Richtlinie (EU) 2016/680
Das Europäische Parlament und der Rat der Europäischen Union haben am 27. April 2016 – gemeinsam mit der Datenschutz-Grundverordnung (DSGVO) – die
beschlossen. Die behördliche Verarbeitung personenbezogener Daten für diese Zwecke fällt gemäß Artikel 2 Absatz 2 Buchstabe d DSGVO nicht in deren Anwendungsbereich.
Die Datenschutz-Richtlinie (EU) 2016/680 ist auf betroffene Personen und Verantwortliche in der Regel nicht unmittelbar anwendbar. Sie gibt lediglich einen Rahmen vor, innerhalb dessen sich die Gesetzgebung der Mitgliedsstaaten der Europäischen Union im Bereich »der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung« bewegen muss (zum Beispiel bei der Polizei- oder Strafvollzugsgesetzgebung). Adressat der Richtlinie ist also nicht die betroffene Person oder der Verantwortliche, sondern einzig der Gesetzgeber. Im deutschen Recht erfasst der Anwendungsbereich der Richtlinie auch die Verarbeitung personenbezogener Daten in den dem Strafverfahren sehr ähnlichen Bußgeldverfahren und im Straf- bzw. Justizvollzug. In Sachsen hat der Sächsische Landtag aufgrund dieser Richtlinie unter anderem das Sächsische Datenschutz-Umsetzungsgesetz und das Sächsische Justizvollzugsdatenschutzgesetz beschlossen.
Das Sächsische Datenschutzumsetzungsgesetz (SächsDSUG) vom 11. Mai 2019 trat am 1. Januar 2020 in Kraft und gilt für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen des Freistaates Sachsen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten, wobei die Verhütung von Straftaten den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit umfasst (§ 1 Absatz 1 Sächsisches Datenschutz-Umsetzungsgesetz). Soweit im Bereich der Gefahrenabwehr im weiteren Sinn personenbezogene Daten verarbeitet werden, etwa durch allgemeine Ortspolizeibehörden oder sonstige Gefahrenabwehrbehörden, ist der Anwendungsbereich der Datenschutz-Grundverordnung eröffnet (zur Abgrenzung der Anwendungsbereiche der Datenschutz-Grundverordnung und der Datenschutz-Richtlinie vgl. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2019, Seite 24).
Die Verarbeitung personenbezogener Daten durch die für die Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen (Staatsanwaltschaften, Kriminalpolizei, Bußgeldbehörden), die im Anwendungsbereich der Strafprozessordnung (StPO) stattfindet, richtet sich gemäß § 500 StPO nach den Vorschriften des 3. Teils des Bundesdatenschutzgesetzes (BDSG). Dementsprechend hat sich der Anwendungsbereich des Sächsischen Datenschutz-Umsetzungsgesetzes verringert. Das Sächsische Datenschutz-Umsetzungsgesetz kommt danach nur noch bei der Verarbeitung personenbezogener Daten im Bereich der straftatenverhütenden Gefahrenabwehr zur Anwendung; in aller Regel betrifft das Datenverarbeitungen durch den Polizeivollzugsdienst.
Im Bereich des Strafvollzuges, aber auch anderer Haftarten, die an strafprozessuale Entscheidungen anknüpfen, gilt für die Verarbeitung personenbezogener Daten das Sächsische Justizvollzugsdatenschutzgesetz (SächsJVollzDSG) vom 22. August 2019, das am 17. September 2019 in Kraft getreten ist.
Neben diesen Gesetzen, die die allgemeinen Datenschutzregeln in ihrem jeweiligen Anwendungsbereich enthalten, finden sich in den speziellen Fachgesetzen besondere und vorrangige Rechtsvorschriften zu fachspezifischen Datenverarbeitungen (zum Beispiel zu Überwachungsmaßnahmen nach der Strafprozessordnung, nach dem Sächsischen Polizeivollzugsdienstgesetz oder nach dem Sächsischen Strafvollzugsgesetz).