image
Datenschutzrecht für
öffentliche Stellen
Dokumentation zum Themenportal
www.datenschutzrecht.sachsen.de
Stand: 28. August 2018

Seite
2
von
155
Inhaltsverzeichnis
I.
Startseite ................................................................................................................... 6
II.
Gesetze- und Gesetzgebungsverfahren .................................................................. 6
1. EU-Richtlinien und –Verordnungen/Gesetze/Verordnungen ................................. 7
1.1 Europarecht ............................................................................................................... 7
1.2 Bundesrecht .............................................................................................................. 8
1.3 Landesrecht Sachsen .............................................................................................. 8
2.
Aktuelle Gesetzgebungsverfahren .......................................................................... 8
2.1 Bundesrecht ............................................................................................................. 9
2.2 Landesrecht Sachsen .............................................................................................. 9
III.
Datenschutz-Grundverordnung ............................................................................... 9
1.
Allgemeines zur neuen Rechtslage ......................................................................... 9
1.1 Anwendungsbereich von Datenschutz-Grundverordnung und Datenschutz-
Richtlinie ..................................................................................................................10
1.2 Anwendungsvorrang der Datenschutz-Grundverordnung ..................................11
1.3 Warum noch ein Sächsisches Datenschutzdurchführungsgesetz? ....................12
2.
Grundsätze der Datenverarbeitung ........................................................................12
3.
Einwilligung .............................................................................................................16
3. 1 Einwilligung – Allgemeine Anforderungen............................................................16
3.2 Speziell: Einwilligung in Bild- und Tonaufnahmen ...............................................18
4.
Datenschutzbeauftragter .........................................................................................19
4.1
Benennung .....................................................................................................20
4.1.1 Interner, externer oder gemeinsamer Datenschutzbeauftragter .................................... 20
4.1.2 Anforderungen an die Benennung ................................................................................... 21
4.1.3 Veröffentlichung der Kontaktdaten und Mitteilung an die Aufsichtsbehörde ................ 22
4.2 Sonstige Pflichten des Verantwortlichen ..............................................................22
4.2.1 Pflicht zur Unterstützung des Datenschutzbeauftragten ................................................. 22
4.2.2 Gewährleistung der Unabhängigkeit des Datenschutzbeauftragten ............................... 23

Seite
3
von
155
4.3 Aufgaben des Datenschutzbeauftragten ...............................................................24
4.3.1 Mindestpflichten .............................................................................................................. 24
4.3.2 Aufgaben im Anpassungsprozess an die Datenschutz-Grundverordnung ....................... 27
4.3.3 Der Datenschutzbeauftragte als „Anwalt der Betroffenen“ ............................................ 27
4.3.4 Pflicht zur risikoorientierten Tätigkeit .............................................................................. 28
4.4 Haftung des Datenschutzbeauftragten ..................................................................28
5.
Technischer und organisatorischer Datenschutz .................................................29
5.1 Sicherheit der Verarbeitung (Artikel 32 Datenschutz-Grundverordnung) ............29
5.2 Datenschutz durch Technikgestaltung und durch datenschutzrechtliche
Voreinstellungen (Privacy by design und Privacy by default) (Artikel 25
Datenschutz-Grundverordnung) ............................................................................31
5.3 Einführung eines Datenschutzmanagement-Systems .........................................32
5.4 Pflicht zur Nachweisbarkeit - Dokumentationspflichten .......................................32
5.5 Datengeheimnis und personelle Maßnahmen .......................................................33
5.6 Verzeichnis von Verarbeitungstätigkeiten .............................................................34
6.
Betroffenenrechte ....................................................................................................35
6.1 Informationspflichten .............................................................................................36
6.2 Auskunftsrecht ........................................................................................................40
6.3 Recht auf Löschung ................................................................................................41
6.4.
Recht auf Einschränkung der Verarbeitung .................................................41
6.5 Weitere Rechte ........................................................................................................42
6.5.1 Recht auf Berichtigung (Artikel 16 Datenschutz-Grundverordnung) ............................... 42
6.5.2 Recht auf Datenübertragbarkeit (Artikel 20 Datenschutz-Grundverordnung) ................ 42
6.5.3 Widerspruchsrecht (Artikel 21 Datenschutz-Grundverordnung) ..................................... 43
7.
Zusammenarbeit mit der Aufsichtsbehörde; Informations- und
Konsultationspflichten ............................................................................................43
7.1 Allgemeine Pflichten ................................................................................................43
7.2 Melde-/Informationspflichten ..................................................................................44
7.2.1 Melde-/Informationspflichten gegenüber der Aufsichtsbehörde .................................... 44

Seite
4
von
155
7.2.2 Informationspflichten gegenüber der EU-Kommission .................................................... 45
7.3 Konsultationen und Genehmigungspflichten ........................................................46
7.4 Auskunftspflicht .......................................................................................................47
8.
Datenschutz-Folgenabschätzung ...........................................................................47
8.1 Was ist eine Datenschutz-Folgenabschätzung nach der Datenschutz-
Grundverordnung? .................................................................................................48
8.2 Erforderlichkeit einer Datenschutz-Folgenabschätzung .......................................48
8.3 Zeitpunkt der Durchführung einer Datenschutz-Folgenabschätzung ..................49
8.4 Wie kann eine Datenschutz-Folgenabschätzung durchgeführt werden? ............50
8.4.1 Phase 1: Vorbereitung ...................................................................................................... 50
8.4.2 Phase 2: Durchführung .................................................................................................... 51
8.4.3 Phase 3: Umsetzung ......................................................................................................... 52
8.4.4 Phase 4: Überprüfung ....................................................................................................... 53
8.5 Konsultationsverfahren bei hohem Restrisiko .....................................................53
9.
Auftragsverarbeitung ..............................................................................................54
9.1 Was ist Auftragsverarbeitung? ..............................................................................55
9.1.1 Begriff ............................................................................................................................... 55
9.1.2 Abgrenzung zu anderen Verarbeitungssituationen ......................................................... 55
9.1.3 Speziell: Wartung und Prüfung von IT-Systemen ............................................................. 56
9.2 Zulässigkeit der Auftragsverarbeitung ..................................................................56
9.3 Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters ........58
9.3.1 Rechte und Pflichten des Verantwortlichen (bisher = Auftraggeber) .............................. 58
9.3.2 Rechte und Pflichten des Auftragsverarbeiters ............................................................... 59
9.4 Haftung des Verantwortlichen und des Auftragsverarbeiters .............................60
10. Sonstige Verarbeitungssituationen ........................................................................60
10.1
Videoüberwachung ...........................................................................................62
10.2 Verarbeitung für Forschungs-, Archiv- und Statistikzwecke ..............................63
10.2.1 Vorgaben der Datenschutz-Grundverordnung............................................................... 63

Seite
5
von
155
10.2.2 Ergänzungen durch landesrechtliche Regelungen ......................................................... 65
10.3 Gemeinsam Verantwortliche .................................................................................66
11. Anpassung von Verwaltungsvorschriften, Satzungen, Dienstvereinbarungen etc.
..................................................................................................................................67
IV.
Datenschutzaufsicht ................................................................................................69
V.
Glossar .....................................................................................................................70
VI.
Arbeitshilfen, Übersichten ......................................................................................74
VII.
FAQ ...........................................................................................................................76
1. Einwilligung .............................................................................................................76
2. Datenschutzbeauftragter ........................................................................................76
3. Kontaktdaten ...........................................................................................................77
4. Petitionen ................................................................................................................78
5. Teilnehmerlisten .....................................................................................................79

Seite
6
von
155
I.
Startseite
„Jeder Mensch hat das Recht, über die Erhebung, Verwendung und Weitergabe seiner per-
sonenbezogenen Daten selbst zu bestimmen.“
Artikel 33 Satz 1 Verfassung des Freistaates Sachsen
Das in der Sächsischen Verfassung verankerte Grundrecht auf Datenschutz war bisher und
ist auch künftig durch die öffentlichen Stellen des Freistaates Sachsen zu beachten. Jedoch
sehen sich die Behörden und sonstigen öffentlichen Stellen ebenso wie die Kommunen und
Landkreise des Freistaates Sachsen durch die seit 25. Mai 2018 geltende Verordnung (EU)
2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz na-
türlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr
und zur Aufhebung der Richtlinie 95/46/EG – die Datenschutz-Grundverordnung – vor neue
Herausforderungen gestellt.
Das vorliegende Themenportal zum Datenschutzrecht soll vor diesem Hintergrund die öffent-
lichen Stellen des Freistaates Sachsen über datenschutzrechtliche Grundlagen informieren,
Hilfestellung für die Anpassung ihres Verwaltungshandelns an die Datenschutz-
Grundverordnung geben und die wichtigsten Handlungserfordernisse aufzeigen.
Da im aktuellen Anpassungsprozess auf die Datenschutz-Grundverordnung noch längst nicht
alle Fragen geklärt sind, werden die Inhalte des Themenportals einer weiteren Entwicklung
und Anpassung unterliegen. Neuere Tendenzen zur Auslegung der Datenschutz-
Grundverordnung oder Arbeitshilfen der Datenschutzaufsichtsbehörden sollen künftig eben-
so aufgegriffen werden wie die konkreten Fragen und Anregungen der Nutzer des Themen-
portals.
II.
Gesetze- und Gesetzgebungsverfahren
Die Regelungskompetenzen im Datenschutzrecht liegen sowohl beim EU-Gesetzgeber als
auch dem Bundes- und den Landesgesetzgebern. Sie stellen sich im Einzelnen wie folgt dar:
Europäischer Gesetzgeber
Der europäische Gesetzgeber leitet seine Kompetenz zum Erlass datenschutzrechtlicher
Regelungen aus Artikel 16 Absatz 2 des Vertrages über die Arbeitsweise der Europäischen
Union ab. Dort ist bestimmt, dass das Europäische Parlament und der Rat Vorschriften über
den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten erlassen
können.
Davon hat der europäische Gesetzgeber mit der 2016 verabschiedeten Datenschutzreform
Gebrauch gemacht, mit der die Datenschutz-Grundverordnung und für den Bereich der Prä-
vention und Verfolgung von Straftaten und der Strafvollstreckung eine neue Datenschutz-
Richtlinie beschlossen wurden.
Bundesgesetzgeber
Der Bundesgesetzgeber ist für Regelungen über den Datenschutz im nicht-öffentlichen Be-
reich zuständig. Dies betrifft insbesondere die Verarbeitung personenbezogener Daten durch
Unternehmen. Dem Bundesgesetzgeber steht insoweit eine Gesetzgebungsbefugnis für das
Recht der Wirtschaft nach Artikel 74 Absatz 1 Nummer 11 des Grundgesetzes zu. Der Da-
tenschutz ist eine Materie, der für den Bereich der Wirtschaft in Deutschland einheitlich zu

Seite
7
von
155
regeln ist, damit keine Wettbewerbsverzerrungen entstehen und sich die Unternehmen nicht
auf unterschiedliche Regelungen in einzelnen Bundesländern einstellen müssen. Daher wird
der Datenschutz für den nicht-öffentlichen Bereich als Annex, also als Anhang oder beglei-
tende Rechtsmaterie, zum Recht der Wirtschaft verstanden und dem Bundesgesetzgeber
zugeordnet.
Auch bei öffentlich-rechtlichen Rechtsmaterien, für die dem Bundesgesetzgeber eine Ge-
setzgebungskompetenz zusteht (z. B. im Sozialrecht oder im Pass- und Meldewesen), wird
der Datenschutz als ein Annex zu dem jeweiligen Rechtsgebiet gesehen. Daher sind auch in
weiteren Bundesgesetzen datenschutzrechtliche Regelungen enthalten, die sich auf diese
Annexkompetenz stützen.
Der Bundesgesetzgeber hat darüber hinaus die Regelungen zu treffen, die für die Zusam-
menarbeit der Datenschutzaufsichtsbehörden auf europäischer Ebene erforderlich sind. Dies
leitet sich – ebenfalls als Annexkompetenz – insbesondere aus den Zuständigkeiten des
Bundesgesetzgebers für die Übertragung von Hoheitsrechten auf die Europäische Union
(Artikel 23 Absatz 1 Satz 2 Grundgesetz) und für auswärtige Angelegenheiten (Artikel 73
Absatz 1 Nummer 1 Grundgesetz) ab.
Letztlich besitzt der Bundesgesetzgeber die Regelungskompetenz für die Verarbeitung per-
sonenbezogener Daten durch seine Bundesbehörden.
Landesgesetzgeber
Dort, wo der Bundesgesetzgeber keine ausschließliche Gesetzgebungskompetenz (vgl. Arti-
kel 73 Absatz 1 Grundgesetz) besitzt oder im Rahmen der konkurrierenden Gesetzgebungs-
kompetenz (vgl. Artikel 74 Absatz 1 Grundgesetz), sind die Bundesländer für die Regelungen
zum Datenschutz verantwortlich.
Der Freistaat Sachsen hat daher in verschiedenen landesrechtlichen Gesetzen und Rechts-
verordnungen datenschutzrechtliche Bestimmungen erlassen. Die unmittelbar anwendbare
Datenschutz-Grundverordnung wird durch die Regelungen des Sächsischen Datenschutz-
durchführungsgesetzes ergänzt.
1. EU-Richtlinien und –Verordnungen/Gesetze/Verordnungen
Nachfolgend werden nur die Gesetze und Verordnungen aufgeführt, die allgemeine daten-
schutzrechtliche Bestimmungen enthalten oder die umfassende Änderungen an vorhande-
nen Regelungen aufgrund einer Anpassung an die Datenschutz-Grundverordnung oder in
Umsetzung der Datenschutz-Richtlinie enthalten. Auf die Aufnahme aller weiteren Fachge-
setze oder -verordnungen mit datenschutzrechtlichem Bezug wurde aufgrund des Umfangs
der dann bereitzustellenden Normen verzichtet.
1.1 Europarecht
[Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum
freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG] –
Datenschutz-
Grundverordnung; gilt seit 25. Mai 2018
-
[Berichtigungen zur Datenschutz-Grundverordnung]

Seite
8
von
155
[Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April
2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Da-
ten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufde-
ckung oder Verfolgung von Straftaten oder Strafvollstreckung sowie zum freien Da-
tenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates] –
Datenschutz-Richtlinie
1.2 Bundesrecht
Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/6799
und zur Umsetzung der Richtlinie (EU) 2016/680 – [
Datenschutz-Anpassungs- und
Umsetzungsgesetz EU (Artikel 1 = Bundesdatenschutzgesetz neu)
vom 30. Juni
2017 (BGBl. I S. 2097)];
gilt seit 25. Mai 2018
(Ausnahme: Artikel 7 des Gesetzes)
[Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften
vom 17. Juli 2017 (BGBl. I. S. 2541)];
mit umfangreichen Änderungen z. B. im
SGB X
[Gesetz zur Neustrukturierung des Bundeskriminalamtgesetzes vom 1. Juni 2017
(BGBl. I. S. 1354)]; gilt seit 25. Mai 2018 (Ausnahme: siehe Artikel 13 Absatz 2 des
Gesetzes)
1.3 Landesrecht Sachsen
Sächsisches Datenschutzdurchführungsgesetz
vom 26. April 2018 (SächsGVBl.
S. 198, 199) – gilt seit 25. Mai 2018]
o
Entwurf Sächsisches Datenschutzdurchführungsgesetz mit Begründung (Arti-
kel 1 des Gesetzentwurfs zur Anpassung landesrechtlicher Vorschriften an die
Datenschutz-Grundverordnung)
o
Beschlussempfehlung und Bericht des Innenausschusses
Sächsisches Datenschutzgesetz
vom 25. August 2003 (SächsGVBL. S. 330), das
zuletzt durch Artikel 46 des Gesetzes vom 26. April 2018 (SächsGVBl. S. 198) geän-
dert worden ist];
beabsichtigte Geltungsdauer:
siehe Artikel 46 Nummer 6 des Ge-
setzes zur Anpassung landesrechtlicher Vorschriften an die Datenschutz-
Grundverordnung -
gilt nur noch für Verarbeitungen im Anwendungsbereich der
Datenschutz-Richtlinie
!
Gesetz zur Anpassung landesrechtlicher Vorschriften an die Datenschutz-
Grundverordnung vom 26. April 2018 (SächsGVBl. S. 198)
2. Aktuelle Gesetzgebungsverfahren
In dieser Übersicht finden Sie die aktuell bekannten Gesetzgebungsverfahren, deren Hinter-
grund eine Anpassung der vorhandenen Gesetze und Rechtsverordnungen an die Vorgaben
der Datenschutz-Grundverordnung oder die Umsetzung der Datenschutz-Richtlinie ist. Be-
rücksichtigt sind nur die Gesetzgebungsverfahren, bei denen Gesetzentwürfe bereits in das
Parlament eingebracht wurden.

Seite
9
von
155
2.1 Bundesrecht
Zurzeit sind keine Gesetzgebungsverfahren bekannt, bei denen Gesetzentwürfe bereits in
das Parlament eingebracht wurden.
2.2 Landesrecht Sachsen
Zurzeit sind keine Gesetzgebungsverfahren bekannt, bei denen Gesetzentwürfe bereits in
das Parlament eingebracht wurden.
III.
Datenschutz-Grundverordnung
Seit 25. Mai 2018 gilt die Verordnung (EU) 2016/679 des Europäischen Parlaments und des
Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen-
bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – die
Datenschutz-Grundverordnung. Sie ist ohne Zweifel eine der wichtigsten Rechtsquellen des
Datenschutzes in allen Mitgliedsstaaten der EU.
Die Datenschutz-Grundverordnung unterscheidet nicht mehr zwischen der Verarbeitung per-
sonenbezogener Daten durch einen öffentlichen oder einen nicht-öffentlichen Verantwortli-
chen. Die in ihr geregelten Pflichten gelten vielmehr für alle Verantwortlichen gleichermaßen.
Nicht nur für die Privatwirtschaft ist die Datenschutz-Grundverordnung daher relevant. Auch
die öffentliche Verwaltung hat ihr Handeln an den Vorgaben der Datenschutz-
Grundverordnung auszurichten. Hierzu gehört auch, dass sowohl die vorhandenen als auch
die künftig zu erlassenen datenschutzrechtlichen Regelungen mit der Datenschutz-
Grundverordnung in Einklang stehen müssen. Dies betrifft sowohl die innerbehördlichen Re-
gelungen als auch diejenigen, die gegenüber dem Bürger z. B. in Gesetzen, Verordnungen
oder Satzungen erlassen wurden bzw. werden.
Was ist zu tun?
Nachfolgend sind die wichtigsten Handlungserfordernisse für einen erfolgreichen Start mit
der Datenschutz-Grundverordnung zusammengestellt.
Verweise:
Checkliste-Handlungserfordernisse bei der Anpassung an die Datenschutz-Grundverordnung
in der Behörde (Anlage 1)
Checkliste Melde- und Informationspflichten/Konsultationen (Anlage 2)
1. Allgemeines zur neuen Rechtslage
Bereits im Januar 2012 hat die Europäische Kommission eine umfassende Reform des Da-
tenschutzrechts vorgeschlagen. Nach vielen Verhandlungen und einem umfangreichen
Rechtssetzungsverfahren wurden am 27. April 2016 die beiden zentralen Regelwerke zur
Neuordnung des europäischen Datenschutzrechts verabschiedet: die Datenschutz-
Grundverordnung und die Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung,
Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung.
Zentraler Unterschied zwischen diesen beiden Regelwerken ist, dass die Datenschutz-
Grundverordnung seit 25. Mai 2018 unmittelbar gilt, es also keines weiteren Umsetzungsak-
tes in nationales Recht mehr bedarf. Möglich sind lediglich ergänzende nationale Regelun-

Seite
10
von
155
gen, soweit die Verordnung hierfür Öffnungsklauseln vorsieht oder Regelungsaufträge bein-
haltet. Dagegen gilt die Datenschutz-Richtlinie grundsätzlich nicht direkt. Vielmehr waren die
nationalen Gesetzgeber gehalten, bis zum 6. Mai 2018 die Rechtsvorschriften zu erlassen,
die erforderlich sind, um den Vorgaben der Richtlinie nachzukommen.
Die Datenschutz-Grundverordnung wird im Freistaat Sachsen durch das Sächsische Daten-
schutzdurchführungsgesetz ergänzt. Das Sächsische Datenschutzgesetz ist seit dem 25.
Mai 2018 nicht mehr für die Regelungsmaterien der Datenschutz-Grundverordnung und des
Sächsischen Datenschutzdurchführungsgesetzes anwendbar. Allerdings ist es noch nicht
vollständig außer Kraft getreten, Vielmehr soll es zunächst weiterhin für die Verarbeitung
personenbezogener Daten durch öffentliche Stellen anwendbar bleiben, soweit diese im An-
wendungsbereich der Datenschutz-Richtlinie tätig werden. Auch die Verarbeitung personen-
bezogener Daten im Rahmen der parlamentarischen Aufgabenwahrnehmung des Sächsi-
schen Landtags wird sich zunächst weiter auf das Sächsische Datenschutzgesetz stützen.
Spätestens am 31. Dezember 2019 soll es dann jedoch vollständig außer Kraft treten.
1.1
Anwendungsbereich von Datenschutz-Grundverordnung und Datenschutz-
Richtlinie
Datenschutz-Grundverordnung und Datenschutz-Richtlinie unterscheiden sich in ihrem An-
wendungsbereich wie folgt:
Datenschutz-Grundverordnung
Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung ist in Artikel 2 gere-
gelt. Danach gilt die Verordnung für die automatisierte Verarbeitung personenbezogener
Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem
Dateisystem gespeichert sind oder gespeichert werden sollen. Der Begriff des Dateisystems
wird in Artikel 4 Nummer 6 der Datenschutz-Grundverordnung definiert. Darunter ist jede
strukturierte Sammlung personenbezogener Daten zu verstehen, die nach bestimmten Krite-
rien zugänglich ist. In der Kommentarliteratur werden dabei überwiegend zwei Zuordnungs-
kriterien wie z. B. Aktenzeichen, Jahreszahl oder Name als ausreichend erachtet. Dabei wird
der Anwendungsbereich der Datenschutz-Grundverordnung technikneutral sehr groß ge-
fasst. Auch Schriftstücke oder Zettel mit personenbezogenen Daten, die noch unsortiert in
einer Ablage aufbewahrt werden, fallen bereits dann unter den Anwendungsbereich der Da-
tenschutz-Grundverordnung, wenn sie später in eine entsprechende Akte einsortiert werden
sollen. Lediglich Akten oder Aktensammlungen, die nicht nach bestimmten Kriterien geordnet
sind, fallen nicht in den Anwendungsbereich der Verordnung (vgl. Erwägungsgrund 15 der
Datenschutz-Grundverordnung).
Darüber hinaus wird der Anwendungsbereich der Datenschutz-Grundverordnung in Artikel 2
Absatz 2 negativ abgegrenzt. Insbesondere fallen nicht in den Anwendungsbereich:
Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen (z.
B. Tätigkeit der Abgeordneten im Landtag, Tätigkeit des Landesamtes für Verfas-
sungsschutz),
Tätigkeiten, die die gemeinsame Außen- und Sicherheitspolitik der Mitgliedstaaten
betreffen (Anwendungsbereich von Titel V, Kapitel 2 des Vertrags der Europäischen
Union),
ausschließlich persönliche oder familiäre Tätigkeiten natürlicher Personen,
die Verarbeitung personenbezogener Daten im Anwendungsbereich der Daten-
schutz-Richtlinie.

Seite
11
von
155
Datenschutz-Richtlinie
Auch die Datenschutz-Richtlinie legt ihren Anwendungsbereich in Artikel 2 fest. Nach Absatz
1 gilt die Richtlinie für die Verarbeitung personenbezogener Daten durch die zuständigen
Behörden für die Zwecke des Artikels 1 Absatz 1 Datenschutz-Richtlinie, demnach also
zum Zwecke der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten
oder
der Strafvollstreckung,
einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Si-
cherheit.
Im Übrigen gilt die Datenschutz-Richtlinie wie die Datenschutz-Grundverordnung für die au-
tomatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbei-
tung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert
werden sollen. Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen,
sind auch vom Anwendungsbereich der Richtlinie ausgenommen.
1.2
Anwendungsvorrang der Datenschutz-Grundverordnung
Da - wie oben bereits dargelegt - die Datenschutz-Grundverordnung unmittelbar, also ohne
weiteren Umsetzungsakt gilt, ist sie innerhalb ihres Anwendungsbereiches das zentrale,
maßgebliche Datenschutzrecht. Allerdings gibt es wie auch bisher weitere bundes-
oder landesrechtliche Vorschriften über den Datenschutz. Im Freistaat Sachsen ergänzt ins-
besondere
das
Sächsische
Datenschutzdurchführungsgesetz
die
Datenschutz-
Grundverordnung um allgemeine datenschutzrechtliche Regelungen. Andere spezielle da-
tenschutzrechtliche Regelungen, wie z. B. die Vorschriften zur Verarbeitung personenbezo-
gener Daten im Sächsischen Beamtengesetz oder im Sächsischen Schulgesetz und den
Schulordnungen, sind erhalten geblieben erhalten oder wurden an die Vorgaben der Daten-
schutz-Grundverordnung angepasst.
Was heißt das aber nun konkret für die Rechtsanwendung? Hier einige Antworten:
Das Verständnis datenschutzrechtlicher Begriffe ergibt sich ausschließlich aus den
Definitionen der Datenschutz-Grundverordnung (vgl. Artikel 4 Datenschutz-
Grundverordnung).
Die Pflichten, die Ihnen als Verantwortlicher für die Verarbeitung personenbezogener
Daten obliegen, sind in der Datenschutz-Grundverordnung verankert (vgl. insbeson-
dere Artikel 5, 24 ff., 32 ff. Datenschutz-Grundverordnung).
Gleichzeitig sind auch die Rechte der betroffenen Personen unmittelbar in der Daten-
schutz-Grundverordnung normiert. Ausnahmen von diesen Rechten enthält entweder
die Datenschutz-Grundverordnung selbst oder diese können in engen Grenzen durch
nationale Gesetze, Rechtsverordnungen oder Satzungen zugelassen sein, vgl. z. B.
die §§ 8 ff. des Sächsischen Datenschutzdurchführungsgesetzes.
Ausgangspunkt der Prüfung, ob eine Verarbeitung personenbezogener Daten recht-
mäßig erfolgt, ist Artikel 6 Absatz 1 Datenschutz-Grundverordnung. Wie sich die Prü-
fungsreihenfolge im Zusammenspiel mit nationalen spezialgesetzlichen Regelungen
gestaltet, ist in dieser Übersicht (Anlage 3) dargestellt.
Soweit die Verarbeitung auf einer Einwilligung der betroffenen Person beruht, erge-
ben sich die Bedingungen für die Einwilligung aus der Datenschutz-Grundverordnung
(vgl. Artikel 7 und 8 Datenschutz-Grundverordnung). Als Rechtsgrundlage für die
Verarbeitung durch eine Behörde kommt die Einwilligung in aller Regel nicht in Be-
tracht (vgl. Erwägungsgründe 43 und 45 der Datenschutz-Grundverordnung).

Seite
12
von
155
Die Datenschutz-Grundverordnung schreibt vor, wann ein Datenschutzbeauftragter
zu benennen ist und welche Aufgaben dieser hat (vgl. Artikel 37 ff. Datenschutz-
Grundverordnung).
Aufgaben und Befugnisse der Aufsichtsbehörde ergeben sich unmittelbar aus der Da-
tenschutz-Grundverordnung (vgl. Artikel 57 und 58 Datenschutz-Grundverordnung).
Die Datenschutz-Grundverordnung beinhaltet neben ihren 99 Artikeln auch insgesamt 173
Erwägungsgründe, die den Artikeln voranstehen. Die Erwägungsgründe dienen in erster Li-
nie der Begründung der einzelnen Verordnungsnormen. Aus ihnen können direkt zwar keine
Rechte und Pflichten abgeleitet werden. Sie helfen jedoch bei der Auslegung der einzelnen
Artikel und bestimmen so Zweck, Reichweite und Inhalt der einzelnen Artikel mit. Unter
nachfolgendem Link finden Sie eine Zusammenstellung, welche Erwägungsgründe für wel-
che Artikel relevant sind. [Link zu
https://www.datenschutz-wiki.de/Kategorie:DSGVO-Artikel]
1.3
Warum noch ein Sächsisches Datenschutzdurchführungsgesetz?
Natürlich stellt sich nun die Frage, warum es neben diesen umfassenden allgemeinen daten-
schutzrechtlichen Regelungen der Datenschutz-Grundverordnung auch noch ein Sächsi-
sches Datenschutzdurchführungsgesetz gibt.
Hierfür gibt es mehrere Gründe:
Vorschriften, die sich im bisherigen Sächsischen Datenschutzgesetz bewährt haben,
sollen auch künftig beibehalten werden. Ihnen werden also einige Paragrafen des
Sächsischen Datenschutzdurchführungsgesetzes, wie zum Beispiel die Regelungen
zu den Grundsätzen der Datenverarbeitung oder zu besonderen Verarbeitungssitua-
tionen, bekannt vorkommen.
–Ebenfalls in Anlehnung an das bisherige Recht sollten die Möglichkeiten der Daten-
schutz-Grundverordnung, die Rechte der Betroffenen einzuschränken, vor allem
wenn es um Belange der öffentlichen Sicherheit und Ordnung, Geheimhaltungsvor-
schriften oder die Verfolgung von Straftaten und Ordnungswidrigkeiten geht, genutzt
werden.
Die Datenschutz-Grundverordnung verpflichtet die nationalen Gesetzgeber, Regelun-
gen zur Ausgestaltung einer völlig unabhängigen Aufsichtsbehörde zu erlassen. Die-
sem Regelungsauftrag wurde mit den §§ 14 ff. des Sächsischen Datenschutzdurch-
führungsgesetzes nachgekommen.
Das Sächsische Datenschutzdurchführungsgesetz sichert für die öffentlichen Stellen
ein datenschutzrechtliches Vollregime. Durch die im parlamentarischen Verfahren
aufgenommene Formulierung des § 2 Absatz 4 des Sächsischen Datenschutzdurch-
führungsgesetzes wird der Anwendungsbereich der meisten Artikel der Datenschutz-
Grundverordnung auch auf die Verarbeitung personenbezogener Daten ausgeweitet,
die nicht automatisiert oder in einem Dateisystem erfolgt.
2. Grundsätze der Datenverarbeitung
Die grundsätzlichen Datenschutzprinzipien für die Verarbeitung personenbezogener Daten,
die bereits aus dem bisherigen Sächsischen Datenschutzgesetz bekannt sind, werden im
Wesentlichen auch in Artikel 5 Datenschutz-Grundverordnung aufgegriffen.
Neu ist jedoch die ausdrückliche Regelung, dass über die Einhaltung der datenschutzrechtli-
chen Grundsätze Rechenschaft abzulegen ist. Um dieser Verpflichtung nachkommen zu
können, wird die Einführung eines Datenschutzmanagements erforderlich sein.

Seite
13
von
155
Die Grundsätze im Einzelnen:
Rechtmäßigkeit der Verarbeitung
Für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gilt wie bisher das
Prin-
zip des Verbots mit Erlaubnisvorbehalt
. Demnach ist die Verarbeitung personenbezoge-
ner Daten verboten, sofern nicht eine Rechtsvorschrift diese Verarbeitung erlaubt oder die
betroffene Person eingewilligt [Link zur Seite Einwilligung] hat. Die Einwilligung wird aller-
dings für die Verarbeitung personenbezogener Daten durch öffentliche Stellen, dabei insbe-
sondere bei der Wahrnehmung öffentlicher Aufgaben, überwiegend keine geeignete Rechts-
grundlage darstellen (vgl. Erwägungsgründe 43 und 45 Datenschutz-Grundverordnung).
Insbesondere die gesetzlichen Erlaubnisgründe des Artikels 6 Absatz 1 Buchstabe c und e
Datenschutz-Grundverordnung betreffen die Datenverarbeitung durch öffentliche Stellen. Sie
gelten, wenn öffentliche Stellen personenbezogene Daten verarbeiten, um eine rechtliche
Verpflichtung oder eine Aufgabe wahrzunehmen, die im öffentlichen Interesse liegt. Voraus-
setzung ist aber bei beiden Erlaubnisgründen, dass eine Rechtsvorschrift den Verantwortli-
chen zu einer solchen Verarbeitung verpflichtet bzw. ermächtigt.
Wie bisher wird der ganz überwiegende Teil der Verarbeitung personenbezogener Daten
durch öffentliche Stellen auf spezialgesetzliche Rechtsgrundlagen gestützt werden können,
die den Anforderungen von Artikel 6 Absatz 2 und 3 Datenschutz-Grundverordnung entspre-
chen. Darüber hinaus bestimmt § 3 Absatz 1 Sächsisches Datenschutzdurchführungsgesetz,
dass die Verarbeitung personenbezogener Daten durch öffentliche Stellen zulässig ist, wenn
sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in
Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.
Die Regelung ist ebenfalls eine Rechtsgrundlage für die Datenverarbeitung auf der Grundla-
ge von Artikel 6 Absatz 1 Buchstabe e i. V. m. Artikel 6 Absatz 3 Satz 1 der Datenschutz-
Grundverordnung und fungiert als eine Art Auffangtatbestand.
Wie bisher in § 4 Absatz 2 Sächsisches Datenschutzgesetz werden auch in Artikel 9 der Da-
tenschutz-Grundverordnung
besondere Kategorien personenbezogener Daten
unter be-
sonderen Schutz gestellt. Über die bislang im Sächsischen Datenschutzgesetz genannten
Kategorien hinaus – Angaben über die rassische und ethnische Herkunft, politische Meinun-
gen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben -
sind nun auch genetische Angaben sowie biometrische Daten ausdrücklich genannt. Artikel
9 Absatz 1 Datenschutz-Grundverordnung bestimmt ein grundsätzliches Verbot der Verar-
beitung von Daten dieser Kategorien. Allerdings werden in Artikel 9 Absatz 2 Buchstabe a
bis j Datenschutz-Grundverordnung zugleich umfangreiche Ausnahmen von diesem Grund-
satz geregelt, sodass zwar einige Veränderungen im Vergleich zur bisherigen Rechtslage zu
beachten sind, die praktische Anwendung der Normen aber nur wenige Anpassungen nach
sich ziehen dürfte.
Verarbeitung nach Treu und Glauben und Transparenz
Nach Artikel 5 Absatz 1 Buchstabe a Datenschutz-Grundverordnung müssen personenbezo-
gene Daten transparent und nach Treu und Glauben verarbeitet werden. Das Transparenz-
gebot stellt keinen neuen Grundsatz zum bisherigen Recht dar – auch bisher musste die
betroffene Person wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gab es
schon bisher umfangreiche Betroffenenrechte (z. B. Informationspflichten, Auskunftsrechte,
Recht auf Berichtigung der Daten, Widerspruchsrecht). Nun findet der Transparenzgrundsatz
seinen Niederschlag vor allem in den Artikeln 12 bis 15 Datenschutz-Grundverordnung, wo
er etwa durch Informationspflichten bei der Erhebung von personenbezogenen Daten sowie
durch das Auskunftsrecht der betroffenen Person konkretisiert wird.

Seite
14
von
155
Neu ist jedoch die Aufnahme des aus dem Zivilrecht bekannten Grundsatzes von Treu und
Glauben (vgl. § 242 BGB), der nunmehr ausdrücklich ins Datenschutzrecht überführt wird.
Unter diesen Grundsatz wird eine Vielzahl von Fallgruppen gefasst (z. B. Rechtsmissbrauch,
widersprüchliches Verhalten). Das praktische Potential entfaltet sich vor allem an Stellen, an
denen die Datenschutz-Grundverordnung nur sehr allgemeine oder gar keine Festlegungen
trifft.
Zweckbindung
Der Grundsatz der Zweckbindung nach Artikel 5 Absatz 1 Buchstabe b Datenschutz-
Grundverordnung ist im Wesentlichen bereits bekannt. Danach müssen “personenbezogene
Daten … für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in
einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweck-
bindung)”.
Die Zwecke der Datenverarbeitung müssen dabei bereits bei der Erhebung personenbezo-
gener Daten festgelegt, eindeutig und legitim sein. Zudem sind grundsätzlich nur solche Än-
derungen des Verarbeitungszwecks erlaubt, die mit dem ursprünglichen Erhebungszweck
vereinbar sind (Artikel 5 Absatz 1 Buchstabe b sowie Artikel 6 Absatz 4 Datenschutz-
Grundverordnung). Dabei stellt die Datenschutz-Grundverordnung in Artikel 6 Absatz 4 Krite-
rien auf, die bei der Beurteilung der Vereinbarkeit einer Zweckänderung zu berücksichtigen
sind. Hierzu zählen u. a. die Verbindung zwischen den Zwecken, der Gesamtkontext, in dem
die Daten erhoben wurden, die Art der personenbezogenen Daten, mögliche Konsequenzen
der zweckändernden Verarbeitung für den Betroffenen oder das Vorhandensein von ange-
messenen Sicherheitsmaßnahmen wie eine Pseudonymisierung oder Verschlüsselung. Dies
führt zu einer vorsichtigen Privilegierung der Weiterverarbeitung pseudonymisierter bzw. ver-
schlüsselter Daten, was vor allem für datenschutzgerechte Big-Data-Anwendungen von Be-
deutung ist.
§ 3 Absatz 2 Sächsisches Datenschutzdurchführungsgesetz bestimmt angelehnt an den bis-
herigen § 13 Absatz 3 des Sächsischen Datenschutzgesetzes, dass eine Verarbeitung zu
den Zwecken der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprü-
fung, zur Durchführung von Organisationsuntersuchungen, zur Prüfung und Wartung von
automatisierten Verfahren, zu statistischen Zwecken sowie zu Aus-, Fort-, Weiterbildungs-
und Prüfungszwecken, keine zweckändernde Datenverarbeitung ist, sondern diese Zwecke
jeder Datenverarbeitung immanent sind. Eine diesbezügliche Verarbeitung ist damit zulässig,
soweit nicht schutzwürdige Interessen der betroffenen Person entgegenstehen.
Darüber hinaus kann die Zweckbindung auch durch Rechtsvorschriften durchbrochen wer-
den. Die bisher im nach § 13 Absatz 2 in Verbindung mit § 12 Absatz 4 Sächsisches Daten-
schutzgesetz zugelassenen Zweckänderungen sind nun in § 4 Absatz 1 Sächsisches Daten-
schutzdurchführungsgesetz normiert.
Datensparsamkeit/Speicherbegrenzung
Das bereits im Sächsischen Datenschutzgesetz verankerte Prinzip der Datensparsamkeit
findet sich nunmehr als eines der zentralen Prinzipien des Datenschutzes in Artikel 5 Absatz
1 Buchstabe c der Datenschutz-Grundverordnung wieder. Danach muss die Verarbeitung
personenbezogener Daten dem Zweck angemessen und sachlich relevant sowie auf das für
den Zweck der Datenverarbeitung notwendige Maß beschränkt sein. Mit der normierten
Speicherbegrenzung dürfen personenbezogene Daten nur in einer Form gespeichert wer-
den, die die Identifizierung der Person nur solange ermöglicht, wie es für die Zwecke der
Verarbeitung erforderlich ist. Sobald die Speicherung personenbezogener Daten für den

Seite
15
von
155
Verarbeitungszweck also nicht mehr erforderlich ist, müssen die personenbezogenen Daten
gelöscht (Artikel 17 Absatz 1 Buchstabe a Datenschutz-Grundverordnung) oder die Identifi-
zierung der betroffenen Person aufgehoben werden. Ausnahmen ergeben sich für im öffent-
lichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungs-
zwecke und für statistische Zwecke (Artikel 5 Absatz 1 Buchstabe e Datenschutz-
Grundverordnung). Auch der Datenschutz durch Technik (data protection by design) und
datenschutzfreundliche Voreinstellungen (data protection by default) sollen Datensparsam-
keit gewährleisten (vgl. Artikel 25 Datenschutz-Grundverordnung, Erwägungsgrund 78).
Richtigkeit/Aktualität/Integrität/Vertraulichkeit
Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden (vgl.
Artikel 5 Absatz 1 Buchstabe d Datenschutz-Grundverordnung). Die Datenschutz-
Grundverordnung verknüpft sehr stark den Datenschutz mit der Technik. Personenbezogene
Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, sollen unverzüglich
gelöscht (vgl. etwa Artikel 17 Absatz 1 Buchstabe d Datenschutz-Grundverordnung) oder
berichtigt (Artikel 16 Datenschutz-Grundverordnung) werden.
Schließlich müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine
angemessene Sicherheit der personenbezogenen Daten gewährleistet (vgl. Artikel 5 Absatz
1 Buchstabe f der Datenschutz-Grundverordnung. Dies umfasst auch den Schutz vor unbe-
fugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter
Zerstörung oder Schädigung der personenbezogenen Daten. Hierfür sind geeignete techni-
sche und organisatorische Maßnahmen zu treffen, die insbesondere in Artikel 32 Daten-
schutz-Grundverordnung konkretisiert werden. Die Maßnahmen müssen im Verhältnis zum
Risiko angemessen sein.
Geboten sein kann danach unter anderem eine Pseudonymisierung oder Verschlüsselung,
sowie die Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit und Belastbarkeit der Sys-
teme zu gewährleisten.
Verantwortlichkeit/Dokumentation/Rechenschaftspflicht
Nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung trägt der Verantwortliche dafür Sor-
ge, dass die datenschutzrechtlichen Grundsätze eingehalten werden. Dies entspricht der
bisherigen Rechtslage.
Bei den Rechenschaftspflichten geht es darum, dass die öffentliche Stelle nachweisen kön-
nen muss, dass es die Grundsätze der Datenverarbeitung personenbezogener Daten nach
Artikel 5 Absatz 1 Datenschutz-Grundverordnung einhält. Dies betrifft die Anforderungen der
Rechtmäßigkeit und der Transparenz der Datenverarbeitung sowie der Verarbeitung der Da-
ten nach Treu und Glauben, die Beachtung des Zweckbindungsgrundsatzes, des Grundsat-
zes der Datenminimierung, der Richtigkeit der Daten, der Speicherbegrenzung und der In-
tegrität und Vertraulichkeit der Datenverarbeitung. Konkret bedeutet dies, dass alle daten-
schutzrechtlich relevanten Vorgänge nachvollziehbar bzw. belegbar sein müssen, also zu
dokumentieren sind. Es dürfte nicht mehr ausreichend sein, sich auf die kritischen Prozesse
zu beschränken und ausschließlich für diese eine Konzeption zu entwickeln.

Seite
16
von
155
3. Einwilligung
3. 1 Einwilligung – Allgemeine Anforderungen
In Artikel 6 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung findet sich die bisher in
§ 4 Absatz 1 Sächsisches Datenschutzgesetz geregelte Einwilligung des Betroffenen als
Grundlage für die rechtmäßige Verarbeitung personenbezogener Daten. Die Einwilligung als
Grundlage für die Datenverarbeitung war schon bislang für öffentliche Stellen eher von un-
tergeordneter Bedeutung, da für diese der Vorbehalt des Gesetzes gilt. Die Grenzen zulässi-
ger Datenverarbeitung durch öffentliche Stellen bestimmen sich in erster Linie nach den ge-
setzlich definierten Aufgaben. Im Rahmen dieser Aufgabenerfüllung dürfen die öffentlichen
Stellen regelmäßig auf gesetzlicher Grundlage personenbezogene Daten verarbeiten. Eine
Verarbeitung der personenbezogenen Daten über diese gesetzlich festgelegten Grenzen
hinaus mittels Einwilligung kommt nur ausnahmsweise in Betracht. Dabei ist vor allem zu
berücksichtigen, dass im Verhältnis zwischen öffentlicher Stelle und Bürger oftmals ein Un-
gleichgewicht besteht. Die Einwilligung kann in diesen Fällen nicht als freiwillig abgegeben
gelten und daher auch nicht Grundlage für eine Verarbeitung sein (vgl. Erwägungsgrund 43
der Datenschutz-Grundverordnung). An diesen bereits bisher geltenden Grundsätzen ändert
sich auch mit der Datenschutz-Grundverordnung nichts.
Bisher erteilte Einwilligungen
wirken nach Erwägungsgrund 171 der Datenschutz-
Grundverordnung fort. Sofern sie die Grundlage für eine Verarbeitung personenbezogener
Daten nach Artikel 6 Absatz 1 Buchstabe a Datenschutz-Grundverordnung sein sollen, gilt
dies jedoch nur, sofern sie auch der Art nach und inhaltlich den Bedingungen der Daten-
schutz-Grundverordnung entsprechen. Sofern dies nicht der Fall ist, können sie nicht als
Einwilligung im Sinne des Artikels 6 Absatz 1 Buchstabe a in Verbindung mit Artikel 7 und 8
Datenschutz-Grundverordnung angesehen und eine künftige Verarbeitung nicht auf sie ge-
stützt werden.
Die vorhandenen Einwilligungen sind somit auf ihre Wirksamkeit hin zu überprüfen. Dabei ist
insbesondere von Bedeutung, ob auf Grundlage der neuen Anforderungen nach Artikel 7
Absatz 4 Datenschutz-Grundverordnung eine freiwillige Erklärung abgegeben, gemäß Artikel
7 Absatz 3 Satz 3 Datenschutz-Grundverordnung auf die Wirkung des Widerrufs für die Zu-
kunft hingewiesen und dass die Altersgrenze für Einwilligungen nach Artikel 8 Absatz 1 Da-
tenschutz-Grundverordnung berücksichtigt wurde. Die bisher geltenden Anforderungen an
eine informierte Einwilligung müssen ebenso erfüllt sein wie die klare Benennung des Ver-
antwortlichen und der Zwecke der Verarbeitung.
Wenn ein Verantwortlicher einen
„Dienst der Informationsgesellschaft“ einem Minder-
jährigen unter 16 Jahren direkt unterbreitet
, dann hat er gemäß Artikel 8 Absatz 1 Satz 1
Datenschutz-Grundverordnung für die Wirksamkeit der Einwilligung die
Zustimmung der
Eltern
einzuholen. Ansonsten kommt es bei Einwilligungen von Minderjährigen in die Daten-
verarbeitung - wie bisher - auf die Einsichtsfähigkeit des Minderjährigen an.
Was unter
„Dienst der Informationsgesellschaft“
zu verstehen ist, wird in Artikel 4 Num-
mer 25 Datenschutz-Grundverordnung festgelegt. Dort wird auf die Begriffsbestimmung in
Artikel 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 Bezug genommen. Voraus-
setzung ist danach, dass das Angebot eine regelmäßig gegen Entgelt, elektronisch und im
Fernabsatz auf individuellen Abruf eines Empfängers erbrachte Dienstleistung darstellt. Hier-
zu können beispielsweise an Kinder gerichtete soziale Netzwerke gehören. Als entgeltlich
gelten diese Dienste bereits dann, wenn sie sich beispielsweise durch den Handel mit Nut-
zerdaten (quer-)finanzieren.

Seite
17
von
155
Die Datenschutz-Grundverordnung beschreibt in Artikel 7
unabdingbare Voraussetzungen
für die Einwilligung. Darüber hinaus finden sich in zahlreichen Erwägungsgründen (32, 33,
38, 42, 43) Erläuterungen, um die Regelungen entsprechend auslegen und anwenden zu
können. Die wichtigsten Anforderungen an eine rechtsgültige Einwilligung, die bisher in § 4
Absatz 3 bis 5 Sächsisches Datenschutzgesetz geregelt waren, haben sich jedoch im We-
sentlichen nicht geändert. Diese sind:
Freiwilligkeit
und
Koppelungsverbot
Die Abgabe der Einwilligungserklärung der betroffenen Person muss gemäß Artikel 7 Absatz
4 Datenschutz-Grundverordnung
freiwillig
erfolgen, das heißt, ohne jeden Druck oder
Zwang. Die betroffene Person muss in der Lage sein, eine echte freie Wahl zu treffen, d. h.,
sie darf im Zuge der Einholung der Einwilligung nicht vor vollendete Tatsachen gestellt oder
sonst in ihrer Entscheidungskraft eingeschränkt werden. In
Erwägungsgrund 43
finden sich
nähere Ausführungen zu der Frage, wann eine Einwilligung als freiwillig anzusehen ist und
wann nicht. Gerade wenn es sich bei dem Verantwortlichen um eine Behörde handelt, wird
oft ein Ungleichgewicht zwischen der betroffenen Person und der Behörde bestehen. In die-
sen Fällen kann nicht von einer freiwilligen Einwilligung ausgegangen werden.
Neu ist die ausdrückliche Einführung eines
allgemeinen Kopplungsverbotes
. Danach gilt
gemäß Erwägungsgrund 43 eine Einwilligung als nicht freiwillig erteilt, wenn zu verschiede-
nen Datenverarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann,
obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrages oder die
Erbringung einer Dienstleistung von der Einwilligung abhängig gemacht werden, obwohl dies
dafür gar nicht erforderlich ist. Dies widersprach aber schon nach bisheriger Auffassung dem
Grundsatz der Freiwilligkeit.
Ausführliche,
erkennbare
und
bestimmte
Information
des
Betroffenen
In Bezug auf die Informiertheit greift die Datenschutz-Grundverordnung die bereits aus § 4
Absatz 3 Sächsisches Datenschutzgesetz bekannten Grundsätze auf (vgl. insbesondere
Artikel 4 Nummer 11 Datenschutz-Grundverordnung). Die betroffene Person muss vor Ab-
gabe der Einwilligungserklärung
über den vorgesehenen Zweck wie auch den Umfang
der Verarbeitung seiner personenbezogenen Daten im Einzelnen informiert werden
,
damit sie für den konkreten Fall und in Kenntnis der Sachlage einwilligen kann. Dabei müs-
sen
alle weiteren für den konkreten Fall entscheidungsrelevanten Informationen ent-
halten
sein und diese müssen darüber hinaus auch
hinreichend bestimmt
sein. Der Zweck
der Verarbeitung darf also nicht zu allgemein gehalten werden. Auch in Erwägungsgrund 32
wird darauf hingewiesen, dass sich eine Einwilligung nur auf die jeweils angegebenen Verar-
beitungszwecke bezieht und für sämtliche Verarbeitungszwecke eine Einwilligung abgege-
ben werden soll.
Form
der
Einwilligungserklärung
Wie bisher kann die Einwilligungserklärung schriftlich oder elektronisch abgegeben werden.
Die Datenschutz-Grundverordnung geht aber
nicht mehr von einem grundsätzlichen
Schriftformerfordernis
aus. Zulässig wäre auch eine mündliche Einwilligungserklärung.
Allerdings wird durch Artikel 7 Absatz 1 Datenschutz-Grundverordnung die
Nachweisbarkeit
der Einwilligung (Rechenschaftspflicht)
durch den Verantwortlichen gefordert. Bei einer
nur mündlichen Einwilligung wird dieser Nachweis nur schwer zu führen sein. Daher wird
empfohlen, die Einwilligung wie bisher schriftlich oder elektronisch einzuholen.
In Erwägungsgrund 32 wird dabei klargestellt, dass die Einwilligung nur durch eine eindeuti-
ge Handlung zustande kommen soll, die auch in elektronischer Form erfolgen kann. Damit ist

Seite
18
von
155
regelmäßig eine aktive Handlung des Nutzers durch Opt-In (z. B. Setzen eines Häkchens)
notwendig, andere Varianten wie eine stillschweigende Zustimmung oder Opt-Out (z. B. Ent-
fernen eines Häkchens) sind dagegen nicht mehr möglich.
Wenn die Einwilligung zusammen mit anderen Erklärungen abgegeben werden soll, so muss
die Einwilligungserklärung gemäß Artikel 7 Absatz 2 Datenschutz-Grundverordnung
„in ver-
ständlicher und leicht zugänglicher Form“ und in „einer klaren und einfachen Spra-
che“
erfolgen. Für den Betroffenen muss sich die Einwilligungserklärung
klar von anderen
Erklärungen unterscheiden
können. Daraus folgt, dass die Einwilligung deutlich
hervorzu-
heben
ist (z. B. durch Fettdruck, Rahmung, farbliche Hervorhebung).
Im Falle der Verarbeitung von
besonders sensiblen Arten von personenbezogenen Da-
ten
muss sich die Einwilligung ausdrücklich auf diese beziehen, Artikel 9 Absatz 2 Buchsta-
be a Datenschutz-Grundverordnung.
Hinweis
auf
die
Widerruflichkeit
der
Einwilligungserklärung
Die Datenschutz-Grundverordnung bestimmt in Artikel 7 Absatz 3, dass die betroffene Per-
son ein Recht zum Widerruf ihrer Einwilligung hat, sie vor Abgabe der Einwilligung über ihr
Widerrufsrecht aufgeklärt werden muss und der Widerruf der Einwilligung genauso leicht
möglich sein muss wie die Abgabe selbst.
Nach der Datenschutz-Grundverordnung nicht mehr ausdrücklich gefordert ist ein
Hinweis
auf die Folgen der Verweigerung
einer Einwilligung. Eine Aufnahme dieses Hinweises ist
aber bereits aus Gründen der Transparenz und als wesentliches Kriterium für die Entschei-
dung des Betroffenen, ob er die Einwilligung erteilt, geboten.
Eine
Einwilligung, die nicht den o. g. Anforderungen entspricht, ist unwirksam
und
kann nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden. Wenn
sich die Einwilligung als unwirksam erweist oder der Verantwortliche das Vorliegen der Ein-
willigung nicht nachweisen kann, so ist die Verarbeitung der Daten rechtswidrig.
3.2 Speziell: Einwilligung in Bild- und Tonaufnahmen
Für die Anfertigung von Bild- und Tonaufnahmen gilt die Datenschutz-Grundverordnung, da
die Abbildung einer natürlichen Person eine Verarbeitung personenbezogener Daten im Sin-
ne der Datenschutz-Grundverordnung ist. Dafür ist eine Erlaubnisnorm erforderlich. Welche
Erlaubnisnorm herangezogen werden kann und wie ein praktikabler Umgang mit Bild- und
Tonaufnahmen ermöglicht werden kann, wird derzeit kontrovers diskutiert. Insbesondere die
Einholung einer Einwilligung (Artikel 6 Absatz 1 Satz 1 Buchstabe a Datenschutz-
Grundverordnung) aller abgebildeten Personen ist in der Praxis schwierig, teilweise unmög-
lich. Zwar verlangt die Datenschutz-Grundverordnung keine
schriftliche
Einwilligung, aller-
dings besteht die Pflicht des Fotografen, nachzuweisen, dass die betroffene Person tatsäch-
lich eingewilligt hat. Daher wird eine schriftliche Erklärung (auch in elektronischer Form mög-
lich) unverzichtbar sein. Dies wäre insbesondere bei größeren und anonymen Veranstaltun-
gen (z. B. Tag der offenen Tür) problematisch, da zum Beispiel auch eine unterschriebene
Erklärung nicht ohne Weiteres einer Person auf einem Foto zugeordnet werden könnte. Im
Folgenden Merkblatt wird daher eine mögliche Vorgehensweise und Argumentation aufge-
zeigt. Die Muster dienen als Hilfestellung zur praktischen Umsetzung:
[
Link:
Merkblatt zur Anfertigung und Veröffentlichung von Bild- und Tonaufnahmen
mit Personenbezug durch Behörden]
[
Link
: Hinweis für offene Veranstaltungen mit großer Teilnehmerzahl, Anlage 1 zum Merk-
blatt]

Seite
19
von
155
[
Link
: Muster für eine Einwilligungserklärung für die Erstellung und Veröffentlichung von Bild-
und Tonaufnahmen, Anlage 2 zum Merkblatt]
4. Datenschutzbeauftragter
Die Anwendung der Datenschutz-Grundverordnung bringt auch Veränderungen im Hinblick
auf die Benennung, Stellung und Aufgaben der Datenschutzbeauftragten mit sich. Die hierfür
bisher geltenden Regelungen in § 11 Sächsisches Datenschutzgesetz sind nun durch Artikel
37 bis 39 Datenschutz-Grundverordnung abgelöst.
Mit Artikel 37 Absatz 1 Datenschutz-Grundverordnung wurde erstmals eine europaweit gel-
tende gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten für Behörden
und öffentliche Stellen eingeführt. Damit soll die datenschutzrechtliche Selbstkontrolle öffent-
licher Stellen gestärkt werden. Bisher war für die öffentlichen Stellen im Freistaat Sachsen
die Bestellung eines Datenschutzbeauftragten gemäß § 11 Absatz 1 Sächsisches Daten-
schutzgesetz nicht verpflichtend, sondern fakultativ. Nach der Datenschutz-Grundverordnung
muss nun jeweils ein Datenschutzbeauftragter benannt werden. Da keine Frist bestimmt ist,
besteht diese Pflicht seit 25. Mai 2018.
Wichtig:
Jede öffentliche Stelle, die bisher noch keinen Datenschutzbeauftragten hatte,
musste bis zum 25. Mai 2018 einen Datenschutzbeauftragten benennen.
Aufgaben
und
Benennung
des
Datenschutzbeauftragten
nach
der
Datenschutz-
Grundverordnung entsprechen im Kern den bisherigen Vorgaben nach dem Sächsischen
Datenschutzgesetz. Allerdings führt die Datenschutz-Grundverordnung teilweise zu einer
Verschiebung der datenschutzrechtlichen Zuständigkeiten und Verantwortlichkeiten bei den
datenverarbeitenden Stellen. So verantwortet der Datenschutzbeauftragte nach der Daten-
schutz-Grundverordnung nicht mehr operative Aufgaben wie die Mitarbeiterschulung und die
datenschutzrechtliche Vorabkontrolle, sondern nimmt verstärkt die Stellung eines Beratungs-
und Kontrollorgans ein.
Was ist zu tun?
Soweit noch kein Datenschutzbeauftragter bestellt worden ist, ist ein solcher unver-
züglich zu benennen (vgl. Checkliste Benennung Datenschutzbeauftragter – Anlage
4).
Bestehende Bestellungen von Datenschutzbeauftragten sollten auf ihre Konformität
mit den neuen Datenschutzbestimmungen hin überprüft werden. Da der Aufgaben-
und Befugnisbereich des Datenschutzbeauftragten verändert wurde, empfiehlt sich,
die Bestellungen in der bisher empfohlenen Weise unter Nennung der konkreten Auf-
gaben vorzunehmen und auf die Vorschriften der Datenschutz-Grundverordnung zu
verweisen. Nach altem Recht bestellten Datenschutzbeauftragten sollte so mit einem
erneuernden Akt ebenfalls in Bezug auf ihren Rechtsstatus Gewissheit verschafft
werden.
Die Kontaktdaten des Datenschutzbeauftragten sind im Intranet und Internet zu veröf-
fentlichen und dem Sächsischen Datenschutzbeauftragten zu melden.
Es ist zu prüfen, ob der nach der Datenschutz-Grundverordnung zu benennende
bzw. bereits nach Sächsischem Datenschutzgesetz bestellte Datenschutzbeauftragte
die beruflichen und persönlichen Voraussetzungen erfüllt. Gegebenenfalls ist ihm Ge-
legenheit zu entsprechender Qualifizierung zu geben.
Durch Organisationsregelungen, die allen Beschäftigten bekanntzugeben sind, ist die
ordnungsgemäße und frühzeitige Beteiligung des Datenschutzbeauftragten bei allen
Datenschutzfragen, insbesondere auch die Einbeziehung bei einer Datenschutz-

Seite
20
von
155
Folgenabschätzung, sicherzustellen. Es empfiehlt sich, die organisatorische Stellung
des Datenschutzbeauftragten innerhalb der Behörde bzw. öffentlichen Stelle und
dessen direktes Berichtsrecht transparent im Organigramm darzustellen (vgl.
„Merkblatt
zu
Mindestanforderungen
an
Qualifikation
und
Unabhängigkeit
des
Daten-
schutzbeauftragten“
– Anlage 5).
Es ist zu überprüfen, ob dem Datenschutzbeauftragten ausreichende Ressourcen für
seine Aufgabenerfüllung zur Verfügung stehen. Ggf. sind sie dem Bedarf anzupassen
(
vgl.
„Merkblatt
zu
Mindestanforderungen
an
Qualifikation
und
Unabhängigkeit
des
Datenschutzbeauftragten“
– Anlage 5).
4.1
Benennung
Nach Artikel 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung hat jede öffentliche
Stelle seit 25. Mai 2018 einen Datenschutzbeauftragten zu benennen.
Um Rechtssicherheit zu erlangen, ist eine Anpassung der Bestellung unter Verweis auf die
Datenschutz-Grundverordnung anzuraten. Bereits bestellte Datenschutzbeauftragte blei-
ben in ihrer Funktion. Sie dürfen wegen des bestehenden Benachteiligungsverbots keines-
falls mit Verweis auf die neuen Bestimmungen der Datenschutz-Grundverordnung abberufen
oder entlassen werden, wenn sie die gesetzlichen Anforderungen weiterhin erfüllen - das
Amt ist also nicht neu zu besetzen. Vor dem Hintergrund der nach der Datenschutz-
Grundverordnung nicht mehr erforderlichen Schriftform kann allerdings die bisher konstitutiv
wirkende Unterzeichnung der Bestellurkunde nun nur noch deklaratorische Wirkung entfal-
ten. Bestehende schriftliche Dokumente sollten auf ihre Konformität mit den neuen Daten-
schutzbestimmungen hin überprüft werden. Insbesondere Stellung und Aufgaben des Da-
tenschutzbeauftragten haben sich nun an der Datenschutz-Grundverordnung auszurichten.
Insofern wird eine (lediglich formale) Neubestellung zur Klarstellung unter der neuen Rechts-
lage empfohlen.
4.1.1 Interner, externer oder gemeinsamer Datenschutzbeauftragter
Der Datenschutzbeauftragte kann gemäß Artikel 37 Absatz 6 Datenschutz-Grundverordnung
auch ein Externer sein, der auf der Grundlage eines Dienstleistungsvertrages tätig wird. Die
Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen, bestand auch schon nach
§ 11 Absatz 1 Satz 4 Sächsisches Datenschutzgesetz.
Es besteht gemäß Artikel 37 Absatz 3 Datenschutz-Grundverordnung auch die Möglichkeit,
für mehrere öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer
Größe einen gemeinsamen Datenschutzbeauftragten zu benennen. Dies war bereits nach §
11 Absatz 1 Satz 3 Sächsisches Datenschutzgesetz möglich. Der Verantwortliche muss je-
doch nunmehr unter anderem sicherstellen, dass der gemeinsame Datenschutzbeauftragte
auch in der Lage ist, die ihm in Bezug auf sämtliche öffentlichen Stellen übertragenen Auf-
gaben zu erfüllen.
Wie nach bisheriger Rechtslage kann nur eine natürliche Person als Datenschutzbeauftrag-
ter benannt werden, nicht jedoch eine juristische Person.
Der zum Datenschutzbeauftragten benannten Person kann auch Hilfspersonal zugewiesen
werden, wie etwa Vertreter, Datenschutzansprechpartner und Koordinatoren. In diesem Fall
empfiehlt es sich, die Aufgabenverteilung klar zu dokumentieren und festzulegen, ob und in
welchem Umfang die Rechte des Datenschutzbeauftragten auf ein Mitglied seines Teams
Anwendung finden.

Seite
21
von
155
4.1.2 Anforderungen an die Benennung
Formale Voraussetzungen
Die Datenschutz-Grundverordnung spricht in Artikel 37 von einer Benennung des Daten-
schutzbeauftragten. Insofern ist eine Schriftform, wie sie derzeit in § 11 Absatz 1 Satz 2
Sächsisches Datenschutzgesetz für die Bestellung geregelt ist, nicht mehr zwingend vorge-
schrieben. Vielmehr besteht eine Veröffentlichungs- und Mitteilungspflicht.
Empfehlung:
Aus Beweisgründen und zur Rechtsklarheit wird eine schriftliche Dokumenta-
tion der Benennung des Datenschutzbeauftragten dennoch empfohlen. Neben dem Zeit-
punkt des Wirksamwerdens der Benennung sollten auch die gesetzlichen und ggf. zusätzlich
vereinbarten Aufgaben des Datenschutzbeauftragten, dessen Zeitkontingent sowie ggf. die
zur Verfügung gestellten Ressourcen schriftlich fixiert werden, damit sich Verantwortlicher
und Datenschutzbeauftragter über diese im Klaren sind.
Berufliche Qualifikation, Fachwissen und persönliche Voraussetzungen des Datenschutzbe-
auftragten
Nach der bisherigen Regelung in § 11 Absatz 2 Sächsisches Datenschutzgesetz musste der
Datenschutzbeauftragte die zur Erfüllung seiner Aufgaben erforderliche Sachkunde und Zu-
verlässigkeit besitzen. Die Datenschutz-Grundverordnung bestimmt nun in Artikel 37 Absatz
5, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und
insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts
und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung
der in Artikel 39 Datenschutz-Grundverordnung genannten Aufgaben.
Der Begriff der beruflichen Qualifikation wird in der Datenschutz-Grundverordnung nicht wei-
ter erklärt und auch für das erforderliche Fachwissen fehlt eine dezidierte Beschreibung. Je-
denfalls verlangt aber die Vorschrift Fachwissen auf dem Gebiet des Datenschutzrechts und
der Datenschutzpraxis. Hierzu gehören fundierte Kenntnisse der datenschutzrechtlichen
Grundlagen, insbesondere der Datenschutz-Grundverordnung, des Sächsischen Daten-
schutzdurchführungsgesetzes, bereichsspezifischer Datenschutzbestimmungen und der je-
weils anzuwendenden Verwaltungsvorschriften, wie auch Kenntnisse über die internen Pro-
zesse in der öffentlichen Stelle, solides Fachwissen in Bezug auf das IT-System und IT-
Sicherheitsmaßnahmen. Das jeweils erforderliche Niveau des Fachwissens richtet sich ins-
besondere nach den durchgeführten Verarbeitungsvorgängen und dem erforderlichen
Schutz der personenbezogenen Daten, die die öffentliche Stelle verarbeitet. Je komplexer
die Datenverarbeitungen im Einzelfall sind oder je größer die Menge sensibler Daten ist, des-
to höher sind die Anforderungen an das notwendige Fachwissen des Datenschutzbeauftrag-
ten. Dies verlangte im Übrigen auch die bereits bisher nach Sächsischem Datenschutzge-
setz geforderte Sachkunde.
Das bisher geltende Erfordernis der persönlichen Zuverlässigkeit wird zwar in der Daten-
schutz-Grundverordnung nicht ausdrücklich geregelt, ergibt sich aber aus der Aufgabenstel-
lung des Datenschutzbeauftragten, Ansprechpartner der Behörde bzw. öffentlichen Stelle
und der betroffenen Personen zu sein. Hierfür sind nach wie vor ein hohes Maß an persönli-
cher Integrität, Berufsethik und Kommunikationsfähigkeit erforderlich. So kommen z. B. Per-
sonen für eine Benennung nicht in Frage, die bereits Datenschutzverstöße begangen oder
Verschwiegenheitspflichten verletzt haben.
Die bisher nach § 11 Absatz 1 Satz 4 Sächsisches Datenschutzgesetz geltende Anforde-
rung, wonach der Datenschutzbeauftragte die formellen Voraussetzungen für die Berufung in
das Beamtenverhältnis auf Zeit erfüllen musste, ist entfallen.

Seite
22
von
155
Kein Interessenkonflikt
Der Verantwortliche hat gemäß Artikel 38 Absatz 6 Datenschutz-Grundverordnung sicherzu-
stellen, dass vom Datenschutzbeauftragten ggf. wahrzunehmende andere Aufgaben und
Pflichten nicht zu einem Interessenkonflikt führen. Dies war bereits nach § 11 Absatz 2 Satz
1 Sächsisches Datenschutzgesetz zu gewährleisten. Die bisherigen Grundsätze zur Interes-
senkollision bleiben somit gültig.
Danach ist z. B. die Benennung des Leiters der IT- oder der Personalabteilung, von Mitarbei-
tern in leitender Position mit besonderer Nähe zur Behördenleitung, des Geheimschutzbe-
auftragten oder von Vorstandsmitgliedern von Personalräten unzulässig. Generell gilt der
Grundsatz, dass der zu Kontrollierende nicht selbst der Kontrolleur sein darf.
4.1.3 Veröffentlichung der Kontaktdaten und Mitteilung an die Aufsichtsbehörde
In formeller Hinsicht wird die Benennung des Datenschutzbeauftragten mit der Veröffentli-
chung von dessen Kontaktdaten und die Mitteilung an den Sächsischen Datenschutzbeauf-
tragten vollzogen (Artikel 37 Absatz 7 Datenschutz-Grundverordnung). Bisher waren gemäß
§ 11 Absatz 1 Sätze 4 und 5 Sächsisches Datenschutzgesetz dem Sächsischen Daten-
schutzbeauftragten innerhalb eines Monats nach Bestellung lediglich der Name des Daten-
schutzbeauftragten und der Tag seiner Bestellung mitzuteilen.
Zu den durch den Verantwortlichen zu veröffentlichenden und der Aufsichtsbehörde mitzutei-
lenden Kontaktdaten des Datenschutzbeauftragten gehören mindestens folgende:
Postadresse
Telefonnummer und
E-Mail-Adresse.
Die Kontaktdaten sind sowohl innerhalb der Organisation der öffentlichen Stelle (Intranet,
Geschäftsverteilungspläne) als auch auf deren Internetseite zu veröffentlichen und dem
Sächsischen Datenschutzbeauftragten mitzuteilen. Der Sächsische Datenschutzbeauftragte
stellt für die Meldung der Kontaktdaten auf seiner Internetseite einen Online-Service bzw. ein
Formular
bereit
[Link
https://www.saechsdsb.de/mitteilung-benannter-
datenschutzbeauftragter]. Obwohl die Veröffentlichung oder Mitteilung des Namens des Da-
tenschutzbeauftragten nach der Datenschutz-Grundverordnung nicht zwingend ist, wird die
Bekanntgabe des Namens zumindest gegenüber der Aufsichtsbehörde und innerhalb der
öffentlichen Stelle empfohlen.
4.2
Sonstige Pflichten des Verantwortlichen
4.2.1 Pflicht zur Unterstützung des Datenschutzbeauftragten
Pflicht zur ordnungsgemäßen und frühzeitigen Einbindung des Datenschutzbeauftragten
Erstmals wird mit Artikel 38 Absatz 1 Datenschutz-Grundverordnung der Verantwortliche
gesetzlich verpflichtet, den Datenschutzbeauftragten ordnungsgemäß und frühzeitig in alle
mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Dies
ist auch zwingend erforderlich, damit der Datenschutzbeauftragte seinen Beratungs- und
Überwachungsaufgaben gerecht werden kann.
Gegebenenfalls sollte der Verantwortliche im Datenschutzkonzept oder in sonstigen organi-
satorischen Regelungen festlegen, wann und in welchen Fällen der Datenschutzbeauftragte
zu Rate zu ziehen ist. Z. B. könnte u. a. bestimmt werden,

Seite
23
von
155
dass der Datenschutzbeauftragte den maßgeblichen Arbeitsgruppen angehört, die
mit Datenverarbeitungstätigkeiten innerhalb der Behörde bzw. öffentlichen Stelle be-
fasst sind,
er zur Teilnahme an den regelmäßigen Besprechungen der Leitungsebene eingela-
den wird,
er bei einer Verletzung datenschutzrechtlicher Bestimmungen oder einem sonstigen
Vorfall unverzüglich hinzuzuziehen ist.
Wichtig:
Durch Organisationsregelungen, die allen Beschäftigten bekanntzugeben sind, ist
die ordnungsgemäße und frühzeitige Beteiligung des Datenschutzbeauftragten bei allen Da-
tenschutzfragen sicherzustellen.
Pflicht zur Bereitstellung von Ressourcen
Wie bisher nach § 11 Absatz 2 Satz 4 Sächsisches Datenschutzgesetz hat der Verantwortli-
che auch nach Artikel 38 Absatz 2 Datenschutz-Grundverordnung den Datenschutzbeauf-
tragten bei der Erfüllung seiner Aufgaben im erforderlichen Umfang zu unterstützen. Die dem
Verantwortlichen in diesem Zusammenhang obliegenden Pflichten sind:
Bereitstellen der erforderlichen Ressourcen wie ausreichend Arbeitszeit, Räume, ggf.
weitere Mitarbeiter,
Ermöglichung des Zugangs zu personenbezogenen Daten und Verarbeitungsvorgän-
gen, z. B. Zugang zu anderen Abteilungen wie Personal, Recht, IT und Sicherheit,
um ggf. dort Unterstützung und Anregungen zu erhalten,
Bereitstellen der zur Erhaltung des Fachwissens erforderlichen Ressourcen wie
Fachliteratur, Ermöglichung der Teilnahme an Fortbildungen und am Erfahrungsaus-
tausch mit anderen Datenschutzbeauftragten.
Auch hier gilt: Je komplexer und sensibler die Datenverarbeitungsvorgänge sind, desto mehr
Ressourcen müssen dem Datenschutzbeauftragten zur Verfügung gestellt werden.
Wichtig:
Überprüfen Sie, ob dem Datenschutzbeauftragten ausreichende Ressourcen für
seine Aufgabenerfüllung zur Verfügung stehen; ggf. sind sie dem Bedarf anzupassen (vgl.
„Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutz-
beauftragten“ – Anlage 5).
4.2.2 Gewährleistung der Unabhängigkeit des Datenschutzbeauftragten
Weisungsfreiheit
Bereits nach § 11 Absatz 2 Satz 2 Sächsisches Datenschutzgesetz war der Datenschutzbe-
auftragte bei der Erfüllung seiner Aufgaben weisungsfrei. Auch nach Artikel 38 Absatz 3 Satz
1 Datenschutz-Grundverordnung ist nunmehr die Weisungsfreiheit Kernstück der Unabhän-
gigkeit des Datenschutzbeauftragten. Erwägungsgrund 97 stellt diesbezüglich klar: „Derarti-
ge Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte
des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unab-
hängigkeit ausüben können.“ Dem Datenschutzbeauftragten dürfen somit keine Weisungen
in seiner Funktion als Datenschutzbeauftragter erteilt werden. Z. B. ist es nicht zulässig, ihm
Vorgaben zur Erreichung eines ganz bestimmten Ziels, über die Art und Weise der Bearbei-
tung von Eingaben oder zur Zusammenarbeit mit Aufsichtsbehörden zu machen. Die Wei-
sungsfreiheit beschränkt sich allerdings auf die Erfüllung seiner Aufgaben als Datenschutz-
beauftragter und umfasst nicht seine sonstigen Aufgaben.

Seite
24
von
155
Abberufungsschutz und Benachteiligungsverbot
Der Datenschutzbeauftragte durfte schon nach bisheriger Rechtslage nicht wegen der Erfül-
lung seiner Aufgaben benachteiligt werden (§ 11 Absatz 2 Satz 3 Sächsisches Datenschutz-
gesetz). Diese Regelung behält Artikel 38 Absatz 2 Datenschutz-Grundverordnung bei.
Festgelegt wird dort außerdem, dass er wegen der Erfüllung seiner Aufgaben auch nicht ab-
berufen werden darf. Ein besonderer arbeitsrechtlicher Kündigungsschutz ist in der Daten-
schutz-Grundverordnung jedoch nicht vorgesehen.
Die Datenschutz-Grundverordnung enthält keine Regelung dazu, wie und wann ein Daten-
schutzbeauftragter abberufen oder durch eine andere Person ersetzt werden kann. Eine Ab-
berufung im Einvernehmen mit dem Datenschutzbeauftragten ist aber in der Praxis z. B. zu-
lässig, wenn der Datenschutzbeauftragte mit neuen fachlichen Aufgaben betraut werden soll,
welche aufgrund von Interessenkollisionen die Fortsetzung der Tätigkeit als Datenschutzbe-
auftragter nicht mehr zulassen.
Der Datenschutzbeauftragte kann auch selbst sein Amt niederlegen. Er ist nicht verpflichtet,
seine Funktion gegen seinen Willen wahrzunehmen, doch er muss dann der öffentlichen
Stelle ausreichend Zeit einräumen, einen neuen Beauftragten zu bestellen.
Empfehlung:
Bei der Benennung eines externen Datenschutzbeauftragten sollte durch Ver-
einbarung einer festen Vertragslaufzeit mit gewisser Dauer vertraglich sichergestellt werden,
dass dem gesetzlichen Benachteiligungsschutz angemessen Rechnung getragen wird (vgl.
„Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Datenschutz-
beauftragten“ – Anlage 5).
Unmittelbarer Berichtsweg zur Leitung
Bisher war in § 11 Absatz 2 Satz 2 Sächsisches Datenschutzgesetz geregelt, dass der Da-
tenschutzbeauftragte bei der Erfüllung seiner Aufgaben dem Leiter der öffentlichen Stelle
unmittelbar zu unterstellen war. Nun eröffnet Artikel 38 Absatz 3 Satz 3 Datenschutz-
Grundverordnung für Datenschutzbeauftragte einen unmittelbaren Berichtsweg zur höchsten
Leitungsebene der öffentlichen Stelle.
Empfehlung:
Die organisatorische Stellung des Datenschutzbeauftragten innerhalb der öf-
fentlichen Stelle und dessen direktes Berichtsrecht zur Leitung sollten transparent im Orga-
nigramm dargestellt werden (vgl. „Merkblatt zu Mindestanforderungen an Qualifikation und
Unabhängigkeit des Datenschutzbeauftragten“ – Anlage 5).
4.3 Aufgaben des Datenschutzbeauftragten
4.3.1 Mindestpflichten
Die Datenschutz-Grundverordnung sieht einen umfangreichen Aufgabenkatalog für den Da-
tenschutzbeauftragten vor. Der überwiegende Teil der so genannten „Mindestpflichten“ ergibt
sich aus Artikel 39 Absatz 1 Datenschutz-Grundverordnung. Die zentralen Aufgaben des
Datenschutzbeauftragten liegen auch nach der Datenschutz-Grundverordnung bei der Kon-
trolle und Beratung. Die Zuständigkeit für die Herbeiführung datenschutzkonformer Zustände
liegt jedoch weiterhin bei der Leitung der öffentlichen Stelle. Der Datenschutzbeauftragte
kann nur Defizite ausfindig machen und die Leitungsebene darauf hinweisen.
Bestimmte Pflichten, die dem Datenschutzbeauftragten bisher nach § 11 Sächsisches Da-
tenschutzgesetz obliegen, entfallen nach der Datenschutz-Grundverordnung. So führt der
Datenschutzbeauftragte nicht mehr das Verfahrensverzeichnis (nach Datenschutz-

Seite
25
von
155
Grundverordnung: Verzeichnis von Verarbeitungstätigkeiten) und er hat auch nicht mehr je-
dermann Auskunft darüber zu erteilen.
Die Mindestpflichten sind nicht abschließend. Weitere Pflichten, wie z. B. die Pflicht zur Füh-
rung des Verzeichnisses von Verarbeitungstätigkeiten, die generelle Beantwortung von Aus-
kunftsersuchen durch den Datenschutzbeauftragten oder die Durchführung von Schulungs-
maßnahmen können zusätzlich vereinbart werden. Die über den gesetzlich vorgesehenen
Aufgabenkatalog vereinbarten Aufgaben sollten in jedem Fall schriftlich fixiert werden.
Eine Übertragung der Handlungsverantwortung (Linienfunktion) auf den Datenschutzbeauf-
tragten ist jedoch nicht möglich, da er sich dann selbst kontrollieren müsste. Dies würde zu
unzulässigen Interessenkollisionen führen.
Nach Artikel 39 Absatz 1 Datenschutz-Grundverordnung bestehen folgende Mindestpflich-
ten:
Unterrichtung
und
Beratung
der
Verantwortlichen
und
Beschäftigten
Der Datenschutzbeauftragte hat gemäß Artikel 39 Absatz 1 Buchstabe a Datenschutz-
Grundverordnung den Verantwortlichen und die konkret mit der Datenverarbeitung Beschäf-
tigten hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung sowie nach den
sonstigen Datenschutzvorschriften zu unterrichten und zu beraten. Dies war auch ein Teil
der bisher geltenden allgemeinen Unterstützungspflicht nach § 11 Absatz 4 Sächsisches
Datenschutzgesetz. Die Unterrichtung beinhaltet die allgemeine Information über die beste-
henden datenschutzrechtlichen Pflichten. Die Beratung umfasst hingegen die Unterstützung
bei der Lösung von konkreten datenschutzrechtlichen Fragen.
Wichtig:
Die Schulung der Mitarbeiter, insbesondere die zielgerichtete Aufbereitung der für
die konkret ausgeübte Tätigkeit relevanten datenschutzrechtlichen Informationen, ist nach
der Datenschutz-Grundverordnung nicht mehr wie bisher nach § 11 Absatz 4 Nummer 2
Sächsisches Datenschutzgesetz Aufgabe des Datenschutzbeauftragten, sondern Aufgabe
des für die Verarbeitung Verantwortlichen. Der Datenschutzbeauftragte hat in Bezug auf die
Schulungen nur noch beratende bzw. kontrollierende Funktion. Der Verantwortliche hat je-
doch die Möglichkeit, dem Datenschutzbeauftragten auch die Durchführung von Schulungen
zu übertragen.
Überwachung der Einhaltung des Datenschutzes
Weitere Aufgabe des Datenschutzbeauftragten ist gemäß Artikel 39 Absatz 1 Buchstabe b
Datenschutz-Grundverordnung die Überwachung der Einhaltung des Datenschutzes, im Ein-
zelnen die Einhaltung der Datenschutz-Grundverordnung, anderer Datenschutzvorschriften
sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten.
Die Verpflichtung geht über die bisher nach § 11 Absatz 4 Nummer 1 Sächsisches Daten-
schutzgesetz geltende Pflicht hinaus, weil sie sich nicht mehr nur auf die Einhaltung der Da-
tenschutzvorschriften im Zusammenhang mit der Planung, Einführung und Anwendung von
automatisierten Verarbeitungsverfahren bezieht, sondern umfassend für jegliche Verarbei-
tung personenbezogener Daten gilt und auch die Kontrolle der Einhaltung der Datenschutz-
strategien des Verantwortlichen umfasst, z. B. Dienstvereinbarungen und Dienstanweisun-
gen. Die Kontrollbefugnis erstreckt sich auch auf die gewählte interne Zuständigkeitsvertei-
lung. Der Datenschutzbeauftragte kann daher auch Einfluss auf die organisatorische Umset-
zung des Datenschutzrechts nehmen.

Seite
26
von
155
Insofern erfährt die Funktion des Datenschutzbeauftragten eine erhebliche Ausweitung, die
auch bei seiner Ausstattung mit Ressourcen zu berücksichtigen ist – insbesondere in der
arbeitsintensiven Phase der Anpassung der Datenschutzorganisation an die Datenschutz-
Grundverordnung.
Im Rahmen seiner Überwachungspflicht ist der Datenschutzbeauftragte insbesondere be-
fugt,
Informationen zur Ermittlung von Datenverarbeitungstätigkeiten zu sammeln,
die Einhaltung der Vorgaben bei Datenverarbeitungstätigkeiten zu analysieren und zu
kontrollieren sowie
den Verantwortlichen zu unterrichten und zu beraten und ihm Empfehlungen zu un-
terbreiten.
Überwachung der Einhaltung bedeutet jedoch nicht, dass der Datenschutzbeauftragte im Fall
der Nichteinhaltung persönlich zur Verantwortung gezogen werden kann. Die Datenschutz-
Grundverordnung bestimmt in Artikel 24 Absatz 1 Datenschutz-Grundverordnung klar, dass
es Aufgabe des Verantwortlichen ist, geeignete organisatorische Maßnahmen umzusetzen,
um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung
gemäß der Datenschutz-Grundverordnung erfolgt. Für die Einhaltung der datenschutzrechtli-
chen Bestimmungen ist somit nicht persönlich der Datenschutzbeauftragte verantwortlich. Er
hat insoweit lediglich eine beratende und unterstützende Funktion.
Beratung und Überwachung bei einer Datenschutz-Folgenabschätzung
Die Vorabkontrolle, für die bisher der Sächsische Datenschutzbeauftragte bzw. bei Vorhan-
densein eines Datenschutzbeauftragten dieser gemäß § 10 Absatz 4 Sächsisches Daten-
schutzgesetz zuständig ist, wird von der Datenschutz-Folgenabschätzung abgelöst. Die
Durchführung der Datenschutz-Folgenabschätzung liegt gemäß Artikel 35 Absatz 1 Daten-
schutz-Grundverordnung in der Verantwortung des Verantwortlichen. Allerdings kann der
Datenschutzbeauftragte dem Verantwortlichen Hilfestellung leisten. Artikel 35 Absatz 2 Da-
tenschutz-Grundverordnung sieht ausdrücklich vor, dass der Verantwortliche bei der Durch-
führung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein-
holt. Artikel 39 Absatz 1 Buchstabe c Datenschutz-Grundverordnung wiederum überträgt
dem Datenschutzbeauftragten die Aufgabe, im Zusammenhang mit der Datenschutz-
Folgenabschätzung zu beraten und deren Durchführung gemäß Artikel 35 Datenschutz-
Grundverordnung zu überwachen.
Es wird empfohlen, dass der Datenschutzbeauftragte insbesondere dann zu Rate gezogen
wird, wenn es um die Frage geht,
ob eine Datenschutz-Folgenabschätzung durchgeführt wird oder nicht,
welche Methoden bei der Durchführung einer Datenschutz-Folgenabschätzung an-
gewendet werden sollte,
welche Sicherheitsvorkehrungen (einschließlich technischer und organisatorischer
Maßnahmen) getroffen werden sollten, um bestehenden Bedrohungen der Rechte
und Interessen der betroffenen Personen zu begegnen,
ob eine Datenschutz-Folgenabschätzung ordnungsgemäß durchgeführt worden ist
und ob die daraus gezogenen Schlussfolgerungen im Einklang mit der Datenschutz-
Grundverordnung stehen.
Falls der Verantwortliche der Empfehlung des Datenschutzbeauftragten nicht zustimmt, ist in
der Dokumentation zur Datenschutz-Folgenabschätzung ausdrücklich schriftlich zu begrün-
den, warum der Empfehlung nicht Folge geleistet wurde.

Seite
27
von
155
Wichtig:
Durch entsprechende Organisationsregelungen sollten die Vorgehensweise bei der
Durchführung von Datenschutz-Folgenabschätzungen festgelegt und die in dem Zusam-
menhang vom Datenschutzbeauftragten wahrzunehmenden Aufgaben und deren Umfang
konkretisiert werden. Die Festlegungen sollten allen Beschäftigten zur Kenntnis gegeben
werden.
Zusammenarbeit
mit
der
Aufsichtsbehörde
Anders als bisher ist der Datenschutzbeauftragte durch Artikel 39 Absatz 1 Buchstabe d Da-
tenschutz-Grundverordnung ausdrücklich zur Zusammenarbeit mit der Aufsichtsbehörde
verpflichtet. Das bedeutet allerdings nicht, dass nun Datenschutzverstöße sofort dem Säch-
sischen Datenschutzbeauftragten zu melden sind. Die in dem Zusammenhang bestehenden
Pflichten
sind
abschließend
geregelt,
insbesondere
in
Artikel
33
Datenschutz-
Grundverordnung.
Der Datenschutzbeauftragte als interne Kontrollinstanz sollte in erster Linie intern versuchen,
Maßnahmen zur Beseitigung von Datenschutzverstößen zu ergreifen. Er kann aber den
Sächsischen Datenschutzbeauftragten z. B. beratend hinzuziehen, wenn er sich über die
Auslegung von Datenschutzregelungen oder die Angemessenheit einzelner Datenschutz-
maßnahmen im Unklaren ist. Damit ist der Datenschutzbeauftragte auch berechtigt, direkt
mit der Aufsichtsbehörde zu kommunizieren.
Bei der Tätigkeit als Anlaufstelle für die öffentliche Stelle gemäß Artikel 39 Absatz 1 Buch-
stabe e Datenschutz-Grundverordnung handelt es sich um einen Unterfall der Kooperations-
pflicht. Der Datenschutzbeauftragte ist danach Anlaufstelle für alle im Zusammenhang mit
der Verarbeitung stehenden Fragen, einschließlich vorheriger Konsultationen im Rahmen der
Datenschutz-Folgenabschätzung.
Der Sächsische Datenschutzbeauftragte hat insbesondere die Möglichkeit, sich direkt an den
Datenschutzbeauftragten zu wenden, ohne vorab etwa den Behördenleiter des Verantwortli-
chen kontaktieren zu müssen.
4.3.2 Aufgaben im Anpassungsprozess an die Datenschutz-Grundverordnung
Die Aufgaben des Datenschutzbeauftragten, die sich speziell im Anpassungsprozess an die
Datenschutz-Grundverordnung ergeben, sind in der nachfolgenden Checkliste zusammenge-
fasst.
>Checkliste Aufgaben des Datenschutzbeauftragten im Anpassungsprozess (Anlage 6)
4.3.3 Der Datenschutzbeauftragte als „Anwalt der Betroffenen“
Betroffene Personen können gemäß Artikel 38 Absatz 4 Datenschutz-Grundverordnung den
Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer Daten und mit der Wahrneh-
mung ihrer Rechte aus der Datenschutz-Grundverordnung im Zusammenhang stehenden
Fragen zu Rate ziehen. Auch nach bisheriger Rechtslage ist der Datenschutzbeauftragte
bereits Ansprechpartner für Betroffene – sowohl für die Beschäftigten der öffentlichen Stelle
als auch für Dritte außerhalb der Stelle, wie z. B. Bürger, die sich mit Auskunftsersuchen
oder Datenschutzbeschwerden an ihn wenden können.
Der Datenschutzbeauftragte ist verpflichtet, Datenschutzbeschwerden nachzugehen und die
betroffene Person über das Ergebnis seiner Prüfung zu informieren. Bei festgestellten Da-
tenschutzverletzungen hat er darauf hinzuwirken, dass diese abgestellt werden.

Seite
28
von
155
Gemäß Artikel 38 Absatz 5 Datenschutz-Grundverordnung ist der Datenschutzbeauftragte
nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die
Wahrung der Geheimhaltung und Vertraulichkeit gebunden. Die Verschwiegenheitspflichten
des Datenschutzbeauftragten ergeben sich aus § 203 Strafgesetzbuch.
4.3.4 Pflicht zur risikoorientierten Tätigkeit
Neu ist der risikobasierte Ansatz gemäß Artikel 39 Absatz 2 Datenschutz-Grundverordnung.
Der Datenschutzbeauftragte hat danach bei der Erfüllung seiner Aufgaben den mit den Ver-
arbeitungsvorgängen verbundenen Risiken für die persönlichen Rechte und Freiheiten be-
troffener Personen gebührend Rechnung zu tragen, wobei Art und Umfang, Umstände und
Zwecke der Verarbeitung zu berücksichtigen sind.
Dieser Ansatz soll dem Datenschutzbeauftragten dabei helfen, den Verantwortlichen darüber
zu beraten, nach welcher Methode bei einer Datenschutz-Folgenabschätzung vorgegangen
werden sollte, welche internen Schulungen für welche Gruppen von Beschäftigten durchge-
führt werden sollten und welche Datenverarbeitungsvorgänge mehr Ressourcen benötigen.
Empfehlung:
Der Datenschutzbeauftragte sollte seine Aufgaben in einem Katalog anhand
einer Gegenüberstellung der Verarbeitungsaktivitäten und der zu erwartenden Risiken nach
Priorität ordnen und seine Bemühungen in erster Linie auf Fragen konzentrieren, von denen
größere Bedrohungen für den Datenschutz ausgehen. Die Überwachung der Einhaltung von
Vorschriften bei vergleichsweise weniger risikobehafteten Datenverarbeitungsvorgängen ist
dennoch nicht zu vernachlässigen.
4.4 Haftung des Datenschutzbeauftragten
Die Datenschutz-Grundverordnung verlagert die Pflicht zur Einhaltung datenschutzrechtli-
cher Regelungen nicht einseitig auf den Datenschutzbeauftragten. Vielmehr obliegt in erster
Linie dem Verantwortlichen diese Verpflichtung – er hat unter anderem dafür zu sorgen, dass
der behördliche Datenschutzbeauftragte in die Lage versetzt wird, seine Aufgaben ord-
nungsgemäß zu erfüllen. Der Datenschutzbeauftragte ist somit nicht persönlich verantwort-
lich für die Einhaltung der rechtlichen Vorgaben. Daraus folgt auch, dass er bei einem Da-
tenschutzverstoß im Verhältnis zu betroffenen Personen nicht haftet. Die Haftung trifft viel-
mehr den Verantwortlichen oder den Auftragsverarbeiter (näher Artikel 82 Datenschutz-
Grundverordnung).
Unabhängig von der Frage der Umsetzungsverantwortung obliegt dem Datenschutzbeauf-
tragten gleichwohl die Erfüllung der in der Datenschutz-Grundverordnung genannten Aufga-
ben. In diesem Zusammenhang kann sich unter Umständen eine Haftung des Datenschutz-
beauftragten gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter ergeben. Der
Umfang dieser Haftung ist nach amtshaftungsrechtlichen Grundsätzen auf Vorsatz und gro-
be Fahrlässigkeit beschränkt. Wird der Datenschutzbeauftragte auf der Grundlage eines
Dienstleistungsvertrags tätig, so richtet sich der Umfang der Haftung nach den vertraglichen
Regelungen oder – falls vertraglich keine Haftungserleichterungen vereinbart sind – nach §
276 BGB (Haftung für Vorsatz und Fahrlässigkeit).
Empfehlung:
Der Datenschutzbeauftragte sollte eigenständig seine Beratungs- und Über-
wachungsmaßnahmen dokumentieren, um nachweisen zu können, dass er die ihm oblie-
genden Aufgaben ordnungsgemäß erfüllt.

Seite
29
von
155
5. Technischer und organisatorischer Datenschutz
Die Datenschutz-Grundverordnung enthält vor allem in Artikel 5 und Artikel 32 die neuen
Vorgaben zur „Sicherheit der Verarbeitung“. Außerdem sind weitere Vorgaben hierzu in Arti-
kel 24, 25 sowie 36 Datenschutz-Grundverordnung normiert.
Was ist neu?
Vor Festlegung der technischen und organisatorischen Maßnahmen hat eine risiko-
basierte Abwägung zu erfolgen. Diese beinhaltet, dass alle möglichen Bedrohungen
und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potentiel-
len Schwere des Schadens für die Rechte und Freiheiten betroffener Personen iden-
tifiziert werden.
Die bisher bekannten Prinzipien der Datenvermeidung und -sparsamkeit werden
durch Artikel 25 Absatz 1 und 2 Datenschutz-Grundverordnung nun noch konkreti-
siert und fordern Datenschutz durch Technikgestaltung und durch datenschutzrechtli-
che Voreinstellungen (Privacy by design und Privacy by default).
Der Verantwortliche muss die technischen und organisatorischen Maßnahmen, die er
getroffen hat, nachweisen und aktuell halten. Gemäß Artikel 32 Absatz 1 Buchstabe d
Datenschutz-Grundverordnung muss nun auch die Wirksamkeit der umgesetzten
technischen und organisatorischen Maßnahmen getestet und ggf. nachgesteuert
werden.
Das aus § 10 Sächsisches Datenschutzgesetz bekannte Verfahrensverzeichnis wird
mit der Datenschutz-Grundverordnung abgelöst durch ein Verzeichnis aller Verarbei-
tungstätigkeiten mit personenbezogenen Daten. Dieses Verzeichnis betrifft nun sämt-
liche, insbesondere auch nichtautomatisierte Verarbeitungen personenbezogener Da-
ten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Grundsätzlich ist nun auch jeder Auftragsverarbeiter zur Erstellung und Führung ei-
nes solchen Verzeichnisses verpflichtet.
Was ist zu tun?
Der Verantwortliche hat die technischen und organisatorischen Maßnahmen zu do-
kumentieren. Dies sollte im Rahmen eines Datenschutz- und Informationssicherheits-
konzeptes erfolgen.
Die öffentliche Stelle hat ein Verfahren zu etablieren, das regelmäßig die Wirksamkeit
der technischen und organisatorischen Maßnahmen bewertet und evaluiert. Hierfür
empfiehlt sich die Einführung eines Datenschutz-Managementsystems.
Es wird empfohlen, das Prinzip Privacy by default künftig bereits im Zuge der verga-
berechtskonformen Ausschreibung von IT-Produkten zu beachten.
Die bestehenden Verfahrensverzeichnisse nach § 10 Sächsisches Datenschutzge-
setz sind an die Anforderungen des Verarbeitungsverzeichnisses nach Artikel 30 Ab-
satz 1 Datenschutz-Grundverordnung anzupassen.
5.1 Sicherheit der Verarbeitung (Artikel 32 Datenschutz-Grundverordnung)
Im Wesentlichen werden die Regelungen des bisherigen § 9 Sächsisches Datenschutzge-
setz durch Artikel 32 Datenschutz-Grundverordnung ersetzt, dem damit eine zentrale Bedeu-
tung zukommt. Beibehalten und in der Datenschutz-Grundverordnung künftig fest verankert
wird das grundsätzliche Prinzip, dass geeignete technische und organisatorische Maßnah-
men zu treffen sind, um ein dem Risiko angemessenes Datenschutzniveau zu gewährleisten.
Die „Angemessenheit“ orientiert sich dabei an dem Stand der Technik, den Implementie-
rungskosten, der Art und dem Umfang der Umstände, dem Zweck der Verarbeitung sowie an
den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die

Seite
30
von
155
Rechte und Freiheiten natürlicher Personen. Ausdrücklich aufgeführt werden als Maßnah-
men in Artikel 32 Absatz 1 Buchstabe a Datenschutz-Grundverordnung lediglich Pseudony-
misierung und Verschlüsselung der Daten.
Was ist der „Stand der Technik“?
Diese in Artikel 32 Absatz 1 Datenschutz-Grundverordnung enthaltene Vorgabe ist prinzipiell
bereits aus § 9 Absatz 2 Sächsisches Datenschutzgesetz bekannt. Das bestehende Sächsi-
sche Datenschutzgesetz enthielt zum „Stand der Technik“ bisher keine Konkretisierung.
Auch die Datenschutz-Grundverordnung definiert nicht weiter, was künftig unter dem „Stand
der Technik“ zu verstehen ist. Bewährt hat sich jedoch eine Interpretation, die nicht auf die
Neuigkeit aus Wissenschaft und Forschung abzielt, sondern eher auf Maßnahmen abstellt,
die gängig, verfügbar und ausgereift sind, in der Praxis ihre Wirksamkeit bereits nachgewie-
sen haben und einen beabsichtigten Sicherheitsstand ausreichend gewährleisten. Orientie-
rung geben dazu eine Vielzahl
technischer
Richtlinien
(TR)
des Bundesamtes für die Sicher-
heit in der Informationstechnik (BSI), z. B. hinsichtlich der Verwendung von Verschlüsse-
lungsalgorithmen. Der Begriff „Stand der Technik“ impliziert außerdem, dass es sich um eine
gegenwärtige Bewertung handelt und der Stand der Technik immer wieder geprüft werden
muss, um die Datensicherheit gewährleisten zu können.
Die bisherigen sechs Schutzziele des Sächsischen Datenschutzgesetzes (Vertraulichkeit,
Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz) werden in Artikel
32 Absatz 1 Buchstabe b Datenschutz-Grundverordnung zusammengefasst, wobei lediglich
Vertraulichkeit, Integrität und Verfügbarkeit sowie das neu hinzugekommene Schutzziel der
Belastbarkeit in der Datenschutz-Grundverordnung ausdrücklich genannt werden. Während
die ersten drei Schutzziele aus der ISO 27001 und dem BSI Grundschutz bekannt sind, be-
darf das Schutzziel der Belastbarkeit mangels konkreter Vorgaben in der Datenschutz-
Grundverordnung der Interpretation. Am naheliegendsten erscheint, die Belastbarkeit von
Diensten und Systemen hinsichtlich ihrer Widerstandsfähigkeit auszulegen, so dass diese
also auch noch „unter Last / starker Beanspruchung“ funktionieren sollen, was ggf. in einem
entsprechenden
Notfallmanagement
zu berücksichtigen wäre. Außerdem besteht gemäß
Artikel 32 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung die Forderung, dass
personenbezogene Daten bei einem physischen oder technischen Zwischenfall rasch wie-
derhergestellt werden sollen. Dies war grundsätzlich auch schon bisher im Rahmen der Ver-
fügbarkeit der Daten sicherzustellen. Die Wiederherstellung der Daten muss somit regelmä-
ßig getestet werden.
Neu ist, dass bei der Abwägung der geeigneten Maßnahmen nun eine
risikobasierte Be-
trachtung
zu erfolgen hat. Diese beinhaltet, dass alle möglichen Bedrohungen und
Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potentiellen Schwere
des Schadens für die Rechte und Freiheiten betroffener Personen identifiziert werden. Dies
entspricht der Vorgehensweise im IT-Risikomanagement, bei dem aber auch Informationen
betrachtet werden, die nicht personenbezogen sind. Das Ergebnis der Risikobetrachtung ist
auch für die Datenschutz-Folgenabschätzung wichtig.
Um nach erfolgter Risikobemessung geeignete Maßnahmen zu identifizieren, sollte eine
Schutzbedarfsfeststellung
durchgeführt werden, indem der jeweilige Schutzbedarf der per-
sonenbezogenen Daten ermittelt wird. Dabei werden zunächst typische Schadensszenarien
ermittelt und anschließend der Schutzbedarf für die einzelnen personenbezogenen Daten
abgeleitet. Bewährt hat sich eine Einteilung in die Schutzbedarfskategorien „normal, „hoch“
und „sehr hoch“.
Empfehlung:
Unterstützende Orientierung kann das Standard-Datenschutzmodell (SDM)
geben, das hierzu eine strukturierte Herangehensweise anbietet

Seite
31
von
155
(
https://www.saechsdsb.de/standard-datenschutzmodell
).
Die Verantwortung für das Ergreifen von geeigneten Maßnahmen obliegt dem Verantwortli-
chen gemäß Artikel 24 Absatz 1 Datenschutz-Grundverordnung. Die Maßnahmen muss er
nachweisen und aktuell halten. Artikel 32 Absatz 1 Buchstabe d Datenschutz-
Grundverordnung sieht dahingehend vor, dass die Wirksamkeit der umgesetzten techni-
schen und organisatorischen Maßnahmen getestet wird. Dabei muss die öffentliche Stelle
ein Verfahren etablieren, das regelmäßig die Wirksamkeit der Maßnahmen bewertet und
evaluiert.
5.2 Datenschutz durch Technikgestaltung und durch datenschutzrechtliche Vorein-
stellungen (Privacy by design und Privacy by default) (Artikel 25 Datenschutz-
Grundverordnung)
Das Prinzip der Datenvermeidung und Datensparsamkeit war auch bisher schon im Sächsi-
schen Datenschutzgesetz verankert. Mit der Einführung des „Datenschutzes durch Technik
und datenschutzfreundliche Voreinstellungen“ (Artikel 25 Datenschutz-Grundverordnung)
werden nun ausdrücklich Anforderungen an die Entwicklung und Implementierung von IT-
Produkten gestellt, um eine wirksame Umsetzung dieser Datenschutzgrundsätze zu errei-
chen. Damit wird dem Gedanken Rechnung getragen, dass sich Datenschutzverstöße von
vornherein vermeiden lassen, wenn die Belange des Datenschutzes bereits im Entwick-
lungsprozess produktseitig aufgenommen werden. Artikel 25 Datenschutz-Grundverordnung
richtet sich an den Verantwortlichen. Die beiden Anforderungen beinhalten im Einzelnen Fol-
gendes:
Data protection by design (Datenschutz durch Technik)
Datenschutz und Datensicherheit sollen bereits in der Planung und Entwicklung von IT-
Systemen berücksichtigt werden. Dadurch soll erreicht werden, dass die Vorgaben nach
dem Datenschutz und der Datensicherheit nicht erst nach dem Bereitstellen von IT-
Systemen durch teure und zeitaufwendige Anpassungen umgesetzt werden. Bereits bei der
Herstellung sollten Möglichkeiten wie Deaktivierung von Funktionalitäten, Anonymisierung
oder Pseudonymisierung aber auch Authentifizierung oder Verschlüsselungen berücksichtigt
werden.
Data protection by default (datenschutzfreundliche Einstellungen)
IT-Systeme sollen datenschutzfreundlich voreingestellt sein, so dass nur die personenbezo-
genen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind. Hintergrund
dieser Regelung ist, dass viele Nutzer nicht über ausreichende IT Kenntnisse verfügen und
somit keine Einstellungen zum Schutz personenbezogener Daten vornehmen können. Dar-
über hinaus müssen dem Nutzer Funktionen zur Verfügung gestellt werden, mit denen er die
Privatsphäre betroffener Personen schützen kann (z. B. Verschlüsselung).
Diese Regelungen werden sich auf sämtliche Produkte, Systeme und Prozesse einer öffent-
lichen Stelle oder Einrichtung auswirken. Im Gegensatz zu den o. g. Vorgaben sind viele
eingesetzte Systeme bisher in der Grundeinstellung so konzipiert, dass der Nutzer nur mit
großem Aufwand eine datenschutzfreundliche Konfiguration vornehmen kann.
Empfehlung:
Die datenschutzrechtlich angepasste Voreinstellung sollte bereits im Zuge der
vergaberechtskonformen Ausschreibung von IT-Produkten beachtet werden.

image
Seite
32
von
155
5.3 Einführung eines Datenschutzmanagement-Systems
Um die oben beschriebenen Nachweis- und Rechenschaftspflichten zu erfüllen, empfiehlt
sich ein Datenschutz-Managementsystem. Ähnlich wie bei anderen Managementsystemen
(BSI-Grundschutz, ISO 27001) bietet sich hier das bewährte Verfahren nach dem PDCA-
Zyklus an.
Mit diesem Verfahren soll ein kontinuierlicher Verbesserungsprozess etabliert werden. Im
Rahmen dieses Verfahrens werden die technischen und organisatorischen Maßnahmen erst
erdacht und geplant („plan“), im „Kleinen Kreis“ getestet („do“), die Wirksamkeit überprüft
(„check“), gegebenenfalls angepasst und dann im „Großen“ eingeführt („act“). Da es sich bei
diesem Verfahren um einen Kreislauf handelt, wird sichergestellt, dass nach jeder Verbesse-
rung der Maßnahmen stets eine erneute Überprüfung zu erfolgen hat.
Sofern das Vorgehen im Rahmen des PDCA-Zyklus ausreichend detailliert dokumentiert
wird, sollte damit die durch die Datenschutz-Grundverordnung festgelegte Nachweis- und
Rechenschaftspflicht gesetzeskonform umgesetzt werden können.
Durch die Implementierung des Datenschutzmanagement-Systems können die folgenden
Ziele erreicht werden:
Verringerung der Eintrittswahrscheinlichkeit für Datenschutzverstöße oder Datenpan-
nen,
im Falle des Eintritts eines Datenschutzverstoßes, Begrenzung des Schadens und
des Risikos für die betroffenen Personen,
Nachweis der datenschutzkonformen Umsetzung der Anforderungen der Daten-
schutz-Grundverordnung.
5.4 Pflicht zur Nachweisbarkeit - Dokumentationspflichten
Grundlegendes Instrument für die Datenschutzorganisation in der öffentlichen Stelle ist ein
Datenschutz- und Informationssicherheitskonzept
. Das Datenschutzkonzept sollte gut
strukturiert sein und die Aufgaben für die verschiedenen Organisationseinheiten in der öffent-
lichen Stelle sauber trennen. Nur dann ist für jeden nachvollziehbar, welche Maßnahmen für
den Datenschutz er zu ergreifen hat.
Beispielhafte Aspekte eines Datenschutzkonzeptes:
-
Ziel und Gültigkeitsbereich
-
übergreifende Leitlinie zum Datenschutz
-
Festlegungen zur Verantwortlichkeit in der öffentlichen Stelle für den Datenschutz
(übergreifend und in Spezialfragen), z. B. Festlegung der Abteilung, des Sachgebie-

Seite
33
von
155
tes etc. welches für die Verarbeitung der Daten zuständig ist, Zuständigkeit für die
Bearbeitung von Beschwerden oder Auskunftsersuchen, evtl. Festlegungen zur Auf-
tragsdatenverarbeitung, frühzeitige Einbeziehung des Datenschutzbeauftragten in die
Verfahrenseinführung bzw. bereits zum Zeitpunkt der Verfahrensausschreibung
-
Verhalten bei Datenschutzpannen (Meldewege, Zuständigkeiten)
-
Datenschutzbeauftragter, Aufgaben usw. siehe [Link zur Seite Datenschutzbeauftrag-
ter]
-
Verzeichnis von Verarbeitungstätigkeiten
-
Datenschutz-Folgenabschätzungen
-
Erläuterungen zum Schutzbedarf und Verfahren, um den Schutzbedarf zu bestimmen
-
Maßnahmen für die Sicherheit der Verarbeitung, übergreifend und für spezielle Da-
tenkategorien
-
organisatorische Richtlinien (wie Backup, Virenschutz, Protokollierung)
-
Regelungen für den Fall der Auftragsverarbeitung
-
Datenschutz-Unterweisungen
-
regelmäßige Datenschutz-Kontrollen und Audits
Weitere praktische Hinweise zur Erstellung von Datenschutz- und Informationssicherheits-
konzepten sind auch im Handlungsleitfaden zum Sächsischen E-Government-Gesetz [Link
ergänzen] zu finden.
5.5
Datengeheimnis und personelle Maßnahmen
Die Pflicht der verantwortlichen Stelle, die für eine öffentliche Stelle tätigen Personen bei
Aufnahme ihrer Tätigkeit auf die Einhaltung des Datengeheimnisses zu verpflichten, ist bis-
her in § 6 Sächsisches Datenschutzgesetz geregelt. In der Datenschutz-Grundverordnung ist
eine solche Regelung nicht enthalten. Dennoch wird empfohlen, auch unter Geltung der Da-
tenschutz-Grundverordnung eine solche Verpflichtung vorzunehmen, denn die verantwortli-
che Stelle hat nach Artikel 24 Datenschutz-Grundverordnung sicherzustellen, dass perso-
nenbezogene Daten in einer Weise verarbeitet werden, die ein angemessenes Sicherheits-
niveau gewährleistet. Dies beinhaltet auch den Schutz gegen unberechtigte oder ungesetzli-
che Verarbeitung. Darüber hinaus sollen angemessene technische und organisatorische
Maßnahmen getroffen werden, die gegen Verlust, Zerstörung oder Beschädigung der Daten
schützen sollen. Auch die Mitarbeiter als diejenigen, die personenbezogene Daten verarbei-
ten, sind von diesen Maßnahmen betroffen. Die öffentliche Stelle muss deshalb sicherstel-
len, dass die Mitarbeiter die Daten nicht unberechtigt oder gegen geltende Gesetze verarbei-
ten. Eine explizite Verpflichtung auf das Datengeheimnis lässt sich daraus nicht ableiten.
Sicher ist aber, dass die öffentliche Stelle im Rahmen eines „angemessenen Schutzniveaus“
dafür Sorge tragen muss, dass die Mitarbeiter erkennen können, wann sie ggf. mit der Da-
tenverarbeitung gegen Gesetze verstoßen bzw. unberechtigt Daten verarbeiten.
Eine „Nachverpflichtung“ der Mitarbeiter aufgrund der Geltung der Datenschutz-
Grundverordnung ist nicht erforderlich, wenn zurückliegend auf Grundlage des Sächsischen
Datenschutzgesetzes ordnungsgemäß verpflichtet wurde. Die verwendeten Formulare und
Merkblätter sind jedoch für die künftige Verwendung entsprechend der Datenschutz-
Grundverordnung inhaltlich anzupassen.
Unter nachfolgenden Links sind zum einen Hinweise für Verantwortliche öffentlicher Stellen
zur Verpflichtung zur Einhaltung des Datenschutzes sowie der Gestaltungsvorschlag eines
Formulars zur Verpflichtung der Mitarbeiter einschließlich eines Merkblattes abrufbar.
[Hinweise zur Verpflichtung zur Einhaltung des Datenschutzes (Anlage 6a)]
[Musterformular für die Verpflichtung zur Einhaltung des Datenschutzes einschließlich Merk-
blatt (Anlage 6b)]

Seite
34
von
155
Darüber hinaus sieht Artikel 32 Absatz 4 Datenschutz-Grundverordnung vor, dass der Ver-
antwortliche oder der Auftragsverarbeiter Maßnahmen festlegen, die sicherstellen, dass die
ihnen unterstellten Personen personenbezogene Daten nur auf Anweisung des Verantwortli-
chen verarbeiten. Solche Maßnahmen können beispielsweise konkrete Verhaltensvorgaben
in Dienstanweisungen, die Einweisung der Mitarbeiter zum Umgang mit personenbezogenen
Daten an ihrem konkreten Arbeitsplatz oder eine Weisung bezogen auf einen Einzelfall sein
(vgl. Kühling/Buchner, DS-GVO, Kommentar, Art. 32 Rnr. 38).
5.6 Verzeichnis von Verarbeitungstätigkeiten
Das aus § 10 Sächsisches Datenschutzgesetz bekannte Verfahrensverzeichnis wird mit der
Datenschutz-Grundverordnung abgelöst durch ein (schriftliches oder elektronisches) Ver-
zeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten. Dieses Verzeichnis
betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nichtautomatisierte
Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder
gespeichert werden sollen. Grundsätzlich ist jeder Verantwortlicher und – neu – auch jeder
Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet.
Nur Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, müssen
keine Verzeichnisse führen (Artikel 30 Absatz 5 Datenschutz-Grundverordnung). Dies gilt
jedoch nicht, falls:
die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten
der betroffenen Personen birgt oder
die Verarbeitung nicht nur gelegentlich erfolgt oder
die Verarbeitung besondere Datenkategorien gemäß Artikel 9 Absatz 1 Datenschutz-
Grundverordnung (z. B. Gesundheitsdaten, Religionszugehörigkeit) bzw. personen-
bezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10
Datenschutz-Grundverordnung betrifft.
Die Pflicht zum Führen des Verarbeitungsverzeichnisses tritt bereits dann wieder ein, wenn
eine der genannten Bedingungen erfüllt ist („oder“). Dies wird für öffentliche Stellen in aller
Regel der Fall sein, da es nicht (wie beispielsweise bei der Datenschutz-Folgenabschätzung)
darauf ankommt, dass es sich voraussichtlich um ein hohes Risiko für die Rechte und Frei-
heiten natürlicher Personen handelt, sondern dem Wortlaut der Vorschrift nach jedes Risiko
für die Rechte und Freiheiten bezüglich der Verarbeitung zu betrachten ist. Ein solches Risi-
ko besteht aber bei der Verarbeitung personenbezogener Daten grundsätzlich. Außerdem
wird auch die Verarbeitung in den meisten Fällen nicht nur gelegentlich erfolgen (z. B. Verar-
beitung von Einwohnermeldedaten, Lohnabrechnung usw.). Für eine Ausnahme gemäß Arti-
kel 30 Absatz 5 Datenschutz-Grundverordnung verbleibt somit wegen der Gegenausnahmen
kaum ein Anwendungsbereich. Es sollte also in der Praxis davon ausgegangen werden,
dass eine Pflicht zur Führung eines Verarbeitungsverzeichnisses besteht. Die Erstellung ei-
nes vollständigen Verzeichnisses von Verarbeitungstätigkeiten ist auch im eigenen Interes-
se, denn es dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation
und hilft dem Verantwortlichen dabei, gemäß Artikel 5 Absatz 2 Datenschutz-
Grundverordnung nachzuweisen, dass die Vorgaben aus der Datenschutz-Grundverordnung
eingehalten werden (Rechenschaftspflicht). Anders als bisher § 31 Absatz 2 Sächsisches
Datenschutzgesetz sieht die Datenschutz-Grundverordnung eine Möglichkeit für jedermann,
in das Verzeichnis von Verarbeitungstätigkeiten Einsicht zu nehmen, nicht vor. Ebenso ent-
fällt die in § 10 Absatz 3 Sächsisches Datenschutzgesetz geregelte Pflicht zur Zuleitung an
den Sächsischen Datenschutzbeauftragten. Erstellt und vorgehalten werden müssen die
Verzeichnisse dennoch, da sie ihm jederzeit auf Anfrage zur Verfügung zu stellen sind.

Seite
35
von
155
Das Verzeichnis, das der Verantwortliche führt, muss nach Artikel 30 Absatz 1 Datenschutz-
Grundverordnung wesentliche Angaben zur Verarbeitung beinhalten wie z. B. die Zwecke
der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der
betroffenen Personen und der Empfänger. Verantwortliche Stellen, die bereits jetzt über ein
strukturiertes Verfahrensverzeichnis oder eine strukturierte Datenschutzdokumentation zu
den Verfahren verfügen, sollten mit den geforderten Pflichtangaben des neuen Artikels aus
der Datenschutz-Grundverordnung keine Probleme haben.
Ein Verzeichnis beim Auftragsverarbeiter zu allen Kategorien der von ihm im Auftrag eines
Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung war vom Sächsischen Daten-
schutzgesetz bislang nicht vorgeschrieben. Nach Artikel 30 Absatz 2 Datenschutz-
Grundverordnung ist ein solches Verzeichnis (mit eingeschränkten Angaben) jedoch nun zu
erstellen.
Artikel 30 Absatz 1 Buchstabe g und Artikel 30 Absatz 2 Buchstabe d Datenschutz-
Grundverordnung geben vor, dass das Verzeichnis, wenn möglich, eine allgemeine Be-
schreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1
Datenschutz-Grundverordnung enthalten soll. Wie detailliert diese Beschreibung sein muss,
lässt sich der Datenschutz-Grundverordnung nicht unmittelbar entnehmen. Jedenfalls sollte
die Beschreibung der Maßnahmen nach Artikel 32 Datenschutz-Grundverordnung so konkret
erfolgen, dass der Sächsische Datenschutzbeauftragte eine erste Rechtmäßigkeitsüberprü-
fung vornehmen kann. Unterstützende Orientierung kann das Standard-Datenschutzmodell
(SDM)
geben,
das
hierzu
eine
strukturierte
Herangehensweise
anbietet
(
https://www.saechsdsb.de/standard-datenschutzmodell
).
Eine Muster-Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Daten-
schutz-Grundverordnung wird vom Sächsischen Datenschutzbeauftragten auf seiner Home-
page
[Link:
https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-
oeffentliche-stellen] bereitgestellt.
Weitere Informationen sind in folgenden Publikationen enthalten:
Hinweise der Datenschutzkonferenz zum Verarbeitungsverzeichnis einschließlich Mustern
https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/Hinweise-zum-
Verzeichnis-von-Verarbeitungsttigkeiten.pdf
Kurzpapier Nr. 1 der Datenschutzkonferenz „Verzeichnis von Verarbeitungstätigkeiten – Art.
30 DS-GVO“ [Link zu
https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/dsk_kpnr_1_verzeichnis_
verarbeitungstaetigkeiten.pdf
]
Bitkom „Das Verarbeitungsverzeichnis“ [Link zu
https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html
]
6. Betroffenenrechte
Eines der wesentlichen Ziele der Datenschutz-Grundverordnung ist der Ausbau der Betroffe-
nenrechte, also der Rechte jedes Einzelnen gegenüber dem für die Verarbeitung Verantwort-
lichen. Diese sollen durch die Verordnung gestärkt und präzisiert werden.
Die Regelungen zu den Betroffenenrechten bringen zwar keine grundsätzlichen Neuerungen
im Vergleich zur Rechtslage unter dem Sächsischen Datenschutzgesetz, aber insbesondere
die bereits bekannten Rechte auf Auskunft und Löschung werden inhaltlich erweitert und in

Seite
36
von
155
formeller Hinsicht konkretisiert. Darüber hinaus vervielfachen sich die durch die öffentliche
Stelle zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Die Be-
troffenen sollen wissen, wer welche Daten zu welchem Zweck über sie erhebt und in die La-
ge versetzt werden, die Datenverarbeitung zu prüfen. Diese Anforderung kann nur dann er-
füllt werden, wenn die verantwortliche Stelle die Betroffenen ausreichend über die Datenver-
arbeitungsvorgänge informiert.
Für Informationen und Mitteilungen an den Betroffenen im Zusammenhang mit Betroffenen-
rechten enthält Artikel 12 Datenschutz-Grundverordnung allgemeine Vorgaben. Informatio-
nen über Datenerhebungen und Mitteilungen zu geltend gemachten Rechten sind der be-
troffenen Person in präziser, transparenter, verständlicher und leicht zugänglicher Form in
einer klaren und einfachen Sprache zu übermitteln, schriftlich oder in einer anderen Form,
gegebenenfalls auch elektronisch (Artikel 12 Absatz 1 Datenschutz-Grundverordnung).
Artikel 12 Absatz 3 Datenschutz-Grundverordnung bestimmt eine konkrete Frist zur Beant-
wortung von Anträgen, mit denen die betroffene Person ihre Rechte geltend macht. Die Ant-
wort hat ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats zu
erfolgen. Die Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berück-
sichtigung der Komplexität und Anzahl von Anträgen erforderlich ist. Daneben bestimmt Arti-
kel 12 Absatz 3 Datenschutz-Grundverordnung, dass Anträge Betroffener nach Möglichkeit
auf elektronischem Wege zu beantworten sind, wenn sie auf elektronischem Wege gestellt
wurden.
Eine Neuerung enthält Artikel 12 Absatz 4 Datenschutz-Grundverordnung. Nach dieser Norm
ist die betroffene Person über die Gründe für ein etwaiges Untätigbleiben auf einen Antrag
zur Geltendmachung eines Betroffenenrechts hinzuweisen und über die Möglichkeit zur Be-
schwerde bei einer Aufsichtsbehörde zu unterrichten.
Informationen über Datenerhebungen und Mitteilungen bzw. Maßnahmen auf Anträge, mit
denen die betroffene Person ihre Rechte geltend macht, erfolgen wie bisher unentgeltlich
(Artikel 12 Absatz 5 Datenschutz-Grundverordnung).
Was ist zu tun?
Zur Erfüllung von Rechten der betroffenen Personen und von entsprechenden Pflichten der
öffentlichen Stelle sind organisatorische Maßnahmen zu folgenden Fragen festzulegen:
Wer ist innerhalb der öffentlichen Stelle zuständig, wenn ein Betroffener seine Rechte
geltend macht?
In welcher Frist soll das Anliegen des Betroffenen weitergeleitet und bearbeitet wer-
den (beachte: Monatsfrist nach Datenschutz-Grundverordnung für die Antwort)?
In welcher Form soll das Anliegen weitergeleitet werden (Stichwort: Geheimhaltung,
Vertraulichkeit)?
Wer sind die Ansprechpartner für verschiedene Datenverarbeitungssysteme (um bei-
spielsweise den Auskunftsanspruch überall in der öffentlichen Stelle gewährleisten zu
können)?
6.1
Informationspflichten
Informationspflichten zielen auf Angaben, die einer betroffenen Person hinsichtlich Verarbei-
tung und Nutzung ihrer Daten unaufgefordert mitgeteilt werden müssen. Durch Informations-
pflichten soll eine Transparenz geschaffen werden, die für den Einzelnen erkennbar macht,
wer was wann und bei welcher Gelegenheit über ihn erhebt, verarbeitet oder speichert.

Seite
37
von
155
Die bisher geltende entsprechende Norm ist § 12 Absatz 6 Sächsisches Datenschutzgesetz,
wonach der Betroffene über die Erhebung von Daten bei ihm ohne seine Kenntnis oder bei
Dritten unter Mitteilung von Bezeichnung und Anschrift der erhebenden Stelle, der Rechts-
grundlage und des Erhebungszwecks sowie bei einer beabsichtigten Übermittlung auch der
Empfänger der Daten grundsätzlich zu benachrichtigen ist. Daneben gelten zahlreiche be-
reichsspezifische Benachrichtigungspflichten, z. B. im Bereich der Gefahrenabwehr und der
Strafverfolgung.
Die Datenschutz-Grundverordnung sieht nun in den Artikeln 13 und 14 erweiterte, teilweise
über die bisherigen Pflichten des Sächsischen Datenschutzgesetzes erheblich hinausgehen-
de Informationspflichten vor. Dabei definiert die Datenschutz-Grundverordnung je nachdem,
ob die Daten direkt bei der betroffenen Person oder bei einem Dritten erhoben werden, un-
terschiedliche Informationspflichten.
Ähnlich wie im Sächsischen Datenschutzgesetz bestehen jedoch auch in der Datenschutz-
Grundverordnung Ausnahmen von den Informationspflichten.
So kann von der Information der betroffenen Person insbesondere abgesehen werden, wenn
sie bereits über die Informationen verfügt. Davon kann ausgegangen werden, wenn der In-
formationsstand in Ausmaß, Klarheit und Genauigkeit den Informationen entspricht, die der
Verantwortliche der betroffenen Person zur Verfügung stellen muss. Darüber hinaus müssen
die Informationen ohne weiteres zur Kenntnis genommen werden können. So kann bei-
spielsweise eine Dienstvereinbarung zur Arbeitszeiterfassung, die alle erforderlichen Infor-
mationen nach Artikel 13 Datenschutz-Grundverordnung enthält und im Intranet einer Be-
hörde dauerhaft zur Verfügung steht, die Voraussetzungen dieser Ausnahme erfüllen.
Weitere Einschränkungen der Informationsflicht ergeben sich aus § 8 Sächsisches Daten-
schutzdurchführungsgesetz. So sieht etwa der Verantwortliche bei der Erhebung personen-
bezogener Daten von der Information nach Artikel 14 Absatz 1 und 2 Datenschutz-
Grundverordnung ab, soweit und solange die Weitergabe der Information die öffentliche Si-
cherheit gefährden würde oder dies zur Verfolgung von Straftaten oder Ordnungswidrigkei-
ten notwendig ist. Der Verantwortliche hat jedoch die Gründe zu dokumentieren, wenn er
(zunächst) von einer Information absieht. Wenn sich die Informationserteilung auf die Über-
mittlung von Daten an Strafverfolgungsbehörden oder nachrichtendienstliche Behörden be-
zieht, ist diesen vorab Gelegenheit zur Stellungnahme zu geben.
Um die Betroffenen informieren zu können, müssen in der öffentlichen Stelle die Sachverhal-
te ermittelt werden, bei denen Informationspflichten bestehen. Dabei ist nicht nur an Informa-
tionspflichten gegenüber Dritten zu denken. Informationspflichten können auch behördenin-
tern entstehen.
Im Gegensatz zur bisherigen Rechtslage sind bei der Information des Betroffenen zusätzlich
auch Fristen und Formvorschriften zu beachten. Die Informationen sind den Betroffenen im
Regelfall bei Erhebung der Daten zugänglich zu machen.
Informationspflichten nach Artikel 13 Datenschutz-Grundverordnung – Erhebung bei der be-
troffenen Person
Werden die Daten direkt bei den betroffenen Personen erhoben, so sind diesen bereits zum
Zeitpunkt der Erhebung im Wesentlichen folgende Angaben zu übermitteln:
1. der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines
Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

Seite
38
von
155
2. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie
die Rechtsgrundlage für die Verarbeitung;
3. die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Drit-
ten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt;
4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezo-
genen Daten;
5. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies
nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
6. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die be-
treffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder
auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Ver-
arbeitung sowie des Rechts auf Datenübertragbarkeit;
7. wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die
Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der
Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Beste-
hen eines Beschwerderechts bei einer Aufsichtsbehörde;
8. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vor-
geschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Per-
son verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögli-
chen Folgen die Nichtbereitstellung hätte.
In Sonderfällen sind weitere Angaben erforderlich, beispielsweise bei Datenübermittlungen in
Drittländer.
Sollen personenbezogene Daten für einen anderen Zweck weiterverarbeitet werden als den,
für den die Daten erhoben wurden, so sind den betroffenen Personen vor der Weiterverar-
beitung die Informationen über diesen anderen Zweck und nach den Nummern 5 bis 8 zur
Verfügung zu stellen (Artikel 13 Absatz 3 Datenschutz-Grundverordnung).
Informationspflichten nach Artikel 14 Datenschutz-Grundverordnung – Erhebung bei einem
Dritten
Wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden, richten sich die
Informationspflichten nach Artikel 14 Datenschutz-Grundverordnung. Danach sind der be-
troffenen Person folgende Informationen mitzuteilen:
1. der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines
Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
2. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie
die Rechtsgrundlage für die Verarbeitung;
3. die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Drit-
ten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt;
4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezo-
genen Daten;
5. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies
nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
6. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die be-
treffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder
auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Ver-
arbeitung sowie des Rechts auf Datenübertragbarkeit;
7. wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die
Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der
Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Beste-
hen eines Beschwerderechts bei einer Aufsichtsbehörde;

Seite
39
von
155
8. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vor-
geschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Per-
son verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögli-
chen Folgen die Nichtbereitstellung hätte,
9. welche Daten oder Datenkategorien verarbeitet werden, sowie
10. aus welcher Quelle die personenbezogenen Daten stammen.
Ist beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbei-
ten, sind die Informationen über den anderen Zweck sowie nach den Nummern 5 bis 8 und
10 vor der Weiterverarbeitung zur Verfügung zu stellen.
Frist und Form der Informationserteilung
Erstmals werden in der Datenschutz-Grundverordnung Fristen für die Informationspflichten
benannt. Bei der Erhebung bei der betroffenen Person müssen die Informationspflichten be-
reits bei der Erhebung der Daten erfüllt werden. Werden die Informationen aus dritter Quelle
erhoben, muss der für die Verarbeitung Verantwortliche seiner Informationenpflicht unter
Berücksichtigung der spezifischen Umstände der Verarbeitung der Daten innerhalb einer
angemessenen Frist nach Erlangung der Daten, längstens jedoch innerhalb eines Monats,
nachkommen. Falls die Daten zur Kommunikation mit der betroffenen Person verwendet
werden sollen, ist der Informationspflicht spätestens zum Zeitpunkt der ersten Mitteilung
nachzukommen. Ist eine Weitergabe an einen anderen Empfänger beabsichtigt, ist die be-
troffene Person spätestens bei Weitergabe in Kenntnis zu setzen.
Auch die Form der Informationspflichten ist nun in der Datenschutz-Grundverordnung vorge-
schrieben. Die Übermittlung der Informationen hat unentgeltlich und schriftlich oder in ande-
rer Form, ggf. in elektronischer Form, zu erfolgen. Die Information kann z. B. auf einer Web-
site bereitgestellt werden, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere
für bestimmte Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu
benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvoll-
ziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten er-
fasst werden (vgl. Erwägungsgrund 60). Zum Beispiel ist dies bei der Videoüberwachung der
Fall. Die Grundverordnung schlägt unter anderem vor, dass die Informationen auch in Kom-
bination mit standardisierten Bildsymbolen bereitgestellt werden können, um in leicht wahr-
nehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Über-
blick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektroni-
scher Form dargestellt, müssen sie nach der Datenschutz-Grundverordnung jedoch maschi-
nell lesbar sein.
Es empfiehlt sich z. B. bei der Antragsbearbeitung, den betroffenen Personen ein standardi-
siertes Merkblatt mit den Informationen auszuhändigen. Des Weiteren können die Informati-
onen auch mündlich erteilt werden, sofern die betroffene Person dies verlangt und die Identi-
tät der betroffenen Person in anderer Form nachgewiesen wurde. Der Verantwortliche hat
sicherzustellen, dass die Information nur der betroffenen Person oder einer von ihr bevoll-
mächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beein-
trächtigt werden. Als datenschutzfreundlichste Variante wird in Erwägungsgrund 63 Satz 4
ein Fernzugriff der betroffenen Person auf ihre eigenen Daten über ein sicheres System be-
zeichnet.
Merkblatt und Musterformulare zur Erfüllung der Informationspflichten nach den Artikeln 13
und 14 der Datenschutz-Grundverordnung
Das nachfolgende Merkblatt des SMI gibt praktische Hinweise zur Erfüllung der Informati-
onspflichten nach den Artikeln 13 und 14 der Datenschutz-Grundverordnung und enthält

Seite
40
von
155
Musterformulare für verschiedene Fallkonstellationen mit entsprechenden Ausfüllhinweisen.
Die Formulare stehen auch einzeln als Word-Dokumente zum Download bereit.
>Merkblatt
und
Musterformulare
zu
Informationspflichten
(Anlage
6c)
Formular
1
Informationspflichten
Information betroffener Personen über die Verarbeitung
personenbezogener Daten, wenn die Daten bei der betroffenen Person erhoben werden (Ar-
tikel 13 Datenschutz-Grundverordnung, siehe Merkblatt Ziffer 1 Fallgruppe 1)
Formular
2
Informationspflichten
Information betroffener Personen über die Verarbeitung
personenbezogener Daten, wenn die Daten nicht bei der betroffenen Person erhoben wer-
den (Artikel 14 Datenschutz-Grundverordnung, siehe Merkblatt Ziffer 1 Fallgruppe 2)
Formular
3
Informationspflichten
Information betroffener Personen über die Verarbeitung
personenbezogener Daten, wenn die Daten zu einem anderen Zweck weiterverarbeitet wer-
den sollen (Artikel 13 Absatz 3, 14 Absatz 4 Datenschutz-Grundverordnung, siehe Merkblatt
Ziff. 1 Fallgr. 3)
Formular
4
Informationspflichten
Information betroffener Personen, wenn bereits bei der
ersten Erhebung abzusehen ist, dass Daten sowohl bei der betroffenen Person als auch bei
anderen Stellen erhoben werden (Artikel 13 Absatz 1 und 2, 14 Absatz 1 und 2 Datenschutz-
Grundverordnung)
6.2
Auskunftsrecht
Das Auskunftsrecht der betroffenen Person ist in Artikel 15 Datenschutz-Grundverordnung
geregelt. Die betroffene Person hat danach ein Recht zu erfahren, ob ein für die Verarbei-
tung Verantwortlicher sie betreffende personenbezogene Daten verarbeitet. Soweit dies der
Fall ist, hat die betroffene Person weiter ein Recht auf Auskunft über die Umstände der Da-
tenverarbeitung.
Wie schon in § 18 Sächsisches Datenschutzgesetz erstreckt sich das Auskunftsrecht auf die
jeweiligen Daten, die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die
verarbeitet werden, die Herkunft der Daten und die Empfänger, an die die Daten weitergege-
ben werden oder worden sind. Darüber hinaus erweitert jedoch Artikel 15 Datenschutz-
Grundverordnung den Anspruchsumfang auf die geplante Dauer der Speicherung und das
Vorliegen einer automatisierten Entscheidungsfindung. Zusätzlich umfasst das Auskunfts-
recht nun auch einen Anspruch auf Informationen über das Bestehen eines Rechts auf Be-
richtigung oder Löschung der personenbezogenen Daten oder auf Einschränkung der Verar-
beitung und einen Anspruch auf Informationen über das Bestehen eines Beschwerderechts
bei einer Aufsichtsbehörde.
§ 9 Sächsisches Datenschutzdurchführungsgesetz normiert bestimmte Beschränkungen des
Auskunftsrechts, wobei die Voraussetzungen denen entsprechen, die auch für die Ein-
schränkung der Informationspflicht gelten. Die ablehnende Entscheidung bedarf keiner Be-
gründung, wenn dadurch der Zweck der Ablehnung gefährdet würde. Die betroffene Person
ist dann darauf hinzuweisen, dass sie sich an den Sächsischen Datenschutzbeauftragten
wenden kann. Wenn sich die Auskunft auf die Übermittlung von Daten an Strafverfolgungs-
behörden oder nachrichtendienstlicher Behörden bezieht, dann ist diesen vorab Gelegenheit
zur Stellungnahme zu geben.
Neu ist nach Artikel 15 Absatz 3 Datenschutz-Grundverordnung, dass der betroffenen Per-
son eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur
Verfügung zu stellen ist. Dadurch dürfen aber Rechte und Freiheiten anderer Personen nicht

Seite
41
von
155
beeinträchtigt werden. Eine Kopie ist ebenfalls kostenfrei. Für weitere Kopien kann ein an-
gemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangt werden.
Weitere Informationen enthält folgende Publikation:
Kurzpapier Nr. 6 der Datenschutzkonferenz „Auskunftsrecht der betroffenen Person, Art. 15
DS-GVO“ [Link zu
https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/DSK_KPNr_6_Auskunfts
recht.pdf]
6.3
Recht auf Löschung
Artikel 17 Absatz 1 Datenschutz-Grundverordnung bringt mit dem Recht auf Löschung per-
sonenbezogener Daten keine wesentlichen Änderungen im Vergleich zum bisher geltenden
§ 20 Sächsisches Datenschutzgesetz. Die wichtigsten Fallgruppen, in denen die Löschung
von Daten verlangt werden kann, bleiben erhalten. Nach Artikel 17 Absatz 3 Buchstabe b
Datenschutz-Grundverordnung scheidet eine Löschung z. B. auch weiterhin aus, wenn ge-
setzliche Aufbewahrungsfristen bestehen. Außerdem geht gemäß § 7 Sächsisches Daten-
schutzdurchführungsgesetz auch weiterhin grundsätzlich die archivrechtliche Anbietungs-
pflicht einer Löschung vor.
In Artikel 17 Absatz 2 Datenschutz-Grundverordnung ist nunmehr das „Recht auf Verges-
senwerden“ normiert. Es erweitert den Anspruchsumfang des bekannten „Rechts auf Lö-
schung“ und beinhaltet folgendes: Ein Verantwortlicher, der zur Löschung personenbezoge-
ner Daten verpflichtet ist, diese aber zuvor öffentlich gemacht hat, muss Maßnahmen treffen,
um andere Verantwortliche, die diese Daten verarbeiten, darüber zu informieren, dass eine
betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten
oder von Kopien oder Replikationen dieser Daten verlangt hat. Für den Verantwortlichen
bedeutet das konkret, dass er andere Verantwortliche ermitteln und informieren muss. Aller-
dings müssen die zu treffenden Maßnahmen angemessen sein. Insbesondere sind die ver-
fügbaren Technologien und die Implementierungskosten zu berücksichtigen.
Weitere Informationen enthält folgende Publikation:
Kurzpapier Nr. 11 der Datenschutzkonferenz „Recht auf Löschung/Recht auf Vergessenwer-
den“ [Link zu
https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/DSK_KPNr_11_Recht%2
0auf%20Vergessenwerden.pdf
]
6.4.
Recht auf Einschränkung der Verarbeitung
Unter „Einschränkung der Verarbeitung“ sind nach den Erwägungsgründen Methoden zur
Beschränkung der Verarbeitung personenbezogener Daten zu verstehen, z. B. dass ausge-
wählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem über-
tragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentlichte Daten vorüber-
gehend von einer Webseite entfernt werden. Damit entspricht dieses Recht im weitesten
Sinne dem bisherigen Recht auf Sperrung nach § 21 Sächsisches Datenschutzgesetz.
Eine Einschränkung der Verarbeitung ist nach Artikel 18 Absatz 1 Datenschutz-
Grundverordnung dann vorzunehmen, wenn die betroffene Person es verlangt und
sie die Richtigkeit der personenbezogenen Daten bestreitet, wobei die Einschränkung
dann für die Dauer zu bewirken ist, die es dem Verantwortlichen ermöglicht, die Rich-
tigkeit der personenbezogenen Daten zu überprüfen oder

Seite
42
von
155
die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der per-
sonenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der
personenbezogenen Daten verlangt oder
der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung
nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Aus-
übung oder Verteidigung von Rechtsansprüchen benötigt oder
Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 Datenschutz-
Grundverordnung eingelegt hat, solange noch nicht feststeht, ob die berechtigten
Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Wichtig:
Erwirkt die betroffene Person die Einschränkung der Verarbeitung, begründet dies
für den Verantwortlichen die Pflicht, sie vor der Aufhebung der Einschränkung über diese zu
unterrichten.
Unter Geltendmachung ihres Rechts auf Einschränkung der Verarbeitung kann die betroffe-
ne Person verlangen, dass sämtliche erhobenen personenbezogenen Daten fortan nur mit
individueller Einwilligung (und zur Geltendmachung und Durchsetzung von Rechtsansprü-
chen) verarbeitet werden dürfen. Die Berechtigung des Verantwortlichen zur Speicherung
wird dadurch allerdings nicht berührt. Ist eine Einschränkung der Verarbeitung erfolgt, soll er
die gespeicherten Daten nur nicht wie bisher verwenden können.
Auch im Falle der Einschränkung der Verarbeitung ist der Verantwortliche gemäß Artikel 19
Datenschutz-Grundverordnung zusätzlich verpflichtet, Dritte, an welche die Daten übermittelt
wurden, zu informieren, damit diese ihre Verarbeitungsprozesse selbst einschränken kön-
nen. Diese Pflicht greift nur insoweit, wie die Unterrichtung möglich und dem Verantwortli-
chen nicht unzumutbar ist.
Die Einschränkung der Verarbeitung personenbezogener Daten lässt die Anbietungspflicht
nach dem Archivgesetz für den Freistaat Sachsen unberührt.
6.5
Weitere Rechte
6.5.1 Recht auf Berichtigung (Artikel 16 Datenschutz-Grundverordnung)
Eine ähnliche Regelung gibt es bereits in § 19 Sächsisches Datenschutzgesetz. Die be-
troffene Person hat nach Artikel 16 Datenschutz-Grundverordnung auch weiterhin das Recht,
von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger perso-
nenbezogener Daten zu verlangen.
Die betroffene Person hat außerdem das Recht, die Vervollständigung unvollständiger per-
sonenbezogener Daten zu verlangen. Bei der Frage, ob Daten unvollständig sind, ist der
Zweck der Verarbeitung zu berücksichtigen. Personenbezogene Daten sind dann unvoll-
ständig, wenn sie für sich genommen zwar richtig sind, aber bezogen auf den Verarbei-
tungszweck ein unzutreffendes Bild der betroffenen Person ergeben, dass durch die fehlen-
den Daten korrigiert werden kann. Hierzu folgendes Beispiel: Bei einem Gewerbetreibenden
wird seine Zuverlässigkeit überprüft. Aus den Akten geht hervor, dass er Steuerschulden hat,
was gegen seine Zuverlässigkeit sprechen kann. Diese Information ist dann unvollständig,
wenn in der Sache ein finanzgerichtliches Verfahren anhängig ist und darauf nicht hingewie-
sen wird.
6.5.2 Recht auf Datenübertragbarkeit (Artikel 20 Datenschutz-Grundverordnung)
Nach Artikel 20 Datenschutz-Grundverordnung haben betroffene Personen das Recht, die
sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortli-

Seite
43
von
155
chen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format
zu erhalten, und sie haben das Recht, diese Daten einem anderen für die Verarbeitung Ver-
antwortlichen ohne Behinderung durch den für die Verarbeitung Verantwortlichen, dem die
Daten bereitgestellt wurden, zu übermitteln. Dieses Recht soll dann bestehen, wenn eine
automatisierte Datenverarbeitung zur Durchführung eines Vertrags erfolgte oder auf einer
Einwilligung basierte. Es gilt dagegen nicht, soweit die Verarbeitung zur Wahrnehmung einer
Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, er-
forderlich ist (vgl. Artikel 20 Absatz 3 Satz 2 Datenschutz-Grundverordnung). Der Anwen-
dungsbereich ist somit für öffentliche Stellen sehr gering.
6.5.3 Widerspruchsrecht (Artikel 21 Datenschutz-Grundverordnung)
Gemäß Artikel 21 Datenschutz-Grundverordnung hat die betroffene Person grundsätzlich ein
allgemeines Widerspruchsrecht gegen eine an sich rechtmäßige Verarbeitung von perso-
nenbezogenen Daten, die im öffentlichen Interesse liegt, in Ausübung öffentlicher Gewalt
oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erfolgte
(Artikel 6 Absatz 1 Buchstabe e oder f Datenschutz-Grundverordnung). Dabei ist Vorausset-
zung, dass sie Gründe geltend macht, die sich aus ihrer besonderen Situation ergeben.
Denkbar sind beispielsweise rechtliche, wirtschaftliche, ethische, soziale, gesellschaftliche
oder familiäre Zwangssituationen. Ist bereits eine Datenschutzverletzung durch den Verant-
wortlichen eingetreten und ist zu befürchten, dass weitere Verletzungen folgen, berechtigt
auch dies zu einem Widerspruch.
Die betroffene Person hat den Widerspruch mit Tatsachen zu begründen, die vom Verant-
wortlichen zu prüfen sind. Es wird empfohlen, diese Prüfung zu dokumentieren. Der Verant-
wortliche darf bei einem rechtmäßig eingelegten Widerspruch die Daten nur noch verarbei-
ten, wenn er zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die
die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen. Das Wider-
spruchsrecht ist bisher in § 22 Sächsisches Datenschutzgesetz geregelt.
7. Zusammenarbeit mit der Aufsichtsbehörde; Informations- und Konsultations-
pflichten
Die Datenschutz-Grundverordnung weist den Aufsichtsbehörden eine zentrale Funktion bei
der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz perso-
nenbezogener Daten zu. Damit die Aufsichtsbehörde, im Freistaat Sachsen also der Sächsi-
sche Datenschutzbeauftragte, diese Funktion effektiv wahrnehmen kann, sieht die Daten-
schutz-Grundverordnung vor, dass Verantwortliche oder Auftragsverarbeiter mit der Auf-
sichtsbehörde zusammenarbeiten. Darüber hinaus ist die Aufsichtsbehörde über bestimmte
Verarbeitungsvorgänge zu informieren bzw. zu diesen zu konsultieren oder sind auf deren
Verlangen Auskünfte zu erteilen. Das Sächsische Datenschutzdurchführungsgesetz ergänzt
teilweise die diesbezüglichen Regelungen der Datenschutz-Grundverordnung.
Außerdem bestehen für den Mitgliedsstaat Informationspflichten gegenüber der EU-
Kommission. Solche kommen in Betracht, wenn der Gesetzgeber von bestimmten Öffnungs-
klauseln der Datenschutz-Grundverordnung zu besonderen Verarbeitungssituationen Ge-
brauch macht und auf dieser Grundlage Vorschriften erlässt.
7.1 Allgemeine Pflichten
Nach Artikel 31 Datenschutz-Grundverordnung arbeiten der Verantwortliche und der Auf-
tragsverarbeiter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zu-
sammen. Diese Regelung soll insbesondere die Durchsetzbarkeit der Aufgaben der Auf-

Seite
44
von
155
sichtsbehörde nach den Artikeln 55 ff. der Datenschutz-Grundverordnung unterstützen. Sie
kommt dann zum Tragen, wenn sich die Aufsichtsbehörde mit einer Anfrage an einen Ver-
antwortlichen oder Auftragsverarbeiter wendet. Ein aktives Zugehen des Verantwortlichen
oder Auftragsverarbeiters auf die Aufsichtsbehörde ist nach Artikel 31 Datenschutz-
Grundverordnung nicht erforderlich.
Ob Artikel 31 Datenschutz-Grundverordnung eine größere eigenständige Bedeutung in der
Rechtsanwendung zukommen wird, wird erst die Praxis zeigen. Die Aufsichtsbehörde besitzt
insbesondere aus Artikel 58 Datenschutz-Grundverordnung umfangreiche Befugnisse, in
deren Ausübung Mitwirkungs- und Duldungspflichten der Verantwortlichen oder Auftragsver-
arbeiter bestehen. Dies betrifft insbesondere die Bereitstellung aller Informationen und Zu-
gang zu allen personenbezogenen Daten, die die Aufsichtsbehörde zur Erfüllung ihrer Auf-
gaben benötigt, die Duldung von Datenschutzüberprüfungen oder die Gewährung des Zu-
gangs zu Diensträumen einschließlich aller Datenverarbeitungsanlagen und -geräte. Für
letztgenannte Pflicht war eine Umsetzung im Landesrecht erforderlich. Sie erfolgt durch § 19
Absatz 1 des Sächsischen Datenschutzdurchführungsgesetzes (bisher § 28 Absatz 1 Säch-
sisches Datenschutzgesetz). Ein Rückgriff auf Artikel 31 Datenschutz-Grundverordnung wird
daher überwiegend nicht erforderlich sein.
7.2 Melde-/Informationspflichten
Die Datenschutz-Grundverordnung enthält Melde-/Informationspflichten, denen – je nach
Adressatenkreis der Norm – der Verantwortliche, der Auftragsverarbeiter oder der Mitglied-
staat unterliegen. Diesen Pflichten ist aktiv nachzukommen.
7.2.1 Melde-/Informationspflichten gegenüber der Aufsichtsbehörde
Folgende wesentliche Melde-/Informationspflichten bestehen gegenüber der Aufsichtsbehör-
de:
Verletzung des Schutzes personenbezogener Daten
Nach Artikel 33 der Datenschutz-Grundverordnung hat der Verantwortliche Verletzungen des
Schutzes personenbezogener Daten unverzüglich der zuständigen Aufsichtsbehörde zu
melden, es sei denn, dass die Verletzungen des Schutzes personenbezogener Daten vo-
raussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt
(der Verlust eines Datenträgers mit nach dem Stand der Technik verschlüsselten Daten etwa
dürfte kein solches Risiko begründen).
Meldepflichtig ist nur der für die Datenverarbeitung Verantwortliche. Ist die Datenverarbei-
tung an einen Auftragsverarbeiter ausgelagert und entsteht die Datenschutzverletzung in
dessen Sphäre, hat er unverzüglich den Verantwortlichen zu informieren, der wiederum die
Meldung an die Aufsichtsbehörde vornimmt. Eine Verletzung des Schutzes personenbezo-
gener Daten liegt gemäß Artikel 4 Nummer 12 der Datenschutz-Grundverordnung vor, wenn
es sich um „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur
Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bezie-
hungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt,
gespeichert oder auf sonstige Weise verarbeitet wurden“.
Mit der Pflicht soll insbesondere Transparenz über stattgefundene Datenschutzverletzungen
geschaffen werden und es den Aufsichtsbehörden und Betroffenen erleichtert werden, aus
der Datenschutzverletzung resultierende Folgeschäden zu vermeiden bzw. zu minimieren.

Seite
45
von
155
Mitteilung der Kontaktdaten des Datenschutzbeauftragten
Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht gemäß Artikel 37 Absatz 7
der Datenschutz-Grundverordnung die Kontaktdaten des Datenschutzbeauftragten und muss
diese Daten auch der Aufsichtsbehörde mitteilen. [Verlinkung auf das entsprechende Kapitel
bei Datenschutzbeauftragter]
Information über den beabsichtigten Erlass von Verwaltungsvorschriften
Nach § 20 des Sächsischen Datenschutzdurchführungsgesetzes haben die öffentlichen Stel-
len den Sächsischen Datenschutzbeauftragten über den beabsichtigten Erlass von Verwal-
tungsvorschriften, soweit sie das Recht auf informationelle Selbstbestimmung betreffen, zu
informieren. Diese Regelung entspricht im Wesentlichen der bisherigen Anhörung des Säch-
sischen Datenschutzbeauftragten nach § 26 des Sächsischen Datenschutzgesetzes und
versetzt den Sächsischen Datenschutzbeauftragten in die Lage, seine Beratungsaufgabe
nach Artikel 57 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung zu erfüllen.
7.2.2 Informationspflichten gegenüber der EU-Kommission
Die Datenschutz-Grundverordnung eröffnet den Mitgliedstaaten für verschiedene besondere
Verarbeitungssituationen die Möglichkeit, zu einzelnen Regelungen der Datenschutz-
Grundverordnung abweichende oder spezifischere Rechtsvorschriften zu erlassen. Macht
der Gesetzgeber von der Regelungsbefugnis Gebrauch, sieht die Datenschutz-
Grundverordnung eine Mitteilung an die EU-Kommission vor.
Rechtsvorschriften zu folgenden besonderen Verarbeitungssituationen sind von der Informa-
tionspflicht betroffen:
Artikel 85 Absatz 2 Datenschutz-Grundverordnung: Verarbeitung und Freiheit der
Meinungsäußerung und Informationsfreiheit
Betroffen sind hier insbesondere Regelungen zum sogenannten Medienprivi-
leg sowie zur datenschutzrechtlichen Aufsicht über Presseunternehmen oder
Rundfunkanstalten (vgl. z. B. die Regelungen im Sächsischen Pressegesetz
oder Sächsischen Privatrundfunkgesetz im Artikelgesetz zur Anpassung lan-
desrechtlicher Vorschriften an die Datenschutz-Grundverordnung <Verlinkung
auf das Gesetz>).
Hinweis: Für Informationsfreiheitsgesetze oder entsprechende kommunale
Satzungen enthält Artikel 86 der Datenschutz-Grundverordnung die Öffnungs-
klausel.
Artikel 88 Absatz 1 Datenschutz-Grundverordnung: Datenverarbeitung im Beschäfti-
gungskontext
Hinweis: Von der Meldepflicht sind nur Rechtsvorschriften betroffen, nicht aber
z. B. Dienst- oder Kollektivvereinbarungen.
Artikel 90 Absatz 1 Datenschutz-Grundverordnung: Vorschriften zu den Befugnissen
der Aufsichtsbehörden gegenüber Verantwortlichen, die Geheimhaltungspflichten un-
terliegen

Seite
46
von
155
Wann besteht eine Informationspflicht?
Die Informationspflicht besteht
beim erstmaligen Erlass einer Rechtsvorschrift auf der Grundlage der jeweiligen Öff-
nungsklausel,
bei beibehaltenen Rechtsvorschriften, die sich auf die jeweilige Öffnungsklausel stüt-
zen sowie
bei einer späteren Änderung der Rechtsvorschriften.
Dass die Informationspflicht bei erstmaligem Erlass und bei einer Änderung der Rechtsvor-
schriften gilt, ergibt sich direkt aus den entsprechenden Vorschriften der Datenschutz-
Grundverordnung, vgl. Artikel 85 Absatz 3, Artikel 88 Absatz 3, Artikel 90 Absatz 2 Daten-
schutz-Grundverordnung.
Jedoch auch bereits vorhandene und beibehaltene Rechtsvorschriften unterliegen der Infor-
mationspflicht. Für den Bereich des Medienrechts bestimmt Artikel 85 Absatz 3 der Daten-
schutz-Grundverordnung, dass sich die Informationspflicht auf alle Regelungen bezieht, die
aufgrund des Artikels 85 Absatz 2 der Datenschutz-Grundverordnung erlassen wurden. Soll-
ten sich vorhandene Vorschriften auf diese Norm stützen können, so können sie ebenfalls
„als aufgrund dieser Vorschrift erlassen“ angesehen werden. Artikel 88 Absatz 3 und 90 Ab-
satz 2 Datenschutz-Grundverordnung werden im Übrigen so verstanden, dass die Informati-
onspflicht für die Vorschriften besteht, die zu dem in den Artikeln genannten Stichtag 25. Mai
2018 jeweils gelten. Damit sind ebenfalls die Vorschriften umfasst, die auf der Grundlage der
genannten Artikel der Datenschutz-Grundverordnung beibehalten werden sollen.
In zeitlicher Hinsicht besteht für die Vorschriften, die erstmals auf Grundlage der Artikel 88
Absatz 1 oder 90 Absatz 1 Datenschutz-Grundverordnung erlassen wurden oder beibehalten
werden, eine Meldepflicht zum Stichtag 25. Mai 2018. Für Regelungen nach Artikel 85 Ab-
satz 2 Datenschutz-Grundverordnung wird kein Stichtag für die Information festlegt. Es ist
jedoch davon auszugehen, dass auch hier eine zeitnahe Information nach Inkrafttreten der
Datenschutz-Grundverordnung zu erfolgen hat. Änderungen der relevanten Vorschriften sind
der EU-Kommission jeweils unverzüglich mitzuteilen.
Durch wen und wie erfolgt die Information der EU-Kommission?
Die Informationspflicht obliegt jeweils den Mitgliedstaaten. Es wird davon ausgegangen, dass
eine Meldung über den Bund erfolgen wird. Es gibt derzeit aber noch keine Informationen
über das geplante Prozedere. Sobald nähere Informationen hierzu vorliegen, erfahren Sie es
hier.
7.3 Konsultationen und Genehmigungspflichten
Konsultation im Ergebnis einer Datenschutz-Folgenabschätzung
Ergibt
eine
Datenschutz-Folgenabschätzung
nach
Artikel
35
der
Datenschutz-
Grundverordnung, dass die Verarbeitung personenbezogener Daten ein hohes Risiko zur
Folge hätte, muss der Verantwortliche in erster Linie Maßnahmen zur Eindämmung des Risi-
kos treffen (siehe Datenschutz-Folgenabschätzung). Ist eine Eindämmung des hohen Risi-
kos nicht möglich, muss der Sächsische Datenschutzbeauftragte vor der Verarbeitung kon-
sultiert werden, vgl. Artikel 36 Absatz 1 bis 3 der Datenschutz-Grundverordnung. Erläuterun-
gen
zum
Konsultationsverfahren
finden
Sie
hier
[Verlinkung
zu
Datenschutz-
Folgenabschätzung Punkt 8.5].

Seite
47
von
155
Konsultation bei Erlass von Gesetzen und Rechtsverordnungen
Nach Artikel 36 Absatz 4 Datenschutz-Grundverordnung ist die Aufsichtsbehörde bei der
Erstellung von Entwürfen von „Gesetzgebungsmaßnahmen oder von auf solchen Gesetzge-
bungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen“, zu
konsultieren. Dies wird in erster Linie die Erstellung von Entwürfen von Rechtsvorschriften
(Gesetzen, Rechtsverordnungen), die die Verarbeitung personenbezogener Daten regeln,
betreffen. In diesen Fällen ist stets eine Konsultation durchzuführen. Diese sollte so frühzei-
tig wie möglich erfolgen, damit die rechtliche und technische Expertise des Sächsischen Da-
tenschutzbeauftragten wie auch seine praktische Erfahrung unmittelbar in den Erstellungs-
prozess einfließen kann. Die Beteiligungspflicht entspricht der bisherigen Rechtslage und
Übung im Freistaat Sachsen (vgl. § 12 Absatz 3 der Geschäftsordnung der Staatsregierung
und § 26 des Sächsischen Datenschutzgesetzes).
Festlegung einer Konsultations- und Genehmigungspflicht für bestimmte Verarbeitungen
Der Bundes- oder Landesgesetzgeber kann im Fachrecht bestimmte öffentliche Stellen als
Verantwortliche verpflichten, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interes-
se liegenden Aufgabe die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmi-
gung einzuholen. Artikel 36 Absatz 5 Datenschutz-Grundverordnung eröffnet dem Gesetz-
geber diese Möglichkeit. Aktuell sind jedoch keine Regelungen auf Bundes- oder Landes-
ebene bekannt, die von dieser Möglichkeit Gebrauch machen.
Verwaltungsvereinbarungen als geeignete Garantien für eine Datenübermittlung an Drittlän-
der
Unter bestimmten Bedingungen dürfen Daten auch in Drittländer oder an eine internationale
Organisation übermittelt werden, obwohl diesen kein angemessenes Datenschutzniveau
bescheinigt werden kann. Um in diesen Konstellationen eine Übermittlung zu ermöglichen
und zugleich eine Gefährdung der von den Übermittlungen Betroffenen zu minimieren, sind
nach Artikel 46 der Datenschutz-Grundverordnung verschiedene Garantiemaßnahmen zu
treffen. Eine solche Garantie kann beispielsweise auch in Bestimmungen bestehen, die in
Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind
und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen (Artikel
46 Absatz 3 Buchstabe b der Datenschutz-Grundverordnung). Derartige Bestimmungen in
Verwaltungsvereinbarungen stehen unter dem Vorbehalt der Genehmigung durch die Auf-
sichtsbehörde, müssen dieser also vorgelegt werden.
7.4 Auskunftspflicht
Auskunftspflicht über das Verarbeitungsverzeichnis
Auf Anfrage muss der Verantwortliche oder der Auftragsverarbeiter gemäß Artikel 30 Absatz
4 der Datenschutz-Grundverordnung der Aufsichtsbehörde das Verzeichnis von Verarbei-
tungsvorgängen zur Verfügung stellen. Gegebenenfalls trifft diese Pflicht den Vertreter des
Verantwortlichen oder des Auftragsverarbeiters. Das Verzeichnis dient der Aufsichtsbehörde
als Ausgangspunkt ihrer Kontrollmaßnahmen und soll eine vorläufige Rechtmäßigkeitsprü-
fung ermöglichen. Die Vorlage hat ausdrücklich nur auf Anforderung zu erfolgen.
8. Datenschutz-Folgenabschätzung
Auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten entstehen Risiken für
die betroffenen Personen. Deswegen sieht die Datenschutz-Grundverordnung unabhängig

Seite
48
von
155
von sonstigen Voraussetzungen für die Verarbeitung personenbezogener Daten vor, dass
durch geeignete Abhilfemaßnahmen (insbesondere durch technische und organisatorische
Maßnahmen) diese Risiken eingedämmt werden. Die Datenschutz-Folgenabschätzung stellt
eine der wichtigsten Neuerungen der Datenschutz-Grundverordnung dar. Rechtzeitig auf den
Weg gebracht hilft sie nicht nur, die eigenen Prozesse bei der Verarbeitung personenbezo-
gener Daten besser zu verstehen, sondern auch die Pflichten nach der Datenschutz-
Grundverordnung umzusetzen.
Weitere Informationen sind in folgenden Publikationen enthalten:
Kurzpapier Nr. 5 der Datenschutzkonferenz „Datenschutz-Folgenabschätzung nach Art. 35
DS-GVO“ [Link zu
https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/DSK_KPNr_5_Datensch
utz-Folgenabschaetzung.pdf
]
Bayrisches Landesamt für Datenschutzaufsicht, XVIII Datenschutz-Folgenabschätzung
(DSFA) – Art. 35 DS_GVO [Link zu
https://www.lda.bayern.de/media/baylda_ds-
gvo_18_privacy_impact_assessment.pdf
]
Leitlinien der Artikel 29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung und Be-
antwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahr-
scheinlich ein hohes Risiko mit sich bringt“ [Link zu
https://www.datenschutz-
bayern.de/technik/orient/wp248.pdf
]
8.1
Was
ist
eine
Datenschutz-Folgenabschätzung
nach
der
Datenschutz-
Grundverordnung?
Eine Datenschutz-Folgenabschätzung ist ein spezielles Instrument zur Beschreibung, Be-
wertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen
bei der Verarbeitung personenbezogener Daten. Die Datenschutz-Folgenabschätzung ist
durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer
Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbei-
tung voraussichtlich ein hohes Risiko zur Folge hat. Sie befasst sich insbesondere mit Abhil-
femaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Ein-
haltung der Verordnung nachgewiesen werden kann (Artikel 35 Absatz 1, 7 Datenschutz-
Grundverordnung sowie die Erwägungsgründe 84, 90).
Eine Datenschutz-Folgenabschätzung bezieht sich auf einzelne, konkrete Verarbeitungsvor-
gänge. Unter Verarbeitungsvorgängen ist die Summe von Daten, Systemen (Hard- und
Software) und Prozessen zu verstehen.
Sofern mehrere ähnliche Verarbeitungsvorgänge voraussichtlich ein ähnliches Risiko auf-
weisen, können diese zusammen bewertet werden (Artikel 35 Absatz 1 Datenschutz-
Grundverordnung). Ähnliche Risiken können beispielsweise dann gegeben sein, wenn ähnli-
che Technologien zur Verarbeitung vergleichbarer Daten (-kategorien) zu gleichen Zwecken
eingesetzt werden (vgl. auch Erwägungsgrund 92 Datenschutz-Grundverordnung). Bei einer
gemeinsamen Bewertung von ähnlichen Verarbeitungsvorgängen sind die im Folgenden
dargestellten Vorgehensweisen ggf. anzupassen.
8.2 Erforderlichkeit einer Datenschutz-Folgenabschätzung
Ob eine Datenschutz-Folgenabschätzung durchzuführen ist, ergibt sich aus einer Abschät-
zung der Risiken der Verarbeitungsvorgänge („Schwellenwertanalyse“). Ergibt diese ein vo-
raussichtlich hohes Risiko, dann ist eine Datenschutz-Folgenabschätzung durchzuführen.

Seite
49
von
155
Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine
Datenschutz-Folgenabschätzung nicht zwingend erforderlich. Die Entscheidung über die
Durchführung oder Nichtdurchführung der Datenschutz-Folgenabschätzung ist mit Angabe
der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumen-
tieren.
Artikel 35 Absatz 3 Datenschutz-Grundverordnung benennt einige Faktoren, die wahrschein-
lich zu einem hohen Risiko im Sinne des
Artikels 35 Absatz 1 Datenschutz-
Grundverordnung führen. Diese sind
die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Per-
sonen mittels automatisierter Verarbeitung (einschließlich Profiling), die als Grundla-
ge für Entscheidungen dient, Rechtswirkungen gegenüber natürlichen Personen ent-
faltet oder diese in ähnlich erheblicher Weise beeinträchtigen,
die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
nach Artikel 9 Absatz 1 Datenschutz-Grundverordnung (z. B. Gesundheitsdaten, ge-
netische oder biometrische Daten, Daten zu politischen Meinungen, religiösen oder
weltanschaulichen Überzeugungen oder Gewerkschaftszugehörigkeiten) oder von
personenbezogenen Daten über Verurteilungen und Straftaten,
die systematische umfangreiche Überwachung öffentlich zugänglicher Räume.
Liegt bei einer konkreten Verarbeitungstätigkeit keiner dieser Faktoren vor, so entbindet dies
noch nicht von der Durchführung einer Datenschutz-Folgenabschätzung. Vielmehr ist dann
die oben bereits angesprochene „Schwellenwertanalyse“ durchzuführen, in deren Ergebnis
ebenfalls das Erfordernis einer Datenschutz-Folgenabschätzung stehen kann.
Es ist im Übrigen zu erwarten, dass die Datenschutzaufsichtsbehörden eine nicht-
abschließende
Liste
mit
Verarbeitungstätigkeiten,
bei
denen
eine
Datenschutz-
Folgenabschätzung durchzuführen ist, veröffentlichen werden. Auch zur Durchführung der
„Schwellenwertanalyse“ sollen künftig Hinweise durch die Datenschutzaufsichtsbehörden zur
Verfügung gestellt werden.
Außerdem ist Artikel 35 Absatz 10 Datenschutz-Grundverordnung zu beachten. Danach ist
grundsätzlich dann keine Datenschutz-Folgenabschätzung durchzuführen, wenn die Verar-
beitung personenbezogener Daten auf einer Rechtsvorschrift, die ein im öffentlichen Interes-
se liegendes Ziel verfolgt (Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe c oder e Da-
tenschutz-Grundverordnung), basiert und beim Erlass der Vorschrift eine Datenschutz-
Folgenabschätzung vorgenommen wurde. In diesen Fällen ist ausnahmsweise nur dann eine
Datenschutz-Folgenabschätzung erforderlich, wenn dies nach dem Ermessen der normge-
benden Stelle vor der Aufnahme der betreffenden Verarbeitungstätigkeit für erforderlich ge-
halten wird. Artikel 35 Absatz 10 Datenschutz-Grundverordnung wird jedoch erst nach und
nach Bedeutung erlangen. Derzeit werden noch für längere Zeit Rechtsgrundlagen für die
Verarbeitung
personenbezogener
Daten
vorliegen,
die
keine
Datenschutz-
Folgenabschätzung durchlaufen haben.
8.3 Zeitpunkt der Durchführung einer Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung ist vor der Aufnahme der zu betrachtenden Verarbei-
tungsvorgänge durchzuführen. Auch bereits bestehende Verarbeitungsvorgänge können
unter die Pflicht einer Datenschutz-Folgenabschätzung fallen.
Eine sofortige Datenschutz-Folgenabschätzung aller bestehenden Verfahren ist grundsätz-
lich nicht erforderlich. Eine Erforderlichkeit kann sich aber aus Artikel 35 Absatz 11 Daten-
schutz-Grundverordnung ergeben. Gemäß Erwägungsgrund 171 „sollten“ Verarbeitungen,

image
Seite
50
von
155
die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, innerhalb
von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht wer-
den.
Da eine Datenschutz-Folgenabschätzung meist nicht ad hoc in wenigen Tagen erstellt wer-
den kann, muss sie rechtzeitig, beispielsweise unterstützt durch ein allgemeines Daten-
schutz-Managementsystem, auf den Weg gebracht werden.
8.4 Wie kann eine Datenschutz-Folgenabschätzung durchgeführt werden?
Die formellen Anforderungen an die Durchführung einer Datenschutz-Folgenabschätzung
ergeben sich aus der Datenschutz-Grundverordnung, speziell aus Artikel 35 sowie den Er-
wägungsgründen 84, 90, 91, 92 und 93. Bei der verwendeten Methode wird dem Verantwort-
lichen mehr Spielraum gelassen. Werden bestehende Methoden oder Standards eingesetzt,
ist zu beachten, dass die Anforderungen der Datenschutz-Grundverordnung immer vorrangig
zu behandeln sind.
Eine Datenschutz-Folgenabschätzung ist kein einmaliger Vorgang. Sollten sich z. B. neue
Risiken ergeben, die Bewertung bereits erkannter Risiken ändern oder wesentliche Ände-
rungen im Verfahren ergeben, die in der Datenschutz-Folgenabschätzung bisher nicht be-
rücksichtigt wurden, so ist die Datenschutz-Folgenabschätzung zu überprüfen und ebenso
anzupassen. Um dies zu garantieren, wird ein stetiger, iterativer Prozess der Überprüfung
und Anpassung empfohlen:
8.4.1 Phase 1: Vorbereitung
Zusammenstellung des Datenschutz-Folgenabschätzung-Teams
Eine Datenschutz-Folgenabschätzung kann im Allgemeinen nur von einem interdisziplinären
Team erstellt werden, das Kompetenzen im Bereich Datenschutz, Risikoermittlung und
Fachprozesse mitbringt. Der Datenschutzbeauftragte steht diesem während des gesamten
Prozesses beratend zur Seite. Es kann sinnvoll oder notwendig sein, z. B. Auftragsverarbei-
ter oder Hersteller von IT-Systemen ebenfalls mit einzubeziehen.
Prüfplanung
Da eine Datenschutz-Folgenabschätzung meist ein komplexer Prozess ist, der viele Mitwir-
kende einbindet, ist eine Prüfplanung (z. B. mit Methoden des Projektmanagements) emp-
fehlenswert.

Seite
51
von
155
Festlegung des Beurteilungsumfangs (Scope)
Die betrachteten Verarbeitungsvorgänge sind von anderen (Geschäfts-)Prozessen abzu-
grenzen und ausführlich und abschließend mit allen Datenflüssen zu beschreiben. Wesent-
lich ist es, die beabsichtigten Zwecke der Verarbeitungsvorgänge festzuhalten.
Identifikation und Einbindung von Akteuren und betroffenen Personen
Die Akteure und betroffenen Personen sind zu identifizieren. Bei der Durchführung der Da-
tenschutz-Folgenabschätzung zieht der Verantwortliche den Datenschutzbeauftragten zura-
te (Artikel 35 Absatz 2 Datenschutz-Grundverordnung). Ggf. holt der Verantwortliche den
Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbei-
tung ein (Artikel 35 Absatz 9 Datenschutz-Grundverordnung). Dies umfasst beispielsweise
die Einbindung von Gremien der Mitbestimmung, z. B. von Personalräten.
Bewertung der Notwendigkeit/Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf
ihren Zweck
Die im vorigen Schritt beschriebenen Verarbeitungsvorgänge werden ausgehend von den
mit ihnen verfolgten Zwecken daraufhin bewertet, ob der durch sie bewirkte Eingriff in die
Rechte und Freiheiten der Betroffenen im Verhältnis zu dem angestrebten Zweck steht, ob
sie zum Erreichen der Zwecke tatsächlich notwendig sind oder ob alternative Vorgehens-
weisen zur Verfügung stehen, die in die Rechte und Freiheiten der Betroffenen weniger
stark eingreifen. Ggf. nimmt der Verantwortliche eine Anpassung der Verarbeitungsvorgän-
ge vor, z. B. durch Beschränkung der zu verarbeitenden Daten oder durch Änderung der
beteiligten Akteure oder eingesetzten Technologien.
Identifikation der Rechtsgrundlagen
Aufbauend auf dem vorigen Schritt können sodann die Rechtsgrundlagen für die zu bewer-
tenden Verarbeitungsvorgänge bestimmt und dokumentiert werden.
8.4.2 Phase 2: Durchführung
Modellierung der Risikoquellen
Die Quellen des Risikos für die Rechte und Freiheiten natürlicher Personen müssen identifi-
ziert werden. Insbesondere ist zu bestimmen, welche Personen motiviert sein könnten, die
Verarbeitungsvorgänge und die hierin verarbeiteten Daten in unrechtmäßiger Weise zu nut-
zen, und welches ihre Beweggründe und möglichen Ziele sein können. Anhand dessen kön-
nen die damit zusammenhängenden Eintrittswahrscheinlichkeiten ermittelt werden.
Risikobeurteilung
Aufbauend auf den vorherigen Schritten wird bestimmt, ob in Bezug auf die Art, den Umfang,
die Umstände und die Zwecke der Verarbeitung ein hohes Risiko für die Rechte und Freihei-
ten natürlicher Personen besteht. Potenzielle Schäden können physischer, materieller oder
immaterieller Art sein. Ihre Schwere sowie die jeweilige Eintrittswahrscheinlichkeit sind dabei
zu berücksichtigen (Erwägungsgrund 75 f.).
Auswahl geeigneter Abhilfemaßnahmen
Die ermittelten Risiken müssen durch geeignete Abhilfemaßnahmen (insbesondere durch
technische und organisatorische Maßnahmen) eingedämmt werden. Eine Auswahl sowie

Seite
52
von
155
Planung der Umsetzung der Maßnahmen findet statt. Dabei wird den Rechten und berechtig-
ten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen. Ver-
bleibende Restrisiken werden ermittelt und dokumentiert.
Erstellung des Datenschutz-Folgenabschätzungsberichts
Der Datenschutz-Folgenabschätzungsbericht enthält gemäß Artikel 35 Absatz 7 Daten-
schutz-Grundverordnung jedenfalls die systematische Beschreibung der geplanten Verarbei-
tungsvorgänge und ihrer Zwecke, die Bewertung der Notwendigkeit und Verhältnismäßigkeit
der Verarbeitung, die Beschreibung und Beurteilung der Risiken sowie der Abhilfemaßnah-
men zur Risikoeindämmung. Der Bericht ist um eine Darstellung der Restrisiken samt Ent-
scheidung über den Umgang mit diesen zu ergänzen. Er kann sich dabei an den hier darge-
stellten Phasen orientieren. Der Datenschutz-Folgenabschätzungsbericht dient ferner als
Baustein einer umfassenden Dokumentation zur Umsetzung der in Artikel 5 Absatz 2 Daten-
schutz-Grundverordnung normierten Rechenschaftspflicht. Es ist zu prüfen, inwieweit Teile
des Datenschutz-Folgenabschätzungsberichts im Sinne einer erhöhten Transparenz für die
betroffenen Personen veröffentlicht werden sollen.
Wichtig:
Ergibt eine Datenschutz-Folgenabschätzung, dass trotz technischer und organisa-
torischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und
Freiheiten natürlicher Personen besteht (Restrisiko), muss der Verantwortliche nach Artikel
36 Datenschutz-Grundverordnung vor der Verarbeitung die zuständige Aufsichtsbehörde,
also den Sächsischen Datenschutzbeauftragten, konsultieren. Nähere Erläuterungen zum
Konsultationsverfahren finden Sie hier [Link zu 8.5].
Ergibt die Datenschutz-Folgenabschätzung kein hohes Risiko für die Rechte und Freiheiten
natürlicher Personen oder wurde das Konsultationsverfahren (ggf. mit der Beauflagung wei-
terer technisch-organisatorischer Maßnahmen) durchlaufen, schließen sich weitere Phasen
zur Implementierung der Abhilfemaßnahmen und zur Überwachung an.
Diese folgenden Phasen sollten nicht lediglich linear durchlaufen werden, sondern eine
Rückkoppelung der jeweiligen Ergebnisse im Sinne eines iterativen Vorgehens ermöglichen.
Beispielsweise können durch eine Maßnahme weitere Verarbeitungsvorgänge nötig werden,
für die wiederum etwaige Risiken zu betrachten sind.
8.4.3 Phase 3: Umsetzung
Umsetzung der Abhilfemaßnahmen
Bevor die geplante Datenverarbeitung eingesetzt wird, müssen die für die Eindämmung des
Risikos geeigneten Abhilfemaßnahmen (insbesondere technische und organisatorische
Maßnahmen) umgesetzt sein. Vorher darf die Verarbeitung personenbezogener Daten nicht
stattfinden. Sofern sich bei der Umsetzung herausstellt, dass geplante Maßnahmen nicht
(wirksam) realisiert werden können, müssen andere geeignete Maßnahmen ausgewählt, die
Restrisikobewertung angepasst oder die Verarbeitungsvorgänge insgesamt angepasst wer-
den, so dass sie den Anforderungen der Datenschutz-Grundverordnung genügen.
Test der Abhilfemaßnahmen
Nachdem Abhilfemaßnahmen umgesetzt wurden, müssen sie auf ihre Wirksamkeit hin ge-
testet werden. Möglicherweise zeigt sich bei der Umsetzung der Maßnahmen, dass weitere
Risiken bestehen, die ebenfalls zu behandeln sind.

Seite
53
von
155
Dokumentation: Nachweis über die Einhaltung der Datenschutz-Grundverordnung
Gemäß Artikel 5 Absatz 2 Datenschutz-Grundverordnung hat der Verantwortliche eine um-
fassende Dokumentations- und Rechenschaftspflicht, durch die die Einhaltung der Daten-
schutz-Grundverordnung insgesamt nachgewiesen werden soll.
Der Datenschutz-
Folgenabschätzungsbericht und eine Bestätigung der Wirksamkeit der umgesetzten Maß-
nahmen dienen als Bausteine zur Erfüllung dieser Pflicht.
Freigabe der Verarbeitungsvorgänge
Im Anschluss und mit Vorliegen der vollständigen Dokumentation können die Verarbeitungs-
vorgänge formal durch den Verantwortlichen freigegeben werden.
8.4.4 Phase 4: Überprüfung
Ggf. Überprüfung und Audit der Datenschutz-Folgenabschätzung
Um eine ordnungsgemäße Durchführung sicherzustellen, kann es sinnvoll sein, den Daten-
schutz-Folgenabschätzungsbericht von einem unabhängigen Dritten überprüfen zu lassen.
Auch könnte der Datenschutzbeauftragte, der gemäß Artikel 35 Absatz 2 Datenschutz-
Grundverordnung sowieso einzubeziehen ist, die Datenschutz-Folgenabschätzung abschlie-
ßend prüfen und das Ergebnis der Leitungsebene des Verantwortlichen mitteilen.
Überwachung und Fortschreibung
Die Datenschutz-Folgenabschätzung ist kein strikt linearer oder abgeschlossener Prozess.
Vielmehr muss die Einhaltung der Datenschutz-Grundverordnung während der gesamten
Dauer der Verarbeitungsvorgänge fortlaufend überwacht werden. Hierfür bietet sich ein Da-
tenschutz-Managementsystem an. Spätestens wenn sich das mit der Verarbeitung verbun-
dene Risiko ändert, muss erneut eine Datenschutz-Folgenabschätzung durchgeführt werden.
8.5 Konsultationsverfahren bei hohem Restrisiko
Wird im Ergebnis einer Datenschutz-Folgenabschätzung festgestellt, dass trotz technischer
und organisatorischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die
Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), muss sich nach Artikel 36
Absatz 1 Datenschutz-Grundverordnung der Verantwortliche vor der Verarbeitung an die
zuständige Aufsichtsbehörde, also den Sächsischen Datenschutzbeauftragten, wenden.
Dazu muss der Verantwortliche dem Sächsischen Datenschutzbeauftragten nach Artikel 36
Absatz 3 Datenschutz-Grundverordnung folgendes vorlegen:
gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der
gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverar-
beiter,
die Zwecke und die Mittel der beabsichtigten Verarbeitung,
die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß der Da-
tenschutz-Grundverordnung vorgesehenen Maßnahmen und Garantien,
gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
die
Datenschutz-Folgenabschätzung
gemäß
Artikel
35
Datenschutz-
Grundverordnung und
alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.

Seite
54
von
155
Der Sächsische Datenschutzbeauftragte prüft sodann, ob die geplante Verarbeitung im Ein-
klang mit der Datenschutz-Grundverordnung stünde, dabei insbesondere, ob der Verantwort-
liche das Risiko ausreichend ermittelt und eingedämmt hat.
Hierzu hat er im Regelfall bis zu acht Wochen Zeit. Bei komplexen Verarbeitungen kann er
die Frist um maximal sechs Wochen verlängern. Über eine Fristverlängerung muss er den
Verantwortlichen und ggf. einen Auftragsverarbeiter mit Angabe der Gründe innerhalb eines
Monats unterrichten. Diese Fristen gelten nur, wenn der Aufsichtsbehörde alle für die Zwe-
cke der Konsultation erforderlichen Informationen vorliegen.
Meldet sich der Sächsische Datenschutzbeauftragte innerhalb der Frist von acht Wochen
oder der verlängerten Frist nicht, ist davon auszugehen, dass die geplante Verarbeitung im
Einklang mit der Datenschutz-Grundverordnung steht.
Ist der Sächsische Datenschutzbeauftragte dagegen der Auffassung, dass die geplante Ver-
arbeitung nicht im Einklang mit der Verordnung steht, unterbreitet er dem Verantwortlichen
und ggf. dem Auftragsverarbeiter schriftlich entsprechende Empfehlungen (z. B. zu weiteren
technisch-organisatorischen Maßnahmen oder zu Änderungen in den Verarbeitungsprozes-
sen). Zugleich kann er seine Befugnisse nach Artikel 58 Datenschutz-Grundverordnung aus-
üben, also z. B. den Verantwortlichen oder den Auftragsverarbeiter warnen, dass beabsich-
tigte Verarbeitungsvorgänge gegen die Datenschutz-Grundverordnung verstoßen würden.
Wird mit einer gegen die Datenschutz-Grundverordnung verstoßenden Verarbeitung perso-
nenbezogener Daten begonnen, kann der Sächsische Datenschutzbeauftragte diese unter-
sagen.
9. Auftragsverarbeitung
Die Datenschutz-Grundverordnung regelt die Auftragsverarbeitung insbesondere in den Arti-
keln 28 und 29. Die Öffnungsklauseln der Datenschutz-Grundverordnung erlauben es (vgl.
Artikel 6 Absatz 1 Buchstabe c und e in Verbindung mit Absatz 3 Satz 3 Datenschutz-
Grundverordnung), durch eine Rechtsvorschrift allgemeine Bedingungen für die Regelung
der Rechtmäßigkeit der Verarbeitung aufzustellen. Daher können Regelungen, die das „Ob“
der Auftragsverarbeitung bestimmen, also die Frage betreffen, ob in bestimmten Fällen eine
Auftragsverarbeitung zulässig ist, auch weiterhin zulässig sein (vgl. z. B. § 80 SGB X). Im
Hinblick auf die Frage, wann von einer Auftragsverarbeitung ausgegangen werden muss und
das „Wie“ der Auftragsverarbeitung, also die spezifischen Anforderungen an die Ausgestal-
tung der Auftragsverarbeitung, sind die Artikel 28 und 29 Datenschutz-Grundverordnung da-
gegen abschließend. Der bisherige § 7 des Sächsischen Datenschutzgesetzes wurde daher
nicht in das Sächsische Datenschutzdurchführungsgesetz übernommen.
Was ist neu?
Der Mindestinhalt eines Vertrages zur Auftragsverarbeitung ist umfassender.
Der Vertrag zur Auftragsverarbeitung kann nicht nur schriftlich sondern auch in einem
elektronischen Format geschlossen werden.
Weisungen des Verantwortlichen an den Auftragsverarbeiter sind zu dokumentieren.
Der Auftragsverarbeiter hat ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu
erstellen.
Will der Auftragsverarbeiter Subunternehmen als weitere Auftragsverarbeiter bei der
Erbringung der vereinbarten Dienstleistung einsetzen, so bedarf dies der vorherigen
(schriftlichen oder elektronischen) Genehmigung durch den Verantwortlichen. Später
beabsichtigte Änderungen bei den eingesetzten Subunternehmen muss der Auf-
tragsverarbeiter vorher mitteilen, wobei der Verantwortliche dann bei Bedarf Ein-

Seite
55
von
155
spruch gegen die geplante Einbeziehung des neuen Subunternehmens einlegen
kann.
Der Spielraum bei der Kontrolle des Auftragsverarbeiters durch den Verantwortlichen
vergrößert sich. Es ist z. B. nicht mehr zwingend eine Vorort-Kontrolle erforderlich,
sondern es kann auch auf Zertifizierungen zurückgegriffen werden.
Auftragsverarbeiter haben Dokumentationspflichten und gegenüber dem Verantwort-
lichen eine Unterstützungsfunktion.
Aufsichtsbehörden können Sanktionen direkt gegenüber dem Auftragsverarbeiter
verhängen.
Verantwortlicher und Auftragsverarbeiter haften gegenüber betroffenen Personen ge-
samtschuldnerisch auf Schadenersatz bei Datenschutzverstößen. Der Auftragsverar-
beiter kann daher von betroffenen Personen direkt in Anspruch genommen werden.
Eine allgemeine Pflicht zur Meldung eines Auftragsverarbeiters aus dem nichtöffentli-
chen Bereich an die zuständige Kontroll- bzw. Aufsichtsbehörde (vgl. der bisherige §
7 Absatz 3 Sächsisches Datenschutzgesetz) entfällt.
Was ist zu tun?
Vorhandene Verträge zur Auftragsverarbeitung sind daraufhin zu überprüfen, ob sie die Vor-
gaben der Datenschutz-Grundverordnung erfüllen. Ist dies nicht der Fall, sind sie anzupas-
sen. Auf welche Weise dies erfolgt, ob mit einer einvernehmlichen Vertragsänderung oder
etwa im Wege einer außerordentlichen Kündigung aus wichtigem Grund, ist eine zivilrechtli-
che Frage, die im Einzelfall zu bewerten und zu entscheiden ist.
9.1
Was ist Auftragsverarbeitung?
Die Frage, ob eine Auftragsverarbeitung vorliegt, ist wichtig für die Rechtmäßigkeit der Da-
tenverarbeitung. Liegt eine Auftragsverarbeitung vor, dann sind für deren Rechtmäßigkeit
zwingend die Vorgaben der Datenschutz-Grundverordnung zu beachten. Dabei ist es unbe-
achtlich, ob eine öffentliche Stelle oder eine nichtöffentliche Stelle Auftragsverarbeiter wird.
Es gelten im Wesentlichen die gleichen Regelungen.
9.1.1 Begriff
Die Datenschutz-Grundverordnung definiert in Artikel 4 Nummer 8 den Begriff Auftragsverar-
beiter. Auftragsverarbeiter ist danach eine natürliche oder juristische Person, eine Behörde,
Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortli-
chen verarbeitet.
Der Auftragsverarbeiter ist nicht „Dritter“ im Sinne der Datenschutz-Grundverordnung (vgl.
Artikel 4 Nummer 10). Insofern ändert sich die bisherige Rechtslage nicht. Allerdings fällt der
Auftragsverarbeiter unter den Begriff „Empfänger“ nach Artikel 4 Nummer 9 Datenschutz-
Grundverordnung. Daher sind betroffene Personen z. B. bei der Erhebung von Daten auch
darüber zu informieren, dass diese an einen Auftragsverarbeiter weitergegeben werden (vgl.
Artikel 13 Absatz 1 Buchstabe e, Artikel 14 Absatz Buchstabe e Datenschutz-
Grundverordnung).
9.1.2 Abgrenzung zu anderen Verarbeitungssituationen
Die Auftragsverarbeitung ist insbesondere von folgenden anderen Verarbeitungssituationen
abzugrenzen:
Gemeinsam Verantwortliche nach Artikel 26 Datenschutz-Grundverordnung:

Seite
56
von
155
Wenn zwei oder mehr Verantwortliche den Zweck und die Mittel einer Verarbeitung
personenbezogener Daten gemeinsam festlegen, sind sie auch gemeinsam Verant-
wortliche. Für die Abgrenzung zur Auftragsverarbeitung ist daher vor allem von Be-
deutung, dass beide Personen/sonstige Stellen die grundlegenden Entscheidungen
über die Verarbeitung der Daten gemeinsam treffen, also kein Weisungsverhältnis
besteht.
Funktionsübertragung:
Mit Funktionsübertragung ist die klassische Übermittlung personenbezogener Daten
von einer Person/sonstigen Stelle auf eine andere Person/sonstige Stelle gemeint.
Sie ist dadurch gekennzeichnet, dass der Empfänger der Daten die Zwecke und die
Mittel der Weiterverarbeitung selbst festlegt, die Daten insbesondere zur Erfüllung ei-
gener Aufgaben nutzt. In diesen Fällen verarbeitet der Empfänger der Daten diese
nicht im Auftrag und auf Weisung des Verantwortlichen weiter. Es liegt keine Auf-
tragsverarbeitung vor. Für die Übermittlung der Daten und die Weiterverarbeitung
durch den Empfänger bedarf es einer Rechtsgrundlage.
9.1.3 Speziell: Wartung und Prüfung von IT-Systemen
Die Frage, ob es sich um eine Auftragsverarbeitung handelt oder nicht, taucht oftmals im
Zusammenhang mit Verträgen zur Wartung und Prüfung von IT-Systemen auf. Der bisherige
§ 7 Absatz 5 des Sächsischen Datenschutzgesetzes hat die Regelungen der Auftragsverar-
beitung für Wartungs- und Fernwartungsaufträge als entsprechend anwendbar erklärt. Hin-
tergrund hierfür war, dass den Wartungsfirmen bei Ausübung ihrer Tätigkeit personenbezo-
gene Daten zur Kenntnis gelangen können, aber durch diese Firmen personenbezogene
Daten gerade nicht im Sinne des Sächsischen Datenschutzgesetzes verarbeitet werden.
Artikel 28 Datenschutz-Grundverordnung enthält keine dem § 7 Absatz 5 Sächsisches Da-
tenschutzgesetz vergleichbare Regelung. Auch in den Erwägungsgründen der Datenschutz-
Grundverordnung gibt es keine Aussagen zum Umgang mit Wartungs- und Fernwartungs-
aufträgen. Daher stellt sich die Frage, ob Wartungs- und Fernwartungsverträge wie bisher
als Auftragsverarbeitung zu behandeln sind.
Ausgangspunkt der Beurteilung ist der weite Verarbeitungsbegriff, der der Datenschutz-
Grundverordnung zugrunde liegt. Zu einer Verarbeitung nach Artikel 4 Nummer 2 der Daten-
schutz-Grundverordnung zählen insbesondere das Anpassen oder Verändern personenbe-
zogener Daten, deren Auslesen, Abfragen, Verwenden oder vor allem auch Offenlegen
durch Verbreitung oder einer anderen Art der Bereitstellung.
Aufgrund des weiten Begriffs der „Verarbeitung“, ist davon auszugehen, dass nur bei einer
reinen technischen Wartung ohne Zugriff auf personenbezogene Daten keine Auftragsdaten-
verarbeitung vorliegt und Artikel 28 Datenschutz-Grundverordnung nicht zu beachten ist.
Besteht bei der Wartung oder Prüfung der IT-Systeme dagegen für den Auftragsverarbeiter
die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten (z. B. bei der
Prüfung von Speicher-Dumps oder Support-Arbeiten in Systemen des Auftraggebers usw.),
so handelt es sich um eine Form bzw. Teiltätigkeit einer Auftragsverarbeitung und die Anfor-
derungen des Artikels 28 Datenschutz-Grundverordnung sind umzusetzen.
9.2
Zulässigkeit der Auftragsverarbeitung
Anders als § 7 Sächsisches Datenschutzgesetz enthält Artikel 28 Datenschutz-
Grundverordnung keine ausdrückliche Befugnis zur Auftragsverarbeitung, sondern nur spezi-
fische Bestimmungen, die bei einer Auftragsverarbeitung einzuhalten sind. Es kann jedoch

Seite
57
von
155
davon ausgegangen werden, dass die Verarbeitung personenbezogener Daten durch den
Verantwortlichen und den Auftragsverarbeiter ein einheitlicher Vorgang der Datenverarbei-
tung ist. Wenn der Verantwortliche eine Befugnis zur Datenverarbeitung hat, dann kann er
die Verarbeitung grundsätzlich auch auf einen Auftragsverarbeiter übertragen. Spezialge-
setzliche Vorschriften, verfassungsrechtliche Grenzen und Zuständigkeitsregelungen sind
jedoch zu beachten. Ein Prüfschema, wie eine öffentliche Stelle die grundsätzliche Zulässig-
keit einer Auftragsverarbeitung prüfen sollte, finden Sie nachfolgend.
[Prüfschema Zulässigkeit der Auftragsverarbeitung (Anlage 7)]
Die Datenschutz-Grundverordnung verlangt, dass Grundlage einer Auftragsverarbeitung ein
Vertrag oder ein anderes Rechtsinstrument des Staates ist.
Grundlage wird in aller Regel ein Dienst- oder Werkvertrag sein. Mit dem anderen Rechtsin-
strument des Staates sind alle sonstigen, außer den vertraglichen, Rechtsgrundlagen ge-
meint. So könnte z. B. eine Auftragsverarbeitung auch über eine Rechtsverordnung festge-
legt werden (wenn es eine entsprechende gesetzliche Ermächtigung gibt).
Vertrag
Überwiegend werden Auftragsverarbeitungen auf vertraglichen Regelungen basieren. Die
vertragliche Regelung kann anders als bisher (Schrifterfordernis, vgl. § 7 Absatz 2 Satz 2
Sächsisches Datenschutzgesetz) auch in einem elektronischen Format geschlossen werden
(vgl. Artikel 28 Absatz 9 Datenschutz-Grundverordnung).
Artikel 28 Absatz 3 Datenschutz-Grundverordnung legt detailliert fest, welcher Mindestinhalt
in den Vertrag aufgenommen werden muss. Die dortigen Festlegungen gehen über die bis-
herigen Regelungen in § 7 Absatz 2 Sächsisches Datenschutzgesetz hinaus. Im Vertrag sind
Festlegungen zu treffen
zum Gegenstand der Verarbeitung (z. B. Verweis auf die Leistungsvereinbarung des
Vertrag; Darstellung der konkreten Aufgaben),
zur Dauer der Verarbeitung (Beispiele: Laufzeit des Vertrages, Befristung, einmalige
Ausführung),
zum Zweck der Verarbeitung (z. B. Verweis auf die Leistungsvereinbarung, Beschrei-
bung des Zwecks),
zur Art der Verarbeitung (z. B. automatisierte Verarbeitung, Erheben, Erfassen, Ord-
nen),
zur Art der verarbeiteten personenbezogenen Daten (z. B. Adressdaten, Personen-
stammdaten, Telekommunikationsdaten, Daten aus öffentlichen Verzeichnissen)
zu den Kategorien betroffener Personen (z. B. Antragsteller, Beschäftigte, Ansprech-
partner etc.),
zu den Pflichten und Rechten des Verantwortlichen (z. B. Ausgestaltung des Wei-
sungsrechts oder der Kontrollmöglichkeiten, vgl. auch die nachfolgenden Regelun-
gen).
Darüber hinaus hat der Vertrag dahingehend Regelungen zu enthalten, dass der Auf-
tragsverarbeiter
die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen
verarbeiten darf, es sei denn, er ist durch andere Vorschriften zur Verarbeitung ver-
pflichtet,
gewährleistet, dass sich die Mitarbeiter, die die Daten verarbeiten, zur Vertraulichkeit
verpflichten oder einer angemessenen gesetzlichen Verschwiegenheit unterliegen,

Seite
58
von
155
technische und organisatorische Maßnahmen für die Sicherheit der Verarbeitung er-
greift,
die Bedingungen für die Inanspruchnahme eines weiteren Auftragsverarbeiters ein-
gehalten werden,
den Verantwortlichen bei der Erfüllung der diesem obliegenden Beantwortung von
Anträgen zur Wahrnehmung von Betroffenenrechten unterstützt,
den Verantwortlichen bei der Gewährleistung der Sicherheit der Verarbeitung sowie
den Melde- und Benachrichtigungspflichten bei Datenschutzverstößen unterstützt,
nach Erbringung der Verarbeitungsleistungen die personenbezogenen Daten löscht
oder zurückgibt,
dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellt und
Überprüfungen zulässt.
Was passiert mit bereits abgeschlossenen Verträgen zur Auftragsverarbeitung?
Nach überwiegender Ansicht sind die in der Datenschutz-Grundverordnung festgelegten
Mindestinhalte eines Vertrages Voraussetzung dafür, dass die Auftragsverarbeitung recht-
mäßig erfolgt. Die Datenschutz-Grundverordnung enthält keine Übergangsregelungen für
bestehende Verträge.
Daher sind alle vorhandenen Verträge zur Auftragsdatenverarbeitung daraufhin zu überprü-
fen, ob sie den Regelungen des Artikels 28 der Datenschutz-Grundverordnung entsprechen.
Ist dies, nicht der Fall, ist eine Anpassung der Verträge erforderlich.
Mustervertrag
Ein Mustervertrag wird auf der Internetseite des Sächsischen Datenschutzbeauftragten zur
Verfügung gestellt: [Link zu
https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-
gvo-fuer-oeffentliche-stellen ]]
9.3 Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters
9.3.1 Rechte und Pflichten des Verantwortlichen (bisher = Auftraggeber)
Die Pflichten des Verantwortlichen bleiben im Vergleich zur bisherigen Rechtslage weitest-
gehend gleich.
Er hat auch im Rahmen der Auftragsverarbeitung die allgemeinen, in der Datenschutz-
Grundverordnung festgelegten Pflichten zu erfüllen (wie z. B. die Einhaltung der Grundsätze
für die Verarbeitung personenbezogener Daten nach Artikel 5 Absatz 2 Datenschutz-
Grundverordnung oder die Festlegung technischer und organisatorischer Maßnahmen für die
Sicherheit der Verarbeitung nach Artikel 32 Datenschutz-Grundverordnung). Hinzu kommen
insbesondere folgende spezielle Pflichten:
Auswahl des Auftragsverarbeiters
Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende
Garantien dafür bieten, dass die Verarbeitung der personenbezogenen Daten im Einklang
mit der Datenschutz-Grundverordnung erfolgt (vgl. Artikel 28 Absatz 1 Datenschutz-
Grundverordnung). Daher muss er den Auftragsverarbeiter sorgfältig auswählen. Fachwis-
sen, Zuverlässigkeit und Ressourcen können Maßstäbe für die Auswahl sein. Als Nachweis
ausreichender Garantien können genehmigte Verhaltensregeln, denen der Auftragsverarbei-
ter unterliegt, oder Zertifizierungen herangezogen werden.

Seite
59
von
155
Kontrolle des Auftragsverarbeiters
Aus den Anforderungen an die Auswahl des Auftragsverarbeiters ergibt sich auch, dass der
Verantwortliche den Auftragsverarbeiter überwachen muss. Er muss sich wie bisher Gewiss-
heit darüber verschaffen, dass der Auftragsverarbeiter alle technischen und organisatori-
schen Maßnahmen einhält, die zum Schutz der betroffenen personenbezogenen Daten ge-
troffen wurden. Neu ist, dass der Verantwortliche hierfür Verhaltensregeln oder Zertifizierun-
gen heranziehen kann und nicht mehr zwingend eine Vorort-Kontrolle erfolgen muss (vgl.
bisher § 7 Absatz 2 Satz 3 Sächsisches Datenschutzgesetz). Sofern dies nicht ausreichend
erscheint oder keine Verhaltensregeln oder Zertifizierungen vorliegen, muss der Verantwort-
liche die Kontrollen wie bisher durchführen, also insbesondere vor Ort gehen und die ge-
troffenen technischen und organisatorischen Maßnahmen sowie deren Einhaltung überprü-
fen.
Erteilung dokumentierter Weisungen an den Auftragsverarbeiter
Nach Artikel 29 Datenschutz-Grundverordnung verarbeitet der Auftragsverarbeiter die per-
sonenbezogenen Daten auf Weisung des Verantwortlichen. Vertraglich zu regeln ist, dass
die Verarbeitung nur auf der Grundlage dokumentierter Weisungen erfolgt. Damit besteht
seitens des Verantwortlichen auch die Pflicht, die Weisungen in dokumentierbarer Form zu
erteilen. Dies liegt auch im eigenen Interesse des Verantwortlichen. Insbesondere bei Da-
tenschutzverstößen und daraus resultierenden Schadenersatzansprüchen betroffener Per-
sonen kann es für die Schadensverteilung im Innenverhältnis zwischen Verantwortlichem
und Auftragsverarbeiter auf den Wortlaut einer Weisung und darauf ankommen, ob sich der
Auftragsverarbeiter an die Weisung gehalten hat oder nicht.
9.3.2 Rechte und Pflichten des Auftragsverarbeiters
Die Datenschutz-Grundverordnung nimmt den Auftragsverarbeiter stärker in die Pflicht zur
Einhaltung des Datenschutzrechts, als dies nach bisherigem Recht der Fall war. Sie begrün-
det an mehreren Stellen selbständige datenschutzrechtliche Pflichten des Auftragsverarbei-
ters. Zu nennen sind insbesondere
die Pflicht zum Führen eines Verfahrensverzeichnisses (vgl. Artikel 30 Absatz 2 Da-
tenschutz-Grundverordnung),
die Pflicht zur Zusammenarbeit mit der Datenschutzaufsicht (vgl. Artikel 31 Daten-
schutz-Grundverordnung),
das Ergreifen technischer und organisatorischer Maßnahmen der Datensicherheit
(vgl. Artikel 32 Absatz 1 Datenschutz-Grundverordnung),
die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (vgl. Artikel 37
Absatz 1 Datenschutz-Grundverordnung) und
die Beschränkungen für den Datentransfer in Drittländer (vgl. Artikel 44 Datenschutz-
Grundverordnung),
die Pflicht den Verantwortlichen zu informieren, wenn Weisungen nach Ansicht des
Auftragsverarbeiters gegen die Datenschutz-Grundverordnung oder andere Daten-
schutzbestimmungen verstoßen (vgl. Artikel 28 Absatz 3 Satz 3 Datenschutz-
Grundverordnung),
die Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen (vgl. Arti-
kel 33 Absatz 2 Datenschutz-Grundverordnung).
Möchte der Auftragsverarbeiter einen weiteren Auftragsverarbeiter in Anspruch nehmen, so
darf er dies nur,

Seite
60
von
155
mit schriftlicher Genehmigung des Verantwortlichen (vgl. Artikel 28 Absatz 2 Daten-
schutz-Grundverordnung) und
unter Vereinbarung der gleichen Datenschutzstandards, die zwischen dem Verant-
wortlichen und ihm gelten.
Wenn ein Auftragsverarbeiter Mittel und Zweck der Verarbeitung entgegen der Datenschutz-
Grundverordnung selbst bestimmt, gilt er als Verantwortlicher mit allen daraus erwachsen-
den Rechten und Pflichten (vgl. Artikel 28 Absatz 10 Datenschutz-Grundverordnung).
9.4
Haftung des Verantwortlichen und des Auftragsverarbeiters
Mit der Datenschutz-Grundverordnung ändert sich das bisherige Haftungsregime. Bisher hat
nach § 23 Absatz 1 Sächsisches Datenschutzgesetz bei Datenschutzverstößen der Träger
der öffentlichen Stelle, die einem Betroffenen einen Schaden zugefügt hat, hierfür gehaftet.
Da der Auftragsverarbeiter quasi als verlängerter Arm der öffentlichen Stelle angesehen
wurde, hatte der Träger der öffentlichen Stelle im Außenverhältnis auch für dessen Fehlver-
halten einzustehen.
Nunmehr bestimmt Artikel 82 Absatz 1 Datenschutz-Grundverordnung, dass eine betroffene
Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller
oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den
Verantwortlichen oder den Auftragsverarbeiter hat. Verantwortlicher und Auftragsverarbeiter
haften für einen Schaden, für den sie mitverantwortlich sind, gegenüber der betroffenen Per-
son in voller Höhe (Artikel 82 Absatz 4 Datenschutz-Grundverordnung).
Im Innenverhältnis kann ein Ausgleich je nach der Höhe des Anteils an der Verantwortung
für den verursachten Schaden geltend gemacht werden. Eine Haftung des Auftragsverarbei-
ters entfällt, wenn er
den sich aus der Datenschutz-Grundverordnung ergebenden Pflichten nachgekom-
men ist (z. B. ausreichend technisch-organisatorische Maßnahmen für die Datensi-
cherheit vorgesehen hat) und
er entsprechend den rechtmäßig erteilten Weisungen des Verantwortlichen und nicht
entgegen dieser Weisungen gehandelt hat.
Verantwortlicher oder Auftragsverarbeiter haften nicht, wenn sie nachweisen können, dass
sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwort-
lich sind.
10. Sonstige Verarbeitungssituationen
Im bisher geltenden Sächsischen Datenschutzgesetz wurden für verschiedene Verarbei-
tungssituationen spezielle Regelungen getroffen, z. B. zur Auftragsdatenverarbeitung, Vi-
deoüberwachung, Verarbeitung von Beschäftigtendaten oder zu automatisierten Abrufverfah-
ren. Nicht alle dieser Regelungen finden sich im Sächsischen Datenschutzdurchführungsge-
setz wieder. Da sich ein Teil dieser Verarbeitungssituationen auch unter Anwendung der
Vorschriften der Datenschutz-Grundverordnung bewältigen lassen, wurde kein Bedarf mehr
für diese Regelungen gesehen.
Im Einzelnen sind die aus dem Sächsischen Datenschutzgesetz bekannten besonderen
Verarbeitungssituationen nun wie folgt geregelt:

Seite
61
von
155
§ 7 Sächsisches Datenschutzgesetz – Auftragsdatenverarbeitung
Die bisherige Regelung ist aufgehoben worden. Nun gilt insbesondere Artikel 28 Daten-
schutz-Grundverordnung. Auf die Ausführungen zur Auftragsdatenverarbeitung hier [Link zu
Auftragsdatenverarbeitung] im Themenportal wird verwiesen.
§ 8 Sächsisches Datenschutzgesetz – Automatisiertes Abrufverfahren
Eine gesonderte Regelung zum automatisierten Abrufverfahren gibt es nicht mehr. Die Da-
tenschutz-Grundverordnung ist technikneutral, sodass ihre allgemeinen datenschutzrechtli-
chen Vorgaben auch für Abrufverfahren gelten.
Lediglich die bisherige Verantwortlichkeit für die Rechtmäßigkeit eines Abrufes personenbe-
zogener Daten ist in § 6 Absatz 2 des neuen Sächsischen Datenschutzdurchführungsgeset-
zes geregelt worden. Dabei wurde an der bisherigen Ausgestaltung, wonach die abrufende
Stelle die Verantwortung trägt, festgehalten.
§ 32 Sächsisches Datenschutzgesetz – Fernmessen und Fernwirken
Die in § 32 Sächsisches Datenschutzgesetz geregelten Verarbeitungssituationen waren spe-
zielle technische Verarbeitungen personenbezogener Daten. Da die Datenschutz-
Grundverordnung technikneutral ist und einen umfassenden Verarbeitungsbegriff enthält,
gelten für die hier relevanten Verarbeitungssituationen nun die allgemeinen Regelungen der
Datenschutz-Grundverordnung, so insbesondere die Regelungen für die Zulässigkeit der
Verarbeitung personenbezogener Daten nach Artikel 6 Datenschutz-Grundverordnung, die
Einwilligung nach Artikel 7 Datenschutz-Grundverordnung oder die Informationspflichten
nach Artikel 13 Datenschutz-Grundverordnung.
§ 33 Sächsisches Datenschutzgesetz – Videoüberwachung und Videoaufzeichnung
Das Sächsische Datenschutzdurchführungsgesetz enthält mit § 13 eine Regelung zur Vi-
deoüberwachung. Hierzu wird auf die speziellen Ausführungen zur Videoüberwachung hier
[Link zu Videoüberwachung] im Themenportal verwiesen.
§ 34 Sächsisches Datenschutzgesetz – Automatisierte Einzelentscheidungen
Die Vorschrift zu automatisierten Einzelentscheidungen ist entfallen. Hierzu enthält Artikel 22
der Datenschutz-Grundverordnung die nun anzuwendenden Regelungen.
§ 35 Sächsisches Datenschutzgesetz – Mobile personenbezogene Datenverarbeitungsme-
dien
Die Regelung ist entfallen. Es handelt sich um eine „normale“ Datenverarbeitung, weshalb
nun die allgemeinen Regelungen der Datenschutz-Grundverordnung gelten, also insbeson-
dere die Regelungen für die Zulässigkeit der Verarbeitung personenbezogener Daten nach
Artikel 6 Datenschutz-Grundverordnung, die Einwilligung nach Artikel 7 Datenschutz-
Grundverordnung
oder
die
Informationspflichten
nach
Artikel
13
Datenschutz-
Grundverordnung.

Seite
62
von
155
§ 36 Sächsisches Datenschutzgesetz – Verarbeitung personenbezogener Daten zu Zwecken
der wissenschaftlichen Forschung
Eine der bisherigen Norm entsprechende Regelung ist mit § 12 Sächsisches Datenschutz-
durchführungsgesetz beibehalten worden. Hierzu wird auf die speziellen Ausführungen zur
Verarbeitung für Forschungszwecke hier [Link zu Verarbeitung für Forschungs-, Archiv- und
Statistikzwecke] im Themenportal verwiesen.
§ 37 Sächsisches Datenschutzgesetz – Schutz von Beschäftigtendaten im öffentlichen
Dienst
Mit § 11 Sächsisches Datenschutzdurchführungsgesetz ist eine der bisherigen Norm ent-
sprechende Regelung beibehalten worden. Inhaltliche Änderungen haben sich dabei nicht
ergeben.
10.1
Videoüberwachung
Die Zulässigkeit der Videoüberwachung ist nun in § 13 Sächsisches Datenschutzdurchfüh-
rungsgesetz geregelt. Wie der bisherige § 33 Sächsisches Datenschutzgesetz lässt auch §
13 Sächsisches Datenschutzdurchführungsgesetz die Videoüberwachung zur
Wahrneh-
mung einer im öffentlichen Interesse liegenden Aufgabe oder zur Wahrung des Haus-
rechts
zu. Unter dem Blickwinkel der Verhältnismäßigkeit ist – wie bisher - die im öffentli-
chen Interesse liegende Aufgabe mit den schutzwürdigen Interessen der betroffenen Person
abzuwägen.
Die Videoüberwachung muss auch wie bisher dem Grundsatz der
Transparenz
entspre-
chen, insbesondere sind die betroffenen Personen entsprechend zu informieren.
Neu
ist je-
doch eine ausdrückliche Regelung in § 13 Sächsisches Datenschutzdurchführungsgesetz,
wonach in der Information über die Videoüberwachung auch darauf
hinzuweisen ist, wo die
betroffene Person die weiteren Informationen nach Artikel 13 Datenschutz-
Grundverordnung erhalten kann
.
Die bisherige Pflicht zur Vorabkontrolle nach § 10 Absatz 4 Nummer 3 Sächsisches Daten-
schutzgesetz, sofern von der Videoüberwachung auch Beschäftigte betroffen sind, ist mit
Inkrafttreten der Datenschutz-Grundverordnung entfallen.
Die der bisherigen Vorabkontrolle ähnliche Datenschutz-Folgenabschätzung nach Artikel 35
der Datenschutz-Grundverordnung erhöht in Konstellationen, in denen die Datenverarbei-
tung ein erhöhtes Eingriffspotential aufweist, den Schutz. Dem Wortlaut der Datenschutz-
Grundverordnung kann entnommen werden, dass die Notwendigkeit einer Datenschutz-
Folgenabschätzung zwar nicht generell bei jeder Videoüberwachung erforderlich ist, jedoch
dann, wenn eine
„systematische“
und
„umfangreiche“
Überwachung stattfindet. Diese Begrif-
fe lassen einen erheblichen Interpretationsspielraum zu. Gemäß Artikel 35 Absatz 4 der Da-
tenschutz-Grundverordnung ist es Aufgabe der jeweiligen Aufsichtsbehörden, eine Liste mit
Datenverarbeitungsprozessen zu erstellen, die einer Datenschutz-Folgenabschätzung un-
terworfen werden müssen. Denkbar ist, dass hier die Begriffe
„systematisch“
und
„umfang-
reich“
in einer Form ausgelegt werden, die dazu führt, dass faktisch jede Videoüberwachung
einer besonderen Kontrolle unterliegt.
Insofern kann an dieser Stelle noch keine verbind-
liche Aussage darüber getroffen werden, ob bei jeder Videoüberwachung eine Daten-
schutz-Folgenabschätzung durchgeführt werden muss.
Jede öffentliche Stelle, die Videoüberwachung einsetzt, muss auch schon heute im Verfah-
rensverzeichnis die Prüfung der Zulässigkeit dokumentiert haben (§ 10 Absatz 1 Sächsi-
sches Datenschutzgesetz). In dem nach der Datenschutz-Grundverordnung zu erstellenden

Seite
63
von
155
Verarbeitungsverzeichnis
nach Artikel 30 der Datenschutz-Grundverordnung ist die Video-
überwachung ebenfalls auszuweisen.
Was ist zu tun?
Bestehende Dokumentationen zur Videoüberwachung überprüfen (insbesondere Ver-
fahrensverzeichnis) und ggf. anpassen
Hinweisschilder überprüfen und ggf. anpassen, evt. Verweis auf Homepage der öf-
fentlichen Stelle, auf der dann die Informationen nach Artikel 13 Datenschutz-
Grundverordnung zu finden sind (ein Muster eines Hinweisschildes finden Sie hier
[Muster eines Hinweisschildes, Anlage 8).
Homepage mit den Informationen nach Artikel 13 Datenschutz-Grundverordnung ein-
richten
bestehende Dienstvereinbarungen zur Videoüberwachung überprüfen und ggf. an-
passen
10.2 Verarbeitung für Forschungs-, Archiv- und Statistikzwecke
10.2.1 Vorgaben der Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung spricht die Verarbeitung personenbezogener Daten zu im
öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen For-
schungszwecken oder zu statistischen Zwecken in unterschiedlichen Zusammenhängen an.
Die Regelungen zeigen, dass diese Forschungs-, Archiv- und Statistikzwecke gegenüber
anderen Verarbeitungszwecken privilegiert werden, wenn bestimmte Rahmenbedingungen
eingehalten werden.
Im Einzelnen sind folgende zentrale Vorgaben der Datenschutz-Grundverordnung zu nen-
nen:
Geeignete Garantien für die Rechte und Freiheiten betroffener Personen
Artikel 89 Absatz 1 Datenschutz-Grundverordnung verlangt für die Verarbeitung personen-
bezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen
oder historischen Forschungszwecken oder statistischen Zwecken geeignete Garantien für
die Rechte und Freiheiten der betroffenen Person. Technische und organisatorische Maß-
nahmen sollen insbesondere die Einhaltung des Grundsatzes der Datenminimierung sicher-
stellen.
Die Vorschrift greift damit noch einmal ohnehin geltende allgemeine Vorgaben der Daten-
schutz-Grundverordnung auf. So ist der Grundsatz der Datenminimierung bereits in Artikel 5
Absatz 1 Buchstabe c Datenschutz-Grundverordnung enthalten. Technische und organisato-
rische Maßnahmen sind durch den Verantwortlichen nach Artikel 25 Absatz 1 Datenschutz-
Grundverordnung zu treffen. Eine nähere Ausgestaltung der Maßnahmen ergibt sich aus
Artikel 32 Absatz 1 Datenschutz-Grundverordnung, in dem auch die Pseudonymisierung an-
gesprochen wird.
Die Zwecke, für die geeignete Garantien getroffen werden sollen (z. B. die Datenminimie-
rung), werden in Artikel 89 Absatz 1 der Datenschutz-Grundverordnung nicht abschließend
aufgeführt. Auch die weiteren allgemeinen Verarbeitungsgrundsätze nach Artikel 5 Daten-
schutz-Grundverordnung, wie beispielsweise die Vertraulichkeit und Integrität der Daten,
sind daher zu beachten.

Seite
64
von
155
Artikel 89 Absatz 1 Datenschutz-Grundverordnung stellt daher noch einmal klar, dass die
allgemeinen Vorgaben der Datenschutz-Grundverordnung auch bei der Verarbeitung zu den
privilegierten Zwecken gelten. Der Grundsatz der Datenminimierung und die Pseudonymisie-
rung von Daten werden noch einmal betont, ohne dass damit aber die anderen Verarbei-
tungsgrundsätze und technisch-organisatorischen Maßnahmen außer Acht gelassen werden
dürfen.
Zweckänderung
Artikel 5 Absatz 1 Buchstabe b Datenschutz-Grundverordnung durchbricht für die Weiterver-
arbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke,
wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke den Grund-
satz der Zweckbindung. Eine Weiterverarbeitung personenbezogener Daten für diese Zwe-
cke gilt nicht als unvereinbar mit dem ursprünglichen Zweck.
Allerdings ist diese Lockerung des Zweckbindungsgrundsatzes nicht schrankenlos. Insbe-
sondere ist Artikel 89 Absatz 1 Satz 4 Datenschutz-Grundverordnung zu beachten. Eine
Weiterverarbeitung personenbezogener Daten zu den genannten Zwecken ist nur dann zu-
lässig, wenn der Verantwortliche zuvor geprüft und ausgeschlossen hat, dass die privilegier-
ten Zielsetzungen auch mit anonymisierten Daten zu erreichen sind.
Speicherung
Die in Artikel 5 Absatz 1 Buchstabe e Datenschutz-Grundverordnung normierte Speicherbe-
grenzung sieht vor, dass personenbezogene Daten nur in einer Form gespeichert werden
dürfen, die die Identifizierung der Person nur solange ermöglicht, wie es für die Zwecke der
Verarbeitung erforderlich ist. Personenbezogene Daten für im öffentlichen Interesse liegende
Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwe-
cke dürfen dagegen länger gespeichert werden.
Betroffenenrechte
Die in der Datenschutz-Grundverordnung angelegte Privilegierung der Verarbeitung perso-
nenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche
oder historische Forschungszwecke oder statistische Zwecke wird auch dadurch deutlich,
dass die Datenschutz-Grundverordnung – ohne dass es hierfür einer Regelung im Bundes-
oder Landesrecht bedarf – Betroffenenrechte einschränkt.
Zu nennen sind folgende Vorschriften:
Artikel 14 Absatz 5 Buchstabe b Datenschutz-Grundverordnung: Einschränkung der
Informationspflicht bei der Erhebung personenbezogener Daten bei einem Dritten
und bei Weiterverarbeitung dieser Daten;
Artikel 17 Absatz 3 Buchstabe d Datenschutz-Grundverordnung: Einschränkung des
Rechts auf Löschung personenbezogener Daten.
Daneben lässt Artikel 89 Absatz 2 und 3 Datenschutz-Grundverordnung weitere Ausnahmen
von den Betroffenenrechten zu. Hierfür müssen jedoch landesrechtliche Regelungen getrof-
fen werden. Inwieweit der sächsische Gesetzgeber derartige Regelungen erlassen hat, wird
in nachfolgender Darstellung der Ergänzungen durch landesrechtliche Regelungen ausge-
führt.

Seite
65
von
155
10.2.2 Ergänzungen durch landesrechtliche Regelungen
Die Datenschutz-Grundverordnung eröffnet dem Landesgesetzgeber die Möglichkeit, spezi-
elle Regelungen für die Verarbeitung personenbezogener Daten zu im öffentlichen Interesse
liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu
statistischen Zwecken beizubehalten oder neu aufzunehmen. In den landesrechtlichen Re-
gelungen des Freistaates Sachsen wurden folgende Änderungen vorgenommen:
Archivwesen
Die bisher geltenden Vorschriften betreffend die Verarbeitung personenbezogener Daten zu
im öffentlichen Interesse liegenden Archivzwecken werden beibehalten. Daher sind in das
Gesetz zur Anpassung landesrechtlicher Vorschriften an die Datenschutz-Grundverordnung
entsprechende Anpassungen an die Datenschutz-Grundverordnung aufgenommen worden.
Zu verweisen ist zum einen auf § 7 Sächsisches Datenschutzdurchführungsgesetz. Dieser
stellt klar, dass – wie auch bisher – die Anbietungspflicht von Unterlagen gegenüber dem
Sächsischen Staatsarchiv oder anderen Archiven öffentlicher Stellen (vgl. Dritter Abschnitt
des Archivgesetzes für den Freistaat Sachsen) datenschutzrechtlichen Pflichten zur Lö-
schung, Vernichtung oder Einschränkung der Verarbeitung vorgeht. Die Vorschrift steht in-
soweit auch im Einklang mit § 5 Absatz 2 Sächsisches Archivgesetz.
Zum anderen ist mit Artikel 25 des Gesetzes zur Anpassung landesrechtlicher Vorschriften
an die Datenschutz-Grundverordnung eine Anpassung auch der sonstigen archivrechtlichen
Vorschriften an die Datenschutz-Grundverordnung vorgenommen worden, wobei sich mate-
riell-rechtlich keine Änderungen ergeben. Insbesondere wird auch die bisherige Einschrän-
kung der Betroffenenrechte beibehalten.
Forschung
Allgemeine Regelungen für die Verarbeitung personenbezogener Daten zu Forschungszwe-
cken waren bereits in § 36 des Sächsischen Datenschutzgesetzes enthalten. Diese Vor-
schrift wird mit § 12 des Sächsischen Datenschutzdurchführungsgesetzes im Wesentlichen
beibehalten.
Enthalten ist außerdem eine Einschränkung der Betroffenenrechte. Die Rechte auf Auskunft,
Berichtigung, Einschränkung der Verarbeitung und Widerspruch bestehen nicht, wenn durch
ihre Geltendmachung der spezifische Forschungszweck unmöglich gemacht oder ernsthaft
beeinträchtigt würde.
Statistik
Die Vorgaben zur Verarbeitung personenbezogener Daten zu statistischen Zwecken sind
ebenfalls nicht grundlegend geändert worden. Die Vorschriften des Sächsischen Statistikge-
setzes wurden jedoch an die Regelungen der Datenschutz-Grundverordnung angepasst (vgl.
Artikel 26 des Gesetzes zur Anpassung landesrechtlicher Vorschriften an die Datenschutz-
Grundverordnung).
Neu ist eine Einschränkung von Betroffenenrechten, vgl. § 20 Absatz 2 des Sächsischen
Statistikgesetzes. Zu beachten ist darüber hinaus, dass der für eine Statistik zu Befragende
zum einen über die in § 20 Absatz 1 des Sächsischen Statistikgesetzes angeführten Aspekte
zu unterrichten ist. Zum anderen muss aber auch der Informationspflicht nach Artikel 13 Da-
tenschutz-Grundverordnung nachgekommen werden.

Seite
66
von
155
10.3 Gemeinsam Verantwortliche
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung
fest, sind sie nach Artikel 26 Absatz 1 Datenschutz-Grundverordnung gemeinsam Verant-
wortliche. Diese werden auch Joint Controller genannt. Artikel 26 Datenschutz-
Grundverordnung ist weder eine Rechtsgrundlage für eine Verarbeitung durch mehrere Ver-
antwortliche, noch braucht es eine Rechtsgrundlage dafür, dass sich mehrere Verantwortli-
che zusammenschließen. Wichtig ist jedoch, dass jeder der Verantwortlichen, der im Rah-
men der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, für diese
Verarbeitung eine eigene Rechtsgrundlage hat. Ein praktischer Anwendungsfall können zum
Beispiel E-Government-Portale sein, bei dem mehrere Behörden Dokumente zum Abruf
durch Bürger bereitstellen. Der Betreiber des Portals und die jeweilige Behörde können je
nach Ausgestaltung gemeinsam Verantwortliche sein, so z. B., wenn der Portalbetreiber die
Anfragen der Bürger an die zuständige Behörde weiterleitet und die Dokumente mit perso-
nenbezogenen Daten, die im Portal aufbewahrt werden, zu anderen Zwecken (z. B. zur Un-
terstützung von elektronischen Behördendiensten) verarbeitet.
Zwischen den Verantwortlichen muss insbesondere eine Absprache darüber getroffen wer-
den, zu welchem Zweck die gemeinsame Verarbeitung personenbezogener Daten stattfin-
den soll und durch welche Technik und Methoden die personenbezogenen Daten verarbeitet
werden sollen. Die Vereinbarung muss dabei in transparenter Form festlegen, wer welche
Verpflichtungen nach der Datenschutz-Grundverordnung erfüllt.
Regelungsgegenstand der Vereinbarung sollten folgende Pflichten der Datenschutz-
Grundverordnung sein:
-
Festlegung des Zwecks und der Mittel der Datenverarbeitung
-
Festlegung der Art der personenbezogenen Daten
-
Artikel 26 Absatz 1: Festlegung in einer Vereinbarung in transparenter Form, wer
welche Verpflichtung gemäß dieser Verordnung erfüllt. Die Vereinbarung muss die
jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortli-
chen gegenüber betroffenen Personen gebührend widerspiegeln
-
Artikel 26 Absatz 1 optional: Angabe einer Anlaufstelle für die betroffenen Personen.
-
Artikel 26 Absatz 2: Das Wesentliche der Vereinbarung wird dem Betroffenen zur Ver-
fügung gestellt
-
Artikel 27: Schriftliche Benennung eines Vertreters in der EU, falls ein Verantwortli-
cher nicht in der Union niedergelassen ist
-
Artikel 13: Informationspflicht bei Erhebung personenbezogener Daten
-
Artikel 14: Informationspflicht, wenn Daten nicht bei der betroffenen Person erhoben
wurden
-
Artikel 15: Bearbeitung von Auskunftsverlangen
-
Artikel 16: Bearbeitung von Berichtigungsanfragen
-
Artikel 17 oder 18: Bearbeitungen von Löschbegehren oder Beschränkung der Verar-
beitung und Artikel 19 Mitteilung der Löschpflicht
-
Artikel 20: Abwicklung von Herausgabeverlangen (Datenportabilität)
-
Artikel 21: Bearbeitung von Widersprüchen
-
Artikel 24 Absatz 1 i.V. m. Artikel 32: Festlegung der techn.-org. Maßnahmen nach
Risikoabschätzung und ggf. Datenschutzfolgeabschätzung (Artikel 35) und Konsulta-
tion einer Aufsichtsbehörde/ Übermittlung der notwendigen Informationen (Artikel 36
Absatz 3)
-
Artikel 24 Absatz 1: Dokumentation der Auswahl der technischen und organisatori-
schen Maßnahmen (als Nachweis)
-
Artikel 24 Absatz 1: Überprüfung und Aktualisierung der Maßnahmen
-
Artikel 28: Einschaltung von Auftragsverarbeitern bzw. Unterauftragsverarbeitern und
deren Überprüfung

Seite
67
von
155
-
Artikel 30: Führung des Verzeichnisses der Verarbeitungstätigkeiten
-
Artikel 33, 34: Prozess bei meldepflichtigen Datenpannen
-
Artikel 37: Benennung eines Datenschutzbeauftragten
Die Datenschutzkonferenz hat in Bezug auf Gemeinsam Verantwortliche ein Kurzpapier ver-
öffentlicht. [Link zum Kurzpapier der DSK].
11. Anpassung von Verwaltungsvorschriften, Satzungen, Dienstvereinbarungen etc.
Die unmittelbare Geltung der Datenschutz-Grundverordnung führt dazu, dass sie als europä-
isches und damit höherrangiges Recht nationalen Rechts- und Verwaltungsvorschriften,
Staatsverträgen oder Kollektivvereinbarungen vorgeht. Das hat zur Folge, dass alle Rege-
lungen, die nicht mit der Datenschutz-Grundverordnung vereinbar sind, nicht mehr ange-
wendet werden dürfen. Daraus ergibt sich die Erforderlichkeit, alle genannten Regelungen
dahingehend zu überprüfen, ob sie die Vorgaben der Datenschutz-Grundverordnung erfül-
len. Ggf. sind Vorschriften aufzuheben oder an die Datenschutz-Grundverordnung anzupas-
sen.
Dieser Anpassungsprozess ist noch nicht abgeschlossen, auch wenn bereits Gesetze und
Verordnungen auf Bundes- und Landesebene novelliert wurden. Für noch anzupassende
datenschutzrechtliche Vorschriften ist eine Prüfung dahingehend erforderlich, ob sie Bezug-
nahmen auf das Sächsische Datenschutzgesetz oder ggf. andere geänderte oder sich in
einem Änderungsverfahren befindliche datenschutzrechtliche Vorschriften enthalten. Auch
insofern sollte eine Anpassung der Regelungen erfolgen.
Folgendes Vorgehen wird empfohlen:
erster Schritt: Normenscreening
In einem ersten Schritt sollten im eigenen Zuständigkeitsbereich die Regelungen identifiziert
werden, die
dem Anwendungsbereich der Datenschutz-Grundverordnung unterfallen und
Anforderungen an die Verarbeitung personenbezogener Daten enthalten oder auf
entsprechende Vorschriften Bezug nehmen oder Regelungen zu Betroffenenrechten
treffen.
Allgemeine Ausführungen zum Anwendungsbereich der Datenschutz-Grundverordnung fin-
den Sie hier [Link zur Seite „Datenschutz-Grundverordnung“]. Beispiele für im Rahmen des
Normenscreenings zu identifizierende Regelungen sind in folgender Übersicht [Link auf Do-
kument zu Regelungen, die Anforderungen an die Verarbeitung personenbezogener Daten
enthalten, Anlage 9] zusammengestellt.
zweiter Schritt: Konformitätsprüfung
Alle im Normenscreening identifizierten Regelungen sind daraufhin zu überprüfen, ob sie mit
den Vorgaben der Datenschutz-Grundverordnung vereinbar sind. Hierfür sollten zunächst die
Vorschriften der Datenschutz-Grundverordnung ermittelt werden, die mit den betroffenen
Regelungen korrespondieren.
Wiederholungsverbot

Seite
68
von
155
Danach ist zu prüfen, ob die betroffenen Regelungen dem Wortlaut oder vollinhaltlich der
korrespondierenden Vorschrift der Datenschutz-Grundverordnung entsprechen. Wenn dies
der Fall ist, ist das europarechtliche Wiederholungsverbot zu beachten.
Das europarechtliche Wiederholungsverbot wurde in der Rechtsprechung des EuGH entwi-
ckelt. Es soll verhindern, dass die unmittelbare Geltung einer Verordnung verschleiert wird,
indem durch die Wiederholung von Verordnungsnormen der Anschein erweckt wird, dass der
Landesgesetzgeber Urheber des Rechtsaktes ist. Nach Erwägungsgrund 8 der Datenschutz-
Grundverordnung sind Abweichungen vom Wiederholungsverbot daher nur in engen Gren-
zen zulässig. Eine Wiederholung von Verordnungsbestimmungen in nationalen Rechtsvor-
schriften kommt nur dann in Betracht, wenn sie die Möglichkeit nationaler Präzisierungen
oder Einschränkungen einräumen und damit im sachlichen Zusammenhang stehen, und so-
weit sie erforderlich sind, um den inhaltlichen Zusammenhang zu wahren und die nationalen
Vorschriften für die Personen, für die sie gelten, verständlicher zu machen.
Werden Regelungen identifiziert, die dem Wortlaut oder vollinhaltlich der Datenschutz-
Grundverordnung entsprechen, ist daher zu prüfen, ob sie unter Berücksichtigung o. a. Krite-
rien ausnahmsweise beibehalten werden können. Ist dies nicht der Fall, sind sie zu strei-
chen.
Hier ein Beispiel:
Die Regelung in § 4 Absatz 1 Sächsisches Datenschutzgesetz wurde aufgrund des Wieder-
holungsverbotes gestrichen.
Die Vorschrift lautet: „Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn 1.
dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder 2. soweit der Betroffene
eingewilligt hat.“
Diese Vorschrift entspricht den Regelungen in Artikel 6 Datenschutz-Grundverordnung. Nach
Artikel 6 Absatz 1 Buchstabe a Datenschutz-Grundverordnung ist eine Verarbeitung mit Ein-
willigung der betroffenen Person rechtmäßig. Die Zulässigkeit der Verarbeitung aufgrund
eines Gesetzes oder einer Rechtsvorschrift ergibt sich aus Artikel 6 Absatz 1 Buchstabe c
und e in Verbindung mit Absatz 3 Satz 1 Datenschutz-Grundverordnung.
Materiell-rechtliche Prüfung
Die verbleibenden Regelungen sind daraufhin zu kontrollieren, ob ihr materiell-rechtlicher
Regelungsgehalt von dem der korrespondierenden Norm der Datenschutz-Grundverordnung
abweicht. Ist dies der Fall, ist zu prüfen, ob eine Öffnungsklausel greift. Die Regelung muss
den Voraussetzungen der Öffnungsklausel entsprechen, ggf. ist die betroffene Regelung
anzupassen. Wenn keine Öffnungsklausel vorhanden ist oder die Norm nicht an die Vorga-
ben einer Öffnungsklausel angepasst werden kann, ist die Norm zu streichen.
Die wesentlichen Öffnungsklauseln und kurze Erläuterungen zu den Regelungsspielräumen
finden Sie hier [Link zu Dokument zu Öffnungsklauseln und Regelungsspielräume, Anlage
10].
dritter Schritt: Ermittlung sonstigen Änderungsbedarfs
Da die Datenschutz-Grundverordnung innerhalb ihrer Öffnungsklauseln Regelungsspielräu-
me belässt, sollte auch geprüft werden, ob es erforderlich ist, von diesen unabhängig von
bereits bestehenden Regelungen Gebrauch zu machen. So kann es beispielsweise sinnvoll
sein zu prüfen, ob Abweichungen von dem Verbot des Artikels 9 Absatz 1 Datenschutz-

Seite
69
von
155
Grundverordnung, besondere Kategorien personenbezogener Daten zu verarbeiten, erfor-
derlich sind. Sollte dies der Fall sein, wären die Vorgaben des Artikels 9 Absatz 2 Daten-
schutz-Grundverordnung zu beachten.
Ein weiterer Änderungsbedarf kann sich dadurch ergeben, dass eine Angleichung an die
Begriffsbestimmungen in Artikel 4 Datenschutz-Grundverordnung zur Vermeidung von sys-
tematischen Brüchen erforderlich ist. Eine Zusammenstellung der wesentlichen Änderungen
der Begrifflichkeiten finden Sie hier [Link zu Dokument geänderte Begriffe in der Daten-
schutz-Grundverordnung, Anlage 11].
Darüber hinaus wird sich in vielen Fällen ein Änderungsbedarf nicht unmittelbar durch den
Regelungsgehalt der Datenschutz-Grundverordnung ergeben, sondern z. B. durch überholte
Bezugnahmen auf das allgemeine Datenschutzrecht oder sonstige datenschutzrechtliche
Regelungen. Diese Bezugnahmen sollten ebenfalls angepasst werden. Teilweise wird dabei
neu
eine
Bezugnahme
auf
die
entsprechenden
Vorschriften
der
Datenschutz-
Grundverordnung in Betracht kommen.
vierter Schritt: Erarbeitung der geänderten oder neuen Regelung/ Streichen von Regelungen
Auf der Grundlage des in den Schritten zwei und drei ermittelten Anpassungsbedarfs sind
die neuen bzw. geänderten Vorschriften zu erarbeiten oder Regelungen zu streichen.
IV.
Datenschutzaufsicht
Der Sächsische Datenschutzbeauftragte ist Aufsichtsbehörde im Sinne des Artikels 51 Ab-
satz 1 der Datenschutz-Grundverordnung. Dies ergibt sich im Hinblick auf die sächsischen
nicht-öffentlichen Stellen (z. B. Unternehmen, Vereine, Arztpraxen oder Internetanbieter) aus
§ 40 des Bundesdatenschutzgesetzes i. V. m. § 14 Absatz 2 des Sächsischen Datenschutz-
durchführungsgesetzes und im Hinblick auf die öffentlichen Stellen aus § 14 Absatz 1 des
Sächsischen Datenschutzdurchführungsgesetzes. Er kontrolliert und berät die öffentlichen
und nicht-öffentlichen Stellen im Freistaat Sachsen hinsichtlich der Einhaltung der daten-
schutzrechtlichen Regelungen.
Der Sächsische Datenschutzbeauftragte nimmt seine Aufgaben unabhängig wahr. Er handelt
weisungsfrei und ist nur dem Gesetz unterworfen. Nach § 15 Sächsisches Datenschutz-
durchführungsgesetz ist er eine oberste Staatsbehörde mit Dienstsitz in Dresden. Jährlich
berichtet er gegenüber dem Landtag in einem Tätigkeitsbericht über seine Arbeit.
Im öffentlichen Bereich, z. B. bei Staatsbehörden, dürfen der Sächsische Datenschutzbeauf-
tragte und seine Mitarbeiter nach § 19 Sächsisches Datenschutzdurchführungsgesetz wie
bisher jederzeit Diensträume betreten; auch muss ihnen wie bisher Zugang zu allen Daten-
verarbeitungsanlagen und -geräten gewährt werden. Außerdem darf der Sächsische Daten-
schutzbeauftragte, wenn er einen strafbewehrten Verstoß gegen eine Vorschrift über den
Datenschutz festgestellt hat, diesen wie bisher bei der zuständigen Behörde anzeigen.
Schließlich ist er nach § 22 Absatz 3 Sächsisches Datenschutzdurchführungsgesetz wie bis-
her die nach § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten zur Ahn-
dung von datenschutzrechtlichen Ordnungswidrigkeiten sachlich zuständige Verwaltungsbe-
hörde.
Die Tätigkeitsberichte des Sächsischen Datenschutzbeauftragten sowie weitere Informatio-
nen zu seiner Behörde, seiner Arbeit und zu datenschutzrechtlichen Fragen finden Sie hier
[link zum Internetauftritt des Sächsischen Datenschutzbeauftragten].

Seite
70
von
155
V.
Glossar
Aufsichtsbehörde
Jeder Mitgliedsstaat muss über eine Aufsichtsbehörde
(eine oder mehrere öffentliche Organe) verfügen, welche
die Anwendung dieser Verordnung überwacht. Im Frei-
staat Sachsen nimmt der Sächsische Datenschutzbeauf-
tragte diese Aufgabe wahr.
Auftragsverarbeiter
Begriff
nach
Artikel 4
Nummer
8
Datenschutz-
Grundverordnung, entspricht dem bisherigen Auftrag-
nehmer einer Auftragsdatenverarbeitung nach § 7 Säch-
sisches Datenschutzgesetz, ist eine natürliche oder juris-
tische Person, Behörde, Agentur oder andere Körper-
schaft, die im Auftrag des Verantwortlichen Daten verar-
beitet.
Beschäftigtendaten
Auch die Daten von Beschäftigten sind personenbezo-
gene Daten. Die Verarbeitung von Beschäftigtendaten ist
in § 11 Sächsisches Datenschutzdurchführungsgesetz
geregelt.
betroffene Person
Begriff
nach
Artikel 4
Nummer
1
Datenschutz-
Grundverordnung, entspricht dem bisherigen „Betroffe-
nen“ im Sinne von § 3 Absatz 1 Sächsisches Daten-
schutzgesetz
Dateisystem
Begriff
nach
Artikel 4
Nummer
6
Datenschutz-
Grundverordnung, entspricht dem bisherigen Dateibegriff
gemäß § 3 Absatz 7 Sächsisches Datenschutzgesetz
Daten von Kindern
Daten von Kindern unter 16 Jahren dürfen nur verarbeitet
werden, wenn das Einverständnis eines Erziehungsbe-
rechtigten vorliegt. (Artikel 8 Absatz 1 Datenschutz-
Grundverordnung).
Datenschutzbeauftragter
Der Verantwortliche muss sicherstellen, dass der Daten-
schutzbeauftragte bei allen mit dem Schutz persönlicher
Daten zusammenhängenden Problemen korrekt und
zeitnah hinzugezogen wird. Betroffene Personen können
sich mit Fragen zur Verarbeitung ihrer Daten sowie um
die ihnen durch die Verordnung eingeräumten Rechte
auszuüben, direkt an den Datenschutzbeauftragten wen-
den. Die Kernaufgabe des Datenschutzbeauftragten liegt
darin, die Einhaltung der Vorgaben der Datenschutz-
Grundverordnung zu überwachen und den Aufsichtsbe-
hörden als Ansprechpartner zu dienen.
Datenschutz durch Technikge-
staltung (Privacy by Design, Pri-
vacy by Default)
Diese Grundsätze verpflichten die Verantwortlichen zu
Datenschutz durch Technikgestaltung bzw. durch daten-
schutzfreundliche Voreinstellungen, in dem sie geeignete
technische und organisatorische Maßnahmen treffen, die
dafür ausgelegt sind, die Datenschutzgrundsätze wirk-
sam umzusetzen und die sicherstellen, dass durch Vor-

Seite
71
von
155
einstellung grundsätzlich nur personenbezogene Daten,
deren Verarbeitung für den jeweiligen bestimmten Verar-
beitungszweck erforderlich sind, verarbeitet werden (Arti-
kel 25 Absatz 1 und 2 Datenschutz-Grundverordnung).
Datenschutz- Folgenabschät-
zung
Die Datenschutz-Grundverordnung sieht vor, dass der
Verantwortliche bei erhöhtem Datenschutzrisiko eine
Datenschutz-Folgeeinschätzung durchführt, um die Risi-
ken für die betroffene Person zu minimieren (Artikel 35
Absatz 1 Datenschutz-Grundverordnung). Im Wesentli-
chen entspricht die Datenschutz-Folgenabschätzung der
bisherigen datenschutzrechtlichen Vorabkontrolle gemäß
§ 10 Absatz 4 Sächsisches Datenschutzgesetz, die ent-
fallen ist.
Datenschutzverletzung
Ein Sicherheitsproblem, das versehentlich oder gesetz-
widrig zur Zerstörung, zum Verlust, zur Änderung oder
zur nicht autorisierten Offenlegung von gespeicherten,
übermittelten oder anderweitig verarbeiteten persönli-
chen Daten führt oder den Zugriff auf sie ermöglicht.
Datenübertragung
Eine Übertragung persönlicher Daten in ein Drittland o-
der an eine internationale Organisation sind statthaft,
wenn die Kommission bestimmt hat, dass das betreffen-
de Land, die Region oder anders spezifizierte Bereiche
des Drittlandes bzw. die internationale Organisation ein
angemessenes Datenschutzniveau sicherstellen können.
Eine solche Übertragung erfordert keine besondere Ge-
nehmigung.
Dritter
Eine natürliche oder juristische Person, Behörde, Einrich-
tung oder andere Stelle, außer der betroffenen Person,
dem Verantwortlichen, dem Auftragsverarbeiter und den
Personen, die unter der unmittelbaren Verantwortung
des Verantwortlichen oder des Auftragsverarbeiters be-
fugt sind, die personenbezogenen Daten zu verarbeiten
(Artikel 4 Nummer 10 Datenschutz-Grundverordnung)
Einschränkung der Verarbeitung
Begriff
nach
Artikel 4
Nummer
3
Datenschutz-
Grundverordnung, entspricht dem bisherigen Sperren
von Daten gemäß § 3 Absatz 2 Satz 2 Nummer 7 Säch-
sisches Datenschutzgesetz
Einwilligung
Ein aus freien Stücken von der betroffenen Person ge-
gebener, spezifischer, eindeutiger und auf entsprechen-
den Informationen basierender Hinweis (eine Aussage
oder eine als solche zu wertende Handlung), dass die
Person der Verarbeitung ihrer persönlichen Daten zu-
stimmt.
(Artikel
4
Nummer
11
Datenschutz-
Grundverordnung)
Empfänger
Ist eine natürliche oder juristische Person, Behörde, Ein-
richtung oder andere Stelle, der personenbezogene Da-

Seite
72
von
155
ten offengelegt werden, unabhängig davon, ob es sich
bei ihr um einen Dritten handelt oder nicht (Artikel 4
Nummer 9 Datenschutz-Grundverordnung). Damit wird
deutlich, dass insbesondere der Auftragsverarbeiter –
und nicht (nur) der ihn beauftragende Verantwortliche –
nun auch ein Empfänger von Daten ist.
Minimierung (Datenminimie-
rung)
Die erfassten persönlichen Daten sollen adäquat, rele-
vant und auf das für den vorgesehenen Verarbeitungs-
zweck absolut notwendige Minimum beschränkt werden.
(Artikel
5
Absatz
1
Buchstabe
c
Datenschutz-
Grundverordnung)
öffentliche Stelle
Öffentliche Stellen sind zum einen die Behörden des
Freistaates Sachsen, der Gemeinden und der Landkrei-
se. Zum anderen sind auch sonstige öffentliche Stellen
des Freistaates Sachsen, der Gemeinden und Landkrei-
se erfasst. Hierzu gehören insbesondere rechtlich un-
selbständige Eigenbetriebe wie beispielsweise gemeind-
liche Wasserwerke oder vom Landkreis betriebene Kran-
kenhäuser.
Darüber hinaus sind die der sonstigen Aufsicht des Frei-
staates Sachsen unterstehenden juristischen Personen
des öffentlichen Rechts als öffentliche Stellen anzuse-
hen. Dies sind beispielsweise Körperschaften, Anstalten
oder Stiftungen des öffentlichen Rechts, Hochschulen
oder Kammern.
personenbezogene Daten
Alle Daten, die sich auf eine bekannte oder identifizierba-
re natürliche Person (Betroffene Person) beziehen. Unter
einer identifizierbaren natürlichen Person versteht man
ein Individuum, das direkt oder indirekt identifiziert wer-
den kann. Das gilt vor allem mit Blick auf Kennungs-
merkmale
wie
Namen,
Identifikationsnummern,
Standortdaten und Online-IDs sowie einen oder mehrere
Faktoren, die sich auf die physische, psychologische,
genetische, mentale, wirtschaftliche, kulturelle oder sozi-
ale Identität dieser natürlichen Person beziehen. (Artikel
4 Nummer 1 Datenschutz-Grundverordnung). Die Ver-
ordnung gilt nicht für die personenbezogenen Daten
Verstorbener (Erwägungsgrund 27).
Pseudonymisierung
Ist die Verarbeitung personenbezogener Daten in einer
Weise, dass die personenbezogenen Daten nicht mehr
ohne zusätzliche, gesondert aufbewahrte und gegen
Zugriff gesicherte Informationen einer bestimmten oder
bestimmbaren Person zugeordnet werden können. (Arti-
kel 4 Nummer 5 Datenschutz-Grundverordnung)
Recht auf Auskunft
Die betroffene Person hat das Recht, vom Verantwortli-
chen Auskunft darüber zu erhalten, ob ihre persönlichen
Daten verarbeitet werden und, so das der Fall ist, Zugriff

Seite
73
von
155
auf diese sowie weitere Informationen nach Artikel 15
Absatz 1 Datenschutz-Grundverordnung zu erhalten.
Recht auf Berichtigung
Die betroffene Person hat das Recht, vom Datenverant-
wortlichen die Berichtigung seiner inkorrekten persönli-
chen Daten zu verlangen (Artikel 16 Datenschutz-
Grundverordnung), entspricht im Wesentlichen dem bis-
herigen Recht nach § 19 Sächsisches Datenschutzge-
setz.
Recht auf Löschung/
Recht auf Vergessenwerden
Recht
nach
Artikel
17
Absatz
1
Datenschutz-
Grundverordnung. Es gibt keine wesentlichen Änderun-
gen im Vergleich zum bisherigen § 20 Sächsisches Da-
tenschutzgesetz. Die wichtigsten Fallgruppen, in denen
die Löschung von Daten verlangt werden kann, bleiben
erhalten. Der Datenverantwortliche ist dann verpflichtet,
diese ebenfalls ohne unangemessene Verzögerung zu
löschen. Hat ein Verantwortlicher, der nach Artikel 17
Absatz 1 Datenschutz-Grundverordnung zur Löschung
von personenbezogenen Daten verpflichtet ist, diese
Daten zuvor öffentlich gemacht, so muss er die anderen
Verantwortlichen ermitteln und informieren.
Sensitive Daten oder besondere
Datenkategorien
Die Verarbeitung persönlicher Daten, die Aufschluss
über ethnische Herkunft, politische Ansichten, religiösen
oder philosophischen Glauben oder die Mitgliedschaft in
Gewerkschaften geben, bzw. die Verarbeitung geneti-
scher und biometrischer Daten sowie von Daten, die
Aufschluss über die Gesundheit, das Sexualleben und
die sexuelle Orientierung der Person geben, ist grund-
sätzlich untersagt. Ausnahmen sind insbesondere zuläs-
sig, wenn die betroffene Person ihre ausdrückliche Ein-
willigung erteilt hat oder wenn die Verarbeitung zum
Schutz lebenswichtiger Interesse der betroffenen Person
erforderlich ist. Ausnahmen können außerdem durch
Rechtsvorschriften zum Beispiel im Gesundheitswesen,
zu Archivzwecken oder aufgrund erhebliche öffentlicher
Interessen zugelassen sein. (Artikel 9 Datenschutz-
Grundverordnung)
Verantwortlicher, der für die
Verarbeitung Verantwortliche
Begriff
nach
Artikel 4
Nummer
7
Datenschutz-
Grundverordnung, entspricht der bisherigen verantwortli-
chen Stelle, datenverarbeitenden Stelle nach § 3 Absatz
3 Sächsisches Datenschutzgesetz
Verarbeiten
Begriff
nach
Artikel 4
Nummer
2
Datenschutz-
Grundverordnung, umfasst alle Phasen der Datenverar-
beitung, entspricht im Wesentlichen dem bisherigen Ver-
arbeitungsbegriff in § 3 Absatz 2 Sächsisches Daten-
schutzgesetz. Verarbeitung ist jede Art von Handlung,
die an persönlichen Daten (einzeln oder in Gruppen, au-
tomatisiert oder manuell) durchgeführt wird. Das bezieht
sich auf die Erfassung, Aufzeichnung, Organisation,

Seite
74
von
155
Strukturierung und Speicherung ebenso wie auf die An-
passung, Änderung, Abruf, Nutzung, Offenlegung durch
Übermittlung, Verbreitung oder Bereitstellung, Harmoni-
sierung und Integration, Beschränkung, Löschung und
Vernichtung.
Verarbeitungstätigkeit
Unter diesem Begriff ist die Gesamtheit an Verarbeitun-
gen zu verstehen, mit deren Hilfe eine Zweckbestim-
mung oder ein Bündel zusammengehöriger Zweckbe-
stimmungen realisiert wird. Es handelt sich also um eine
Vielzahl von einzelnen Verarbeitungsschritten, die für
eine oder mehrere zusammengehörende Zweckbestim-
mungen zusammengefasst werden, z. B. als ein Verfah-
ren. Eine Verarbeitungstätigkeit kann daher aus einer
Vielzahl an Programmen und Dateien bestehen. Die Da-
tenschutz-Grundverordnung definiert diesen Begriff nicht.
Verordnung
Eine EU-Verordnung hat im Gegensatz zu einer EU-
Richtlinie bindenden Charakter. Sie muss in der gesam-
ten EU befolgt werden.
Widerruf der Einwilligung
Die betroffene Person hat das Recht, ihre Einwilligung
jederzeit zu widerrufen. Der Widerruf hat keinen Einfluss
auf die Rechtmäßigkeit zu dem Zeitpunkt bereits erfolgter
Datenverarbeitungsaktivitäten. Vor Erteilung der Einwilli-
gung muss die betroffene Person hierüber informiert
werden. Der Widerruf muss genauso einfach erfolgen
können wie die Erteilung der Einwilligung (Artikel 7 Ab-
satz 3 Datenschutz-Grundverordnung)
Zweckbindung
Personenbezogene Daten dürfen grundsätzlich nur zu
einem bestimmten, offen dargelegten und rechtmäßigen
Zweck erfasst werden und keiner weiteren Verarbeitung
zugeführt werden, die mit diesem Zweck nicht überein-
stimmt. Die bisher im nach § 13 Absatz 2 in Verbindung
mit § 12 Absatz 4 Sächsisches Datenschutzgesetz zuge-
lassenen Zweckänderungen gelten nun auch nach § 4
Absatz 1 Sächsisches Datenschutzdurchführungsgesetz.
VI.
Arbeitshilfen, Übersichten
Datenschutz-Grundverordnung – Was ist zu tun? [Link zu Punkt III]
-
Checkliste Handlungserfordernisse bei der Anpassung an die Datenschutz-
Grundverordnung in der Behörde (Anlage 1)
-
Checkliste Melde- und Informationspflichten/Konsultationen (Anlage 2)
Anwendungsvorrang der Datenschutz-Grundverordnung [Link zu Punkt III 1.2]
-
Prüfungsreihenfolge für die Zulässigkeit einer Verarbeitung personenbezogener Da-
ten (Anlage 3)

Seite
75
von
155
Einwilligung – speziell in Bild- und Tonaufnahmen [Link zu Punkt III 3.2]
-
Merkblatt zur Anfertigung und Veröffentlichung von Bild- und Tonaufnahmen
mit Personenbezug durch Behörden (Anlage 3 a)
-
Hinweis für offene Veranstaltungen mit großer Teilnehmerzahl, Anlage 1 zum Merk-
blatt (Anlage 3 b)
-
Muster für eine Einwilligungserklärung für die Erstellung und Veröffentlichung von
Bild- und Tonaufnahmen (Anlage 3 c)
Datenschutzbeauftragter [Link zu Punkt III 4]
-
Checkliste Benennung eines Datenschutzbeauftragten (Anlage 4)
-
Merkblatt zu Mindestanforderungen an Qualifikation und Unabhängigkeit des Daten-
schutzbeauftragten (Anlage 5)
-
Checkliste Aufgaben des Datenschutzbeauftragten im Anpassungsprozess (Anlage
6)
Datengeheimnis und personelle Maßnahmen [Link zu Punkt III 5.5]
-
Merkblatt für öffentliche Stellen zur Verpflichtung zur Einhaltung des Datenschutzes
(Anlage 6a)
-
Muster für ein Formblatt zur Verpflichtung der Mitarbeiter zur Einhaltung des Daten-
schutzes (Anlage 6b)
Informationspflichten [Link zu Punkt III 6.1]
-
Merkblatt Informationspflichten und Formulare nach den Artikeln 13 und 14 Daten-
schutz-Grundverordnung (Anlage 6c)
Zulässigkeit der Auftragsverarbeitung [Link zu Punkt III 9.2]
-
Prüfschema Zulässigkeit der Auftragsverarbeitung (Anlage 7)
Videoüberwachung [Link zu Punkt III 10.1]
-
Muster Hinweisschild Videoüberwachung (Anlage 8)
Anpassung von Rechtsvorschriften, Satzungen, Dienstvereinbarungen etc. [Link zu Punkt III
11]
-
Beispielsregelungen, die Anforderungen an die Verarbeitung personenbezogener Da-
ten enthalten (Anlage 9)
-
Öffnungsklauseln und Regelungsspielräume (Anlage 10)
-
geänderte Begriffe in der Datenschutz-Grundverordnung (Anlage 11)

Seite
76
von
155
VII.
FAQ
Im FAQ erhalten Sie Antworten auf häufig gestellte Fragen, die sich in der Praxis vor allem
bei der Anpassung der Datenschutzorganisation an die Datenschutz-Grundverordnung und
der Anwendung der neuen Regelungen in der öffentlichen Stelle ergeben.
1. Einwilligung
Wann ist das Einholen einer Einwilligung erforderlich?
Das Einholen einer Einwilligung der betroffenen Person in die Verarbeitung ihrer personen-
bezogenen Daten ist nur dann erforderlich, wenn es für die Verarbeitung der personenbezo-
genen Daten keine andere rechtliche Grundlage gibt. Andere Rechtsgrundlagen können sich
insbesondere aus Rechtsvorschriften oder der Datenschutzgrundverordnung ergeben. In
Betracht kommen insbesondere
Rechtsvorschriften in einem Gesetz, einer Rechtsverordnung oder einer kommunalen
Satzung (Verwaltungsvorschriften sind nicht ausreichend),
Artikel 6 Absatz 1 Buchstabe b Datenschutz-Grundverordnung, wonach die Verarbeitung
personenbezogener Daten zulässig ist, wenn sie für die Erfüllung eines Vertrages mit
der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen erforderlich
ist oder
der Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natür-
lichen Person die Verarbeitung der personenbezogenen Daten erfordert (Artikel 6 Ab-
satz 1 Buchstabe d Datenschutz-Grundverordnung).
2. Datenschutzbeauftragter
Müssen Fraktionen, Gruppen, fraktions- oder gruppenlose Kreis- oder Gemeinderäte oder
jeder Kreis- oder Gemeinderat für sich einen Datenschutzbeauftragten bestellen?
Fraktionen, Gruppen, fraktions- oder gruppenlose Kreis- oder Gemeinderäte sind ebenso
wenig wie jeder Kreis- oder Gemeinderat für sich verpflichtet, einen eigenen Datenschutzbe-
auftragten zu bestellen. Sie unterfallen der Zuständigkeit des Datenschutzbeauftragten des
jeweiligen Landkreises bzw. der jeweiligen Gemeinde.
Nach Artikel 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung besteht die Pflicht zur
Bestellung eines Datenschutzbeauftragten, wenn die Verarbeitung personenbezogener Da-
ten von einer Behörde oder öffentlichen Stelle erfolgt. Was unter Behörden oder öffentlichen
Stellen zu verstehen ist, definiert die Datenschutz-Grundverordnung nicht. Nach § 2 Sächsi-
sches Datenschutzdurchführungsgesetz werden insbesondere die Behörden und sonstigen
öffentlichen Stellen des Freistaates Sachsen, der Gemeinden und der Landkreise als öffent-
liche Stellen angesehen.
Bei den Kreistagen und Gemeinderäten handelt es sich nicht um Parlamente und nicht um
Organe der Legislative, mithin nicht um selbständige öffentliche Stellen (anders z. B. beim
Landtag oder beim Bundestag). Vielmehr gehören die Kreistage und Gemeinderäte als Or-
gane der kommunalen Selbstverwaltung zur Exekutive, also zum Landkreis oder zu der Ge-
meinde, die die öffentliche Stelle ist. Das kann aus den Regelungen der Sächsischen Land-
kreisordnung und Sächsischen Gemeindeordnung abgeleitet werden. Nach § 23 Sächsische
Landkreisordnung ist der Kreistag das Hauptorgan des Landkreises. Er entscheidet über alle
grundlegenden Angelegenheiten des Landkreises und kann Grundsätze für die Verwaltung
des Landkreises festlegen (§ 24 Sächsische Landkreisordnung). Gleichartige Regelung ent-

Seite
77
von
155
halten §§ 27, 28 Sächsische Gemeindeordnung für die Gemeinderäte. Fraktionen, Gruppen
und Kreis- oder Gemeinderäte sind Teile des Kollegialorgans Kreistag oder Gemeinderat.
Im Ergebnis muss daher der Landkreis oder die Gemeinde einen Datenschutzbeauftragten
benennen. Dieser ist auch für das Kollegialorgan Kreistag oder Gemeinderat und damit auch
die Fraktionen oder Kreis- und Gemeinderäte zuständig.
3. Kontaktdaten
Unterliegen funktionsbezogene Kontaktdaten (z. B. dienstliche Kontaktdaten des Vertreters
einer bestimmten Behörde, Kontaktdaten eines Vereinsvorsitzenden, Name eines Geschäfts-
führers einer GmbH) dem Schutz der Datenschutz-Grundverordnung?
Der Schutz der Datenschutz-Grundverordnung bezieht sich auf die Verarbeitung personen-
bezogener Daten einer betroffenen Person. Was personenbezogene Daten sind und wer
eine betroffene Person ist, wird in Artikel 4 Nummer 1 Datenschutz-Grundverordnung defi-
niert. Hierzu gehören alle Informationen, die sich auf eine identifizierte oder identifizierbare
natürliche Person beziehen. Diese natürliche Person wird als betroffene Person bezeichnet.
Damit werden juristische Personen, aber auch Personenmehrheiten und -gruppen aus dem
Anwendungsbereich der Datenschutz-Grundverordnung ausgenommen. Beziehen sich funk-
tionsbezogene Kontaktdaten auf die juristische Person (z. B. Ansprechpartner in einer Be-
hörde, gesetzlicher Vertreter einer GmbH), unterliegen sie nicht dem Anwendungsbereich
der Datenschutz-Grundverordnung. Anders verhält es sich allerdings dann, wenn die jeweili-
ge Information auf eine natürliche Person durchschlägt.
Dies soll an folgenden Beispielen verdeutlicht werden:
Beispiel 1: Fördermittelvergabe an einen Sportverein
Gegenüber einem Sportverein wird ein Fördermittelbescheid erlassen. Gesetzlicher
Vertreter des Sportvereins ist der Vereinsvorsitzende, der im Bescheid auch nament-
lich als Vertreter des Vereins genannt wird.
In diesem Fall unterliegt die namentliche Nennung des Vereinsvorsitzenden nicht
dem Schutz der Datenschutz-Grundverordnung. Die im Fördermittelbescheid enthal-
tenen Informationen (z. B. dass Fördermittel in einer bestimmten Höhe ausgereicht
werden, unter welchen Bedingungen die Fördermittelvergabe erfolgt, welche Pflichten
den Fördermittelempfänger obliegen etc.) beziehen sich nicht auf den Vereinsvorsit-
zenden als Person sondern auf den Verein als juristische Person. Die namentliche
Angabe des Vereinsvorsitzenden erfolgt in Bezug auf den Verein, da er sein Vertreter
ist.
Beispiel 2: Ehrung von Vorsitzenden
Alle Vereinsvorsitzenden der sächsischen Sportvereine sollen in die Sächsische
Staatskanzlei zu einem Empfang zur Würdigung ihres Engagements eingeladen wer-
den. Es werden die Namen der Vereinsvorsitzenden und die Adressen der Vereine
für die Einladung zusammengestellt.
In diesem Fall greift die Datenschutz-Grundverordnung, denn die personenbezoge-
nen Informationen (z. B. Namen des Vereinsvorsitzenden, Einladung in die Sächsi-
sche Staatskanzlei) beziehen sich nicht auf den Verein sondern auf die Person des
Vereinsvorsitzenden.

Seite
78
von
155
Im Ergebnis kann die gestellte Frage daher nicht mit einem einfachen ja oder nein beantwor-
tet werden. Vielmehr kommt es immer darauf an, mit welchem Bezug eine personenbezoge-
ne Information verarbeitet wird.
4. Petitionen
Auf welcher Rechtsgrundlage beruht die Verarbeitung personenbezogener Daten bei der
Bearbeitung von Petitionen des Landtages?
Die Verarbeitung einer Petition im Landtag fällt nicht unter den Anwendungsbereich der Da-
tenschutz-Grundverordnung und des Sächsischen Datenschutzdurchführungsgesetzes. Der
Anwendungsbereich der Datenschutz-Grundverordnung ist nach Artikel 2 Absatz 2 Buchsta-
be a Datenschutz-Grundverordnung nicht eröffnet, da es sich bei der Bearbeitung von Petiti-
onen im Landtag um eine Tätigkeit handelt, die nicht in den Anwendungsbereich des Unions-
rechts fällt. Der Landtag wird sich eine eigene Datenschutzordnung geben, vgl. § 2 Absatz 1
Satz 3 und 4 Sächsisches Datenschutzdurchführungsgesetz. Bis dahin ist weiter das Säch-
sische Datenschutzgesetz anzuwenden, vgl. § 2 Absatz 2 Sächsisches Datenschutzgesetz.
Verlangt der Petitionsausschuss des Landtags Auskunft oder die Vorlage von Akten zur Be-
urteilung einer Petition von den Behörden des Landes, dann werden die personenbezogenen
Daten des Petenten in der damit befassten Behörde verarbeitet, ggf. an andere Behörden
zur Einholung von Auskünften weitergeleitet und am Ende mit der Stellungnahme zur Petiti-
on an den Petitionsausschuss übermittelt. Bei dieser Verarbeitung der personenbezogenen
Daten des Petenten in den Behörden ist der überwiegende Teil der Vorschriften der Daten-
schutz-Grundverordnung anzuwenden. Auch insoweit unterfällt die Verarbeitung der perso-
nenbezogenen Daten für die Petition zwar nicht dem Anwendungsbereich der Datenschutz-
Grundverordnung. Es greift in diesem Fall aber die Auffangvorschrift des § 2 Absatz 4 Säch-
sisches Datenschutzdurchführungsgesetz, sodass die dort genannten Artikel der Daten-
schutz-Grundverordnung Anwendung finden.
Rechtsgrundlage für die Verarbeitung personenbezogener Daten des Petenten durch die
Behörden ist Artikel 6 Absatz 1 Buchstabe c Datenschutz-Grundverordnung i. V. m. § 5
Sächsisches Petitionsausschussgesetz. Nach § 5 Absatz 1 Sächsisches Petitionsaus-
schussgesetz besteht für die Behörden eine rechtliche Verpflichtung, dem Petitionsaus-
schuss auf Verlangen Akten zur Einsicht vorzulegen oder Auskunft zu erteilen.
Entstehen bei der Verarbeitung personenbezogener Daten im Rahmen von Petitionen des
Landtags Informationspflichten für die auskunftspflichtigen Behörden?
Die Verarbeitung personenbezogener Daten durch Behörden, um gegenüber dem Petitions-
ausschuss des Landtags Auskünfte zu erteilen oder Akten vorzulegen, lösen keine Informa-
tionspflichten für die damit befassten Behörden aus.
Zur rechtlichen Begründung ist wie folgt zu unterscheiden:
Fallgestaltung 1 - Alle relevanten Unterlagen und Informationen liegen bei der Behörde, von
der der Petitionsausschuss des Landtags Auskunft oder Akten erhalten möchte, vor
Informationspflichten können nach Artikel 13 und Artikel 14 Datenschutz-Grundverordnung
zum einen bei der Erhebung personenbezogener Daten entstehen (vgl. Artikel 13 Absatz 1
und 2, Artikel 14 Absatz 1 und 2 Datenschutz-Grundverordnung) und zum anderen, wenn
bereits erhobene personenbezogene Daten zu einem anderen Zweck weiterverarbeitet wer-
den sollen, als zu dem, zu dem sie ursprünglich erhoben wurden (vgl. Artikel 13 Absatz 3,
Artikel 14 Absatz 4 Datenschutz-Grundverordnung).

Seite
79
von
155
Personenbezogene Daten, die in der Behörde bereits vorhanden sind, wurden bereits erho-
ben, sodass keine Informationspflicht nach Artikel 13 Absatz 1 und 2, Artikel 14 Absatz 1 und
2 Datenschutz-Grundverordnung ausgelöst wird.
Darüber hinaus liegt aber auch keine zweckändernde Verarbeitung der bereits erhobenen
Daten vor, sodass auch keine Informationspflichten nach Artikel 13 Absatz 3 oder Artikel 14
Absatz 4 Datenschutz-Grundverordnung entstehen. Hier greift § 3 Absatz 2 Sächsisches
Datenschutzdurchführungsgesetz. Danach zählt auch die Verarbeitung personenbezogener
Daten zur Wahrnehmung von Kontrollbefugnissen zum ursprünglichen Verarbeitungszweck.
Der Petitionsausschuss nimmt gegenüber der Staatsregierung und in diesem Zusammen-
hang der ihrer Aufsicht unterliegenden Behörden und öffentlichen Stellen parlamentarische
Kontrollrechte wahr.
Fallgestaltung 2 – Die Behörde, von der der Petitionsausschuss des Landtags Auskunft oder
Akten erhalten möchte, muss andere Behörden oder öffentliche Stellen beteiligen.
Der Landtag richtet Auskunftsersuchen und Aktenübermittlungsgesuche in der Regel an die
obersten Staatsbehörden. Wenn es sich um Sachverhalte handelt, die in die Zuständigkeit
des nachgeordneten Bereichs oder weiterer Ressorts fallen, muss die federführende oberste
Staatsbehörde bei diesen Stellen Auskünfte einholen oder Akten beiziehen. Damit werden
(in der Regel) personenbezogene Daten des Petenten bei einer anderen Stelle erhoben, was
grundsätzlich Informationspflichten gemäß Artikel 14 Absatz 1 und 2 Datenschutz-
Grundverordnung auslösen würde.
Nach Artikel 14 Absatz 5 Buchstabe c Datenschutz-Grundverordnung greifen die Informati-
onspflichten aber dann nicht, wenn es eine gesetzliche Grundlage gibt, die die Erlangung der
personenbezogenen Daten ausdrücklich regelt und wenn dabei geeignete Maßnahmen zum
Schutz der berechtigten Interessen der betroffenen Personen vorgesehen sind.
§ 5 Sächsisches Petitionsausschussgesetz verpflichtet die Behörden zur Vorlage von Akten
oder zur Auskunft gegenüber dem Petitionsausschuss. Damit wird ausdrücklich die Erlan-
gung personenbezogener Daten geregelt. Darüber hinaus gibt es auch zum Schutz der be-
rechtigten Interessen der betroffenen Personen geeignete Maßnahmen. Diese Maßnahmen
müssen nicht in der gleichen Vorschrift enthalten sein, sondern können sich auch aus ande-
ren Rechtsvorschriften oder Gesetzen ergeben. Exemplarisch sind vorliegend z. B. die §§ 6
und 8 Sächsisches Petitionsausschussgesetz zu nennen, die die Möglichkeit der Verweige-
rung der Aktenvorlage und Auskunft bei geheimhaltungspflichtigen Vorgängen sowie Zeug-
nisverweigerungsrechte enthalten. Darüber hinaus sind Mitglieder des Petitionsausschusses
an die Vorschriften des Sächsischen Datenschutzgesetzes gebunden, unterliegen damit dem
Datengeheimnis und müssen die Verarbeitungsvorschriften der §§ 12 bis 17 des Sächsi-
schen Datenschutzgesetzes beachten. Außerdem stehen den betroffenen Personen ver-
schiedene Rechte nach den §§ 18 bis 24 des Sächsischen Datenschutzgesetzes zu.
5. Teilnehmerlisten
Können bei Beratungen weiter Teilnehmerlisten verwendet werden?
In Beratungen oder sonstigen Veranstaltungen werden häufig Teilnehmerlisten verwendet, in
die die Anwesenden ihre Kontaktdaten wie z. B. Name, Herkunftsbehörde, E-Mail-Adresse u.
ä. eintragen.
Handelt es sich bei den Teilnehmern einer Besprechung ausschließlich um Behördenmitar-
beiter oder sonstige Teilnehmer, die als Vertreter einer juristischen Person anwesend sind
und für die Behörde oder juristische Person sprechen, ist zunächst zu prüfen, ob die der An-
wendungsbereich der Datenschutz-Grundverordnung überhaupt eröffnet ist. Die Verarbei-

Seite
80
von
155
tung funktionsbezogener Kontaktdaten fällt nur dann unter den Anwendungsbereich der Da-
tenschutz-Grundverordnung, wenn die Verarbeitung der personenbezogenen Daten auch auf
die betroffene Person „durchschlägt“. Nähere Erläuterungen finden Sie
▹︎hier.
Sofern die
Datenschutz-Grundverordnung keine Anwendung findet, ist die Verwendung der Teilnehmer-
listen ohne weiteres möglich.
Aber auch im Anwendungsbereich der Datenschutz-Grundverordnung ist die Verwendung
von Teilnehmerlisten weiterhin zulässig. Hierfür stehen – je nach Fallgestaltung – folgende
Rechtsgrundlagen zur Verfügung:
1. Die Beratung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erfor-
derlich:
Rechtsgrundlage
ist
Artikel
6
Absatz
1
Buchstabe
e
Datenschutz-
Grundverordnung, § 3 Absatz 1 Sächsisches Datenschutzdurchführungsgesetz i.
V. m. der Norm zur Aufgabenzuweisung.
2. Die Beratung findet nicht im Zusammenhang mit der Erfüllung einer im öffentlichen In-
teresse liegenden Aufgabe statt (z. B. Beratungen zur Vorbereitung einer Veranstal-
tung im Rahmen der Öffentlichkeitsarbeit, Durchführung von Fortbildungsveranstaltun-
gen):
Rechtsgrundlage
ist
Artikel
6
Absatz
1
Buchstabe
f
Datenschutz-
Grundverordnung.
Im Rahmen des Artikels 6 Absatz 1 Buchstabe f Datenschutz-Grundverordnung
ist eine Interessenabwägung zwischen dem Interesse des Verantwortlichen und
den Rechten der betroffenen Person durchzuführen. Diese dürfte, wenn nicht be-
sondere Umstände bei einer betroffenen Person vorliegen, zu Gunsten des Ver-
antwortlichen ausgehen.
Beide Rechtsgrundlagen setzen voraus, dass die Verarbeitung der personenbezogenen Da-
ten erforderlich ist. Erforderlichkeit liegt insbesondere dann vor, wenn ein Nachweis benötigt
wird, wer an der Beratung teilgenommen hat, so z. B. um auch später Absprachen nachvoll-
ziehen zu können, um bei Fortbildungen oder Tagungen Teilnahmebestätigungen ausstellen
zu können etc.
Daher wird beispielsweise bei großen Informationsveranstaltungen besonders zu prüfen
sein, ob ein Erfordernis zum Führen von Teilnehmerlisten vorliegt. Ein solches Erfordernis
kann aber auch in diesem Fall darin liegen, dass im Nachgang zur Veranstaltung Teilnah-
mebestätigungen auszustellen sind oder eine anderweitige Nachbereitung des Termins, für
die die Teilnehmerdaten verarbeitet werden müssen, erfolgt.
Müssen die Teilnehmer der Beratungen nach Artikel 13 Datenschutz-Grundverordnung in-
formiert werden, wenn ihre personenbezogenen Daten in Teilnehmerlisten verarbeitet wer-
den?
Informationspflichten nach Artikel 13 Datenschutz-Grundverordnung entstehen grundsätzlich
bei der Erhebung personenbezogener Daten bei der betroffenen Person. Durch das Ausle-
gen von Teilnehmerlisten in Beratungen werden personenbezogene Daten erhoben.
Gleichwohl wird nicht in jedem Fall eine Information der Teilnehmer erfolgen müssen. Das
Durchführen einer Beratung und die Erhebung von Teilnehmerdaten wird in den ganz über-
wiegenden Fällen keine eigene Verarbeitungstätigkeit sein, sondern im Zusammenhang mit
einer übergreifenden Verarbeitungstätigkeit (z. B. Bearbeitung eines Verwaltungsverfahrens,

Seite
81
von
155
Durchführung einer Veranstaltung etc.) stehen. Wenn für diese Verarbeitungstätigkeit bereits
eine Information nach Artikel 13 Datenschutz-Grundverordnung erfolgte (z. B. im Rahmen
eines Antragsformulars oder bei der Einladung zu einer Veranstaltung), ist eine nochmalige
Information nicht erforderlich. Es greift die Ausnahmevorschrift des Artikels 13 Absatz 4 Da-
tenschutz-Grundverordnung.
Haben die Teilnehmer noch keine Informationen nach Artikel 13 Datenschutz-
Grundverordnung erhalten, dann besteht eine Informationspflicht. Ein entsprechendes Infor-
mationsblatt kann der Teilnehmerliste beigefügt oder beispielsweise im Besprechungsraum
ausgelegt werden.

Anlage 1
Seite
82
von
155
Anpassung an die Datenschutz-Grundverordnung - in 5 Schritten zum Erfolg
Information der Leitungsebene über die Bedeutung der Datenschutz-
Grundverordnung und deren Auswirkungen sowie die Erforderlichkeit eines Anpas-
sungsprozesses in der öffentlichen Stelle
Wer?
Datenschutzbeauftragter (soweit vorhanden), ggf. auch Leiter des IT-Bereichs oder
der Rechtsabteilung
Betroffen vom Anpassungsprozess sind die rechtlichen, technischen und organisatori-
schen Bereiche in der öffentlichen Stelle. Somit sind verschiedene Zuständigkeitsberei-
che beteiligt, die untereinander koordiniert werden müssen. Deshalb bietet sich eine Ar-
beitsgruppe bzw. ein Projekt mit folgender Aufgaben- bzw. Zielstellung an:
Aufgabe:
alle Verfahren, mit denen in der öffentlichen Stelle personenbezogene Daten verar-
beitet werden, dahingehend überprüfen, ob es einen Anpassungsbedarf im Hinblick
auf die Datenschutz-Grundverordnung gibt
Ziel:
die Datenschutzkonzeption anhand eines Soll-Ist-Abgleichs aktualisieren und ermit-
teln, welche Prozesse in der öffentlichen Stelle anzupassen sind
Erstellung eines
Umsetzungsplanes unter Festlegung von Terminen und Verant-
wortlichkeiten
anhand der nachfolgenden Schritte:
die derzeitigen
Prozesse
in der öffentlichen Stelle, in denen personenbezogene Da-
ten verarbeitet werden, ermitteln (als Hilfsmittel hierfür bestehende Dokumentationen,
z. B. Verfahrensverzeichnis gemäß § 10 Absatz 1 SächsDSG, nutzen)
die dazugehörigen
Rechtsgrundlagen
zusammenstellen (die Verarbeitung perso-
nenbezogener Daten ist nur dann zulässig, wenn entweder ein Gesetz oder eine
Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat),
die
Datenschutzorganisation
erheben (d. h. alle Vorkehrungen und Maßnahmen,
die in der öffentlichen Stelle zum Schutz personenbezogener Daten getroffen wurden
1. Schritt: Bevor es losgeht - Information der Leitungsebene und Initiierung des Anpas-
sungsprozesses an die Datenschutz-Grundverordnung
2. Schritt Bestandsaufnahme, also Ist-Zustand
ermitteln, d. h.:

Anlage 1
Seite
83
von
155
die
Dienstleistungsbeziehungen
ermitteln (insbesondere Verträge über eine Auf-
tragsdatenverarbeitung),
ggf. vorhandene
Dokumentationen
zusammentragen (z. B. Verfahrensverzeichnis-
se, Vorabkontrollen, Datenschutzkonzepte, IT-Sicherheitskonzepte, Sicherheitsvorfäl-
le),
ggf.
Dienstvereinbarungen
ermitteln, die Regelungen zum Umgang mit den Daten
der Beschäftigten enthalten
Insbesondere sind vor dem Hintergrund der Datenschutz-Grundverordnung folgende Aspek-
te zu beachten (zu einzelnen Inhalten siehe auch entsprechende Inhalte im Themenportal):
Rechtsgrundlagen
:
prüfen, ob das neue Recht für alle Prozesse eine Rechtsgrundlage bereitstellt
vorhandene Einwilligungen prüfen, um sicherzustellen, dass sie nach Wirksam-
werden der Datenschutz-Grundverordnung fortgelten
Betroffenenrechte:
insbesondere Informationspflichten des Verantwortlichen gegenüber den betroffe-
nen Personen nach Art. 13 und Art. 14 Datenschutz-Grundverordnung prüfen
Datenschutzbeauftragter:
soweit noch nicht erfolgt, ist ein Datenschutzbeauftragter zu benennen (siehe
Checkliste Benennung
)
bereits bestellte Datenschutzbeauftragte bleiben in ihrer Funktion, ggf. Überprü-
fung der Qualifikation und Unabhängigkeit, neue Aufgaben und Verantwortlichkei-
ten beachten (siehe auch Merkblatt
„Mindestanforderungen an Qualifikation und
Unabhängigkeit des Datenschutzbeauftragten“)
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstel-
lungen
:
Prüfen, ob die spezifischen Rahmenbedingungen der Datenschutz-
Grundverordnung für die Art und Weise, wie die Anforderungen der Datenschutz-
Grundverordnung schon bei der Prozessgestaltung und bei den Voreinstellungen
umzusetzen sind (Art. 25 Datenschutz-Grundverordnung: Data Protection by de-
sign und Data Protection by default), eingehalten werden
Auftragsverarbeitung:
Bestehende Verträge daraufhin überprüfen, ob Vorgaben für Vereinbarungen mit
Auftragsverarbeitern gemäß Artikel 28 und 29 Datenschutz-Grundverordnung
eingehalten werden
3. Schritt: Handlungsbedarf eruieren, also Soll-Zustand ermitteln und anschließend Soll-Ist-
Vergleich

Anlage 1
Seite
84
von
155
Dokumentationspflichten
:
Nachweis, dass personenbezogene Daten rechtmäßig verarbeitet werden (Re-
chenschaftspflicht) gemäß Artikel 5 Absatz 2 Datenschutz-Grundverordnung
Führen eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Artikel 30 Da-
tenschutz-Grundverordnung,
Dokumentation von Datenschutzvorfällen nach Artikel 33 Absatz 5 Datenschutz-
Grundverordnung,
Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung nach Artikel
28 Absatz 3 Buchstabe a Datenschutz-Grundverordnung.
Datenschutz-Folgenabschätzung:
Die aus dem SächsDSG bekannte Vorabkontrolle wird durch die Datenschutz-
Folgenabschätzung nach Artikel 35 Datenschutz-Grundverordnung abgelöst und
erfordert eine umfangreiche Dokumentation. Die Datenschutz-Folgenabschätzung
kann zudem eine Konsultation der Aufsichtsbehörde nach sich ziehen (Artikel 36
Datenschutz-Grundverordnung).
Meldepflichten:
Nach Artikel 37 Absatz 7 Datenschutz-Grundverordnung muss der Verantwortli-
che die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbe-
hörde melden. Ebenso ist der Aufsichtsbehörde die Verletzung des Schutzes per-
sonenbezogener Daten zu melden (Artikel 33 Absatz 1 Datenschutz-
Grundverordnung).
Datensicherheit:
Öffentliche Stellen müssen ein angemessenes Schutzniveau in Bezug auf die Si-
cherheit der Verarbeitung gewährleisten und die dafür implementierten Siche-
rungsmaßnahmen einer regelmäßigen Überprüfung unterziehen (Artikel 24 und
32 Datenschutz-Grundverordnung).
Im Hinblick auf den ermittelten Handlungsbedarf sind entsprechende Maßnahmen zu treffen,
insbesondere:
Anpassung der betroffenen Prozesse und Strukturen,
Anpassung der Datenschutzorganisation, insbesondere Verantwortlichkeiten fest-
legen
ggf. Benennung eines Datenschutzbeauftragten,
Festlegung der Rechtsgrundlagen und des Zwecks der Datenverarbeitung,
4. Schritt: Umsetzung bis zum 25. Mai 2018

Anlage 1
Seite
85
von
155
Implementierung von Informationspflichten, Betroffenenrechten und Löschkonzep-
ten,
Reaktionsmechanismen für Datenpannen,
Organisation von Meldepflichten,
Anpassung der Dienstleistungsbeziehungen,
Aufbau der Dokumentation,
Anpassung der IT-Sicherheit,
ggf. Anpassung der Dienstvereinbarungen.
Umgestellte Prozesse, Dokumente, Verträge und Maßnahmen nochmals dahinge-
hend überprüfen, ob die Anpassungen an die Datenschutz-Grundverordnung tatsäch-
lich vorgenommen sind
Vorgenommene Anpassungen und Änderungen abschließend dokumentieren, um
Nachweis führen zu können, dass eine Anpassung an die Datenschutz-
Grundverordnung erfolgt ist und die Umsetzung erfolgreich nachgeprüft wurde
Mittelfristig ein Datenschutz-Managementsystem einführen
5. Schritt: Abschluss der Anpassung, Nachsteuerung

Anlage 2
Seite
86
von
155
In folgenden Fällen haben Sie eine Handlungspflicht!
Melde- und Informationspflichten
Melde- bzw. Informationspflicht
Wann ist zu melden/zu
informieren?
Wer hat an wen zu mel-
den bzw. wen zu infor-
mieren?
Mindestinhalt der Mel-
dung/Information
Was ist sonst zu beachten?
Informationspflicht bei der Er-
hebung personenbezogener
Daten bei der betroffenen Per-
son
Artikel 13 Datenschutz-
Grundverordnung
bei Erhebung der
personenbezogenen
Daten
vor einer Weiterverar-
beitung zu einem an-
deren Zweck
Verantwortlicher an be-
troffene Person
vgl. Artikel 13 Absatz 1 und 2
Datenschutz-
Grundverordnung
Es bestehen Ausnahmen von der
Informationspflicht nach Artikel 13
Absatz 4 Datenschutz-
Grundverordnung sowie § 4 Ab-
satz 5 Sächsisches Datenschutz-
durchführungsgesetz.
Informationspflicht, wenn die
personenbezogenen Daten nicht
bei der betroffenen Person er-
hoben werden
Artikel 14 Datenschutz-
Grundverordnung
Artikel 13 Absatz 3 Da-
tenschutz-
Grundverordnung:
innerhalb einer ange-
messenen Frist je-
doch längstens inner-
halb eines Monats
nach Erlangung der
Daten
bei Verwendung der
Daten zur Kommuni-
kation mit der be-
Verantwortlicher an be-
troffene Person
vgl. Artikel 14 Absatz 1 und 2
Datenschutz-
Grundverordnung
Es bestehen Ausnahmen von der
Informationspflicht nach Artikel 14
Absatz 5 Datenschutz-
Grundverordnung sowie § 4 Ab-
satz 5 und § 8 Sächsisches Da-
tenschutzdurchführungsgesetz.
Checkliste Melde- und Informationspflichten / Konsultationen

Anlage 2
Seite
87
von
155
Melde- bzw. Informationspflicht
Wann ist zu melden/zu
informieren?
Wer hat an wen zu mel-
den bzw. wen zu infor-
mieren?
Mindestinhalt der Mel-
dung/Information
Was ist sonst zu beachten?
troffenen Person bei
erstmaliger Mitteilung
an sie
zum Zeitpunkt der
ersten Offenlegung an
einen anderen Emp-
fänger
Artikel 14 Absatz 4 Da-
tenschutz-
Grundverordnung:
vor einer Weiterver-
arbeitung zu einem
anderen Zweck
Verletzung des Schutzes perso-
nenbezogener Daten, wenn die-
se voraussichtlich zu einem
Risiko für die Rechte und Frei-
heiten natürlicher Personen
führt
Artikel 33 Datenschutz-
Grundverordnung
Unverzüglich und mög-
lichst binnen 72 Stunden
nach Bekanntwerden der
Verletzung
der Verantwortliche an
den Sächsischen Da-
tenschutzbeauftragten
ein Auftragsverarbei-
ter an den Verantwort-
lichen
(vgl. Artikel 33 Absatz 3 Da-
tenschutz-Grundverordnung)
Beschreibung der Art der
Verletzung des Schutzes
personenbezogener Da-
ten (Kategorien und et-
waige Anzahl der be-
troffenen Personen, be-
troffene Kategorien, et-
waige Anzahl der be-
troffenen Datensätze),
Name und Kontaktdaten
des Datenschutzbeauf-
tragten der öffentlichen
Stelle,
ggf. Information der betroffenen
Personen (Artikel 34 Daten-
schutz-Grundverordnung)

Anlage 2
Seite
88
von
155
Melde- bzw. Informationspflicht
Wann ist zu melden/zu
informieren?
Wer hat an wen zu mel-
den bzw. wen zu infor-
mieren?
Mindestinhalt der Mel-
dung/Information
Was ist sonst zu beachten?
Beschreibung der wahr-
scheinlichen Folgen,
Beschreibung der vom
Verantwortlichen ergrif-
fenen oder vorgeschla-
genen Maßnahmen zur
Behebung der Verlet-
zung und ggf. zur Abmil-
derung der nachteiligen
Auswirkungen.
Kontaktdaten des Datenschutz-
beauftragten der öffentlichen
Stelle
Artikel 37 Absatz 7 Datenschutz-
Grundverordnung
nach Benennung des
Datenschutzbeauftragten
der Verantwortliche
an den Sächsischen
Datenschutzbeauf-
tragten
der Auftragsverarbei-
ter an den Sächsi-
schen Datenschutz-
beauftragten
Postadresse
Telefonnummer
E-Mail-Adresse
empfohlen: Name
Erlass von Verwaltungsvor-
schriften, die das Recht auf in-
formationelle Selbstbestimmung
betreffen
§ 20 Sächsisches Datenschutz-
durchführungsgesetz
vor Erlass der Verwal-
tungsvorschrift
Empfehlung: Die Meldung
erfolgt ausreichende Zeit
vor Erlass der Verwal-
tungsvorschrift, damit
eine Beratung durch den
Sächsischen Daten-
schutzbeauftragten erfol-
gen kann.
Derjenige, der die Verwal-
tungsvorschrift erlassen
möchte, an den Sächsi-
schen Datenschutzbeauf-
tragten
Information, dass eine be-
stimmte Verwaltungsvor-
schrift erlassen werden soll
Empfehlung: Der Entwurf der
Verwaltungsvorschrift wird
beifügt. Nachforderungen
des Sächsischen Daten-
schutzbeauftragten werden
damit vermieden.

Anlage 2
Seite
89
von
155
Melde- bzw. Informationspflicht
Wann ist zu melden/zu
informieren?
Wer hat an wen zu mel-
den bzw. wen zu infor-
mieren?
Mindestinhalt der Mel-
dung/Information
Was ist sonst zu beachten?
Beibehaltung, Erlass oder Ände-
rung von Rechtsvorschriften
insbesondere zum Medienprivi-
leg
Artikel 85 Absatz 3 Datenschutz-
Grundverordnung
Erstmeldung der beibe-
haltenen und ggf. neu
erlassen Vorschriften
zeitnah nach dem 25. Mai
2018
Änderungen der Vor-
schriften jeweils unver-
züglich
Mitgliedstaat an EU-
Kommission
Übersendung der betroffe-
nen Regelungen
Es wird erwartet, dass die Mel-
dung zentral über den Bund er-
folgt.
Beibehaltung, Erlass oder Ände-
rung von Rechtsvorschriften zur
Datenverarbeitung im Beschäf-
tigungskontext
Artikel 88 Absatz 3 Datenschutz-
Grundverordnung
Erstmeldung der beibe-
haltenen und ggf. neu
erlassen Vorschriften bis
zum 25. Mai 2018
Änderungen der Vor-
schriften jeweils unver-
züglich
Mitgliedstaat an EU-
Kommission
Übersendung der betroffe-
nen Regelungen
Es wird erwartet, dass die Mel-
dung zentral über den Bund er-
folgt.
Beibehaltung, Erlass oder Ände-
rung von Rechtsvorschriften zu
Datenverarbeitung im Beschäf-
tigungskontext
Artikel 88 Absatz 3 Datenschutz-
Grundverordnung
Erstmeldung der beibe-
haltenen und ggf. neu
erlassen Vorschriften bis
zum 25. Mai 2018
Änderungen der Vor-
schriften jeweils unver-
züglich
Mitgliedstaat an EU-
Kommission
Übersendung der betroffe-
nen Regelungen
Es wird erwartet, dass die Mel-
dung zentral über den Bund er-
folgt.
Beibehaltung, Erlass oder Ände-
rung von Rechtsvorschriften zu
den Befugnissen der Aufsichts-
behörden gegenüber Verant-
wortlichen, die Geheimhal-
Erstmeldung der beibe-
haltenen und ggf. neu
erlassen Vorschriften bis
zum 25. Mai 2018
Mitgliedstaat an EU-
Kommission
Übersendung der betroffe-
nen Regelungen
Es wird erwartet, dass die Mel-
dung zentral über den Bund er-
folgt.

Anlage 2
Seite
90
von
155
Melde- bzw. Informationspflicht
Wann ist zu melden/zu
informieren?
Wer hat an wen zu mel-
den bzw. wen zu infor-
mieren?
Mindestinhalt der Mel-
dung/Information
Was ist sonst zu beachten?
tungspflichten unterliegen
Artikel 90 Absatz 2 Datenschutz-
Grundverordnung
Änderungen der Vor-
schriften jeweils unver-
züglich
Konsultationspflichten
Konsultationspflicht
Wann ist zu konsultie-
ren?
Wer hat wen zu konsultie-
ren
Mindestinhalt der vorzulegenden Unterlagen
Eine Datenschutz-Folgenabschätzung
ergibt für die Verarbeitung personenbe-
zogener Daten ein hohes Risiko
Artikel 36 Absatz 1 bis 3 Datenschutz-
Grundverordnung
vor der beabsichtigten
Verarbeitung personen-
bezogener Daten
der Verantwortliche den
Sächsischen Datenschutz-
beauftragten
(vgl. Artikel 63 Absatz 3 Datenschutz-
Grundverordnung)
ggf. Angaben zu den Zuständigkeiten von Verant-
wortlichen, Auftragsverarbeiter oder gemeinsam
Verantwortlichen
Zwecke und Mittel der Verarbeitung
Vorgesehene Maßnahmen zum Schutz der Rechte
und Freiheiten der betroffenen Personen
Kontaktdaten des Datenschutzbeauftragten der
öffentlichen Stelle
die Datenschutz-Folgenabschätzung
Erlass eines Gesetzes oder einer Rechts-
verordnung, die die Verarbeitung perso-
nenbezogener Daten betrifft
Artikel 36 Absatz 4 Datenschutz-
Grundverordnung
bei der Ausarbeitung ei-
nes Gesetzes oder einer
Rechtsvorschrift
Gesetz- bzw. Verord-
nungsgeber den Sächsi-
schen Datenschutzbeauf-
tragten
Keine Festlegung in der Datenschutz-
Grundverordnung
Empfehlung: Gesetz bzw. Verordnungsentwurf
Übermittlung personenbezogener Daten
in Drittländer oder internationale Organi-
vor der beabsichtigten
Datenübermittlung
der Verantwortliche den
Sächsischen Daten-
Keine Festlegung in der Datenschutz-
Grundverordnung

Anlage 2
Seite
91
von
155
Konsultationspflicht
Wann ist zu konsultie-
ren?
Wer hat wen zu konsultie-
ren
Mindestinhalt der vorzulegenden Unterlagen
sation ohne Angemessenheitsbeschluss
aufgrund einer Verwaltungsvereinbarung
Artikel 46 Datenschutz-Grundverordnung
schutzbeauftragten
Empfehlung: Verwaltungsvereinbarung

Anlage 3
Seite
92
von
155
Bisherige Rechtslage:
Bisher haben Sie zunächst geprüft, ob spezialgesetzliche Vorschriften die Verarbeitung per-
sonenbezogener Daten zulassen.
Sofern dies nicht der Fall war, haben Sie die Vorschriften des Sächsischen Datenschutzge-
setzgesetzes herangezogen, hier insbesondere die §§ 12 ff. Sächsisches Datenschutzge-
setz.
Sofern Sie bei der Auslegung dieser Vorschriften auf Schwierigkeiten gestoßen sein sollten,
haben Sie dann ergänzend auf die EG-Datenschutzrichtlinie (Richtlinie des Europäischen
Parlament und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personen-
bezogener Daten und zum freien Warenverkehr vom 24. Oktober 1995 (95/46/EG)) zurück-
gegriffen.
Rechtslage seit 25. Mai 2018:
Ausgangspunkt der Prüfung ist nun die Datenschutz-Grundverordnung. Die Prüfung wird mit
Artikel 6 Absatz 1 Datenschutz-Grundverordnung begonnen.
Sofern keine Einwilligung der betroffenen Personen in die Erhebung der Daten vorliegt, wird
weiter geprüft, ob die Erhebung der Daten nach Artikel 6 Absatz 1 Buchstabe c oder e Da-
tenschutz-Grundverordnung zulässig ist, also ob es insbesondere eine Rechtsvorschrift gibt,
nach der eine Verpflichtung zur Datenerhebung besteht oder aber die Datenerhebung für die
Wahrnehmung einer öffentlichen Aufgabe erforderlich ist.
Erst zu diesem Zeitpunkt werden die spezialgesetzlichen Vorschriften des Bundes- oder
Landesrecht herangezogen. Wenn diese nicht weiterhelfen, kann ggf. auf § 3 Sächsisches
Datenschutzdurchführungsgesetz zurückgegriffen werden.
Prüfung der Zulässigkeit einer Verarbeitung perso-
nenbezogener Daten
Spezialge-
setzliche
Vorschrift
Sächsisches
Datenschutzge-
setz
Auslegungshilfe: EG-
Datenschutzrichtlinie
Datenschutz-
Grundverord-
nung
Spezialge-
setzliche
Vorschrift
Sächsisches Daten-
schutzdurchführungs-
gesetz

Anlage 3 a
Seite
93
von
155
Die behördlichen Datenschutzbeauftragten
Mai 2018
der Staatskanzlei / Staatsministerien
Hinweise
zur Anfertigung und Veröffentlichung von Bild- und Tonaufnahmen
mit Personenbezug durch Behörden
1. Anfertigung von Bild- und Tonaufnahmen
Für die Anfertigung von Bild- und Tonaufnahmen gilt die Datenschutz-Grundverordnung
(DSGVO), da die Abbildung einer natürlichen Person eine Verarbeitung personenbezogener
Daten im Sinne der DSGVO ist. Dafür ist eine Erlaubnisnorm erforderlich.
a) Bild- und Tonaufnahmen, die Personen nicht in den Mittelpunkt stellen
Die Einholung einer Einwilligung
(
Art.
6
Abs.1
Satz
1
lit
a)
DSGVO
)
aller abgebildeten Per-
sonen ist in der Praxis schwierig, teilweise unmöglich. Zwar bedarf es keiner schriftlichen
Einwilligung, allerdings besteht die Pflicht des Fotografens, nachzuweisen, dass die betroffe-
ne Person tatsächlich eingewilligt hat. Daher wird eine schriftliche Erklärung (auch in elektro-
nischer Form möglich) unverzichtbar sein. Dies ist insbesondere bei größeren und anony-
men Veranstaltungen (z.B. Tag der offenen Tür) problematisch, da zum Beispiel auch eine
unterschriebene Erklärung nicht ohne Weiteres einer Person auf einem Foto zugeordnet
werden kann.
In diesen Fällen kann sich auf
Art.
6
Abs.
1
Satz
1
lit.
f)
DSGVO
gestützt werden. Diese Auf-
fassung
vertritt
auch
der
Sächsischen
Datenschutzbeauftragte
(vgl.
https://www.saechsdsb.de/ds-gvo-missverstaendnisse-und-fehleinschaetzungen
).
Nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO ist eine Datenverarbeitung zulässig, wenn diese zur
Wahrung der berechtigten Interessen des Verantwortlichen (Behörde) erforderlich ist und
Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Das berechtigte Interesse kann im Regelfall bejaht werden. Führen die Behörden Veranstal-
tungen o.Ä. durch, haben sie ein Interesse bzw. sogar die Pflicht, im Rahmen ihrer Öffent-
lichkeitsarbeit darüber zu berichten. Zur Berichterstattung gehören insbesondere im Bereich
der neuen Medien auch Bilder. Überwiegende Interessen oder Grundrechte/Grundfreiheiten
der abgebildeten Personen liegen in der Regel nicht vor. Bei der hier vorzunehmenden Ab-
wägung ist prüfen, ob eine betroffene Person zum Zeitpunkt der Datenerhebung und ange-
sichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass mög-
licherweise eine Verarbeitung für diesen Zweck (Öffentlichkeitsarbeit) erfolgen wird. Insbe-
sondere nur dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in de-
nen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen
muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des
Verantwortlichen überwiegen. Letzteres wird bei Veranstaltungen regelmäßig nicht der Fall
sein. Wer zu einer entsprechenden öffentlichen Veranstaltung kommt, muss damit rechnen,
dass Fotos gemacht und veröffentlicht/weiterverwendet werden.
Art.
6
Abs.
1
S.
2
DSGVO
steht dem nicht entgegen, da
Art.
6
Abs.
1
Satz
1
lit.
f)
DSGVO
für
Behörden nur dann nicht gilt, wenn sie in Erfüllung ihrer Aufgaben, d.h. in Erfüllung der ge-
setzlich übertragenen Aufgaben im Rahmen der Eingriffs- und Leistungsverwaltung tätig
werden. Bei der Öffentlichkeitsarbeit ist anerkannt, dass es sich dabei um eine Annextätig-
keit und nicht um die Aufgabenerledigung der Behörde handelt, so dass das Anfertigen von
Fotos auf dieser Grundlage erfolgen kann.

Anlage 3 a
Seite
94
von
155
Von einer Information gemäß
Art.
13
/
14
DSGVO
kann abgesehen werden. Die Informationen
nach der DSGVO sind zwar grundsätzlich umfassend und jedem Betroffenen zu erteilen.
Eine Ausnahme enthält jedoch
Art.
11
DSGVO
.
Danach ist es nicht erforderlich, eine Person
zu identifizieren, nur um ihr die Informationen nach der DSGVO zukommen zu lassen. Die
Identifizierung der Personen würde einen tieferen Eingriff in ihr Persönlichkeitsrecht darstel-
len, als die eigentlich geforderte Informationsübermittlung.
Auf ein Widerspruchsrecht ist allerdings nach
Art.
21
Abs.
4
DSGVO
hinzuweisen.
b) Bild- und Tonaufnahmen, die Personen in den Mittelpunkt stellen
In diesem Fall wird - wie bisher schon – die Einwilligung der betroffenen Person(en) erforder-
lich sein. Bei Kindern/Schülern ist die Einwilligung der Eltern einzuholen. Insofern sollte vor
Anfertigen des Bild- und Tonaufnahmen geprüft werden, ob derartige Aufnahmen für die
Verwendung zu Zwecken der Öffentlichkeitsarbeit tatsächlich erforderlich sind. Dabei ist
auch zu berücksichtigen, dass die Einwilligung jederzeit ohne Mitteilung von Gründen wider-
rufen werden kann und somit die Aufnahmen nicht weiter verwendet werden dürfen und zu
löschen sind. Die Informationspflichten nach
Art.
13
DSGVO
sind zu erfüllen.
2. Veröffentlichung der Bild- und Tonaufnahmen
Die Veröffentlichung richtet sich - zumindest nach derzeitiger überwiegender Auffassung -
weiterhin nach dem
Kunsturheberrechtsgesetz
(KunstUrhG)
.
Das KunstUrhG stützt sich da-
bei auf
Art.
85
Abs.
1
DSGVO
.
Diese Norm gibt den Mitgliedstaaten nationale Gestaltungs-
spielräume beim Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfrei-
heit. Insofern können weiterhin ohne eine Einwilligung veröffentlicht werden:
-
Bildnisse aus dem Bereiche der Zeitgeschichte;
-
Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen
Örtlichkeit erscheinen;
-
Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die darge-
stellten Personen teilgenommen haben.
Es ist jedoch stets zu beachten, dass durch das veröffentlichte Bild keine berechtigten Inte-
ressen des Abgebildeten verletzt werden. Da es sich in der Regel um Bildaufnahmen von
öffentlichen Veranstaltungen oder geschlossenen Veranstaltungen mit entsprechendem
fachlichen/dienstlichem Bezug handeln dürfte, werden berechtigte Interessen des Abgebilde-
ten (z.B. Schutz der Privatsphäre) regelmäßig nicht verletzt sein.
3. Empfehlungen
Für die Ankündigungen und Einladungen von Veranstaltungen empfiehlt sich, den in
Anlage
1
enthaltenen Datenschutzhinweis auf die jeweilige Veranstaltung anzupassen und aufzu-
nehmen.
Sofern Einwilligungen erforderlich sind, wird empfohlen, das in
Anlage 2
enthaltene Muster
auszufüllen/anzupassen und zu verwenden.

Anlage 3 b
Seite
95
von
155
Anlage 1
Vorschlag für die Formulierung eines Hinweises für offene Veranstaltungen mit großer
Teilnehmerzahl
Datenschutzhinweis
Während der Veranstaltung werden Bild- und Tonaufnahmen gefertigt. Die Bildaufnahmen
werden einzelne oder Gruppen von Teilnehmern zeigen, die nicht im Mittelpunkt des Bildes
stehen. Medienvertreter, das [eintragen: veranstaltendes Ministerium bzw. Staatskanzlei]
sowie deren Kooperationspartner der Veranstaltung können die Aufnahmen zur Information
der Öffentlichkeit publizieren. Dies betrifft insbesondere die Veröffentlichung auf
www.sachsen.de
,
auf Social-Media-Kanälen der Sächsischen Staatsregierung (Facebook,
Twitter, Instagram) und in Printmedien (Informationsbroschüren, Pressemitteilungen, Präsen-
tationen). Jede teilnehmende Person hat das Recht, aus Gründen, die sich aus ihrer beson-
deren Situation ergeben, jederzeit gegen die Anfertigung von Bild- und Tonaufnahmen, die
ihre Person betreffen, Widerspruch einzulegen. Der Widerspruch ist der vor Ort Bild- oder
Tonaufnahmen fertigenden Person mitzuteilen.

Anlage 3 c
Seite
96
von
155
Anlage 2
Muster für eine Einwilligungserklärung für die Erstellung und Veröffentlichung von
Bild- und Tonaufnahmen
Briefkopf Verantwortlicher [eintragen: Anschrift, Tel., E-Mail-Adresse]
Datenschutzrechtliche Einwilligung in die Anfertigung und Veröffentlichung von Bild-
und Tonaufnahmen
Ich willige ein, dass
das/die [eintragen: Verantwortlicher]
anlässlich ….[eintragen: konkreter Anlass, z. B. „(Sport -) Wettbewerbe am (Datum eingeben)
in (Ort angeben)“, „Tag der offenen Tür am …(Datum eingeben) in (Ort angeben)“, „der
Übergabe neuer Polizeifahrzeuge am …(Datum eingeben) in (Ort angeben)“,“, „der symbol i-
schen Scheckübergabe an den Verein am …(Datum eingeben) in (Ort angeben)“,
zum Zweck ….[eintragen konkreten Zweck, z. B. „der Information der Öffentlichkeit über das
Ereignis“ oder „Information der Bediensteten des – Angabe des Verantwortlichen“]
Bildaufnahmen/Tonaufnahmen von mir angefertigt und in folgenden Wiedergabemedien ver-
öffentlicht
Intranetseite des [eintragen: Verantwortlicher]
Internetauftritt des [eintragen: Verantwortlicher] unter
www…….sachsen.de
Facebook unter
www.facebook.com/.......
Twitter
https://twitter.com/........
….. [ggf. Weitere eintragen]
sowie diese an [eintragen: z.B. „die örtliche Tagespresse“] weitergibt.
Mir ist bekannt, dass die Bild- und Tonaufnahmen bei der Veröffentlichung im Internet oder in
sozialen Netzwerken weltweit abrufbar und insbesondere durch Suchmaschinen auffindbar
sind, eine Weiterverwendung und/oder Veränderung durch Dritte nicht ausgeschlossen wer-
den kann und unter Umständen keine vollständige Löschung im Internet möglich ist.
1
Die Einwilligung ist freiwillig. Aus einer Nichteinwilligung ergeben sich keine nachteiligen Fol-
gen für mich.
Meine Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmä-
ßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird durch den
Widerruf nicht berührt. Der Widerruf ist zu richten an [eintragen: verantwortliche Behörde mit
Anschrift] oder per E-Mail an [eintragen: E-Mail-Adresse].
Die zusätzliche umseitige Information zur Verarbeitung meiner personenbezogenen Daten
(Bild- und Tonaufnahmen) habe ich zur Kenntnis genommen.
1
Der Absatz ist nur bei Veröffentlichungen im Internet erforderlich

Anlage 3 c
Seite
97
von
155
Datum, Unterschrift
(bei elektronischer Einholung sollte stattdessen mit opt-in-Lösungen gearbeitet werden)
Information zur Datenverarbeitung gemäß Artikel 13 Datenschutz-Grundverordnung
Die Bild- und Tonaufnahmen werden gemäß Artikel 6 Absatz 1 Buchstabe a Datenschutz-
Grundverordnung auf der Grundlage Ihrer Einwilligung angefertigt und gemäß § 22 Kun-
stUrhG veröffentlicht. Die Aufnahmen werden dauerhaft gespeichert.
Den Datenschutzbeauftragten des [eintragen: Verantwortlicher] können Sie erreichen unter:
Tel.: ……..
E-Mail. ……..
Ihnen stehen bei Vorliegen der gesetzlichen Voraussetzungen folgende Rechte zu:
-
Recht auf Auskunft über Sie betreffende personenbezogene Daten (Artikel 15 Daten-
schutz-Grundverordnung)
-
Recht auf Berichtigung Sie betreffende unrichtige personenbezogene Daten (Artikel 16
Datenschutz-Grundverordnung)
-
Recht
auf
Löschung
personenbezogener
Daten
(Artikel
17
Datenschutz-
Grundverordnung)
-
Recht auf Einschränkung der Verarbeitung personenbezogener Daten (Artikel 18 Da-
tenschutz-Grundverordnung)
-
Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten (Artikel 21
Datenschutz-Grundverordnung)
Entsprechende Anträge sind an den Verantwortlichen zu richten.
Sie haben nach Artikel 77 Datenschutz-Grundverordnung außerdem das Recht, sich bei der
Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie
betreffenden personenbezogenen Daten nicht rechtmäßig erfolgt. Aufsichtsbehörde ist
Sächsischer Datenschutzbeauftragte
Kontor am Landtag
Devrientstraße 1
01067 Dresden

Anlage 4
Seite
98
von
155
Checkliste Benennung eines Datenschutzbeauftragten durch öffentliche Stel-
len
Rechtsgrundlage: Artikel 37 bis 39 Datenschutz-Grundverordnung
Prüfen/Realisieren
Zu beachten
erfüllt
Soll interner, externer oder gemeinsa-
mer Datenschutzbeauftragter benannt
werden?
in der Regel eine natürliche Person, keine
juristische
Im Falle des Einsatzes von Hilfspersonal
(Vertreter, Koordinatoren) Aufgabenvertei-
lung konkret festlegen
Anforderungen an den Datenschutz-
beauftragten:
-
Berufliche Qualifikation, Fachwis-
sen, persönliche Voraussetzun-
gen des bDSB
Siehe „Merkblatt für öffentliche Stellen zu
Mindestanforderungen an Qualifikation und
Unabhängigkeit des Datenschutzbeauftrag-
ten“
-
Kein Interessenkonflikt durch
Wahrnehmung sonstiger Aufga-
ben
Keine Benennung von Personen mit be-
sonderer Nähe zur Behördenleitung oder z.
B. IT- oder Personalleitern oder Geheim-
schutzbeauftragten
Dokumentation der Benennung,
insbesondere
-
Zeitpunkt des Wirksamwerdens
der Benennung
-
Gesetzliche und ggf. zusätzliche
Aufgaben des Datenschutzbeauf-
tragten fixieren
-
Ressourcen fixieren (Zeitkontin-
gent, Räume, Qualifizierungen
etc.)
Zwar keine Pflicht zur Schriftform, aber
empfohlen zur Rechtsklarheit und aus Be-
weisgründen
- Bei externen DSB Vereinbarung einer
festen Vertragslaufzeit (siehe auch
„Merkblatt für öffentliche Stellen zu Min-
destanforderungen an Qualifikation und
Unabhängigkeit des Datenschutzbeauf-
tragten“)
-
Mindestaufgaben nach Artikel 39 Ab-
satz 1 Datenschutz-Grundverordnung
sind nicht abschließend, es können wei-
tere Aufgaben übertragen werden wie z.
B. Schulungen für die Mitarbeiter durch-
zuführen
Veröffentlichung der Kontaktdaten und
Mitteilung an den Sächsischen Daten-
schutzbeauftragten
-
Veröffentlichung der Kontaktda-
ten im Intranet und Internet
-
Mitteilung der Kontaktdaten an
den Sächsischen Datenschutz-
beauftragten
Kontaktdaten sind:
Postadresse, Telefonnummer und
E-Mail-Adresse des Datenschutzbeauftrag-
ten
Auch der Name des Datenschutzbeauftrag-
ten sollte zumindest im Intranet veröffent-
licht und dem Sächsischen Datenschutzbe-
auftragten mitgeteilt werden
Unterstützungspflicht und Unabhän-
Siehe „Merkblatt für öffentliche Stellen zu

Anlage 4
Seite
99
von
155
gigkeit des Datenschutzbeauftragten
sicherstellen
Mindestanforderungen an Qualifikation und
Unabhängigkeit des Datenschutzbeauftrag-
ten“

Anlage 5
Seite
100
von
155
Merkblatt für öffentliche Stellen zu Mindestanforderungen an Qualifikation und
Unabhängigkeit des Datenschutzbeauftragten
1. Anforderungen an die Qualifikation des Datenschutzbeauftragten
Die Datenschutz-Grundverordnung bestimmt in Artikel 37 Absatz 5, dass der Daten-
schutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesonde-
re des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und
der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung
der in Artikel 39 Datenschutz-Grundverordnung genannten Aufgaben.
Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen
Mindestkenntnisse bereits zum Zeitpunkt der Benennung des Datenschutzbeauftragten in
ausreichendem Maße vorliegen. Sie können z. B. durch den Besuch geeigneter Aus- und
Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt worden sein. Um even-
tuell zu Beginn der Benennung noch bestehende Informationsdefizite auszugleichen, emp-
fiehlt sich der Besuch von geeigneten Fortbildungsveranstaltungen. Der Besuch solcher Ver-
anstaltungen ist auch nach der Benennung angezeigt, um auf dem aktuellen, erforderlichen
Informationsstand zu bleiben und um sich Kenntnisse über die sich ändernden rechtlichen
und technischen Entwicklungen anzueignen.
Da der Begriff der beruflichen Qualifikation in der Datenschutz-Grundverordnung nicht weiter
erklärt ist und auch für das erforderliche Fachwissen eine dezidierte Beschreibung fehlt, sind
zur Orientierung im Folgenden Mindestanforderungen aufgeführt:
a. Datenschutzrecht allgemein – unabhängig von der Art und der Größe der öffentlichen
Stelle
-
Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der be-
troffenen Personen sowie umfassende Kenntnisse zum Inhalt und zur rechtlichen
Anwendung der für die öffentliche Stelle einschlägigen Regelungen der Datenschutz-
Grundverordnung und des Sächsischen Datenschutzdurchführungsgesetzes,
-
Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger
technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanfor-
derungen
b. Spezifisch – abhängig von der Art, Größe oder IT-Infrastruktur der öffentlichen Stelle und
der Sensibilität der zu verarbeitenden Daten
-
umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften,
die für die eigene öffentliche Stelle relevant sind, insbesondere auch Verwaltungsvor-
schriften und Dienstvereinbarungen
-
Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensi-
cherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware
und Schutzmaßnahmen, betriebswirtschaftliche Grundkompetenz (Personalwirt-
schaft, Haushaltswesen, Organisation etc.)),

Anlage 5
Seite
101
von
155
-
Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwir-
kung in der öffentlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der Be-
hörde) und
-
Kenntnisse im praktischen Datenschutzmanagement (z. B. Durchführung von Kontrol-
len,
Beratung,
Strategieentwicklung,
Dokumentation,
Verzeichnisse,
Logfile-
Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Videoüberwa-
chungen, Zusammenarbeit mit dem Personalrat etc.).
c. Fähigkeit zur Erfüllung der Aufgaben
Die Fähigkeit zur Erfüllung seiner Aufgaben ergibt sich sowohl aus den persönlichen
Eigenschaften des Datenschutzbeauftragten als auch seinen Kenntnissen und seiner
Position innerhalb der öffentlichen Stelle. Zu den persönlichen Eigenschaften zählen
insbesondere Integrität, Kommunikationsfähigkeit sowie ein ausgeprägtes Berufs-
ethos.
2. Anforderungen an die Unabhängigkeit des Datenschutzbeauftragten
Kern der Rechtsstellung des Datenschutzbeauftragten ist seine Unabhängigkeit. Erwä-
gungsgrund 97 stellt diesbezüglich klar:
„Derartige Datenschutzbeauftragte sollten un-
abhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder
nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“
Die
unmittelbaren Ausprägungen der Unabhängigkeit sind in Artikel 38 DSGVO geregelt. Hierzu
gehören:
-
Weisungsfreiheit
-
Unterstützungspflicht
-
Benachteiligungs- und Abberufungsschutz
-
Verpflichtung zur Geheimhaltung
-
Keine Interessenkollision
Hierzu sind insbesondere folgende Maßnahmen erforderlich:
-
Der Datenschutzbeauftragte ist in seiner Funktion dem Leiter der öffentlichen Stelle
organisatorisch unmittelbar zu unterstellen. Dem Datenschutzbeauftragten ist ein
unmittelbares Vortragsrecht beim Leiter der öffentlichen Stelle einzuräumen.
-
Der Datenschutzbeauftragte muss in der Lage sein, seine Verpflichtungen ohne lnte-
ressenkonflikte erfüllen zu können. Dies ist durch entsprechende Regelungen inner-
halb der öffentlichen Stelle bzw. vertragliche Regelungen (bei externem Daten-
schutzbeauftragten) sicherzustellen und sowohl innerhalb der öffentlichen Stelle als
auch nach außen hin bekannt zu machen.
-
Datenschutzbeauftragte dürfen wegen der Erfüllung ihrer Aufgaben im Hinblick auf ihr
sonstiges Beschäftigungsverhältnis, auch für den Fall, dass die Bestellung zum Da-
tenschutzbeauftragten widerrufen wird, nicht benachteiligt werden.
-
Analog muss bei der Bestellung von externen Datenschutzbeauftragten der Dienst-
vertrag so ausgestaltet sein, dass eine unabhängige Erfüllung der gesetzlichen Auf-

Anlage 5
Seite
102
von
155
gaben durch entsprechende Vertragslaufzeiten, Zahlungsmodalitäten, Haftungsfrei-
stellungen und Dokumentationspflichten gewährleistet wird. Empfohlen wird grund-
sätzlich eine Mindestvertragslaufzeit von vier Jahren; bei Erstverträgen wird wegen
der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit
von ein bis zwei Jahren empfohlen.
-
Datenschutzbeauftragte sind zur Verschwiegenheit verpflichtet, soweit sie nicht da-
von durch die betroffenen Personen befreit wurden. Dies gilt auch gegenüber der öf-
fentlichen Stelle und deren Leiter.
3. Erforderliche Rahmenbedingungen innerhalb der verantwortlichen Stelle zur Fach-
kunde und Unabhängigkeit des Datenschutzbeauftragten
-
Insbesondere die Überwachungspflichten des Datenschutzbeauftragten setzen vo-
raus, dass ihm die zur Aufgabenerfüllung erforderlichen Zutritts- und Einsichtsrechte
in alle betrieblichen Bereiche eingeräumt werden.
-
Datenschutzbeauftragte müssen frühzeitig in alle relevanten betrieblichen Planungs-
und Entscheidungsabläufe eingebunden werden. Gegebenenfalls sollte der Verant-
wortliche im Datenschutzkonzept der öffentlichen Stelle oder in sonstigen organisato-
rischen Regelungen festlegen, wann und in welchen Fällen der Datenschutzbeauf-
tragte zu Rate zu ziehen ist. Z. B. könnte u. a. bestimmt werden,
dass der Datenschutzbeauftragte den maßgeblichen Arbeitsgruppen ange-
hört, die mit Datenverarbeitungstätigkeiten innerhalb der öffentlichen Stelle
befasst sind,
er zur Teilnahme an den regelmäßigen Besprechungen der Leitungsebene
eingeladen wird,
seiner Meinung stets die gebührende Beachtung zu schenken ist bzw. im Falle
des Abweichens von seiner Meinung die Gründe hierfür zu dokumentieren
sind,
er bei einer Verletzung datenschutzrechtlicher Bestimmungen oder einem
sonstigen Vorfall unverzüglich hinzuzuziehen ist.
Die Regelungen sind allen Beschäftigten bekannt zu machen.
-
Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die öf-
fentliche Stelle dem Datenschutzbeauftragten entsprechende Fachliteratur zur Verfü-
gung zu stellen, die Teilnahme an Fort- und Weiterbildungsveranstaltungen sowie am
Erfahrungsaustausch mit anderen Datenschutzbeauftragten zu ermöglichen und die
Kosten hierfür zu übernehmen. Bei der Bestellung von externen DSB kann die Fort-
bildung Bestandteil der vereinbarten Vergütung sein und muss nicht zusätzlich er-
bracht werden.
-
Internen Datenschutzbeauftragten muss die erforderliche Arbeitszeit zur Erfüllung ih-
rer Aufgaben und zur Erhaltung ihrer Fachkunde zur Verfügung stehen. Bei Bestel-
lung eines externen Datenschutzbeauftragten muss eine bedarfsgerechte Leistungs-
erbringung gewährleistet sein. Sie muss in angemessenem Umfang auch in der be-
auftragenden verantwortlichen Stelle selbst erbracht werden. Ein angemessenes
Zeitbudget sollte konkret vereinbart und vertraglich festgelegt sein.

Anlage 5
Seite
103
von
155
-
Die öffentliche Stelle hat den Datenschutzbeauftragten bei der Erfüllung seiner Auf-
gaben insbesondere durch die zur Bereitstellung von Personal, Räumen, Einrichtung,
Geräten und Mitteln zu unterstützen.

Anlage 6
Seite
104
von
155
Checkliste für die Aufgaben des Datenschutzbeauftragten im Anpassungspro-
zess an die Regelungen der DSGVO
Beim Prozess der Anpassung an die Regelungen der DSGVO sollte der Datenschutzbeauf-
tragte insbesondere die folgenden Aufgaben wahrnehmen:
-
Adressatengerechte Kommunikation der Erforderlichkeit zur Anpassung an die kom-
mende Gesetzeslage (DSGVO) gegenüber Leitungsebene und Fachabteilung
-
Hinwirkung auf die Projektierung der Umsetzung der DSGVO
-
Unterstützung bei der Umsetzung und im laufenden Betrieb (Beratungsauftrag); Er-
läuterung und Präzisierung der gesetzlichen Anforderungen
-
Beratung der Leitungsebene hinsichtlich Aufbau und zur Koordination eines Daten-
schutzmanagements, dessen wesentliche Bestandteile insbesondere sind:
o
„Strategien“ („policies“), die insbesondere Regelungen treffen hinsichtlich der
Zuweisung von Zuständigkeiten
Risikobewertungen
Sensibilisierung und Schulung der Mitarbeiter
Durchführung von Kontrollen
Einsatz „datenschutzfreundlicher“ Technologien
o
IT-Sicherheit nach dem „Stand der Technik“
o
Datenschutz-Folgenabschätzung, ggf. mit Konsultation des Sächsischen Da-
tenschutzbeauftragten
o
weitreichende Nachweis- / Dokumentationspflichten, die sich aus der DSGVO
ergeben
o
Umsetzung der Betroffenenrechte, insbesondere im Hinblick auf die Neuerun-
gen bei
Löschung/Vergessenwerden
Transparenz
Datenportabilität
-
Monitoring der Umsetzung der DSGVO
-
Überwachung der Einhaltung der gesetzlichen Vorgaben, der internen Vorschriften
sowie der Funktionsfähigkeit des Datenschutzmanagements

Anlage 6a
Seite
105
von
155
Hinweise für Verantwortliche öffentlicher Stellen zur Verpflichtung zur Einhaltung des
Datenschutzes
1. Warum eine Verpflichtung zur Einhaltung des Datenschutzes?
Eine dem Datengeheimnis nach § 6 Absatz 2 SächsDSG entsprechende Regelung ist in der
seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) nicht enthalten.
Es wird dennoch empfohlen, neue Mitarbeiter auf die Beachtung des Datenschutzes zu ver-
pflichten und damit die „Verpflichtung auf das Datengeheimnis“ nach dem bisher geltenden §
6 Abs. 2 SächsDSG weiterzuführen. Nicht dem Anwendungsbereich der DSGVO unterfal-
lende Stellen können ggf. auch gesetzlich verpflichtet sein, weiterhin die Verpflichtung auf
das Datengeheimnis vorzunehmen. Die Verpflichtung auf die Einhaltung des Datenschutzes
ist eine organisatorische Maßnahme des Verantwortlichen, um sicherzustellen und den
Nachweis dafür erbringen zu können, dass die Verarbeitung personenbezogener Daten ge-
mäß der DSGVO erfolgt. Zunächst ist hier Artikel 5 DSGVO zu nennen. Dieser schreibt vor,
dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer
für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Des Weite-
ren legt Artikel 5 DSGVO dem Verantwortlichen die Pflicht auf, die Einhaltung dieser Vorga-
be nachweisen zu können (sog. Rechenschaftspflicht). Danach erwächst hieraus die Emp-
fehlung einer dokumentierten Verpflichtungserklärung. Auch Artikel 24 DSGVO spricht expli-
zit vom Erfordernis technischer und organisatorischer Maßnahmen, um sicherzustellen und
den Nachweis dafür erbringen zu können, dass die Verarbeitung personenbezogener Daten
gemäß der DSGVO – und damit selbstverständlich auch gemäß den Grundsätzen niederge-
schrieben in Artikel 5 DSGVO – erfolgt.
Weitere gesetzliche Anknüpfungspunkte sind beispielsweise
Artikel
29
DSGVO
und
Artikel
32
DSGVO.
Diese stellen klar, dass dem Verantwortlichen und Auftragsverarbeiter unterstell-
te Mitarbeiter, personenbezogene Daten, nur nach dessen Weisung verarbeiten dürfen.
2. Wann und durch wen soll die Verpflichtung zur Einhaltung des Datenschutzes vor-
genommen werden?
Wie bisher soll die Verpflichtung auf die Beachtung des Datenschutzes zu Beginn des
Dienst- oder Arbeitsverhältnisses erfolgen. Sie wird durch den Leiter der öffentlichen Stelle,
den Arbeitgeber oder jeweils einen Beauftragten vorgenommen. Sie schließt die wichtige
vorhergehende Unterrichtung des Bediensteten über die Grundsätze für die Verarbeitung
personenbezogener Daten nach Artikel 5 und Artikel 6 DSGVO sowie die sonstigen bei sei-
ner Tätigkeit zu beachtenden Vorschriften über den Datenschutz formal ab. Sie sollte am
ersten Arbeitstag erfolgen. Die Verpflichtungserklärung sollte auf einem separaten Blatt in
die Personalakte eingefügt werden.
Die vorhergehende Unterrichtung sollte durch eine geeignete Person vorgenommen werden.
Dies kann der Datenschutzbeauftragte nach Artikel 37 DSGVO sein, der damit seiner ihm
nach der DSGVO auferlegten Unterrichtungspflicht gemäß Artikel 39 Abs. 1 lit a DSGVO
nachkommen kann.

Anlage 6a
Seite
106
von
155
3. Was ist Inhalt der Verpflichtung zur Einhaltung des Datenschutzes?
Die Verpflichtung zur Einhaltung des Datenschutzes beinhaltet insbesondere das Verbot der
Verarbeitung personenbezogener Daten ohne entsprechende Befugnis, die sich nach Artikel
5 i. V. m. Artikel 6 DSGVOG vor allem aus einer Rechtsgrundlage (u. a. Gesetz, Rechtsver-
ordnung, Satzung) oder der Einwilligung der betroffenen Person ergeben kann. In der Unter-
richtung sollten außerdem die wichtigsten Grundsätze der Verarbeitung personenbezogener
Daten eingehend erörtert werden. Wünschenswert ist die Darlegung der für den konkreten
Bediensteten oder Mitarbeiter geltenden spezifischen Rechtsgrundlagen der Datenverarbei-
tung (z. B. Artikel 9 DSGVO oder im Sozialbereich § 35 SGB I, §§ 68 ff. SGB X etc.). Sonsti-
ge zu beachtende Vorschriften sind insbesondere die über technisch-organisatorische Maß-
nahmen zur Gewährleistung des Datenschutzes.
Auch über die sich aus einer Verletzung ergebenden dienst-, arbeits-, ordnungswidrigkeiten-
oder strafrechtlichen Konsequenzen sollte aufgeklärt werden. Eine unbefugte, nicht durch
den Verantwortlichen veranlasste, Verarbeitung von personenbezogenen Daten durch Mitar-
beiter stellt eine nicht von Art. 6 DSGVO umfasste Verarbeitung dar. Ein derartiger Verstoß
fällt unter den Bußgeldtatbestand des
Artikel
83
DSGVO
sowie des § 22 SächsDSDG.
4. Wer sollte auf die Beachtung des Datenschutzes verpflichtet werden?
Es sollten sämtliche einem Verantwortlichen unterstellten Bediensteten, die Zugang zu per-
sonenbezogenen Daten haben, verpflichtet werden. Der Begriff „Zugang“ ist weit auszule-
gen. Auf die konkrete Tätigkeit des Bediensteten oder Mitarbeiters kommt es nicht an. Zu-
gang kann auch derjenige haben, zu dessen Aufgaben die Verarbeitung per-
sonenbezogener Daten nicht gehört. Unter den Begriff fallen mithin neben den regulären
Voll- und Teilzeitbediensteten des Verantwortlichen auch deren Auszubildende, Praktikan-
ten, Gutachter, externe Datenschutzbeauftragte und freie Mitarbeiter. Rechtsgrundlage der
Tätigkeit „für eine öffentliche Stelle“ in diesem Sinne kann ein Minister- oder Beamtenver-
hältnis, aber auch ein Dienst-, Arbeits-, Auftrags- oder Werkvertrag sein.
5. Verpflichtung im Fall der Auftragsverarbeitung?
Auftragsverarbeitungsverträge (z.B. Wartungs-, Aktenvernichtungsunternehmen) nach Artikel
28, 29 DSGVO sollten vorsehen, dass der Auftragsverarbeiter gewährleistet, dass sich die
zur Verarbeitung der personenbezogenen Daten befugten Personen zur Einhaltung des Da-
tenschutzes verpflichtet haben (Artikel 28 Absatz 3 lit. b DSGVO). Die Verpflichtung selbst
kann durch den Auftragsverarbeiter vorgenommen werden. Aus den Anforderungen an die
Auswahl des Auftragsverarbeiters ergibt sich allerdings, dass der Verantwortliche den Auf-
tragsverarbeiter überwachen muss. Er muss sich wie bisher Gewissheit darüber verschaffen,
dass der Auftragsverarbeiter alle technischen und organisatorischen Maßnahmen einhält, die
zum Schutz der betroffenen personenbezogenen Daten getroffen wurden. Er kann sich vor
diesem Hintergrund auch die Verpflichtungserklärungen zur Kontrolle vorlegen lassen.

Anlage 6a
Seite
107
von
155
Auszug aus der Datenschutz-Grundverordnung:
Artikel 4 Begriffsbestimmungen
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als
identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbe-
sondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnum-
mer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren be-
sonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physio-
logischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Iden-
tität dieser natürlichen Person sind;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vor-
gang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen
Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speiche-
rung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwen-
dung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der
Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen
oder die Vernichtung;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der
Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel
dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vor-
gegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kri-
terien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten
vorgesehen werden;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen
verarbeitet;“
Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten:
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene
Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung
nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht
in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;
eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wis-
senschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt
gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken
(„Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbei-
tung notwendige Maß beschränkt sein („Datenminimierung“);

Anlage 6a
Seite
108
von
155
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle
angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hin-
blick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder be-
richtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen
nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erfor-
derlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die
personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer
und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rech-
te und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öf-
fentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische
Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbei-
tet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personen-
bezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrecht-
mäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung
oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische
Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss
dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß die-
sem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in
jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle
von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der
Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in je-
dem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Um-
fangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der
Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen
Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maß-
nahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter
Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen techni-
schen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsver-
arbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhel-
fen und seine möglichen nachteiligen Auswirkungen zu mindern;

Anlage 6a
Seite
109
von
155
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere
ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auf-
tragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Ver-
antwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeord-
neten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten
Zertifizierungsverfahren nach Artikel 42 und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie
unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder ver-
miedene Verluste.
(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinan-
der verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere
Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße
nicht den Betrag für den schwerwiegendsten Verstoß.
(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2
Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu
2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Ge-
schäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8,
11, 25 bis 39, 42 und 43;
b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;
c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2
Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu
4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Ge-
schäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwil-
ligung, gemäß den Artikeln 5, 6, 7 und 9;
b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland
oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen
des Kapitels IX erlassen wurden;
e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Be-
schränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde ge-
mäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Ar-
tikel 58 Absatz 1.
(6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2
werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20
000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten

Anlage 6a
Seite
110
von
155
weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je
nachdem, welcher der Beträge höher ist.
Auszug aus dem Sächsischen Datenschutzdurchführungsgesetz
§ 22 Ordnungswidrigkeiten und Strafvorschrift
(1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes oder einer an-
deren Rechtsvorschrift über den Schutz personenbezogener Daten Daten, die nicht offen-
kundig sind, verarbeitet oder die Übermittlung durch unrichtige Angaben erschleicht.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfundzwanzigtausend Euro
geahndet werden.
(3) Der Sächsische Datenschutzbeauftragte ist Verwaltungsbehörde im Sinne des § 36 Ab-
satz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten in der Fassung der Bekanntma-
chung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 5 des Gesetzes vom
27. August 2017 (BGBl. I S. 3295) geändert worden ist, in der jeweils geltenden Fassung.
(4) Wer eine der in Absatz 1 bezeichneten Handlungen gegen Entgelt oder in der Absicht
begeht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, wird mit
Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar.

Anlage 6b
Seite
111
von
155
Behörde
Referat
Name des Verpflichtenden
Verpflichtung auf die Einhaltung des Datenschutzes
Herr/Frau
wird nach vorheriger Unterrichtung verpflichtet, beim Umgang mit personenbezogenen Daten die da-
tenschutzrechtlichen Bestimmungen einzuhalten.
Personenbezogene Daten dürfen Sie nur mit entsprechender Befugnis, die sich nach Artikel 6
Absatz 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) insbesondere aus
einer Rechtsvorschrift (u. a. Gesetz, Rechtsverordnung, Satzung) oder der Einwilligung der
betroffenen Person ergeben kann, verarbeiten.
Personenbezogene Daten dürfen Sie nur in dem Umfang und in der Weise verarbeiten, wie es
zur Erfüllung der Ihnen übertragen Aufgaben erforderlich ist.
Personenbezogene Daten müssen Sie nach den Grundsätzen des Artikels 5 der Datenschutz-
Grundverordnung verarbeiten.
Sie haben die zur Gewährleistung des Datenschutzes nach Artikel 5, 24, 25, 32 und 36 der
Datenschutz-Grundverordnung festgelegten technischen und organisatorischen Maßnahmen
zu beachten. Insbesondere darf die Sicherheit der Verarbeitung nicht in einer Weise verletzt
werden, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung per-
sonenbezogener Daten oder zum unbefugten Zugang zu personenbezogenen Daten führt.
Aus einer Verletzung der datenschutzrechtlichen Bestimmungen können sich für Sie dienst-, arbeits-,
ordnungswidrigkeiten- oder strafrechtliche Konsequenzen ergeben. So kann die unbefugte Verarbei-
tung personenbezogener Daten nach Artikel 83 der Datenschutz-Grundverordnung mit einer Geldbu-
ße oder nach § 22 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) mit einer Geldbuße
bis zu 25.000 Euro oder als Straftat mit bis zu zwei Jahren Freiheitsstrafe oder Geldstrafe geahndet
werden. Unberührt davon bleibt eine mögliche Ahndung nach den §§ 120, 133, 201, 203, 204, 331,
332, 353 b oder 355 StGB mit Freiheits- oder Geldstrafe. Der Sächsische Datenschutzbeauftragte
verfolgt und ahndet gemäß § 22 Abs. 3 SächsDSDG Verletzungen von Rechtsvorschriften über den
Schutz personenbezogener Daten. Bei Straftatbeständen kann der Dienstvorgesetzte Strafantrag
stellen (§ 77 a Abs. 1 StGB).
In Spezialgesetzen (z. B. dem Beamtenrecht, Tarifrecht, Sozialrecht, Steuerrecht) geregelte Ver-
schwiegenheitspflichten bleiben unberührt.
Die Verpflichtung auf die Einhaltung des Datenschutzes besteht auch nach der Beendigung Ihrer Tä-
tigkeit dauerhaft fort.
Erklärung:
Ich erkläre, über die Pflichten nach den datenschutzrechtlichen Bestimmungen, insbesondere der
Datenschutz-Grundverordnung sowie die Folgen ihrer Verletzung unterrichtet worden zu sein und
diese Pflichten bei meiner Tätigkeit einzuhalten. Mit meiner Unterschrift bestätige ich zugleich den
Empfang einer Kopie dieser Niederschrift einschließlich des Merkblattes zur Verpflichtung zur Einhal-
tung des Datenschutzes.
____________________________________
Datum, Unterschrift der/des Verpflichteten

Anlage 6b
Seite
112
von
155
Merkblatt zur Verpflichtung zur Einhaltung des Datenschutzes
2
Nachstehende ausgewählte gesetzliche Vorschriften sollen Ihnen einen Überblick über die datenschutzrechtli-
chen Regelungen verschaffen. Die Darstellung ist exemplarisch und nicht abschließend. Weitere Informationen
zu datenschutzrechtlichen Fragestellungen erhalten Sie beim behördlichen Datenschutzbeauftragten bzw. im
Internet unter
www.datenschutzrecht.sachsen.de
.
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur
Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
Auszug aus Artikel 4 (Begriffsbestimmungen)
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1.
„personenbezogene Daten“
alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche
Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen,
die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kenn-
nummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die
Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen
Identität dieser natürlichen Person sind, identifiziert werden kann;
2.
„Verarbeitung“
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche
Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisa-
tion, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwen-
dung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich
oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
7.
„Verantwortlicher“
die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein
oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten ent-
scheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaa-
ten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benen-
nung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8
.
“Auftragsverarbeiter“
eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die
personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;“
Artikel 5 (Grundsätze für die Verarbeitung personenbezogener Daten)
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Wei-
se verarbeitet werden
(„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“
);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken
nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse
liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt
gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken
(„Zweckbindung“
);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß be-
schränkt sein
(„Datenminimierung“)
;
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen
zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, un-
verzüglich gelöscht oder berichtigt werden
(„Richtigkeit“)
;
2
Das Merkblatt sollte noch um die behördenspezifischen Regelungen zum Datenschutz ergänzt werden, wie z. B. Regeln zum
Verhalten am Arbeitsplatz, Regelungen zur Bildung von Passwörtern, zum E-Mail-Verkehr und zur Internetnutzung.

Anlage 6b
Seite
113
von
155
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht,
wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger
gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter techni-
scher und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der
betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für
wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1
verarbeitet werden
(„Speicherbegrenzung“)
;
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewähr-
leistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust,
unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische
Maßnahmen
(„Integrität und Vertraulichkeit“)
;
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nach-
weisen können
(„Rechenschaftspflicht“)
.
Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße
gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und ab-
schreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach
Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbu-
ße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der
betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes
des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des
den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von
ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen
nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in
welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auf-
tragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen
angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach
Artikel 42 und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar
durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Anlage 6b
Seite
114
von
155
(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verar-
beitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt
der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.
(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10
000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsat-
zes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;
c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20
000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsat-
zes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln
5, 6, 7 und 9;
b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale
Organisation gemäß den Artikeln 44 bis 49;
d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaat