datenschutzrecht für öffentliche stellen...seite 6 von 155 i. startseite „jeder mensch hat das...

Datenschutzrecht für öffentliche Stellen

Dokumentation zum Themenportal www.datenschutzrecht.sachsen.de Stand: 28. August 2018

Seite 2 von 155

Inhaltsverzeichnis

I. Startseite ................................................................................................................... 6

II. Gesetze- und Gesetzgebungsverfahren .................................................................. 6

1. EU-Richtlinien und –Verordnungen/Gesetze/Verordnungen ................................. 7

1.1 Europarecht ............................................................................................................... 7

1.2 Bundesrecht .............................................................................................................. 8

1.3 Landesrecht Sachsen .............................................................................................. 8

2. Aktuelle Gesetzgebungsverfahren .......................................................................... 8

2.1 Bundesrecht ............................................................................................................. 9

2.2 Landesrecht Sachsen .............................................................................................. 9

III. Datenschutz-Grundverordnung ............................................................................... 9

1. Allgemeines zur neuen Rechtslage ......................................................................... 9

1.1 Anwendungsbereich von Datenschutz-Grundverordnung und Datenschutz-

Richtlinie ..................................................................................................................10

1.2 Anwendungsvorrang der Datenschutz-Grundverordnung ..................................11

1.3 Warum noch ein Sächsisches Datenschutzdurchführungsgesetz? ....................12

2. Grundsätze der Datenverarbeitung ........................................................................12

3. Einwilligung .............................................................................................................16

3. 1 Einwilligung – Allgemeine Anforderungen............................................................16

3.2 Speziell: Einwilligung in Bild- und Tonaufnahmen ...............................................18

4. Datenschutzbeauftragter .........................................................................................19

4.1 Benennung .....................................................................................................20

4.1.1 Interner, externer oder gemeinsamer Datenschutzbeauftragter .................................... 20

4.1.2 Anforderungen an die Benennung ................................................................................... 21

4.1.3 Veröffentlichung der Kontaktdaten und Mitteilung an die Aufsichtsbehörde ................ 22

4.2 Sonstige Pflichten des Verantwortlichen ..............................................................22

4.2.1 Pflicht zur Unterstützung des Datenschutzbeauftragten ................................................. 22

4.2.2 Gewährleistung der Unabhängigkeit des Datenschutzbeauftragten ............................... 23

Seite 3 von 155

4.3 Aufgaben des Datenschutzbeauftragten ...............................................................24

4.3.1 Mindestpflichten .............................................................................................................. 24

4.3.2 Aufgaben im Anpassungsprozess an die Datenschutz-Grundverordnung ....................... 27

4.3.3 Der Datenschutzbeauftragte als „Anwalt der Betroffenen“ ............................................ 27

4.3.4 Pflicht zur risikoorientierten Tätigkeit .............................................................................. 28

4.4 Haftung des Datenschutzbeauftragten ..................................................................28

5. Technischer und organisatorischer Datenschutz .................................................29

5.1 Sicherheit der Verarbeitung (Artikel 32 Datenschutz-Grundverordnung) ............29

5.2 Datenschutz durch Technikgestaltung und durch datenschutzrechtliche

Voreinstellungen (Privacy by design und Privacy by default) (Artikel 25

Datenschutz-Grundverordnung) ............................................................................31

5.3 Einführung eines Datenschutzmanagement-Systems .........................................32

5.4 Pflicht zur Nachweisbarkeit - Dokumentationspflichten .......................................32

5.5 Datengeheimnis und personelle Maßnahmen .......................................................33

5.6 Verzeichnis von Verarbeitungstätigkeiten .............................................................34

6. Betroffenenrechte ....................................................................................................35

6.1 Informationspflichten .............................................................................................36

6.2 Auskunftsrecht ........................................................................................................40

6.3 Recht auf Löschung ................................................................................................41

6.4. Recht auf Einschränkung der Verarbeitung .................................................41

6.5 Weitere Rechte ........................................................................................................42

6.5.1 Recht auf Berichtigung (Artikel 16 Datenschutz-Grundverordnung) ............................... 42

6.5.2 Recht auf Datenübertragbarkeit (Artikel 20 Datenschutz-Grundverordnung) ................ 42

6.5.3 Widerspruchsrecht (Artikel 21 Datenschutz-Grundverordnung) ..................................... 43

7. Zusammenarbeit mit der Aufsichtsbehörde; Informations- und

Konsultationspflichten ............................................................................................43

7.1 Allgemeine Pflichten ................................................................................................43

7.2 Melde-/Informationspflichten ..................................................................................44

7.2.1 Melde-/Informationspflichten gegenüber der Aufsichtsbehörde .................................... 44

Seite 4 von 155

7.2.2 Informationspflichten gegenüber der EU-Kommission .................................................... 45

7.3 Konsultationen und Genehmigungspflichten ........................................................46

7.4 Auskunftspflicht .......................................................................................................47

8. Datenschutz-Folgenabschätzung ...........................................................................47

8.1 Was ist eine Datenschutz-Folgenabschätzung nach der Datenschutz-

Grundverordnung? .................................................................................................48

8.2 Erforderlichkeit einer Datenschutz-Folgenabschätzung .......................................48

8.3 Zeitpunkt der Durchführung einer Datenschutz-Folgenabschätzung ..................49

8.4 Wie kann eine Datenschutz-Folgenabschätzung durchgeführt werden? ............50

8.4.1 Phase 1: Vorbereitung ...................................................................................................... 50

8.4.2 Phase 2: Durchführung .................................................................................................... 51

8.4.3 Phase 3: Umsetzung ......................................................................................................... 52

8.4.4 Phase 4: Überprüfung ....................................................................................................... 53

8.5 Konsultationsverfahren bei hohem Restrisiko .....................................................53

9. Auftragsverarbeitung ..............................................................................................54

9.1 Was ist Auftragsverarbeitung? ..............................................................................55

9.1.1 Begriff ............................................................................................................................... 55

9.1.2 Abgrenzung zu anderen Verarbeitungssituationen ......................................................... 55

9.1.3 Speziell: Wartung und Prüfung von IT-Systemen ............................................................. 56

9.2 Zulässigkeit der Auftragsverarbeitung ..................................................................56

9.3 Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters ........58

9.3.1 Rechte und Pflichten des Verantwortlichen (bisher = Auftraggeber) .............................. 58

9.3.2 Rechte und Pflichten des Auftragsverarbeiters ............................................................... 59

9.4 Haftung des Verantwortlichen und des Auftragsverarbeiters .............................60

10. Sonstige Verarbeitungssituationen ........................................................................60

10.1 Videoüberwachung ...........................................................................................62

10.2 Verarbeitung für Forschungs-, Archiv- und Statistikzwecke ..............................63

10.2.1 Vorgaben der Datenschutz-Grundverordnung............................................................... 63

Seite 5 von 155

10.2.2 Ergänzungen durch landesrechtliche Regelungen ......................................................... 65

10.3 Gemeinsam Verantwortliche .................................................................................66

11. Anpassung von Verwaltungsvorschriften, Satzungen, Dienstvereinbarungen etc.

..................................................................................................................................67

IV. Datenschutzaufsicht ................................................................................................69

V. Glossar .....................................................................................................................70

VI. Arbeitshilfen, Übersichten ......................................................................................74

VII. FAQ ...........................................................................................................................76

1. Einwilligung .............................................................................................................76

2. Datenschutzbeauftragter ........................................................................................76

3. Kontaktdaten ...........................................................................................................77

4. Petitionen ................................................................................................................78

5. Teilnehmerlisten .....................................................................................................79

Seite 6 von 155

I. Startseite „Jeder Mensch hat das Recht, über die Erhebung, Verwendung und Weitergabe seiner per-sonenbezogenen Daten selbst zu bestimmen.“ Artikel 33 Satz 1 Verfassung des Freistaates Sachsen Das in der Sächsischen Verfassung verankerte Grundrecht auf Datenschutz war bisher und ist auch künftig durch die öffentlichen Stellen des Freistaates Sachsen zu beachten. Jedoch sehen sich die Behörden und sonstigen öffentlichen Stellen ebenso wie die Kommunen und Landkreise des Freistaates Sachsen durch die seit 25. Mai 2018 geltende Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz na-türlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – die Datenschutz-Grundverordnung – vor neue Herausforderungen gestellt. Das vorliegende Themenportal zum Datenschutzrecht soll vor diesem Hintergrund die öffent-lichen Stellen des Freistaates Sachsen über datenschutzrechtliche Grundlagen informieren, Hilfestellung für die Anpassung ihres Verwaltungshandelns an die Datenschutz-Grundverordnung geben und die wichtigsten Handlungserfordernisse aufzeigen. Da im aktuellen Anpassungsprozess auf die Datenschutz-Grundverordnung noch längst nicht alle Fragen geklärt sind, werden die Inhalte des Themenportals einer weiteren Entwicklung und Anpassung unterliegen. Neuere Tendenzen zur Auslegung der Datenschutz-Grundverordnung oder Arbeitshilfen der Datenschutzaufsichtsbehörden sollen künftig eben-so aufgegriffen werden wie die konkreten Fragen und Anregungen der Nutzer des Themen-portals. II. Gesetze- und Gesetzgebungsverfahren Die Regelungskompetenzen im Datenschutzrecht liegen sowohl beim EU-Gesetzgeber als auch dem Bundes- und den Landesgesetzgebern. Sie stellen sich im Einzelnen wie folgt dar: Europäischer Gesetzgeber Der europäische Gesetzgeber leitet seine Kompetenz zum Erlass datenschutzrechtlicher Regelungen aus Artikel 16 Absatz 2 des Vertrages über die Arbeitsweise der Europäischen Union ab. Dort ist bestimmt, dass das Europäische Parlament und der Rat Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten erlassen können. Davon hat der europäische Gesetzgeber mit der 2016 verabschiedeten Datenschutzreform Gebrauch gemacht, mit der die Datenschutz-Grundverordnung und für den Bereich der Prä-vention und Verfolgung von Straftaten und der Strafvollstreckung eine neue Datenschutz-Richtlinie beschlossen wurden. Bundesgesetzgeber Der Bundesgesetzgeber ist für Regelungen über den Datenschutz im nicht-öffentlichen Be-reich zuständig. Dies betrifft insbesondere die Verarbeitung personenbezogener Daten durch Unternehmen. Dem Bundesgesetzgeber steht insoweit eine Gesetzgebungsbefugnis für das Recht der Wirtschaft nach Artikel 74 Absatz 1 Nummer 11 des Grundgesetzes zu. Der Da-tenschutz ist eine Materie, der für den Bereich der Wirtschaft in Deutschland einheitlich zu

Seite 7 von 155

regeln ist, damit keine Wettbewerbsverzerrungen entstehen und sich die Unternehmen nicht auf unterschiedliche Regelungen in einzelnen Bundesländern einstellen müssen. Daher wird der Datenschutz für den nicht-öffentlichen Bereich als Annex, also als Anhang oder beglei-tende Rechtsmaterie, zum Recht der Wirtschaft verstanden und dem Bundesgesetzgeber zugeordnet. Auch bei öffentlich-rechtlichen Rechtsmaterien, für die dem Bundesgesetzgeber eine Ge-setzgebungskompetenz zusteht (z. B. im Sozialrecht oder im Pass- und Meldewesen), wird der Datenschutz als ein Annex zu dem jeweiligen Rechtsgebiet gesehen. Daher sind auch in weiteren Bundesgesetzen datenschutzrechtliche Regelungen enthalten, die sich auf diese Annexkompetenz stützen. Der Bundesgesetzgeber hat darüber hinaus die Regelungen zu treffen, die für die Zusam-menarbeit der Datenschutzaufsichtsbehörden auf europäischer Ebene erforderlich sind. Dies leitet sich – ebenfalls als Annexkompetenz – insbesondere aus den Zuständigkeiten des Bundesgesetzgebers für die Übertragung von Hoheitsrechten auf die Europäische Union (Artikel 23 Absatz 1 Satz 2 Grundgesetz) und für auswärtige Angelegenheiten (Artikel 73 Absatz 1 Nummer 1 Grundgesetz) ab. Letztlich besitzt der Bundesgesetzgeber die Regelungskompetenz für die Verarbeitung per-sonenbezogener Daten durch seine Bundesbehörden. Landesgesetzgeber Dort, wo der Bundesgesetzgeber keine ausschließliche Gesetzgebungskompetenz (vgl. Arti-kel 73 Absatz 1 Grundgesetz) besitzt oder im Rahmen der konkurrierenden Gesetzgebungs-kompetenz (vgl. Artikel 74 Absatz 1 Grundgesetz), sind die Bundesländer für die Regelungen zum Datenschutz verantwortlich. Der Freistaat Sachsen hat daher in verschiedenen landesrechtlichen Gesetzen und Rechts-verordnungen datenschutzrechtliche Bestimmungen erlassen. Die unmittelbar anwendbare Datenschutz-Grundverordnung wird durch die Regelungen des Sächsischen Datenschutz-durchführungsgesetzes ergänzt. 1. EU-Richtlinien und –Verordnungen/Gesetze/Verordnungen

Nachfolgend werden nur die Gesetze und Verordnungen aufgeführt, die allgemeine daten-schutzrechtliche Bestimmungen enthalten oder die umfassende Änderungen an vorhande-nen Regelungen aufgrund einer Anpassung an die Datenschutz-Grundverordnung oder in Umsetzung der Datenschutz-Richtlinie enthalten. Auf die Aufnahme aller weiteren Fachge-setze oder -verordnungen mit datenschutzrechtlichem Bezug wurde aufgrund des Umfangs der dann bereitzustellenden Normen verzichtet. 1.1 Europarecht

[Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG] – Datenschutz-Grundverordnung; gilt seit 25. Mai 2018

- [Berichtigungen zur Datenschutz-Grundverordnung]

Seite 8 von 155

[Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Da-ten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufde-ckung oder Verfolgung von Straftaten oder Strafvollstreckung sowie zum freien Da-tenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates] – Datenschutz-Richtlinie

1.2 Bundesrecht

Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/6799 und zur Umsetzung der Richtlinie (EU) 2016/680 – [Datenschutz-Anpassungs- und Umsetzungsgesetz EU (Artikel 1 = Bundesdatenschutzgesetz neu) vom 30. Juni 2017 (BGBl. I S. 2097)]; gilt seit 25. Mai 2018 (Ausnahme: Artikel 7 des Gesetzes)

[Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017 (BGBl. I. S. 2541)]; mit umfangreichen Änderungen z. B. im SGB X

[Gesetz zur Neustrukturierung des Bundeskriminalamtgesetzes vom 1. Juni 2017 (BGBl. I. S. 1354)]; gilt seit 25. Mai 2018 (Ausnahme: siehe Artikel 13 Absatz 2 des Gesetzes)

1.3 Landesrecht Sachsen

Sächsisches Datenschutzdurchführungsgesetz vom 26. April 2018 (SächsGVBl.

S. 198, 199) – gilt seit 25. Mai 2018]

o Entwurf Sächsisches Datenschutzdurchführungsgesetz mit Begründung (Arti-

kel 1 des Gesetzentwurfs zur Anpassung landesrechtlicher Vorschriften an die

Datenschutz-Grundverordnung)

o Beschlussempfehlung und Bericht des Innenausschusses

Sächsisches Datenschutzgesetz vom 25. August 2003 (SächsGVBL. S. 330), das zuletzt durch Artikel 46 des Gesetzes vom 26. April 2018 (SächsGVBl. S. 198) geän-dert worden ist]; beabsichtigte Geltungsdauer: siehe Artikel 46 Nummer 6 des Ge-setzes zur Anpassung landesrechtlicher Vorschriften an die Datenschutz-Grundverordnung - gilt nur noch für Verarbeitungen im Anwendungsbereich der Datenschutz-Richtlinie!

Gesetz zur Anpassung landesrechtlicher Vorschriften an die Datenschutz-Grundverordnung vom 26. April 2018 (SächsGVBl. S. 198)

2. Aktuelle Gesetzgebungsverfahren

In dieser Übersicht finden Sie die aktuell bekannten Gesetzgebungsverfahren, deren Hinter-grund eine Anpassung der vorhandenen Gesetze und Rechtsverordnungen an die Vorgaben der Datenschutz-Grundverordnung oder die Umsetzung der Datenschutz-Richtlinie ist. Be-rücksichtigt sind nur die Gesetzgebungsverfahren, bei denen Gesetzentwürfe bereits in das Parlament eingebracht wurden.

Seite 9 von 155

2.1 Bundesrecht Zurzeit sind keine Gesetzgebungsverfahren bekannt, bei denen Gesetzentwürfe bereits in das Parlament eingebracht wurden. 2.2 Landesrecht Sachsen

Zurzeit sind keine Gesetzgebungsverfahren bekannt, bei denen Gesetzentwürfe bereits in das Parlament eingebracht wurden. III. Datenschutz-Grundverordnung Seit 25. Mai 2018 gilt die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – die Datenschutz-Grundverordnung. Sie ist ohne Zweifel eine der wichtigsten Rechtsquellen des Datenschutzes in allen Mitgliedsstaaten der EU. Die Datenschutz-Grundverordnung unterscheidet nicht mehr zwischen der Verarbeitung per-sonenbezogener Daten durch einen öffentlichen oder einen nicht-öffentlichen Verantwortli-chen. Die in ihr geregelten Pflichten gelten vielmehr für alle Verantwortlichen gleichermaßen. Nicht nur für die Privatwirtschaft ist die Datenschutz-Grundverordnung daher relevant. Auch die öffentliche Verwaltung hat ihr Handeln an den Vorgaben der Datenschutz-Grundverordnung auszurichten. Hierzu gehört auch, dass sowohl die vorhandenen als auch die künftig zu erlassenen datenschutzrechtlichen Regelungen mit der Datenschutz-Grundverordnung in Einklang stehen müssen. Dies betrifft sowohl die innerbehördlichen Re-gelungen als auch diejenigen, die gegenüber dem Bürger z. B. in Gesetzen, Verordnungen oder Satzungen erlassen wurden bzw. werden. Was ist zu tun? Nachfolgend sind die wichtigsten Handlungserfordernisse für einen erfolgreichen Start mit der Datenschutz-Grundverordnung zusammengestellt. Verweise: Checkliste-Handlungserfordernisse bei der Anpassung an die Datenschutz-Grundverordnung in der Behörde (Anlage 1) Checkliste Melde- und Informationspflichten/Konsultationen (Anlage 2) 1. Allgemeines zur neuen Rechtslage Bereits im Januar 2012 hat die Europäische Kommission eine umfassende Reform des Da-tenschutzrechts vorgeschlagen. Nach vielen Verhandlungen und einem umfangreichen Rechtssetzungsverfahren wurden am 27. April 2016 die beiden zentralen Regelwerke zur Neuordnung des europäischen Datenschutzrechts verabschiedet: die Datenschutz-Grundverordnung und die Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung. Zentraler Unterschied zwischen diesen beiden Regelwerken ist, dass die Datenschutz-Grundverordnung seit 25. Mai 2018 unmittelbar gilt, es also keines weiteren Umsetzungsak-tes in nationales Recht mehr bedarf. Möglich sind lediglich ergänzende nationale Regelun-

Seite 10 von 155

gen, soweit die Verordnung hierfür Öffnungsklauseln vorsieht oder Regelungsaufträge bein-haltet. Dagegen gilt die Datenschutz-Richtlinie grundsätzlich nicht direkt. Vielmehr waren die nationalen Gesetzgeber gehalten, bis zum 6. Mai 2018 die Rechtsvorschriften zu erlassen, die erforderlich sind, um den Vorgaben der Richtlinie nachzukommen. Die Datenschutz-Grundverordnung wird im Freistaat Sachsen durch das Sächsische Daten-schutzdurchführungsgesetz ergänzt. Das Sächsische Datenschutzgesetz ist seit dem 25. Mai 2018 nicht mehr für die Regelungsmaterien der Datenschutz-Grundverordnung und des Sächsischen Datenschutzdurchführungsgesetzes anwendbar. Allerdings ist es noch nicht vollständig außer Kraft getreten, Vielmehr soll es zunächst weiterhin für die Verarbeitung personenbezogener Daten durch öffentliche Stellen anwendbar bleiben, soweit diese im An-wendungsbereich der Datenschutz-Richtlinie tätig werden. Auch die Verarbeitung personen-bezogener Daten im Rahmen der parlamentarischen Aufgabenwahrnehmung des Sächsi-schen Landtags wird sich zunächst weiter auf das Sächsische Datenschutzgesetz stützen. Spätestens am 31. Dezember 2019 soll es dann jedoch vollständig außer Kraft treten. 1.1 Anwendungsbereich von Datenschutz-Grundverordnung und Datenschutz-

Richtlinie Datenschutz-Grundverordnung und Datenschutz-Richtlinie unterscheiden sich in ihrem An-wendungsbereich wie folgt: Datenschutz-Grundverordnung Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung ist in Artikel 2 gere-gelt. Danach gilt die Verordnung für die automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Der Begriff des Dateisystems wird in Artikel 4 Nummer 6 der Datenschutz-Grundverordnung definiert. Darunter ist jede strukturierte Sammlung personenbezogener Daten zu verstehen, die nach bestimmten Krite-rien zugänglich ist. In der Kommentarliteratur werden dabei überwiegend zwei Zuordnungs-kriterien wie z. B. Aktenzeichen, Jahreszahl oder Name als ausreichend erachtet. Dabei wird der Anwendungsbereich der Datenschutz-Grundverordnung technikneutral sehr groß ge-fasst. Auch Schriftstücke oder Zettel mit personenbezogenen Daten, die noch unsortiert in einer Ablage aufbewahrt werden, fallen bereits dann unter den Anwendungsbereich der Da-tenschutz-Grundverordnung, wenn sie später in eine entsprechende Akte einsortiert werden sollen. Lediglich Akten oder Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind, fallen nicht in den Anwendungsbereich der Verordnung (vgl. Erwägungsgrund 15 der Datenschutz-Grundverordnung). Darüber hinaus wird der Anwendungsbereich der Datenschutz-Grundverordnung in Artikel 2 Absatz 2 negativ abgegrenzt. Insbesondere fallen nicht in den Anwendungsbereich:

Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen (z. B. Tätigkeit der Abgeordneten im Landtag, Tätigkeit des Landesamtes für Verfas-sungsschutz),

Tätigkeiten, die die gemeinsame Außen- und Sicherheitspolitik der Mitgliedstaaten betreffen (Anwendungsbereich von Titel V, Kapitel 2 des Vertrags der Europäischen Union),

ausschließlich persönliche oder familiäre Tätigkeiten natürlicher Personen, die Verarbeitung personenbezogener Daten im Anwendungsbereich der Daten-

schutz-Richtlinie.

Seite 11 von 155

Datenschutz-Richtlinie Auch die Datenschutz-Richtlinie legt ihren Anwendungsbereich in Artikel 2 fest. Nach Absatz 1 gilt die Richtlinie für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden für die Zwecke des Artikels 1 Absatz 1 Datenschutz-Richtlinie, demnach also

zum Zwecke der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder

der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Si-

cherheit. Im Übrigen gilt die Datenschutz-Richtlinie wie die Datenschutz-Grundverordnung für die au-tomatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbei-tung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, sind auch vom Anwendungsbereich der Richtlinie ausgenommen. 1.2 Anwendungsvorrang der Datenschutz-Grundverordnung Da - wie oben bereits dargelegt - die Datenschutz-Grundverordnung unmittelbar, also ohne weiteren Umsetzungsakt gilt, ist sie innerhalb ihres Anwendungsbereiches das zentrale, maßgebliche Datenschutzrecht. Allerdings gibt es wie auch bisher weitere bundes- oder landesrechtliche Vorschriften über den Datenschutz. Im Freistaat Sachsen ergänzt ins-besondere das Sächsische Datenschutzdurchführungsgesetz die Datenschutz-Grundverordnung um allgemeine datenschutzrechtliche Regelungen. Andere spezielle da-tenschutzrechtliche Regelungen, wie z. B. die Vorschriften zur Verarbeitung personenbezo-gener Daten im Sächsischen Beamtengesetz oder im Sächsischen Schulgesetz und den Schulordnungen, sind erhalten geblieben erhalten oder wurden an die Vorgaben der Daten-schutz-Grundverordnung angepasst. Was heißt das aber nun konkret für die Rechtsanwendung? Hier einige Antworten:

Das Verständnis datenschutzrechtlicher Begriffe ergibt sich ausschließlich aus den Definitionen der Datenschutz-Grundverordnung (vgl. Artikel 4 Datenschutz-Grundverordnung).

Die Pflichten, die Ihnen als Verantwortlicher für die Verarbeitung personenbezogener Daten obliegen, sind in der Datenschutz-Grundverordnung verankert (vgl. insbeson-dere Artikel 5, 24 ff., 32 ff. Datenschutz-Grundverordnung).

Gleichzeitig sind auch die Rechte der betroffenen Personen unmittelbar in der Daten-schutz-Grundverordnung normiert. Ausnahmen von diesen Rechten enthält entweder die Datenschutz-Grundverordnung selbst oder diese können in engen Grenzen durch nationale Gesetze, Rechtsverordnungen oder Satzungen zugelassen sein, vgl. z. B. die §§ 8 ff. des Sächsischen Datenschutzdurchführungsgesetzes.

Ausgangspunkt der Prüfung, ob eine Verarbeitung personenbezogener Daten recht-mäßig erfolgt, ist Artikel 6 Absatz 1 Datenschutz-Grundverordnung. Wie sich die Prü-fungsreihenfolge im Zusammenspiel mit nationalen spezialgesetzlichen Regelungen gestaltet, ist in dieser Übersicht (Anlage 3) dargestellt.

Soweit die Verarbeitung auf einer Einwilligung der betroffenen Person beruht, erge-ben sich die Bedingungen für die Einwilligung aus der Datenschutz-Grundverordnung (vgl. Artikel 7 und 8 Datenschutz-Grundverordnung). Als Rechtsgrundlage für die Verarbeitung durch eine Behörde kommt die Einwilligung in aller Regel nicht in Be-tracht (vgl. Erwägungsgründe 43 und 45 der Datenschutz-Grundverordnung).

Seite 12 von 155

Die Datenschutz-Grundverordnung schreibt vor, wann ein Datenschutzbeauftragter zu benennen ist und welche Aufgaben dieser hat (vgl. Artikel 37 ff. Datenschutz-Grundverordnung).

Aufgaben und Befugnisse der Aufsichtsbehörde ergeben sich unmittelbar aus der Da-tenschutz-Grundverordnung (vgl. Artikel 57 und 58 Datenschutz-Grundverordnung).

Die Datenschutz-Grundverordnung beinhaltet neben ihren 99 Artikeln auch insgesamt 173 Erwägungsgründe, die den Artikeln voranstehen. Die Erwägungsgründe dienen in erster Li-nie der Begründung der einzelnen Verordnungsnormen. Aus ihnen können direkt zwar keine Rechte und Pflichten abgeleitet werden. Sie helfen jedoch bei der Auslegung der einzelnen Artikel und bestimmen so Zweck, Reichweite und Inhalt der einzelnen Artikel mit. Unter nachfolgendem Link finden Sie eine Zusammenstellung, welche Erwägungsgründe für wel-che Artikel relevant sind. [Link zu https://www.datenschutz-wiki.de/Kategorie:DSGVO-Artikel] 1.3 Warum noch ein Sächsisches Datenschutzdurchführungsgesetz? Natürlich stellt sich nun die Frage, warum es neben diesen umfassenden allgemeinen daten-schutzrechtlichen Regelungen der Datenschutz-Grundverordnung auch noch ein Sächsi-sches Datenschutzdurchführungsgesetz gibt. Hierfür gibt es mehrere Gründe:

Vorschriften, die sich im bisherigen Sächsischen Datenschutzgesetz bewährt haben, sollen auch künftig beibehalten werden. Ihnen werden also einige Paragrafen des Sächsischen Datenschutzdurchführungsgesetzes, wie zum Beispiel die Regelungen zu den Grundsätzen der Datenverarbeitung oder zu besonderen Verarbeitungssitua-tionen, bekannt vorkommen.

–Ebenfalls in Anlehnung an das bisherige Recht sollten die Möglichkeiten der Daten-schutz-Grundverordnung, die Rechte der Betroffenen einzuschränken, vor allem wenn es um Belange der öffentlichen Sicherheit und Ordnung, Geheimhaltungsvor-schriften oder die Verfolgung von Straftaten und Ordnungswidrigkeiten geht, genutzt werden.

Die Datenschutz-Grundverordnung verpflichtet die nationalen Gesetzgeber, Regelun-gen zur Ausgestaltung einer völlig unabhängigen Aufsichtsbehörde zu erlassen. Die-sem Regelungsauftrag wurde mit den §§ 14 ff. des Sächsischen Datenschutzdurch-führungsgesetzes nachgekommen.

Das Sächsische Datenschutzdurchführungsgesetz sichert für die öffentlichen Stellen ein datenschutzrechtliches Vollregime. Durch die im parlamentarischen Verfahren aufgenommene Formulierung des § 2 Absatz 4 des Sächsischen Datenschutzdurch-führungsgesetzes wird der Anwendungsbereich der meisten Artikel der Datenschutz-Grundverordnung auch auf die Verarbeitung personenbezogener Daten ausgeweitet, die nicht automatisiert oder in einem Dateisystem erfolgt.

2. Grundsätze der Datenverarbeitung

Die grundsätzlichen Datenschutzprinzipien für die Verarbeitung personenbezogener Daten, die bereits aus dem bisherigen Sächsischen Datenschutzgesetz bekannt sind, werden im Wesentlichen auch in Artikel 5 Datenschutz-Grundverordnung aufgegriffen. Neu ist jedoch die ausdrückliche Regelung, dass über die Einhaltung der datenschutzrechtli-chen Grundsätze Rechenschaft abzulegen ist. Um dieser Verpflichtung nachkommen zu können, wird die Einführung eines Datenschutzmanagements erforderlich sein.

https://www.datenschutz-wiki.de/Kategorie:DSGVO-Artikel

Seite 13 von 155

Die Grundsätze im Einzelnen: Rechtmäßigkeit der Verarbeitung Für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gilt wie bisher das Prin-zip des Verbots mit Erlaubnisvorbehalt. Demnach ist die Verarbeitung personenbezoge-ner Daten verboten, sofern nicht eine Rechtsvorschrift diese Verarbeitung erlaubt oder die betroffene Person eingewilligt [Link zur Seite Einwilligung] hat. Die Einwilligung wird aller-dings für die Verarbeitung personenbezogener Daten durch öffentliche Stellen, dabei insbe-sondere bei der Wahrnehmung öffentlicher Aufgaben, überwiegend keine geeignete Rechts-grundlage darstellen (vgl. Erwägungsgründe 43 und 45 Datenschutz-Grundverordnung). Insbesondere die gesetzlichen Erlaubnisgründe des Artikels 6 Absatz 1 Buchstabe c und e Datenschutz-Grundverordnung betreffen die Datenverarbeitung durch öffentliche Stellen. Sie gelten, wenn öffentliche Stellen personenbezogene Daten verarbeiten, um eine rechtliche Verpflichtung oder eine Aufgabe wahrzunehmen, die im öffentlichen Interesse liegt. Voraus-setzung ist aber bei beiden Erlaubnisgründen, dass eine Rechtsvorschrift den Verantwortli-chen zu einer solchen Verarbeitung verpflichtet bzw. ermächtigt. Wie bisher wird der ganz überwiegende Teil der Verarbeitung personenbezogener Daten durch öffentliche Stellen auf spezialgesetzliche Rechtsgrundlagen gestützt werden können, die den Anforderungen von Artikel 6 Absatz 2 und 3 Datenschutz-Grundverordnung entspre-chen. Darüber hinaus bestimmt § 3 Absatz 1 Sächsisches Datenschutzdurchführungsgesetz, dass die Verarbeitung personenbezogener Daten durch öffentliche Stellen zulässig ist, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist. Die Regelung ist ebenfalls eine Rechtsgrundlage für die Datenverarbeitung auf der Grundla-ge von Artikel 6 Absatz 1 Buchstabe e i. V. m. Artikel 6 Absatz 3 Satz 1 der Datenschutz-Grundverordnung und fungiert als eine Art Auffangtatbestand. Wie bisher in § 4 Absatz 2 Sächsisches Datenschutzgesetz werden auch in Artikel 9 der Da-tenschutz-Grundverordnung besondere Kategorien personenbezogener Daten unter be-sonderen Schutz gestellt. Über die bislang im Sächsischen Datenschutzgesetz genannten Kategorien hinaus – Angaben über die rassische und ethnische Herkunft, politische Meinun-gen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben - sind nun auch genetische Angaben sowie biometrische Daten ausdrücklich genannt. Artikel 9 Absatz 1 Datenschutz-Grundverordnung bestimmt ein grundsätzliches Verbot der Verar-beitung von Daten dieser Kategorien. Allerdings werden in Artikel 9 Absatz 2 Buchstabe a bis j Datenschutz-Grundverordnung zugleich umfangreiche Ausnahmen von diesem Grund-satz geregelt, sodass zwar einige Veränderungen im Vergleich zur bisherigen Rechtslage zu beachten sind, die praktische Anwendung der Normen aber nur wenige Anpassungen nach sich ziehen dürfte. Verarbeitung nach Treu und Glauben und Transparenz Nach Artikel 5 Absatz 1 Buchstabe a Datenschutz-Grundverordnung müssen personenbezo-gene Daten transparent und nach Treu und Glauben verarbeitet werden. Das Transparenz-gebot stellt keinen neuen Grundsatz zum bisherigen Recht dar – auch bisher musste die betroffene Person wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gab es schon bisher umfangreiche Betroffenenrechte (z. B. Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht). Nun findet der Transparenzgrundsatz seinen Niederschlag vor allem in den Artikeln 12 bis 15 Datenschutz-Grundverordnung, wo er etwa durch Informationspflichten bei der Erhebung von personenbezogenen Daten sowie durch das Auskunftsrecht der betroffenen Person konkretisiert wird.

Seite 14 von 155

Neu ist jedoch die Aufnahme des aus dem Zivilrecht bekannten Grundsatzes von Treu und Glauben (vgl. § 242 BGB), der nunmehr ausdrücklich ins Datenschutzrecht überführt wird. Unter diesen Grundsatz wird eine Vielzahl von Fallgruppen gefasst (z. B. Rechtsmissbrauch, widersprüchliches Verhalten). Das praktische Potential entfaltet sich vor allem an Stellen, an denen die Datenschutz-Grundverordnung nur sehr allgemeine oder gar keine Festlegungen trifft. Zweckbindung Der Grundsatz der Zweckbindung nach Artikel 5 Absatz 1 Buchstabe b Datenschutz-Grundverordnung ist im Wesentlichen bereits bekannt. Danach müssen “personenbezogene Daten … für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweck-bindung)”. Die Zwecke der Datenverarbeitung müssen dabei bereits bei der Erhebung personenbezo-gener Daten festgelegt, eindeutig und legitim sein. Zudem sind grundsätzlich nur solche Än-derungen des Verarbeitungszwecks erlaubt, die mit dem ursprünglichen Erhebungszweck vereinbar sind (Artikel 5 Absatz 1 Buchstabe b sowie Artikel 6 Absatz 4 Datenschutz-Grundverordnung). Dabei stellt die Datenschutz-Grundverordnung in Artikel 6 Absatz 4 Krite-rien auf, die bei der Beurteilung der Vereinbarkeit einer Zweckänderung zu berücksichtigen sind. Hierzu zählen u. a. die Verbindung zwischen den Zwecken, der Gesamtkontext, in dem die Daten erhoben wurden, die Art der personenbezogenen Daten, mögliche Konsequenzen der zweckändernden Verarbeitung für den Betroffenen oder das Vorhandensein von ange-messenen Sicherheitsmaßnahmen wie eine Pseudonymisierung oder Verschlüsselung. Dies führt zu einer vorsichtigen Privilegierung der Weiterverarbeitung pseudonymisierter bzw. ver-schlüsselter Daten, was vor allem für datenschutzgerechte Big-Data-Anwendungen von Be-deutung ist. § 3 Absatz 2 Sächsisches Datenschutzdurchführungsgesetz bestimmt angelehnt an den bis-herigen § 13 Absatz 3 des Sächsischen Datenschutzgesetzes, dass eine Verarbeitung zu den Zwecken der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprü-fung, zur Durchführung von Organisationsuntersuchungen, zur Prüfung und Wartung von automatisierten Verfahren, zu statistischen Zwecken sowie zu Aus-, Fort-, Weiterbildungs- und Prüfungszwecken, keine zweckändernde Datenverarbeitung ist, sondern diese Zwecke jeder Datenverarbeitung immanent sind. Eine diesbezügliche Verarbeitung ist damit zulässig, soweit nicht schutzwürdige Interessen der betroffenen Person entgegenstehen. Darüber hinaus kann die Zweckbindung auch durch Rechtsvorschriften durchbrochen wer-den. Die bisher im nach § 13 Absatz 2 in Verbindung mit § 12 Absatz 4 Sächsisches Daten-schutzgesetz zugelassenen Zweckänderungen sind nun in § 4 Absatz 1 Sächsisches Daten-schutzdurchführungsgesetz normiert. Datensparsamkeit/Speicherbegrenzung Das bereits im Sächsischen Datenschutzgesetz verankerte Prinzip der Datensparsamkeit findet sich nunmehr als eines der zentralen Prinzipien des Datenschutzes in Artikel 5 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung wieder. Danach muss die Verarbeitung personenbezogener Daten dem Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein. Mit der normierten Speicherbegrenzung dürfen personenbezogene Daten nur in einer Form gespeichert wer-den, die die Identifizierung der Person nur solange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Sobald die Speicherung personenbezogener Daten für den

Seite 15 von 155

Verarbeitungszweck also nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht (Artikel 17 Absatz 1 Buchstabe a Datenschutz-Grundverordnung) oder die Identifi-zierung der betroffenen Person aufgehoben werden. Ausnahmen ergeben sich für im öffent-lichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungs-zwecke und für statistische Zwecke (Artikel 5 Absatz 1 Buchstabe e Datenschutz-Grundverordnung). Auch der Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) sollen Datensparsam-keit gewährleisten (vgl. Artikel 25 Datenschutz-Grundverordnung, Erwägungsgrund 78). Richtigkeit/Aktualität/Integrität/Vertraulichkeit Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden (vgl. Artikel 5 Absatz 1 Buchstabe d Datenschutz-Grundverordnung). Die Datenschutz-Grundverordnung verknüpft sehr stark den Datenschutz mit der Technik. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, sollen unverzüglich gelöscht (vgl. etwa Artikel 17 Absatz 1 Buchstabe d Datenschutz-Grundverordnung) oder berichtigt (Artikel 16 Datenschutz-Grundverordnung) werden. Schließlich müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet (vgl. Artikel 5 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung. Dies umfasst auch den Schutz vor unbe-fugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten. Hierfür sind geeignete techni-sche und organisatorische Maßnahmen zu treffen, die insbesondere in Artikel 32 Daten-schutz-Grundverordnung konkretisiert werden. Die Maßnahmen müssen im Verhältnis zum Risiko angemessen sein. Geboten sein kann danach unter anderem eine Pseudonymisierung oder Verschlüsselung, sowie die Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit und Belastbarkeit der Sys-teme zu gewährleisten. Verantwortlichkeit/Dokumentation/Rechenschaftspflicht Nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung trägt der Verantwortliche dafür Sor-ge, dass die datenschutzrechtlichen Grundsätze eingehalten werden. Dies entspricht der bisherigen Rechtslage. Bei den Rechenschaftspflichten geht es darum, dass die öffentliche Stelle nachweisen kön-nen muss, dass es die Grundsätze der Datenverarbeitung personenbezogener Daten nach Artikel 5 Absatz 1 Datenschutz-Grundverordnung einhält. Dies betrifft die Anforderungen der Rechtmäßigkeit und der Transparenz der Datenverarbeitung sowie der Verarbeitung der Da-ten nach Treu und Glauben, die Beachtung des Zweckbindungsgrundsatzes, des Grundsat-zes der Datenminimierung, der Richtigkeit der Daten, der Speicherbegrenzung und der In-tegrität und Vertraulichkeit der Datenverarbeitung. Konkret bedeutet dies, dass alle daten-schutzrechtlich relevanten Vorgänge nachvollziehbar bzw. belegbar sein müssen, also zu dokumentieren sind. Es dürfte nicht mehr ausreichend sein, sich auf die kritischen Prozesse zu beschränken und ausschließlich für diese eine Konzeption zu entwickeln.

Seite 16 von 155

3. Einwilligung

3. 1 Einwilligung – Allgemeine Anforderungen In Artikel 6 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung findet sich die bisher in § 4 Absatz 1 Sächsisches Datenschutzgesetz geregelte Einwilligung des Betroffenen als Grundlage für die rechtmäßige Verarbeitung personenbezogener Daten. Die Einwilligung als Grundlage für die Datenverarbeitung war schon bislang für öffentliche Stellen eher von un-tergeordneter Bedeutung, da für diese der Vorbehalt des Gesetzes gilt. Die Grenzen zulässi-ger Datenverarbeitung durch öffentliche Stellen bestimmen sich in erster Linie nach den ge-setzlich definierten Aufgaben. Im Rahmen dieser Aufgabenerfüllung dürfen die öffentlichen Stellen regelmäßig auf gesetzlicher Grundlage personenbezogene Daten verarbeiten. Eine Verarbeitung der personenbezogenen Daten über diese gesetzlich festgelegten Grenzen hinaus mittels Einwilligung kommt nur ausnahmsweise in Betracht. Dabei ist vor allem zu berücksichtigen, dass im Verhältnis zwischen öffentlicher Stelle und Bürger oftmals ein Un-gleichgewicht besteht. Die Einwilligung kann in diesen Fällen nicht als freiwillig abgegeben gelten und daher auch nicht Grundlage für eine Verarbeitung sein (vgl. Erwägungsgrund 43 der Datenschutz-Grundverordnung). An diesen bereits bisher geltenden Grundsätzen ändert sich auch mit der Datenschutz-Grundverordnung nichts. Bisher erteilte Einwilligungen wirken nach Erwägungsgrund 171 der Datenschutz-Grundverordnung fort. Sofern sie die Grundlage für eine Verarbeitung personenbezogener Daten nach Artikel 6 Absatz 1 Buchstabe a Datenschutz-Grundverordnung sein sollen, gilt dies jedoch nur, sofern sie auch der Art nach und inhaltlich den Bedingungen der Daten-schutz-Grundverordnung entsprechen. Sofern dies nicht der Fall ist, können sie nicht als Einwilligung im Sinne des Artikels 6 Absatz 1 Buchstabe a in Verbindung mit Artikel 7 und 8 Datenschutz-Grundverordnung angesehen und eine künftige Verarbeitung nicht auf sie ge-stützt werden. Die vorhandenen Einwilligungen sind somit auf ihre Wirksamkeit hin zu überprüfen. Dabei ist insbesondere von Bedeutung, ob auf Grundlage der neuen Anforderungen nach Artikel 7 Absatz 4 Datenschutz-Grundverordnung eine freiwillige Erklärung abgegeben, gemäß Artikel 7 Absatz 3 Satz 3 Datenschutz-Grundverordnung auf die Wirkung des Widerrufs für die Zu-kunft hingewiesen und dass die Altersgrenze für Einwilligungen nach Artikel 8 Absatz 1 Da-tenschutz-Grundverordnung berücksichtigt wurde. Die bisher geltenden Anforderungen an eine informierte Einwilligung müssen ebenso erfüllt sein wie die klare Benennung des Ver-antwortlichen und der Zwecke der Verarbeitung. Wenn ein Verantwortlicher einen „Dienst der Informationsgesellschaft“ einem Minder-jährigen unter 16 Jahren direkt unterbreitet, dann hat er gemäß Artikel 8 Absatz 1 Satz 1 Datenschutz-Grundverordnung für die Wirksamkeit der Einwilligung die Zustimmung der Eltern einzuholen. Ansonsten kommt es bei Einwilligungen von Minderjährigen in die Daten-verarbeitung - wie bisher - auf die Einsichtsfähigkeit des Minderjährigen an. Was unter „Dienst der Informationsgesellschaft“ zu verstehen ist, wird in Artikel 4 Num-mer 25 Datenschutz-Grundverordnung festgelegt. Dort wird auf die Begriffsbestimmung in Artikel 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 Bezug genommen. Voraus-setzung ist danach, dass das Angebot eine regelmäßig gegen Entgelt, elektronisch und im Fernabsatz auf individuellen Abruf eines Empfängers erbrachte Dienstleistung darstellt. Hier-zu können beispielsweise an Kinder gerichtete soziale Netzwerke gehören. Als entgeltlich gelten diese Dienste bereits dann, wenn sie sich beispielsweise durch den Handel mit Nut-zerdaten (quer-)finanzieren.

Seite 17 von 155

Die Datenschutz-Grundverordnung beschreibt in Artikel 7 unabdingbare Voraussetzungen für die Einwilligung. Darüber hinaus finden sich in zahlreichen Erwägungsgründen (32, 33, 38, 42, 43) Erläuterungen, um die Regelungen entsprechend auslegen und anwenden zu können. Die wichtigsten Anforderungen an eine rechtsgültige Einwilligung, die bisher in § 4 Absatz 3 bis 5 Sächsisches Datenschutzgesetz geregelt waren, haben sich jedoch im We-sentlichen nicht geändert. Diese sind: Freiwilligkeit und Koppelungsverbot Die Abgabe der Einwilligungserklärung der betroffenen Person muss gemäß Artikel 7 Absatz 4 Datenschutz-Grundverordnung freiwillig erfolgen, das heißt, ohne jeden Druck oder Zwang. Die betroffene Person muss in der Lage sein, eine echte freie Wahl zu treffen, d. h., sie darf im Zuge der Einholung der Einwilligung nicht vor vollendete Tatsachen gestellt oder sonst in ihrer Entscheidungskraft eingeschränkt werden. In Erwägungsgrund 43 finden sich nähere Ausführungen zu der Frage, wann eine Einwilligung als freiwillig anzusehen ist und wann nicht. Gerade wenn es sich bei dem Verantwortlichen um eine Behörde handelt, wird oft ein Ungleichgewicht zwischen der betroffenen Person und der Behörde bestehen. In die-sen Fällen kann nicht von einer freiwilligen Einwilligung ausgegangen werden. Neu ist die ausdrückliche Einführung eines allgemeinen Kopplungsverbotes. Danach gilt gemäß Erwägungsgrund 43 eine Einwilligung als nicht freiwillig erteilt, wenn zu verschiede-nen Datenverarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung von der Einwilligung abhängig gemacht werden, obwohl dies dafür gar nicht erforderlich ist. Dies widersprach aber schon nach bisheriger Auffassung dem Grundsatz der Freiwilligkeit. Ausführliche, erkennbare und bestimmte Information des Betroffenen In Bezug auf die Informiertheit greift die Datenschutz-Grundverordnung die bereits aus § 4 Absatz 3 Sächsisches Datenschutzgesetz bekannten Grundsätze auf (vgl. insbesondere Artikel 4 Nummer 11 Datenschutz-Grundverordnung). Die betroffene Person muss vor Ab-gabe der Einwilligungserklärung über den vorgesehenen Zweck wie auch den Umfang der Verarbeitung seiner personenbezogenen Daten im Einzelnen informiert werden, damit sie für den konkreten Fall und in Kenntnis der Sachlage einwilligen kann. Dabei müs-sen alle weiteren für den konkreten Fall entscheidungsrelevanten Informationen ent-halten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein. Der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden. Auch in Erwägungsgrund 32 wird darauf hingewiesen, dass sich eine Einwilligung nur auf die jeweils angegebenen Verar-beitungszwecke bezieht und für sämtliche Verarbeitungszwecke eine Einwilligung abgege-ben werden soll. Form der Einwilligungserklärung Wie bisher kann die Einwilligungserklärung schriftlich oder elektronisch abgegeben werden. Die Datenschutz-Grundverordnung geht aber nicht mehr von einem grundsätzlichen Schriftformerfordernis aus. Zulässig wäre auch eine mündliche Einwilligungserklärung. Allerdings wird durch Artikel 7 Absatz 1 Datenschutz-Grundverordnung die Nachweisbarkeit der Einwilligung (Rechenschaftspflicht) durch den Verantwortlichen gefordert. Bei einer nur mündlichen Einwilligung wird dieser Nachweis nur schwer zu führen sein. Daher wird empfohlen, die Einwilligung wie bisher schriftlich oder elektronisch einzuholen. In Erwägungsgrund 32 wird dabei klargestellt, dass die Einwilligung nur durch eine eindeuti-ge Handlung zustande kommen soll, die auch in elektronischer Form erfolgen kann. Damit ist

https://cms.egov.sachsen.de/CMS/WebClient/PreviewHandler.ashx?Action=Preview&Pageguid=696CAE3B2A1B4EF08B71B6D73D22B327&_cp=%7B%22accordion-content-4146%22%3A%7B%220%22%3Atrue%2C%221%22%3Atrue%2C%222%22%3Atrue%2C%223%22%3Atrue%7D%2C%22previousOpen%22%3A%7B%22group%22%3A%22accordion-content-4146%22%2C%22idx%22%3A3%7D%7D#collapse-content-4147



Seite 18 von 155

regelmäßig eine aktive Handlung des Nutzers durch Opt-In (z. B. Setzen eines Häkchens) notwendig, andere Varianten wie eine stillschweigende Zustimmung oder Opt-Out (z. B. Ent-fernen eines Häkchens) sind dagegen nicht mehr möglich. Wenn die Einwilligung zusammen mit anderen Erklärungen abgegeben werden soll, so muss die Einwilligungserklärung gemäß Artikel 7 Absatz 2 Datenschutz-Grundverordnung „in ver-ständlicher und leicht zugänglicher Form“ und in „einer klaren und einfachen Spra-che“ erfolgen. Für den Betroffenen muss sich die Einwilligungserklärung klar von anderen Erklärungen unterscheiden können. Daraus folgt, dass die Einwilligung deutlich hervorzu-heben ist (z. B. durch Fettdruck, Rahmung, farbliche Hervorhebung). Im Falle der Verarbeitung von besonders sensiblen Arten von personenbezogenen Da-ten muss sich die Einwilligung ausdrücklich auf diese beziehen, Artikel 9 Absatz 2 Buchsta-be a Datenschutz-Grundverordnung. Hinweis auf die Widerruflichkeit der Einwilligungserklärung Die Datenschutz-Grundverordnung bestimmt in Artikel 7 Absatz 3, dass die betroffene Per-son ein Recht zum Widerruf ihrer Einwilligung hat, sie vor Abgabe der Einwilligung über ihr Widerrufsrecht aufgeklärt werden muss und der Widerruf der Einwilligung genauso leicht möglich sein muss wie die Abgabe selbst. Nach der Datenschutz-Grundverordnung nicht mehr ausdrücklich gefordert ist ein Hinweis auf die Folgen der Verweigerung einer Einwilligung. Eine Aufnahme dieses Hinweises ist aber bereits aus Gründen der Transparenz und als wesentliches Kriterium für die Entschei-dung des Betroffenen, ob er die Einwilligung erteilt, geboten. Eine Einwilligung, die nicht den o. g. Anforderungen entspricht, ist unwirksam und kann nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden. Wenn sich die Einwilligung als unwirksam erweist oder der Verantwortliche das Vorliegen der Ein-willigung nicht nachweisen kann, so ist die Verarbeitung der Daten rechtswidrig. 3.2 Speziell: Einwilligung in Bild- und Tonaufnahmen Für die Anfertigung von Bild- und Tonaufnahmen gilt die Datenschutz-Grundverordnung, da die Abbildung einer natürlichen Person eine Verarbeitung personenbezogener Daten im Sin-ne der Datenschutz-Grundverordnung ist. Dafür ist eine Erlaubnisnorm erforderlich. Welche Erlaubnisnorm herangezogen werden kann und wie ein praktikabler Umgang mit Bild- und Tonaufnahmen ermöglicht werden kann, wird derzeit kontrovers diskutiert. Insbesondere die Einholung einer Einwilligung (Artikel 6 Absatz 1 Satz 1 Buchstabe a Datenschutz-Grundverordnung) aller abgebildeten Personen ist in der Praxis schwierig, teilweise unmög-lich. Zwar verlangt die Datenschutz-Grundverordnung keine schriftliche Einwilligung, aller-dings besteht die Pflicht des Fotografen, nachzuweisen, dass die betroffene Person tatsäch-lich eingewilligt hat. Daher wird eine schriftliche Erklärung (auch in elektronischer Form mög-lich) unverzichtbar sein. Dies wäre insbesondere bei größeren und anonymen Veranstaltun-gen (z. B. Tag der offenen Tür) problematisch, da zum Beispiel auch eine unterschriebene Erklärung nicht ohne Weiteres einer Person auf einem Foto zugeordnet werden könnte. Im Folgenden Merkblatt wird daher eine mögliche Vorgehensweise und Argumentation aufge-zeigt. Die Muster dienen als Hilfestellung zur praktischen Umsetzung: [Link: Merkblatt zur Anfertigung und Veröffentlichung von Bild- und Tonaufnahmen mit Personenbezug durch Behörden] [Link: Hinweis für offene Veranstaltungen mit großer Teilnehmerzahl, Anlage 1 zum Merk-blatt]


Seite 19 von 155

[Link: Muster für eine Einwilligungserklärung für die Erstellung und Veröffentlichung von Bild- und Tonaufnahmen, Anlage 2 zum Merkblatt] 4. Datenschutzbeauftragter

Die Anwendung der Datenschutz-Grundverordnung bringt auch Veränderungen im Hinblick auf die Benennung, Stellung und Aufgaben der Datenschutzbeauftragten mit sich. Die hierfür bisher geltenden Regelungen in § 11 Sächsisches Datenschutzgesetz sind nun durch Artikel 37 bis 39 Datenschutz-Grundverordnung abgelöst. Mit Artikel 37 Absatz 1 Datenschutz-Grundverordnung wurde erstmals eine europaweit gel-tende gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten für Behörden und öffentliche Stellen eingeführt. Damit soll die datenschutzrechtliche Selbstkontrolle öffent-licher Stellen gestärkt werden. Bisher war für die öffentlichen Stellen im Freistaat Sachsen die Bestellung eines Datenschutzbeauftragten gemäß § 11 Absatz 1 Sächsisches Daten-schutzgesetz nicht verpflichtend, sondern fakultativ. Nach der Datenschutz-Grundverordnung muss nun jeweils ein Datenschutzbeauftragter benannt werden. Da keine Frist bestimmt ist, besteht diese Pflicht seit 25. Mai 2018. Wichtig: Jede öffentliche Stelle, die bisher noch keinen Datenschutzbeauftragten hatte, musste bis zum 25. Mai 2018 einen Datenschutzbeauftragten benennen. Aufgaben und Benennung des Datenschutzbeauftragten nach der Datenschutz-Grundverordnung entsprechen im Kern den bisherigen Vorgaben nach dem Sächsischen Datenschutzgesetz. Allerdings führt die Datenschutz-Grundverordnung teilweise zu einer Verschiebung der datenschutzrechtlichen Zuständigkeiten und Verantwortlichkeiten bei den datenverarbeitenden Stellen. So verantwortet der Datenschutzbeauftragte nach der Daten-schutz-Grundverordnung nicht mehr operative Aufgaben wie die Mitarbeiterschulung und die datenschutzrechtliche Vorabkontrolle, sondern nimmt verstärkt die Stellung eines Beratungs- und Kontrollorgans ein. Was ist zu tun?

Soweit noch kein Datenschutzbeauftragter bestellt worden ist, ist ein solcher unver-züglich zu benennen (vgl. Checkliste Benennung Datenschutzbeauftragter – Anlage 4).

Bestehende Bestellungen von Datenschutzbeauftragten sollten auf ihre Konformität mit den neuen Datenschutzbestimmungen hin überprüft werden. Da der Aufgaben- und Befugnisbereich des Datenschutzbeauftragten verändert wurde, empfiehlt sich, die Bestellungen in der bisher empfohlenen Weise unter Nennung der konkreten Auf-gaben vorzunehmen und auf die Vorschriften der Datenschutz-Grundverordnung zu verweisen. Nach altem Recht bestellten Datenschutzbeauftragten sollte so mit einem erneuernden Akt ebenfalls in Bezug auf ihren Rechtsstatus Gewissheit verschafft werden.

Die Kontaktdaten des Datenschutzbeauftragten sind im Intranet und Internet zu veröf-fentlichen und dem Sächsischen Datenschutzbeauftragten zu melden.

Es ist zu prüfen, ob der nach der Datenschutz-Grundverordnung zu benennende bzw. bereits nach Sächsischem Datenschutzgesetz bestellte Datenschutzbeauftragte die beruflichen und persönlichen Voraussetzungen erfüllt. Gegebenenfalls ist ihm Ge-legenheit zu entsprechender Qualifizierung zu geben.

Durch Organisationsregelungen, die allen Beschäftigten bekanntzugeben sind, ist die ordnungsgemäße und frühzeitige Beteiligung des Datenschutzbeauftragten bei allen Datenschutzfragen, insbesondere auch die Einbeziehung bei einer Datenschutz-

Seite 20 von 155

Folgenabschätzung, sicherzustellen. Es empfiehlt sich, die organisatorische Stellung des Datenschutzbeauftragten innerhalb der Behörde bzw. öffentlichen Stelle und dessen direktes Berichtsrecht transparent im Organigramm darzustellen (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Daten-schutzbeauftragten“ – Anlage 5).

Es ist zu überprüfen, ob dem Datenschutzbeauftragten ausreichende Ressourcen für seine Aufgabenerfüllung zur Verfügung stehen. Ggf. sind sie dem Bedarf anzupassen (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftragten“ – Anlage 5).

4.1 Benennung Nach Artikel 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung hat jede öffentliche Stelle seit 25. Mai 2018 einen Datenschutzbeauftragten zu benennen. Um Rechtssicherheit zu erlangen, ist eine Anpassung der Bestellung unter Verweis auf die Datenschutz-Grundverordnung anzuraten. Bereits bestellte Datenschutzbeauftragte blei-ben in ihrer Funktion. Sie dürfen wegen des bestehenden Benachteiligungsverbots keines-falls mit Verweis auf die neuen Bestimmungen der Datenschutz-Grundverordnung abberufen oder entlassen werden, wenn sie die gesetzlichen Anforderungen weiterhin erfüllen - das Amt ist also nicht neu zu besetzen. Vor dem Hintergrund der nach der Datenschutz-Grundverordnung nicht mehr erforderlichen Schriftform kann allerdings die bisher konstitutiv wirkende Unterzeichnung der Bestellurkunde nun nur noch deklaratorische Wirkung entfal-ten. Bestehende schriftliche Dokumente sollten auf ihre Konformität mit den neuen Daten-schutzbestimmungen hin überprüft werden. Insbesondere Stellung und Aufgaben des Da-tenschutzbeauftragten haben sich nun an der Datenschutz-Grundverordnung auszurichten. Insofern wird eine (lediglich formale) Neubestellung zur Klarstellung unter der neuen Rechts-lage empfohlen. 4.1.1 Interner, externer oder gemeinsamer Datenschutzbeauftragter Der Datenschutzbeauftragte kann gemäß Artikel 37 Absatz 6 Datenschutz-Grundverordnung auch ein Externer sein, der auf der Grundlage eines Dienstleistungsvertrages tätig wird. Die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen, bestand auch schon nach § 11 Absatz 1 Satz 4 Sächsisches Datenschutzgesetz. Es besteht gemäß Artikel 37 Absatz 3 Datenschutz-Grundverordnung auch die Möglichkeit, für mehrere öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten zu benennen. Dies war bereits nach § 11 Absatz 1 Satz 3 Sächsisches Datenschutzgesetz möglich. Der Verantwortliche muss je-doch nunmehr unter anderem sicherstellen, dass der gemeinsame Datenschutzbeauftragte auch in der Lage ist, die ihm in Bezug auf sämtliche öffentlichen Stellen übertragenen Auf-gaben zu erfüllen. Wie nach bisheriger Rechtslage kann nur eine natürliche Person als Datenschutzbeauftrag-ter benannt werden, nicht jedoch eine juristische Person. Der zum Datenschutzbeauftragten benannten Person kann auch Hilfspersonal zugewiesen werden, wie etwa Vertreter, Datenschutzansprechpartner und Koordinatoren. In diesem Fall empfiehlt es sich, die Aufgabenverteilung klar zu dokumentieren und festzulegen, ob und in welchem Umfang die Rechte des Datenschutzbeauftragten auf ein Mitglied seines Teams Anwendung finden.

https://cms.egov.sachsen.de/CMS/ImageCache/A4B6EE381EB04FF2B555A98A0387A655/64E86F38AD394CC3B213E05C51DB13C1/ME/Merkblatt_Qualifikation_und_UnabhaengigkeitbDSB.doc




Seite 21 von 155

4.1.2 Anforderungen an die Benennung Formale Voraussetzungen Die Datenschutz-Grundverordnung spricht in Artikel 37 von einer Benennung des Daten-schutzbeauftragten. Insofern ist eine Schriftform, wie sie derzeit in § 11 Absatz 1 Satz 2 Sächsisches Datenschutzgesetz für die Bestellung geregelt ist, nicht mehr zwingend vorge-schrieben. Vielmehr besteht eine Veröffentlichungs- und Mitteilungspflicht. Empfehlung: Aus Beweisgründen und zur Rechtsklarheit wird eine schriftliche Dokumenta-tion der Benennung des Datenschutzbeauftragten dennoch empfohlen. Neben dem Zeit-punkt des Wirksamwerdens der Benennung sollten auch die gesetzlichen und ggf. zusätzlich vereinbarten Aufgaben des Datenschutzbeauftragten, dessen Zeitkontingent sowie ggf. die zur Verfügung gestellten Ressourcen schriftlich fixiert werden, damit sich Verantwortlicher und Datenschutzbeauftragter über diese im Klaren sind. Berufliche Qualifikation, Fachwissen und persönliche Voraussetzungen des Datenschutzbe-auftragten Nach der bisherigen Regelung in § 11 Absatz 2 Sächsisches Datenschutzgesetz musste der Datenschutzbeauftragte die zur Erfüllung seiner Aufgaben erforderliche Sachkunde und Zu-verlässigkeit besitzen. Die Datenschutz-Grundverordnung bestimmt nun in Artikel 37 Absatz 5, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 Datenschutz-Grundverordnung genannten Aufgaben. Der Begriff der beruflichen Qualifikation wird in der Datenschutz-Grundverordnung nicht wei-ter erklärt und auch für das erforderliche Fachwissen fehlt eine dezidierte Beschreibung. Je-denfalls verlangt aber die Vorschrift Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Hierzu gehören fundierte Kenntnisse der datenschutzrechtlichen Grundlagen, insbesondere der Datenschutz-Grundverordnung, des Sächsischen Daten-schutzdurchführungsgesetzes, bereichsspezifischer Datenschutzbestimmungen und der je-weils anzuwendenden Verwaltungsvorschriften, wie auch Kenntnisse über die internen Pro-zesse in der öffentlichen Stelle, solides Fachwissen in Bezug auf das IT-System und IT-Sicherheitsmaßnahmen. Das jeweils erforderliche Niveau des Fachwissens richtet sich ins-besondere nach den durchgeführten Verarbeitungsvorgängen und dem erforderlichen Schutz der personenbezogenen Daten, die die öffentliche Stelle verarbeitet. Je komplexer die Datenverarbeitungen im Einzelfall sind oder je größer die Menge sensibler Daten ist, des-to höher sind die Anforderungen an das notwendige Fachwissen des Datenschutzbeauftrag-ten. Dies verlangte im Übrigen auch die bereits bisher nach Sächsischem Datenschutzge-setz geforderte Sachkunde. Das bisher geltende Erfordernis der persönlichen Zuverlässigkeit wird zwar in der Daten-schutz-Grundverordnung nicht ausdrücklich geregelt, ergibt sich aber aus der Aufgabenstel-lung des Datenschutzbeauftragten, Ansprechpartner der Behörde bzw. öffentlichen Stelle und der betroffenen Personen zu sein. Hierfür sind nach wie vor ein hohes Maß an persönli-cher Integrität, Berufsethik und Kommunikationsfähigkeit erforderlich. So kommen z. B. Per-sonen für eine Benennung nicht in Frage, die bereits Datenschutzverstöße begangen oder Verschwiegenheitspflichten verletzt haben. Die bisher nach § 11 Absatz 1 Satz 4 Sächsisches Datenschutzgesetz geltende Anforde-rung, wonach der Datenschutzbeauftragte die formellen Voraussetzungen für die Berufung in das Beamtenverhältnis auf Zeit erfüllen musste, ist entfallen.

Seite 22 von 155

Kein Interessenkonflikt Der Verantwortliche hat gemäß Artikel 38 Absatz 6 Datenschutz-Grundverordnung sicherzu-stellen, dass vom Datenschutzbeauftragten ggf. wahrzunehmende andere Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Dies war bereits nach § 11 Absatz 2 Satz 1 Sächsisches Datenschutzgesetz zu gewährleisten. Die bisherigen Grundsätze zur Interes-senkollision bleiben somit gültig. Danach ist z. B. die Benennung des Leiters der IT- oder der Personalabteilung, von Mitarbei-tern in leitender Position mit besonderer Nähe zur Behördenleitung, des Geheimschutzbe-auftragten oder von Vorstandsmitgliedern von Personalräten unzulässig. Generell gilt der Grundsatz, dass der zu Kontrollierende nicht selbst der Kontrolleur sein darf. 4.1.3 Veröffentlichung der Kontaktdaten und Mitteilung an die Aufsichtsbehörde In formeller Hinsicht wird die Benennung des Datenschutzbeauftragten mit der Veröffentli-chung von dessen Kontaktdaten und die Mitteilung an den Sächsischen Datenschutzbeauf-tragten vollzogen (Artikel 37 Absatz 7 Datenschutz-Grundverordnung). Bisher waren gemäß § 11 Absatz 1 Sätze 4 und 5 Sächsisches Datenschutzgesetz dem Sächsischen Daten-schutzbeauftragten innerhalb eines Monats nach Bestellung lediglich der Name des Daten-schutzbeauftragten und der Tag seiner Bestellung mitzuteilen. Zu den durch den Verantwortlichen zu veröffentlichenden und der Aufsichtsbehörde mitzutei-lenden Kontaktdaten des Datenschutzbeauftragten gehören mindestens folgende:

Postadresse Telefonnummer und E-Mail-Adresse.

Die Kontaktdaten sind sowohl innerhalb der Organisation der öffentlichen Stelle (Intranet, Geschäftsverteilungspläne) als auch auf deren Internetseite zu veröffentlichen und dem Sächsischen Datenschutzbeauftragten mitzuteilen. Der Sächsische Datenschutzbeauftragte stellt für die Meldung der Kontaktdaten auf seiner Internetseite einen Online-Service bzw. ein Formular bereit [Link https://www.saechsdsb.de/mitteilung-benannter-datenschutzbeauftragter]. Obwohl die Veröffentlichung oder Mitteilung des Namens des Da-tenschutzbeauftragten nach der Datenschutz-Grundverordnung nicht zwingend ist, wird die Bekanntgabe des Namens zumindest gegenüber der Aufsichtsbehörde und innerhalb der öffentlichen Stelle empfohlen. 4.2 Sonstige Pflichten des Verantwortlichen 4.2.1 Pflicht zur Unterstützung des Datenschutzbeauftragten Pflicht zur ordnungsgemäßen und frühzeitigen Einbindung des Datenschutzbeauftragten Erstmals wird mit Artikel 38 Absatz 1 Datenschutz-Grundverordnung der Verantwortliche gesetzlich verpflichtet, den Datenschutzbeauftragten ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Dies ist auch zwingend erforderlich, damit der Datenschutzbeauftragte seinen Beratungs- und Überwachungsaufgaben gerecht werden kann. Gegebenenfalls sollte der Verantwortliche im Datenschutzkonzept oder in sonstigen organi-satorischen Regelungen festlegen, wann und in welchen Fällen der Datenschutzbeauftragte zu Rate zu ziehen ist. Z. B. könnte u. a. bestimmt werden,

Seite 23 von 155

dass der Datenschutzbeauftragte den maßgeblichen Arbeitsgruppen angehört, die

mit Datenverarbeitungstätigkeiten innerhalb der Behörde bzw. öffentlichen Stelle be-fasst sind,

er zur Teilnahme an den regelmäßigen Besprechungen der Leitungsebene eingela-den wird,

er bei einer Verletzung datenschutzrechtlicher Bestimmungen oder einem sonstigen Vorfall unverzüglich hinzuzuziehen ist.

Wichtig: Durch Organisationsregelungen, die allen Beschäftigten bekanntzugeben sind, ist die ordnungsgemäße und frühzeitige Beteiligung des Datenschutzbeauftragten bei allen Da-tenschutzfragen sicherzustellen. Pflicht zur Bereitstellung von Ressourcen Wie bisher nach § 11 Absatz 2 Satz 4 Sächsisches Datenschutzgesetz hat der Verantwortli-che auch nach Artikel 38 Absatz 2 Datenschutz-Grundverordnung den Datenschutzbeauf-tragten bei der Erfüllung seiner Aufgaben im erforderlichen Umfang zu unterstützen. Die dem Verantwortlichen in diesem Zusammenhang obliegenden Pflichten sind:

Bereitstellen der erforderlichen Ressourcen wie ausreichend Arbeitszeit, Räume, ggf. weitere Mitarbeiter,

Ermöglichung des Zugangs zu personenbezogenen Daten und Verarbeitungsvorgän-gen, z. B. Zugang zu anderen Abteilungen wie Personal, Recht, IT und Sicherheit, um ggf. dort Unterstützung und Anregungen zu erhalten,

Bereitstellen der zur Erhaltung des Fachwissens erforderlichen Ressourcen wie Fachliteratur, Ermöglichung der Teilnahme an Fortbildungen und am Erfahrungsaus-tausch mit anderen Datenschutzbeauftragten.

Auch hier gilt: Je komplexer und sensibler die Datenverarbeitungsvorgänge sind, desto mehr Ressourcen müssen dem Datenschutzbeauftragten zur Verfügung gestellt werden. Wichtig: Überprüfen Sie, ob dem Datenschutzbeauftragten ausreichende Ressourcen für seine Aufgabenerfüllung zur Verfügung stehen; ggf. sind sie dem Bedarf anzupassen (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutz-beauftragten“ – Anlage 5). 4.2.2 Gewährleistung der Unabhängigkeit des Datenschutzbeauftragten Weisungsfreiheit Bereits nach § 11 Absatz 2 Satz 2 Sächsisches Datenschutzgesetz war der Datenschutzbe-auftragte bei der Erfüllung seiner Aufgaben weisungsfrei. Auch nach Artikel 38 Absatz 3 Satz 1 Datenschutz-Grundverordnung ist nunmehr die Weisungsfreiheit Kernstück der Unabhän-gigkeit des Datenschutzbeauftragten. Erwägungsgrund 97 stellt diesbezüglich klar: „Derarti-ge Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unab-hängigkeit ausüben können.“ Dem Datenschutzbeauftragten dürfen somit keine Weisungen in seiner Funktion als Datenschutzbeauftragter erteilt werden. Z. B. ist es nicht zulässig, ihm Vorgaben zur Erreichung eines ganz bestimmten Ziels, über die Art und Weise der Bearbei-tung von Eingaben oder zur Zusammenarbeit mit Aufsichtsbehörden zu machen. Die Wei-sungsfreiheit beschränkt sich allerdings auf die Erfüllung seiner Aufgaben als Datenschutz-beauftragter und umfasst nicht seine sonstigen Aufgaben.

Seite 24 von 155

Abberufungsschutz und Benachteiligungsverbot Der Datenschutzbeauftragte durfte schon nach bisheriger Rechtslage nicht wegen der Erfül-lung seiner Aufgaben benachteiligt werden (§ 11 Absatz 2 Satz 3 Sächsisches Datenschutz-gesetz). Diese Regelung behält Artikel 38 Absatz 2 Datenschutz-Grundverordnung bei. Festgelegt wird dort außerdem, dass er wegen der Erfüllung seiner Aufgaben auch nicht ab-berufen werden darf. Ein besonderer arbeitsrechtlicher Kündigungsschutz ist in der Daten-schutz-Grundverordnung jedoch nicht vorgesehen. Die Datenschutz-Grundverordnung enthält keine Regelung dazu, wie und wann ein Daten-schutzbeauftragter abberufen oder durch eine andere Person ersetzt werden kann. Eine Ab-berufung im Einvernehmen mit dem Datenschutzbeauftragten ist aber in der Praxis z. B. zu-lässig, wenn der Datenschutzbeauftragte mit neuen fachlichen Aufgaben betraut werden soll, welche aufgrund von Interessenkollisionen die Fortsetzung der Tätigkeit als Datenschutzbe-auftragter nicht mehr zulassen. Der Datenschutzbeauftragte kann auch selbst sein Amt niederlegen. Er ist nicht verpflichtet, seine Funktion gegen seinen Willen wahrzunehmen, doch er muss dann der öffentlichen Stelle ausreichend Zeit einräumen, einen neuen Beauftragten zu bestellen. Empfehlung: Bei der Benennung eines externen Datenschutzbeauftragten sollte durch Ver-einbarung einer festen Vertragslaufzeit mit gewisser Dauer vertraglich sichergestellt werden, dass dem gesetzlichen Benachteiligungsschutz angemessen Rechnung getragen wird (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutz-beauftragten“ – Anlage 5). Unmittelbarer Berichtsweg zur Leitung Bisher war in § 11 Absatz 2 Satz 2 Sächsisches Datenschutzgesetz geregelt, dass der Da-tenschutzbeauftragte bei der Erfüllung seiner Aufgaben dem Leiter der öffentlichen Stelle unmittelbar zu unterstellen war. Nun eröffnet Artikel 38 Absatz 3 Satz 3 Datenschutz-Grundverordnung für Datenschutzbeauftragte einen unmittelbaren Berichtsweg zur höchsten Leitungsebene der öffentlichen Stelle. Empfehlung: Die organisatorische Stellung des Datenschutzbeauftragten innerhalb der öf-fentlichen Stelle und dessen direktes Berichtsrecht zur Leitung sollten transparent im Orga-nigramm dargestellt werden (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftragten“ – Anlage 5). 4.3 Aufgaben des Datenschutzbeauftragten 4.3.1 Mindestpflichten Die Datenschutz-Grundverordnung sieht einen umfangreichen Aufgabenkatalog für den Da-tenschutzbeauftragten vor. Der überwiegende Teil der so genannten „Mindestpflichten“ ergibt sich aus Artikel 39 Absatz 1 Datenschutz-Grundverordnung. Die zentralen Aufgaben des Datenschutzbeauftragten liegen auch nach der Datenschutz-Grundverordnung bei der Kon-trolle und Beratung. Die Zuständigkeit für die Herbeiführung datenschutzkonformer Zustände liegt jedoch weiterhin bei der Leitung der öffentlichen Stelle. Der Datenschutzbeauftragte kann nur Defizite ausfindig machen und die Leitungsebene darauf hinweisen. Bestimmte Pflichten, die dem Datenschutzbeauftragten bisher nach § 11 Sächsisches Da-tenschutzgesetz obliegen, entfallen nach der Datenschutz-Grundverordnung. So führt der Datenschutzbeauftragte nicht mehr das Verfahrensverzeichnis (nach Datenschutz-

Seite 25 von 155

Grundverordnung: Verzeichnis von Verarbeitungstätigkeiten) und er hat auch nicht mehr je-dermann Auskunft darüber zu erteilen. Die Mindestpflichten sind nicht abschließend. Weitere Pflichten, wie z. B. die Pflicht zur Füh-rung des Verzeichnisses von Verarbeitungstätigkeiten, die generelle Beantwortung von Aus-kunftsersuchen durch den Datenschutzbeauftragten oder die Durchführung von Schulungs-maßnahmen können zusätzlich vereinbart werden. Die über den gesetzlich vorgesehenen Aufgabenkatalog vereinbarten Aufgaben sollten in jedem Fall schriftlich fixiert werden. Eine Übertragung der Handlungsverantwortung (Linienfunktion) auf den Datenschutzbeauf-tragten ist jedoch nicht möglich, da er sich dann selbst kontrollieren müsste. Dies würde zu unzulässigen Interessenkollisionen führen. Nach Artikel 39 Absatz 1 Datenschutz-Grundverordnung bestehen folgende Mindestpflich-ten: Unterrichtung und Beratung der Verantwortlichen und Beschäftigten Der Datenschutzbeauftragte hat gemäß Artikel 39 Absatz 1 Buchstabe a Datenschutz-Grundverordnung den Verantwortlichen und die konkret mit der Datenverarbeitung Beschäf-tigten hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung sowie nach den sonstigen Datenschutzvorschriften zu unterrichten und zu beraten. Dies war auch ein Teil der bisher geltenden allgemeinen Unterstützungspflicht nach § 11 Absatz 4 Sächsisches Datenschutzgesetz. Die Unterrichtung beinhaltet die allgemeine Information über die beste-henden datenschutzrechtlichen Pflichten. Die Beratung umfasst hingegen die Unterstützung bei der Lösung von konkreten datenschutzrechtlichen Fragen. Wichtig: Die Schulung der Mitarbeiter, insbesondere die zielgerichtete Aufbereitung der für die konkret ausgeübte Tätigkeit relevanten datenschutzrechtlichen Informationen, ist nach der Datenschutz-Grundverordnung nicht mehr wie bisher nach § 11 Absatz 4 Nummer 2 Sächsisches Datenschutzgesetz Aufgabe des Datenschutzbeauftragten, sondern Aufgabe des für die Verarbeitung Verantwortlichen. Der Datenschutzbeauftragte hat in Bezug auf die Schulungen nur noch beratende bzw. kontrollierende Funktion. Der Verantwortliche hat je-doch die Möglichkeit, dem Datenschutzbeauftragten auch die Durchführung von Schulungen zu übertragen. Überwachung der Einhaltung des Datenschutzes Weitere Aufgabe des Datenschutzbeauftragten ist gemäß Artikel 39 Absatz 1 Buchstabe b Datenschutz-Grundverordnung die Überwachung der Einhaltung des Datenschutzes, im Ein-zelnen die Einhaltung der Datenschutz-Grundverordnung, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten. Die Verpflichtung geht über die bisher nach § 11 Absatz 4 Nummer 1 Sächsisches Daten-schutzgesetz geltende Pflicht hinaus, weil sie sich nicht mehr nur auf die Einhaltung der Da-tenschutzvorschriften im Zusammenhang mit der Planung, Einführung und Anwendung von automatisierten Verarbeitungsverfahren bezieht, sondern umfassend für jegliche Verarbei-tung personenbezogener Daten gilt und auch die Kontrolle der Einhaltung der Datenschutz-strategien des Verantwortlichen umfasst, z. B. Dienstvereinbarungen und Dienstanweisun-gen. Die Kontrollbefugnis erstreckt sich auch auf die gewählte interne Zuständigkeitsvertei-lung. Der Datenschutzbeauftragte kann daher auch Einfluss auf die organisatorische Umset-zung des Datenschutzrechts nehmen.

https://cms.egov.sachsen.de/CMS/WebClient/PreviewHandler.ashx?Action=Preview&Mode=0&LikeMode=0&projectguid=A4B6EE381EB04FF2B555A98A0387A655&editlinkguid=1671EC636EA042D7AA18556C9320AE57&parentpageguid=&pageguid=791DFCEA7B7C4A68A02A6A67AC3B08CF&forceprojectvariant=0&targetcontainerguid=&containerpageguid=&projectvariantguid=E0533AAE21C646F5BED679BBE906BC44&languagevariantid=DEU&islink=2&themepath=&_cp=%7B%22accordion-content-4060%22%3A%7B%220%22%3Atrue%7D%2C%22previousOpen%22%3A%7B%22group%22%3A%22accordion-content-4060%22%2C%22idx%22%3A0%7D%7D#collapse-content-4061

Seite 26 von 155

Insofern erfährt die Funktion des Datenschutzbeauftragten eine erhebliche Ausweitung, die auch bei seiner Ausstattung mit Ressourcen zu berücksichtigen ist – insbesondere in der arbeitsintensiven Phase der Anpassung der Datenschutzorganisation an die Datenschutz-Grundverordnung. Im Rahmen seiner Überwachungspflicht ist der Datenschutzbeauftragte insbesondere be-fugt,

Informationen zur Ermittlung von Datenverarbeitungstätigkeiten zu sammeln, die Einhaltung der Vorgaben bei Datenverarbeitungstätigkeiten zu analysieren und zu

kontrollieren sowie den Verantwortlichen zu unterrichten und zu beraten und ihm Empfehlungen zu un-

terbreiten. Überwachung der Einhaltung bedeutet jedoch nicht, dass der Datenschutzbeauftragte im Fall der Nichteinhaltung persönlich zur Verantwortung gezogen werden kann. Die Datenschutz-Grundverordnung bestimmt in Artikel 24 Absatz 1 Datenschutz-Grundverordnung klar, dass es Aufgabe des Verantwortlichen ist, geeignete organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt. Für die Einhaltung der datenschutzrechtli-chen Bestimmungen ist somit nicht persönlich der Datenschutzbeauftragte verantwortlich. Er hat insoweit lediglich eine beratende und unterstützende Funktion. Beratung und Überwachung bei einer Datenschutz-Folgenabschätzung Die Vorabkontrolle, für die bisher der Sächsische Datenschutzbeauftragte bzw. bei Vorhan-densein eines Datenschutzbeauftragten dieser gemäß § 10 Absatz 4 Sächsisches Daten-schutzgesetz zuständig ist, wird von der Datenschutz-Folgenabschätzung abgelöst. Die Durchführung der Datenschutz-Folgenabschätzung liegt gemäß Artikel 35 Absatz 1 Daten-schutz-Grundverordnung in der Verantwortung des Verantwortlichen. Allerdings kann der Datenschutzbeauftragte dem Verantwortlichen Hilfestellung leisten. Artikel 35 Absatz 2 Da-tenschutz-Grundverordnung sieht ausdrücklich vor, dass der Verantwortliche bei der Durch-führung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein-holt. Artikel 39 Absatz 1 Buchstabe c Datenschutz-Grundverordnung wiederum überträgt dem Datenschutzbeauftragten die Aufgabe, im Zusammenhang mit der Datenschutz-Folgenabschätzung zu beraten und deren Durchführung gemäß Artikel 35 Datenschutz-Grundverordnung zu überwachen. Es wird empfohlen, dass der Datenschutzbeauftragte insbesondere dann zu Rate gezogen wird, wenn es um die Frage geht,

ob eine Datenschutz-Folgenabschätzung durchgeführt wird oder nicht, welche Methoden bei der Durchführung einer Datenschutz-Folgenabschätzung an-

gewendet werden sollte, welche Sicherheitsvorkehrungen (einschließlich technischer und organisatorischer

Maßnahmen) getroffen werden sollten, um bestehenden Bedrohungen der Rechte und Interessen der betroffenen Personen zu begegnen,

ob eine Datenschutz-Folgenabschätzung ordnungsgemäß durchgeführt worden ist und ob die daraus gezogenen Schlussfolgerungen im Einklang mit der Datenschutz-Grundverordnung stehen.

Falls der Verantwortliche der Empfehlung des Datenschutzbeauftragten nicht zustimmt, ist in der Dokumentation zur Datenschutz-Folgenabschätzung ausdrücklich schriftlich zu begrün-den, warum der Empfehlung nicht Folge geleistet wurde.

Seite 27 von 155

Wichtig: Durch entsprechende Organisationsregelungen sollten die Vorgehensweise bei der Durchführung von Datenschutz-Folgenabschätzungen festgelegt und die in dem Zusam-menhang vom Datenschutzbeauftragten wahrzunehmenden Aufgaben und deren Umfang konkretisiert werden. Die Festlegungen sollten allen Beschäftigten zur Kenntnis gegeben werden. Zusammenarbeit mit der Aufsichtsbehörde Anders als bisher ist der Datenschutzbeauftragte durch Artikel 39 Absatz 1 Buchstabe d Da-tenschutz-Grundverordnung ausdrücklich zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet. Das bedeutet allerdings nicht, dass nun Datenschutzverstöße sofort dem Säch-sischen Datenschutzbeauftragten zu melden sind. Die in dem Zusammenhang bestehenden Pflichten sind abschließend geregelt, insbesondere in Artikel 33 Datenschutz-Grundverordnung. Der Datenschutzbeauftragte als interne Kontrollinstanz sollte in erster Linie intern versuchen, Maßnahmen zur Beseitigung von Datenschutzverstößen zu ergreifen. Er kann aber den Sächsischen Datenschutzbeauftragten z. B. beratend hinzuziehen, wenn er sich über die Auslegung von Datenschutzregelungen oder die Angemessenheit einzelner Datenschutz-maßnahmen im Unklaren ist. Damit ist der Datenschutzbeauftragte auch berechtigt, direkt mit der Aufsichtsbehörde zu kommunizieren. Bei der Tätigkeit als Anlaufstelle für die öffentliche Stelle gemäß Artikel 39 Absatz 1 Buch-stabe e Datenschutz-Grundverordnung handelt es sich um einen Unterfall der Kooperations-pflicht. Der Datenschutzbeauftragte ist danach Anlaufstelle für alle im Zusammenhang mit der Verarbeitung stehenden Fragen, einschließlich vorheriger Konsultationen im Rahmen der Datenschutz-Folgenabschätzung. Der Sächsische Datenschutzbeauftragte hat insbesondere die Möglichkeit, sich direkt an den Datenschutzbeauftragten zu wenden, ohne vorab etwa den Behördenleiter des Verantwortli-chen kontaktieren zu müssen. 4.3.2 Aufgaben im Anpassungsprozess an die Datenschutz-Grundverordnung Die Aufgaben des Datenschutzbeauftragten, die sich speziell im Anpassungsprozess an die Datenschutz-Grundverordnung ergeben, sind in der nachfolgenden Checkliste zusammenge-fasst. >Checkliste Aufgaben des Datenschutzbeauftragten im Anpassungsprozess (Anlage 6) 4.3.3 Der Datenschutzbeauftragte als „Anwalt der Betroffenen“ Betroffene Personen können gemäß Artikel 38 Absatz 4 Datenschutz-Grundverordnung den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer Daten und mit der Wahrneh-mung ihrer Rechte aus der Datenschutz-Grundverordnung im Zusammenhang stehenden Fragen zu Rate ziehen. Auch nach bisheriger Rechtslage ist der Datenschutzbeauftragte bereits Ansprechpartner für Betroffene – sowohl für die Beschäftigten der öffentlichen Stelle als auch für Dritte außerhalb der Stelle, wie z. B. Bürger, die sich mit Auskunftsersuchen oder Datenschutzbeschwerden an ihn wenden können. Der Datenschutzbeauftragte ist verpflichtet, Datenschutzbeschwerden nachzugehen und die betroffene Person über das Ergebnis seiner Prüfung zu informieren. Bei festgestellten Da-tenschutzverletzungen hat er darauf hinzuwirken, dass diese abgestellt werden.

https://cms.egov.sachsen.de/CMS/WebClient/PreviewHandler.ashx?Action=Preview&Mode=0&LikeMode=0&projectguid=A4B6EE381EB04FF2B555A98A0387A655&editlinkguid=1671EC636EA042D7AA18556C9320AE57&parentpageguid=&pageguid=791DFCEA7B7C4A68A02A6A67AC3B08CF&forceprojectvariant=0&targetcontainerguid=&containerpageguid=&projectvariantguid=E0533AAE21C646F5BED679BBE906BC44&languagevariantid=DEU&islink=2&themepath=&_cp=%7B%22accordion-content-4060%22%3A%7B%220%22%3Atrue%7D%2C%22previousOpen%22%3A%7B%22group%22%3A%22accordion-content-4066%22%2C%22idx%22%3A0%7D%2C%22accordion-content-4062%22%3A%7B%220%22%3Atrue%7D%2C%22accordion-content-4064%22%3A%7B%220%22%3Atrue%7D%2C%22accordion-content-4066%22%3A%7B%220%22%3Atrue%7D%7D#collapse-content-4067

Seite 28 von 155

Gemäß Artikel 38 Absatz 5 Datenschutz-Grundverordnung ist der Datenschutzbeauftragte nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung und Vertraulichkeit gebunden. Die Verschwiegenheitspflichten des Datenschutzbeauftragten ergeben sich aus § 203 Strafgesetzbuch. 4.3.4 Pflicht zur risikoorientierten Tätigkeit Neu ist der risikobasierte Ansatz gemäß Artikel 39 Absatz 2 Datenschutz-Grundverordnung. Der Datenschutzbeauftragte hat danach bei der Erfüllung seiner Aufgaben den mit den Ver-arbeitungsvorgängen verbundenen Risiken für die persönlichen Rechte und Freiheiten be-troffener Personen gebührend Rechnung zu tragen, wobei Art und Umfang, Umstände und Zwecke der Verarbeitung zu berücksichtigen sind. Dieser Ansatz soll dem Datenschutzbeauftragten dabei helfen, den Verantwortlichen darüber zu beraten, nach welcher Methode bei einer Datenschutz-Folgenabschätzung vorgegangen werden sollte, welche internen Schulungen für welche Gruppen von Beschäftigten durchge-führt werden sollten und welche Datenverarbeitungsvorgänge mehr Ressourcen benötigen. Empfehlung: Der Datenschutzbeauftragte sollte seine Aufgaben in einem Katalog anhand einer Gegenüberstellung der Verarbeitungsaktivitäten und der zu erwartenden Risiken nach Priorität ordnen und seine Bemühungen in erster Linie auf Fragen konzentrieren, von denen größere Bedrohungen für den Datenschutz ausgehen. Die Überwachung der Einhaltung von Vorschriften bei vergleichsweise weniger risikobehafteten Datenverarbeitungsvorgängen ist dennoch nicht zu vernachlässigen. 4.4 Haftung des Datenschutzbeauftragten Die Datenschutz-Grundverordnung verlagert die Pflicht zur Einhaltung datenschutzrechtli-cher Regelungen nicht einseitig auf den Datenschutzbeauftragten. Vielmehr obliegt in erster Linie dem Verantwortlichen diese Verpflichtung – er hat unter anderem dafür zu sorgen, dass der behördliche Datenschutzbeauftragte in die Lage versetzt wird, seine Aufgaben ord-nungsgemäß zu erfüllen. Der Datenschutzbeauftragte ist somit nicht persönlich verantwort-lich für die Einhaltung der rechtlichen Vorgaben. Daraus folgt auch, dass er bei einem Da-tenschutzverstoß im Verhältnis zu betroffenen Personen nicht haftet. Die Haftung trifft viel-mehr den Verantwortlichen oder den Auftragsverarbeiter (näher Artikel 82 Datenschutz-Grundverordnung). Unabhängig von der Frage der Umsetzungsverantwortung obliegt dem Datenschutzbeauf-tragten gleichwohl die Erfüllung der in der Datenschutz-Grundverordnung genannten Aufga-ben. In diesem Zusammenhang kann sich unter Umständen eine Haftung des Datenschutz-beauftragten gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter ergeben. Der Umfang dieser Haftung ist nach amtshaftungsrechtlichen Grundsätzen auf Vorsatz und gro-be Fahrlässigkeit beschränkt. Wird der Datenschutzbeauftragte auf der Grundlage eines Dienstleistungsvertrags tätig, so richtet sich der Umfang der Haftung nach den vertraglichen Regelungen oder – falls vertraglich keine Haftungserleichterungen vereinbart sind – nach § 276 BGB (Haftung für Vorsatz und Fahrlässigkeit). Empfehlung: Der Datenschutzbeauftragte sollte eigenständig seine Beratungs- und Über-wachungsmaßnahmen dokumentieren, um nachweisen zu können, dass er die ihm oblie-genden Aufgaben ordnungsgemäß erfüllt.

Seite 29 von 155

5. Technischer und organisatorischer Datenschutz

Die Datenschutz-Grundverordnung enthält vor allem in Artikel 5 und Artikel 32 die neuen Vorgaben zur „Sicherheit der Verarbeitung“. Außerdem sind weitere Vorgaben hierzu in Arti-kel 24, 25 sowie 36 Datenschutz-Grundverordnung normiert. Was ist neu?

Vor Festlegung der technischen und organisatorischen Maßnahmen hat eine risiko-basierte Abwägung zu erfolgen. Diese beinhaltet, dass alle möglichen Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potentiel-len Schwere des Schadens für die Rechte und Freiheiten betroffener Personen iden-tifiziert werden.

Die bisher bekannten Prinzipien der Datenvermeidung und -sparsamkeit werden durch Artikel 25 Absatz 1 und 2 Datenschutz-Grundverordnung nun noch konkreti-siert und fordern Datenschutz durch Technikgestaltung und durch datenschutzrechtli-che Voreinstellungen (Privacy by design und Privacy by default).

Der Verantwortliche muss die technischen und organisatorischen Maßnahmen, die er getroffen hat, nachweisen und aktuell halten. Gemäß Artikel 32 Absatz 1 Buchstabe d Datenschutz-Grundverordnung muss nun auch die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen getestet und ggf. nachgesteuert werden.

Das aus § 10 Sächsisches Datenschutzgesetz bekannte Verfahrensverzeichnis wird mit der Datenschutz-Grundverordnung abgelöst durch ein Verzeichnis aller Verarbei-tungstätigkeiten mit personenbezogenen Daten. Dieses Verzeichnis betrifft nun sämt-liche, insbesondere auch nichtautomatisierte Verarbeitungen personenbezogener Da-ten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist nun auch jeder Auftragsverarbeiter zur Erstellung und Führung ei-nes solchen Verzeichnisses verpflichtet.

Was ist zu tun?

Der Verantwortliche hat die technischen und organisatorischen Maßnahmen zu do-kumentieren. Dies sollte im Rahmen eines Datenschutz- und Informationssicherheits-konzeptes erfolgen.

Die öffentliche Stelle hat ein Verfahren zu etablieren, das regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen bewertet und evaluiert. Hierfür empfiehlt sich die Einführung eines Datenschutz-Managementsystems.

Es wird empfohlen, das Prinzip Privacy by default künftig bereits im Zuge der verga-berechtskonformen Ausschreibung von IT-Produkten zu beachten.

Die bestehenden Verfahrensverzeichnisse nach § 10 Sächsisches Datenschutzge-setz sind an die Anforderungen des Verarbeitungsverzeichnisses nach Artikel 30 Ab-satz 1 Datenschutz-Grundverordnung anzupassen.

5.1 Sicherheit der Verarbeitung (Artikel 32 Datenschutz-Grundverordnung) Im Wesentlichen werden die Regelungen des bisherigen § 9 Sächsisches Datenschutzge-setz durch Artikel 32 Datenschutz-Grundverordnung ersetzt, dem damit eine zentrale Bedeu-tung zukommt. Beibehalten und in der Datenschutz-Grundverordnung künftig fest verankert wird das grundsätzliche Prinzip, dass geeignete technische und organisatorische Maßnah-men zu treffen sind, um ein dem Risiko angemessenes Datenschutzniveau zu gewährleisten. Die „Angemessenheit“ orientiert sich dabei an dem Stand der Technik, den Implementie-rungskosten, der Art und dem Umfang der Umstände, dem Zweck der Verarbeitung sowie an den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die

Seite 30 von 155

Rechte und Freiheiten natürlicher Personen. Ausdrücklich aufgeführt werden als Maßnah-men in Artikel 32 Absatz 1 Buchstabe a Datenschutz-Grundverordnung lediglich Pseudony-misierung und Verschlüsselung der Daten. Was ist der „Stand der Technik“? Diese in Artikel 32 Absatz 1 Datenschutz-Grundverordnung enthaltene Vorgabe ist prinzipiell bereits aus § 9 Absatz 2 Sächsisches Datenschutzgesetz bekannt. Das bestehende Sächsi-sche Datenschutzgesetz enthielt zum „Stand der Technik“ bisher keine Konkretisierung. Auch die Datenschutz-Grundverordnung definiert nicht weiter, was künftig unter dem „Stand der Technik“ zu verstehen ist. Bewährt hat sich jedoch eine Interpretation, die nicht auf die Neuigkeit aus Wissenschaft und Forschung abzielt, sondern eher auf Maßnahmen abstellt, die gängig, verfügbar und ausgereift sind, in der Praxis ihre Wirksamkeit bereits nachgewie-sen haben und einen beabsichtigten Sicherheitsstand ausreichend gewährleisten. Orientie-rung geben dazu eine Vielzahl technischer Richtlinien (TR) des Bundesamtes für die Sicher-heit in der Informationstechnik (BSI), z. B. hinsichtlich der Verwendung von Verschlüsse-lungsalgorithmen. Der Begriff „Stand der Technik“ impliziert außerdem, dass es sich um eine gegenwärtige Bewertung handelt und der Stand der Technik immer wieder geprüft werden muss, um die Datensicherheit gewährleisten zu können. Die bisherigen sechs Schutzziele des Sächsischen Datenschutzgesetzes (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz) werden in Artikel 32 Absatz 1 Buchstabe b Datenschutz-Grundverordnung zusammengefasst, wobei lediglich Vertraulichkeit, Integrität und Verfügbarkeit sowie das neu hinzugekommene Schutzziel der Belastbarkeit in der Datenschutz-Grundverordnung ausdrücklich genannt werden. Während die ersten drei Schutzziele aus der ISO 27001 und dem BSI Grundschutz bekannt sind, be-darf das Schutzziel der Belastbarkeit mangels konkreter Vorgaben in der Datenschutz-Grundverordnung der Interpretation. Am naheliegendsten erscheint, die Belastbarkeit von Diensten und Systemen hinsichtlich ihrer Widerstandsfähigkeit auszulegen, so dass diese also auch noch „unter Last / starker Beanspruchung“ funktionieren sollen, was ggf. in einem entsprechenden Notfallmanagement zu berücksichtigen wäre. Außerdem besteht gemäß Artikel 32 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung die Forderung, dass personenbezogene Daten bei einem physischen oder technischen Zwischenfall rasch wie-derhergestellt werden sollen. Dies war grundsätzlich auch schon bisher im Rahmen der Ver-fügbarkeit der Daten sicherzustellen. Die Wiederherstellung der Daten muss somit regelmä-ßig getestet werden. Neu ist, dass bei der Abwägung der geeigneten Maßnahmen nun eine risikobasierte Be-trachtung zu erfolgen hat. Diese beinhaltet, dass alle möglichen Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potentiellen Schwere des Schadens für die Rechte und Freiheiten betroffener Personen identifiziert werden. Dies entspricht der Vorgehensweise im IT-Risikomanagement, bei dem aber auch Informationen betrachtet werden, die nicht personenbezogen sind. Das Ergebnis der Risikobetrachtung ist auch für die Datenschutz-Folgenabschätzung wichtig. Um nach erfolgter Risikobemessung geeignete Maßnahmen zu identifizieren, sollte eine Schutzbedarfsfeststellung durchgeführt werden, indem der jeweilige Schutzbedarf der per-sonenbezogenen Daten ermittelt wird. Dabei werden zunächst typische Schadensszenarien ermittelt und anschließend der Schutzbedarf für die einzelnen personenbezogenen Daten abgeleitet. Bewährt hat sich eine Einteilung in die Schutzbedarfskategorien „normal, „hoch“ und „sehr hoch“. Empfehlung: Unterstützende Orientierung kann das Standard-Datenschutzmodell (SDM) geben, das hierzu eine strukturierte Herangehensweise anbietet

https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/technischerichtlinien_node.html

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard04/ITGStandard04_node.html

Seite 31 von 155

(https://www.saechsdsb.de/standard-datenschutzmodell). Die Verantwortung für das Ergreifen von geeigneten Maßnahmen obliegt dem Verantwortli-chen gemäß Artikel 24 Absatz 1 Datenschutz-Grundverordnung. Die Maßnahmen muss er nachweisen und aktuell halten. Artikel 32 Absatz 1 Buchstabe d Datenschutz-Grundverordnung sieht dahingehend vor, dass die Wirksamkeit der umgesetzten techni-schen und organisatorischen Maßnahmen getestet wird. Dabei muss die öffentliche Stelle ein Verfahren etablieren, das regelmäßig die Wirksamkeit der Maßnahmen bewertet und evaluiert. 5.2 Datenschutz durch Technikgestaltung und durch datenschutzrechtliche Vorein-

stellungen (Privacy by design und Privacy by default) (Artikel 25 Datenschutz-Grundverordnung)

Das Prinzip der Datenvermeidung und Datensparsamkeit war auch bisher schon im Sächsi-schen Datenschutzgesetz verankert. Mit der Einführung des „Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen“ (Artikel 25 Datenschutz-Grundverordnung) werden nun ausdrücklich Anforderungen an die Entwicklung und Implementierung von IT-Produkten gestellt, um eine wirksame Umsetzung dieser Datenschutzgrundsätze zu errei-chen. Damit wird dem Gedanken Rechnung getragen, dass sich Datenschutzverstöße von vornherein vermeiden lassen, wenn die Belange des Datenschutzes bereits im Entwick-lungsprozess produktseitig aufgenommen werden. Artikel 25 Datenschutz-Grundverordnung richtet sich an den Verantwortlichen. Die beiden Anforderungen beinhalten im Einzelnen Fol-gendes: Data protection by design (Datenschutz durch Technik) Datenschutz und Datensicherheit sollen bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Dadurch soll erreicht werden, dass die Vorgaben nach dem Datenschutz und der Datensicherheit nicht erst nach dem Bereitstellen von IT-Systemen durch teure und zeitaufwendige Anpassungen umgesetzt werden. Bereits bei der Herstellung sollten Möglichkeiten wie Deaktivierung von Funktionalitäten, Anonymisierung oder Pseudonymisierung aber auch Authentifizierung oder Verschlüsselungen berücksichtigt werden. Data protection by default (datenschutzfreundliche Einstellungen) IT-Systeme sollen datenschutzfreundlich voreingestellt sein, so dass nur die personenbezo-genen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind. Hintergrund dieser Regelung ist, dass viele Nutzer nicht über ausreichende IT Kenntnisse verfügen und somit keine Einstellungen zum Schutz personenbezogener Daten vornehmen können. Dar-über hinaus müssen dem Nutzer Funktionen zur Verfügung gestellt werden, mit denen er die Privatsphäre betroffener Personen schützen kann (z. B. Verschlüsselung). Diese Regelungen werden sich auf sämtliche Produkte, Systeme und Prozesse einer öffent-lichen Stelle oder Einrichtung auswirken. Im Gegensatz zu den o. g. Vorgaben sind viele eingesetzte Systeme bisher in der Grundeinstellung so konzipiert, dass der Nutzer nur mit großem Aufwand eine datenschutzfreundliche Konfiguration vornehmen kann. Empfehlung: Die datenschutzrechtlich angepasste Voreinstellung sollte bereits im Zuge der vergaberechtskonformen Ausschreibung von IT-Produkten beachtet werden.

https://www.saechsdsb.de/standard-datenschutzmodell

Seite 32 von 155

5.3 Einführung eines Datenschutzmanagement-Systems Um die oben beschriebenen Nachweis- und Rechenschaftspflichten zu erfüllen, empfiehlt sich ein Datenschutz-Managementsystem. Ähnlich wie bei anderen Managementsystemen (BSI-Grundschutz, ISO 27001) bietet sich hier das bewährte Verfahren nach dem PDCA-Zyklus an.

Mit diesem Verfahren soll ein kontinuierlicher Verbesserungsprozess etabliert werden. Im Rahmen dieses Verfahrens werden die technischen und organisatorischen Maßnahmen erst erdacht und geplant („plan“), im „Kleinen Kreis“ getestet („do“), die Wirksamkeit überprüft („check“), gegebenenfalls angepasst und dann im „Großen“ eingeführt („act“). Da es sich bei diesem Verfahren um einen Kreislauf handelt, wird sichergestellt, dass nach jeder Verbesse-rung der Maßnahmen stets eine erneute Überprüfung zu erfolgen hat. Sofern das Vorgehen im Rahmen des PDCA-Zyklus ausreichend detailliert dokumentiert wird, sollte damit die durch die Datenschutz-Grundverordnung festgelegte Nachweis- und Rechenschaftspflicht gesetzeskonform umgesetzt werden können. Durch die Implementierung des Datenschutzmanagement-Systems können die folgenden Ziele erreicht werden:

Verringerung der Eintrittswahrscheinlichkeit für Datenschutzverstöße oder Datenpan-nen,

im Falle des Eintritts eines Datenschutzverstoßes, Begrenzung des Schadens und des Risikos für die betroffenen Personen,

Nachweis der datenschutzkonformen Umsetzung der Anforderungen der Daten-schutz-Grundverordnung.

5.4 Pflicht zur Nachweisbarkeit - Dokumentationspflichten Grundlegendes Instrument für die Datenschutzorganisation in der öffentlichen Stelle ist ein Datenschutz- und Informationssicherheitskonzept. Das Datenschutzkonzept sollte gut strukturiert sein und die Aufgaben für die verschiedenen Organisationseinheiten in der öffent-lichen Stelle sauber trennen. Nur dann ist für jeden nachvollziehbar, welche Maßnahmen für den Datenschutz er zu ergreifen hat. Beispielhafte Aspekte eines Datenschutzkonzeptes:

- Ziel und Gültigkeitsbereich - übergreifende Leitlinie zum Datenschutz - Festlegungen zur Verantwortlichkeit in der öffentlichen Stelle für den Datenschutz

(übergreifend und in Spezialfragen), z. B. Festlegung der Abteilung, des Sachgebie-

Seite 33 von 155

tes etc. welches für die Verarbeitung der Daten zuständig ist, Zuständigkeit für die Bearbeitung von Beschwerden oder Auskunftsersuchen, evtl. Festlegungen zur Auf-tragsdatenverarbeitung, frühzeitige Einbeziehung des Datenschutzbeauftragten in die Verfahrenseinführung bzw. bereits zum Zeitpunkt der Verfahrensausschreibung

- Verhalten bei Datenschutzpannen (Meldewege, Zuständigkeiten) - Datenschutzbeauftragter, Aufgaben usw. siehe [Link zur Seite Datenschutzbeauftrag-

ter] - Verzeichnis von Verarbeitungstätigkeiten - Datenschutz-Folgenabschätzungen - Erläuterungen zum Schutzbedarf und Verfahren, um den Schutzbedarf zu bestimmen - Maßnahmen für die Sicherheit der Verarbeitung, übergreifend und für spezielle Da-

tenkategorien - organisatorische Richtlinien (wie Backup, Virenschutz, Protokollierung) - Regelungen für den Fall der Auftragsverarbeitung - Datenschutz-Unterweisungen - regelmäßige Datenschutz-Kontrollen und Audits

Weitere praktische Hinweise zur Erstellung von Datenschutz- und Informationssicherheits-konzepten sind auch im Handlungsleitfaden zum Sächsischen E-Government-Gesetz [Link ergänzen] zu finden. 5.5 Datengeheimnis und personelle Maßnahmen Die Pflicht der verantwortlichen Stelle, die für eine öffentliche Stelle tätigen Personen bei Aufnahme ihrer Tätigkeit auf die Einhaltung des Datengeheimnisses zu verpflichten, ist bis-her in § 6 Sächsisches Datenschutzgesetz geregelt. In der Datenschutz-Grundverordnung ist eine solche Regelung nicht enthalten. Dennoch wird empfohlen, auch unter Geltung der Da-tenschutz-Grundverordnung eine solche Verpflichtung vorzunehmen, denn die verantwortli-che Stelle hat nach Artikel 24 Datenschutz-Grundverordnung sicherzustellen, dass perso-nenbezogene Daten in einer Weise verarbeitet werden, die ein angemessenes Sicherheits-niveau gewährleistet. Dies beinhaltet auch den Schutz gegen unberechtigte oder ungesetzli-che Verarbeitung. Darüber hinaus sollen angemessene technische und organisatorische Maßnahmen getroffen werden, die gegen Verlust, Zerstörung oder Beschädigung der Daten schützen sollen. Auch die Mitarbeiter als diejenigen, die personenbezogene Daten verarbei-ten, sind von diesen Maßnahmen betroffen. Die öffentliche Stelle muss deshalb sicherstel-len, dass die Mitarbeiter die Daten nicht unberechtigt oder gegen geltende Gesetze verarbei-ten. Eine explizite Verpflichtung auf das Datengeheimnis lässt sich daraus nicht ableiten. Sicher ist aber, dass die öffentliche Stelle im Rahmen eines „angemessenen Schutzniveaus“ dafür Sorge tragen muss, dass die Mitarbeiter erkennen können, wann sie ggf. mit der Da-tenverarbeitung gegen Gesetze verstoßen bzw. unberechtigt Daten verarbeiten. Eine „Nachverpflichtung“ der Mitarbeiter aufgrund der Geltung der Datenschutz-Grundverordnung ist nicht erforderlich, wenn zurückliegend auf Grundlage des Sächsischen Datenschutzgesetzes ordnungsgemäß verpflichtet wurde. Die verwendeten Formulare und Merkblätter sind jedoch für die künftige Verwendung entsprechend der Datenschutz-Grundverordnung inhaltlich anzupassen. Unter nachfolgenden Links sind zum einen Hinweise für Verantwortliche öffentlicher Stellen zur Verpflichtung zur Einhaltung des Datenschutzes sowie der Gestaltungsvorschlag eines Formulars zur Verpflichtung der Mitarbeiter einschließlich eines Merkblattes abrufbar. [Hinweise zur Verpflichtung zur Einhaltung des Datenschutzes (Anlage 6a)] [Musterformular für die Verpflichtung zur Einhaltung des Datenschutzes einschließlich Merk-blatt (Anlage 6b)]

Seite 34 von 155

Darüber hinaus sieht Artikel 32 Absatz 4 Datenschutz-Grundverordnung vor, dass der Ver-antwortliche oder der Auftragsverarbeiter Maßnahmen festlegen, die sicherstellen, dass die ihnen unterstellten Personen personenbezogene Daten nur auf Anweisung des Verantwortli-chen verarbeiten. Solche Maßnahmen können beispielsweise konkrete Verhaltensvorgaben in Dienstanweisungen, die Einweisung der Mitarbeiter zum Umgang mit personenbezogenen Daten an ihrem konkreten Arbeitsplatz oder eine Weisung bezogen auf einen Einzelfall sein (vgl. Kühling/Buchner, DS-GVO, Kommentar, Art. 32 Rnr. 38). 5.6 Verzeichnis von Verarbeitungstätigkeiten Das aus § 10 Sächsisches Datenschutzgesetz bekannte Verfahrensverzeichnis wird mit der Datenschutz-Grundverordnung abgelöst durch ein (schriftliches oder elektronisches) Ver-zeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten. Dieses Verzeichnis betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortlicher und – neu – auch jeder Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet. Nur Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, müssen keine Verzeichnisse führen (Artikel 30 Absatz 5 Datenschutz-Grundverordnung). Dies gilt jedoch nicht, falls:

die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder

die Verarbeitung nicht nur gelegentlich erfolgt oder

die Verarbeitung besondere Datenkategorien gemäß Artikel 9 Absatz 1 Datenschutz-Grundverordnung (z. B. Gesundheitsdaten, Religionszugehörigkeit) bzw. personen-bezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 Datenschutz-Grundverordnung betrifft.

Die Pflicht zum Führen des Verarbeitungsverzeichnisses tritt bereits dann wieder ein, wenn eine der genannten Bedingungen erfüllt ist („oder“). Dies wird für öffentliche Stellen in aller Regel der Fall sein, da es nicht (wie beispielsweise bei der Datenschutz-Folgenabschätzung) darauf ankommt, dass es sich voraussichtlich um ein hohes Risiko für die Rechte und Frei-heiten natürlicher Personen handelt, sondern dem Wortlaut der Vorschrift nach jedes Risiko für die Rechte und Freiheiten bezüglich der Verarbeitung zu betrachten ist. Ein solches Risi-ko besteht aber bei der Verarbeitung personenbezogener Daten grundsätzlich. Außerdem wird auch die Verarbeitung in den meisten Fällen nicht nur gelegentlich erfolgen (z. B. Verar-beitung von Einwohnermeldedaten, Lohnabrechnung usw.). Für eine Ausnahme gemäß Arti-kel 30 Absatz 5 Datenschutz-Grundverordnung verbleibt somit wegen der Gegenausnahmen kaum ein Anwendungsbereich. Es sollte also in der Praxis davon ausgegangen werden, dass eine Pflicht zur Führung eines Verarbeitungsverzeichnisses besteht. Die Erstellung ei-nes vollständigen Verzeichnisses von Verarbeitungstätigkeiten ist auch im eigenen Interes-se, denn es dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Artikel 5 Absatz 2 Datenschutz-Grundverordnung nachzuweisen, dass die Vorgaben aus der Datenschutz-Grundverordnung eingehalten werden (Rechenschaftspflicht). Anders als bisher § 31 Absatz 2 Sächsisches Datenschutzgesetz sieht die Datenschutz-Grundverordnung eine Möglichkeit für jedermann, in das Verzeichnis von Verarbeitungstätigkeiten Einsicht zu nehmen, nicht vor. Ebenso ent-fällt die in § 10 Absatz 3 Sächsisches Datenschutzgesetz geregelte Pflicht zur Zuleitung an den Sächsischen Datenschutzbeauftragten. Erstellt und vorgehalten werden müssen die Verzeichnisse dennoch, da sie ihm jederzeit auf Anfrage zur Verfügung zu stellen sind.

Seite 35 von 155

Das Verzeichnis, das der Verantwortliche führt, muss nach Artikel 30 Absatz 1 Datenschutz-Grundverordnung wesentliche Angaben zur Verarbeitung beinhalten wie z. B. die Zwecke der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger. Verantwortliche Stellen, die bereits jetzt über ein strukturiertes Verfahrensverzeichnis oder eine strukturierte Datenschutzdokumentation zu den Verfahren verfügen, sollten mit den geforderten Pflichtangaben des neuen Artikels aus der Datenschutz-Grundverordnung keine Probleme haben. Ein Verzeichnis beim Auftragsverarbeiter zu allen Kategorien der von ihm im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung war vom Sächsischen Daten-schutzgesetz bislang nicht vorgeschrieben. Nach Artikel 30 Absatz 2 Datenschutz-Grundverordnung ist ein solches Verzeichnis (mit eingeschränkten Angaben) jedoch nun zu erstellen. Artikel 30 Absatz 1 Buchstabe g und Artikel 30 Absatz 2 Buchstabe d Datenschutz-Grundverordnung geben vor, dass das Verzeichnis, wenn möglich, eine allgemeine Be-schreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 Datenschutz-Grundverordnung enthalten soll. Wie detailliert diese Beschreibung sein muss, lässt sich der Datenschutz-Grundverordnung nicht unmittelbar entnehmen. Jedenfalls sollte die Beschreibung der Maßnahmen nach Artikel 32 Datenschutz-Grundverordnung so konkret erfolgen, dass der Sächsische Datenschutzbeauftragte eine erste Rechtmäßigkeitsüberprü-fung vornehmen kann. Unterstützende Orientierung kann das Standard-Datenschutzmodell (SDM) geben, das hierzu eine strukturierte Herangehensweise anbietet (https://www.saechsdsb.de/standard-datenschutzmodell). Eine Muster-Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Daten-schutz-Grundverordnung wird vom Sächsischen Datenschutzbeauftragten auf seiner Home-page [Link: https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-oeffentliche-stellen] bereitgestellt. Weitere Informationen sind in folgenden Publikationen enthalten: Hinweise der Datenschutzkonferenz zum Verarbeitungsverzeichnis einschließlich Mustern https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/Hinweise-zum-Verzeichnis-von-Verarbeitungsttigkeiten.pdf Kurzpapier Nr. 1 der Datenschutzkonferenz „Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO“ [Link zu https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf] Bitkom „Das Verarbeitungsverzeichnis“ [Link zu https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html ] 6. Betroffenenrechte

Eines der wesentlichen Ziele der Datenschutz-Grundverordnung ist der Ausbau der Betroffe-nenrechte, also der Rechte jedes Einzelnen gegenüber dem für die Verarbeitung Verantwort-lichen. Diese sollen durch die Verordnung gestärkt und präzisiert werden. Die Regelungen zu den Betroffenenrechten bringen zwar keine grundsätzlichen Neuerungen im Vergleich zur Rechtslage unter dem Sächsischen Datenschutzgesetz, aber insbesondere die bereits bekannten Rechte auf Auskunft und Löschung werden inhaltlich erweitert und in

https://www.saechsdsb.de/standard-datenschutzmodell

https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/Hinweise-zum-Verzeichnis-von-Verarbeitungsttigkeiten.pdf

https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/Hinweise-zum-Verzeichnis-von-Verarbeitungsttigkeiten.pdf

https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf

https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf

https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html

Seite 36 von 155

formeller Hinsicht konkretisiert. Darüber hinaus vervielfachen sich die durch die öffentliche Stelle zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Die Be-troffenen sollen wissen, wer welche Daten zu welchem Zweck über sie erhebt und in die La-ge versetzt werden, die Datenverarbeitung zu prüfen. Diese Anforderung kann nur dann er-füllt werden, wenn die verantwortliche Stelle die Betroffenen ausreichend über die Datenver-arbeitungsvorgänge informiert. Für Informationen und Mitteilungen an den Betroffenen im Zusammenhang mit Betroffenen-rechten enthält Artikel 12 Datenschutz-Grundverordnung allgemeine Vorgaben. Informatio-nen über Datenerhebungen und Mitteilungen zu geltend gemachten Rechten sind der be-troffenen Person in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, schriftlich oder in einer anderen Form, gegebenenfalls auch elektronisch (Artikel 12 Absatz 1 Datenschutz-Grundverordnung). Artikel 12 Absatz 3 Datenschutz-Grundverordnung bestimmt eine konkrete Frist zur Beant-wortung von Anträgen, mit denen die betroffene Person ihre Rechte geltend macht. Die Ant-wort hat ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats zu erfolgen. Die Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berück-sichtigung der Komplexität und Anzahl von Anträgen erforderlich ist. Daneben bestimmt Arti-kel 12 Absatz 3 Datenschutz-Grundverordnung, dass Anträge Betroffener nach Möglichkeit auf elektronischem Wege zu beantworten sind, wenn sie auf elektronischem Wege gestellt wurden. Eine Neuerung enthält Artikel 12 Absatz 4 Datenschutz-Grundverordnung. Nach dieser Norm ist die betroffene Person über die Gründe für ein etwaiges Untätigbleiben auf einen Antrag zur Geltendmachung eines Betroffenenrechts hinzuweisen und über die Möglichkeit zur Be-schwerde bei einer Aufsichtsbehörde zu unterrichten. Informationen über Datenerhebungen und Mitteilungen bzw. Maßnahmen auf Anträge, mit denen die betroffene Person ihre Rechte geltend macht, erfolgen wie bisher unentgeltlich (Artikel 12 Absatz 5 Datenschutz-Grundverordnung). Was ist zu tun? Zur Erfüllung von Rechten der betroffenen Personen und von entsprechenden Pflichten der öffentlichen Stelle sind organisatorische Maßnahmen zu folgenden Fragen festzulegen:

Wer ist innerhalb der öffentlichen Stelle zuständig, wenn ein Betroffener seine Rechte geltend macht?

In welcher Frist soll das Anliegen des Betroffenen weitergeleitet und bearbeitet wer-den (beachte: Monatsfrist nach Datenschutz-Grundverordnung für die Antwort)?

In welcher Form soll das Anliegen weitergeleitet werden (Stichwort: Geheimhaltung, Vertraulichkeit)?

Wer sind die Ansprechpartner für verschiedene Datenverarbeitungssysteme (um bei-spielsweise den Auskunftsanspruch überall in der öffentlichen Stelle gewährleisten zu können)?

6.1 Informationspflichten Informationspflichten zielen auf Angaben, die einer betroffenen Person hinsichtlich Verarbei-tung und Nutzung ihrer Daten unaufgefordert mitgeteilt werden müssen. Durch Informations-pflichten soll eine Transparenz geschaffen werden, die für den Einzelnen erkennbar macht, wer was wann und bei welcher Gelegenheit über ihn erhebt, verarbeitet oder speichert.

Seite 37 von 155

Die bisher geltende entsprechende Norm ist § 12 Absatz 6 Sächsisches Datenschutzgesetz, wonach der Betroffene über die Erhebung von Daten bei ihm ohne seine Kenntnis oder bei Dritten unter Mitteilung von Bezeichnung und Anschrift der erhebenden Stelle, der Rechts-grundlage und des Erhebungszwecks sowie bei einer beabsichtigten Übermittlung auch der Empfänger der Daten grundsätzlich zu benachrichtigen ist. Daneben gelten zahlreiche be-reichsspezifische Benachrichtigungspflichten, z. B. im Bereich der Gefahrenabwehr und der Strafverfolgung. Die Datenschutz-Grundverordnung sieht nun in den Artikeln 13 und 14 erweiterte, teilweise über die bisherigen Pflichten des Sächsischen Datenschutzgesetzes erheblich hinausgehen-de Informationspflichten vor. Dabei definiert die Datenschutz-Grundverordnung je nachdem, ob die Daten direkt bei der betroffenen Person oder bei einem Dritten erhoben werden, un-terschiedliche Informationspflichten. Ähnlich wie im Sächsischen Datenschutzgesetz bestehen jedoch auch in der Datenschutz-Grundverordnung Ausnahmen von den Informationspflichten. So kann von der Information der betroffenen Person insbesondere abgesehen werden, wenn sie bereits über die Informationen verfügt. Davon kann ausgegangen werden, wenn der In-formationsstand in Ausmaß, Klarheit und Genauigkeit den Informationen entspricht, die der Verantwortliche der betroffenen Person zur Verfügung stellen muss. Darüber hinaus müssen die Informationen ohne weiteres zur Kenntnis genommen werden können. So kann bei-spielsweise eine Dienstvereinbarung zur Arbeitszeiterfassung, die alle erforderlichen Infor-mationen nach Artikel 13 Datenschutz-Grundverordnung enthält und im Intranet einer Be-hörde dauerhaft zur Verfügung steht, die Voraussetzungen dieser Ausnahme erfüllen. Weitere Einschränkungen der Informationsflicht ergeben sich aus § 8 Sächsisches Daten-schutzdurchführungsgesetz. So sieht etwa der Verantwortliche bei der Erhebung personen-bezogener Daten von der Information nach Artikel 14 Absatz 1 und 2 Datenschutz-Grundverordnung ab, soweit und solange die Weitergabe der Information die öffentliche Si-cherheit gefährden würde oder dies zur Verfolgung von Straftaten oder Ordnungswidrigkei-ten notwendig ist. Der Verantwortliche hat jedoch die Gründe zu dokumentieren, wenn er (zunächst) von einer Information absieht. Wenn sich die Informationserteilung auf die Über-mittlung von Daten an Strafverfolgungsbehörden oder nachrichtendienstliche Behörden be-zieht, ist diesen vorab Gelegenheit zur Stellungnahme zu geben. Um die Betroffenen informieren zu können, müssen in der öffentlichen Stelle die Sachverhal-te ermittelt werden, bei denen Informationspflichten bestehen. Dabei ist nicht nur an Informa-tionspflichten gegenüber Dritten zu denken. Informationspflichten können auch behördenin-tern entstehen. Im Gegensatz zur bisherigen Rechtslage sind bei der Information des Betroffenen zusätzlich auch Fristen und Formvorschriften zu beachten. Die Informationen sind den Betroffenen im Regelfall bei Erhebung der Daten zugänglich zu machen. Informationspflichten nach Artikel 13 Datenschutz-Grundverordnung – Erhebung bei der be-troffenen Person Werden die Daten direkt bei den betroffenen Personen erhoben, so sind diesen bereits zum Zeitpunkt der Erhebung im Wesentlichen folgende Angaben zu übermitteln:

1. der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

Seite 38 von 155

2. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

3. die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Drit-ten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt;

4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezo-genen Daten;

5. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

6. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die be-treffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Ver-arbeitung sowie des Rechts auf Datenübertragbarkeit;

7. wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Beste-hen eines Beschwerderechts bei einer Aufsichtsbehörde;

8. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vor-geschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Per-son verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögli-chen Folgen die Nichtbereitstellung hätte.

In Sonderfällen sind weitere Angaben erforderlich, beispielsweise bei Datenübermittlungen in Drittländer. Sollen personenbezogene Daten für einen anderen Zweck weiterverarbeitet werden als den, für den die Daten erhoben wurden, so sind den betroffenen Personen vor der Weiterverar-beitung die Informationen über diesen anderen Zweck und nach den Nummern 5 bis 8 zur Verfügung zu stellen (Artikel 13 Absatz 3 Datenschutz-Grundverordnung). Informationspflichten nach Artikel 14 Datenschutz-Grundverordnung – Erhebung bei einem Dritten Wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden, richten sich die Informationspflichten nach Artikel 14 Datenschutz-Grundverordnung. Danach sind der be-troffenen Person folgende Informationen mitzuteilen:

1. der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

2. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

3. die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Drit-ten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt;

4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezo-genen Daten;

5. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

6. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die be-treffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Ver-arbeitung sowie des Rechts auf Datenübertragbarkeit;

7. wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Beste-hen eines Beschwerderechts bei einer Aufsichtsbehörde;

Seite 39 von 155

8. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vor-geschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Per-son verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögli-chen Folgen die Nichtbereitstellung hätte,

9. welche Daten oder Datenkategorien verarbeitet werden, sowie 10. aus welcher Quelle die personenbezogenen Daten stammen.

Ist beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbei-ten, sind die Informationen über den anderen Zweck sowie nach den Nummern 5 bis 8 und 10 vor der Weiterverarbeitung zur Verfügung zu stellen. Frist und Form der Informationserteilung Erstmals werden in der Datenschutz-Grundverordnung Fristen für die Informationspflichten benannt. Bei der Erhebung bei der betroffenen Person müssen die Informationspflichten be-reits bei der Erhebung der Daten erfüllt werden. Werden die Informationen aus dritter Quelle erhoben, muss der für die Verarbeitung Verantwortliche seiner Informationenpflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung der Daten innerhalb einer angemessenen Frist nach Erlangung der Daten, längstens jedoch innerhalb eines Monats, nachkommen. Falls die Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, ist der Informationspflicht spätestens zum Zeitpunkt der ersten Mitteilung nachzukommen. Ist eine Weitergabe an einen anderen Empfänger beabsichtigt, ist die be-troffene Person spätestens bei Weitergabe in Kenntnis zu setzen. Auch die Form der Informationspflichten ist nun in der Datenschutz-Grundverordnung vorge-schrieben. Die Übermittlung der Informationen hat unentgeltlich und schriftlich oder in ande-rer Form, ggf. in elektronischer Form, zu erfolgen. Die Information kann z. B. auf einer Web- site bereitgestellt werden, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für bestimmte Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvoll-ziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten er-fasst werden (vgl. Erwägungsgrund 60). Zum Beispiel ist dies bei der Videoüberwachung der Fall. Die Grundverordnung schlägt unter anderem vor, dass die Informationen auch in Kom-bination mit standardisierten Bildsymbolen bereitgestellt werden können, um in leicht wahr-nehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Über-blick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektroni-scher Form dargestellt, müssen sie nach der Datenschutz-Grundverordnung jedoch maschi-nell lesbar sein. Es empfiehlt sich z. B. bei der Antragsbearbeitung, den betroffenen Personen ein standardi-siertes Merkblatt mit den Informationen auszuhändigen. Des Weiteren können die Informati-onen auch mündlich erteilt werden, sofern die betroffene Person dies verlangt und die Identi-tät der betroffenen Person in anderer Form nachgewiesen wurde. Der Verantwortliche hat sicherzustellen, dass die Information nur der betroffenen Person oder einer von ihr bevoll-mächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beein-trächtigt werden. Als datenschutzfreundlichste Variante wird in Erwägungsgrund 63 Satz 4 ein Fernzugriff der betroffenen Person auf ihre eigenen Daten über ein sicheres System be-zeichnet. Merkblatt und Musterformulare zur Erfüllung der Informationspflichten nach den Artikeln 13 und 14 der Datenschutz-Grundverordnung Das nachfolgende Merkblatt des SMI gibt praktische Hinweise zur Erfüllung der Informati-onspflichten nach den Artikeln 13 und 14 der Datenschutz-Grundverordnung und enthält

Seite 40 von 155

Musterformulare für verschiedene Fallkonstellationen mit entsprechenden Ausfüllhinweisen. Die Formulare stehen auch einzeln als Word-Dokumente zum Download bereit. >Merkblatt und Musterformulare zu Informationspflichten (Anlage 6c) Formular 1 Informationspflichten – Information betroffener Personen über die Verarbeitung personenbezogener Daten, wenn die Daten bei der betroffenen Person erhoben werden (Ar-tikel 13 Datenschutz-Grundverordnung, siehe Merkblatt Ziffer 1 Fallgruppe 1) Formular 2 Informationspflichten – Information betroffener Personen über die Verarbeitung personenbezogener Daten, wenn die Daten nicht bei der betroffenen Person erhoben wer-den (Artikel 14 Datenschutz-Grundverordnung, siehe Merkblatt Ziffer 1 Fallgruppe 2) Formular 3 Informationspflichten – Information betroffener Personen über die Verarbeitung personenbezogener Daten, wenn die Daten zu einem anderen Zweck weiterverarbeitet wer-den sollen (Artikel 13 Absatz 3, 14 Absatz 4 Datenschutz-Grundverordnung, siehe Merkblatt Ziff. 1 Fallgr. 3) Formular 4 Informationspflichten – Information betroffener Personen, wenn bereits bei der ersten Erhebung abzusehen ist, dass Daten sowohl bei der betroffenen Person als auch bei anderen Stellen erhoben werden (Artikel 13 Absatz 1 und 2, 14 Absatz 1 und 2 Datenschutz-Grundverordnung) 6.2 Auskunftsrecht Das Auskunftsrecht der betroffenen Person ist in Artikel 15 Datenschutz-Grundverordnung geregelt. Die betroffene Person hat danach ein Recht zu erfahren, ob ein für die Verarbei-tung Verantwortlicher sie betreffende personenbezogene Daten verarbeitet. Soweit dies der Fall ist, hat die betroffene Person weiter ein Recht auf Auskunft über die Umstände der Da-tenverarbeitung. Wie schon in § 18 Sächsisches Datenschutzgesetz erstreckt sich das Auskunftsrecht auf die jeweiligen Daten, die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden, die Herkunft der Daten und die Empfänger, an die die Daten weitergege-ben werden oder worden sind. Darüber hinaus erweitert jedoch Artikel 15 Datenschutz-Grundverordnung den Anspruchsumfang auf die geplante Dauer der Speicherung und das Vorliegen einer automatisierten Entscheidungsfindung. Zusätzlich umfasst das Auskunfts-recht nun auch einen Anspruch auf Informationen über das Bestehen eines Rechts auf Be-richtigung oder Löschung der personenbezogenen Daten oder auf Einschränkung der Verar-beitung und einen Anspruch auf Informationen über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde. § 9 Sächsisches Datenschutzdurchführungsgesetz normiert bestimmte Beschränkungen des Auskunftsrechts, wobei die Voraussetzungen denen entsprechen, die auch für die Ein-schränkung der Informationspflicht gelten. Die ablehnende Entscheidung bedarf keiner Be-gründung, wenn dadurch der Zweck der Ablehnung gefährdet würde. Die betroffene Person ist dann darauf hinzuweisen, dass sie sich an den Sächsischen Datenschutzbeauftragten wenden kann. Wenn sich die Auskunft auf die Übermittlung von Daten an Strafverfolgungs-behörden oder nachrichtendienstlicher Behörden bezieht, dann ist diesen vorab Gelegenheit zur Stellungnahme zu geben. Neu ist nach Artikel 15 Absatz 3 Datenschutz-Grundverordnung, dass der betroffenen Per-son eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen ist. Dadurch dürfen aber Rechte und Freiheiten anderer Personen nicht

http://www.datenschutzrecht.sachsen.de/download/Merkblatt_und_Formulare_Informationspflichten.pdf

http://www.datenschutzrecht.sachsen.de/download/Formular_1_Informationspflichten.doc




Seite 41 von 155

beeinträchtigt werden. Eine Kopie ist ebenfalls kostenfrei. Für weitere Kopien kann ein an-gemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangt werden. Weitere Informationen enthält folgende Publikation: Kurzpapier Nr. 6 der Datenschutzkonferenz „Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO“ [Link zu https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/DSK_KPNr_6_Auskunftsrecht.pdf] 6.3 Recht auf Löschung Artikel 17 Absatz 1 Datenschutz-Grundverordnung bringt mit dem Recht auf Löschung per-sonenbezogener Daten keine wesentlichen Änderungen im Vergleich zum bisher geltenden § 20 Sächsisches Datenschutzgesetz. Die wichtigsten Fallgruppen, in denen die Löschung von Daten verlangt werden kann, bleiben erhalten. Nach Artikel 17 Absatz 3 Buchstabe b Datenschutz-Grundverordnung scheidet eine Löschung z. B. auch weiterhin aus, wenn ge-setzliche Aufbewahrungsfristen bestehen. Außerdem geht gemäß § 7 Sächsisches Daten-schutzdurchführungsgesetz auch weiterhin grundsätzlich die archivrechtliche Anbietungs-pflicht einer Löschung vor. In Artikel 17 Absatz 2 Datenschutz-Grundverordnung ist nunmehr das „Recht auf Verges-senwerden“ normiert. Es erweitert den Anspruchsumfang des bekannten „Rechts auf Lö-schung“ und beinhaltet folgendes: Ein Verantwortlicher, der zur Löschung personenbezoge-ner Daten verpflichtet ist, diese aber zuvor öffentlich gemacht hat, muss Maßnahmen treffen, um andere Verantwortliche, die diese Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat. Für den Verantwortlichen bedeutet das konkret, dass er andere Verantwortliche ermitteln und informieren muss. Aller-dings müssen die zu treffenden Maßnahmen angemessen sein. Insbesondere sind die ver-fügbaren Technologien und die Implementierungskosten zu berücksichtigen. Weitere Informationen enthält folgende Publikation: Kurzpapier Nr. 11 der Datenschutzkonferenz „Recht auf Löschung/Recht auf Vergessenwer-den“ [Link zu https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/DSK_KPNr_11_Recht%20auf%20Vergessenwerden.pdf] 6.4. Recht auf Einschränkung der Verarbeitung Unter „Einschränkung der Verarbeitung“ sind nach den Erwägungsgründen Methoden zur Beschränkung der Verarbeitung personenbezogener Daten zu verstehen, z. B. dass ausge-wählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem über-tragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentlichte Daten vorüber-gehend von einer Webseite entfernt werden. Damit entspricht dieses Recht im weitesten Sinne dem bisherigen Recht auf Sperrung nach § 21 Sächsisches Datenschutzgesetz. Eine Einschränkung der Verarbeitung ist nach Artikel 18 Absatz 1 Datenschutz-Grundverordnung dann vorzunehmen, wenn die betroffene Person es verlangt und

sie die Richtigkeit der personenbezogenen Daten bestreitet, wobei die Einschränkung dann für die Dauer zu bewirken ist, die es dem Verantwortlichen ermöglicht, die Rich-tigkeit der personenbezogenen Daten zu überprüfen oder

https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/DSK_KPNr_11_Recht%20auf%20Vergessenwerden.pdf

https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/DSK_KPNr_11_Recht%20auf%20Vergessenwerden.pdf

Seite 42 von 155

die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der per-sonenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt oder

der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Aus-übung oder Verteidigung von Rechtsansprüchen benötigt oder

Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 Datenschutz-Grundverordnung eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Wichtig: Erwirkt die betroffene Person die Einschränkung der Verarbeitung, begründet dies für den Verantwortlichen die Pflicht, sie vor der Aufhebung der Einschränkung über diese zu unterrichten. Unter Geltendmachung ihres Rechts auf Einschränkung der Verarbeitung kann die betroffe-ne Person verlangen, dass sämtliche erhobenen personenbezogenen Daten fortan nur mit individueller Einwilligung (und zur Geltendmachung und Durchsetzung von Rechtsansprü-chen) verarbeitet werden dürfen. Die Berechtigung des Verantwortlichen zur Speicherung wird dadurch allerdings nicht berührt. Ist eine Einschränkung der Verarbeitung erfolgt, soll er die gespeicherten Daten nur nicht wie bisher verwenden können. Auch im Falle der Einschränkung der Verarbeitung ist der Verantwortliche gemäß Artikel 19 Datenschutz-Grundverordnung zusätzlich verpflichtet, Dritte, an welche die Daten übermittelt wurden, zu informieren, damit diese ihre Verarbeitungsprozesse selbst einschränken kön-nen. Diese Pflicht greift nur insoweit, wie die Unterrichtung möglich und dem Verantwortli-chen nicht unzumutbar ist. Die Einschränkung der Verarbeitung personenbezogener Daten lässt die Anbietungspflicht nach dem Archivgesetz für den Freistaat Sachsen unberührt. 6.5 Weitere Rechte 6.5.1 Recht auf Berichtigung (Artikel 16 Datenschutz-Grundverordnung) Eine ähnliche Regelung gibt es bereits in § 19 Sächsisches Datenschutzgesetz. Die be-troffene Person hat nach Artikel 16 Datenschutz-Grundverordnung auch weiterhin das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger perso-nenbezogener Daten zu verlangen. Die betroffene Person hat außerdem das Recht, die Vervollständigung unvollständiger per-sonenbezogener Daten zu verlangen. Bei der Frage, ob Daten unvollständig sind, ist der Zweck der Verarbeitung zu berücksichtigen. Personenbezogene Daten sind dann unvoll-ständig, wenn sie für sich genommen zwar richtig sind, aber bezogen auf den Verarbei-tungszweck ein unzutreffendes Bild der betroffenen Person ergeben, dass durch die fehlen-den Daten korrigiert werden kann. Hierzu folgendes Beispiel: Bei einem Gewerbetreibenden wird seine Zuverlässigkeit überprüft. Aus den Akten geht hervor, dass er Steuerschulden hat, was gegen seine Zuverlässigkeit sprechen kann. Diese Information ist dann unvollständig, wenn in der Sache ein finanzgerichtliches Verfahren anhängig ist und darauf nicht hingewie-sen wird. 6.5.2 Recht auf Datenübertragbarkeit (Artikel 20 Datenschutz-Grundverordnung) Nach Artikel 20 Datenschutz-Grundverordnung haben betroffene Personen das Recht, die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortli-

Seite 43 von 155

chen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie haben das Recht, diese Daten einem anderen für die Verarbeitung Ver-antwortlichen ohne Behinderung durch den für die Verarbeitung Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln. Dieses Recht soll dann bestehen, wenn eine automatisierte Datenverarbeitung zur Durchführung eines Vertrags erfolgte oder auf einer Einwilligung basierte. Es gilt dagegen nicht, soweit die Verarbeitung zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, er-forderlich ist (vgl. Artikel 20 Absatz 3 Satz 2 Datenschutz-Grundverordnung). Der Anwen-dungsbereich ist somit für öffentliche Stellen sehr gering. 6.5.3 Widerspruchsrecht (Artikel 21 Datenschutz-Grundverordnung) Gemäß Artikel 21 Datenschutz-Grundverordnung hat die betroffene Person grundsätzlich ein allgemeines Widerspruchsrecht gegen eine an sich rechtmäßige Verarbeitung von perso-nenbezogenen Daten, die im öffentlichen Interesse liegt, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erfolgte (Artikel 6 Absatz 1 Buchstabe e oder f Datenschutz-Grundverordnung). Dabei ist Vorausset-zung, dass sie Gründe geltend macht, die sich aus ihrer besonderen Situation ergeben. Denkbar sind beispielsweise rechtliche, wirtschaftliche, ethische, soziale, gesellschaftliche oder familiäre Zwangssituationen. Ist bereits eine Datenschutzverletzung durch den Verant-wortlichen eingetreten und ist zu befürchten, dass weitere Verletzungen folgen, berechtigt auch dies zu einem Widerspruch. Die betroffene Person hat den Widerspruch mit Tatsachen zu begründen, die vom Verant-wortlichen zu prüfen sind. Es wird empfohlen, diese Prüfung zu dokumentieren. Der Verant-wortliche darf bei einem rechtmäßig eingelegten Widerspruch die Daten nur noch verarbei-ten, wenn er zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen. Das Wider-spruchsrecht ist bisher in § 22 Sächsisches Datenschutzgesetz geregelt. 7. Zusammenarbeit mit der Aufsichtsbehörde; Informations- und Konsultations-

pflichten Die Datenschutz-Grundverordnung weist den Aufsichtsbehörden eine zentrale Funktion bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz perso-nenbezogener Daten zu. Damit die Aufsichtsbehörde, im Freistaat Sachsen also der Sächsi-sche Datenschutzbeauftragte, diese Funktion effektiv wahrnehmen kann, sieht die Daten-schutz-Grundverordnung vor, dass Verantwortliche oder Auftragsverarbeiter mit der Auf-sichtsbehörde zusammenarbeiten. Darüber hinaus ist die Aufsichtsbehörde über bestimmte Verarbeitungsvorgänge zu informieren bzw. zu diesen zu konsultieren oder sind auf deren Verlangen Auskünfte zu erteilen. Das Sächsische Datenschutzdurchführungsgesetz ergänzt teilweise die diesbezüglichen Regelungen der Datenschutz-Grundverordnung. Außerdem bestehen für den Mitgliedsstaat Informationspflichten gegenüber der EU-Kommission. Solche kommen in Betracht, wenn der Gesetzgeber von bestimmten Öffnungs-klauseln der Datenschutz-Grundverordnung zu besonderen Verarbeitungssituationen Ge-brauch macht und auf dieser Grundlage Vorschriften erlässt. 7.1 Allgemeine Pflichten Nach Artikel 31 Datenschutz-Grundverordnung arbeiten der Verantwortliche und der Auf-tragsverarbeiter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zu-sammen. Diese Regelung soll insbesondere die Durchsetzbarkeit der Aufgaben der Auf-

Seite 44 von 155

sichtsbehörde nach den Artikeln 55 ff. der Datenschutz-Grundverordnung unterstützen. Sie kommt dann zum Tragen, wenn sich die Aufsichtsbehörde mit einer Anfrage an einen Ver-antwortlichen oder Auftragsverarbeiter wendet. Ein aktives Zugehen des Verantwortlichen oder Auftragsverarbeiters auf die Aufsichtsbehörde ist nach Artikel 31 Datenschutz-Grundverordnung nicht erforderlich. Ob Artikel 31 Datenschutz-Grundverordnung eine größere eigenständige Bedeutung in der Rechtsanwendung zukommen wird, wird erst die Praxis zeigen. Die Aufsichtsbehörde besitzt insbesondere aus Artikel 58 Datenschutz-Grundverordnung umfangreiche Befugnisse, in deren Ausübung Mitwirkungs- und Duldungspflichten der Verantwortlichen oder Auftragsver-arbeiter bestehen. Dies betrifft insbesondere die Bereitstellung aller Informationen und Zu-gang zu allen personenbezogenen Daten, die die Aufsichtsbehörde zur Erfüllung ihrer Auf-gaben benötigt, die Duldung von Datenschutzüberprüfungen oder die Gewährung des Zu-gangs zu Diensträumen einschließlich aller Datenverarbeitungsanlagen und -geräte. Für letztgenannte Pflicht war eine Umsetzung im Landesrecht erforderlich. Sie erfolgt durch § 19 Absatz 1 des Sächsischen Datenschutzdurchführungsgesetzes (bisher § 28 Absatz 1 Säch-sisches Datenschutzgesetz). Ein Rückgriff auf Artikel 31 Datenschutz-Grundverordnung wird daher überwiegend nicht erforderlich sein. 7.2 Melde-/Informationspflichten Die Datenschutz-Grundverordnung enthält Melde-/Informationspflichten, denen – je nach Adressatenkreis der Norm – der Verantwortliche, der Auftragsverarbeiter oder der Mitglied-staat unterliegen. Diesen Pflichten ist aktiv nachzukommen. 7.2.1 Melde-/Informationspflichten gegenüber der Aufsichtsbehörde Folgende wesentliche Melde-/Informationspflichten bestehen gegenüber der Aufsichtsbehör-de: Verletzung des Schutzes personenbezogener Daten Nach Artikel 33 der Datenschutz-Grundverordnung hat der Verantwortliche Verletzungen des Schutzes personenbezogener Daten unverzüglich der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzungen des Schutzes personenbezogener Daten vo-raussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (der Verlust eines Datenträgers mit nach dem Stand der Technik verschlüsselten Daten etwa dürfte kein solches Risiko begründen). Meldepflichtig ist nur der für die Datenverarbeitung Verantwortliche. Ist die Datenverarbei-tung an einen Auftragsverarbeiter ausgelagert und entsteht die Datenschutzverletzung in dessen Sphäre, hat er unverzüglich den Verantwortlichen zu informieren, der wiederum die Meldung an die Aufsichtsbehörde vornimmt. Eine Verletzung des Schutzes personenbezo-gener Daten liegt gemäß Artikel 4 Nummer 12 der Datenschutz-Grundverordnung vor, wenn es sich um „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bezie-hungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Mit der Pflicht soll insbesondere Transparenz über stattgefundene Datenschutzverletzungen geschaffen werden und es den Aufsichtsbehörden und Betroffenen erleichtert werden, aus der Datenschutzverletzung resultierende Folgeschäden zu vermeiden bzw. zu minimieren.

Seite 45 von 155

Mitteilung der Kontaktdaten des Datenschutzbeauftragten Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht gemäß Artikel 37 Absatz 7 der Datenschutz-Grundverordnung die Kontaktdaten des Datenschutzbeauftragten und muss diese Daten auch der Aufsichtsbehörde mitteilen. [Verlinkung auf das entsprechende Kapitel bei Datenschutzbeauftragter] Information über den beabsichtigten Erlass von Verwaltungsvorschriften Nach § 20 des Sächsischen Datenschutzdurchführungsgesetzes haben die öffentlichen Stel-len den Sächsischen Datenschutzbeauftragten über den beabsichtigten Erlass von Verwal-tungsvorschriften, soweit sie das Recht auf informationelle Selbstbestimmung betreffen, zu informieren. Diese Regelung entspricht im Wesentlichen der bisherigen Anhörung des Säch-sischen Datenschutzbeauftragten nach § 26 des Sächsischen Datenschutzgesetzes und versetzt den Sächsischen Datenschutzbeauftragten in die Lage, seine Beratungsaufgabe nach Artikel 57 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung zu erfüllen. 7.2.2 Informationspflichten gegenüber der EU-Kommission Die Datenschutz-Grundverordnung eröffnet den Mitgliedstaaten für verschiedene besondere Verarbeitungssituationen die Möglichkeit, zu einzelnen Regelungen der Datenschutz-Grundverordnung abweichende oder spezifischere Rechtsvorschriften zu erlassen. Macht der Gesetzgeber von der Regelungsbefugnis Gebrauch, sieht die Datenschutz-Grundverordnung eine Mitteilung an die EU-Kommission vor. Rechtsvorschriften zu folgenden besonderen Verarbeitungssituationen sind von der Informa-tionspflicht betroffen:

Artikel 85 Absatz 2 Datenschutz-Grundverordnung: Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

Betroffen sind hier insbesondere Regelungen zum sogenannten Medienprivi-leg sowie zur datenschutzrechtlichen Aufsicht über Presseunternehmen oder Rundfunkanstalten (vgl. z. B. die Regelungen im Sächsischen Pressegesetz oder Sächsischen Privatrundfunkgesetz im Artikelgesetz zur Anpassung lan-desrechtlicher Vorschriften an die Datenschutz-Grundverordnung <Verlinkung auf das Gesetz>).

Hinweis: Für Informationsfreiheitsgesetze oder entsprechende kommunale Satzungen enthält Artikel 86 der Datenschutz-Grundverordnung die Öffnungs-klausel.

Artikel 88 Absatz 1 Datenschutz-Grundverordnung: Datenverarbeitung im Beschäfti-gungskontext

Hinweis: Von der Meldepflicht sind nur Rechtsvorschriften betroffen, nicht aber z. B. Dienst- oder Kollektivvereinbarungen.

Artikel 90 Absatz 1 Datenschutz-Grundverordnung: Vorschriften zu den Befugnissen der Aufsichtsbehörden gegenüber Verantwortlichen, die Geheimhaltungspflichten un-terliegen

Seite 46 von 155

Wann besteht eine Informationspflicht? Die Informationspflicht besteht

beim erstmaligen Erlass einer Rechtsvorschrift auf der Grundlage der jeweiligen Öff-nungsklausel,

bei beibehaltenen Rechtsvorschriften, die sich auf die jeweilige Öffnungsklausel stüt-zen sowie

bei einer späteren Änderung der Rechtsvorschriften. Dass die Informationspflicht bei erstmaligem Erlass und bei einer Änderung der Rechtsvor-schriften gilt, ergibt sich direkt aus den entsprechenden Vorschriften der Datenschutz-Grundverordnung, vgl. Artikel 85 Absatz 3, Artikel 88 Absatz 3, Artikel 90 Absatz 2 Daten-schutz-Grundverordnung. Jedoch auch bereits vorhandene und beibehaltene Rechtsvorschriften unterliegen der Infor-mationspflicht. Für den Bereich des Medienrechts bestimmt Artikel 85 Absatz 3 der Daten-schutz-Grundverordnung, dass sich die Informationspflicht auf alle Regelungen bezieht, die aufgrund des Artikels 85 Absatz 2 der Datenschutz-Grundverordnung erlassen wurden. Soll-ten sich vorhandene Vorschriften auf diese Norm stützen können, so können sie ebenfalls „als aufgrund dieser Vorschrift erlassen“ angesehen werden. Artikel 88 Absatz 3 und 90 Ab-satz 2 Datenschutz-Grundverordnung werden im Übrigen so verstanden, dass die Informati-onspflicht für die Vorschriften besteht, die zu dem in den Artikeln genannten Stichtag 25. Mai 2018 jeweils gelten. Damit sind ebenfalls die Vorschriften umfasst, die auf der Grundlage der genannten Artikel der Datenschutz-Grundverordnung beibehalten werden sollen. In zeitlicher Hinsicht besteht für die Vorschriften, die erstmals auf Grundlage der Artikel 88 Absatz 1 oder 90 Absatz 1 Datenschutz-Grundverordnung erlassen wurden oder beibehalten werden, eine Meldepflicht zum Stichtag 25. Mai 2018. Für Regelungen nach Artikel 85 Ab-satz 2 Datenschutz-Grundverordnung wird kein Stichtag für die Information festlegt. Es ist jedoch davon auszugehen, dass auch hier eine zeitnahe Information nach Inkrafttreten der Datenschutz-Grundverordnung zu erfolgen hat. Änderungen der relevanten Vorschriften sind der EU-Kommission jeweils unverzüglich mitzuteilen. Durch wen und wie erfolgt die Information der EU-Kommission? Die Informationspflicht obliegt jeweils den Mitgliedstaaten. Es wird davon ausgegangen, dass eine Meldung über den Bund erfolgen wird. Es gibt derzeit aber noch keine Informationen über das geplante Prozedere. Sobald nähere Informationen hierzu vorliegen, erfahren Sie es hier. 7.3 Konsultationen und Genehmigungspflichten Konsultation im Ergebnis einer Datenschutz-Folgenabschätzung Ergibt eine Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutz-Grundverordnung, dass die Verarbeitung personenbezogener Daten ein hohes Risiko zur Folge hätte, muss der Verantwortliche in erster Linie Maßnahmen zur Eindämmung des Risi-kos treffen (siehe Datenschutz-Folgenabschätzung). Ist eine Eindämmung des hohen Risi-kos nicht möglich, muss der Sächsische Datenschutzbeauftragte vor der Verarbeitung kon-sultiert werden, vgl. Artikel 36 Absatz 1 bis 3 der Datenschutz-Grundverordnung. Erläuterun-gen zum Konsultationsverfahren finden Sie hier [Verlinkung zu Datenschutz-Folgenabschätzung Punkt 8.5].

Seite 47 von 155

Konsultation bei Erlass von Gesetzen und Rechtsverordnungen Nach Artikel 36 Absatz 4 Datenschutz-Grundverordnung ist die Aufsichtsbehörde bei der Erstellung von Entwürfen von „Gesetzgebungsmaßnahmen oder von auf solchen Gesetzge-bungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen“, zu konsultieren. Dies wird in erster Linie die Erstellung von Entwürfen von Rechtsvorschriften (Gesetzen, Rechtsverordnungen), die die Verarbeitung personenbezogener Daten regeln, betreffen. In diesen Fällen ist stets eine Konsultation durchzuführen. Diese sollte so frühzei-tig wie möglich erfolgen, damit die rechtliche und technische Expertise des Sächsischen Da-tenschutzbeauftragten wie auch seine praktische Erfahrung unmittelbar in den Erstellungs-prozess einfließen kann. Die Beteiligungspflicht entspricht der bisherigen Rechtslage und Übung im Freistaat Sachsen (vgl. § 12 Absatz 3 der Geschäftsordnung der Staatsregierung und § 26 des Sächsischen Datenschutzgesetzes). Festlegung einer Konsultations- und Genehmigungspflicht für bestimmte Verarbeitungen Der Bundes- oder Landesgesetzgeber kann im Fachrecht bestimmte öffentliche Stellen als Verantwortliche verpflichten, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interes-se liegenden Aufgabe die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmi-gung einzuholen. Artikel 36 Absatz 5 Datenschutz-Grundverordnung eröffnet dem Gesetz-geber diese Möglichkeit. Aktuell sind jedoch keine Regelungen auf Bundes- oder Landes-ebene bekannt, die von dieser Möglichkeit Gebrauch machen. Verwaltungsvereinbarungen als geeignete Garantien für eine Datenübermittlung an Drittlän-der Unter bestimmten Bedingungen dürfen Daten auch in Drittländer oder an eine internationale Organisation übermittelt werden, obwohl diesen kein angemessenes Datenschutzniveau bescheinigt werden kann. Um in diesen Konstellationen eine Übermittlung zu ermöglichen und zugleich eine Gefährdung der von den Übermittlungen Betroffenen zu minimieren, sind nach Artikel 46 der Datenschutz-Grundverordnung verschiedene Garantiemaßnahmen zu treffen. Eine solche Garantie kann beispielsweise auch in Bestimmungen bestehen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen (Artikel 46 Absatz 3 Buchstabe b der Datenschutz-Grundverordnung). Derartige Bestimmungen in Verwaltungsvereinbarungen stehen unter dem Vorbehalt der Genehmigung durch die Auf-sichtsbehörde, müssen dieser also vorgelegt werden. 7.4 Auskunftspflicht Auskunftspflicht über das Verarbeitungsverzeichnis Auf Anfrage muss der Verantwortliche oder der Auftragsverarbeiter gemäß Artikel 30 Absatz 4 der Datenschutz-Grundverordnung der Aufsichtsbehörde das Verzeichnis von Verarbei-tungsvorgängen zur Verfügung stellen. Gegebenenfalls trifft diese Pflicht den Vertreter des Verantwortlichen oder des Auftragsverarbeiters. Das Verzeichnis dient der Aufsichtsbehörde als Ausgangspunkt ihrer Kontrollmaßnahmen und soll eine vorläufige Rechtmäßigkeitsprü-fung ermöglichen. Die Vorlage hat ausdrücklich nur auf Anforderung zu erfolgen. 8. Datenschutz-Folgenabschätzung

Auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten entstehen Risiken für die betroffenen Personen. Deswegen sieht die Datenschutz-Grundverordnung unabhängig

Seite 48 von 155

von sonstigen Voraussetzungen für die Verarbeitung personenbezogener Daten vor, dass durch geeignete Abhilfemaßnahmen (insbesondere durch technische und organisatorische Maßnahmen) diese Risiken eingedämmt werden. Die Datenschutz-Folgenabschätzung stellt eine der wichtigsten Neuerungen der Datenschutz-Grundverordnung dar. Rechtzeitig auf den Weg gebracht hilft sie nicht nur, die eigenen Prozesse bei der Verarbeitung personenbezo-gener Daten besser zu verstehen, sondern auch die Pflichten nach der Datenschutz-Grundverordnung umzusetzen. Weitere Informationen sind in folgenden Publikationen enthalten: Kurzpapier Nr. 5 der Datenschutzkonferenz „Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO“ [Link zu https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/DSK_KPNr_5_Datenschutz-Folgenabschaetzung.pdf] Bayrisches Landesamt für Datenschutzaufsicht, XVIII Datenschutz-Folgenabschätzung (DSFA) – Art. 35 DS_GVO [Link zu https://www.lda.bayern.de/media/baylda_ds-gvo_18_privacy_impact_assessment.pdf] Leitlinien der Artikel 29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung und Be-antwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahr-scheinlich ein hohes Risiko mit sich bringt“ [Link zu https://www.datenschutz-bayern.de/technik/orient/wp248.pdf] 8.1 Was ist eine Datenschutz-Folgenabschätzung nach der Datenschutz-

Grundverordnung? Eine Datenschutz-Folgenabschätzung ist ein spezielles Instrument zur Beschreibung, Be-wertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Datenschutz-Folgenabschätzung ist durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbei-tung voraussichtlich ein hohes Risiko zur Folge hat. Sie befasst sich insbesondere mit Abhil-femaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Ein-haltung der Verordnung nachgewiesen werden kann (Artikel 35 Absatz 1, 7 Datenschutz-Grundverordnung sowie die Erwägungsgründe 84, 90). Eine Datenschutz-Folgenabschätzung bezieht sich auf einzelne, konkrete Verarbeitungsvor-gänge. Unter Verarbeitungsvorgängen ist die Summe von Daten, Systemen (Hard- und Software) und Prozessen zu verstehen. Sofern mehrere ähnliche Verarbeitungsvorgänge voraussichtlich ein ähnliches Risiko auf-weisen, können diese zusammen bewertet werden (Artikel 35 Absatz 1 Datenschutz-Grundverordnung). Ähnliche Risiken können beispielsweise dann gegeben sein, wenn ähnli-che Technologien zur Verarbeitung vergleichbarer Daten (-kategorien) zu gleichen Zwecken eingesetzt werden (vgl. auch Erwägungsgrund 92 Datenschutz-Grundverordnung). Bei einer gemeinsamen Bewertung von ähnlichen Verarbeitungsvorgängen sind die im Folgenden dargestellten Vorgehensweisen ggf. anzupassen. 8.2 Erforderlichkeit einer Datenschutz-Folgenabschätzung Ob eine Datenschutz-Folgenabschätzung durchzuführen ist, ergibt sich aus einer Abschät-zung der Risiken der Verarbeitungsvorgänge („Schwellenwertanalyse“). Ergibt diese ein vo-raussichtlich hohes Risiko, dann ist eine Datenschutz-Folgenabschätzung durchzuführen.

https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/DSK_KPNr_5_Datenschutz-Folgenabschaetzung.pdf

https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/DSK_KPNr_5_Datenschutz-Folgenabschaetzung.pdf

https://www.lda.bayern.de/media/baylda_ds-gvo_18_privacy_impact_assessment.pdf

https://www.lda.bayern.de/media/baylda_ds-gvo_18_privacy_impact_assessment.pdf

https://www.datenschutz-bayern.de/technik/orient/wp248.pdf

https://www.datenschutz-bayern.de/technik/orient/wp248.pdf

Seite 49 von 155

Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine Datenschutz-Folgenabschätzung nicht zwingend erforderlich. Die Entscheidung über die Durchführung oder Nichtdurchführung der Datenschutz-Folgenabschätzung ist mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumen-tieren. Artikel 35 Absatz 3 Datenschutz-Grundverordnung benennt einige Faktoren, die wahrschein-lich zu einem hohen Risiko im Sinne des Artikels 35 Absatz 1 Datenschutz-Grundverordnung führen. Diese sind

die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Per-sonen mittels automatisierter Verarbeitung (einschließlich Profiling), die als Grundla-ge für Entscheidungen dient, Rechtswirkungen gegenüber natürlichen Personen ent-faltet oder diese in ähnlich erheblicher Weise beeinträchtigen,

die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 Datenschutz-Grundverordnung (z. B. Gesundheitsdaten, ge-netische oder biometrische Daten, Daten zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen oder Gewerkschaftszugehörigkeiten) oder von personenbezogenen Daten über Verurteilungen und Straftaten,

die systematische umfangreiche Überwachung öffentlich zugänglicher Räume. Liegt bei einer konkreten Verarbeitungstätigkeit keiner dieser Faktoren vor, so entbindet dies noch nicht von der Durchführung einer Datenschutz-Folgenabschätzung. Vielmehr ist dann die oben bereits angesprochene „Schwellenwertanalyse“ durchzuführen, in deren Ergebnis ebenfalls das Erfordernis einer Datenschutz-Folgenabschätzung stehen kann. Es ist im Übrigen zu erwarten, dass die Datenschutzaufsichtsbehörden eine nicht-abschließende Liste mit Verarbeitungstätigkeiten, bei denen eine Datenschutz-Folgenabschätzung durchzuführen ist, veröffentlichen werden. Auch zur Durchführung der „Schwellenwertanalyse“ sollen künftig Hinweise durch die Datenschutzaufsichtsbehörden zur Verfügung gestellt werden. Außerdem ist Artikel 35 Absatz 10 Datenschutz-Grundverordnung zu beachten. Danach ist grundsätzlich dann keine Datenschutz-Folgenabschätzung durchzuführen, wenn die Verar-beitung personenbezogener Daten auf einer Rechtsvorschrift, die ein im öffentlichen Interes-se liegendes Ziel verfolgt (Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe c oder e Da-tenschutz-Grundverordnung), basiert und beim Erlass der Vorschrift eine Datenschutz-Folgenabschätzung vorgenommen wurde. In diesen Fällen ist ausnahmsweise nur dann eine Datenschutz-Folgenabschätzung erforderlich, wenn dies nach dem Ermessen der normge-benden Stelle vor der Aufnahme der betreffenden Verarbeitungstätigkeit für erforderlich ge-halten wird. Artikel 35 Absatz 10 Datenschutz-Grundverordnung wird jedoch erst nach und nach Bedeutung erlangen. Derzeit werden noch für längere Zeit Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vorliegen, die keine Datenschutz-Folgenabschätzung durchlaufen haben. 8.3 Zeitpunkt der Durchführung einer Datenschutz-Folgenabschätzung Eine Datenschutz-Folgenabschätzung ist vor der Aufnahme der zu betrachtenden Verarbei-tungsvorgänge durchzuführen. Auch bereits bestehende Verarbeitungsvorgänge können unter die Pflicht einer Datenschutz-Folgenabschätzung fallen. Eine sofortige Datenschutz-Folgenabschätzung aller bestehenden Verfahren ist grundsätz-lich nicht erforderlich. Eine Erforderlichkeit kann sich aber aus Artikel 35 Absatz 11 Daten-schutz-Grundverordnung ergeben. Gemäß Erwägungsgrund 171 „sollten“ Verarbeitungen,

Seite 50 von 155

die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht wer-den. Da eine Datenschutz-Folgenabschätzung meist nicht ad hoc in wenigen Tagen erstellt wer-den kann, muss sie rechtzeitig, beispielsweise unterstützt durch ein allgemeines Daten-schutz-Managementsystem, auf den Weg gebracht werden. 8.4 Wie kann eine Datenschutz-Folgenabschätzung durchgeführt werden? Die formellen Anforderungen an die Durchführung einer Datenschutz-Folgenabschätzung ergeben sich aus der Datenschutz-Grundverordnung, speziell aus Artikel 35 sowie den Er-wägungsgründen 84, 90, 91, 92 und 93. Bei der verwendeten Methode wird dem Verantwort-lichen mehr Spielraum gelassen. Werden bestehende Methoden oder Standards eingesetzt, ist zu beachten, dass die Anforderungen der Datenschutz-Grundverordnung immer vorrangig zu behandeln sind. Eine Datenschutz-Folgenabschätzung ist kein einmaliger Vorgang. Sollten sich z. B. neue Risiken ergeben, die Bewertung bereits erkannter Risiken ändern oder wesentliche Ände-rungen im Verfahren ergeben, die in der Datenschutz-Folgenabschätzung bisher nicht be-rücksichtigt wurden, so ist die Datenschutz-Folgenabschätzung zu überprüfen und ebenso anzupassen. Um dies zu garantieren, wird ein stetiger, iterativer Prozess der Überprüfung und Anpassung empfohlen:

8.4.1 Phase 1: Vorbereitung Zusammenstellung des Datenschutz-Folgenabschätzung-Teams Eine Datenschutz-Folgenabschätzung kann im Allgemeinen nur von einem interdisziplinären Team erstellt werden, das Kompetenzen im Bereich Datenschutz, Risikoermittlung und Fachprozesse mitbringt. Der Datenschutzbeauftragte steht diesem während des gesamten Prozesses beratend zur Seite. Es kann sinnvoll oder notwendig sein, z. B. Auftragsverarbei-ter oder Hersteller von IT-Systemen ebenfalls mit einzubeziehen. Prüfplanung Da eine Datenschutz-Folgenabschätzung meist ein komplexer Prozess ist, der viele Mitwir-kende einbindet, ist eine Prüfplanung (z. B. mit Methoden des Projektmanagements) emp-fehlenswert.

Seite 51 von 155

Festlegung des Beurteilungsumfangs (Scope) Die betrachteten Verarbeitungsvorgänge sind von anderen (Geschäfts-)Prozessen abzu-grenzen und ausführlich und abschließend mit allen Datenflüssen zu beschreiben. Wesent-lich ist es, die beabsichtigten Zwecke der Verarbeitungsvorgänge festzuhalten. Identifikation und Einbindung von Akteuren und betroffenen Personen Die Akteure und betroffenen Personen sind zu identifizieren. Bei der Durchführung der Da-tenschutz-Folgenabschätzung zieht der Verantwortliche den Datenschutzbeauftragten zura-te (Artikel 35 Absatz 2 Datenschutz-Grundverordnung). Ggf. holt der Verantwortliche den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbei-tung ein (Artikel 35 Absatz 9 Datenschutz-Grundverordnung). Dies umfasst beispielsweise die Einbindung von Gremien der Mitbestimmung, z. B. von Personalräten. Bewertung der Notwendigkeit/Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf ihren Zweck Die im vorigen Schritt beschriebenen Verarbeitungsvorgänge werden ausgehend von den mit ihnen verfolgten Zwecken daraufhin bewertet, ob der durch sie bewirkte Eingriff in die Rechte und Freiheiten der Betroffenen im Verhältnis zu dem angestrebten Zweck steht, ob sie zum Erreichen der Zwecke tatsächlich notwendig sind oder ob alternative Vorgehens-weisen zur Verfügung stehen, die in die Rechte und Freiheiten der Betroffenen weniger stark eingreifen. Ggf. nimmt der Verantwortliche eine Anpassung der Verarbeitungsvorgän-ge vor, z. B. durch Beschränkung der zu verarbeitenden Daten oder durch Änderung der beteiligten Akteure oder eingesetzten Technologien. Identifikation der Rechtsgrundlagen Aufbauend auf dem vorigen Schritt können sodann die Rechtsgrundlagen für die zu bewer-tenden Verarbeitungsvorgänge bestimmt und dokumentiert werden. 8.4.2 Phase 2: Durchführung Modellierung der Risikoquellen Die Quellen des Risikos für die Rechte und Freiheiten natürlicher Personen müssen identifi-ziert werden. Insbesondere ist zu bestimmen, welche Personen motiviert sein könnten, die Verarbeitungsvorgänge und die hierin verarbeiteten Daten in unrechtmäßiger Weise zu nut-zen, und welches ihre Beweggründe und möglichen Ziele sein können. Anhand dessen kön-nen die damit zusammenhängenden Eintrittswahrscheinlichkeiten ermittelt werden. Risikobeurteilung Aufbauend auf den vorherigen Schritten wird bestimmt, ob in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung ein hohes Risiko für die Rechte und Freihei-ten natürlicher Personen besteht. Potenzielle Schäden können physischer, materieller oder immaterieller Art sein. Ihre Schwere sowie die jeweilige Eintrittswahrscheinlichkeit sind dabei zu berücksichtigen (Erwägungsgrund 75 f.). Auswahl geeigneter Abhilfemaßnahmen Die ermittelten Risiken müssen durch geeignete Abhilfemaßnahmen (insbesondere durch technische und organisatorische Maßnahmen) eingedämmt werden. Eine Auswahl sowie

Seite 52 von 155

Planung der Umsetzung der Maßnahmen findet statt. Dabei wird den Rechten und berechtig-ten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen. Ver-bleibende Restrisiken werden ermittelt und dokumentiert. Erstellung des Datenschutz-Folgenabschätzungsberichts Der Datenschutz-Folgenabschätzungsbericht enthält gemäß Artikel 35 Absatz 7 Daten-schutz-Grundverordnung jedenfalls die systematische Beschreibung der geplanten Verarbei-tungsvorgänge und ihrer Zwecke, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, die Beschreibung und Beurteilung der Risiken sowie der Abhilfemaßnah-men zur Risikoeindämmung. Der Bericht ist um eine Darstellung der Restrisiken samt Ent-scheidung über den Umgang mit diesen zu ergänzen. Er kann sich dabei an den hier darge-stellten Phasen orientieren. Der Datenschutz-Folgenabschätzungsbericht dient ferner als Baustein einer umfassenden Dokumentation zur Umsetzung der in Artikel 5 Absatz 2 Daten-schutz-Grundverordnung normierten Rechenschaftspflicht. Es ist zu prüfen, inwieweit Teile des Datenschutz-Folgenabschätzungsberichts im Sinne einer erhöhten Transparenz für die betroffenen Personen veröffentlicht werden sollen. Wichtig: Ergibt eine Datenschutz-Folgenabschätzung, dass trotz technischer und organisa-torischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), muss der Verantwortliche nach Artikel 36 Datenschutz-Grundverordnung vor der Verarbeitung die zuständige Aufsichtsbehörde, also den Sächsischen Datenschutzbeauftragten, konsultieren. Nähere Erläuterungen zum Konsultationsverfahren finden Sie hier [Link zu 8.5]. Ergibt die Datenschutz-Folgenabschätzung kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen oder wurde das Konsultationsverfahren (ggf. mit der Beauflagung wei-terer technisch-organisatorischer Maßnahmen) durchlaufen, schließen sich weitere Phasen zur Implementierung der Abhilfemaßnahmen und zur Überwachung an. Diese folgenden Phasen sollten nicht lediglich linear durchlaufen werden, sondern eine Rückkoppelung der jeweiligen Ergebnisse im Sinne eines iterativen Vorgehens ermöglichen. Beispielsweise können durch eine Maßnahme weitere Verarbeitungsvorgänge nötig werden, für die wiederum etwaige Risiken zu betrachten sind. 8.4.3 Phase 3: Umsetzung Umsetzung der Abhilfemaßnahmen Bevor die geplante Datenverarbeitung eingesetzt wird, müssen die für die Eindämmung des Risikos geeigneten Abhilfemaßnahmen (insbesondere technische und organisatorische Maßnahmen) umgesetzt sein. Vorher darf die Verarbeitung personenbezogener Daten nicht stattfinden. Sofern sich bei der Umsetzung herausstellt, dass geplante Maßnahmen nicht (wirksam) realisiert werden können, müssen andere geeignete Maßnahmen ausgewählt, die Restrisikobewertung angepasst oder die Verarbeitungsvorgänge insgesamt angepasst wer-den, so dass sie den Anforderungen der Datenschutz-Grundverordnung genügen. Test der Abhilfemaßnahmen Nachdem Abhilfemaßnahmen umgesetzt wurden, müssen sie auf ihre Wirksamkeit hin ge-testet werden. Möglicherweise zeigt sich bei der Umsetzung der Maßnahmen, dass weitere Risiken bestehen, die ebenfalls zu behandeln sind.

Seite 53 von 155

Dokumentation: Nachweis über die Einhaltung der Datenschutz-Grundverordnung Gemäß Artikel 5 Absatz 2 Datenschutz-Grundverordnung hat der Verantwortliche eine um-fassende Dokumentations- und Rechenschaftspflicht, durch die die Einhaltung der Daten-schutz-Grundverordnung insgesamt nachgewiesen werden soll. Der Datenschutz-Folgenabschätzungsbericht und eine Bestätigung der Wirksamkeit der umgesetzten Maß-nahmen dienen als Bausteine zur Erfüllung dieser Pflicht. Freigabe der Verarbeitungsvorgänge Im Anschluss und mit Vorliegen der vollständigen Dokumentation können die Verarbeitungs-vorgänge formal durch den Verantwortlichen freigegeben werden. 8.4.4 Phase 4: Überprüfung Ggf. Überprüfung und Audit der Datenschutz-Folgenabschätzung Um eine ordnungsgemäße Durchführung sicherzustellen, kann es sinnvoll sein, den Daten-schutz-Folgenabschätzungsbericht von einem unabhängigen Dritten überprüfen zu lassen. Auch könnte der Datenschutzbeauftragte, der gemäß Artikel 35 Absatz 2 Datenschutz-Grundverordnung sowieso einzubeziehen ist, die Datenschutz-Folgenabschätzung abschlie-ßend prüfen und das Ergebnis der Leitungsebene des Verantwortlichen mitteilen. Überwachung und Fortschreibung Die Datenschutz-Folgenabschätzung ist kein strikt linearer oder abgeschlossener Prozess. Vielmehr muss die Einhaltung der Datenschutz-Grundverordnung während der gesamten Dauer der Verarbeitungsvorgänge fortlaufend überwacht werden. Hierfür bietet sich ein Da-tenschutz-Managementsystem an. Spätestens wenn sich das mit der Verarbeitung verbun-dene Risiko ändert, muss erneut eine Datenschutz-Folgenabschätzung durchgeführt werden. 8.5 Konsultationsverfahren bei hohem Restrisiko Wird im Ergebnis einer Datenschutz-Folgenabschätzung festgestellt, dass trotz technischer und organisatorischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), muss sich nach Artikel 36 Absatz 1 Datenschutz-Grundverordnung der Verantwortliche vor der Verarbeitung an die zuständige Aufsichtsbehörde, also den Sächsischen Datenschutzbeauftragten, wenden. Dazu muss der Verantwortliche dem Sächsischen Datenschutzbeauftragten nach Artikel 36 Absatz 3 Datenschutz-Grundverordnung folgendes vorlegen:

gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverar-beiter,

die Zwecke und die Mittel der beabsichtigten Verarbeitung,

die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß der Da-tenschutz-Grundverordnung vorgesehenen Maßnahmen und Garantien,

gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,

die Datenschutz-Folgenabschätzung gemäß Artikel 35 Datenschutz-Grundverordnung und

alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.

Seite 54 von 155

Der Sächsische Datenschutzbeauftragte prüft sodann, ob die geplante Verarbeitung im Ein-klang mit der Datenschutz-Grundverordnung stünde, dabei insbesondere, ob der Verantwort-liche das Risiko ausreichend ermittelt und eingedämmt hat. Hierzu hat er im Regelfall bis zu acht Wochen Zeit. Bei komplexen Verarbeitungen kann er die Frist um maximal sechs Wochen verlängern. Über eine Fristverlängerung muss er den Verantwortlichen und ggf. einen Auftragsverarbeiter mit Angabe der Gründe innerhalb eines Monats unterrichten. Diese Fristen gelten nur, wenn der Aufsichtsbehörde alle für die Zwe-cke der Konsultation erforderlichen Informationen vorliegen. Meldet sich der Sächsische Datenschutzbeauftragte innerhalb der Frist von acht Wochen oder der verlängerten Frist nicht, ist davon auszugehen, dass die geplante Verarbeitung im Einklang mit der Datenschutz-Grundverordnung steht. Ist der Sächsische Datenschutzbeauftragte dagegen der Auffassung, dass die geplante Ver-arbeitung nicht im Einklang mit der Verordnung steht, unterbreitet er dem Verantwortlichen und ggf. dem Auftragsverarbeiter schriftlich entsprechende Empfehlungen (z. B. zu weiteren technisch-organisatorischen Maßnahmen oder zu Änderungen in den Verarbeitungsprozes-sen). Zugleich kann er seine Befugnisse nach Artikel 58 Datenschutz-Grundverordnung aus-üben, also z. B. den Verantwortlichen oder den Auftragsverarbeiter warnen, dass beabsich-tigte Verarbeitungsvorgänge gegen die Datenschutz-Grundverordnung verstoßen würden. Wird mit einer gegen die Datenschutz-Grundverordnung verstoßenden Verarbeitung perso-nenbezogener Daten begonnen, kann der Sächsische Datenschutzbeauftragte diese unter-sagen. 9. Auftragsverarbeitung

Die Datenschutz-Grundverordnung regelt die Auftragsverarbeitung insbesondere in den Arti-keln 28 und 29. Die Öffnungsklauseln der Datenschutz-Grundverordnung erlauben es (vgl. Artikel 6 Absatz 1 Buchstabe c und e in Verbindung mit Absatz 3 Satz 3 Datenschutz-Grundverordnung), durch eine Rechtsvorschrift allgemeine Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung aufzustellen. Daher können Regelungen, die das „Ob“ der Auftragsverarbeitung bestimmen, also die Frage betreffen, ob in bestimmten Fällen eine Auftragsverarbeitung zulässig ist, auch weiterhin zulässig sein (vgl. z. B. § 80 SGB X). Im Hinblick auf die Frage, wann von einer Auftragsverarbeitung ausgegangen werden muss und das „Wie“ der Auftragsverarbeitung, also die spezifischen Anforderungen an die Ausgestal-tung der Auftragsverarbeitung, sind die Artikel 28 und 29 Datenschutz-Grundverordnung da-gegen abschließend. Der bisherige § 7 des Sächsischen Datenschutzgesetzes wurde daher nicht in das Sächsische Datenschutzdurchführungsgesetz übernommen. Was ist neu?

Der Mindestinhalt eines Vertrages zur Auftragsverarbeitung ist umfassender. Der Vertrag zur Auftragsverarbeitung kann nicht nur schriftlich sondern auch in einem

elektronischen Format geschlossen werden. Weisungen des Verantwortlichen an den Auftragsverarbeiter sind zu dokumentieren. Der Auftragsverarbeiter hat ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu

erstellen. Will der Auftragsverarbeiter Subunternehmen als weitere Auftragsverarbeiter bei der

Erbringung der vereinbarten Dienstleistung einsetzen, so bedarf dies der vorherigen (schriftlichen oder elektronischen) Genehmigung durch den Verantwortlichen. Später beabsichtigte Änderungen bei den eingesetzten Subunternehmen muss der Auf-tragsverarbeiter vorher mitteilen, wobei der Verantwortliche dann bei Bedarf Ein-

Seite 55 von 155

spruch gegen die geplante Einbeziehung des neuen Subunternehmens einlegen kann.

Der Spielraum bei der Kontrolle des Auftragsverarbeiters durch den Verantwortlichen vergrößert sich. Es ist z. B. nicht mehr zwingend eine Vorort-Kontrolle erforderlich, sondern es kann auch auf Zertifizierungen zurückgegriffen werden.

Auftragsverarbeiter haben Dokumentationspflichten und gegenüber dem Verantwort-lichen eine Unterstützungsfunktion.

Aufsichtsbehörden können Sanktionen direkt gegenüber dem Auftragsverarbeiter verhängen.

Verantwortlicher und Auftragsverarbeiter haften gegenüber betroffenen Personen ge-samtschuldnerisch auf Schadenersatz bei Datenschutzverstößen. Der Auftragsverar-beiter kann daher von betroffenen Personen direkt in Anspruch genommen werden.

Eine allgemeine Pflicht zur Meldung eines Auftragsverarbeiters aus dem nichtöffentli-chen Bereich an die zuständige Kontroll- bzw. Aufsichtsbehörde (vgl. der bisherige § 7 Absatz 3 Sächsisches Datenschutzgesetz) entfällt.

Was ist zu tun? Vorhandene Verträge zur Auftragsverarbeitung sind daraufhin zu überprüfen, ob sie die Vor-gaben der Datenschutz-Grundverordnung erfüllen. Ist dies nicht der Fall, sind sie anzupas-sen. Auf welche Weise dies erfolgt, ob mit einer einvernehmlichen Vertragsänderung oder etwa im Wege einer außerordentlichen Kündigung aus wichtigem Grund, ist eine zivilrechtli-che Frage, die im Einzelfall zu bewerten und zu entscheiden ist. 9.1 Was ist Auftragsverarbeitung? Die Frage, ob eine Auftragsverarbeitung vorliegt, ist wichtig für die Rechtmäßigkeit der Da-tenverarbeitung. Liegt eine Auftragsverarbeitung vor, dann sind für deren Rechtmäßigkeit zwingend die Vorgaben der Datenschutz-Grundverordnung zu beachten. Dabei ist es unbe-achtlich, ob eine öffentliche Stelle oder eine nichtöffentliche Stelle Auftragsverarbeiter wird. Es gelten im Wesentlichen die gleichen Regelungen. 9.1.1 Begriff Die Datenschutz-Grundverordnung definiert in Artikel 4 Nummer 8 den Begriff Auftragsverar-beiter. Auftragsverarbeiter ist danach eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortli-chen verarbeitet. Der Auftragsverarbeiter ist nicht „Dritter“ im Sinne der Datenschutz-Grundverordnung (vgl. Artikel 4 Nummer 10). Insofern ändert sich die bisherige Rechtslage nicht. Allerdings fällt der Auftragsverarbeiter unter den Begriff „Empfänger“ nach Artikel 4 Nummer 9 Datenschutz-Grundverordnung. Daher sind betroffene Personen z. B. bei der Erhebung von Daten auch darüber zu informieren, dass diese an einen Auftragsverarbeiter weitergegeben werden (vgl. Artikel 13 Absatz 1 Buchstabe e, Artikel 14 Absatz Buchstabe e Datenschutz-Grundverordnung). 9.1.2 Abgrenzung zu anderen Verarbeitungssituationen Die Auftragsverarbeitung ist insbesondere von folgenden anderen Verarbeitungssituationen abzugrenzen:

Gemeinsam Verantwortliche nach Artikel 26 Datenschutz-Grundverordnung:

Seite 56 von 155

Wenn zwei oder mehr Verantwortliche den Zweck und die Mittel einer Verarbeitung personenbezogener Daten gemeinsam festlegen, sind sie auch gemeinsam Verant-wortliche. Für die Abgrenzung zur Auftragsverarbeitung ist daher vor allem von Be-deutung, dass beide Personen/sonstige Stellen die grundlegenden Entscheidungen über die Verarbeitung der Daten gemeinsam treffen, also kein Weisungsverhältnis besteht.

Funktionsübertragung: Mit Funktionsübertragung ist die klassische Übermittlung personenbezogener Daten von einer Person/sonstigen Stelle auf eine andere Person/sonstige Stelle gemeint. Sie ist dadurch gekennzeichnet, dass der Empfänger der Daten die Zwecke und die Mittel der Weiterverarbeitung selbst festlegt, die Daten insbesondere zur Erfüllung ei-gener Aufgaben nutzt. In diesen Fällen verarbeitet der Empfänger der Daten diese nicht im Auftrag und auf Weisung des Verantwortlichen weiter. Es liegt keine Auf-tragsverarbeitung vor. Für die Übermittlung der Daten und die Weiterverarbeitung durch den Empfänger bedarf es einer Rechtsgrundlage.

9.1.3 Speziell: Wartung und Prüfung von IT-Systemen Die Frage, ob es sich um eine Auftragsverarbeitung handelt oder nicht, taucht oftmals im Zusammenhang mit Verträgen zur Wartung und Prüfung von IT-Systemen auf. Der bisherige § 7 Absatz 5 des Sächsischen Datenschutzgesetzes hat die Regelungen der Auftragsverar-beitung für Wartungs- und Fernwartungsaufträge als entsprechend anwendbar erklärt. Hin-tergrund hierfür war, dass den Wartungsfirmen bei Ausübung ihrer Tätigkeit personenbezo-gene Daten zur Kenntnis gelangen können, aber durch diese Firmen personenbezogene Daten gerade nicht im Sinne des Sächsischen Datenschutzgesetzes verarbeitet werden. Artikel 28 Datenschutz-Grundverordnung enthält keine dem § 7 Absatz 5 Sächsisches Da-tenschutzgesetz vergleichbare Regelung. Auch in den Erwägungsgründen der Datenschutz-Grundverordnung gibt es keine Aussagen zum Umgang mit Wartungs- und Fernwartungs-aufträgen. Daher stellt sich die Frage, ob Wartungs- und Fernwartungsverträge wie bisher als Auftragsverarbeitung zu behandeln sind. Ausgangspunkt der Beurteilung ist der weite Verarbeitungsbegriff, der der Datenschutz-Grundverordnung zugrunde liegt. Zu einer Verarbeitung nach Artikel 4 Nummer 2 der Daten-schutz-Grundverordnung zählen insbesondere das Anpassen oder Verändern personenbe-zogener Daten, deren Auslesen, Abfragen, Verwenden oder vor allem auch Offenlegen durch Verbreitung oder einer anderen Art der Bereitstellung. Aufgrund des weiten Begriffs der „Verarbeitung“, ist davon auszugehen, dass nur bei einer reinen technischen Wartung ohne Zugriff auf personenbezogene Daten keine Auftragsdaten-verarbeitung vorliegt und Artikel 28 Datenschutz-Grundverordnung nicht zu beachten ist. Besteht bei der Wartung oder Prüfung der IT-Systeme dagegen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten (z. B. bei der Prüfung von Speicher-Dumps oder Support-Arbeiten in Systemen des Auftraggebers usw.), so handelt es sich um eine Form bzw. Teiltätigkeit einer Auftragsverarbeitung und die Anfor-derungen des Artikels 28 Datenschutz-Grundverordnung sind umzusetzen. 9.2 Zulässigkeit der Auftragsverarbeitung Anders als § 7 Sächsisches Datenschutzgesetz enthält Artikel 28 Datenschutz-Grundverordnung keine ausdrückliche Befugnis zur Auftragsverarbeitung, sondern nur spezi-fische Bestimmungen, die bei einer Auftragsverarbeitung einzuhalten sind. Es kann jedoch

Seite 57 von 155

davon ausgegangen werden, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen und den Auftragsverarbeiter ein einheitlicher Vorgang der Datenverarbei-tung ist. Wenn der Verantwortliche eine Befugnis zur Datenverarbeitung hat, dann kann er die Verarbeitung grundsätzlich auch auf einen Auftragsverarbeiter übertragen. Spezialge-setzliche Vorschriften, verfassungsrechtliche Grenzen und Zuständigkeitsregelungen sind jedoch zu beachten. Ein Prüfschema, wie eine öffentliche Stelle die grundsätzliche Zulässig-keit einer Auftragsverarbeitung prüfen sollte, finden Sie nachfolgend. [Prüfschema Zulässigkeit der Auftragsverarbeitung (Anlage 7)] Die Datenschutz-Grundverordnung verlangt, dass Grundlage einer Auftragsverarbeitung ein Vertrag oder ein anderes Rechtsinstrument des Staates ist. Grundlage wird in aller Regel ein Dienst- oder Werkvertrag sein. Mit dem anderen Rechtsin-strument des Staates sind alle sonstigen, außer den vertraglichen, Rechtsgrundlagen ge-meint. So könnte z. B. eine Auftragsverarbeitung auch über eine Rechtsverordnung festge-legt werden (wenn es eine entsprechende gesetzliche Ermächtigung gibt). Vertrag Überwiegend werden Auftragsverarbeitungen auf vertraglichen Regelungen basieren. Die vertragliche Regelung kann anders als bisher (Schrifterfordernis, vgl. § 7 Absatz 2 Satz 2 Sächsisches Datenschutzgesetz) auch in einem elektronischen Format geschlossen werden (vgl. Artikel 28 Absatz 9 Datenschutz-Grundverordnung). Artikel 28 Absatz 3 Datenschutz-Grundverordnung legt detailliert fest, welcher Mindestinhalt in den Vertrag aufgenommen werden muss. Die dortigen Festlegungen gehen über die bis-herigen Regelungen in § 7 Absatz 2 Sächsisches Datenschutzgesetz hinaus. Im Vertrag sind Festlegungen zu treffen

zum Gegenstand der Verarbeitung (z. B. Verweis auf die Leistungsvereinbarung des Vertrag; Darstellung der konkreten Aufgaben),

zur Dauer der Verarbeitung (Beispiele: Laufzeit des Vertrages, Befristung, einmalige Ausführung),

zum Zweck der Verarbeitung (z. B. Verweis auf die Leistungsvereinbarung, Beschrei-bung des Zwecks),

zur Art der Verarbeitung (z. B. automatisierte Verarbeitung, Erheben, Erfassen, Ord-nen),

zur Art der verarbeiteten personenbezogenen Daten (z. B. Adressdaten, Personen-stammdaten, Telekommunikationsdaten, Daten aus öffentlichen Verzeichnissen)

zu den Kategorien betroffener Personen (z. B. Antragsteller, Beschäftigte, Ansprech-partner etc.),

zu den Pflichten und Rechten des Verantwortlichen (z. B. Ausgestaltung des Wei-sungsrechts oder der Kontrollmöglichkeiten, vgl. auch die nachfolgenden Regelun-gen).

Darüber hinaus hat der Vertrag dahingehend Regelungen zu enthalten, dass der Auf-tragsverarbeiter

die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten darf, es sei denn, er ist durch andere Vorschriften zur Verarbeitung ver-pflichtet,

gewährleistet, dass sich die Mitarbeiter, die die Daten verarbeiten, zur Vertraulichkeit verpflichten oder einer angemessenen gesetzlichen Verschwiegenheit unterliegen,

Seite 58 von 155

technische und organisatorische Maßnahmen für die Sicherheit der Verarbeitung er-greift,

die Bedingungen für die Inanspruchnahme eines weiteren Auftragsverarbeiters ein-gehalten werden,

den Verantwortlichen bei der Erfüllung der diesem obliegenden Beantwortung von Anträgen zur Wahrnehmung von Betroffenenrechten unterstützt,

den Verantwortlichen bei der Gewährleistung der Sicherheit der Verarbeitung sowie den Melde- und Benachrichtigungspflichten bei Datenschutzverstößen unterstützt,

nach Erbringung der Verarbeitungsleistungen die personenbezogenen Daten löscht oder zurückgibt,

dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellt und Überprüfungen zulässt.

Was passiert mit bereits abgeschlossenen Verträgen zur Auftragsverarbeitung? Nach überwiegender Ansicht sind die in der Datenschutz-Grundverordnung festgelegten Mindestinhalte eines Vertrages Voraussetzung dafür, dass die Auftragsverarbeitung recht-mäßig erfolgt. Die Datenschutz-Grundverordnung enthält keine Übergangsregelungen für bestehende Verträge. Daher sind alle vorhandenen Verträge zur Auftragsdatenverarbeitung daraufhin zu überprü-fen, ob sie den Regelungen des Artikels 28 der Datenschutz-Grundverordnung entsprechen. Ist dies, nicht der Fall, ist eine Anpassung der Verträge erforderlich. Mustervertrag Ein Mustervertrag wird auf der Internetseite des Sächsischen Datenschutzbeauftragten zur Verfügung gestellt: [Link zu https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-oeffentliche-stellen ]] 9.3 Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters 9.3.1 Rechte und Pflichten des Verantwortlichen (bisher = Auftraggeber) Die Pflichten des Verantwortlichen bleiben im Vergleich zur bisherigen Rechtslage weitest-gehend gleich. Er hat auch im Rahmen der Auftragsverarbeitung die allgemeinen, in der Datenschutz-Grundverordnung festgelegten Pflichten zu erfüllen (wie z. B. die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung oder die Festlegung technischer und organisatorischer Maßnahmen für die Sicherheit der Verarbeitung nach Artikel 32 Datenschutz-Grundverordnung). Hinzu kommen insbesondere folgende spezielle Pflichten: Auswahl des Auftragsverarbeiters Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass die Verarbeitung der personenbezogenen Daten im Einklang mit der Datenschutz-Grundverordnung erfolgt (vgl. Artikel 28 Absatz 1 Datenschutz-Grundverordnung). Daher muss er den Auftragsverarbeiter sorgfältig auswählen. Fachwis-sen, Zuverlässigkeit und Ressourcen können Maßstäbe für die Auswahl sein. Als Nachweis ausreichender Garantien können genehmigte Verhaltensregeln, denen der Auftragsverarbei-ter unterliegt, oder Zertifizierungen herangezogen werden.

Seite 59 von 155

Kontrolle des Auftragsverarbeiters Aus den Anforderungen an die Auswahl des Auftragsverarbeiters ergibt sich auch, dass der Verantwortliche den Auftragsverarbeiter überwachen muss. Er muss sich wie bisher Gewiss-heit darüber verschaffen, dass der Auftragsverarbeiter alle technischen und organisatori-schen Maßnahmen einhält, die zum Schutz der betroffenen personenbezogenen Daten ge-troffen wurden. Neu ist, dass der Verantwortliche hierfür Verhaltensregeln oder Zertifizierun-gen heranziehen kann und nicht mehr zwingend eine Vorort-Kontrolle erfolgen muss (vgl. bisher § 7 Absatz 2 Satz 3 Sächsisches Datenschutzgesetz). Sofern dies nicht ausreichend erscheint oder keine Verhaltensregeln oder Zertifizierungen vorliegen, muss der Verantwort-liche die Kontrollen wie bisher durchführen, also insbesondere vor Ort gehen und die ge-troffenen technischen und organisatorischen Maßnahmen sowie deren Einhaltung überprü-fen. Erteilung dokumentierter Weisungen an den Auftragsverarbeiter Nach Artikel 29 Datenschutz-Grundverordnung verarbeitet der Auftragsverarbeiter die per-sonenbezogenen Daten auf Weisung des Verantwortlichen. Vertraglich zu regeln ist, dass die Verarbeitung nur auf der Grundlage dokumentierter Weisungen erfolgt. Damit besteht seitens des Verantwortlichen auch die Pflicht, die Weisungen in dokumentierbarer Form zu erteilen. Dies liegt auch im eigenen Interesse des Verantwortlichen. Insbesondere bei Da-tenschutzverstößen und daraus resultierenden Schadenersatzansprüchen betroffener Per-sonen kann es für die Schadensverteilung im Innenverhältnis zwischen Verantwortlichem und Auftragsverarbeiter auf den Wortlaut einer Weisung und darauf ankommen, ob sich der Auftragsverarbeiter an die Weisung gehalten hat oder nicht. 9.3.2 Rechte und Pflichten des Auftragsverarbeiters Die Datenschutz-Grundverordnung nimmt den Auftragsverarbeiter stärker in die Pflicht zur Einhaltung des Datenschutzrechts, als dies nach bisherigem Recht der Fall war. Sie begrün-det an mehreren Stellen selbständige datenschutzrechtliche Pflichten des Auftragsverarbei-ters. Zu nennen sind insbesondere

die Pflicht zum Führen eines Verfahrensverzeichnisses (vgl. Artikel 30 Absatz 2 Da-tenschutz-Grundverordnung),

die Pflicht zur Zusammenarbeit mit der Datenschutzaufsicht (vgl. Artikel 31 Daten-schutz-Grundverordnung),

das Ergreifen technischer und organisatorischer Maßnahmen der Datensicherheit (vgl. Artikel 32 Absatz 1 Datenschutz-Grundverordnung),

die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (vgl. Artikel 37 Absatz 1 Datenschutz-Grundverordnung) und

die Beschränkungen für den Datentransfer in Drittländer (vgl. Artikel 44 Datenschutz-Grundverordnung),

die Pflicht den Verantwortlichen zu informieren, wenn Weisungen nach Ansicht des Auftragsverarbeiters gegen die Datenschutz-Grundverordnung oder andere Daten-schutzbestimmungen verstoßen (vgl. Artikel 28 Absatz 3 Satz 3 Datenschutz-Grundverordnung),

die Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen (vgl. Arti-kel 33 Absatz 2 Datenschutz-Grundverordnung).

Möchte der Auftragsverarbeiter einen weiteren Auftragsverarbeiter in Anspruch nehmen, so darf er dies nur,

Seite 60 von 155

mit schriftlicher Genehmigung des Verantwortlichen (vgl. Artikel 28 Absatz 2 Daten-schutz-Grundverordnung) und

unter Vereinbarung der gleichen Datenschutzstandards, die zwischen dem Verant-wortlichen und ihm gelten.

Wenn ein Auftragsverarbeiter Mittel und Zweck der Verarbeitung entgegen der Datenschutz-Grundverordnung selbst bestimmt, gilt er als Verantwortlicher mit allen daraus erwachsen-den Rechten und Pflichten (vgl. Artikel 28 Absatz 10 Datenschutz-Grundverordnung). 9.4 Haftung des Verantwortlichen und des Auftragsverarbeiters Mit der Datenschutz-Grundverordnung ändert sich das bisherige Haftungsregime. Bisher hat nach § 23 Absatz 1 Sächsisches Datenschutzgesetz bei Datenschutzverstößen der Träger der öffentlichen Stelle, die einem Betroffenen einen Schaden zugefügt hat, hierfür gehaftet. Da der Auftragsverarbeiter quasi als verlängerter Arm der öffentlichen Stelle angesehen wurde, hatte der Träger der öffentlichen Stelle im Außenverhältnis auch für dessen Fehlver-halten einzustehen. Nunmehr bestimmt Artikel 82 Absatz 1 Datenschutz-Grundverordnung, dass eine betroffene Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter hat. Verantwortlicher und Auftragsverarbeiter haften für einen Schaden, für den sie mitverantwortlich sind, gegenüber der betroffenen Per-son in voller Höhe (Artikel 82 Absatz 4 Datenschutz-Grundverordnung). Im Innenverhältnis kann ein Ausgleich je nach der Höhe des Anteils an der Verantwortung für den verursachten Schaden geltend gemacht werden. Eine Haftung des Auftragsverarbei-ters entfällt, wenn er

den sich aus der Datenschutz-Grundverordnung ergebenden Pflichten nachgekom-men ist (z. B. ausreichend technisch-organisatorische Maßnahmen für die Datensi-cherheit vorgesehen hat) und

er entsprechend den rechtmäßig erteilten Weisungen des Verantwortlichen und nicht entgegen dieser Weisungen gehandelt hat.

Verantwortlicher oder Auftragsverarbeiter haften nicht, wenn sie nachweisen können, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwort-lich sind. 10. Sonstige Verarbeitungssituationen Im bisher geltenden Sächsischen Datenschutzgesetz wurden für verschiedene Verarbei-tungssituationen spezielle Regelungen getroffen, z. B. zur Auftragsdatenverarbeitung, Vi-deoüberwachung, Verarbeitung von Beschäftigtendaten oder zu automatisierten Abrufverfah-ren. Nicht alle dieser Regelungen finden sich im Sächsischen Datenschutzdurchführungsge-setz wieder. Da sich ein Teil dieser Verarbeitungssituationen auch unter Anwendung der Vorschriften der Datenschutz-Grundverordnung bewältigen lassen, wurde kein Bedarf mehr für diese Regelungen gesehen. Im Einzelnen sind die aus dem Sächsischen Datenschutzgesetz bekannten besonderen Verarbeitungssituationen nun wie folgt geregelt:

Seite 61 von 155

§ 7 Sächsisches Datenschutzgesetz – Auftragsdatenverarbeitung Die bisherige Regelung ist aufgehoben worden. Nun gilt insbesondere Artikel 28 Daten-schutz-Grundverordnung. Auf die Ausführungen zur Auftragsdatenverarbeitung hier [Link zu Auftragsdatenverarbeitung] im Themenportal wird verwiesen. § 8 Sächsisches Datenschutzgesetz – Automatisiertes Abrufverfahren Eine gesonderte Regelung zum automatisierten Abrufverfahren gibt es nicht mehr. Die Da-tenschutz-Grundverordnung ist technikneutral, sodass ihre allgemeinen datenschutzrechtli-chen Vorgaben auch für Abrufverfahren gelten. Lediglich die bisherige Verantwortlichkeit für die Rechtmäßigkeit eines Abrufes personenbe-zogener Daten ist in § 6 Absatz 2 des neuen Sächsischen Datenschutzdurchführungsgeset-zes geregelt worden. Dabei wurde an der bisherigen Ausgestaltung, wonach die abrufende Stelle die Verantwortung trägt, festgehalten. § 32 Sächsisches Datenschutzgesetz – Fernmessen und Fernwirken Die in § 32 Sächsisches Datenschutzgesetz geregelten Verarbeitungssituationen waren spe-zielle technische Verarbeitungen personenbezogener Daten. Da die Datenschutz-Grundverordnung technikneutral ist und einen umfassenden Verarbeitungsbegriff enthält, gelten für die hier relevanten Verarbeitungssituationen nun die allgemeinen Regelungen der Datenschutz-Grundverordnung, so insbesondere die Regelungen für die Zulässigkeit der Verarbeitung personenbezogener Daten nach Artikel 6 Datenschutz-Grundverordnung, die Einwilligung nach Artikel 7 Datenschutz-Grundverordnung oder die Informationspflichten nach Artikel 13 Datenschutz-Grundverordnung. § 33 Sächsisches Datenschutzgesetz – Videoüberwachung und Videoaufzeichnung Das Sächsische Datenschutzdurchführungsgesetz enthält mit § 13 eine Regelung zur Vi-deoüberwachung. Hierzu wird auf die speziellen Ausführungen zur Videoüberwachung hier [Link zu Videoüberwachung] im Themenportal verwiesen. § 34 Sächsisches Datenschutzgesetz – Automatisierte Einzelentscheidungen Die Vorschrift zu automatisierten Einzelentscheidungen ist entfallen. Hierzu enthält Artikel 22 der Datenschutz-Grundverordnung die nun anzuwendenden Regelungen. § 35 Sächsisches Datenschutzgesetz – Mobile personenbezogene Datenverarbeitungsme-dien Die Regelung ist entfallen. Es handelt sich um eine „normale“ Datenverarbeitung, weshalb nun die allgemeinen Regelungen der Datenschutz-Grundverordnung gelten, also insbeson-dere die Regelungen für die Zulässigkeit der Verarbeitung personenbezogener Daten nach Artikel 6 Datenschutz-Grundverordnung, die Einwilligung nach Artikel 7 Datenschutz-Grundverordnung oder die Informationspflichten nach Artikel 13 Datenschutz-Grundverordnung.

Seite 62 von 155

§ 36 Sächsisches Datenschutzgesetz – Verarbeitung personenbezogener Daten zu Zwecken der wissenschaftlichen Forschung Eine der bisherigen Norm entsprechende Regelung ist mit § 12 Sächsisches Datenschutz-durchführungsgesetz beibehalten worden. Hierzu wird auf die speziellen Ausführungen zur Verarbeitung für Forschungszwecke hier [Link zu Verarbeitung für Forschungs-, Archiv- und Statistikzwecke] im Themenportal verwiesen. § 37 Sächsisches Datenschutzgesetz – Schutz von Beschäftigtendaten im öffentlichen Dienst Mit § 11 Sächsisches Datenschutzdurchführungsgesetz ist eine der bisherigen Norm ent-sprechende Regelung beibehalten worden. Inhaltliche Änderungen haben sich dabei nicht ergeben. 10.1 Videoüberwachung Die Zulässigkeit der Videoüberwachung ist nun in § 13 Sächsisches Datenschutzdurchfüh-rungsgesetz geregelt. Wie der bisherige § 33 Sächsisches Datenschutzgesetz lässt auch § 13 Sächsisches Datenschutzdurchführungsgesetz die Videoüberwachung zur Wahrneh-mung einer im öffentlichen Interesse liegenden Aufgabe oder zur Wahrung des Haus-rechts zu. Unter dem Blickwinkel der Verhältnismäßigkeit ist – wie bisher - die im öffentli-chen Interesse liegende Aufgabe mit den schutzwürdigen Interessen der betroffenen Person abzuwägen. Die Videoüberwachung muss auch wie bisher dem Grundsatz der Transparenz entspre-chen, insbesondere sind die betroffenen Personen entsprechend zu informieren. Neu ist je-doch eine ausdrückliche Regelung in § 13 Sächsisches Datenschutzdurchführungsgesetz, wonach in der Information über die Videoüberwachung auch darauf hinzuweisen ist, wo die betroffene Person die weiteren Informationen nach Artikel 13 Datenschutz-Grundverordnung erhalten kann. Die bisherige Pflicht zur Vorabkontrolle nach § 10 Absatz 4 Nummer 3 Sächsisches Daten-schutzgesetz, sofern von der Videoüberwachung auch Beschäftigte betroffen sind, ist mit Inkrafttreten der Datenschutz-Grundverordnung entfallen. Die der bisherigen Vorabkontrolle ähnliche Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutz-Grundverordnung erhöht in Konstellationen, in denen die Datenverarbei-tung ein erhöhtes Eingriffspotential aufweist, den Schutz. Dem Wortlaut der Datenschutz-Grundverordnung kann entnommen werden, dass die Notwendigkeit einer Datenschutz-Folgenabschätzung zwar nicht generell bei jeder Videoüberwachung erforderlich ist, jedoch dann, wenn eine „systematische“ und „umfangreiche“ Überwachung stattfindet. Diese Begrif-fe lassen einen erheblichen Interpretationsspielraum zu. Gemäß Artikel 35 Absatz 4 der Da-tenschutz-Grundverordnung ist es Aufgabe der jeweiligen Aufsichtsbehörden, eine Liste mit Datenverarbeitungsprozessen zu erstellen, die einer Datenschutz-Folgenabschätzung un-terworfen werden müssen. Denkbar ist, dass hier die Begriffe „systematisch“ und „umfang-reich“ in einer Form ausgelegt werden, die dazu führt, dass faktisch jede Videoüberwachung einer besonderen Kontrolle unterliegt. Insofern kann an dieser Stelle noch keine verbind-liche Aussage darüber getroffen werden, ob bei jeder Videoüberwachung eine Daten-schutz-Folgenabschätzung durchgeführt werden muss. Jede öffentliche Stelle, die Videoüberwachung einsetzt, muss auch schon heute im Verfah-rensverzeichnis die Prüfung der Zulässigkeit dokumentiert haben (§ 10 Absatz 1 Sächsi-sches Datenschutzgesetz). In dem nach der Datenschutz-Grundverordnung zu erstellenden

Seite 63 von 155

Verarbeitungsverzeichnis nach Artikel 30 der Datenschutz-Grundverordnung ist die Video-überwachung ebenfalls auszuweisen. Was ist zu tun?

Bestehende Dokumentationen zur Videoüberwachung überprüfen (insbesondere Ver-fahrensverzeichnis) und ggf. anpassen

Hinweisschilder überprüfen und ggf. anpassen, evt. Verweis auf Homepage der öf-fentlichen Stelle, auf der dann die Informationen nach Artikel 13 Datenschutz-Grundverordnung zu finden sind (ein Muster eines Hinweisschildes finden Sie hier [Muster eines Hinweisschildes, Anlage 8).

Homepage mit den Informationen nach Artikel 13 Datenschutz-Grundverordnung ein-richten

bestehende Dienstvereinbarungen zur Videoüberwachung überprüfen und ggf. an-passen

10.2 Verarbeitung für Forschungs-, Archiv- und Statistikzwecke 10.2.1 Vorgaben der Datenschutz-Grundverordnung Die Datenschutz-Grundverordnung spricht die Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen For-schungszwecken oder zu statistischen Zwecken in unterschiedlichen Zusammenhängen an. Die Regelungen zeigen, dass diese Forschungs-, Archiv- und Statistikzwecke gegenüber anderen Verarbeitungszwecken privilegiert werden, wenn bestimmte Rahmenbedingungen eingehalten werden. Im Einzelnen sind folgende zentrale Vorgaben der Datenschutz-Grundverordnung zu nen-nen: Geeignete Garantien für die Rechte und Freiheiten betroffener Personen Artikel 89 Absatz 1 Datenschutz-Grundverordnung verlangt für die Verarbeitung personen-bezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken geeignete Garantien für die Rechte und Freiheiten der betroffenen Person. Technische und organisatorische Maß-nahmen sollen insbesondere die Einhaltung des Grundsatzes der Datenminimierung sicher-stellen. Die Vorschrift greift damit noch einmal ohnehin geltende allgemeine Vorgaben der Daten-schutz-Grundverordnung auf. So ist der Grundsatz der Datenminimierung bereits in Artikel 5 Absatz 1 Buchstabe c Datenschutz-Grundverordnung enthalten. Technische und organisato-rische Maßnahmen sind durch den Verantwortlichen nach Artikel 25 Absatz 1 Datenschutz-Grundverordnung zu treffen. Eine nähere Ausgestaltung der Maßnahmen ergibt sich aus Artikel 32 Absatz 1 Datenschutz-Grundverordnung, in dem auch die Pseudonymisierung an-gesprochen wird. Die Zwecke, für die geeignete Garantien getroffen werden sollen (z. B. die Datenminimie-rung), werden in Artikel 89 Absatz 1 der Datenschutz-Grundverordnung nicht abschließend aufgeführt. Auch die weiteren allgemeinen Verarbeitungsgrundsätze nach Artikel 5 Daten-schutz-Grundverordnung, wie beispielsweise die Vertraulichkeit und Integrität der Daten, sind daher zu beachten.

Seite 64 von 155

Artikel 89 Absatz 1 Datenschutz-Grundverordnung stellt daher noch einmal klar, dass die allgemeinen Vorgaben der Datenschutz-Grundverordnung auch bei der Verarbeitung zu den privilegierten Zwecken gelten. Der Grundsatz der Datenminimierung und die Pseudonymisie-rung von Daten werden noch einmal betont, ohne dass damit aber die anderen Verarbei-tungsgrundsätze und technisch-organisatorischen Maßnahmen außer Acht gelassen werden dürfen. Zweckänderung Artikel 5 Absatz 1 Buchstabe b Datenschutz-Grundverordnung durchbricht für die Weiterver-arbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke den Grund-satz der Zweckbindung. Eine Weiterverarbeitung personenbezogener Daten für diese Zwe-cke gilt nicht als unvereinbar mit dem ursprünglichen Zweck. Allerdings ist diese Lockerung des Zweckbindungsgrundsatzes nicht schrankenlos. Insbe-sondere ist Artikel 89 Absatz 1 Satz 4 Datenschutz-Grundverordnung zu beachten. Eine Weiterverarbeitung personenbezogener Daten zu den genannten Zwecken ist nur dann zu-lässig, wenn der Verantwortliche zuvor geprüft und ausgeschlossen hat, dass die privilegier-ten Zielsetzungen auch mit anonymisierten Daten zu erreichen sind. Speicherung Die in Artikel 5 Absatz 1 Buchstabe e Datenschutz-Grundverordnung normierte Speicherbe-grenzung sieht vor, dass personenbezogene Daten nur in einer Form gespeichert werden dürfen, die die Identifizierung der Person nur solange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Personenbezogene Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwe-cke dürfen dagegen länger gespeichert werden. Betroffenenrechte Die in der Datenschutz-Grundverordnung angelegte Privilegierung der Verarbeitung perso-nenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke wird auch dadurch deutlich, dass die Datenschutz-Grundverordnung – ohne dass es hierfür einer Regelung im Bundes- oder Landesrecht bedarf – Betroffenenrechte einschränkt. Zu nennen sind folgende Vorschriften:

Artikel 14 Absatz 5 Buchstabe b Datenschutz-Grundverordnung: Einschränkung der Informationspflicht bei der Erhebung personenbezogener Daten bei einem Dritten und bei Weiterverarbeitung dieser Daten;

Artikel 17 Absatz 3 Buchstabe d Datenschutz-Grundverordnung: Einschränkung des Rechts auf Löschung personenbezogener Daten.

Daneben lässt Artikel 89 Absatz 2 und 3 Datenschutz-Grundverordnung weitere Ausnahmen von den Betroffenenrechten zu. Hierfür müssen jedoch landesrechtliche Regelungen getrof-fen werden. Inwieweit der sächsische Gesetzgeber derartige Regelungen erlassen hat, wird in nachfolgender Darstellung der Ergänzungen durch landesrechtliche Regelungen ausge-führt.

Seite 65 von 155

10.2.2 Ergänzungen durch landesrechtliche Regelungen Die Datenschutz-Grundverordnung eröffnet dem Landesgesetzgeber die Möglichkeit, spezi-elle Regelungen für die Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken beizubehalten oder neu aufzunehmen. In den landesrechtlichen Re-gelungen des Freistaates Sachsen wurden folgende Änderungen vorgenommen: Archivwesen Die bisher geltenden Vorschriften betreffend die Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken werden beibehalten. Daher sind in das Gesetz zur Anpassung landesrechtlicher Vorschriften an die Datenschutz-Grundverordnung entsprechende Anpassungen an die Datenschutz-Grundverordnung aufgenommen worden. Zu verweisen ist zum einen auf § 7 Sächsisches Datenschutzdurchführungsgesetz. Dieser stellt klar, dass – wie auch bisher – die Anbietungspflicht von Unterlagen gegenüber dem Sächsischen Staatsarchiv oder anderen Archiven öffentlicher Stellen (vgl. Dritter Abschnitt des Archivgesetzes für den Freistaat Sachsen) datenschutzrechtlichen Pflichten zur Lö-schung, Vernichtung oder Einschränkung der Verarbeitung vorgeht. Die Vorschrift steht in-soweit auch im Einklang mit § 5 Absatz 2 Sächsisches Archivgesetz. Zum anderen ist mit Artikel 25 des Gesetzes zur Anpassung landesrechtlicher Vorschriften an die Datenschutz-Grundverordnung eine Anpassung auch der sonstigen archivrechtlichen Vorschriften an die Datenschutz-Grundverordnung vorgenommen worden, wobei sich mate-riell-rechtlich keine Änderungen ergeben. Insbesondere wird auch die bisherige Einschrän-kung der Betroffenenrechte beibehalten. Forschung Allgemeine Regelungen für die Verarbeitung personenbezogener Daten zu Forschungszwe-cken waren bereits in § 36 des Sächsischen Datenschutzgesetzes enthalten. Diese Vor-schrift wird mit § 12 des Sächsischen Datenschutzdurchführungsgesetzes im Wesentlichen beibehalten. Enthalten ist außerdem eine Einschränkung der Betroffenenrechte. Die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und Widerspruch bestehen nicht, wenn durch ihre Geltendmachung der spezifische Forschungszweck unmöglich gemacht oder ernsthaft beeinträchtigt würde. Statistik Die Vorgaben zur Verarbeitung personenbezogener Daten zu statistischen Zwecken sind ebenfalls nicht grundlegend geändert worden. Die Vorschriften des Sächsischen Statistikge-setzes wurden jedoch an die Regelungen der Datenschutz-Grundverordnung angepasst (vgl. Artikel 26 des Gesetzes zur Anpassung landesrechtlicher Vorschriften an die Datenschutz-Grundverordnung). Neu ist eine Einschränkung von Betroffenenrechten, vgl. § 20 Absatz 2 des Sächsischen Statistikgesetzes. Zu beachten ist darüber hinaus, dass der für eine Statistik zu Befragende zum einen über die in § 20 Absatz 1 des Sächsischen Statistikgesetzes angeführten Aspekte zu unterrichten ist. Zum anderen muss aber auch der Informationspflicht nach Artikel 13 Da-tenschutz-Grundverordnung nachgekommen werden.

Seite 66 von 155

10.3 Gemeinsam Verantwortliche Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung fest, sind sie nach Artikel 26 Absatz 1 Datenschutz-Grundverordnung gemeinsam Verant-wortliche. Diese werden auch Joint Controller genannt. Artikel 26 Datenschutz-Grundverordnung ist weder eine Rechtsgrundlage für eine Verarbeitung durch mehrere Ver-antwortliche, noch braucht es eine Rechtsgrundlage dafür, dass sich mehrere Verantwortli-che zusammenschließen. Wichtig ist jedoch, dass jeder der Verantwortlichen, der im Rah-men der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, für diese Verarbeitung eine eigene Rechtsgrundlage hat. Ein praktischer Anwendungsfall können zum Beispiel E-Government-Portale sein, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen. Der Betreiber des Portals und die jeweilige Behörde können je nach Ausgestaltung gemeinsam Verantwortliche sein, so z. B., wenn der Portalbetreiber die Anfragen der Bürger an die zuständige Behörde weiterleitet und die Dokumente mit perso-nenbezogenen Daten, die im Portal aufbewahrt werden, zu anderen Zwecken (z. B. zur Un-terstützung von elektronischen Behördendiensten) verarbeitet. Zwischen den Verantwortlichen muss insbesondere eine Absprache darüber getroffen wer-den, zu welchem Zweck die gemeinsame Verarbeitung personenbezogener Daten stattfin-den soll und durch welche Technik und Methoden die personenbezogenen Daten verarbeitet werden sollen. Die Vereinbarung muss dabei in transparenter Form festlegen, wer welche Verpflichtungen nach der Datenschutz-Grundverordnung erfüllt. Regelungsgegenstand der Vereinbarung sollten folgende Pflichten der Datenschutz-Grundverordnung sein:

- Festlegung des Zwecks und der Mittel der Datenverarbeitung - Festlegung der Art der personenbezogenen Daten - Artikel 26 Absatz 1: Festlegung in einer Vereinbarung in transparenter Form, wer

welche Verpflichtung gemäß dieser Verordnung erfüllt. Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortli-chen gegenüber betroffenen Personen gebührend widerspiegeln

- Artikel 26 Absatz 1 optional: Angabe einer Anlaufstelle für die betroffenen Personen. - Artikel 26 Absatz 2: Das Wesentliche der Vereinbarung wird dem Betroffenen zur Ver-

fügung gestellt - Artikel 27: Schriftliche Benennung eines Vertreters in der EU, falls ein Verantwortli-

cher nicht in der Union niedergelassen ist - Artikel 13: Informationspflicht bei Erhebung personenbezogener Daten - Artikel 14: Informationspflicht, wenn Daten nicht bei der betroffenen Person erhoben

wurden - Artikel 15: Bearbeitung von Auskunftsverlangen - Artikel 16: Bearbeitung von Berichtigungsanfragen - Artikel 17 oder 18: Bearbeitungen von Löschbegehren oder Beschränkung der Verar-

beitung und Artikel 19 Mitteilung der Löschpflicht - Artikel 20: Abwicklung von Herausgabeverlangen (Datenportabilität) - Artikel 21: Bearbeitung von Widersprüchen - Artikel 24 Absatz 1 i.V. m. Artikel 32: Festlegung der techn.-org. Maßnahmen nach

Risikoabschätzung und ggf. Datenschutzfolgeabschätzung (Artikel 35) und Konsulta-tion einer Aufsichtsbehörde/ Übermittlung der notwendigen Informationen (Artikel 36 Absatz 3)

- Artikel 24 Absatz 1: Dokumentation der Auswahl der technischen und organisatori-schen Maßnahmen (als Nachweis)

- Artikel 24 Absatz 1: Überprüfung und Aktualisierung der Maßnahmen - Artikel 28: Einschaltung von Auftragsverarbeitern bzw. Unterauftragsverarbeitern und

deren Überprüfung

Seite 67 von 155

- Artikel 30: Führung des Verzeichnisses der Verarbeitungstätigkeiten - Artikel 33, 34: Prozess bei meldepflichtigen Datenpannen - Artikel 37: Benennung eines Datenschutzbeauftragten

Die Datenschutzkonferenz hat in Bezug auf Gemeinsam Verantwortliche ein Kurzpapier ver-öffentlicht. [Link zum Kurzpapier der DSK]. 11. Anpassung von Verwaltungsvorschriften, Satzungen, Dienstvereinbarungen etc.

Die unmittelbare Geltung der Datenschutz-Grundverordnung führt dazu, dass sie als europä-isches und damit höherrangiges Recht nationalen Rechts- und Verwaltungsvorschriften, Staatsverträgen oder Kollektivvereinbarungen vorgeht. Das hat zur Folge, dass alle Rege-lungen, die nicht mit der Datenschutz-Grundverordnung vereinbar sind, nicht mehr ange-wendet werden dürfen. Daraus ergibt sich die Erforderlichkeit, alle genannten Regelungen dahingehend zu überprüfen, ob sie die Vorgaben der Datenschutz-Grundverordnung erfül-len. Ggf. sind Vorschriften aufzuheben oder an die Datenschutz-Grundverordnung anzupas-sen. Dieser Anpassungsprozess ist noch nicht abgeschlossen, auch wenn bereits Gesetze und Verordnungen auf Bundes- und Landesebene novelliert wurden. Für noch anzupassende datenschutzrechtliche Vorschriften ist eine Prüfung dahingehend erforderlich, ob sie Bezug-nahmen auf das Sächsische Datenschutzgesetz oder ggf. andere geänderte oder sich in einem Änderungsverfahren befindliche datenschutzrechtliche Vorschriften enthalten. Auch insofern sollte eine Anpassung der Regelungen erfolgen. Folgendes Vorgehen wird empfohlen: erster Schritt: Normenscreening In einem ersten Schritt sollten im eigenen Zuständigkeitsbereich die Regelungen identifiziert werden, die

dem Anwendungsbereich der Datenschutz-Grundverordnung unterfallen und

Anforderungen an die Verarbeitung personenbezogener Daten enthalten oder auf entsprechende Vorschriften Bezug nehmen oder Regelungen zu Betroffenenrechten treffen.

Allgemeine Ausführungen zum Anwendungsbereich der Datenschutz-Grundverordnung fin-den Sie hier [Link zur Seite „Datenschutz-Grundverordnung“]. Beispiele für im Rahmen des Normenscreenings zu identifizierende Regelungen sind in folgender Übersicht [Link auf Do-kument zu Regelungen, die Anforderungen an die Verarbeitung personenbezogener Daten enthalten, Anlage 9] zusammengestellt. zweiter Schritt: Konformitätsprüfung Alle im Normenscreening identifizierten Regelungen sind daraufhin zu überprüfen, ob sie mit den Vorgaben der Datenschutz-Grundverordnung vereinbar sind. Hierfür sollten zunächst die Vorschriften der Datenschutz-Grundverordnung ermittelt werden, die mit den betroffenen Regelungen korrespondieren. Wiederholungsverbot

Seite 68 von 155

Danach ist zu prüfen, ob die betroffenen Regelungen dem Wortlaut oder vollinhaltlich der korrespondierenden Vorschrift der Datenschutz-Grundverordnung entsprechen. Wenn dies der Fall ist, ist das europarechtliche Wiederholungsverbot zu beachten. Das europarechtliche Wiederholungsverbot wurde in der Rechtsprechung des EuGH entwi-ckelt. Es soll verhindern, dass die unmittelbare Geltung einer Verordnung verschleiert wird, indem durch die Wiederholung von Verordnungsnormen der Anschein erweckt wird, dass der Landesgesetzgeber Urheber des Rechtsaktes ist. Nach Erwägungsgrund 8 der Datenschutz-Grundverordnung sind Abweichungen vom Wiederholungsverbot daher nur in engen Gren-zen zulässig. Eine Wiederholung von Verordnungsbestimmungen in nationalen Rechtsvor-schriften kommt nur dann in Betracht, wenn sie die Möglichkeit nationaler Präzisierungen oder Einschränkungen einräumen und damit im sachlichen Zusammenhang stehen, und so-weit sie erforderlich sind, um den inhaltlichen Zusammenhang zu wahren und die nationalen Vorschriften für die Personen, für die sie gelten, verständlicher zu machen. Werden Regelungen identifiziert, die dem Wortlaut oder vollinhaltlich der Datenschutz-Grundverordnung entsprechen, ist daher zu prüfen, ob sie unter Berücksichtigung o. a. Krite-rien ausnahmsweise beibehalten werden können. Ist dies nicht der Fall, sind sie zu strei-chen. Hier ein Beispiel: Die Regelung in § 4 Absatz 1 Sächsisches Datenschutzgesetz wurde aufgrund des Wieder-holungsverbotes gestrichen. Die Vorschrift lautet: „Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn 1. dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder 2. soweit der Betroffene eingewilligt hat.“ Diese Vorschrift entspricht den Regelungen in Artikel 6 Datenschutz-Grundverordnung. Nach Artikel 6 Absatz 1 Buchstabe a Datenschutz-Grundverordnung ist eine Verarbeitung mit Ein-willigung der betroffenen Person rechtmäßig. Die Zulässigkeit der Verarbeitung aufgrund eines Gesetzes oder einer Rechtsvorschrift ergibt sich aus Artikel 6 Absatz 1 Buchstabe c und e in Verbindung mit Absatz 3 Satz 1 Datenschutz-Grundverordnung. Materiell-rechtliche Prüfung Die verbleibenden Regelungen sind daraufhin zu kontrollieren, ob ihr materiell-rechtlicher Regelungsgehalt von dem der korrespondierenden Norm der Datenschutz-Grundverordnung abweicht. Ist dies der Fall, ist zu prüfen, ob eine Öffnungsklausel greift. Die Regelung muss den Voraussetzungen der Öffnungsklausel entsprechen, ggf. ist die betroffene Regelung anzupassen. Wenn keine Öffnungsklausel vorhanden ist oder die Norm nicht an die Vorga-ben einer Öffnungsklausel angepasst werden kann, ist die Norm zu streichen. Die wesentlichen Öffnungsklauseln und kurze Erläuterungen zu den Regelungsspielräumen finden Sie hier [Link zu Dokument zu Öffnungsklauseln und Regelungsspielräume, Anlage 10]. dritter Schritt: Ermittlung sonstigen Änderungsbedarfs Da die Datenschutz-Grundverordnung innerhalb ihrer Öffnungsklauseln Regelungsspielräu-me belässt, sollte auch geprüft werden, ob es erforderlich ist, von diesen unabhängig von bereits bestehenden Regelungen Gebrauch zu machen. So kann es beispielsweise sinnvoll sein zu prüfen, ob Abweichungen von dem Verbot des Artikels 9 Absatz 1 Datenschutz-

Seite 69 von 155

Grundverordnung, besondere Kategorien personenbezogener Daten zu verarbeiten, erfor-derlich sind. Sollte dies der Fall sein, wären die Vorgaben des Artikels 9 Absatz 2 Daten-schutz-Grundverordnung zu beachten. Ein weiterer Änderungsbedarf kann sich dadurch ergeben, dass eine Angleichung an die Begriffsbestimmungen in Artikel 4 Datenschutz-Grundverordnung zur Vermeidung von sys-tematischen Brüchen erforderlich ist. Eine Zusammenstellung der wesentlichen Änderungen der Begrifflichkeiten finden Sie hier [Link zu Dokument geänderte Begriffe in der Daten-schutz-Grundverordnung, Anlage 11]. Darüber hinaus wird sich in vielen Fällen ein Änderungsbedarf nicht unmittelbar durch den Regelungsgehalt der Datenschutz-Grundverordnung ergeben, sondern z. B. durch überholte Bezugnahmen auf das allgemeine Datenschutzrecht oder sonstige datenschutzrechtliche Regelungen. Diese Bezugnahmen sollten ebenfalls angepasst werden. Teilweise wird dabei neu eine Bezugnahme auf die entsprechenden Vorschriften der Datenschutz-Grundverordnung in Betracht kommen. vierter Schritt: Erarbeitung der geänderten oder neuen Regelung/ Streichen von Regelungen Auf der Grundlage des in den Schritten zwei und drei ermittelten Anpassungsbedarfs sind die neuen bzw. geänderten Vorschriften zu erarbeiten oder Regelungen zu streichen. IV. Datenschutzaufsicht Der Sächsische Datenschutzbeauftragte ist Aufsichtsbehörde im Sinne des Artikels 51 Ab-satz 1 der Datenschutz-Grundverordnung. Dies ergibt sich im Hinblick auf die sächsischen nicht-öffentlichen Stellen (z. B. Unternehmen, Vereine, Arztpraxen oder Internetanbieter) aus § 40 des Bundesdatenschutzgesetzes i. V. m. § 14 Absatz 2 des Sächsischen Datenschutz-durchführungsgesetzes und im Hinblick auf die öffentlichen Stellen aus § 14 Absatz 1 des Sächsischen Datenschutzdurchführungsgesetzes. Er kontrolliert und berät die öffentlichen und nicht-öffentlichen Stellen im Freistaat Sachsen hinsichtlich der Einhaltung der daten-schutzrechtlichen Regelungen. Der Sächsische Datenschutzbeauftragte nimmt seine Aufgaben unabhängig wahr. Er handelt weisungsfrei und ist nur dem Gesetz unterworfen. Nach § 15 Sächsisches Datenschutz-durchführungsgesetz ist er eine oberste Staatsbehörde mit Dienstsitz in Dresden. Jährlich berichtet er gegenüber dem Landtag in einem Tätigkeitsbericht über seine Arbeit. Im öffentlichen Bereich, z. B. bei Staatsbehörden, dürfen der Sächsische Datenschutzbeauf-tragte und seine Mitarbeiter nach § 19 Sächsisches Datenschutzdurchführungsgesetz wie bisher jederzeit Diensträume betreten; auch muss ihnen wie bisher Zugang zu allen Daten-verarbeitungsanlagen und -geräten gewährt werden. Außerdem darf der Sächsische Daten-schutzbeauftragte, wenn er einen strafbewehrten Verstoß gegen eine Vorschrift über den Datenschutz festgestellt hat, diesen wie bisher bei der zuständigen Behörde anzeigen. Schließlich ist er nach § 22 Absatz 3 Sächsisches Datenschutzdurchführungsgesetz wie bis-her die nach § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten zur Ahn-dung von datenschutzrechtlichen Ordnungswidrigkeiten sachlich zuständige Verwaltungsbe-hörde. Die Tätigkeitsberichte des Sächsischen Datenschutzbeauftragten sowie weitere Informatio-nen zu seiner Behörde, seiner Arbeit und zu datenschutzrechtlichen Fragen finden Sie hier [link zum Internetauftritt des Sächsischen Datenschutzbeauftragten].

Seite 70 von 155

V. Glossar Aufsichtsbehörde Jeder Mitgliedsstaat muss über eine Aufsichtsbehörde

(eine oder mehrere öffentliche Organe) verfügen, welche

die Anwendung dieser Verordnung überwacht. Im Frei-

staat Sachsen nimmt der Sächsische Datenschutzbeauf-

tragte diese Aufgabe wahr.

Auftragsverarbeiter Begriff nach Artikel 4 Nummer 8 Datenschutz-

Grundverordnung, entspricht dem bisherigen Auftrag-

nehmer einer Auftragsdatenverarbeitung nach § 7 Säch-

sisches Datenschutzgesetz, ist eine natürliche oder juris-

tische Person, Behörde, Agentur oder andere Körper-

schaft, die im Auftrag des Verantwortlichen Daten verar-

beitet.

Beschäftigtendaten Auch die Daten von Beschäftigten sind personenbezo-

gene Daten. Die Verarbeitung von Beschäftigtendaten ist

in § 11 Sächsisches Datenschutzdurchführungsgesetz

geregelt.

betroffene Person Begriff nach Artikel 4 Nummer 1 Datenschutz-

Grundverordnung, entspricht dem bisherigen „Betroffe-

nen“ im Sinne von § 3 Absatz 1 Sächsisches Daten-

schutzgesetz

Dateisystem Begriff nach Artikel 4 Nummer 6 Datenschutz-

Grundverordnung, entspricht dem bisherigen Dateibegriff

gemäß § 3 Absatz 7 Sächsisches Datenschutzgesetz

Daten von Kindern Daten von Kindern unter 16 Jahren dürfen nur verarbeitet

werden, wenn das Einverständnis eines Erziehungsbe-

rechtigten vorliegt. (Artikel 8 Absatz 1 Datenschutz-

Grundverordnung).

Datenschutzbeauftragter Der Verantwortliche muss sicherstellen, dass der Daten-

schutzbeauftragte bei allen mit dem Schutz persönlicher

Daten zusammenhängenden Problemen korrekt und

zeitnah hinzugezogen wird. Betroffene Personen können

sich mit Fragen zur Verarbeitung ihrer Daten sowie um

die ihnen durch die Verordnung eingeräumten Rechte

auszuüben, direkt an den Datenschutzbeauftragten wen-

den. Die Kernaufgabe des Datenschutzbeauftragten liegt

darin, die Einhaltung der Vorgaben der Datenschutz-

Grundverordnung zu überwachen und den Aufsichtsbe-

hörden als Ansprechpartner zu dienen.

Datenschutz durch Technikge-

staltung (Privacy by Design, Pri-

vacy by Default)

Diese Grundsätze verpflichten die Verantwortlichen zu

Datenschutz durch Technikgestaltung bzw. durch daten-

schutzfreundliche Voreinstellungen, in dem sie geeignete

technische und organisatorische Maßnahmen treffen, die

dafür ausgelegt sind, die Datenschutzgrundsätze wirk-

sam umzusetzen und die sicherstellen, dass durch Vor-

Seite 71 von 155

einstellung grundsätzlich nur personenbezogene Daten,

deren Verarbeitung für den jeweiligen bestimmten Verar-

beitungszweck erforderlich sind, verarbeitet werden (Arti-

kel 25 Absatz 1 und 2 Datenschutz-Grundverordnung).

Datenschutz- Folgenabschät-

zung

Die Datenschutz-Grundverordnung sieht vor, dass der

Verantwortliche bei erhöhtem Datenschutzrisiko eine

Datenschutz-Folgeeinschätzung durchführt, um die Risi-

ken für die betroffene Person zu minimieren (Artikel 35

Absatz 1 Datenschutz-Grundverordnung). Im Wesentli-

chen entspricht die Datenschutz-Folgenabschätzung der

bisherigen datenschutzrechtlichen Vorabkontrolle gemäß

§ 10 Absatz 4 Sächsisches Datenschutzgesetz, die ent-

fallen ist.

Datenschutzverletzung Ein Sicherheitsproblem, das versehentlich oder gesetz-

widrig zur Zerstörung, zum Verlust, zur Änderung oder

zur nicht autorisierten Offenlegung von gespeicherten,

übermittelten oder anderweitig verarbeiteten persönli-

chen Daten führt oder den Zugriff auf sie ermöglicht.

Datenübertragung Eine Übertragung persönlicher Daten in ein Drittland o-

der an eine internationale Organisation sind statthaft,

wenn die Kommission bestimmt hat, dass das betreffen-

de Land, die Region oder anders spezifizierte Bereiche

des Drittlandes bzw. die internationale Organisation ein

angemessenes Datenschutzniveau sicherstellen können.

Eine solche Übertragung erfordert keine besondere Ge-

nehmigung.

Dritter Eine natürliche oder juristische Person, Behörde, Einrich-

tung oder andere Stelle, außer der betroffenen Person,

dem Verantwortlichen, dem Auftragsverarbeiter und den

Personen, die unter der unmittelbaren Verantwortung

des Verantwortlichen oder des Auftragsverarbeiters be-

fugt sind, die personenbezogenen Daten zu verarbeiten

(Artikel 4 Nummer 10 Datenschutz-Grundverordnung)

Einschränkung der Verarbeitung Begriff nach Artikel 4 Nummer 3 Datenschutz-

Grundverordnung, entspricht dem bisherigen Sperren

von Daten gemäß § 3 Absatz 2 Satz 2 Nummer 7 Säch-

sisches Datenschutzgesetz

Einwilligung Ein aus freien Stücken von der betroffenen Person ge-

gebener, spezifischer, eindeutiger und auf entsprechen-

den Informationen basierender Hinweis (eine Aussage

oder eine als solche zu wertende Handlung), dass die

Person der Verarbeitung ihrer persönlichen Daten zu-

stimmt. (Artikel 4 Nummer 11 Datenschutz-

Grundverordnung)

Empfänger Ist eine natürliche oder juristische Person, Behörde, Ein-

richtung oder andere Stelle, der personenbezogene Da-

Seite 72 von 155

ten offengelegt werden, unabhängig davon, ob es sich

bei ihr um einen Dritten handelt oder nicht (Artikel 4

Nummer 9 Datenschutz-Grundverordnung). Damit wird

deutlich, dass insbesondere der Auftragsverarbeiter –

und nicht (nur) der ihn beauftragende Verantwortliche –

nun auch ein Empfänger von Daten ist.

Minimierung (Datenminimie-

rung)

Die erfassten persönlichen Daten sollen adäquat, rele-

vant und auf das für den vorgesehenen Verarbeitungs-

zweck absolut notwendige Minimum beschränkt werden.

(Artikel 5 Absatz 1 Buchstabe c Datenschutz-

Grundverordnung)

öffentliche Stelle Öffentliche Stellen sind zum einen die Behörden des

Freistaates Sachsen, der Gemeinden und der Landkrei-

se. Zum anderen sind auch sonstige öffentliche Stellen

des Freistaates Sachsen, der Gemeinden und Landkrei-

se erfasst. Hierzu gehören insbesondere rechtlich un-

selbständige Eigenbetriebe wie beispielsweise gemeind-

liche Wasserwerke oder vom Landkreis betriebene Kran-

kenhäuser.

Darüber hinaus sind die der sonstigen Aufsicht des Frei-

staates Sachsen unterstehenden juristischen Personen

des öffentlichen Rechts als öffentliche Stellen anzuse-

hen. Dies sind beispielsweise Körperschaften, Anstalten

oder Stiftungen des öffentlichen Rechts, Hochschulen

oder Kammern.

personenbezogene Daten Alle Daten, die sich auf eine bekannte oder identifizierba-

re natürliche Person (Betroffene Person) beziehen. Unter

einer identifizierbaren natürlichen Person versteht man

ein Individuum, das direkt oder indirekt identifiziert wer-

den kann. Das gilt vor allem mit Blick auf Kennungs-

merkmale wie Namen, Identifikationsnummern,

Standortdaten und Online-IDs sowie einen oder mehrere

Faktoren, die sich auf die physische, psychologische,

genetische, mentale, wirtschaftliche, kulturelle oder sozi-

ale Identität dieser natürlichen Person beziehen. (Artikel

4 Nummer 1 Datenschutz-Grundverordnung). Die Ver-

ordnung gilt nicht für die personenbezogenen Daten

Verstorbener (Erwägungsgrund 27).

Pseudonymisierung Ist die Verarbeitung personenbezogener Daten in einer

Weise, dass die personenbezogenen Daten nicht mehr

ohne zusätzliche, gesondert aufbewahrte und gegen

Zugriff gesicherte Informationen einer bestimmten oder

bestimmbaren Person zugeordnet werden können. (Arti-

kel 4 Nummer 5 Datenschutz-Grundverordnung)

Recht auf Auskunft Die betroffene Person hat das Recht, vom Verantwortli-

chen Auskunft darüber zu erhalten, ob ihre persönlichen

Daten verarbeitet werden und, so das der Fall ist, Zugriff

Seite 73 von 155

auf diese sowie weitere Informationen nach Artikel 15

Absatz 1 Datenschutz-Grundverordnung zu erhalten.

Recht auf Berichtigung Die betroffene Person hat das Recht, vom Datenverant-

wortlichen die Berichtigung seiner inkorrekten persönli-

chen Daten zu verlangen (Artikel 16 Datenschutz-

Grundverordnung), entspricht im Wesentlichen dem bis-

herigen Recht nach § 19 Sächsisches Datenschutzge-

setz.

Recht auf Löschung/

Recht auf Vergessenwerden

Recht nach Artikel 17 Absatz 1 Datenschutz-Grundverordnung. Es gibt keine wesentlichen Änderun-gen im Vergleich zum bisherigen § 20 Sächsisches Da-tenschutzgesetz. Die wichtigsten Fallgruppen, in denen die Löschung von Daten verlangt werden kann, bleiben erhalten. Der Datenverantwortliche ist dann verpflichtet, diese ebenfalls ohne unangemessene Verzögerung zu löschen. Hat ein Verantwortlicher, der nach Artikel 17 Absatz 1 Datenschutz-Grundverordnung zur Löschung von personenbezogenen Daten verpflichtet ist, diese Daten zuvor öffentlich gemacht, so muss er die anderen Verantwortlichen ermitteln und informieren.

Sensitive Daten oder besondere

Datenkategorien

Die Verarbeitung persönlicher Daten, die Aufschluss

über ethnische Herkunft, politische Ansichten, religiösen

oder philosophischen Glauben oder die Mitgliedschaft in

Gewerkschaften geben, bzw. die Verarbeitung geneti-

scher und biometrischer Daten sowie von Daten, die

Aufschluss über die Gesundheit, das Sexualleben und

die sexuelle Orientierung der Person geben, ist grund-

sätzlich untersagt. Ausnahmen sind insbesondere zuläs-

sig, wenn die betroffene Person ihre ausdrückliche Ein-

willigung erteilt hat oder wenn die Verarbeitung zum

Schutz lebenswichtiger Interesse der betroffenen Person

erforderlich ist. Ausnahmen können außerdem durch

Rechtsvorschriften zum Beispiel im Gesundheitswesen,

zu Archivzwecken oder aufgrund erhebliche öffentlicher

Interessen zugelassen sein. (Artikel 9 Datenschutz-

Grundverordnung)

Verantwortlicher, der für die

Verarbeitung Verantwortliche

Begriff nach Artikel 4 Nummer 7 Datenschutz-

Grundverordnung, entspricht der bisherigen verantwortli-

chen Stelle, datenverarbeitenden Stelle nach § 3 Absatz

3 Sächsisches Datenschutzgesetz

Verarbeiten Begriff nach Artikel 4 Nummer 2 Datenschutz-

Grundverordnung, umfasst alle Phasen der Datenverar-

beitung, entspricht im Wesentlichen dem bisherigen Ver-

arbeitungsbegriff in § 3 Absatz 2 Sächsisches Daten-

schutzgesetz. Verarbeitung ist jede Art von Handlung,

die an persönlichen Daten (einzeln oder in Gruppen, au-

tomatisiert oder manuell) durchgeführt wird. Das bezieht

sich auf die Erfassung, Aufzeichnung, Organisation,

Seite 74 von 155

Strukturierung und Speicherung ebenso wie auf die An-

passung, Änderung, Abruf, Nutzung, Offenlegung durch

Übermittlung, Verbreitung oder Bereitstellung, Harmoni-

sierung und Integration, Beschränkung, Löschung und

Vernichtung.

Verarbeitungstätigkeit Unter diesem Begriff ist die Gesamtheit an Verarbeitun-

gen zu verstehen, mit deren Hilfe eine Zweckbestim-

mung oder ein Bündel zusammengehöriger Zweckbe-

stimmungen realisiert wird. Es handelt sich also um eine

Vielzahl von einzelnen Verarbeitungsschritten, die für

eine oder mehrere zusammengehörende Zweckbestim-

mungen zusammengefasst werden, z. B. als ein Verfah-

ren. Eine Verarbeitungstätigkeit kann daher aus einer

Vielzahl an Programmen und Dateien bestehen. Die Da-

tenschutz-Grundverordnung definiert diesen Begriff nicht.

Verordnung Eine EU-Verordnung hat im Gegensatz zu einer EU-

Richtlinie bindenden Charakter. Sie muss in der gesam-

ten EU befolgt werden.

Widerruf der Einwilligung Die betroffene Person hat das Recht, ihre Einwilligung

jederzeit zu widerrufen. Der Widerruf hat keinen Einfluss

auf die Rechtmäßigkeit zu dem Zeitpunkt bereits erfolgter

Datenverarbeitungsaktivitäten. Vor Erteilung der Einwilli-

gung muss die betroffene Person hierüber informiert

werden. Der Widerruf muss genauso einfach erfolgen

können wie die Erteilung der Einwilligung (Artikel 7 Ab-

satz 3 Datenschutz-Grundverordnung)

Zweckbindung Personenbezogene Daten dürfen grundsätzlich nur zu

einem bestimmten, offen dargelegten und rechtmäßigen

Zweck erfasst werden und keiner weiteren Verarbeitung

zugeführt werden, die mit diesem Zweck nicht überein-

stimmt. Die bisher im nach § 13 Absatz 2 in Verbindung

mit § 12 Absatz 4 Sächsisches Datenschutzgesetz zuge-

lassenen Zweckänderungen gelten nun auch nach § 4

Absatz 1 Sächsisches Datenschutzdurchführungsgesetz.

VI. Arbeitshilfen, Übersichten Datenschutz-Grundverordnung – Was ist zu tun? [Link zu Punkt III]

- Checkliste Handlungserfordernisse bei der Anpassung an die Datenschutz-Grundverordnung in der Behörde (Anlage 1)

- Checkliste Melde- und Informationspflichten/Konsultationen (Anlage 2)

Anwendungsvorrang der Datenschutz-Grundverordnung [Link zu Punkt III 1.2]

- Prüfungsreihenfolge für die Zulässigkeit einer Verarbeitung personenbezogener Da-ten (Anlage 3)

Seite 75 von 155

Einwilligung – speziell in Bild- und Tonaufnahmen [Link zu Punkt III 3.2]

- Merkblatt zur Anfertigung und Veröffentlichung von Bild- und Tonaufnahmen mit Personenbezug durch Behörden (Anlage 3 a)

- Hinweis für offene Veranstaltungen mit großer Teilnehmerzahl, Anlage 1 zum Merk-blatt (Anlage 3 b)

- Muster für eine Einwilligungserklärung für die Erstellung und Veröffentlichung von Bild- und Tonaufnahmen (Anlage 3 c)

Datenschutzbeauftragter [Link zu Punkt III 4]

- Checkliste Benennung eines Datenschutzbeauftragten (Anlage 4)

- Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Daten-schutzbeauftragten (Anlage 5)

- Checkliste Aufgaben des Datenschutzbeauftragten im Anpassungsprozess (Anlage

6) Datengeheimnis und personelle Maßnahmen [Link zu Punkt III 5.5]

- Merkblatt für öffentliche Stellen zur Verpflichtung zur Einhaltung des Datenschutzes (Anlage 6a)

- Muster für ein Formblatt zur Verpflichtung der Mitarbeiter zur Einhaltung des Daten-schutzes (Anlage 6b)

Informationspflichten [Link zu Punkt III 6.1]

- Merkblatt Informationspflichten und Formulare nach den Artikeln 13 und 14 Daten-schutz-Grundverordnung (Anlage 6c)

Zulässigkeit der Auftragsverarbeitung [Link zu Punkt III 9.2]

- Prüfschema Zulässigkeit der Auftragsverarbeitung (Anlage 7) Videoüberwachung [Link zu Punkt III 10.1]

- Muster Hinweisschild Videoüberwachung (Anlage 8) Anpassung von Rechtsvorschriften, Satzungen, Dienstvereinbarungen etc. [Link zu Punkt III 11]

- Beispielsregelungen, die Anforderungen an die Verarbeitung personenbezogener Da-ten enthalten (Anlage 9)

- Öffnungsklauseln und Regelungsspielräume (Anlage 10)

- geänderte Begriffe in der Datenschutz-Grundverordnung (Anlage 11)

Seite 76 von 155

VII. FAQ Im FAQ erhalten Sie Antworten auf häufig gestellte Fragen, die sich in der Praxis vor allem bei der Anpassung der Datenschutzorganisation an die Datenschutz-Grundverordnung und der Anwendung der neuen Regelungen in der öffentlichen Stelle ergeben. 1. Einwilligung

Wann ist das Einholen einer Einwilligung erforderlich?

Das Einholen einer Einwilligung der betroffenen Person in die Verarbeitung ihrer personen-bezogenen Daten ist nur dann erforderlich, wenn es für die Verarbeitung der personenbezo-genen Daten keine andere rechtliche Grundlage gibt. Andere Rechtsgrundlagen können sich insbesondere aus Rechtsvorschriften oder der Datenschutzgrundverordnung ergeben. In Betracht kommen insbesondere

Rechtsvorschriften in einem Gesetz, einer Rechtsverordnung oder einer kommunalen Satzung (Verwaltungsvorschriften sind nicht ausreichend),

Artikel 6 Absatz 1 Buchstabe b Datenschutz-Grundverordnung, wonach die Verarbeitung personenbezogener Daten zulässig ist, wenn sie für die Erfüllung eines Vertrages mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist oder

der Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natür-lichen Person die Verarbeitung der personenbezogenen Daten erfordert (Artikel 6 Ab-satz 1 Buchstabe d Datenschutz-Grundverordnung).

2. Datenschutzbeauftragter

Müssen Fraktionen, Gruppen, fraktions- oder gruppenlose Kreis- oder Gemeinderäte oder jeder Kreis- oder Gemeinderat für sich einen Datenschutzbeauftragten bestellen?

Fraktionen, Gruppen, fraktions- oder gruppenlose Kreis- oder Gemeinderäte sind ebenso wenig wie jeder Kreis- oder Gemeinderat für sich verpflichtet, einen eigenen Datenschutzbe-auftragten zu bestellen. Sie unterfallen der Zuständigkeit des Datenschutzbeauftragten des jeweiligen Landkreises bzw. der jeweiligen Gemeinde.

Nach Artikel 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn die Verarbeitung personenbezogener Da-ten von einer Behörde oder öffentlichen Stelle erfolgt. Was unter Behörden oder öffentlichen Stellen zu verstehen ist, definiert die Datenschutz-Grundverordnung nicht. Nach § 2 Sächsi-sches Datenschutzdurchführungsgesetz werden insbesondere die Behörden und sonstigen öffentlichen Stellen des Freistaates Sachsen, der Gemeinden und der Landkreise als öffent-liche Stellen angesehen.

Bei den Kreistagen und Gemeinderäten handelt es sich nicht um Parlamente und nicht um Organe der Legislative, mithin nicht um selbständige öffentliche Stellen (anders z. B. beim Landtag oder beim Bundestag). Vielmehr gehören die Kreistage und Gemeinderäte als Or-gane der kommunalen Selbstverwaltung zur Exekutive, also zum Landkreis oder zu der Ge-meinde, die die öffentliche Stelle ist. Das kann aus den Regelungen der Sächsischen Land-kreisordnung und Sächsischen Gemeindeordnung abgeleitet werden. Nach § 23 Sächsische Landkreisordnung ist der Kreistag das Hauptorgan des Landkreises. Er entscheidet über alle grundlegenden Angelegenheiten des Landkreises und kann Grundsätze für die Verwaltung des Landkreises festlegen (§ 24 Sächsische Landkreisordnung). Gleichartige Regelung ent-

Seite 77 von 155

halten §§ 27, 28 Sächsische Gemeindeordnung für die Gemeinderäte. Fraktionen, Gruppen und Kreis- oder Gemeinderäte sind Teile des Kollegialorgans Kreistag oder Gemeinderat.

Im Ergebnis muss daher der Landkreis oder die Gemeinde einen Datenschutzbeauftragten benennen. Dieser ist auch für das Kollegialorgan Kreistag oder Gemeinderat und damit auch die Fraktionen oder Kreis- und Gemeinderäte zuständig.

3. Kontaktdaten

Unterliegen funktionsbezogene Kontaktdaten (z. B. dienstliche Kontaktdaten des Vertreters einer bestimmten Behörde, Kontaktdaten eines Vereinsvorsitzenden, Name eines Geschäfts-führers einer GmbH) dem Schutz der Datenschutz-Grundverordnung?

Der Schutz der Datenschutz-Grundverordnung bezieht sich auf die Verarbeitung personen-bezogener Daten einer betroffenen Person. Was personenbezogene Daten sind und wer eine betroffene Person ist, wird in Artikel 4 Nummer 1 Datenschutz-Grundverordnung defi-niert. Hierzu gehören alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese natürliche Person wird als betroffene Person bezeichnet.

Damit werden juristische Personen, aber auch Personenmehrheiten und -gruppen aus dem Anwendungsbereich der Datenschutz-Grundverordnung ausgenommen. Beziehen sich funk-tionsbezogene Kontaktdaten auf die juristische Person (z. B. Ansprechpartner in einer Be-hörde, gesetzlicher Vertreter einer GmbH), unterliegen sie nicht dem Anwendungsbereich der Datenschutz-Grundverordnung. Anders verhält es sich allerdings dann, wenn die jeweili-ge Information auf eine natürliche Person durchschlägt.

Dies soll an folgenden Beispielen verdeutlicht werden:

Beispiel 1: Fördermittelvergabe an einen Sportverein

Gegenüber einem Sportverein wird ein Fördermittelbescheid erlassen. Gesetzlicher Vertreter des Sportvereins ist der Vereinsvorsitzende, der im Bescheid auch nament-lich als Vertreter des Vereins genannt wird.

In diesem Fall unterliegt die namentliche Nennung des Vereinsvorsitzenden nicht dem Schutz der Datenschutz-Grundverordnung. Die im Fördermittelbescheid enthal-tenen Informationen (z. B. dass Fördermittel in einer bestimmten Höhe ausgereicht werden, unter welchen Bedingungen die Fördermittelvergabe erfolgt, welche Pflichten den Fördermittelempfänger obliegen etc.) beziehen sich nicht auf den Vereinsvorsit-zenden als Person sondern auf den Verein als juristische Person. Die namentliche Angabe des Vereinsvorsitzenden erfolgt in Bezug auf den Verein, da er sein Vertreter ist.

Beispiel 2: Ehrung von Vorsitzenden

Alle Vereinsvorsitzenden der sächsischen Sportvereine sollen in die Sächsische Staatskanzlei zu einem Empfang zur Würdigung ihres Engagements eingeladen wer-den. Es werden die Namen der Vereinsvorsitzenden und die Adressen der Vereine für die Einladung zusammengestellt.

In diesem Fall greift die Datenschutz-Grundverordnung, denn die personenbezoge-nen Informationen (z. B. Namen des Vereinsvorsitzenden, Einladung in die Sächsi-sche Staatskanzlei) beziehen sich nicht auf den Verein sondern auf die Person des Vereinsvorsitzenden.

Seite 78 von 155

Im Ergebnis kann die gestellte Frage daher nicht mit einem einfachen ja oder nein beantwor-tet werden. Vielmehr kommt es immer darauf an, mit welchem Bezug eine personenbezoge-ne Information verarbeitet wird.

4. Petitionen

Auf welcher Rechtsgrundlage beruht die Verarbeitung personenbezogener Daten bei der Bearbeitung von Petitionen des Landtages?

Die Verarbeitung einer Petition im Landtag fällt nicht unter den Anwendungsbereich der Da-tenschutz-Grundverordnung und des Sächsischen Datenschutzdurchführungsgesetzes. Der Anwendungsbereich der Datenschutz-Grundverordnung ist nach Artikel 2 Absatz 2 Buchsta-be a Datenschutz-Grundverordnung nicht eröffnet, da es sich bei der Bearbeitung von Petiti-onen im Landtag um eine Tätigkeit handelt, die nicht in den Anwendungsbereich des Unions-rechts fällt. Der Landtag wird sich eine eigene Datenschutzordnung geben, vgl. § 2 Absatz 1 Satz 3 und 4 Sächsisches Datenschutzdurchführungsgesetz. Bis dahin ist weiter das Säch-sische Datenschutzgesetz anzuwenden, vgl. § 2 Absatz 2 Sächsisches Datenschutzgesetz.

Verlangt der Petitionsausschuss des Landtags Auskunft oder die Vorlage von Akten zur Be-urteilung einer Petition von den Behörden des Landes, dann werden die personenbezogenen Daten des Petenten in der damit befassten Behörde verarbeitet, ggf. an andere Behörden zur Einholung von Auskünften weitergeleitet und am Ende mit der Stellungnahme zur Petiti-on an den Petitionsausschuss übermittelt. Bei dieser Verarbeitung der personenbezogenen Daten des Petenten in den Behörden ist der überwiegende Teil der Vorschriften der Daten-schutz-Grundverordnung anzuwenden. Auch insoweit unterfällt die Verarbeitung der perso-nenbezogenen Daten für die Petition zwar nicht dem Anwendungsbereich der Datenschutz-Grundverordnung. Es greift in diesem Fall aber die Auffangvorschrift des § 2 Absatz 4 Säch-sisches Datenschutzdurchführungsgesetz, sodass die dort genannten Artikel der Daten-schutz-Grundverordnung Anwendung finden.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten des Petenten durch die Behörden ist Artikel 6 Absatz 1 Buchstabe c Datenschutz-Grundverordnung i. V. m. § 5 Sächsisches Petitionsausschussgesetz. Nach § 5 Absatz 1 Sächsisches Petitionsaus-schussgesetz besteht für die Behörden eine rechtliche Verpflichtung, dem Petitionsaus-schuss auf Verlangen Akten zur Einsicht vorzulegen oder Auskunft zu erteilen.

Entstehen bei der Verarbeitung personenbezogener Daten im Rahmen von Petitionen des Landtags Informationspflichten für die auskunftspflichtigen Behörden?

Die Verarbeitung personenbezogener Daten durch Behörden, um gegenüber dem Petitions-ausschuss des Landtags Auskünfte zu erteilen oder Akten vorzulegen, lösen keine Informa-tionspflichten für die damit befassten Behörden aus.

Zur rechtlichen Begründung ist wie folgt zu unterscheiden:

Fallgestaltung 1 - Alle relevanten Unterlagen und Informationen liegen bei der Behörde, von der der Petitionsausschuss des Landtags Auskunft oder Akten erhalten möchte, vor

Informationspflichten können nach Artikel 13 und Artikel 14 Datenschutz-Grundverordnung zum einen bei der Erhebung personenbezogener Daten entstehen (vgl. Artikel 13 Absatz 1 und 2, Artikel 14 Absatz 1 und 2 Datenschutz-Grundverordnung) und zum anderen, wenn bereits erhobene personenbezogene Daten zu einem anderen Zweck weiterverarbeitet wer-den sollen, als zu dem, zu dem sie ursprünglich erhoben wurden (vgl. Artikel 13 Absatz 3, Artikel 14 Absatz 4 Datenschutz-Grundverordnung).

Seite 79 von 155

Personenbezogene Daten, die in der Behörde bereits vorhanden sind, wurden bereits erho-ben, sodass keine Informationspflicht nach Artikel 13 Absatz 1 und 2, Artikel 14 Absatz 1 und 2 Datenschutz-Grundverordnung ausgelöst wird.

Darüber hinaus liegt aber auch keine zweckändernde Verarbeitung der bereits erhobenen Daten vor, sodass auch keine Informationspflichten nach Artikel 13 Absatz 3 oder Artikel 14 Absatz 4 Datenschutz-Grundverordnung entstehen. Hier greift § 3 Absatz 2 Sächsisches Datenschutzdurchführungsgesetz. Danach zählt auch die Verarbeitung personenbezogener Daten zur Wahrnehmung von Kontrollbefugnissen zum ursprünglichen Verarbeitungszweck. Der Petitionsausschuss nimmt gegenüber der Staatsregierung und in diesem Zusammen-hang der ihrer Aufsicht unterliegenden Behörden und öffentlichen Stellen parlamentarische Kontrollrechte wahr.

Fallgestaltung 2 – Die Behörde, von der der Petitionsausschuss des Landtags Auskunft oder Akten erhalten möchte, muss andere Behörden oder öffentliche Stellen beteiligen.

Der Landtag richtet Auskunftsersuchen und Aktenübermittlungsgesuche in der Regel an die obersten Staatsbehörden. Wenn es sich um Sachverhalte handelt, die in die Zuständigkeit des nachgeordneten Bereichs oder weiterer Ressorts fallen, muss die federführende oberste Staatsbehörde bei diesen Stellen Auskünfte einholen oder Akten beiziehen. Damit werden (in der Regel) personenbezogene Daten des Petenten bei einer anderen Stelle erhoben, was grundsätzlich Informationspflichten gemäß Artikel 14 Absatz 1 und 2 Datenschutz-Grundverordnung auslösen würde.

Nach Artikel 14 Absatz 5 Buchstabe c Datenschutz-Grundverordnung greifen die Informati-onspflichten aber dann nicht, wenn es eine gesetzliche Grundlage gibt, die die Erlangung der personenbezogenen Daten ausdrücklich regelt und wenn dabei geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Personen vorgesehen sind.

§ 5 Sächsisches Petitionsausschussgesetz verpflichtet die Behörden zur Vorlage von Akten oder zur Auskunft gegenüber dem Petitionsausschuss. Damit wird ausdrücklich die Erlan-gung personenbezogener Daten geregelt. Darüber hinaus gibt es auch zum Schutz der be-rechtigten Interessen der betroffenen Personen geeignete Maßnahmen. Diese Maßnahmen müssen nicht in der gleichen Vorschrift enthalten sein, sondern können sich auch aus ande-ren Rechtsvorschriften oder Gesetzen ergeben. Exemplarisch sind vorliegend z. B. die §§ 6 und 8 Sächsisches Petitionsausschussgesetz zu nennen, die die Möglichkeit der Verweige-rung der Aktenvorlage und Auskunft bei geheimhaltungspflichtigen Vorgängen sowie Zeug-nisverweigerungsrechte enthalten. Darüber hinaus sind Mitglieder des Petitionsausschusses an die Vorschriften des Sächsischen Datenschutzgesetzes gebunden, unterliegen damit dem Datengeheimnis und müssen die Verarbeitungsvorschriften der §§ 12 bis 17 des Sächsi-schen Datenschutzgesetzes beachten. Außerdem stehen den betroffenen Personen ver-schiedene Rechte nach den §§ 18 bis 24 des Sächsischen Datenschutzgesetzes zu.

5. Teilnehmerlisten

Können bei Beratungen weiter Teilnehmerlisten verwendet werden?

In Beratungen oder sonstigen Veranstaltungen werden häufig Teilnehmerlisten verwendet, in die die Anwesenden ihre Kontaktdaten wie z. B. Name, Herkunftsbehörde, E-Mail-Adresse u. ä. eintragen.

Handelt es sich bei den Teilnehmern einer Besprechung ausschließlich um Behördenmitar-beiter oder sonstige Teilnehmer, die als Vertreter einer juristischen Person anwesend sind und für die Behörde oder juristische Person sprechen, ist zunächst zu prüfen, ob die der An-wendungsbereich der Datenschutz-Grundverordnung überhaupt eröffnet ist. Die Verarbei-

Seite 80 von 155

tung funktionsbezogener Kontaktdaten fällt nur dann unter den Anwendungsbereich der Da-tenschutz-Grundverordnung, wenn die Verarbeitung der personenbezogenen Daten auch auf

die betroffene Person „durchschlägt“. Nähere Erläuterungen finden Sie ▹︎hier. Sofern die

Datenschutz-Grundverordnung keine Anwendung findet, ist die Verwendung der Teilnehmer-listen ohne weiteres möglich.

Aber auch im Anwendungsbereich der Datenschutz-Grundverordnung ist die Verwendung von Teilnehmerlisten weiterhin zulässig. Hierfür stehen – je nach Fallgestaltung – folgende Rechtsgrundlagen zur Verfügung:

1. Die Beratung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erfor-derlich:

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe e Datenschutz-Grundverordnung, § 3 Absatz 1 Sächsisches Datenschutzdurchführungsgesetz i. V. m. der Norm zur Aufgabenzuweisung.

2. Die Beratung findet nicht im Zusammenhang mit der Erfüllung einer im öffentlichen In-teresse liegenden Aufgabe statt (z. B. Beratungen zur Vorbereitung einer Veranstal-tung im Rahmen der Öffentlichkeitsarbeit, Durchführung von Fortbildungsveranstaltun-gen):

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe f Datenschutz-Grundverordnung.

Im Rahmen des Artikels 6 Absatz 1 Buchstabe f Datenschutz-Grundverordnung ist eine Interessenabwägung zwischen dem Interesse des Verantwortlichen und den Rechten der betroffenen Person durchzuführen. Diese dürfte, wenn nicht be-sondere Umstände bei einer betroffenen Person vorliegen, zu Gunsten des Ver-antwortlichen ausgehen.

Beide Rechtsgrundlagen setzen voraus, dass die Verarbeitung der personenbezogenen Da-ten erforderlich ist. Erforderlichkeit liegt insbesondere dann vor, wenn ein Nachweis benötigt wird, wer an der Beratung teilgenommen hat, so z. B. um auch später Absprachen nachvoll-ziehen zu können, um bei Fortbildungen oder Tagungen Teilnahmebestätigungen ausstellen zu können etc.

Daher wird beispielsweise bei großen Informationsveranstaltungen besonders zu prüfen sein, ob ein Erfordernis zum Führen von Teilnehmerlisten vorliegt. Ein solches Erfordernis kann aber auch in diesem Fall darin liegen, dass im Nachgang zur Veranstaltung Teilnah-mebestätigungen auszustellen sind oder eine anderweitige Nachbereitung des Termins, für die die Teilnehmerdaten verarbeitet werden müssen, erfolgt.

Müssen die Teilnehmer der Beratungen nach Artikel 13 Datenschutz-Grundverordnung in-formiert werden, wenn ihre personenbezogenen Daten in Teilnehmerlisten verarbeitet wer-den?

Informationspflichten nach Artikel 13 Datenschutz-Grundverordnung entstehen grundsätzlich bei der Erhebung personenbezogener Daten bei der betroffenen Person. Durch das Ausle-gen von Teilnehmerlisten in Beratungen werden personenbezogene Daten erhoben.

Gleichwohl wird nicht in jedem Fall eine Information der Teilnehmer erfolgen müssen. Das Durchführen einer Beratung und die Erhebung von Teilnehmerdaten wird in den ganz über-wiegenden Fällen keine eigene Verarbeitungstätigkeit sein, sondern im Zusammenhang mit einer übergreifenden Verarbeitungstätigkeit (z. B. Bearbeitung eines Verwaltungsverfahrens,

Seite 81 von 155

Durchführung einer Veranstaltung etc.) stehen. Wenn für diese Verarbeitungstätigkeit bereits eine Information nach Artikel 13 Datenschutz-Grundverordnung erfolgte (z. B. im Rahmen eines Antragsformulars oder bei der Einladung zu einer Veranstaltung), ist eine nochmalige Information nicht erforderlich. Es greift die Ausnahmevorschrift des Artikels 13 Absatz 4 Da-tenschutz-Grundverordnung.

Haben die Teilnehmer noch keine Informationen nach Artikel 13 Datenschutz-Grundverordnung erhalten, dann besteht eine Informationspflicht. Ein entsprechendes Infor-mationsblatt kann der Teilnehmerliste beigefügt oder beispielsweise im Besprechungsraum ausgelegt werden.

Anlage 1

Seite 82 von 155

Anpassung an die Datenschutz-Grundverordnung - in 5 Schritten zum Erfolg

Information der Leitungsebene über die Bedeutung der Datenschutz-

Grundverordnung und deren Auswirkungen sowie die Erforderlichkeit eines Anpas-

sungsprozesses in der öffentlichen Stelle

Wer?

Datenschutzbeauftragter (soweit vorhanden), ggf. auch Leiter des IT-Bereichs oder

der Rechtsabteilung

Betroffen vom Anpassungsprozess sind die rechtlichen, technischen und organisatori-

schen Bereiche in der öffentlichen Stelle. Somit sind verschiedene Zuständigkeitsberei-

che beteiligt, die untereinander koordiniert werden müssen. Deshalb bietet sich eine Ar-

beitsgruppe bzw. ein Projekt mit folgender Aufgaben- bzw. Zielstellung an:

Aufgabe:

alle Verfahren, mit denen in der öffentlichen Stelle personenbezogene Daten verar-

beitet werden, dahingehend überprüfen, ob es einen Anpassungsbedarf im Hinblick

auf die Datenschutz-Grundverordnung gibt

Ziel:

die Datenschutzkonzeption anhand eines Soll-Ist-Abgleichs aktualisieren und ermit-

teln, welche Prozesse in der öffentlichen Stelle anzupassen sind

Erstellung eines Umsetzungsplanes unter Festlegung von Terminen und Verant-

wortlichkeiten anhand der nachfolgenden Schritte:

die derzeitigen Prozesse in der öffentlichen Stelle, in denen personenbezogene Da-

ten verarbeitet werden, ermitteln (als Hilfsmittel hierfür bestehende Dokumentationen,

z. B. Verfahrensverzeichnis gemäß § 10 Absatz 1 SächsDSG, nutzen)

die dazugehörigen Rechtsgrundlagen zusammenstellen (die Verarbeitung perso-

nenbezogener Daten ist nur dann zulässig, wenn entweder ein Gesetz oder eine

Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat),

die Datenschutzorganisation erheben (d. h. alle Vorkehrungen und Maßnahmen,

die in der öffentlichen Stelle zum Schutz personenbezogener Daten getroffen wurden

1. Schritt: Bevor es losgeht - Information der Leitungsebene und Initiierung des Anpas-

sungsprozesses an die Datenschutz-Grundverordnung

2. Schritt Bestandsaufnahme, also Ist-Zustand ermitteln, d. h.:

Anlage 1

Seite 83 von 155

die Dienstleistungsbeziehungen ermitteln (insbesondere Verträge über eine Auf-

tragsdatenverarbeitung),

ggf. vorhandene Dokumentationen zusammentragen (z. B. Verfahrensverzeichnis-

se, Vorabkontrollen, Datenschutzkonzepte, IT-Sicherheitskonzepte, Sicherheitsvorfäl-

le),

ggf. Dienstvereinbarungen ermitteln, die Regelungen zum Umgang mit den Daten

der Beschäftigten enthalten

Insbesondere sind vor dem Hintergrund der Datenschutz-Grundverordnung folgende Aspek-

te zu beachten (zu einzelnen Inhalten siehe auch entsprechende Inhalte im Themenportal):

Rechtsgrundlagen:

prüfen, ob das neue Recht für alle Prozesse eine Rechtsgrundlage bereitstellt

vorhandene Einwilligungen prüfen, um sicherzustellen, dass sie nach Wirksam-

werden der Datenschutz-Grundverordnung fortgelten

Betroffenenrechte:

insbesondere Informationspflichten des Verantwortlichen gegenüber den betroffe-

nen Personen nach Art. 13 und Art. 14 Datenschutz-Grundverordnung prüfen

Datenschutzbeauftragter:

soweit noch nicht erfolgt, ist ein Datenschutzbeauftragter zu benennen (siehe

Checkliste Benennung)

bereits bestellte Datenschutzbeauftragte bleiben in ihrer Funktion, ggf. Überprü-

fung der Qualifikation und Unabhängigkeit, neue Aufgaben und Verantwortlichkei-

ten beachten (siehe auch Merkblatt „Mindestanforderungen an Qualifikation und

Unabhängigkeit des Datenschutzbeauftragten“)

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstel-

lungen:

Prüfen, ob die spezifischen Rahmenbedingungen der Datenschutz-

Grundverordnung für die Art und Weise, wie die Anforderungen der Datenschutz-

Grundverordnung schon bei der Prozessgestaltung und bei den Voreinstellungen

umzusetzen sind (Art. 25 Datenschutz-Grundverordnung: Data Protection by de-

sign und Data Protection by default), eingehalten werden

Auftragsverarbeitung:

Bestehende Verträge daraufhin überprüfen, ob Vorgaben für Vereinbarungen mit

Auftragsverarbeitern gemäß Artikel 28 und 29 Datenschutz-Grundverordnung

eingehalten werden

3. Schritt: Handlungsbedarf eruieren, also Soll-Zustand ermitteln und anschließend Soll-Ist-

Vergleich

Anlage 1

Seite 84 von 155

Dokumentationspflichten:

Nachweis, dass personenbezogene Daten rechtmäßig verarbeitet werden (Re-

chenschaftspflicht) gemäß Artikel 5 Absatz 2 Datenschutz-Grundverordnung

Führen eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Artikel 30 Da-

tenschutz-Grundverordnung,

Dokumentation von Datenschutzvorfällen nach Artikel 33 Absatz 5 Datenschutz-

Grundverordnung,

Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung nach Artikel

28 Absatz 3 Buchstabe a Datenschutz-Grundverordnung.

Datenschutz-Folgenabschätzung:

Die aus dem SächsDSG bekannte Vorabkontrolle wird durch die Datenschutz-

Folgenabschätzung nach Artikel 35 Datenschutz-Grundverordnung abgelöst und

erfordert eine umfangreiche Dokumentation. Die Datenschutz-Folgenabschätzung

kann zudem eine Konsultation der Aufsichtsbehörde nach sich ziehen (Artikel 36

Datenschutz-Grundverordnung).

Meldepflichten:

Nach Artikel 37 Absatz 7 Datenschutz-Grundverordnung muss der Verantwortli-

che die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbe-

hörde melden. Ebenso ist der Aufsichtsbehörde die Verletzung des Schutzes per-

sonenbezogener Daten zu melden (Artikel 33 Absatz 1 Datenschutz-

Grundverordnung).

Datensicherheit:

Öffentliche Stellen müssen ein angemessenes Schutzniveau in Bezug auf die Si-

cherheit der Verarbeitung gewährleisten und die dafür implementierten Siche-

rungsmaßnahmen einer regelmäßigen Überprüfung unterziehen (Artikel 24 und

32 Datenschutz-Grundverordnung).

Im Hinblick auf den ermittelten Handlungsbedarf sind entsprechende Maßnahmen zu treffen,

insbesondere:

Anpassung der betroffenen Prozesse und Strukturen,

Anpassung der Datenschutzorganisation, insbesondere Verantwortlichkeiten fest-

legen

ggf. Benennung eines Datenschutzbeauftragten,

Festlegung der Rechtsgrundlagen und des Zwecks der Datenverarbeitung,

4. Schritt: Umsetzung bis zum 25. Mai 2018

Anlage 1

Seite 85 von 155

Implementierung von Informationspflichten, Betroffenenrechten und Löschkonzep-

ten,

Reaktionsmechanismen für Datenpannen,

Organisation von Meldepflichten,

Anpassung der Dienstleistungsbeziehungen,

Aufbau der Dokumentation,

Anpassung der IT-Sicherheit,

ggf. Anpassung der Dienstvereinbarungen.

Umgestellte Prozesse, Dokumente, Verträge und Maßnahmen nochmals dahinge-

hend überprüfen, ob die Anpassungen an die Datenschutz-Grundverordnung tatsäch-

lich vorgenommen sind

Vorgenommene Anpassungen und Änderungen abschließend dokumentieren, um

Nachweis führen zu können, dass eine Anpassung an die Datenschutz-

Grundverordnung erfolgt ist und die Umsetzung erfolgreich nachgeprüft wurde

Mittelfristig ein Datenschutz-Managementsystem einführen

5. Schritt: Abschluss der Anpassung, Nachsteuerung

Anlage 2

Seite 86 von 155

In folgenden Fällen haben Sie eine Handlungspflicht!

Melde- und Informationspflichten

Melde- bzw. Informationspflicht Wann ist zu melden/zu informieren?

Wer hat an wen zu mel-den bzw. wen zu infor-mieren?

Mindestinhalt der Mel-dung/Information

Was ist sonst zu beachten?

Informationspflicht bei der Er-hebung personenbezogener Daten bei der betroffenen Per-son

Artikel 13 Datenschutz-Grundverordnung

bei Erhebung der personenbezogenen Daten

vor einer Weiterverar-beitung zu einem an-deren Zweck

Verantwortlicher an be-troffene Person

vgl. Artikel 13 Absatz 1 und 2 Datenschutz-Grundverordnung

Es bestehen Ausnahmen von der Informationspflicht nach Artikel 13 Absatz 4 Datenschutz-Grundverordnung sowie § 4 Ab-satz 5 Sächsisches Datenschutz-durchführungsgesetz.

Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person er-hoben werden


Artikel 13 Absatz 3 Da-tenschutz-Grundverordnung:

innerhalb einer ange-messenen Frist je-doch längstens inner-halb eines Monats nach Erlangung der Daten

bei Verwendung der Daten zur Kommuni-kation mit der be-

Verantwortlicher an be-troffene Person

vgl. Artikel 14 Absatz 1 und 2 Datenschutz-Grundverordnung

Es bestehen Ausnahmen von der Informationspflicht nach Artikel 14 Absatz 5 Datenschutz-Grundverordnung sowie § 4 Ab-satz 5 und § 8 Sächsisches Da-tenschutzdurchführungsgesetz.

Checkliste Melde- und Informationspflichten / Konsultationen

Anlage 2

Seite 87 von 155





troffenen Person bei erstmaliger Mitteilung an sie

zum Zeitpunkt der ersten Offenlegung an einen anderen Emp-fänger

Artikel 14 Absatz 4 Da-tenschutz-Grundverordnung:

vor einer Weiterver-arbeitung zu einem anderen Zweck

Verletzung des Schutzes perso-nenbezogener Daten, wenn die-se voraussichtlich zu einem Risiko für die Rechte und Frei-heiten natürlicher Personen führt


Unverzüglich und mög-lichst binnen 72 Stunden nach Bekanntwerden der Verletzung

der Verantwortliche an den Sächsischen Da-tenschutzbeauftragten

ein Auftragsverarbei-ter an den Verantwort-lichen

(vgl. Artikel 33 Absatz 3 Da-tenschutz-Grundverordnung)

Beschreibung der Art der Verletzung des Schutzes personenbezogener Da-ten (Kategorien und et-waige Anzahl der be-troffenen Personen, be-troffene Kategorien, et-waige Anzahl der be-troffenen Datensätze),

Name und Kontaktdaten des Datenschutzbeauf-tragten der öffentlichen Stelle,

ggf. Information der betroffenen Personen (Artikel 34 Daten-schutz-Grundverordnung)

Anlage 2

Seite 88 von 155





Beschreibung der wahr-scheinlichen Folgen,

Beschreibung der vom Verantwortlichen ergrif-fenen oder vorgeschla-genen Maßnahmen zur Behebung der Verlet-zung und ggf. zur Abmil-derung der nachteiligen Auswirkungen.

Kontaktdaten des Datenschutz-beauftragten der öffentlichen Stelle

Artikel 37 Absatz 7 Datenschutz-Grundverordnung

nach Benennung des Datenschutzbeauftragten

der Verantwortliche an den Sächsischen Datenschutzbeauf-tragten

der Auftragsverarbei-ter an den Sächsi-schen Datenschutz-beauftragten

Postadresse

Telefonnummer

E-Mail-Adresse

empfohlen: Name

Erlass von Verwaltungsvor-schriften, die das Recht auf in-formationelle Selbstbestimmung betreffen

§ 20 Sächsisches Datenschutz-durchführungsgesetz

vor Erlass der Verwal-tungsvorschrift

Empfehlung: Die Meldung erfolgt ausreichende Zeit vor Erlass der Verwal-tungsvorschrift, damit eine Beratung durch den Sächsischen Daten-schutzbeauftragten erfol-gen kann.

Derjenige, der die Verwal-tungsvorschrift erlassen möchte, an den Sächsi-schen Datenschutzbeauf-tragten

Information, dass eine be-stimmte Verwaltungsvor-schrift erlassen werden soll

Empfehlung: Der Entwurf der Verwaltungsvorschrift wird beifügt. Nachforderungen des Sächsischen Daten-schutzbeauftragten werden damit vermieden.

Anlage 2

Seite 89 von 155





Beibehaltung, Erlass oder Ände-rung von Rechtsvorschriften insbesondere zum Medienprivi-leg


Erstmeldung der beibe-haltenen und ggf. neu erlassen Vorschriften zeitnah nach dem 25. Mai 2018

Änderungen der Vor-schriften jeweils unver-züglich

Mitgliedstaat an EU-Kommission

Übersendung der betroffe-nen Regelungen

Es wird erwartet, dass die Mel-dung zentral über den Bund er-folgt.

Beibehaltung, Erlass oder Ände-rung von Rechtsvorschriften zur Datenverarbeitung im Beschäf-tigungskontext


Erstmeldung der beibe-haltenen und ggf. neu erlassen Vorschriften bis zum 25. Mai 2018





Beibehaltung, Erlass oder Ände-rung von Rechtsvorschriften zu Datenverarbeitung im Beschäf-tigungskontext







Beibehaltung, Erlass oder Ände-rung von Rechtsvorschriften zu den Befugnissen der Aufsichts-behörden gegenüber Verant-wortlichen, die Geheimhal-





Anlage 2

Seite 90 von 155





tungspflichten unterliegen



Konsultationspflichten

Konsultationspflicht Wann ist zu konsultie-ren?

Wer hat wen zu konsultie-ren

Mindestinhalt der vorzulegenden Unterlagen

Eine Datenschutz-Folgenabschätzung ergibt für die Verarbeitung personenbe-zogener Daten ein hohes Risiko

Artikel 36 Absatz 1 bis 3 Datenschutz-Grundverordnung

vor der beabsichtigten Verarbeitung personen-bezogener Daten

der Verantwortliche den Sächsischen Datenschutz-beauftragten

(vgl. Artikel 63 Absatz 3 Datenschutz-Grundverordnung)

ggf. Angaben zu den Zuständigkeiten von Verant-wortlichen, Auftragsverarbeiter oder gemeinsam Verantwortlichen

Zwecke und Mittel der Verarbeitung

Vorgesehene Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen

Kontaktdaten des Datenschutzbeauftragten der öffentlichen Stelle

die Datenschutz-Folgenabschätzung

Erlass eines Gesetzes oder einer Rechts-verordnung, die die Verarbeitung perso-nenbezogener Daten betrifft


bei der Ausarbeitung ei-nes Gesetzes oder einer Rechtsvorschrift

Gesetz- bzw. Verord-nungsgeber den Sächsi-schen Datenschutzbeauf-tragten

Keine Festlegung in der Datenschutz-Grundverordnung

Empfehlung: Gesetz bzw. Verordnungsentwurf

Übermittlung personenbezogener Daten in Drittländer oder internationale Organi-

vor der beabsichtigten Datenübermittlung

der Verantwortliche den Sächsischen Daten-

Keine Festlegung in der Datenschutz-Grundverordnung

Anlage 2

Seite 91 von 155

Konsultationspflicht Wann ist zu konsultie-ren?

Wer hat wen zu konsultie-ren

Mindestinhalt der vorzulegenden Unterlagen

sation ohne Angemessenheitsbeschluss aufgrund einer Verwaltungsvereinbarung


schutzbeauftragten Empfehlung: Verwaltungsvereinbarung

Anlage 3

Seite 92 von 155

Bisherige Rechtslage: Bisher haben Sie zunächst geprüft, ob spezialgesetzliche Vorschriften die Verarbeitung per-sonenbezogener Daten zulassen. Sofern dies nicht der Fall war, haben Sie die Vorschriften des Sächsischen Datenschutzge-setzgesetzes herangezogen, hier insbesondere die §§ 12 ff. Sächsisches Datenschutzge-setz. Sofern Sie bei der Auslegung dieser Vorschriften auf Schwierigkeiten gestoßen sein sollten, haben Sie dann ergänzend auf die EG-Datenschutzrichtlinie (Richtlinie des Europäischen Parlament und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten und zum freien Warenverkehr vom 24. Oktober 1995 (95/46/EG)) zurück-gegriffen.

Rechtslage seit 25. Mai 2018: Ausgangspunkt der Prüfung ist nun die Datenschutz-Grundverordnung. Die Prüfung wird mit Artikel 6 Absatz 1 Datenschutz-Grundverordnung begonnen. Sofern keine Einwilligung der betroffenen Personen in die Erhebung der Daten vorliegt, wird weiter geprüft, ob die Erhebung der Daten nach Artikel 6 Absatz 1 Buchstabe c oder e Da-tenschutz-Grundverordnung zulässig ist, also ob es insbesondere eine Rechtsvorschrift gibt, nach der eine Verpflichtung zur Datenerhebung besteht oder aber die Datenerhebung für die Wahrnehmung einer öffentlichen Aufgabe erforderlich ist. Erst zu diesem Zeitpunkt werden die spezialgesetzlichen Vorschriften des Bundes- oder Landesrecht herangezogen. Wenn diese nicht weiterhelfen, kann ggf. auf § 3 Sächsisches Datenschutzdurchführungsgesetz zurückgegriffen werden.

Prüfung der Zulässigkeit einer Verarbeitung perso-

nenbezogener Daten

Spezialge-

setzliche

Vorschrift

Sächsisches

Datenschutzge-

setz

Auslegungshilfe: EG-

Datenschutzrichtlinie

Datenschutz-

Grundverord-

nung

Spezialge-

setzliche

Vorschrift

Sächsisches Daten-

schutzdurchführungs-

gesetz

Anlage 3 a

Seite 93 von 155

Die behördlichen Datenschutzbeauftragten Mai 2018

der Staatskanzlei / Staatsministerien

Hinweise zur Anfertigung und Veröffentlichung von Bild- und Tonaufnahmen

mit Personenbezug durch Behörden

1. Anfertigung von Bild- und Tonaufnahmen Für die Anfertigung von Bild- und Tonaufnahmen gilt die Datenschutz-Grundverordnung (DSGVO), da die Abbildung einer natürlichen Person eine Verarbeitung personenbezogener Daten im Sinne der DSGVO ist. Dafür ist eine Erlaubnisnorm erforderlich. a) Bild- und Tonaufnahmen, die Personen nicht in den Mittelpunkt stellen Die Einholung einer Einwilligung (Art. 6 Abs.1 Satz 1 lit a) DSGVO) aller abgebildeten Per-sonen ist in der Praxis schwierig, teilweise unmöglich. Zwar bedarf es keiner schriftlichen Einwilligung, allerdings besteht die Pflicht des Fotografens, nachzuweisen, dass die betroffe-ne Person tatsächlich eingewilligt hat. Daher wird eine schriftliche Erklärung (auch in elektro-nischer Form möglich) unverzichtbar sein. Dies ist insbesondere bei größeren und anony-men Veranstaltungen (z.B. Tag der offenen Tür) problematisch, da zum Beispiel auch eine unterschriebene Erklärung nicht ohne Weiteres einer Person auf einem Foto zugeordnet werden kann. In diesen Fällen kann sich auf Art. 6 Abs. 1 Satz 1 lit. f) DSGVO gestützt werden. Diese Auf-fassung vertritt auch der Sächsischen Datenschutzbeauftragte (vgl. https://www.saechsdsb.de/ds-gvo-missverstaendnisse-und-fehleinschaetzungen). Nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO ist eine Datenverarbeitung zulässig, wenn diese zur

Wahrung der berechtigten Interessen des Verantwortlichen (Behörde) erforderlich ist und Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Das berechtigte Interesse kann im Regelfall bejaht werden. Führen die Behörden Veranstal-tungen o.Ä. durch, haben sie ein Interesse bzw. sogar die Pflicht, im Rahmen ihrer Öffent-lichkeitsarbeit darüber zu berichten. Zur Berichterstattung gehören insbesondere im Bereich der neuen Medien auch Bilder. Überwiegende Interessen oder Grundrechte/Grundfreiheiten der abgebildeten Personen liegen in der Regel nicht vor. Bei der hier vorzunehmenden Ab-wägung ist prüfen, ob eine betroffene Person zum Zeitpunkt der Datenerhebung und ange-sichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass mög-licherweise eine Verarbeitung für diesen Zweck (Öffentlichkeitsarbeit) erfolgen wird. Insbe-sondere nur dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in de-nen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Letzteres wird bei Veranstaltungen regelmäßig nicht der Fall sein. Wer zu einer entsprechenden öffentlichen Veranstaltung kommt, muss damit rechnen, dass Fotos gemacht und veröffentlicht/weiterverwendet werden. Art. 6 Abs. 1 S. 2 DSGVO steht dem nicht entgegen, da Art. 6 Abs. 1 Satz 1 lit. f) DSGVO für Behörden nur dann nicht gilt, wenn sie in Erfüllung ihrer Aufgaben, d.h. in Erfüllung der ge-setzlich übertragenen Aufgaben im Rahmen der Eingriffs- und Leistungsverwaltung tätig werden. Bei der Öffentlichkeitsarbeit ist anerkannt, dass es sich dabei um eine Annextätig-keit und nicht um die Aufgabenerledigung der Behörde handelt, so dass das Anfertigen von Fotos auf dieser Grundlage erfolgen kann.

https://dsgvo-gesetz.de/art-6-dsgvo/


https://www.saechsdsb.de/ds-gvo-missverstaendnisse-und-fehleinschaetzungen



Anlage 3 a

Seite 94 von 155

Von einer Information gemäß Art. 13/14 DSGVO kann abgesehen werden. Die Informationen nach der DSGVO sind zwar grundsätzlich umfassend und jedem Betroffenen zu erteilen. Eine Ausnahme enthält jedoch Art. 11 DSGVO. Danach ist es nicht erforderlich, eine Person zu identifizieren, nur um ihr die Informationen nach der DSGVO zukommen zu lassen. Die Identifizierung der Personen würde einen tieferen Eingriff in ihr Persönlichkeitsrecht darstel-len, als die eigentlich geforderte Informationsübermittlung. Auf ein Widerspruchsrecht ist allerdings nach Art. 21 Abs. 4 DSGVO hinzuweisen. b) Bild- und Tonaufnahmen, die Personen in den Mittelpunkt stellen In diesem Fall wird - wie bisher schon – die Einwilligung der betroffenen Person(en) erforder-lich sein. Bei Kindern/Schülern ist die Einwilligung der Eltern einzuholen. Insofern sollte vor Anfertigen des Bild- und Tonaufnahmen geprüft werden, ob derartige Aufnahmen für die Verwendung zu Zwecken der Öffentlichkeitsarbeit tatsächlich erforderlich sind. Dabei ist auch zu berücksichtigen, dass die Einwilligung jederzeit ohne Mitteilung von Gründen wider-rufen werden kann und somit die Aufnahmen nicht weiter verwendet werden dürfen und zu löschen sind. Die Informationspflichten nach Art. 13 DSGVO sind zu erfüllen. 2. Veröffentlichung der Bild- und Tonaufnahmen Die Veröffentlichung richtet sich - zumindest nach derzeitiger überwiegender Auffassung - weiterhin nach dem Kunsturheberrechtsgesetz (KunstUrhG). Das KunstUrhG stützt sich da-bei auf Art. 85 Abs. 1 DSGVO. Diese Norm gibt den Mitgliedstaaten nationale Gestaltungs-spielräume beim Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfrei-heit. Insofern können weiterhin ohne eine Einwilligung veröffentlicht werden: - Bildnisse aus dem Bereiche der Zeitgeschichte; - Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen

Örtlichkeit erscheinen; - Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die darge-

stellten Personen teilgenommen haben. Es ist jedoch stets zu beachten, dass durch das veröffentlichte Bild keine berechtigten Inte-ressen des Abgebildeten verletzt werden. Da es sich in der Regel um Bildaufnahmen von öffentlichen Veranstaltungen oder geschlossenen Veranstaltungen mit entsprechendem fachlichen/dienstlichem Bezug handeln dürfte, werden berechtigte Interessen des Abgebilde-ten (z.B. Schutz der Privatsphäre) regelmäßig nicht verletzt sein. 3. Empfehlungen Für die Ankündigungen und Einladungen von Veranstaltungen empfiehlt sich, den in Anlage 1 enthaltenen Datenschutzhinweis auf die jeweilige Veranstaltung anzupassen und aufzu-nehmen. Sofern Einwilligungen erforderlich sind, wird empfohlen, das in Anlage 2 enthaltene Muster auszufüllen/anzupassen und zu verwenden.






https://www.gesetze-im-internet.de/kunsturhg/index.html#BJNR000070907BJNE002801320


Anlage 3 b

Seite 95 von 155

Anlage 1

Vorschlag für die Formulierung eines Hinweises für offene Veranstaltungen mit großer

Teilnehmerzahl

Datenschutzhinweis Während der Veranstaltung werden Bild- und Tonaufnahmen gefertigt. Die Bildaufnahmen werden einzelne oder Gruppen von Teilnehmern zeigen, die nicht im Mittelpunkt des Bildes stehen. Medienvertreter, das [eintragen: veranstaltendes Ministerium bzw. Staatskanzlei] sowie deren Kooperationspartner der Veranstaltung können die Aufnahmen zur Information der Öffentlichkeit publizieren. Dies betrifft insbesondere die Veröffentlichung auf www.sachsen.de, auf Social-Media-Kanälen der Sächsischen Staatsregierung (Facebook, Twitter, Instagram) und in Printmedien (Informationsbroschüren, Pressemitteilungen, Präsen-tationen). Jede teilnehmende Person hat das Recht, aus Gründen, die sich aus ihrer beson-deren Situation ergeben, jederzeit gegen die Anfertigung von Bild- und Tonaufnahmen, die ihre Person betreffen, Widerspruch einzulegen. Der Widerspruch ist der vor Ort Bild- oder Tonaufnahmen fertigenden Person mitzuteilen.

http://www.sachsen.de/

Anlage 3 c

Seite 96 von 155

Anlage 2

Muster für eine Einwilligungserklärung für die Erstellung und Veröffentlichung von Bild- und Tonaufnahmen Briefkopf Verantwortlicher [eintragen: Anschrift, Tel., E-Mail-Adresse] Datenschutzrechtliche Einwilligung in die Anfertigung und Veröffentlichung von Bild- und Tonaufnahmen Ich willige ein, dass das/die [eintragen: Verantwortlicher] anlässlich ….[eintragen: konkreter Anlass, z. B. „(Sport-) Wettbewerbe am (Datum eingeben) in (Ort angeben)“, „Tag der offenen Tür am …(Datum eingeben) in (Ort angeben)“, „der Übergabe neuer Polizeifahrzeuge am …(Datum eingeben) in (Ort angeben)“,“, „der symboli-schen Scheckübergabe an den Verein am …(Datum eingeben) in (Ort angeben)“, zum Zweck ….[eintragen konkreten Zweck, z. B. „der Information der Öffentlichkeit über das Ereignis“ oder „Information der Bediensteten des – Angabe des Verantwortlichen“] Bildaufnahmen/Tonaufnahmen von mir angefertigt und in folgenden Wiedergabemedien ver-öffentlicht

☐ Intranetseite des [eintragen: Verantwortlicher]

☐ Internetauftritt des [eintragen: Verantwortlicher] unter www…….sachsen.de

☐ Facebook unter www.facebook.com/.......

☐ Twitter https://twitter.com/........

☐ ….. [ggf. Weitere eintragen]

sowie diese an [eintragen: z.B. „die örtliche Tagespresse“] weitergibt. Mir ist bekannt, dass die Bild- und Tonaufnahmen bei der Veröffentlichung im Internet oder in sozialen Netzwerken weltweit abrufbar und insbesondere durch Suchmaschinen auffindbar sind, eine Weiterverwendung und/oder Veränderung durch Dritte nicht ausgeschlossen wer-den kann und unter Umständen keine vollständige Löschung im Internet möglich ist.1 Die Einwilligung ist freiwillig. Aus einer Nichteinwilligung ergeben sich keine nachteiligen Fol-gen für mich. Meine Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmä-ßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt. Der Widerruf ist zu richten an [eintragen: verantwortliche Behörde mit Anschrift] oder per E-Mail an [eintragen: E-Mail-Adresse]. Die zusätzliche umseitige Information zur Verarbeitung meiner personenbezogenen Daten (Bild- und Tonaufnahmen) habe ich zur Kenntnis genommen.

1 Der Absatz ist nur bei Veröffentlichungen im Internet erforderlich

http://www.smi.sachsen.de/

http://www.facebook.com/.......

https://twitter.com/........

Anlage 3 c

Seite 97 von 155

Datum, Unterschrift (bei elektronischer Einholung sollte stattdessen mit opt-in-Lösungen gearbeitet werden)

Information zur Datenverarbeitung gemäß Artikel 13 Datenschutz-Grundverordnung Die Bild- und Tonaufnahmen werden gemäß Artikel 6 Absatz 1 Buchstabe a Datenschutz-Grundverordnung auf der Grundlage Ihrer Einwilligung angefertigt und gemäß § 22 Kun-stUrhG veröffentlicht. Die Aufnahmen werden dauerhaft gespeichert. Den Datenschutzbeauftragten des [eintragen: Verantwortlicher] können Sie erreichen unter: Tel.: …….. E-Mail. …….. Ihnen stehen bei Vorliegen der gesetzlichen Voraussetzungen folgende Rechte zu: - Recht auf Auskunft über Sie betreffende personenbezogene Daten (Artikel 15 Daten-

schutz-Grundverordnung) - Recht auf Berichtigung Sie betreffende unrichtige personenbezogene Daten (Artikel 16

Datenschutz-Grundverordnung) - Recht auf Löschung personenbezogener Daten (Artikel 17 Datenschutz-

Grundverordnung) - Recht auf Einschränkung der Verarbeitung personenbezogener Daten (Artikel 18 Da-

tenschutz-Grundverordnung) - Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten (Artikel 21

Datenschutz-Grundverordnung)

Entsprechende Anträge sind an den Verantwortlichen zu richten. Sie haben nach Artikel 77 Datenschutz-Grundverordnung außerdem das Recht, sich bei der Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten nicht rechtmäßig erfolgt. Aufsichtsbehörde ist Sächsischer Datenschutzbeauftragte Kontor am Landtag Devrientstraße 1 01067 Dresden

Anlage 4

Seite 98 von 155

Checkliste Benennung eines Datenschutzbeauftragten durch öffentliche Stel-

len

Rechtsgrundlage: Artikel 37 bis 39 Datenschutz-Grundverordnung

Prüfen/Realisieren Zu beachten erfüllt

Soll interner, externer oder gemeinsa-mer Datenschutzbeauftragter benannt werden?

in der Regel eine natürliche Person, keine juristische

Im Falle des Einsatzes von Hilfspersonal (Vertreter, Koordinatoren) Aufgabenvertei-lung konkret festlegen

Anforderungen an den Datenschutz-beauftragten:

- Berufliche Qualifikation, Fachwis-sen, persönliche Voraussetzun-gen des bDSB

Siehe „Merkblatt für öffentliche Stellen zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftrag-ten“

- Kein Interessenkonflikt durch Wahrnehmung sonstiger Aufga-ben

Keine Benennung von Personen mit be-sonderer Nähe zur Behördenleitung oder z. B. IT- oder Personalleitern oder Geheim-schutzbeauftragten

Dokumentation der Benennung,

insbesondere

- Zeitpunkt des Wirksamwerdens der Benennung

- Gesetzliche und ggf. zusätzliche Aufgaben des Datenschutzbeauf-tragten fixieren

- Ressourcen fixieren (Zeitkontin-gent, Räume, Qualifizierungen etc.)

Zwar keine Pflicht zur Schriftform, aber empfohlen zur Rechtsklarheit und aus Be-weisgründen

- Bei externen DSB Vereinbarung einer festen Vertragslaufzeit (siehe auch „Merkblatt für öffentliche Stellen zu Min-destanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauf-tragten“)

- Mindestaufgaben nach Artikel 39 Ab-satz 1 Datenschutz-Grundverordnung sind nicht abschließend, es können wei-tere Aufgaben übertragen werden wie z. B. Schulungen für die Mitarbeiter durch-zuführen

Veröffentlichung der Kontaktdaten und Mitteilung an den Sächsischen Daten-schutzbeauftragten

- Veröffentlichung der Kontaktda-ten im Intranet und Internet

- Mitteilung der Kontaktdaten an den Sächsischen Datenschutz-beauftragten

Kontaktdaten sind:

Postadresse, Telefonnummer und E-Mail-Adresse des Datenschutzbeauftrag-ten

Auch der Name des Datenschutzbeauftrag-ten sollte zumindest im Intranet veröffent-licht und dem Sächsischen Datenschutzbe-auftragten mitgeteilt werden

Unterstützungspflicht und Unabhän- Siehe „Merkblatt für öffentliche Stellen zu

Anlage 4

Seite 99 von 155

gigkeit des Datenschutzbeauftragten sicherstellen

Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutzbeauftrag-ten“

Anlage 5

Seite 100 von 155

Merkblatt für öffentliche Stellen zu Mindestanforderungen an Qualifikation und

Unabhängigkeit des Datenschutzbeauftragten

1. Anforderungen an die Qualifikation des Datenschutzbeauftragten

Die Datenschutz-Grundverordnung bestimmt in Artikel 37 Absatz 5, dass der Daten-

schutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesonde-

re des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und

der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung

der in Artikel 39 Datenschutz-Grundverordnung genannten Aufgaben.

Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen

Mindestkenntnisse bereits zum Zeitpunkt der Benennung des Datenschutzbeauftragten in

ausreichendem Maße vorliegen. Sie können z. B. durch den Besuch geeigneter Aus- und

Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt worden sein. Um even-

tuell zu Beginn der Benennung noch bestehende Informationsdefizite auszugleichen, emp-

fiehlt sich der Besuch von geeigneten Fortbildungsveranstaltungen. Der Besuch solcher Ver-

anstaltungen ist auch nach der Benennung angezeigt, um auf dem aktuellen, erforderlichen

Informationsstand zu bleiben und um sich Kenntnisse über die sich ändernden rechtlichen

und technischen Entwicklungen anzueignen.

Da der Begriff der beruflichen Qualifikation in der Datenschutz-Grundverordnung nicht weiter

erklärt ist und auch für das erforderliche Fachwissen eine dezidierte Beschreibung fehlt, sind

zur Orientierung im Folgenden Mindestanforderungen aufgeführt:

a. Datenschutzrecht allgemein – unabhängig von der Art und der Größe der öffentlichen

Stelle

- Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der be-

troffenen Personen sowie umfassende Kenntnisse zum Inhalt und zur rechtlichen

Anwendung der für die öffentliche Stelle einschlägigen Regelungen der Datenschutz-

Grundverordnung und des Sächsischen Datenschutzdurchführungsgesetzes,

- Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger

technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanfor-

derungen

b. Spezifisch – abhängig von der Art, Größe oder IT-Infrastruktur der öffentlichen Stelle und

der Sensibilität der zu verarbeitenden Daten

- umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften,

die für die eigene öffentliche Stelle relevant sind, insbesondere auch Verwaltungsvor-

schriften und Dienstvereinbarungen

- Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensi-

cherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware

und Schutzmaßnahmen, betriebswirtschaftliche Grundkompetenz (Personalwirt-

schaft, Haushaltswesen, Organisation etc.)),

Anlage 5

Seite 101 von 155

- Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwir-

kung in der öffentlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der Be-

hörde) und

- Kenntnisse im praktischen Datenschutzmanagement (z. B. Durchführung von Kontrol-

len, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-

Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Videoüberwa-

chungen, Zusammenarbeit mit dem Personalrat etc.).

c. Fähigkeit zur Erfüllung der Aufgaben

Die Fähigkeit zur Erfüllung seiner Aufgaben ergibt sich sowohl aus den persönlichen

Eigenschaften des Datenschutzbeauftragten als auch seinen Kenntnissen und seiner

Position innerhalb der öffentlichen Stelle. Zu den persönlichen Eigenschaften zählen

insbesondere Integrität, Kommunikationsfähigkeit sowie ein ausgeprägtes Berufs-

ethos.

2. Anforderungen an die Unabhängigkeit des Datenschutzbeauftragten

Kern der Rechtsstellung des Datenschutzbeauftragten ist seine Unabhängigkeit. Erwä-

gungsgrund 97 stellt diesbezüglich klar: „Derartige Datenschutzbeauftragte sollten un-

abhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder

nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“ Die

unmittelbaren Ausprägungen der Unabhängigkeit sind in Artikel 38 DSGVO geregelt. Hierzu

gehören:

- Weisungsfreiheit

- Unterstützungspflicht

- Benachteiligungs- und Abberufungsschutz

- Verpflichtung zur Geheimhaltung

- Keine Interessenkollision

Hierzu sind insbesondere folgende Maßnahmen erforderlich:

- Der Datenschutzbeauftragte ist in seiner Funktion dem Leiter der öffentlichen Stelle

organisatorisch unmittelbar zu unterstellen. Dem Datenschutzbeauftragten ist ein

unmittelbares Vortragsrecht beim Leiter der öffentlichen Stelle einzuräumen.

- Der Datenschutzbeauftragte muss in der Lage sein, seine Verpflichtungen ohne lnte-

ressenkonflikte erfüllen zu können. Dies ist durch entsprechende Regelungen inner-

halb der öffentlichen Stelle bzw. vertragliche Regelungen (bei externem Daten-

schutzbeauftragten) sicherzustellen und sowohl innerhalb der öffentlichen Stelle als

auch nach außen hin bekannt zu machen.

- Datenschutzbeauftragte dürfen wegen der Erfüllung ihrer Aufgaben im Hinblick auf ihr

sonstiges Beschäftigungsverhältnis, auch für den Fall, dass die Bestellung zum Da-

tenschutzbeauftragten widerrufen wird, nicht benachteiligt werden.

- Analog muss bei der Bestellung von externen Datenschutzbeauftragten der Dienst-

vertrag so ausgestaltet sein, dass eine unabhängige Erfüllung der gesetzlichen Auf-

Anlage 5

Seite 102 von 155

gaben durch entsprechende Vertragslaufzeiten, Zahlungsmodalitäten, Haftungsfrei-

stellungen und Dokumentationspflichten gewährleistet wird. Empfohlen wird grund-

sätzlich eine Mindestvertragslaufzeit von vier Jahren; bei Erstverträgen wird wegen

der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit

von ein bis zwei Jahren empfohlen.

- Datenschutzbeauftragte sind zur Verschwiegenheit verpflichtet, soweit sie nicht da-

von durch die betroffenen Personen befreit wurden. Dies gilt auch gegenüber der öf-

fentlichen Stelle und deren Leiter.

3. Erforderliche Rahmenbedingungen innerhalb der verantwortlichen Stelle zur Fach-

kunde und Unabhängigkeit des Datenschutzbeauftragten

- Insbesondere die Überwachungspflichten des Datenschutzbeauftragten setzen vo-

raus, dass ihm die zur Aufgabenerfüllung erforderlichen Zutritts- und Einsichtsrechte

in alle betrieblichen Bereiche eingeräumt werden.

- Datenschutzbeauftragte müssen frühzeitig in alle relevanten betrieblichen Planungs-

und Entscheidungsabläufe eingebunden werden. Gegebenenfalls sollte der Verant-

wortliche im Datenschutzkonzept der öffentlichen Stelle oder in sonstigen organisato-

rischen Regelungen festlegen, wann und in welchen Fällen der Datenschutzbeauf-

tragte zu Rate zu ziehen ist. Z. B. könnte u. a. bestimmt werden,

dass der Datenschutzbeauftragte den maßgeblichen Arbeitsgruppen ange-

hört, die mit Datenverarbeitungstätigkeiten innerhalb der öffentlichen Stelle

befasst sind,

er zur Teilnahme an den regelmäßigen Besprechungen der Leitungsebene

eingeladen wird,

seiner Meinung stets die gebührende Beachtung zu schenken ist bzw. im Falle

des Abweichens von seiner Meinung die Gründe hierfür zu dokumentieren

sind,

er bei einer Verletzung datenschutzrechtlicher Bestimmungen oder einem

sonstigen Vorfall unverzüglich hinzuzuziehen ist.

Die Regelungen sind allen Beschäftigten bekannt zu machen.

- Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die öf-

fentliche Stelle dem Datenschutzbeauftragten entsprechende Fachliteratur zur Verfü-

gung zu stellen, die Teilnahme an Fort- und Weiterbildungsveranstaltungen sowie am

Erfahrungsaustausch mit anderen Datenschutzbeauftragten zu ermöglichen und die

Kosten hierfür zu übernehmen. Bei der Bestellung von externen DSB kann die Fort-

bildung Bestandteil der vereinbarten Vergütung sein und muss nicht zusätzlich er-

bracht werden.

- Internen Datenschutzbeauftragten muss die erforderliche Arbeitszeit zur Erfüllung ih-

rer Aufgaben und zur Erhaltung ihrer Fachkunde zur Verfügung stehen. Bei Bestel-

lung eines externen Datenschutzbeauftragten muss eine bedarfsgerechte Leistungs-

erbringung gewährleistet sein. Sie muss in angemessenem Umfang auch in der be-

auftragenden verantwortlichen Stelle selbst erbracht werden. Ein angemessenes

Zeitbudget sollte konkret vereinbart und vertraglich festgelegt sein.

Anlage 5

Seite 103 von 155

- Die öffentliche Stelle hat den Datenschutzbeauftragten bei der Erfüllung seiner Auf-

gaben insbesondere durch die zur Bereitstellung von Personal, Räumen, Einrichtung,

Geräten und Mitteln zu unterstützen.

Anlage 6

Seite 104 von 155

Checkliste für die Aufgaben des Datenschutzbeauftragten im Anpassungspro-zess an die Regelungen der DSGVO

Beim Prozess der Anpassung an die Regelungen der DSGVO sollte der Datenschutzbeauf-tragte insbesondere die folgenden Aufgaben wahrnehmen:

- Adressatengerechte Kommunikation der Erforderlichkeit zur Anpassung an die kom-mende Gesetzeslage (DSGVO) gegenüber Leitungsebene und Fachabteilung

- Hinwirkung auf die Projektierung der Umsetzung der DSGVO

- Unterstützung bei der Umsetzung und im laufenden Betrieb (Beratungsauftrag); Er-läuterung und Präzisierung der gesetzlichen Anforderungen

- Beratung der Leitungsebene hinsichtlich Aufbau und zur Koordination eines Daten-schutzmanagements, dessen wesentliche Bestandteile insbesondere sind:

o „Strategien“ („policies“), die insbesondere Regelungen treffen hinsichtlich der

Zuweisung von Zuständigkeiten Risikobewertungen Sensibilisierung und Schulung der Mitarbeiter Durchführung von Kontrollen Einsatz „datenschutzfreundlicher“ Technologien

o IT-Sicherheit nach dem „Stand der Technik“ o Datenschutz-Folgenabschätzung, ggf. mit Konsultation des Sächsischen Da-

tenschutzbeauftragten o weitreichende Nachweis- / Dokumentationspflichten, die sich aus der DSGVO

ergeben o Umsetzung der Betroffenenrechte, insbesondere im Hinblick auf die Neuerun-

gen bei Löschung/Vergessenwerden Transparenz Datenportabilität

- Monitoring der Umsetzung der DSGVO

- Überwachung der Einhaltung der gesetzlichen Vorgaben, der internen Vorschriften

sowie der Funktionsfähigkeit des Datenschutzmanagements

Anlage 6a

Seite 105 von 155

Hinweise für Verantwortliche öffentlicher Stellen zur Verpflichtung zur Einhaltung des

Datenschutzes

1. Warum eine Verpflichtung zur Einhaltung des Datenschutzes?

Eine dem Datengeheimnis nach § 6 Absatz 2 SächsDSG entsprechende Regelung ist in der

seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) nicht enthalten.

Es wird dennoch empfohlen, neue Mitarbeiter auf die Beachtung des Datenschutzes zu ver-

pflichten und damit die „Verpflichtung auf das Datengeheimnis“ nach dem bisher geltenden §

6 Abs. 2 SächsDSG weiterzuführen. Nicht dem Anwendungsbereich der DSGVO unterfal-

lende Stellen können ggf. auch gesetzlich verpflichtet sein, weiterhin die Verpflichtung auf

das Datengeheimnis vorzunehmen. Die Verpflichtung auf die Einhaltung des Datenschutzes

ist eine organisatorische Maßnahme des Verantwortlichen, um sicherzustellen und den

Nachweis dafür erbringen zu können, dass die Verarbeitung personenbezogener Daten ge-

mäß der DSGVO erfolgt. Zunächst ist hier Artikel 5 DSGVO zu nennen. Dieser schreibt vor,

dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer

für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Des Weite-

ren legt Artikel 5 DSGVO dem Verantwortlichen die Pflicht auf, die Einhaltung dieser Vorga-

be nachweisen zu können (sog. Rechenschaftspflicht). Danach erwächst hieraus die Emp-

fehlung einer dokumentierten Verpflichtungserklärung. Auch Artikel 24 DSGVO spricht expli-

zit vom Erfordernis technischer und organisatorischer Maßnahmen, um sicherzustellen und

den Nachweis dafür erbringen zu können, dass die Verarbeitung personenbezogener Daten

gemäß der DSGVO – und damit selbstverständlich auch gemäß den Grundsätzen niederge-

schrieben in Artikel 5 DSGVO – erfolgt.

Weitere gesetzliche Anknüpfungspunkte sind beispielsweise Artikel 29 DSGVO und Artikel

32 DSGVO. Diese stellen klar, dass dem Verantwortlichen und Auftragsverarbeiter unterstell-

te Mitarbeiter, personenbezogene Daten, nur nach dessen Weisung verarbeiten dürfen.

2. Wann und durch wen soll die Verpflichtung zur Einhaltung des Datenschutzes vor-

genommen werden?

Wie bisher soll die Verpflichtung auf die Beachtung des Datenschutzes zu Beginn des

Dienst- oder Arbeitsverhältnisses erfolgen. Sie wird durch den Leiter der öffentlichen Stelle,

den Arbeitgeber oder jeweils einen Beauftragten vorgenommen. Sie schließt die wichtige

vorhergehende Unterrichtung des Bediensteten über die Grundsätze für die Verarbeitung

personenbezogener Daten nach Artikel 5 und Artikel 6 DSGVO sowie die sonstigen bei sei-

ner Tätigkeit zu beachtenden Vorschriften über den Datenschutz formal ab. Sie sollte am

ersten Arbeitstag erfolgen. Die Verpflichtungserklärung sollte auf einem separaten Blatt in

die Personalakte eingefügt werden.

Die vorhergehende Unterrichtung sollte durch eine geeignete Person vorgenommen werden.

Dies kann der Datenschutzbeauftragte nach Artikel 37 DSGVO sein, der damit seiner ihm

nach der DSGVO auferlegten Unterrichtungspflicht gemäß Artikel 39 Abs. 1 lit a DSGVO

nachkommen kann.




Anlage 6a

Seite 106 von 155

3. Was ist Inhalt der Verpflichtung zur Einhaltung des Datenschutzes?

Die Verpflichtung zur Einhaltung des Datenschutzes beinhaltet insbesondere das Verbot der

Verarbeitung personenbezogener Daten ohne entsprechende Befugnis, die sich nach Artikel

5 i. V. m. Artikel 6 DSGVOG vor allem aus einer Rechtsgrundlage (u. a. Gesetz, Rechtsver-

ordnung, Satzung) oder der Einwilligung der betroffenen Person ergeben kann. In der Unter-

richtung sollten außerdem die wichtigsten Grundsätze der Verarbeitung personenbezogener

Daten eingehend erörtert werden. Wünschenswert ist die Darlegung der für den konkreten

Bediensteten oder Mitarbeiter geltenden spezifischen Rechtsgrundlagen der Datenverarbei-

tung (z. B. Artikel 9 DSGVO oder im Sozialbereich § 35 SGB I, §§ 68 ff. SGB X etc.). Sonsti-

ge zu beachtende Vorschriften sind insbesondere die über technisch-organisatorische Maß-

nahmen zur Gewährleistung des Datenschutzes.

Auch über die sich aus einer Verletzung ergebenden dienst-, arbeits-, ordnungswidrigkeiten-

oder strafrechtlichen Konsequenzen sollte aufgeklärt werden. Eine unbefugte, nicht durch

den Verantwortlichen veranlasste, Verarbeitung von personenbezogenen Daten durch Mitar-

beiter stellt eine nicht von Art. 6 DSGVO umfasste Verarbeitung dar. Ein derartiger Verstoß

fällt unter den Bußgeldtatbestand des Artikel 83 DSGVO sowie des § 22 SächsDSDG.

4. Wer sollte auf die Beachtung des Datenschutzes verpflichtet werden?

Es sollten sämtliche einem Verantwortlichen unterstellten Bediensteten, die Zugang zu per-

sonenbezogenen Daten haben, verpflichtet werden. Der Begriff „Zugang“ ist weit auszule-

gen. Auf die konkrete Tätigkeit des Bediensteten oder Mitarbeiters kommt es nicht an. Zu-

gang kann auch derjenige haben, zu dessen Aufgaben die Verarbeitung per-

sonenbezogener Daten nicht gehört. Unter den Begriff fallen mithin neben den regulären

Voll- und Teilzeitbediensteten des Verantwortlichen auch deren Auszubildende, Praktikan-

ten, Gutachter, externe Datenschutzbeauftragte und freie Mitarbeiter. Rechtsgrundlage der

Tätigkeit „für eine öffentliche Stelle“ in diesem Sinne kann ein Minister- oder Beamtenver-

hältnis, aber auch ein Dienst-, Arbeits-, Auftrags- oder Werkvertrag sein.

5. Verpflichtung im Fall der Auftragsverarbeitung?

Auftragsverarbeitungsverträge (z.B. Wartungs-, Aktenvernichtungsunternehmen) nach Artikel

28, 29 DSGVO sollten vorsehen, dass der Auftragsverarbeiter gewährleistet, dass sich die

zur Verarbeitung der personenbezogenen Daten befugten Personen zur Einhaltung des Da-

tenschutzes verpflichtet haben (Artikel 28 Absatz 3 lit. b DSGVO). Die Verpflichtung selbst

kann durch den Auftragsverarbeiter vorgenommen werden. Aus den Anforderungen an die

Auswahl des Auftragsverarbeiters ergibt sich allerdings, dass der Verantwortliche den Auf-

tragsverarbeiter überwachen muss. Er muss sich wie bisher Gewissheit darüber verschaffen,

dass der Auftragsverarbeiter alle technischen und organisatorischen Maßnahmen einhält, die

zum Schutz der betroffenen personenbezogenen Daten getroffen wurden. Er kann sich vor

diesem Hintergrund auch die Verpflichtungserklärungen zur Kontrolle vorlegen lassen.


Anlage 6a

Seite 107 von 155

Auszug aus der Datenschutz-Grundverordnung:

Artikel 4 Begriffsbestimmungen

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbe-sondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnum-mer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren be-sonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physio-logischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Iden-tität dieser natürlichen Person sind;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vor-gang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speiche-rung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwen-dung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; …

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vor-gegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kri-terien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;“

…

Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten:

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wis-senschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbei-tung notwendige Maß beschränkt sein („Datenminimierung“);

Anlage 6a

Seite 108 von 155

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hin-blick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder be-richtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erfor-derlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rech-te und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öf-fentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbei-tet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personen-bezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrecht-mäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen

(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß die-sem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in je-dem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Um-fangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maß-nahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen techni-schen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsver-arbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhel-fen und seine möglichen nachteiligen Auswirkungen zu mindern;

Anlage 6a

Seite 109 von 155

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auf-tragsverarbeiter den Verstoß mitgeteilt hat;

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Ver-antwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeord-neten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder ver-miedene Verluste.

(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinan-der verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Ge-schäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;

b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;

c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Ge-schäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwil-ligung, gemäß den Artikeln 5, 6, 7 und 9;

b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;

d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;

e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Be-schränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde ge-mäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Ar-tikel 58 Absatz 1.

(6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten

Anlage 6a

Seite 110 von 155

weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

…

Auszug aus dem Sächsischen Datenschutzdurchführungsgesetz

§ 22 Ordnungswidrigkeiten und Strafvorschrift (1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes oder einer an-deren Rechtsvorschrift über den Schutz personenbezogener Daten Daten, die nicht offen-kundig sind, verarbeitet oder die Übermittlung durch unrichtige Angaben erschleicht. (2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfundzwanzigtausend Euro geahndet werden. (3) Der Sächsische Datenschutzbeauftragte ist Verwaltungsbehörde im Sinne des § 36 Ab-satz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten in der Fassung der Bekanntma-chung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 5 des Gesetzes vom 27. August 2017 (BGBl. I S. 3295) geändert worden ist, in der jeweils geltenden Fassung. (4) Wer eine der in Absatz 1 bezeichneten Handlungen gegen Entgelt oder in der Absicht begeht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar.

Anlage 6b

Seite 111 von 155

Behörde

Referat

Name des Verpflichtenden

Verpflichtung auf die Einhaltung des Datenschutzes

Herr/Frau

wird nach vorheriger Unterrichtung verpflichtet, beim Umgang mit personenbezogenen Daten die da-tenschutzrechtlichen Bestimmungen einzuhalten.

Personenbezogene Daten dürfen Sie nur mit entsprechender Befugnis, die sich nach Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) insbesondere aus einer Rechtsvorschrift (u. a. Gesetz, Rechtsverordnung, Satzung) oder der Einwilligung der betroffenen Person ergeben kann, verarbeiten.

Personenbezogene Daten dürfen Sie nur in dem Umfang und in der Weise verarbeiten, wie es zur Erfüllung der Ihnen übertragen Aufgaben erforderlich ist.

Personenbezogene Daten müssen Sie nach den Grundsätzen des Artikels 5 der Datenschutz-Grundverordnung verarbeiten.

Sie haben die zur Gewährleistung des Datenschutzes nach Artikel 5, 24, 25, 32 und 36 der Datenschutz-Grundverordnung festgelegten technischen und organisatorischen Maßnahmen zu beachten. Insbesondere darf die Sicherheit der Verarbeitung nicht in einer Weise verletzt werden, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung per-sonenbezogener Daten oder zum unbefugten Zugang zu personenbezogenen Daten führt.

Aus einer Verletzung der datenschutzrechtlichen Bestimmungen können sich für Sie dienst-, arbeits-,

ordnungswidrigkeiten- oder strafrechtliche Konsequenzen ergeben. So kann die unbefugte Verarbei-

tung personenbezogener Daten nach Artikel 83 der Datenschutz-Grundverordnung mit einer Geldbu-

ße oder nach § 22 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) mit einer Geldbuße

bis zu 25.000 Euro oder als Straftat mit bis zu zwei Jahren Freiheitsstrafe oder Geldstrafe geahndet

werden. Unberührt davon bleibt eine mögliche Ahndung nach den §§ 120, 133, 201, 203, 204, 331,

332, 353 b oder 355 StGB mit Freiheits- oder Geldstrafe. Der Sächsische Datenschutzbeauftragte

verfolgt und ahndet gemäß § 22 Abs. 3 SächsDSDG Verletzungen von Rechtsvorschriften über den

Schutz personenbezogener Daten. Bei Straftatbeständen kann der Dienstvorgesetzte Strafantrag

stellen (§ 77 a Abs. 1 StGB).

In Spezialgesetzen (z. B. dem Beamtenrecht, Tarifrecht, Sozialrecht, Steuerrecht) geregelte Ver-

schwiegenheitspflichten bleiben unberührt.

Die Verpflichtung auf die Einhaltung des Datenschutzes besteht auch nach der Beendigung Ihrer Tä-

tigkeit dauerhaft fort.

Erklärung:

Ich erkläre, über die Pflichten nach den datenschutzrechtlichen Bestimmungen, insbesondere der

Datenschutz-Grundverordnung sowie die Folgen ihrer Verletzung unterrichtet worden zu sein und

diese Pflichten bei meiner Tätigkeit einzuhalten. Mit meiner Unterschrift bestätige ich zugleich den

Empfang einer Kopie dieser Niederschrift einschließlich des Merkblattes zur Verpflichtung zur Einhal-

tung des Datenschutzes.

____________________________________

Datum, Unterschrift der/des Verpflichteten

Anlage 6b

Seite 112 von 155

Merkblatt zur Verpflichtung zur Einhaltung des Datenschutzes2

Nachstehende ausgewählte gesetzliche Vorschriften sollen Ihnen einen Überblick über die datenschutzrechtli-

chen Regelungen verschaffen. Die Darstellung ist exemplarisch und nicht abschließend. Weitere Informationen

zu datenschutzrechtlichen Fragestellungen erhalten Sie beim behördlichen Datenschutzbeauftragten bzw. im

Internet unter www.datenschutzrecht.sachsen.de .

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz

natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur

Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Auszug aus Artikel 4 (Begriffsbestimmungen)

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche

Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen,

die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kenn-

nummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die

Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen

Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche

Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisa-

tion, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwen-

dung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich

oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein

oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten ent-

scheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaa-

ten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benen-

nung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8. “Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die

personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;“

Artikel 5 (Grundsätze für die Verarbeitung personenbezogener Daten)

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Wei-

se verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken

nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse

liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt

gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß be-

schränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen

zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, un-

verzüglich gelöscht oder berichtigt werden („Richtigkeit“);

2 Das Merkblatt sollte noch um die behördenspezifischen Regelungen zum Datenschutz ergänzt werden, wie z. B. Regeln zum

Verhalten am Arbeitsplatz, Regelungen zur Bildung von Passwörtern, zum E-Mail-Verkehr und zur Internetnutzung.

http://www.datenschutzrecht.sachsen.de/

Anlage 6b

Seite 113 von 155

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht,

wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger

gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter techni-

scher und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der

betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für

wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1

verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewähr-

leistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust,

unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische

Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nach-

weisen können („Rechenschaftspflicht“).

Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen

(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße

gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und ab-

schreckend ist.

(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach

Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbu-

ße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der

betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes

des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des

den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von

ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen

nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in

welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auf-

tragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen

angeordnet wurden;

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach

Artikel 42 und

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar

durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Anlage 6b

Seite 114 von 155

(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verar-

beitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt

der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10

000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsat-

zes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;

b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;

c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20

000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsat-

zes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln

5, 6, 7 und 9;

b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale

Organisation gemäß den Artikeln 44 bis 49;

d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wur-

den;

e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Ausset-

zung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des

Zugangs unter Verstoß gegen Artikel 58 Absatz 1.

(6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit

Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von

bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt,

je nachdem, welcher der Beträge höher ist.

…

Auszug aus dem Sächsischen Datenschutzdurchführungsgesetz

§ 22 Ordnungswidrigkeiten und Strafvorschrift

(1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes oder einer anderen Rechtsvorschrift

über den Schutz personenbezogener Daten Daten, die nicht offenkundig sind, verarbeitet oder die Übermittlung

durch unrichtige Angaben erschleicht.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfundzwanzigtausend Euro geahndet werden.

(3) Der Sächsische Datenschutzbeauftragte ist Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des

Gesetzes über Ordnungswidrigkeiten in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S.

602), das zuletzt durch Artikel 5 des Gesetzes vom 27. August 2017 (BGBl. I S. 3295) geändert worden ist, in der

jeweils geltenden Fassung.

(4) Wer eine der in Absatz 1 bezeichneten Handlungen gegen Entgelt oder in der Absicht begeht, sich oder einen

anderen zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit

Geldstrafe bestraft. Der Versuch ist strafbar.

Anlage 6c

Merkblatt Informationspflichten nach den Artikeln 13 und 14 Datenschutz-Grundverordnung

1. Wann bestehen Informationspflichten nach Artikel 13 und 14 Datenschutz-

Grundverordnung? Informationspflichten bestehen in folgenden Fällen: Fallgruppe 1: Die personenbezogenen Daten werden bei der betroffenen Person erhoben –

Artikel 13 Datenschutz-Grundverordnung. Eine Datenerhebung bei der betroffe-nen Person erfolgt, wenn die Daten mit ihrer Kenntnis und unter ihrer Mitwirkung beschafft werden.

Fallgruppe 2: Die personenbezogenen Daten werden nicht bei der betroffenen Person erhoben

– Artikel 14 Datenschutz-Grundverordnung. Fallgruppe 3: Der Verantwortliche beabsichtigt die personenbezogenen Daten zu einem ande-

ren Zweck weiterzuverarbeiten als den,

zu dem die Daten erhoben wurden – Artikel 13 Absatz 3 Datenschutz-Grundverordnung, oder

für den die personenbezogenen Daten erlangt wurden – Artikel 14 Absatz 4 Datenschutz-Grundverordnung.

1.1 Erhebung personenbezogener Daten (Fallgruppen 1 und 2) Die Informationspflichten nach den Fallgruppen 1 und 2 sind an die Erhebung personenbezo-gener Daten geknüpft. Unter Erhebung ist das erstmalige zielgerichtete Zugreifen auf perso-nenbezogene Daten zu verstehen. Es setzt eine aktive Tätigkeit durch den Verantwortlichen voraus. Ein bloßes „Mitbekommen“ personenbezogener Daten ist keine Datenerhebung. Auch dem Verantwortlichen aufgedrängte Informationen fallen nicht unter den Begriff des Erhebens. Beispiele für eine Datenerhebung bei der betroffenen Person:

die betroffene Person wird von der öffentlichen Stelle aufgefordert, bestimmte personenbe-zogene Angaben zu übermitteln,

die öffentliche Stelle fragt personenbezogene Daten bei der betroffenen Person mittels E-Mail oder im Rahmen eines Telefonats ab,

die öffentliche Stelle fordert zur Antragstellung mittels eines bereitgestellten Formulars auf,

eine Stellenausschreibung wird veröffentlicht und damit potentielle Bewerber zur Einrei-chung ihrer persönlichen Unterlagen aufgefordert.

Beispiele für eine Datenerhebung, die nicht bei der betroffenen Person erfolgt:

bei einer anderen Behörde werden z. B. zur Beantwortung einer Anfrage personenbezoge-ne Daten abgefordert,

es erfolgt ein Abruf personenbezogener Daten aus einem Register,

Anlage 6c

Seite 2 von 6

die Datenerhebung erfolgt aus öffentlich zugänglichen Medien z. B. dem Internet oder der Zeitung.

Beispiele, bei denen keine Datenerhebung vorliegt3:

eine Person stellt bei einer öffentlichen Stelle eine Anfrage,

eine Person beschwert sich bei einer öffentlichen Stelle (aber: wenn die öffentliche Stelle aufgrund der Beschwerde eine Sachverhaltsermittlung z. B. bei weiteren Behörden einlei-tet, werden dann personenbezogene Daten erhoben),

eine Person übermittelt, ohne dazu aufgefordert worden zu sein, telefonisch oder per E-Mail personenbezogene Daten,

ein öffentliche Stelle erhält von einer anderen öffentlichen Stelle personenbezogene Daten, ohne eine Anforderung hierzu gestellt zu haben,

in einem Gespräch werden ohne entsprechende Nachfrage personenbezogene Daten mit-geteilt.

1.2 Zweckändernde Weiterverarbeitung personenbezogener Daten (Fallgruppe 3) Eine Änderung des Verarbeitungszwecks, der eine Informationspflicht auslöst, liegt vor, wenn die personenbezogenen Daten innerhalb einer öffentlichen Stelle zu einem anderen Zweck ver-arbeitet werden sollen. Werden personenbezogene Daten dagegen für eine Weiterverarbeitung zu einem anderen Zweck an eine andere öffentliche Stelle übermittelt, ist wie folgt zu unterscheiden:

Die Übermittlung erfolgt auf Ersuchen der anderen öffentlichen Stelle: In diesem Fall be-steht für die öffentliche Stelle, die die Daten übermittelt, keine Informationspflicht. Es han-delt sich um eine Erhebung personenbezogener Daten durch die anfordernde Stelle, die nicht bei der betroffenen Person erfolgt. Die anfordernde Stelle ist informationspflichtig.

Die Übermittlung erfolgt nicht auf Ersuchen einer anderen öffentlichen Stelle: Sofern keine Ausnahme greift (vgl. nachfolgend unter Ziffer 2) besteht für die übermittelnde Stelle eine Informationspflicht.

Keine Zweckänderung liegt nach § 3 Absatz 2 Sächsisches Datenschutzdurchführungsgesetz vor, wenn die personenbezogenen Daten

zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen,

zur Rechnungsprüfung,

zur Durchführung von Organisationsuntersuchungen,

zur Prüfung und Wartung automatisierter Verfahren oder

zu statistischen Zwecken des Verantwortlichen

3 Zu der Frage, ob die aufgeführten Beispielsfälle nicht unter das „Erheben personenbezogener Daten“ fallen, gibt es noch keine

einheitliche Meinung der Datenschutzaufsichtsbehörden/der Datenschutzkonferenz.

Anlage 6c

Seite 3 von 6

weiterverarbeitet werden. Eine Weiterverarbeitung zu Aus-, Fort-, Weiterbildungs- oder Prü-fungszwecken ist ebenfalls keine Zweckänderung, soweit nicht schutzwürdige Interessen der betroffenen Personen entgegenstehen. 2. Welche Ausnahmen bestehen, um von einer Information absehen zu können?

Ausnahmen von den Informationspflichten können sich aus der Datenschutz-Grundverordnung, dem Sächsischen Datenschutzdurchführungsgesetz oder sonstigen speziellen bundes- oder landesrechtlichen Vorschriften ergeben. 2.1 Ausnahmen nach der Datenschutz-Grundverordnung Unabhängig davon, ob die personenbezogenen Daten direkt bei der betroffenen Person erho-ben wurden oder nicht, besteht in folgendem Fall keine Informationspflicht:

Der betroffenen Person liegen die erforderlichen Informationen bereits vor, vgl. Artikel 13 Absatz 4, Artikel 14 Absatz 5 Buchstabe a Datenschutz-Grundverordnung. Gemeint sind dabei alle Information, die je nach Fallgruppe nach Artikel 13 Absatz 1 und 2 bzw. Artikel 14 Absatz 1 und 2 Datenschutz-Grundverordnung zu übermitteln sind.

Beispiel: Erst im Laufe der Verarbeitung von Daten in einem Verfahren (d. h. gleicher Ver-arbeitungszweck) stellt sich heraus, dass weitere Daten bei einer in der ersten Information der betroffenen Person noch nicht angegebenen Stelle erhoben werden müssen. Dann entsteht eine neue Informationspflicht nach Artikel 14 Datenschutz-Grundverordnung. Die Information kann in dem Falle aber auf die Aspekte begrenzt werden, die neu sind. So müssen z. B. Verantwortliche, Datenschutzbeauftragte, Speicherfristen, Empfänger, Beleh-rungen über die Rechte etc. nicht noch einmal aufgeführt werden, wenn über diese Anga-ben bereits bei der ersten Erhebung informiert wurde.

Werden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, ergeben sich weitere Ausnahmen aus Artikel 14 Absatz 5 Datenschutz-Grundverordnung. Zu nennen sind insbesondere folgende Fälle:

Die Erteilung der Information erweist sich als unmöglich.

Die Informationserteilung erfordert einen unverhältnismäßigen Aufwand.

Anhaltspunkte, wann ein unverhältnismäßiger Aufwand vorliegt, können insbesonde-re sein: die Zahl der betroffenen Personen oder das Alter der Daten (Erwägungs-grund 62 Datenschutz-Grundverordnung).

Es ist eine Abwägung zwischen Mitteilungsaufwand und Informationsinteresse vorzu-nehmen.

Es sind geeignete Schutzmaßnahmen zu treffen. Insbesondere kommt eine Bereit-stellung der Informationen für die Öffentlichkeit (z. B. Internetveröffentlichung) in Be-tracht.

Die Verarbeitung erfolgt für im öffentlichen Interesse liegende Archivzwecke, wissenschaft-liche oder historische Forschungszwecke oder statistische Zwecke.

Eine Abwägung zwischen Mitteilungsaufwand und Informationsinteresse ist nicht er-forderlich.

Anlage 6c

Seite 4 von 6

Es sind geeignete Schutzmaßnahmen zu treffen. Insbesondere kommt eine Bereit-stellung von Informationen für die Öffentlichkeit (z. B. Internetveröffentlichung) in Be-tracht.

Das Erfüllen der Informationspflicht würde voraussichtlich das Ziel der Verarbeitung unmög-lich machen oder ernsthaft beeinträchtigen (z. B. verdeckte Ermittlung des Dienstherrn zur Aufdeckung einer Straftat).

Es sind geeignete Schutzmaßnahmen zu treffen. Aufgrund der hier erfolgenden ver-deckten Datenerhebung kommt keine Bereitstellung allgemeiner Informationen für die Öffentlichkeit in Betracht. Möglich wäre aber eine Dokumentation, welche Informatio-nen weshalb nicht mitgeteilt werden.

Die Erlangung oder Offenlegung der personenbezogenen Daten ist durch eine Rechtsvor-schrift ausdrücklich geregelt, die folgende Maßgaben erfüllt:

Es handelt sich um eine Regelung in einem Gesetz, einer Rechtsverordnung oder ei-ner Satzung.

Die Rechtsvorschrift enthält eine Verpflichtung, nach der ein Verantwortlicher die Da-ten erlangen muss oder ihm diese offenzulegen sind.

Enthält die Rechtsvorschrift keine Verpflichtung zur Datenerhebung oder Offenle-gung, muss die Rechtsvorschrift so konkret sein, dass die betroffene Person erken-nen kann o unter welchen Voraussetzungen die Daten erlangt oder offen gelegt werden, o was der Verarbeitungszweck ist und o in welchem Umfang die Verarbeitung erfolgt.

Die Rechtsvorschrift enthält Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person.

Beispiele: Meldepflichten nach Infektionsschutzgesetz, Meldepflichten nach § 28a SGB IV, Übermittlungen nach Krebsregisterdatengesetz

Die personenbezogenen Daten unterliegen einem Berufsgeheimnis und müssen daher ver-traulich behandelt werden, z. B. Geheimhaltungspflichten der Rechtsanwälte, Notare, Steu-erberater oder Ärzte.

2.2 Ausnahmen nach dem Sächsischen Datenschutzdurchführungsgesetz Die Informationspflicht wird für die Fälle, bei denen eine Erhebung der personenbezogenen Daten nicht bei der betroffenen Person erfolgt, außerdem durch § 8 Sächsisches Datenschutz-durchführungsgesetz beschränkt. Die dortigen Ausnahmetatbestände entsprechen den bereits bisher geltenden Ausnahmen nach § 12 Absatz 6 Satz 4 Nummer 1 i. V. m. § 18 Absatz 5 Sächsisches Datenschutzgesetz. Die Beschränkung der Informationspflicht gilt nur, soweit und solange die dortigen Tatbestände erfüllt sind. Fällt der Grund für das Absehen von der Information weg, ist die Information nach-zuholen. 2.3 Ausnahmen nach sonstigen Rechtsvorschriften Auch sonstige spezielle Rechtsvorschriften können Ausnahmen von der Informationspflicht vor-sehen. Beispiele sind §§ 32a, 32 b Abgabenordnung oder §§ 82, 82a SGB X (jeweils in der ab 25. Mai 2018 geltenden Fassung).

Anlage 6c

Seite 5 von 6

Spezielle Regelungen gibt es darüber hinaus für die Videoüberwachung, vgl. § 13 Sächsisches Datenschutzdurchführungsgesetz. 3. Wer hat zu informieren?

Die Pflicht zur Information trifft den für die Verarbeitung der personenbezogenen Daten Verant-wortlichen, nicht dagegen einen etwaigen Auftragsverarbeiter. 4. In welcher Form ist die Information zu erteilen?

Die Information ist präzise, transparent, verständlich und leicht zugänglich sowie in klarer und einfacher Sprache, schriftlich oder in anderer Form, ggf. in elektronischer Form oder auf Ver-langen auch mündlich zu erteilen (Artikel 12 Absatz 1 Datenschutz-Grundverordnung). Das heißt insbesondere:

Die Art der Informationserteilung sollte sich daran ausrichten, wie die sonstige Kommunika-tion mit der betroffenen Person erfolgt (z. B. elektronische Antragstellung – elektronische Information, Kommunikation in Papierform – Information in Papierform).

Es ist ein aktives Handeln des Verantwortlichen erforderlich. Ein bloßes Einstellen der In-formationen z. B. auf einer Internetseite ohne weiteren Hinweis darauf reicht nicht aus.

Beispiele:

Bei einer elektronischen Antragstellung im Internet sollte auf der Seite des Antrags-formulars ein deutlicher Hinweis mit Link auf die Informationen nach Artikel 13 Absatz 2 und 3 Datenschutz-Grundverordnung vorgesehen werden.

Bei einem in Papierform einzureichenden Antrag sollten Informationen dem bereitge-stellten Antragsformular als Anhang beigefügt werden.

Bei Informationspflichten zur Verarbeitung von Beschäftigtendaten können die Infor-mationen im Intranet der Behörde eingestellt und die Bediensteten per E-Mail darauf hingewiesen werden, wenn dies auch sonst der übliche Weg zur Information der Be-diensteten ist.

Die Informationen sind kostenfrei zu übermitteln. 5. Zu welchem Zeitpunkt ist die Information zu erteilen?

Fallgruppe 1: Die Informationen sind zum Zeitpunkt der Erhebung der personenbezogenen

Daten zur Verfügung zu stellen. Fallgruppe 2: Grundsätzlich sind die Informationen innerhalb einer angemessenen Frist, längs-

tens jedoch innerhalb eines Monats nach Erlangung der Daten zu erteilen. Die Monatsfrist ist eine Maximalfrist und daher nicht pauschal zu veranschlagen.

Werden die Daten zur Kommunikation mit der betroffenen Person verwendet, er-folgt die Information spätestens zum Zeitpunkt der ersten Mitteilung an die be-troffene Person.

Anlage 6c

Seite 6 von 6

Werden die personenbezogenen Daten gegenüber einem anderen Empfänger of-fengelegt, hat die Information spätestens zum Zeitpunkt der ersten Offenlegung zu erfolgen.

Fallgruppe 3: Die Information ist vor der Weiterverarbeitung zu dem anderen Zweck zu erteilen.

Anlage 6c

Hinweise zu den Formularen zur Erfüllung der Informationspflichten nach Artikel 13 und 14 Datenschutz-Grundverordnung

Anwendungsbereich der Formulare: Formular 1: Information betroffener Personen über die Verarbeitung personenbezogener Da-

ten, wenn die Daten bei der betroffenen Person erhoben werden (Artikel 13 Da-tenschutz-Grundverordnung, siehe Merkblatt Ziffer 1 Fallgruppe 1)

Formular 2: Information betroffener Personen über die Verarbeitung personenbezogener Da-

ten, wenn die Daten nicht bei der betroffenen Person erhoben werden (Artikel 14 Datenschutz-Grundverordnung, siehe Merkblatt Ziffer 1 Fallgruppe 2)


ten, wenn die Daten zu einem anderen Zweck weiterverarbeitet werden sollen (Artikel 13 Absatz 3, Artikel 14 Absatz 4 Datenschutz-Grundverordnung, siehe Merkblatt Ziffer 1 Fallgruppe 3)


ten, wenn bereits bei der ersten Erhebung abzusehen ist, dass personenbezoge-ne Daten sowohl bei der betroffenen Person als auch bei anderen Stellen erho-ben werden (Artikel 13 Absatz 1 und 2, Artikel 14 Absatz 1 und 2 Datenschutz-Grundverordnung)

Weitere Anwendungshinweise: Die Formulare berücksichtigen jeweils die für öffentliche Stellen relevanten Inhalte, über die zu informieren ist. Die Formulare sind dabei so aufgebaut, dass die wesentlichen Informationen in den ersten Zif-fern zusammengefasst sind: Formular 1: Ziffern 1 bis 8 Formular 2: Ziffern 1 bis 10.2 Formular 3: Ziffern 1 bis 6.2 Formular 4: Ziffern 1 bis 9 Über die dort angegebenen Inhalte sollte in jedem Fall informiert werden. Die weiteren Ziffern umfassen dagegen Informationen, die weniger häufig relevant sein werden. Kommen hier einzelne Punkte bei der konkret betroffenen Verarbeitung nicht in Betracht, kön-nen anstatt des Ankreuzens des nein-Kästchens die betreffenden Zeilen auch gelöscht werden. Die verbleibenden Zeilen sollten dann ggf. neu nummeriert werden. Die Formulare sind keine verbindlichen Vorgaben, sondern ein Vorschlag, wie die Informations-pflichten erfüllt werden können.

Formular 1 Anlage 6c

Seite 1 von 3

Datenschutzrechtliche Informationen nach Artikel 13 Absatz 1 und 2 Datenschutz-Grundverordnung für

1 Verantwortlicher:

E-Mail:

Telefon:

2 Datenschutzbeauftragte/r: Datenschutzbeauftragte/r der /des

E-Mail:

Telefon:

3 Zweck der Verarbeitung personenbezogener Da-ten:

4 Rechtsgrundlage für die Verarbeitung der perso-nenbezogenen Daten:

5.1 Die personenbezogenen Daten sollen natürlichen oder juristischen Personen, Behörden, Einrich-tungen oder anderen Stellen offengelegt werden.

ja nein

5.2 nur falls Nr. 5.1 ja:

Angabe der Emp-fänger oder Kate-gorien der Emp-fänger der perso-nenbezogenen Daten:

6 Dauer der Speicherung oder Kriterien für die Fest-legung der Dauer der Speicherung:

7 Ihre Rechte als betroffene Person:

Ihnen stehen bei Vorliegen der gesetzlichen Voraussetzungen folgen-de Rechte zu:

Recht auf Auskunft über Sie betreffende personenbezogene Daten (Artikel 15 Datenschutz-Grundverordnung)

Recht auf Berichtigung Sie betreffende unrichtige personenbezo-gene Daten (Artikel 16 Datenschutz-Grundverordnung)

Recht auf Löschung personenbezogener Daten (Artikel 17 Daten-


Seite 2 von 3

schutz-Grundverordnung)

Recht auf Einschränkung der Verarbeitung personenbezogener Daten (Artikel 18 Datenschutz-Grundverordnung)

Recht auf Widerspruch gegen die Verarbeitung personenbezoge-ner Daten (Artikel 21 Datenschutz-Grundverordnung)

8 Beschwerderecht bei der Aufsichtsbehörde:

Sie haben nach Artikel 77 Datenschutz-Grundverordnung das Recht, sich bei der Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten nicht rechtmäßig erfolgt. Aufsichtsbehörde ist

Der Sächsische Datenschutzbeauftragte Kontor am Landtag Devrientstraße 1 01067 Dresden.

9.1 Die personenbezogenen Daten sollen an ein Drittland oder eine internationale Organisation über-mittelt werden.

ja nein

falls ja: Die Übermittlung erfolgt an


Es liegt ein Angemessenheitsbeschluss nach Artikel 45 Datenschutz-Grundverordnung vor, mit dem die EU-Kommission beschlossen hat, dass das Drittland/die internationale Organi-sation ein angemessenes Datenschutzniveau bietet.

ja nein

9.3 nur falls Nr. 9.1 ja und 9.2 nein:

Es liegen geeignete und angemessene Garantien für die Übermittlung der personenbezo-genen Daten vor.

Eine Kopie dieser Garantien können Sie unter folgender Adresse anfordern:

Informationen über die geeigneten und angemessenen Garantien sind verfügbar unter:

10.1 Die Bereitstellung der personenbezogenen Daten ist gesetzlich vorgeschrieben.

ja nein

falls ja: Rechtsgrundlage ist .

10.2 nur falls 10.1 ja:

Sie sind verpflichtet, die personenbezogenen Daten bereitzustellen:

ja nein

10.3 nur falls Nr. 10.2

Die Verpflichtung bezieht sich auf folgende perso-nenbezogene


Seite 3 von 3

ja: Daten:

Die Nichtbereit-stellung der per-sonenbezogenen Daten hat zur Folge:

10.4 Die Bereitstellung der personenbezogenen Daten ist vertraglich vereinbart.

ja nein


Die vertragliche Vereinbarung bezieht sich auf folgende perso-nenbezogene Daten:


10.6 Die Bereitstellung der personenbezogenen Daten ist für einen Vertragsabschluss erforderlich.

ja nein



11.1 Es findet eine automatisierte Entscheidungsfindung statt.

ja nein


Nachfolgend werden Sie über die involvierte Logik sowie die Tragweite und die Auswirkun-gen dieser Verarbeitung für Sie informiert:

Anlage 6c

Seite 1 von 5

Hinweise zu den einzelnen Angaben in Formular 1 Zu Ziffer 1 Ziffer 1 dient der Information nach Artikel 13 Absatz 1 Buchstabe a Datenschutz-Grundverordnung. Verantwortlicher ist in der Regel die jeweilige öffentliche Stelle. Abweichungen hierzu können sich aus speziellen Regelungen ergeben, die den Verantwortlichen bestimmen, vgl. z. B. § 67 Absatz 4 Satz 2 SGB X in der ab 25. Mai 2018 geltenden Fassung. Neben dem Namen des Verantwortlichen sind auch dessen Kontaktdaten anzugeben. Dies kann in allgemeiner Form unter Verwendung der E-Mail-Adresse der Poststelle und der telefo-nischen Einwahl in die öffentliche Stelle erfolgen. Es können hier aber auch konkretere Anga-ben eingetragen werden, z. B. E-Mail-Adressen von Funktionspostfächern. Die Angabe eines konkreten Bearbeiters ist nicht erforderlich. Die Angabe eines Vertreters kommt bei öffentlichen Stellen nicht in Betracht. Artikel 13 Absatz 1 Buchstabe a Datenschutz-Grundverordnung zielt insoweit auf die Benennung eines nach Artikel 27 Datenschutz-Grundverordnung bestellten Vertreters ab. Diese Vorschrift gilt nach Artikel 27 Absatz 2 Buchstabe b Datenschutz-Grundverordnung nicht für Behörden oder öffentliche Stel-len. Zu Ziffer 2 Ziffer 2 dient der Information nach Artikel 13 Absatz 1 Buchstabe b Datenschutz-Grundverordnung. Es ist nicht erforderlich, den Datenschutzbeauftragten namentlich zu benen-nen. Die Bezeichnung „Datenschutzbeauftragter“ und die Bezugnahme auf die konkrete Behör-de sind ausreichend. Die Kontaktdaten (Postanschrift, Telefonnummer und E-Mail-Adresse) müssen sich auf die Erreichbarkeit des Datenschutzbeauftragten beziehen. Nicht ausreichend wäre es z. B., eine allgemeine Telefonnummer in der Behörde anzugeben und dem Betroffenen zuzumuten, sich von dort aus weiter verbinden zu lassen. Zu Ziffer 3 Ziffer 3 dient der Information nach Artikel 13 Absatz 1 Buchstabe c Datenschutz-Grundverordnung. Der Zweck der Verarbeitung muss eindeutig und vollständig angegeben werden. Dient die Ver-arbeitung mehreren Zwecken, sind alle Zwecke anzugeben. Bei der Verarbeitung personenbezogener Daten zu Zwecken, die im öffentlichen Interesse lie-gen, ergibt sich die Zweckbestimmung aus der jeweiligen zu erfüllenden Aufgabe oder aus einer konkreten Zweckbestimmung in der Rechtsgrundlage der Verarbeitung. Diese gesetzlichen Formulierungen sollten bei der Angabe des Zwecks verwendet werden. Zu Ziffer 4

Anlage 6c

Seite 2 von 5

Ziffer 4 dient ebenfalls der Information nach Artikel 13 Absatz 1 Buchstabe c Datenschutz-Grundverordnung. Als Rechtsgrundlagen für die Verarbeitung personenbezogener Daten kommen insbesondere in Betracht:

Einwilligung der betroffenen Person, Artikel 6 Absatz 1 Buchstabe a, Artikel 9 Absatz 2 Buchstabe a Datenschutz-Grundverordnung in Verbindung mit der Einwilligungserklärung,

Vertrag oder vorvertragliches Verhältnis, Artikel 6 Absatz 1 Buchstabe b Datenschutz-Grundverordnung,

Erfüllung einer rechtlichen Verpflichtung, Artikel 6 Absatz 1 Buchstabe c Datenschutz-Grundverordnung in Verbindung mit der spezialgesetzlichen Regelung,

Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person, Artikel 6 Absatz 1 Buchstabe d Datenschutz-Grundverordnung,

Verarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe, Artikel 6 Absatz 1 Buchstabe e Datenschutz-Grundverordnung in Verbindung mit § 3 Absatz 1 Säch-sisches Datenschutzdurchführungsgesetz und der spezialgesetzlichen Norm, in der die Aufgabenzuweisung erfolgt,

bei der Verarbeitung von Beschäftigtendaten außerhalb beamtenrechtlicher Regelungen § 11 Absatz 1 Sächsisches Datenschutzdurchführungsgesetz.

Nicht in Betracht kommt für Behörden im Rahmen ihrer Aufgabenerfüllung dagegen eine Verar-beitung personenbezogener Daten nach Artikel 6 Absatz 1 Buchstabe f Datenschutz-Grundverordnung (vgl. Artikel 6 Absatz 1 Satz 2 Datenschutz-Grundverordnung). Die Informati-onspflicht nach Artikel 13 Absatz 1 Buchstabe d Datenschutz-Grundverordnung wurde im For-mular daher nicht berücksichtigt. Zu Ziffern 5.1 und 5.2 Die Ziffern 5.1 und 5.2 dienen der Information nach Artikel 13 Absatz 1 Buchstabe e Daten-schutz-Grundverordnung. Soweit absehbar ist, dass die personenbezogenen Daten im Rahmen der Verarbeitung zum angegebenen Verarbeitungszweck natürlichen oder juristischen Personen, Behörden, Einrich-tungen oder anderen Stellen offengelegt werden sollen, ist die betroffene Person über die Emp-fänger oder die Kategorien der Empfänger zu informieren. Maßgeblicher Zeitpunkt für die damit verbundene Einschätzung ist die Datenerhebung. Der Begriff „Empfänger“ ist in Artikel 4 Nummer 9 Datenschutz-Grundverordnung definiert. Hier-zu gehört grundsätzlich jede Stelle, der personenbezogene Daten offengelegt werden. Dabei ist folgendes zu beachten:

Der Empfänger muss kein Dritter im Sinne der Datenschutz-Grundverordnung sein (vgl. die Definition in Artikel 4 Nummer 10 Datenschutz-Grundverordnung). Als Empfänger kommen vielmehr auch einzelne Organisationseinheiten innerhalb des Verantwortlichen in Betracht, die unterschiedliche Funktionen erfüllen. Es ist insoweit vom funktionalen Stellenbegriff

Anlage 6c

Seite 3 von 5

auszugehen, der beispielsweise auch bisher den Übermittlungsvorschriften im Sächsischen Datenschutzgesetz zugrunde lag.

Bei einer absehbaren Auftragsverarbeitung personenbezogener Daten ist der Auftragsver-arbeiter als Empfänger anzugeben.

Keine Empfänger sind dagegen Behörden, die im Rahmen eines bestimmten, gesetzlich festgelegten Untersuchungsauftrags personenbezogene Daten erhalten. Ein Beispiel ist die Offenlegung von personenbezogenen Daten gegenüber dem Sächsischen Rechnungshof.

Anzugeben sind der absehbare Empfänger oder die Kategorien von Empfängern. Die Angabe muss so konkret erfolgen, wie es zum Zeitpunkt der Datenerhebung möglich ist:

Ist zu diesem Zeitpunkt bereits ein konkreter Empfänger absehbar, dann ist dieser auch zu benennen. Dabei reicht der Name des Empfängers bzw. der empfangenden Stelle aus. Die Angabe weiterer Kontaktdaten ist durch die Datenschutz-Grundverordnung nicht vorge-schrieben.

Kann noch kein konkreter Empfänger benannt werden, sind die absehbaren Empfänger in allgemeiner Form so zu beschreiben, dass die betroffene Person die Risiken, die mit einer Offenlegung der personenbezogenen Daten gegenüber diesen Empfängern verbunden sind, abschätzen kann.

Zu Ziffer 6 Ziffer 6 dient der Information nach Artikel 13 Absatz 2 Buchstabe a Datenschutz-Grundverordnung. Zu Ziffer 7 Ziffer 7 dient der Information nach Artikel 13 Absatz 2 Buchstabe b und c Datenschutz-Grundverordnung. Das Formular enthält bereits eine Formulierung, die für die hier relevanten Informationen ver-wendet werden kann. Das in Artikel 13 Absatz 2 Buchstabe b Datenschutz-Grundverordnung aufgeführte Recht auf Datenübertragbarkeit wurde nicht als Standardtext aufgenommen. Es gilt nach Artikel 20 Ab-satz 3 Satz 2 Datenschutz-Grundverordnung nicht für eine Verarbeitung, die für die Wahrneh-mung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentli-cher Gewalt erfolgt. Sofern sich die Verarbeitung jedoch nicht in diesem Rahmen bewegt, muss der Hinweis auf das Recht auf Datenübertragbarkeit ergänzt werden. Folgende Ergänzung soll-te in diesem Fall aufgenommen werden:

Recht auf Datenübertragbarkeit (Artikel 20 Datenschutz-Grundverordnung) Darüber hinaus besteht nach Artikel 13 Absatz 2 Buchstabe c Datenschutz-Grundverordnung eine weitere Informationspflicht, wenn die Verarbeitung der personenbezogenen Daten auf ei-ner Einwilligung beruht. In diesen Fällen ist Ziffer 8 wie folgt zu ergänzen:

Anlage 6c

Seite 4 von 5

Darüber hinaus haben Sie das Recht, Ihre Einwilligung zur Verarbeitung Ihrer personenbe-zogenen Daten jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt.

Zu Ziffer 8 Ziffer 8 dient der Information nach Artikel 13 Absatz 2 Buchstabe d Datenschutz-Grundverordnung. Das Formular enthält bereits eine Formulierung, die für die hier relevante Information verwendet werden kann. Zu Ziffern 9.1 bis 9.3 Die Ziffern 9.1 bis 9.3 dienen der Information nach Artikel 13 Absatz 1 Buchstabe f Daten-schutz-Grundverordnung. Die Datenschutz-Grundverordnung definiert den Begriff „Drittland“ nicht. Eine Übermittlung per-sonenbezogener Daten an ein Drittland erfolgt jedoch dann, wenn die Daten an einen Empfän-ger außerhalb der Europäischen Union gehen sollen. Der Begriff der internationalen Organisati-on ist dagegen in Artikel 4 Nummer 26 Datenschutz-Grundverordnung definiert. Prominentes Beispiel für eine internationale Organisation ist die UN. Für die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Orga-nisation gelten die besonderen Voraussetzungen der Artikel 44 ff. Datenschutz-Grundverordnung. Die Datenübermittlung darf insbesondere nur dann erfolgen, wenn

die Europäische Kommission beschlossen hat, dass das Drittland oder die internationale Organisation ein angemessenes Schutzniveau bietet (Artikel 45 Datenschutz-Grundverordnung, Angemessenheitsbeschluss) oder

wenn geeignete Garantien für die Übermittlung nach Maßgabe insbesondere der Artikel 46 und 49 Absatz 1 Datenschutz-Grundverordnung vorliegen.

Die betroffene Person muss sich über die Risiken der Datenübermittlung ohne Angemessen-heitsbeschluss informieren können. Dies erfolgt über die Angabe, wo die betroffene Person eine Kopie der Garantien, die die Datenschutz-Grundverordnung-konforme Übermittlung absichern sollen, erhalten oder diese Informationen abrufen kann (z. B. auf einer entsprechenden Inter-netseite). Zu Ziffern 10.1 bis 10.7 Die Angaben nach diesen Ziffern dienen der Information nach Artikel 13 Absatz 2 Buchstabe e Datenschutz-Grundverordnung. Eine Verpflichtung zur Bereitstellung von personenbezogenen Daten (Ziffer 10.2) kann bei-spielsweise bei statistischen Erhebungen bestehen. Nicht immer bezieht sich die Verpflichtung zur Bereitstellung der personenbezogenen Daten auf alle für die Verarbeitung erforderlichen Daten. Daher sind die personenbezogenen Daten, die der Verpflichtung zur Bereitstellung unterliegen, zu benennen (Ziffern 10.3 und 10.5).

Anlage 6c

Seite 5 von 5

Außerdem muss die betroffene Person einschätzen können, was passiert, wenn sie die perso-nenbezogenen Daten nicht offenbart (Ziffern 10.3, 10.5 und 10.7). Bei gesetzlich vorgeschrie-benen Datenerhebungen kommen beispielsweise Bußgelder in Betracht, wenn die personenbe-zogenen Daten nicht übermittelt werden. Oftmals wird es aber auch nur darauf hinauslaufen, dass z. B. keine Vertragsbeziehung eingegangen oder ein Antrag nicht bearbeitet werden kann. Zu Ziffern 11.1 und 11.2 Die Ziffern 11.1 und 11.2 dienen der Information nach Artikel 13 Absatz 2 Buchstabe f Daten-schutz-Grundverordnung. Die Nutzung personenbezogener Daten, um auf der Grundlage automatisierter Entscheidungs-findungen einschließlich Profiling Entscheidungen zu treffen, ist nur unter den Voraussetzungen des Artikels 22 Datenschutz-Grundverordnung zulässig. Artikel 4 Nummer 4 Datenschutz-Grundverordnung definiert den Begriff „Profiling“. Die betroffene Person soll darüber informiert werden, dass ihre Daten automatisiert verarbeitet werden sollen, um rechtlich relevante oder sonst für die betroffene Person nachteilige Entschei-dungen zu fällen oder vorzubereiten. Dabei reicht eine bloße Information über den Umstand der automatischen Entscheidungsfindung bzw. das Profiling nicht aus. Vielmehr müssen weitere Angaben erfolgen (siehe Ziffer 11.2)

zur involvierten Logik, also insbesondere Methoden und Kriterien der Datenverarbeitung und verwendete Algorithmen, sowie

zu Tragweite und Auswirkungen der angestrebten Verarbeitung, also insbesondere wo-rüber auf der Grundlage der automatisierten Verarbeitung entschieden werden soll, welche Entscheidungsmöglichkeiten bestehen und welche Verarbeitungsergebnisse zu welcher Entscheidung führen.

Anlage 6c

Formular 2

Seite 1 von 3

Datenschutzrechtliche Informationen nach Artikel 14 Absatz 1 und 2 Datenschutz-Grundverordnung für

1 Verantwortlicher:

E-Mail:

Telefon:


E-Mail:

Telefon:



5 Diese Kategorien perso-nenbezogener Daten werden verarbeitet:


ja nein






Anlage 6c

Formular 2

Seite 2 von 3



Recht auf Löschung personenbezogener Daten (Artikel 17 Daten-schutz-Grundverordnung)





Der Sächsische Datenschutzbeauftragte Kontor am Landtag Devrientstraße 1

01067 Dresden.

10.1 Die personenbezogenen Daten stammen aus fol-gender Quelle:

10.2 Es handelt sich um eine öffentlich zugängliche Quelle:

ja nein


ja nein




ja nein





Anlage 6c

Formular 2

Seite 3 von 3


ja nein



Anlage 6c

Seite 1 von 2

Hinweise zu den einzelnen Angaben in Formular 2 Zu Ziffer 1 Ziffer 1 dient der Information nach Artikel 14 Absatz 1 Buchstabe a Datenschutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu Ziffer 1 des Formulars 1 wird Bezug genommen. Zu Ziffer 2 Ziffer 2 dient der Information nach Artikel 14 Absatz 1 Buchstabe b Datenschutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu Ziffer 2 des Formulars 1 wird Bezug genommen. Zu Ziffer 3 Ziffer 3 dient der Information nach Artikel 14 Absatz 1 Buchstabe c Datenschutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu Ziffer 3 des Formulars 1 wird Bezug genommen. Zu Ziffer 4 Ziffer 4 dient ebenfalls der Information nach Artikel 14 Absatz 1 Buchstabe c Datenschutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu Ziffer 4 des Formulars 1 wird Bezug genommen. Zu Ziffer 5 Ziffer 5 dient der Information nach Artikel 14 Absatz 1 Buchstabe d Datenschutz-Grundverordnung. Erforderlich und ausreichend ist eine Beschreibung der Datenarten, die ver-arbeitet werden sollen. Nicht erforderlich ist dagegen die Angabe welche konkreten Daten erho-ben wurden. Datenkategorien können beispielsweise sein: Adressdaten, Mitarbeiterstammdaten, Zahlungs-daten, Grundstücksdaten etc. Zu Ziffern 6.1 und 6.2 Die Ziffern 6.1 und 6.2 dienen der Information nach Artikel 14 Absatz 1 Buchstabe e Daten-schutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu den Ziffern 5.1 und 5.2 des Formulars 1 wird Bezug genommen. Zu Ziffer 7 Ziffer 7 dient der Information nach Artikel 14 Absatz 2 Buchstabe a Datenschutz-Grundverordnung. Zu Ziffer 8

Anlage 6c

Seite 2 von 2

Ziffer 8 dient der Information nach Artikel 14 Absatz 2 Buchstabe c und d Datenschutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu Ziffer 7 des Formulars 1 wird Bezug genommen. Zu Ziffer 9 Ziffer 9 dient der Information nach Artikel 14 Absatz 2 Buchstabe e Datenschutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu Ziffer 8 des Formulars 1 wird Bezug genommen. Zu Ziffern 10.1 und 10.2 Die Ziffern 10.1 und 10.2 dienen der Information nach Artikel 14 Absatz 2 Buchstabe f Daten-schutz-Grundverordnung. Es ist anzugeben, woher die erhobenen personenbezogenen Daten stammen. In Betracht kommen beispielsweise andere Behörden, Institutionen oder natürliche Personen, der öffentli-chen Stelle zur Verfügung stehende Register, Veröffentlichungen etc. Wurde eine öffentlich zugängliche Quelle verwendet, ist darauf gesondert hinzuweisen (vgl. Ziffer 10.2). Als öffentlich zugänglich gilt eine Datenquelle dann, wenn ihre Daten jedermann nutzen kann. Ob dafür eine Anmeldung erforderlich ist oder die Nutzung gegen Entgelt erfolgt, spielt dabei keine Rolle. Beispiele für öffentlich zugängliche Quellen sind Telefonbücher, öffent-liche Register, die ohne ein besonderes rechtliches Interesse eingesehen werden können sowie öffentlich einsehbare Internetseiten. Wurden die personenbezogenen Daten aus mehreren Quellen erhoben, so sind alle Quellen anzugeben. Zu Ziffern 11.1 bis 11.3 Die Ziffern 11.1 bis 11.3 dienen der Information nach Artikel 14 Absatz 1 Buchstabe f Daten-schutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu den Ziffern 9.1 bis 9.3 des Formulars 1 wird Bezug genommen. Zu Ziffern 12.1 und 12.2 Die Ziffern 12.1 und 12.2 dienen der Information nach Artikel 14 Absatz 2 Buchstabe g Daten-schutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu Ziffer 11.1 und 11.2 des Formulars 1 wird Bezug genommen.

Anlage 6c

Formular 3

Seite 1 von 2

Datenschutzrechtliche Informationen bei einer zweckändernden Weiterverarbeitung personenbezogener Daten

Der/Die/Das hat personenbezogene Daten von Ihnen erhoben, um diese zum Zweck zu verarbeiten. Nun ist beabsichtigt, diese Daten zu einem anderen Zweck weiterzuver-arbeiten. Die Einzelheiten entnehmen Sie bitte nachfolgenden Informationen.

1 (neuer) Zweck der Verar-beitung personenbezoge-ner Daten:


3 Diese Kategorien perso-nenbezogener Daten werden weiterverarbeitet:


5.1 Sie sind verpflichtet, die Weiterverarbeitung Ihrer personenbezogenen Daten zu dem unter Ziffer 1 angegebenen Zweck zu dulden:

ja nein


Die rechtliche Verpflichtung folgt aus:

Die Verpflichtung bezieht sich auf folgende perso-nenbezogene Daten:

5.3 falls Nr. 5.1 nein:

Die Weiterverarbeitung Ihrer personenbezogenen Daten beruht auf Ihrer Einwilligung. Sie haben das Recht, diese Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt.


ja nein

Anlage 6c

Formular 3

Seite 2 von 2




ja nein




ja nein






ja nein



Anlage 6c

Seite 1 von 2

Hinweise zu den einzelnen Angaben in Formular 3 Nach Artikel 13 Absatz 3 und Artikel 14 Absatz 4 Datenschutz-Grundverordnung ist bei einer Weiterverarbeitung personenbezogener Daten zu einem anderen Zweck jeweils über diesen anderen Zweck und die maßgeblichen Angaben nach Absatz 2 des jeweiligen Artikels zu infor-mieren. Da bei einer zweckändernden Weiterverarbeitung personenbezogener Daten nicht alle diese Informationen relevant sind, dagegen aber Informationen, die in Artikel 13 Absatz 1 oder Artikel 14 Absatz 1 Datenschutz-Grundverordnung genannt sind, für die betroffenen Person relevant sein können, wurden im Formular Angaben nach den jeweiligen Absätzen 1 aufge-nommen und nach den Absätzen 2 weggelassen. Alle Informationen, die in Formular 3 gegeben werden, sind an dem neuen Verarbeitungszweck auszurichten. Zu Ziffer 1: Der neue Zweck der Verarbeitung ist anzugeben. Für die Beschreibung des Zwecks gelten die Hinweise zu Ziffer 3 des Formulars 1 entsprechend. Zu Ziffer 2: Es ist die Rechtsgrundlage der Verarbeitung für den neuen Zweck anzugeben. Die Hinweise zu Ziffer 4 des Formulars 1 gelten entsprechend. Zu Ziffer 3: Die Kategorien der personenbezogenen Daten, die weiterverarbeitet werden sollen, sind anzu-geben. Ggf. werden nicht alle personenbezogenen Daten, die bereits von der betroffenen Per-son erhoben wurden, weiterverarbeitet. Die betroffene Person soll daher Kenntnis darüber er-langen, welche ihrer Daten für den neuen Zweck genutzt werden. Zur Angabe der Kategorien personenbezogener Daten gelten die Hinweise zu Ziffer 5 des For-mulars 2 entsprechend. Zu Ziffer 4: Die Verarbeitung der personenbezogenen Daten zu einem anderen Zweck kann eine Änderung in der Dauer der Speicherung der Daten mit sich bringen. Daher ist die betroffene Person über die Dauer der Speicherung zu informieren. Zu Ziffern 5.1 bis 5.2: Für die betroffene Person muss erkennbar sein, ob die Weiterverarbeitung ihrer personenbezo-genen Daten von Ihrer Entscheidung abhängt oder sie die Weiterverarbeitung dulden muss (Zif-fer 5.1). Eine Duldungspflicht kann sich dabei sowohl aus Rechtsvorschriften als auch aus ver-traglichen Vereinbarungen ergeben. Die betroffene Person soll erkennen können, auf welche Daten sich die Duldung bezieht (Ziffer 5.2).

Anlage 6c

Seite 2 von 2

Sofern keine Duldungspflicht besteht, muss die betroffene Person in die Weiterverarbeitung ihrer personenbezogenen Daten einwilligen. Die Einwilligung ist durch den Verantwortlichen einzuholen. Bei einer Verarbeitung auf der Grundlage einer Einwilligung ist die betroffene Per-son auf ihr Widerrufsrecht hinzuweisen. Angaben zu sonstigen Betroffenenrechten sowie zum Beschwerderecht bei der Aufsichtsbehör-de sind entbehrlich, da bereits bei Datenerhebung hierüber informiert wurde. Zu Ziffern 6.1 und 6.2: Bei der Verarbeitung für den neuen Zweck kann sich der Empfängerkreis der personenbezoge-nen Daten ändern. Daher ist die betroffene Person über die Empfänger bzw. die Kategorien der Empfänger ihrer Daten zu informieren. Die Hinweise zu den Ziffern 5.1 und 5.2 des Formulars 1 gelten entsprechend. Zu Ziffern 7.1 bis 7.3: Die Hinweise zu den Ziffern 9.1 bis 9.3 des Formulars 1 gelten entsprechend. Zu Ziffern 8.1 und 8.2: Die Hinweise zu den Ziffern 11.1 und 11.2 des Formulars 1 gelten entsprechend.

Anlage 6c

Formular 4

Seite 1 von 4

Datenschutzrechtliche Informationen nach Artikel 13 Absatz 1 und 2 sowie Artikel 14 Ab-satz 1und 2 Datenschutz-Grundverordnung für

1 Verantwortlicher:

E-Mail:

Telefon:


E-Mail:

Telefon:



5 Es werden personenbezogene Daten verarbeitet, die nicht bei Ihnen, sondern bei anderen Stellen erhoben werden.

5.1 Es handelt sich um die Verarbeitung folgender Kategorien personenbe-zogener Daten:

5.2 Diese personenbezoge-nen Daten stammen aus folgender Quelle:

Es handelt sich um eine öffentlich zugängliche Quelle:

ja nein


ja nein

6.2 nur falls

Angabe der Emp-fänger oder Kate-

Anlage 6c

Formular 4

Seite 2 von 4

Nr. 6.1 ja:

gorien der Emp-fänger der perso-nenbezogenen Daten:






Recht auf Löschung personenbezogener Daten (Artikel 17 Daten-schutz-Grundverordnung)





Der Sächsische Datenschutzbeauftragte Kontor am Landtag Devrientstraße 1

01067 Dresden.


ja nein




ja nein

10.3 nur falls Nr. 10.1 ja



Anlage 6c

Formular 4

Seite 3 von 4

und 10.2 nein:


11.1 Die Bereitstellung der personenbezogenen Daten, die bei Ihnen direkt erhoben werden, ist gesetz-lich vorgeschrieben.

ja nein

falls ja: Rechtsgrundlage ist .

11.2 nur falls 11.1 ja:

Sie sind verpflichtet, die personenbezogenen Daten bereitzustellen:

ja nein


Die Verpflichtung bezieht sich auf folgende perso-nenbezogene Daten:


11.4 Die Bereitstellung der personenbezogenen Daten, die bei Ihnen direkt erhoben werden, ist vertrag-lich vereinbart.

ja nein


Die vertragliche Vereinbarung bezieht sich auf folgende perso-nenbezogene Daten:


11.6 Die Bereitstellung der personenbezogenen Daten, die bei Ihnen direkt erhoben werden, ist für einen Vertragsabschluss erforderlich.

ja nein

11.7 nur falls Nr.

Die Nichtbereit-stellung der per-sonenbezogenen

Anlage 6c

Formular 4

Seite 4 von 4

11.6 ja:

Daten hat zur Folge:


ja nein



Anlage 6c

Seite 5 von 2

Hinweise zu den einzelnen Angaben in Formular 4 In der Praxis wird es häufig vorkommen, dass für ein und denselben Zweck personenbezo-gene Daten sowohl bei der betroffenen Person als auch bei anderen Stellen erhoben wer-den. In diesen Fällen müssen nicht zwei gesonderte Informationen an die betroffenen Per-sonen gegeben werden. Vielmehr kann der Informationspflicht auch mit einer Information nachgekommen werden. Im vorliegenden Formular wurde dabei der Umstand, dass sich die konkret zu gebenden Informationen bei der Erhebung personenbezogener Daten bei der betroffenen Person oder bei einer anderen Stelle teilweise, aber eben nicht vollständig, decken, in den einzelnen Formulierungen berücksichtigt. Zu Ziffer 1 Ziffer 1 dient der Information nach Artikel 13 Absatz 1 Buchstabe a und Artikel 14 Absatz 1 Buchstabe a Datenschutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu Ziffer 1 des Formulars 1 wird Bezug genommen. Zu Ziffer 2 Ziffer 2 dient der Information nach Artikel 13 Absatz 1 Buchstabe b und Artikel 14 Absatz 1 Buchstabe b Datenschutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu Ziffer 2 des Formulars 1 wird Bezug genommen. Zu Ziffer 3 Ziffer 3 dient der Information nach Artikel 13 Absatz 1 Buchstabe c und Artikel 14 Absatz 1 Buchstabe c Datenschutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu Ziffer 3 des Formulars 1 wird Bezug genommen. Zu Ziffer 4 Ziffer 4 dient ebenfalls der Information nach Artikel 13 Absatz 1 Buchstabe c und Artikel 14 Absatz 1 Buchstabe c Datenschutz-Grundverordnung. Auf die entsprechend geltenden Hin-weise zu Ziffer 4 des Formulars 1 wird Bezug genommen. Zu Ziffern 5, 5.1 und 5.2 Ziffer 5 dient der Information nach Artikel 14 Absatz 1 Buchstabe d und Absatz 2 Buchstabe f Datenschutz-Grundverordnung. Die Angaben sollen sich nur auf die personenbezogenen Daten beziehen, die nicht bei der betroffenen Person erhoben werden. Im Übrigen wird auf die entsprechend geltenden Hin-weise zu Ziffer 5 und 10.1 und 10.2 des Formulars 2 Bezug genommen.

Anlage 6c

Seite 6 von 2

Zu Ziffern 6.1 und 6.2 Die Ziffern 6.1 und 6.2 dienen der Information nach Artikel 13 Absatz 1 Buchstabe e und Artikel 14 Absatz 1 Buchstabe e Datenschutz-Grundverordnung. Auf die entsprechend gel-tenden Hinweise zu den Ziffern 5.1 und 5.2 des Formulars 1 wird Bezug genommen. Zu Ziffer 7 Ziffer 7 dient der Information nach Artikel 13 Absatz 2 Buchstabe a und Artikel 14 Absatz 2 Buchstabe a Datenschutz-Grundverordnung. Zu Ziffer 8 Ziffer 8 dient der Information nach Artikel 13 Absatz 2 Buchstabe b und c sowie Artikel 14 Absatz 2 Buchstabe c und d Datenschutz-Grundverordnung. Auf die entsprechend gelten-den Hinweise zu Ziffer 7 des Formulars 1 wird Bezug genommen. Zu Ziffer 9 Ziffer 9 dient der Information nach Artikel 13 Absatz 2 Buchstabe d und Artikel 14 Absatz 2 Buchstabe e Datenschutz-Grundverordnung. Auf die entsprechend geltenden Hinweise zu Ziffer 8 des Formulars 1 wird Bezug genommen. Zu Ziffern 10.1 bis 10.3 Die Ziffern 10.1 bis 10.3 dienen der Information nach Artikel 13 Absatz 1 Buchstabe f und Artikel 14 Absatz 1 Buchstabe f Datenschutz-Grundverordnung. Auf die entsprechend gel-tenden Hinweise zu den Ziffern 9.1 bis 9.3 des Formulars 1 wird Bezug genommen. Zu Ziffern 11.1 bis 11.7 Die Angaben nach diesen Ziffern dienen der Information nach Artikel 13 Absatz 2 Buchstabe e Datenschutz-Grundverordnung. Die Angaben beziehen sich nur auf die Daten, die direkt bei der betroffenen Person erhoben werden. Es gelten im Übrigen die zu den Ziffern 10.1 bis 10.7 des Formulars 1 gegebenen Hinweise. Zu Ziffern 12.1 und 12.2 Die Ziffern 12.1 und 12.2 dienen der Information nach Artikel 13 Absatz 2 Buchstabe f und Artikel 14 Absatz 2 Buchstabe g Datenschutz-Grundverordnung. Auf die entsprechend gel-tenden Hinweise zu Ziffer 11.1 und 11.2 des Formulars 1 wird Bezug genommen.

Anlage 7

Seite 7 von 1

Prüfschema: Zulässigkeit einer Beauftragung zur Verarbeitung personenbezogener

Daten, bei der der Auftraggeber eine öffentliche Stelle ist

Ist die Verarbeitung der personenbezogenen Daten in der (eigenen) öffentli-chen Stelle zulässig?

Die Verarbeitung der personenbezogenen Daten erfolgt aufgrund einer Rechtsvorschrift und ist zur Erfüllung einer rechtlichen Verpflichtung oder für die Wahrnehmung einer öffentlichen Aufgabe erforderlich (Artikel 6 Ab-satz 1 Buchstabe c und e, Absatz 2 und 3 Datenschutz-Grundverordnung i. V. m. einer spezialgesetzlichen Regelung).

Die öffentliche Stelle ist für die Verarbeitung zuständig.

ja nein

Die Auftragsverarbeitung ist nicht zulässig.

Ist eine Auftragsverarbeitung rechtlich ausgeschlossen?

Spezialgesetzliche Vorschriften lassen eine Auf-tragsverarbeitung nicht zu;

die Voraussetzungen, die in spezialgesetzlichen Vorschriften für die Zulässigkeit einer Auftragsverar-beitung festgelegt sind, liegen nicht vor oder

verfassungsrechtliche Schranken, z. B. der Funkti-onsvorbehalt für den öffentlichen Dienst (Artikel 91 Absatz 1 Sächsische Verfassung), lassen die Auf-tragsverarbeitung nicht zu.

ja nein

Die Auftragsverarbeitung ist nicht zulässig.

Soll eine öffentliche Stelle beauftragt wer-den?

Liegt die zu beauftragende Verarbeitung personenbezo-gener Daten im Zuständigkeitsbereich der zu beauftra-genden Stelle?

Die Auftragsverarbeitung ist zulässig, wenn bei der vertraglichen Gestaltung die Vorgaben des Artikels 28 Datenschutz-Grundverordnung beachtet werden.

Die Auftragsverarbeitung ist nicht zulässig. Es wäre zunächst eine ge-setzliche Grundlage zur Zuständigkeit zu schaffen.

nein ja

nein

ja

Anlage 8

Seite 8 von 1

Anlage 9

Seite 9 von 2

Regelungen, die Anforderungen an die Verarbeitung personenbezogener Daten enthalten – Beispiele

Allgemeine Beschreibung des Norminhalts ggf. Beispiele4

Definitionen, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten von Bedeutung sind

Ziffer I.5 VwV Schuldatenschutz,

Rechtsgrundlagen für die Zulässigkeit von Da-tenverarbeitungen und ggf. darin enthaltene besondere Voraussetzungen

Regelungen zur Datenverarbeitung in Entwäs-serungssatzungen, Vorschriften zur Erhebung von Daten und Meldevorschriften in Beherber-gungssteuersatzungen, § 11 Rundfunkbeitrags-staatsvertrag

Rechtsgrundlagen für die Zulässigkeit von Zweckänderungen sowie weitere Anforderungen hierfür

Regelungen zur Übermittlung von Meldedaten der Meldebehörde an die Steuerbehörde nach einer Zweitwohnsteuersatzung, Übermittlung von Meldedaten zur Erstellung eines Wählerver-zeichnisses im Rahmen einer Wahlordnung

Verweise auf das Sächsische Datenschutzge-setz oder andere geänderte datenschutzrechtli-che Regelungen (z. B. BDSG)

Buchstabe D VwV Personalakten für Beamte, Anlage 2 der VwV Dienstordnung

Voraussetzungen und dem Empfänger mitzutei-lende Bedingungen für Datenübermittlungen (auch in andere EU-Mitgliedstaaten und Dritt-staaten)

Regelungen zur Auftragsdatenverarbeitung und zur Zusammenarbeit mehrerer verantwortlicher Stellen

Ziffer 11 der Anlage 3 zur VwV zu § 79 SäHO

Voraussetzungen, die an das Vorliegen einer Einwilligung zur Datenverarbeitung geknüpft werden,

Einverständnis zur Weitergabe personenbezo-gener Daten von der Steuerbehörde an die Kreispolizeibehörde im Rahmen einer Hunde-steuersatzung

spezielle tatbestandliche Ausformung von Be-troffenenrechten (Benachrichtigung, Auskunft, Übermittlung einer Kopie, Löschung, Berichti-gung, Vervollständigung, Sperrung, Wider-spruch, Verbot automatisierter Einzelentschei-dung, Pflicht zur Meldung von Datenpannen) und der Ausnahmen hiervon

Einsichtsrechte in personenbezogene Daten im Rahmen von Wahlordnungen, Regelungen zu Informationspflichten gegenüber einer betroffe-nen Person in Statistiksatzungen, Regelungen zu Mindestaufbewahrungsfristen, die personen-bezogene Daten betreffen (= Einschränkung eines Löschungsrechts)

Datenschutzrechtliche Regelungen in Bezug auf Minderjährige

4 Die aufgeführten Beispielsregelungen enthalten Regelungen zum allgemein beschriebenen Norminhalt. Mit

der Aufnahme in die Tabelle wird nicht bereits ein Änderungsbedarf festgestellt. Die Normen sollten jedoch auf einen Änderungsbedarf hin geprüft werden.

Anlage 9

Seite 10 von 2

Spezielle Ausgestaltung technisch-organisatorischer Maßnahmen zur Sicherstel-lung von Datenschutz und Datensicherheit

Anlage 3 zur VwV zu § 79 SäHO,

spezielle Anforderungen an die Verarbeitung besonderer personenbezogener Daten (= sen-sible Daten i.S.v. Artikel 9 Absatz 1 Daten-schutz-Grundverordnung)

Besondere Vorschriften zur Ausgestaltung der Zusammenarbeit mit dem Sächsischen Daten-schutzbeauftragten (Aufsicht, Meldepflichten, etc.)

Besondere Anforderungen an die Vorabkontrolle und Dokumentation von Datenverarbeitungen

Besondere Anforderungen an Datenschutzbe-auftragte öffentlicher Stellen

Ziffer II.5 VwV Schuldatenschutz,

Regelungen zu personenbezogenen Daten Be-schäftigter

Dienstvereinbarungen zur Regelung der Ar-beitszeiterfassung, Dienstvereinbarungen zur Einführung von Personalverwaltungssystemen

Regelungen zu Sanktionen (insbes. Bußgelder) und zum Schadensersatz bei Verstoß gegen datenschutzrechtliche Vorschriften

besondere Anforderungen an die Datenverarbei-tung für wissenschaftliche und historische For-schung, Archive im öffentlichen Interesse oder der Statistik

Kommunale Archivsatzungen, kommunale Sta-tistiksatzungen z. B. zur Wahlstatistik

Anlage 10

Seite 11 von 6

Öffnungsklauseln und Regelungsspielräume

Im Einzelnen enthält die Datenschutz-Grundverordnung folgende Regelungsoptionen, die hier nach verschiedenen Kategorien untergliedert dargestellt sind:

Querschnittsfragen

Artikel 4 Absatz 7, 2. Halbsatz Datenschutz-Grundverordnung / Definition des „für die Verarbeitung Verantwortlichen“: Rechtsvorschriften können den „für die Verarbei-tung Verantwortlichen“ oder die Kriterien zur Auswahl eines „für die Verarbeitung Verantwortlichen“ regeln, sofern die Zwecke und Mittel der Verarbeitung ebenfalls ge-regelt sind.

Artikel 4 Absatz 9, Erwägungsgrund (EG) 31 Datenschutz-Grundverordnung: Behör-den, die im Rahmen eines einzelnen Untersuchungsauftrags Daten erhalten, gelten nicht als Empfänger. Rechtsfolge ist, dass

o die übermittelnde Stelle den Betroffenen nicht gemäß Artikel 13 Absatz 1 Buchstabe e und 14 Absatz 1 Buchstabe e Datenschutz-Grundverordnung in-formieren muss,

o die übermittelnde Stelle den Betroffenen nicht gemäß Artikel 15 Absatz 1 Buchstabe c Datenschutz-Grundverordnung beauskunften muss,

o die empfangende Behörde nicht gemäß Artikel 19 Datenschutz-Grundverordnung über Berichtigung, Löschung oder Verarbeitungsbeschrän-kung informieren muss,

o die Übermittlung nicht gemäß Artikel 30 Absatz 1 Buchstabe d Datenschutz-Grundverordnung zu dokumentieren ist.

Mitgliedstaaten können festlegen, wann Behörden aufgrund eines einzelnen Untersu-chungsauftrages Daten abfragen können (z. B. Steuer- und Finanzbehörden, Fi-nanzmarktbehörden, unabhängige Verwaltungsbehörden) mit der Folge, dass die übermittelnde Stelle die o.g. Verpflichtungen nicht hat.

Rechtmäßigkeit der Datenverarbeitung

Artikel 6 Absatz 1 (EG 44 ff.) Datenschutz-Grundverordnung:

Die Vorschrift schreibt in allgemeiner Weise die Voraussetzungen, unter denen eine Verarbeitung personenbezogener Daten zulässig ist, vor. Im Hinblick auf Rechtsvor-schriften ist relevant:

Öffentlich-rechtliche Datenverarbeiter (Behörden, aber auch Kammern, Universitäten etc.) dürfen personenbezogene Daten verarbeiten (z. B. erheben, speichern, nutzen, löschen), wenn dies „für die Wahrnehmung einer Aufgabe erforderlich“ ist, „die im öf-fentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt“ (Buchst. e). Nachrangig ist auch nicht ausgeschlossen, dass sie personenbezogene Daten auf-grund einer Einwilligung des Betroffenen (Buchst. a) oder zum Schutz seiner oder ei-nes anderen Menschen lebenswichtiger Interessen (Buchst. d) verarbeiten. Hingegen kommt für öffentlich-rechtliche Datenverarbeiter Buchst. b (Vertragserfüllung) als Rechtsgrundlage für die Verarbeitung kaum in Betracht; Buchst. f (Wahrung berech-tigter Interessen) ist ausdrücklich ausgeschlossen.

Anlage 10

Seite 12 von 6

Ein weiterer Zulässigkeitsgrund deckt die „zur Erfüllung einer rechtlichen Verpflich-tung erforderlich“(e) Verarbeitung ab, „der der Verantwortliche unterliegt“ (Buchst. c). Damit können z.B. Rechtsvorschriften gemeint sein, die wie Aufzeichnungs- und Auf-bewahrungspflichten im Handels-, Gewerbe- oder Steuerrecht oder in der amtlichen Statistik die Verarbeitung personenbezogener Daten durch Dritte aufgrund einer öf-fentlich-rechtlichen Verpflichtung regeln.

Artikel 6 Absatz 2 Datenschutz-Grundverordnung:

Die Vorschrift erlaubt in den Bereichen von Artikel 6 Absatz 1 Buchstabe c und e Da-tenschutz-Grundverordnung sowie den „besonderen Verarbeitungssituationen gemäß Kapitel IX Datenschutz-Grundverordnung (Verhältnis zur Meinungsfreiheit; Verhältnis zur Informationsfreiheit; Verarbeitung einer Personenkennziffer; Beschäftigtendaten-schutz; Archivwesen, wissenschaftliche oder historische Forschung und Statistik; Ge-heimhaltungspflichten der Datenschutz-Aufsichtsbehörden; Kirchen und religiöse Vereinigungen oder Gemeinschaften), bestehende bereichsspezifische Datenverar-beitungsvorschriften beizubehalten oder neue zu schaffen, wenn diese „eine recht-mäßig und nach Treu und Glauben erfolgende Verarbeitung (...) gewährleisten“.


Die Vorschrift bestimmt in Satz 1, dass sich die Rechtsgrundlage für Verarbeitungen gemäß Art. 6 Abs. 1 Buchst. c) und e) Datenschutz-Grundverordnung entweder aus Unionsrecht (seltener) oder aus dem Recht des Mitgliedsstaats (häufiger) ergeben muss. Nach Satz 2 der Vorschrift muss hinsichtlich der Verarbeitungen nach Artikel 6 Absatz 1 Buchst. c Datenschutz-Grundverordnung der Zweck der Verarbeitung ge-setzlich festgelegt sein. Satz 4 schreibt die Beachtung des Verhältnismäßigkeits-grundsatzes vor. Im Hinblick auf „die im öffentlichen Interesse“ liegende oder „in Aus-übung öffentlicher Gewalt“ oder in Verarbeitungssituationen gemäß Kapitel IX erfol-gende Datenverarbeitung (Buchst. e) muss die Rechtsgrundlage den Erforderlich-keits- sowie den Verhältnismäßigkeitsgrundsatz beachten und kann spezifische Best-immungen u. a. über allgemeine Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen, die Arten von Daten, die betroffenen Personen, die Einrichtungen und Zwecke, für die die personenbezogenen Daten of-fengelegt werden dürfen, die Zweckbindung, die Speicherdauer, die Verarbeitungs-vorgänge und -verfahren und die Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, enthalten. Es ist daher zu prü-fen, ob und inwieweit bestehende Verarbeitungsvorschriften erstens dem Grundsatz der Erforderlichkeit, der stets ein strenger ist und zweitens dem Verhältnismäßig-keitsgrundsatz genügen.

Artikel 6 Absatz 4 (EG 50) Datenschutz-Grundverordnung:

Die Vorschrift regelt die zweckändernde Weiterverarbeitung personenbezogener Da-ten. Im öffentlichen Bereich wird eine Zweckänderung stets auf einer Rechtsvorschrift oder – nachrangig – der Einwilligung des Betroffenen beruhen müssen. Insofern schreibt die Vorschrift nur vor, dass eine solche Rechtsvorschrift eine „in einer demo-kratischen Gesellschaft ... notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 Datenschutz-Grundverordnung genannten Ziele“ darstellen muss. Dies ist zu prüfen.

Minderjährigenschutz


Mitgliedstaaten können die Altersgrenze für die Einwilligung eines Kindes national in-nerhalb des Korridors von 13 bis 16 Jahren regeln, so dem Kind direkt Dienste der

Anlage 10

Seite 13 von 6

Informationsgesellschaft – dazu gehören auch E-Government-Dienstleistungen – anbieten.

Besondere Daten

Artikel 9 Absatz 2 i. V. m. EG 51, insbesondere Satz 4 Datenschutz-Grundverordnung zur Verarbeitung besonderer Datenkategorien:

Buchstabe a: Mitgliedstaaten können durch Rechtsvorschrift die Verarbeitung trotz Vorliegens einer ausdrücklichen Einwilligung untersagen.

Buchstabe b: Mitgliedstaaten können durch Rechtsvorschrift oder in Tarifver-einbarungen die Verarbeitung im Bereich der sozialen Sicherheit und auch der Beschäftigung zulassen.

Buchstabe g, EG 52: Mitgliedstaaten können die Verarbeitung im erheblichen öffentlichen Interesse per Rechtsvorschrift zulassen.

Buchstabe h, EG 52 und 53: Mitgliedstaaten können die Verarbeitung zu Zwe-cken u.a. der medizinischen Diagnose, zur Feststellung der Arbeitsfähigkeit von Beschäftigten oder zum Zwecke des Managements von Gesundheits- o-der Sozialfürsorgesystemen per Rechtsvorschrift zulassen. Nach Artikel 9 Ab-satz 3 Datenschutz-Grundverordnung ist dabei Voraussetzung, dass der Ver-arbeiter ein Berufsgeheimnisträger ist; letzteres richtet sich nach Unions- oder mitgliedstaatlichem Recht (Gesetz aber auch Regelungen von national kom-petenten Institutionen).

Buchstabe i, EG 54: Mitgliedstaaten können die Verarbeitung im Bereich der öffentlichen Gesundheit per Rechtsvorschrift zulassen.

Buchstabe j: Mitgliedstaaten können im nationalen Recht die Verarbeitung be-sonderer Daten für privilegierte Verarbeitungszwecke (Art. 89 Abs. 1 Daten-schutz-Grundverordnung) erlauben.

Artikel 9 Absatz 4 i. V. m. EG 53 Sätze 4 und 5 Datenschutz-Grundverordnung:

Mitgliedstaaten haben die Möglichkeit, weitere Voraussetzungen inkl. auch weiterer Beschränkungen für die Verarbeitung von genetischen, biometrischen oder Gesund-heitsdaten national zu regeln.

Artikel 10 Datenschutz-Grundverordnung zur Verarbeitung von Daten über Strafurtei-le und Straftaten: Die Verarbeitung von derartigen Daten ist nur zulässig auf der Ba-sis von Unions- oder mitgliedstaatlichem Recht.

Betroffenenrechte


Die Informationspflichten nach den Absätzen 1 bis 4 finden keine Anwendung, wenn und soweit,

o Buchstabe c): die Erlangung oder Offenlegung durch Rechtsvorschriften der Mit-gliedstaaten, die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist.

o Buchstabe d): die personenbezogenen Daten gemäß dem Recht der Mitgliedstaa-ten einem Berufsgeheimnis unterliegen.

Anlage 10

Seite 14 von 6

Artikel 17 Datenschutz-Grundverordnung:

Absatz 1 Buchstabe e):

Mitgliedstaaten können Verantwortliche per Gesetz rechtlich verpflichten, Daten zu löschen.


Die Pflichten nach den Absätzen 1 und 2 gelten nicht, soweit die Verarbeitung erfor-derlich ist,

o Buchstabe b: zur

Erfüllung einer gesetzlichen Verpflichtung der verantwortliche Stelle,

Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe,

Ausübung hoheitlicher Gewalt.

o Buchstabe c: aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstabe h und i sowie Artikel 9 Absatz 3 Datenschutz-Grundverordnung.

o Buchstabe d: für im öffentlichen Interesse liegende Archivzwecke, wissenschaftli-che oder historische Forschungszwecke oder für statistische Zwecke gemäß Arti-kel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Ver-wirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beein-trächtigt.

Mitgliedstaaten können somit durch Rechtsvorschriften mittelbar beeinflussen, inwie-weit die Ansprüche auf Datenlöschung (Absatz 1) und auf Information über die Lö-schung (Absatz 2) für bestimmte verantwortliche Stellen beschränkt sind.


Das Recht der betroffenen Person, aus Gründen, die sich aus ihrer besonderen Situ-ation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbe-zogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken o-der zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzu-legen, ist ausgeschlossen, wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist.

Artikel 22 Absatz 2, EG 71 Datenschutz-Grundverordnung zur automatisierten Ein-zelentscheidung (inklusive Profiling):

Mitgliedstaaten können durch Rechtsvorschriften Ausnahmen vom grundsätzlichen Verbot der Einzelentscheidung regeln. Im Gesetz müssen geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der Betroffe-nen enthalten sein.

Einschränkungen der Betroffenenrechte

Artikel 23 sowie EG 73 Datenschutz-Grundverordnung:

Mitgliedstaaten können gemäß dieser allgemeinen Öffnungsklausel die Betroffenen-rechte durch Rechtsvorschrift beschränken, sofern die Grundrechte und -freiheiten geachtet sind und dies einem der in Artikel 23 Absatz 1 Buchstabe a bis j Daten-schutz-Grundverordnung genannten Zwecke dient. Die Beschränkung muss notwen-dig und verhältnismäßig sein.

Artikel 23 Absatz 2 Datenschutz-Grundverordnung enthält eine Liste von Vorausset-zungen, die in den Rechtsvorschriften „gegebenenfalls zumindest“ vorzusehen sind.

Anlage 10

Seite 15 von 6

Das heißt, dass bei einer Einschränkung der Betroffenenrechte zu prüfen ist, inwie-weit die Voraussetzungen in Artikel 23 Absatz 2 Datenschutz-Grundverordnung ein-schlägig sind. Sind sie einschlägig, dann sind Regelungen zu diesen Voraussetzun-gen in die betroffene Vorschrift aufzunehmen.

Mehrere an der Datenverarbeitung Beteiligte


Per Rechtsvorschrift können die Verantwortlichkeiten „gemeinsamer Verarbeiter“ („joint controller“) geregelt werden.


Gemäß Absatz 3 kann eine Auftragsverarbeitung per Rechtsvorschrift geregelt wer-den, wenn diese Verantwortlichen und Auftragsverarbeiter bindet. Außerdem können Rechtsvorschriften erlassen werden, die den Auftragsverarbeiter und auch den Sub-Auftragsverarbeiter veranlassen, Daten unabhängig von Instruktionen des Verant-wortlichen zu verarbeiten (Absatz 3 Buchstabe a) und/oder zu speichern (Absatz 3 Buchstabe g).


Per Rechtsvorschrift kann festlegt werden, dass Auftragsverarbeiter und jede dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person Daten auch unabhängig von Weisungen verarbeiten müssen.

Datensicherheit


Per Rechtvorschrift kann geregelt werden, dass Personen die dem Verarbeiter oder Auftragsverarbeiter unterstellt sind, zur Datenverarbeitung verpflichtet sind.

Datenschutzfolgenabschätzung


Per Rechtsvorschrift kann geregelt werden, dass bei Datenverarbeitungen auf Basis von Rechtsvorschriften gemäß Artikel 6 Absatz 1 Buchstaben c und/oder e Daten-schutz-Grundverordnung eine Datenschutzfolgenabschätzung durchzuführen ist.

Vorabkonsultation der Aufsichtsbehörde


Für Datenverarbeitungen gemäß Artikel 6 Absatz 1 Buchstaben c und e Datenschutz-Grundverordnung können die Verantwortlichen per Gesetz oder Verordnung zur Vor-abkonsultation mit der Aufsichtsbehörde aufgefordert werden.

Anlage 10

Seite 16 von 6

Datenschutzbeauftragte


Es können Regelungen getroffen werden, in denen die Verantwortlichen für die Ver-arbeitung personenbezogener Daten einen Datenschutzbeauftragten benennen müs-sen.

Zugang der Öffentlichkeit zu amtlichen Dokumenten


Die Vorschrift regelt das Verhältnis von Informationsfreiheit und Datenschutz. Durch Rechtsvorschriften kann der Zugang der Öffentlichkeit zu amtlichen Dokumenten be-stimmt werden.

Beschäftigtendatenschutz


Durch Rechtsvorschriften und durch Kollektivvereinbarungen (z. B. Dienstvereinba-rung) können spezifischere Regelungen zur Gewährleitung des Schutzes der Rechte und Freiheiten der betroffenen Personen bei einer Verarbeitung von personenbezo-genen Daten im Beschäftigungskontext geschaffen werden. EG 155 Datenschutz-Grundverordnung erwähnt dabei auch die Bedingungen der Einwilligung im Beschäf-tigungskontext.

Privilegierte Verarbeitungszwecke

Artikel 89 Absatz 2 und 3 Datenschutz-Grundverordnung:

Die Mitgliedstaaten können zugunsten der privilegierten Verarbeitungszwecke (wis-senschaftliche und historische Forschung, Statistik, Archive im öffentlichen Interesse) Ausnahmen von einzelnen Betroffenenrechten durch Rechtsvorschriften regeln.

Anlage 11

Seite 17 von 1

Geänderte Begriffsbestimmungen nach der Datenschutz-Grundverordnung

Begriff nach bisherigem Landesrecht Begriff nach der Datenschutz-Grundverordnung

verantwortliche Stelle, datenverarbei-tende Stelle

(vgl. z. B. § 3 Absatz 3 Sächsisches Da-tenschutzgesetz)

der für die Verarbeitung Verantwortliche/Verant-wortlicher


der Betroffene

(vgl. z. B. § 3 Absatz 1 Sächsisches Da-tenschutzgesetz)

die betroffene Person


Auftragnehmer einer Auftragsdaten-verarbeitung

(vgl. z. B. § 7 Sächsisches Datenschutz-gesetz)

Auftragsverarbeiter


Erheben, verarbeiten und nutzen

(vgl. z. B. § 11a Sächsisches Pressege-setz)

Verarbeiten


Sperren von Daten

(vgl. z. B. § 3 Absatz 2 Satz 2 Nummer 7 Sächsisches Datenschutzgesetz )

Einschränkung der Verarbeitung


Datei

(vgl. z. B. § 3 Absatz 7 Sächsisches Da-tenschutzgesetz )

Dateisystem


datenschutzrecht für öffentliche stellen...seite 6 von 155 i. startseite „jeder mensch hat das...

Documents