verfahren bei Übermittlungen

(1)

Der Verantwortliche hat angemessene Maßnahmen zu ergreifen, um zu gewährleisten, dass personenbezogene Daten, die unrichtig oder nicht mehr aktuell sind, nicht übermittelt oder sonst zur Verfügung gestellt werden.

Zu diesem Zweck hat er, soweit dies mit angemessenem Aufwand möglich ist, die Qualität der Daten vor ihrer Übermittlung oder Bereitstellung zu überprüfen.

Bei jeder Übermittlung personenbezogener Daten hat er zudem, soweit dies möglich und angemessen ist, Informationen beizufügen, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der Daten sowie deren Aktualität zu beurteilen.

(2)

Gelten für die Verarbeitung personenbezogener Daten besondere Bedingungen, hat bei Datenübermittlungen die übermittelnde Stelle den Empfänger auf diese Bedingungen und die Pflicht zu ihrer Beachtung hinzuweisen.

Die Hinweispflicht kann dadurch erfüllt werden, dass die Daten entsprechend markiert werden.

(3) Die übermittelnde Stelle darf auf Empfänger in anderen Mitgliedstaaten der Europäischen Union, Einrichtungen und sonstige Stellen, die nach dem Dritten Teil Titel V Kapitel 4 und 5 des Vertrags über die Arbeitsweise der Europäischen Union errichtet wurden, keine Bedingungen anwenden, die nicht auch für entsprechende innerstaatliche Datenübermittlungen gelten.

§ 31 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung

(1) Der Verantwortliche hat personenbezogene Daten zu berichtigen, wenn sie unrichtig sind.

(2) Der Verantwortliche hat personenbezogene Daten unverzüglich zu löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist.

(3)

§ 14 Absatz 3 bis 5 gilt entsprechend.

Sind personenbezogene Daten unrechtmäßig übermittelt worden, ist auch dies dem Empfänger mitzuteilen.

(4) Der Verantwortliche hat für die Löschung personenbezogener Daten oder eine regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung angemessene Fristen vorzusehen und durch verfahrensrechtliche, organisatorische und technische Vorkehrungen sicherzustellen, dass diese Fristen eingehalten werden.

(5)

Soweit der Verantwortliche verpflichtet ist, Unterlagen dem Sächsischen Staatsarchiv zur Übernahme anzubieten, ist eine Löschung oder Vernichtung erst zulässig, nachdem die Unterlagen dem Sächsischen Staatsarchiv angeboten und von diesem als nicht archivwürdig bewertet worden sind oder über die Archivwürdigkeit nicht fristgemäß gemäß § 5 Absatz 6 des

Archivgesetzes für den Freistaat Sachsen

vom 17. Mai 1993 (SächsGVBl. S. 449), das zuletzt durch Artikel 25 des Gesetzes vom 26. April 2018 (SächsGVBl. S. 198) geändert worden ist, in der jeweils geltenden Fassung, entschieden worden ist.

Die Einschränkung der Verarbeitung personenbezogener Daten lässt die Anbietungspflicht nach dem

Archivgesetz für den Freistaat Sachsen

unberührt.

Die Sätze 1 und 2 gelten auch bei entsprechenden Festlegungen der Träger von Archiven sonstiger öffentlicher Stellen nach dem Dritten Abschnitt des

Archivgesetzes für den Freistaat Sachsen

§ 32 Protokollierung

(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter folgende Verarbeitungsvorgänge zu protokollieren:

Erhebung,

Veränderung,

Abfrage,

Offenlegung einschließlich Übermittlung,

Kombination und

Löschung.

(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge sowie, soweit möglich, die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.

(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch den Datenschutzbeauftragten, den Sächsischen Datenschutzbeauftragten und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten, zur Ahndung von Ordnungswidrigkeiten nach diesem Gesetz und für Strafverfahren verwendet werden.

(4) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle dem Sächsischen Datenschutzbeauftragten auf Anforderung zur Verfügung zu stellen.

(5) Die Protokolldaten sind zwölf Monate nach ihrer Generierung zu löschen.

(6) Vor dem 16. Mai 2016 eingerichtete automatisierte Verarbeitungssysteme sind in Ausnahmefällen, in denen die Anpassung mit einem unverhältnismäßigen Aufwand verbunden ist, zeitnah, jedoch spätestens bis zum 6. Mai 2023 anzupassen.

(7) In außergewöhnlichen Umständen kann ein automatisiertes Verarbeitungssystem auch innerhalb einer bestimmten Frist nach Ablauf der Frist nach Absatz 6, spätestens jedoch bis zum 5. Mai 2026, angepasst werden, wenn sonst schwerwiegende Schwierigkeiten für den Betrieb dieses automatisierten Verarbeitungssystems entstehen würden.

§ 33 Vertrauliche Meldungen von Verstößen

Der Verantwortliche hat zu ermöglichen, dass ihm vertrauliche Meldungen über in seinem Verantwortungsbereich erfolgende Verstöße gegen Datenschutzvorschriften zugeleitet werden können.

Abschnitt 5 Datenschutzbeauftragter

§ 34 Benennung

(1)

Der Verantwortliche hat einen Datenschutzbeauftragten zu benennen.

Diese Pflicht gilt nicht für Gerichte im Rahmen ihrer justiziellen Tätigkeit.

(2) Für mehrere Verantwortliche kann unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.

(3) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der Aufgaben nach § 36 benannt.

(4) Der Verantwortliche hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und diese Daten dem Sächsischen Datenschutzbeauftragten innerhalb eines Monats nach der Benennung mitzuteilen.

§ 35 Stellung

(1) Der Verantwortliche hat sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

(2) Der Verantwortliche unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben nach § 36, indem er die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.

(3)

Der Verantwortliche stellt sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.

Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Leitungsebene.

Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.

(4)

Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß diesem Gesetz sowie anderen Rechtsvorschriften über den Datenschutz im Zusammenhang stehenden Fragen zu Rate ziehen.

Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person und über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit er nicht davon durch die betroffene Person befreit wird.

(5)

Erhält der Datenschutzbeauftragte bei seiner Tätigkeit Kenntnis von Daten, für die dem Leiter oder einer bei dem Verantwortlichen beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Datenschutzbeauftragten und den ihm unterstellten Bediensteten zu.

Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann.

Soweit das Zeugnisverweigerungsrecht des Datenschutzbeauftragten reicht, unterliegen seine Akten und anderen Dokumente einem Beschlagnahmeverbot.

§ 36 Aufgaben

(1)

Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

Unterrichtung und Beratung des Verantwortlichen und der Bediensteten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz,

Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Bediensteten und der diesbezüglichen Überprüfungen,

Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 23,

Zusammenarbeit mit dem Sächsischen Datenschutzbeauftragten und

Tätigkeit als Anlaufstelle für den Sächsischen Datenschutzbeauftragten in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 25, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Im Fall eines bei einem Gericht bestellten Datenschutzbeauftragten beziehen sich diese Aufgaben nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit.

(2) Die Tätigkeit des Datenschutzbeauftragten erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der

Abgabenordnung

in der Fassung der Bekanntmachung vom 1. Oktober 2002 (BGBl. I S. 3866; 2003 I S. 61), die zuletzt durch Artikel 15 des Gesetzes vom 18. Dezember 2018 (BGBl. I S. 2639) geändert worden ist, in der jeweils geltenden Fassung, unterliegen.

(3)

Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen.

Der Verantwortliche stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

(4) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Abschnitt 6 Sächsischer Datenschutzbeauftragter

§ 37 Zuständigkeit

(1) Der Sächsische Datenschutzbeauftragte ist zuständige Aufsichtsbehörde im Sinne des Artikels 41 Absatz 1 der Richtlinie (EU) 2016/680.

(2) Der Sächsische Datenschutzbeauftragte ist nicht zuständig für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

§ 38 Unabhängigkeit

(1)

Der Sächsische Datenschutzbeauftragte handelt bei der Erfüllung seiner Aufgaben und bei der Ausübung seiner Befugnisse nach diesem Gesetz völlig unabhängig.

Er unterliegt weder direkter noch indirekter Beeinflussung von außen und ersucht weder um Weisung noch nimmt er Weisungen entgegen.

(2) Der Sächsische Datenschutzbeauftragte unterliegt der Rechnungsprüfung durch den Sächsischen Rechnungshof, soweit hierdurch seine Unabhängigkeit nicht beeinträchtigt wird.

§ 39 Aufgaben

(1)

Der Sächsische Datenschutzbeauftragte hat im Rahmen der Zuständigkeit nach § 37 folgende Aufgaben:

Überwachung und Durchsetzung der Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz,

Sensibilisierung der Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung und Aufklärung der Öffentlichkeit darüber, wobei spezifische Maßnahmen für Kinder besondere Beachtung finden,

Beratung des Landtags, der Staatsregierung sowie anderer Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten,

Sensibilisierung der Verantwortlichen und der Auftragsverarbeiter für die ihnen aus diesem Gesetz und aus anderen rechtlichen Vorschriften entstehenden Pflichten,

auf Anfrage jeder betroffenen Person Zurverfügungstellung von Informationen über die Ausübung ihrer Rechte auf Grund dieses Gesetzes und sonstiger Vorschriften über den Datenschutz und gegebenenfalls zu diesem Zweck Zusammenarbeit mit anderen Aufsichtsbehörden,

Befassung mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 55 der Richtlinie (EU) 2016/680, Untersuchung des Gegenstands der Beschwerde in angemessenem Umfang und Unterrichtung des Beschwerdeführers innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist,

Zusammenarbeit mit anderen Aufsichtsbehörden, auch durch Informationsaustausch, und Leistung von Amtshilfe,

Durchführung von Untersuchungen über die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde,

Verfolgung maßgeblicher Entwicklungen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie sowie der Geschäftspraktiken,

10.

Leistung einer Beratung in Bezug auf die Verarbeitungsvorgänge nach § 25 Absatz 1 und

11.

Leistung von Beiträgen zur Tätigkeit des Europäischen Datenschutzausschusses.

Der Sächsische Datenschutzbeauftragte nimmt zudem die Aufgaben nach § 12 Absatz 4, § 13 Absatz 5, § 14 Absatz 7 und § 16 wahr.

(2) Zur Erfüllung der Aufgabe nach Absatz 1 Satz 1 Nummer 3 kann der Sächsische Datenschutzbeauftragte zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an den Landtag oder einen seiner Ausschüsse, die Staatsregierung, sonstige Einrichtungen und Stellen sowie die Öffentlichkeit richten.

(3) Der Sächsische Datenschutzbeauftragte ist zu Entwürfen von Rechtsverordnungen und Verwaltungsvorschriften, soweit sie das Recht auf informationelle Selbstbestimmung betreffen, zu hören.

(4) Der Sächsische Datenschutzbeauftragte erleichtert das Einreichen der Beschwerden nach Absatz 1 Satz 1 Nummer 6 durch Maßnahmen wie die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

(5)

Die Erfüllung der Aufgaben des Sächsischen Datenschutzbeauftragten ist für die betroffene Person unentgeltlich.

Bei offenkundig unbegründeten oder insbesondere im Fall von häufiger Wiederholung bei exzessiven Anfragen kann der Sächsische Datenschutzbeauftragte eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, auf Grund der Anfrage tätig zu werden.

In diesem Fall trägt der Sächsische Datenschutzbeauftragte die Beweislast für die offenkundige Unbegründetheit oder den exzessiven Charakter der Anfrage.

§ 40 Befugnisse

(1)

Der Sächsische Datenschutzbeauftragte kontrolliert im Rahmen seiner Zuständigkeit nach § 37 bei den öffentlichen Stellen des Freistaates Sachsen die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz.

Die Verantwortlichen und Auftragsverarbeiter sind verpflichtet, dem Sächsischen Datenschutzbeauftragten oder seinen Beauftragten

jederzeit Zugang zu den Grundstücken und Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, sowie zu allen personenbezogenen Daten und Informationen, die zur Erfüllung seiner Aufgaben notwendig sind, zu gewähren und

alle Informationen, die für die Erfüllung seiner Aufgaben erforderlich sind, bereitzustellen.

(2)

Stellt der Sächsische Datenschutzbeauftragte Verstöße gegen Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz fest, beanstandet er dies

bei Behörden und anderen öffentlich-rechtlich organisierten Einrichtungen des Freistaates Sachsen gegenüber der zuständigen obersten Landesbehörde und

bei den Gemeinden, Landkreisen und sonstigen der Aufsicht des Freistaates Sachsen unterstehenden juristischen Personen des öffentlichen Rechts gegenüber dem vertretungsberechtigten Organ

und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf.

Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung des Sächsischen Datenschutzbeauftragten getroffen worden sind.

Der Sächsische Datenschutzbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt.

Der Sächsische Datenschutzbeauftragte kann den Verantwortlichen auch davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene oder gegen andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen.

Soweit dies zur Beseitigung eines Verstoßes gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz erforderlich ist, kann der Sächsische Datenschutzbeauftragte geeignete Maßnahmen gegenüber dem Verantwortlichen anordnen.

(3) Stellt der Sächsische Datenschutzbeauftragte einen strafbewehrten Verstoß gegen dieses Gesetz oder gegen andere Vorschriften über den Datenschutz fest, ist er befugt, diesen bei der zuständigen Behörde zur Anzeige zu bringen.

(4) Die Befugnisse des Sächsischen Datenschutzbeauftragten erstrecken sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der

Abgabenordnung

, unterliegen.

§ 41 Tätigkeitsbericht

Der Sächsische Datenschutzbeauftragte erstellt einen Jahresbericht über seine Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen, einschließlich der verhängten Sanktionen enthalten kann.

Der Sächsische Datenschutzbeauftragte übermittelt den Bericht dem Landtag und der Staatsregierung und macht ihn der Öffentlichkeit, der Europäischen Kommission und dem Europäischen Datenschutzausschuss zugänglich.

Abschnitt 7 Datenübermittlung an Drittstaaten und an internationale Organisationen

§ 42 Allgemeine Voraussetzungen

(1) Die Übermittlung personenbezogener Daten an Stellen in Drittstaaten oder an internationale Organisationen ist bei Vorliegen der übrigen für Datenübermittlungen geltenden Voraussetzungen zulässig, wenn

die Stelle oder internationale Organisation für die Zwecke nach § 1 Absatz 1 und 2 zuständig ist und

die Europäische Kommission gemäß Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 einen Angemessenheitsbeschluss gefasst hat.

(2)

Die Übermittlung personenbezogener Daten hat trotz des Vorliegens eines Angemessenheitsbeschlusses im Sinne des Absatzes 1 Nummer 2 und des zu berücksichtigenden besonderen öffentlichen Interesses an der Datenübermittlung zu unterbleiben, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementaren Menschenrechte wahrender Umgang mit den personenbezogenen Daten beim Empfänger nicht hinreichend gesichert ist oder sonst überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen.

Bei seiner Beurteilung hat der Verantwortliche maßgeblich zu berücksichtigen, ob der Empfänger im Einzelfall einen angemessenen Schutz der übermittelten Daten garantiert.

(3)

Wenn personenbezogene Daten, die aus einem anderen Mitgliedstaat der Europäischen Union übermittelt oder zur Verfügung gestellt wurden, nach Absatz 1 übermittelt werden sollen, muss diese Übermittlung zuvor von der zuständigen Stelle des anderen Mitgliedstaates genehmigt werden.

Übermittlungen ohne vorherige Genehmigung sind nur dann zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Staates oder für die wesentlichen Interessen eines Mitgliedstaates abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann.

Im Fall des Satzes 2 ist die Stelle des anderen Mitgliedstaates, die für die Erteilung der Genehmigung zuständig gewesen wäre, unverzüglich über die Übermittlung zu unterrichten.

(4)

Der Verantwortliche, der Daten nach Absatz 1 übermittelt, hat durch geeignete Maßnahmen sicherzustellen, dass der Empfänger die übermittelten Daten nur dann an andere Drittstaaten oder internationale Organisationen weiterübermittelt, wenn der Verantwortliche diese Übermittlung zuvor genehmigt hat.

Bei der Entscheidung über die Erteilung der Genehmigung berücksichtigt der Verantwortliche sämtliche maßgeblichen Faktoren, einschließlich der Schwere der Straftat, des Zwecks der ursprünglichen Übermittlung und des Schutzniveaus für personenbezogene Daten in dem Drittstaat oder der internationalen Organisation, an den oder die die zuvor übermittelten Daten weiterübermittelt werden sollen.

Eine Genehmigung darf nur dann erfolgen, wenn auch eine direkte Übermittlung an den anderen Drittstaat oder die andere internationale Organisation zulässig wäre.

§ 43 Datenübermittlung ohne Angemessenheitsbeschluss mit geeigneten Garantien

(1) Liegt der nach § 42 Absatz 1 Nummer 2 erforderliche Beschluss nicht vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 42 gleichwohl zulässig, wenn

in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder

der Verantwortliche nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garantien für den Schutz personenbezogener Daten bestehen.

(2)

Der Verantwortliche hat Übermittlungen nach Absatz 1 Nummer 2 zu dokumentieren.

Die Dokumentation hat den Zeitpunkt der Übermittlung, die Identität des Empfängers, den Grund der Übermittlung und die übermittelten personenbezogenen Daten zu enthalten.

Sie ist dem Sächsischen Datenschutzbeauftragten auf Anforderung zur Verfügung zu stellen.

(3)

Der Verantwortliche hat den Sächsischen Datenschutzbeauftragten zumindest jährlich über Übermittlungen zu unterrichten, die auf Grund einer Beurteilung nach Absatz 1 Nummer 2 erfolgt sind.

In der Unterrichtung kann er die Empfänger und die Übermittlungszwecke angemessen kategorisieren.

§ 44 Datenübermittlung ohne Angemessenheitsbeschluss und ohne geeignete Garantien

(1) Liegen weder der nach § 42 Absatz 1 Nummer 2 erforderliche Beschluss noch geeignete Garantien im Sinne des § 43 Absatz 1 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 42 gleichwohl zulässig, wenn sie erforderlich ist:

zum Schutz lebenswichtiger Interessen einer natürlichen Person,

zur Wahrung berechtigter Interessen der betroffenen Person,

zur Abwehr einer gegenwärtigen und erheblichen Gefahr für die öffentliche Sicherheit eines Staates,

im Einzelfall für die Zwecke nach § 1 Absatz 1 und 2 oder

im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den Zwecken nach § 1 Absatz 1 und 2.

(2) Der Verantwortliche hat von einer Übermittlung nach Absatz 1 abzusehen, wenn die Grundrechte der betroffenen Person das öffentliche Interesse an der Übermittlung überwiegen.

(3) Für Übermittlungen nach Absatz 1 gilt § 43 Absatz 2 und 3 entsprechend.

§ 45 Sonstige Datenübermittlung an Empfänger in Drittstaaten

(1) Verantwortliche können bei Vorliegen der übrigen für die Datenübermittlung an Drittstaaten geltenden Voraussetzungen im besonderen Einzelfall personenbezogene Daten unmittelbar an nicht in § 42 Absatz 1 Nummer 1 genannte Stellen in Drittstaaten übermitteln, wenn die Übermittlung für die Erfüllung ihrer Aufgaben unbedingt erforderlich ist und

im konkreten Fall keine Grundrechte der betroffenen Person das öffentliche Interesse an einer Übermittlung überwiegen,

die Übermittlung an die Stellen nach § 42 Absatz 1 Nummer 1 wirkungslos oder ungeeignet wäre, insbesondere weil sie nicht rechtzeitig durchgeführt werden kann, und

der Verantwortliche dem Empfänger die Zwecke der Verarbeitung mitteilt und ihn darauf hinweist, dass die übermittelten Daten nur in dem Umfang verarbeitet werden dürfen, in dem ihre Verarbeitung für diese Zwecke erforderlich ist.

(2) Im Fall des Absatzes 1 hat der Verantwortliche die Stellen nach § 42 Absatz 1 Nummer 1 unverzüglich über die Übermittlung zu unterrichten, sofern dies nicht wirkungslos oder ungeeignet ist.

(3) Für Übermittlungen nach Absatz 1 gilt § 43 Absatz 2 und 3 entsprechend.

(4) Bei Übermittlungen nach Absatz 1 hat der Verantwortliche den Empfänger zu verpflichten, die übermittelten personenbezogenen Daten ohne seine Zustimmung nur für den Zweck zu verarbeiten, für den sie übermittelt worden sind.

(5) Abkommen im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit bleiben unberührt.

Abschnitt 8 Gegenseitige Amtshilfe

§ 46 Gegenseitige Amtshilfe

(1)

Der Sächsische Datenschutzbeauftragte hat den Datenschutzaufsichtsbehörden in anderen Mitgliedstaaten der Europäischen Union Informationen zu übermitteln und Amtshilfe zu leisten, soweit dies für eine einheitliche Umsetzung und Anwendung der Richtlinie (EU) 2016/680 erforderlich ist.

Die Amtshilfe betrifft insbesondere Auskunftsersuchen und aufsichtsbezogene Maßnahmen wie Ersuchen um Konsultation oder um Vornahme von Nachprüfungen und Untersuchungen.

(2) Der Sächsische Datenschutzbeauftragte hat alle geeigneten Maßnahmen zu ergreifen, um Amtshilfeersuchen unverzüglich und spätestens innerhalb eines Monats nach deren Eingang nachzukommen.

(3) Der Sächsische Datenschutzbeauftragte darf Amtshilfeersuchen nur ablehnen, wenn

er für den Gegenstand des Ersuchens oder für die Maßnahmen, die er durchführen soll, nicht zuständig ist oder

ein Eingehen auf das Ersuchen gegen Rechtsvorschriften verstoßen würde.

(4)

Der Sächsische Datenschutzbeauftragte hat die ersuchende Aufsichtsbehörde des anderen Mitgliedstaates der Europäischen Union über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen zu informieren, die getroffen wurden, um dem Amtshilfeersuchen nachzukommen.

Er hat im Fall des Absatzes 3 die Gründe für die Ablehnung des Ersuchens zu erläutern.

(5) Der Sächsische Datenschutzbeauftragte hat die Informationen, um die er von der Aufsichtsbehörde des anderen Mitgliedstaates der Europäischen Union ersucht wurde, in der Regel elektronisch und in einem standardisierten Format zu übermitteln.

(6) Der Sächsische Datenschutzbeauftragte hat Amtshilfeersuchen kostenfrei zu erledigen, soweit er nicht im Einzelfall mit der Aufsichtsbehörde des anderen Mitgliedstaates der Europäischen Union die Erstattung entstandener Ausgaben vereinbart hat.

(7)

Ein Amtshilfeersuchen des Sächsischen Datenschutzbeauftragten hat alle erforderlichen Informationen zu enthalten; hierzu gehören insbesondere der Zweck und die Begründung des Ersuchens.

Die auf das Ersuchen übermittelten Informationen dürfen ausschließlich zu dem Zweck verwendet werden, zu dem sie angefordert wurden.

Abschnitt 9 Schadensersatz und Sanktionen

§ 47 Schadensersatz

(1)

Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet.

Die Ersatzpflicht entfällt, soweit bei einer nichtautomatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.

(2) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.

(3) Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welcher von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, haftet jeder Verantwortliche.

(4) Mehrere Ersatzpflichtige haften als Gesamtschuldner.

(5) Auf das Mitverschulden der betroffenen Person und den Ausgleich unter Gesamtschuldnern finden die §§ 254 und 426 des

Bürgerlichen Gesetzbuchs

entsprechende Anwendung.

(6) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des

Bürgerlichen Gesetzbuchs

entsprechende Anwendung.

§ 48 Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer:

unbefugt von diesem Gesetz geschützte personenbezogene Daten, die nicht offenkundig sind, verarbeitet,

die Übermittlung personenbezogener Daten, die durch dieses Gesetz geschützt werden und nicht offenkundig sind, durch unrichtige Angaben erschleicht,

nach einer Verpflichtung gemäß § 9 Satz 2 das Datengeheimnis gemäß § 9 Satz 1 oder Satz 3 verletzt, wenn die Verletzung nicht mit Strafe bedroht ist,

entgegen § 35 Absatz 3 Satz 3 den Datenschutzbeauftragten eines Verantwortlichen wegen der Erfüllung seiner Aufgaben benachteiligt,

als Datenschutzbeauftragter eines Verantwortlichen seine Verschwiegenheitspflicht nach § 35 Absatz 4 Satz 2 verletzt, wenn die Verletzung nicht mit Strafe bedroht ist,

personenbezogene Daten ohne Vorliegen der Voraussetzungen des § 5 für einen anderen Zweck verarbeitet,

eine Auskunft nach § 13 Absatz 1 nicht richtig oder nicht vollständig erteilt,

entgegen § 40 Absatz 1 Satz 2 Nummer 1 den Zugang zu den Grundstücken und Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, sowie zu allen personenbezogenen Daten und Informationen nicht, nicht vollständig oder nicht rechtzeitig gewährt,

entgegen § 40 Absatz 1 Satz 2 Nummer 2 die Informationen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder

10.

bei der Datenverarbeitung im Auftrag als Auftragsverarbeiter oder als eine dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person gegen eine Weisung des Verantwortlichen gemäß § 8 verstößt.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.

(3)

Der Sächsische Datenschutzbeauftragte ist Verwaltungsbehörde im Sinne von § 36 Absatz 1 Nummer 1 des

Gesetzes über Ordnungswidrigkeiten

Die Staatsregierung wird ermächtigt, dem Sächsischen Datenschutzbeauftragten durch Rechtsverordnung die Zuständigkeit für die Verfolgung und Ahndung von Ordnungswidrigkeiten nach anderen datenschutzrechtlichen Bestimmungen zuzuweisen.

Die Zuweisung bedarf der Zustimmung des Sächsischen Datenschutzbeauftragten.

§ 49 Strafvorschriften

(1) Wer eine der in § 48 Absatz 1 Nummer 1 bis 7 bezeichneten Handlungen gegen Entgelt oder in der Absicht begeht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

Abschnitt 10 Einschränkung von Grundrechten

§ 50 Einschränkung von Grundrechten

Durch dieses Gesetz wird das Recht auf informationelle Selbstbestimmung nach Artikel 33 der

Verfassung des Freistaates Sachsen

eingeschränkt.

Dieses Gesetz dient der Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89, L 127 vom 23.5.2018, S. 9).

§ 18 mittelbar geändert durch

Artikel 10 Nummer 1 des Gesetzes vom 22. August 2019

(SächsGVBl. S. 663)