Historische Fassung war gültig vom 25.05.2018 bis 26.04.2019

Gesetz
zur Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments
und des Rates zum Schutz natürlicher Personen
bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr
und zur Aufhebung der Richtlinie 95/46/EG
(Sächsisches Datenschutzdurchführungsgesetz – SächsDSDG)

erlassen als Artikel 1 des Gesetzes zur Anpassung landesrechtlicher Vorschriften an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG

Vom 26. April 2018

Abschnitt 1
Allgemeine Vorschriften

§ 1
Zweck

Dieses Gesetz trifft die ergänzenden Regelungen zur Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72), in der jeweils geltenden Fassung. Gleichzeitig regelt es in den Grenzen der Verordnung (EU) 2016/679 spezifische Anforderungen an die Verarbeitung personenbezogener Daten.

§ 2
Anwendungsbereich

(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten im Anwendungsbereich der Verordnung (EU) 2016/679 durch Behörden und sonstige öffentliche Stellen des Freistaates Sachsen, der Gemeinden und Landkreise sowie der sonstigen der Aufsicht des Freistaates Sachsen unterstehenden juristischen Personen des öffentlichen Rechts (öffentliche Stellen). Nehmen nicht-öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes. Für den Landtag gilt dieses Gesetz nur, soweit er in Verwaltungsangelegenheiten tätig wird. Soweit der Landtag, seine Gremien, seine Mitglieder, die Fraktionen und deren Beschäftigte sowie die Landtagsverwaltung in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten, gibt sich der Landtag unter Berücksichtigung seiner verfassungsrechtlichen Stellung eine Datenschutzordnung.

(2) Als öffentliche Stellen gelten auch juristische Personen und sonstige Vereinigungen des privaten Rechts, an denen eine oder mehrere der in Absatz 1 genannten juristischen Personen des öffentlichen Rechts mit absoluter Mehrheit der Anteile oder absoluter Mehrheit der Stimmen beteiligt sind. Beteiligt sich eine juristische Person oder sonstige Vereinigung des privaten Rechts, die nach Satz 1 als öffentliche Stelle gilt, an einer weiteren Vereinigung des privaten Rechts, findet Satz 1 entsprechend Anwendung.

(3) Für die Sachsen-Finanzgruppe, die Sparkassen, andere öffentlich-rechtliche Unternehmen mit eigener Rechtspersönlichkeit und Stellen nach Absatz 2, die am Wettbewerb teilnehmen, gelten ergänzend zur Verordnung (EU) 2016/679 die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097), in der jeweils geltenden Fassung.

(4) Für die Verarbeitung personenbezogener Daten, die nicht in den sachlichen Anwendungsbereich nach Artikel 2 Absatz 1 der Verordnung (EU) 2016/679 fällt, oder die im Rahmen einer Tätigkeit erfolgt, die nach Artikel 2 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 nicht in deren Anwendungsbereich fällt, gelten ergänzend zu diesem Gesetz die Artikel 4 bis 26, 28 Absatz 1 bis 5, 9 und 10, Artikel 29 bis 35 Absatz 1 bis 3 und 7 bis 11, Artikel 36 bis 39, 44 bis 46 Absatz 1 bis 3, Artikel 48, 49, 55, 57 bis 59, 77 und 82 der Verordnung (EU) 2016/679 entsprechend, soweit dieses Gesetz oder andere spezielle Rechtsvorschriften keine abweichenden Regelungen enthalten. Die Artikel 30, 35 Absatz 1 bis 3 und 7 bis 11 und Artikel 36 der Verordnung (EU) 2016/679 gelten abweichend von Satz 1 nur, soweit die Verarbeitung automatisiert erfolgt oder die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(5) Soweit besondere Rechtsvorschriften des Freistaates Sachsen oder des Bundes den Schutz personenbezogener Daten regeln, gehen sie den Vorschriften dieses Gesetzes vor.

Abschnitt 2
Grundsätze der Datenverarbeitung

§ 3
Zulässigkeit der Verarbeitung personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten durch öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(2) Zu dem Zweck einer Verarbeitung personenbezogener Daten zählt auch die Verarbeitung zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung von Organisationsuntersuchungen und zur Prüfung und Wartung von automatisierten Verfahren sowie zu statistischen Zwecken des Verantwortlichen. Dies gilt auch für die Verarbeitung zu Aus-, Fort-, Weiterbildungs- und Prüfungszwecken, soweit nicht schutzwürdige Interessen der betroffenen Person entgegenstehen.

§ 4
Zulässigkeit der Verarbeitung personenbezogener Daten zu einem anderen Zweck

(1) Eine Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, ist zulässig, wenn

1.
es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,
2.
es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,
3.
es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes in der Fassung der Bekanntmachung vom 11. Dezember 1974 (BGBl. I S. 3427), das zuletzt durch Artikel 4 des Gesetzes vom 27. August 2017 (BGBl. I S. 3295) geändert worden ist, in der jeweils geltenden Fassung, oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
4.
die Einholung der Einwilligung der betroffenen Person nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre, aber offensichtlich ist, dass die Datenverarbeitung in ihrem Interesse liegt und sie in Kenntnis des anderen Zweckes ihre Einwilligung erteilen würde,
5.
es erforderlich ist, Angaben der betroffenen Person zu überprüfen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen, oder
6.
die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen.

(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen nach Absatz 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 vorliegen.

(3) Sind mit personenbezogenen Daten, die auf Grund von Rechtsvorschriften im Sinne des Artikels 6 Absatz 1 Buchstabe c oder Buchstabe e der Verordnung (EU) 2016/679 verarbeitet werden, weitere personenbezogene Daten der betroffenen Person oder Dritter so verbunden, dass eine Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, ist die Übermittlung auch dieser Daten an öffentliche Stellen zulässig, soweit nicht Rechte und Freiheiten der betroffenen Person oder anderer Personen an deren Geheimhaltung offensichtlich überwiegen; eine weitere Verarbeitung dieser Daten ist unzulässig.

(4) Unterliegen die übermittelten Daten einem Berufsgeheimnis, ist ihre Verarbeitung zu einem anderen Zweck im Sinne der Absätze 1 und 2 nur zulässig, wenn die zur Verschwiegenheit verpflichtete Person oder Stelle eingewilligt hat.

(5) Abweichend von Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verordnung (EU) 2016/679 erfolgt eine Information der betroffenen Person über die Datenverarbeitung nach Absatz 1 Nummer 1 bis 3 nicht, soweit und solange hierdurch der Zweck der Verarbeitung gefährdet würde.

§ 5
Erhebung personenbezogener Daten

Werden personenbezogene Daten bei einem Dritten oder einer Stelle außerhalb des öffentlichen Bereichs erhoben, sind diese auf deren Verlangen auf den Erhebungszweck hinzuweisen, soweit dadurch schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden. Werden die Daten auf Grund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, ist der Dritte oder die Stelle auf die Auskunftspflicht und sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.

§ 6
Verantwortung bei der Übermittlung personenbezogener Daten

(1) Die Verantwortung für die Zulässigkeit der Übermittlung personenbezogener Daten trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Ersuchen einer öffentlichen Stelle, trägt diese die Verantwortung. In diesem Fall prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt, es sei denn, es besteht besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung.

(2) Erfolgt die Übermittlung durch automatisierten Abruf, trägt die Verantwortung für die Rechtmäßigkeit des Abrufes die abrufende öffentliche Stelle.

Abschnitt 3
Rechte der betroffenen Person

§ 7
Beschränkungen zur Löschung, Vernichtung oder Einschränkung der Verarbeitung personenbezogener Daten

Soweit öffentliche Stellen verpflichtet sind, Unterlagen dem Sächsischen Staatsarchiv zur Übernahme anzubieten, ist eine Löschung oder Vernichtung erst zulässig, nachdem die Unterlagen dem Sächsischen Staatsarchiv angeboten und von diesem als nicht archivwürdig bewertet worden sind oder über die Archivwürdigkeit nicht fristgemäß gemäß § 5 Absatz 6 des Archivgesetzes für den Freistaat Sachsen vom 17. Mai 1993 (SächsGVBl. S. 449), das zuletzt durch Artikel 25 des Gesetzes vom 26. April 2018 (SächsGVBl. S. 198) geändert worden ist, in der jeweils geltenden Fassung, entschieden worden ist. Die Einschränkung der Verarbeitung personenbezogener Daten lässt die Anbietungspflicht nach dem Archivgesetz für den Freistaat Sachsen unberührt. Die Sätze 1 und 2 gelten für Träger von Archiven sonstiger öffentlicher Stellen nach dem Dritten Abschnitt des Archivgesetzes für den Freistaat Sachsen entsprechend.

§ 8
Beschränkung der Informationspflicht

(1) Bei der Erhebung personenbezogener Daten sieht der Verantwortliche von einer Information der betroffenen Person nach Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 ab, soweit und solange

1.
die Weitergabe der Information die öffentliche Sicherheit gefährden oder dem Wohle des Freistaates Sachsen, eines anderen Landes oder des Bundes Nachteile bereiten würde,
2.
dies zur Verfolgung von Straftaten oder Ordnungswidrigkeiten notwendig ist oder
3.
die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind.

(2) Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten an Staatsanwaltschaften, Polizeidienststellen und andere für die Verfolgung von Straftaten zuständige Stellen, Verfassungsschutzbehörden, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, ist diesen vorab Gelegenheit zur Stellungnahme zu geben.

(3) Sieht der Verantwortliche gemäß Absatz 1 von einer Information der betroffenen Person ab, hat er die Gründe hierfür zu dokumentieren.

§ 9
Beschränkung des Auskunftsrechts

(1) Die Auskunft nach Artikel 15 der Verordnung (EU) 2016/679 unterbleibt, soweit

1.
sie die öffentliche Sicherheit gefährden oder dem Wohle des Freistaates Sachsen, eines anderen Landes oder des Bundes Nachteile bereiten würde,
2.
dies zur Verfolgung von Straftaten oder Ordnungswidrigkeiten notwendig ist oder
3.
die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind.

(2) Die ablehnende Entscheidung bedarf keiner Begründung, soweit durch die Begründung der Zweck der Ablehnung gefährdet würde. In diesem Fall ist die betroffene Person darauf hinzuweisen, dass sie den Sächsischen Datenschutzbeauftragten anrufen kann. Diesem ist auf Verlangen der betroffenen Person die Auskunft zu erteilen. Die Mitteilung des Sächsischen Datenschutzbeauftragten an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Auskunft zustimmt.

(3) Bezieht sich die Auskunft auf die Übermittlung personenbezogener Daten an Staatsanwaltschaften, Polizeidienststellen und andere für die Verfolgung von Straftaten zuständige Stellen, Verfassungsschutzbehörden, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, ist diesen vorab Gelegenheit zur Stellungnahme zu geben.

§ 10
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

(1) Der Verantwortliche sieht über Artikel 34 Absatz 3 der Verordnung (EU) 2016/679 hinaus von der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person ab, soweit und solange

1.
die Information die öffentliche Sicherheit gefährden oder dem Wohle des Freistaates Sachsen, eines anderen Landes oder des Bundes Nachteile bereiten würde,
2.
dies zur Verfolgung von Straftaten oder Ordnungswidrigkeiten notwendig ist,
3.
die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind oder
4.
die Information die Sicherheit von informationstechnischen Systemen gefährden würde.

(2) § 8 Absatz 3 gilt entsprechend.

Abschnitt 4
Besondere Verarbeitungssituationen

§ 11
Verarbeitung von Beschäftigtendaten

(1) Öffentliche Stellen dürfen personenbezogene Daten einschließlich Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 von Bewerbern oder Beschäftigten nur verarbeiten, soweit dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienst- oder Betriebsvereinbarung dies vorsieht. Dies gilt auch für Daten Dritter, deren Verarbeitung für die in Satz 1 genannten Zwecke erforderlich ist.

(2) Bei der Verarbeitung von personenbezogenen Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen kann dazu unbeschadet der in den Artikeln 25, 32 und 36 der Verordnung (EU) 2016/679 genannten Maßnahmen insbesondere gehören:

1.
zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
2.
an Verarbeitungsvorgängen Beteiligte zu sensibilisieren und zu schulen.

(3) Eine Veröffentlichung der Daten von Beschäftigten ist unbeschadet des Artikels 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 nur zulässig, wenn diese zum Zweck der Information der Allgemeinheit oder der anderen Beschäftigten erforderlich ist und ihr keine schutzwürdigen Interessen der betroffenen Person entgegenstehen.

(4) Daten, die vor Beginn eines Dienst- oder Arbeitsverhältnisses erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhältnis nicht zustande kommt. Dies gilt nicht, wenn Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange der betroffenen Person beeinträchtigt werden. Die betroffene Person ist hiervon zu verständigen.

(5) Daten von Beschäftigten, die zur Verhaltens- oder Leistungskontrolle erhoben werden, dürfen nur zu diesem Zweck verarbeitet werden.

§ 12
Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken

(1) Die Verarbeitung personenbezogener Daten einschließlich solcher nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zu wissenschaftlichen oder historischen Forschungszwecken ist zulässig, soweit dies für die Durchführung der wissenschaftlichen oder historischen Forschung erforderlich ist, insbesondere der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann, und wenn das öffentliche, insbesondere das wissenschaftliche oder historische Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person am Unterbleiben der Verarbeitung überwiegt.

(2) § 11 Absatz 2 gilt entsprechend. Ergänzend dazu sind, soweit es der Forschungszweck erlaubt, die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, getrennt zu speichern; die Merkmale sind zu löschen, sobald der Forschungszweck dies zulässt.

(3) Soweit die Vorschriften dieses Gesetzes auf den Empfänger der Daten keine Anwendung finden, dürfen diesem nur personenbezogene Daten übermittelt werden, wenn sich der Empfänger verpflichtet, die übermittelten Daten nur zu Forschungszwecken zu verarbeiten und die Vorschriften der Absätze 2 und 4 einzuhalten.

(4) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen unbeschadet des Artikels 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 personenbezogene Daten nur veröffentlichen, soweit dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist und überwiegende schutzwürdige Interessen der betroffenen Person nicht entgegenstehen.

(5) Die Rechte auf Auskunft nach Artikel 15 der Verordnung (EU) 2016/679, auf Berichtigung nach Artikel 16 der Verordnung (EU) 2016/679, auf Einschränkung der Verarbeitung nach Artikel 18 der Verordnung (EU) 2016/679 und auf Widerspruch nach Artikel 21 der Verordnung (EU) 2016/679 bestehen nicht, soweit die Wahrnehmung dieser Rechte die spezifischen Forschungszwecke unmöglich machen oder ernsthaft beeinträchtigen würde und die Beschränkung für die Erfüllung der Forschungszwecke notwendig ist.

§ 13
Videoüberwachung öffentlich zugänglicher Räume

(1) Die Erhebung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung), deren Speicherung und sonstige Verarbeitung sind nur zulässig, soweit dies jeweils zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung des Hausrechts erforderlich ist und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen betroffener Personen überwiegen.

(2) Eine Weiterverarbeitung zu anderen Zwecken ist nur zulässig, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit sowie zur Verfolgung von Straftaten, zur Geltendmachung von Rechtsansprüchen oder zur Wahrung schutzwürdiger Interessen betroffener Personen, insbesondere zur Behebung einer bestehenden Beweisnot, erforderlich ist.

(3) Die Tatsache der Videoüberwachung, der Name und die Kontaktdaten des Verantwortlichen sowie die Möglichkeit, beim Verantwortlichen die weiteren Informationen nach Artikel 13 der Verordnung (EU) 2016/679 zu erhalten, sind durch geeignete Maßnahmen erkennbar zu machen.

(4) Die nach Absatz 1 gespeicherten Daten sind unverzüglich, spätestens einen Monat nach der Erhebung zu löschen, soweit sie zur Erreichung der Zwecke nach Absatz 1 und 2 nicht mehr erforderlich sind.

Abschnitt 5
Sächsischer Datenschutzbeauftragter

§ 14
Zuständigkeit

(1) Der Sächsische Datenschutzbeauftragte ist Aufsichtsbehörde im Sinne des Artikels 51 Absatz 1 der Verordnung (EU) 2016/679. Er überwacht bei den öffentlichen Stellen gemäß § 2 Absatz 1 und 2 die Anwendung der Vorschriften über den Datenschutz.

(2) Der Sächsische Datenschutzbeauftragte ist zuständige Aufsichtsbehörde nach § 40 des Bundesdatenschutzgesetzes für die Datenverarbeitung nicht-öffentlicher Stellen.

(3) Sofern die Verarbeitung der personenbezogenen Daten zu journalistischen Zwecken erfolgt, bleiben die Vorschriften zu dem Beauftragten für den Datenschutz im Sächsischen Privatrundfunkgesetz in der Fassung der Bekanntmachung vom 9. Januar 2001 (SächsGVBl. S. 69, 684), das zuletzt durch Artikel 4 des Gesetzes vom 26. April 2018 (SächsGVBl. S. 198) geändert worden ist, in der jeweils geltenden Fassung, unberührt. Für die Verarbeitung personenbezogener Daten zu nicht-journalistischen Zwecken ist der Sächsische Datenschutzbeauftrage Aufsichtsbehörde.

§ 15
Errichtung

(1) Der Sächsische Datenschutzbeauftragte ist eine oberste Staatsbehörde mit Dienstsitz in Dresden.

(2) Die Beamten und Beschäftigten beim Sächsischen Datenschutzbeauftragten sind Beamte und Beschäftigte des Freistaates Sachsen.

(3) Der Sächsische Datenschutzbeauftragte ist Vorgesetzter und oberste Dienstbehörde seiner Mitarbeiter.

(4) Der Sächsische Datenschutzbeauftragte ernennt und entlässt seine Beamten. Ihm obliegt auch die Einstellung und Entlassung seiner Beschäftigten. Die personelle und sachliche Ausstattung erfolgt im Rahmen der durch den Haushaltsgesetzgeber bewilligten Stellen und Mittel.

(5) Der Sächsische Datenschutzbeauftragte unterliegt der Rechnungsprüfung durch den Sächsischen Rechnungshof, soweit hierdurch seine Unabhängigkeit im Sinne des Artikels 52 Absatz 1 der Verordnung (EU) 2016/679 nicht beeinträchtigt wird.

§ 16
Ernennung und Amtszeit

(1) Der Sächsische Datenschutzbeauftragte wird vom Landtag mit der Mehrheit seiner Mitglieder gewählt. Wählbar ist, wer die Voraussetzungen für die Berufung in das Beamtenverhältnis auf Zeit erfüllt und über die für die Erfüllung der Aufgaben und Ausübung der Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde, insbesondere im Bereich des Schutzes personenbezogener Daten, verfügt. Der Präsident des Landtages kann die Staatsregierung um Vorschläge ersuchen. Der Gewählte ist vom Präsidenten des Landtages zu ernennen.

(2) Der Sächsische Datenschutzbeauftragte leistet vor dem Landtag folgenden Eid: „Ich schwöre, meine Amtspflichten gewissenhaft zu erfüllen, Verfassung und Recht zu achten und zu verteidigen und Gerechtigkeit gegenüber allen zu üben.“ Der Eid kann auch mit der Beteuerung „So wahr mir Gott helfe“ geleistet werden.

(3) Die Amtszeit des Sächsischen Datenschutzbeauftragten beträgt sechs Jahre. Eine einmalige Wiederwahl ist zulässig.

(4) Die Entscheidung über die Amtsenthebung gemäß Artikel 53 Absatz 4 der Verordnung (EU) 2016/679 trifft der Landtag mit einer Mehrheit von zwei Dritteln seiner Mitglieder. Ob eine schwere Verfehlung im Sinne von Artikel 53 Absatz 4 der Verordnung (EU) 2017/679 vorliegt, entscheiden die Richterdienstgerichte des Freistaates Sachsen nach den für sie geltenden Vorschriften. Das Antragsrecht zur Einleitung eines solchen Verfahrens übt hinsichtlich des Sächsischen Datenschutzbeauftragten der Präsident des Landtages aus.

(5) Für den Fall seiner Verhinderung bestimmt der Sächsische Datenschutzbeauftragte einen Stellvertreter. Die Vertretungsbefugnis besteht nach Ende der Amtszeit des Sächsischen Datenschutzbeauftragten bis zur Ernennung eines Amtsnachfolgers fort.

§ 17
Amtsverhältnis

(1) Der Sächsische Datenschutzbeauftragte steht in einem öffentlich-rechtlichen Amtsverhältnis zum Freistaat Sachsen.

(2) Das Amtsverhältnis beginnt mit Aushändigung der Ernennungsurkunde.

(3) Der Sächsische Datenschutzbeauftragte erhält Amtsbezüge in Höhe des Grundgehaltes der Besoldungsgruppe B 5 gemäß der Anlage 5 zum Sächsischen Besoldungsgesetz vom 18. Dezember 2013 (SächsGVBl. S. 970, 1005), das zuletzt durch Artikel 13 des Gesetzes vom 26. April 2018 (SächsGVBl. S. 198) geändert worden ist, in der jeweils geltenden Fassung. Im Übrigen finden die für Beamte des Freistaates Sachsen geltenden besoldungsrechtlichen Bestimmungen entsprechende Anwendung.

(4) Für den Sächsischen Datenschutzbeauftragten und seine Hinterbliebenen finden die für Beamte auf Zeit des Freistaates Sachsen geltenden versorgungsrechtlichen Bestimmungen entsprechende Anwendung. Daneben finden hinsichtlich der Reise- und Umzugskosten, des Trennungsgeldes, der Beihilfe und des Sachschadensersatzes außerhalb der Unfallfürsorge sowie sonstiger Fürsorgeleistungen die für Beamte des Freistaates Sachsen geltenden Bestimmungen entsprechende Anwendung. Gleiches gilt in Urlaubsangelegenheiten.

(5) Das Landesamt für Steuern und Finanzen ist zuständig für

1.
die Festsetzung, Anordnung und Abrechnung der Amtsbezüge,
2.
die Festsetzung, Anordnung und Abrechnung der Beihilfe und des Sachschadensersatzes außerhalb der Unfallfürsorge,
3.
die Festsetzung, Regelung, Anordnung und Abrechnung der Versorgungsbezüge,
4.
die Rückforderung von Geldleistungen nach den Nummern 1 bis 3,
5.
den Erlass von Widerspruchsbescheiden gegen Entscheidungen nach den Nummern 1 bis 4.

Zuständig für die Gewährung von Reise- und Umzugskosten, Trennungsgeld sowie der sonstigen Fürsorgeleistungen ist die Dienststelle des Sächsischen Datenschutzbeauftragten.

§ 18
Besondere Pflichten

(1) Der Sächsische Datenschutzbeauftragte darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben sowie weder der Leitung, dem Aufsichtsrat oder dem Verwaltungsrat eines auf Erwerb gerichteten Unternehmens, das im Freistaat Sachsen tätig ist, noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben. Er hat dem Präsidenten des Landtages Mitteilung über Geschenke zu machen, die er in Bezug auf das Amt erhält. Der Präsident des Landtages entscheidet über die Verwendung der Geschenke.

(2) Der Sächsische Datenschutzbeauftragte sieht für die Dauer von zwei Jahren nach Beendigung seiner Amtszeit von allen mit den Aufgaben seines früheren Amtes nicht zu vereinbarenden Handlungen und entgeltlichen Tätigkeiten ab.

(3) Der Sächsische Datenschutzbeauftragte und seine Mitarbeiter sind, auch nach Beendigung der Tätigkeit, verpflichtet, über die ihnen amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit gegenüber jedermann zu wahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Der Sächsische Datenschutzbeauftragte entscheidet nach pflichtgemäßem Ermessen, ob und inwieweit er oder seine Mitarbeiter über solche Angelegenheiten vor Gericht oder außergerichtlich aussagen oder Erklärungen abgeben; nach Beendigung seines Amtsverhältnisses ist die Genehmigung des amtierenden Sächsischen Datenschutzbeauftragten erforderlich.

§ 19
Befugnisse

(1) Der Sächsische Datenschutzbeauftragte und seine Mitarbeiter sind zur Erfüllung ihrer Aufgaben befugt, jederzeit Diensträume zu betreten und Zugang zu allen Datenverarbeitungsanlagen und -geräten zu erhalten.

(2) Stellt der Sächsische Datenschutzbeauftragte einen strafbewehrten Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz fest, ist er befugt, diesen bei der zuständigen Behörde zur Anzeige zu bringen.

(3) Die Befugnis, Geldbußen zu verhängen, steht dem Sächsischen Datenschutzbeauftragten gegenüber Behörden und öffentlichen Stellen im Sinne des § 2 Absatz 1 und 2 nur zu, soweit diese als Unternehmen am Wettbewerb teilnehmen.

§ 20
Pflicht zur Information des Sächsischen Datenschutzbeauftragten

Die öffentlichen Stellen haben den Sächsischen Datenschutzbeauftragten über den beabsichtigten Erlass von Verwaltungsvorschriften, soweit sie das Recht auf informationelle Selbstbestimmung betreffen, zu informieren.

§ 21
Kostenerhebung

(1) Der Sächsische Datenschutzbeauftragte kann unbeschadet des Artikels 57 Absatz 3 der Verordnung (EU) 2016/679 für Amtshandlungen und sonstige öffentlich-rechtliche Leistungen nach der Verordnung (EU) 2016/679 und dem Bundesdatenschutzgesetz Gebühren und Auslagen (Kosten) erheben. Die Kosten fließen dem Freistaat Sachsen zu.

(2) Die Staatsregierung wird ermächtigt, die gebührenpflichtigen Tatbestände und Gebührensätze im Einvernehmen mit dem Sächsischen Datenschutzbeauftragten durch Rechtsverordnung festzulegen. Für Amtshandlungen und sonstige öffentlich-rechtliche Leistungen nach der Verordnung (EU) 2016/679 und dem Bundesdatenschutzgesetz, die nicht in einer Rechtsverordnung nach Satz 1 enthalten sind, wird eine Verwaltungsgebühr erhoben, die nach in der Rechtsverordnung bewerteten vergleichbaren Amtshandlungen zu bemessen ist. Fehlt eine vergleichbare Amtshandlung, wird eine Verwaltungsgebühr in Höhe von 5 bis 25 000 Euro erhoben.

(3) Kosten für Untersuchungen nach Artikel 57 Absatz 1 Buchstabe f und h der Verordnung (EU) 2016/679 werden nur erhoben, wenn ein Verstoß gegen die Verordnung (EU) 2016/679, das Bundesdatenschutzgesetz oder eine andere Bestimmung über den Datenschutz festgestellt wird. Untersuchungen oder Beratungen einfacher Art und die Beratung nicht-öffentlicher Stellen ohne Gewinnerzielungsabsicht sind kostenfrei.

(4) Die Höhe der Verwaltungsgebühr ist nach dem Verwaltungsaufwand und der Bedeutung der Angelegenheit für die Beteiligten zu bemessen.

(5) Der Sächsische Datenschutzbeauftragte entscheidet in eigener Verantwortung über die Ermäßigung oder Befreiung von Kosten, soweit dies aus Gründen der Billigkeit oder aus öffentlichem Interesse geboten ist. Im Übrigen finden § 2 Absatz 1 Satz 1 und Absatz 2 bis 4, §§ 4, 9 Absatz 1, §§ 10, 12 bis 23 und 26 des Verwaltungskostengesetzes des Freistaates Sachsen in der Fassung der Bekanntmachung vom 17. September 2003 (SächsGVBl. S. 698), das zuletzt durch Artikel 31 des Gesetzes vom 27. Januar 2012 (SächsGVBl. S. 130) geändert worden ist, in der jeweils geltenden Fassung, entsprechende Anwendung.

Abschnitt 6
Schlussvorschriften

§ 22
Ordnungswidrigkeiten und Strafvorschrift

(1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes oder einer anderen Rechtsvorschrift über den Schutz personenbezogener Daten Daten, die nicht offenkundig sind, verarbeitet oder die Übermittlung durch unrichtige Angaben erschleicht.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfundzwanzigtausend Euro geahndet werden.

(3) Der Sächsische Datenschutzbeauftragte ist Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 5 des Gesetzes vom 27. August 2017 (BGBl. I S. 3295) geändert worden ist, in der jeweils geltenden Fassung.

(4) Wer eine der in Absatz 1 bezeichneten Handlungen gegen Entgelt oder in der Absicht begeht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar.

§ 23
Einschränkung eines Grundrechts

Das Grundrecht auf informationelle Selbstbestimmung nach Artikel 33 der Verfassung des Freistaates Sachsen wird durch dieses Gesetz eingeschränkt.

§ 24
Übergangsregelung

Der zum Zeitpunkt des Inkrafttretens dieses Gesetzes im Amt befindliche Sächsische Datenschutzbeauftragte gilt als nach § 16 Absatz 1 Satz 4 ernannt. Das Amtsverhältnis gilt als nach § 16 Absatz 3 Satz 1 begonnen. Die Amtszeit endet am 31. Dezember 2021. Mit Inkrafttreten dieses Gesetzes sind die Beamten und Beschäftigten beim Sächsischen Datenschutzbeauftragten vom Landtag zum Sächsischen Datenschutzbeauftragten versetzt.