Zusammenarbeit mit der SDTB
Die Datenschutz-Grundverordnung (DSGVO) weist den Aufsichtsbehörden eine zentrale Funktion bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten zu. Damit die Aufsichtsbehörde, im Freistaat Sachsen also die Sächsische Datenschutzbeauftragte, diese Funktion effektiv wahrnehmen kann, sieht Artikel 31 DSGVO vor, dass Verantwortliche oder Auftragsverarbeiter mit der Aufsichtsbehörde zusammenarbeiten. Darüber hinaus ist die Aufsichtsbehörde über bestimmte Verarbeitungsvorgänge zu informieren, zu diesen zu konsultieren oder es sind auf deren Verlangen Auskünfte zu erteilen.
Ausschließlich für den öffentlichen Bereich (zum Beispiel für kommunale oder staatliche Behörden) ergänzt das Sächsische Datenschutzdurchführungsgesetz die diesbezüglichen Regelungen der Datenschutz-Grundverordnung.
Allgemeine Pflichten
Artikel 31 DSGVO soll insbesondere die Durchsetzbarkeit der Aufgaben der Aufsichtsbehörde nach den Artikeln 55 ff. DSGVO unterstützen. Sie kommt dann zum Tragen, wenn sich die Aufsichtsbehörde mit einer Anfrage an einen Verantwortlichen oder Auftragsverarbeiter wendet. Ein aktives Zugehen des Verantwortlichen oder Auftragsverarbeiters auf die Aufsichtsbehörde ist nach Artikel 31 DSGVO nicht erforderlich.
Die Aufsichtsbehörde besitzt insbesondere aus Artikel 58 der Datenschutz-Grundverordnung umfangreiche Befugnisse, bei denen Mitwirkungs- und Duldungspflichten der Verantwortlichen oder Auftragsverarbeiter bestehen. Dies betrifft insbesondere die Bereitstellung aller Informationen und Zugang zu allen personenbezogenen Daten, die die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben benötigt, die Duldung von Datenschutzüberprüfungen oder die Gewährung des Zugangs zu Diensträumen einschließlich aller Datenverarbeitungsanlagen und -geräte.
Melde-/Informationspflichten
Die Datenschutz-Grundverordnung enthält Melde- und Informationspflichten, denen – je nach Adressatenkreis der Norm – der Verantwortliche oder der Auftragsverarbeiter unterliegen. Diesen Pflichten ist aktiv nachzukommen.
Melde- und Informationspflichten gegenüber der Aufsichtsbehörde
Folgende wesentliche Melde- und Informationspflichten bestehen gegenüber der Aufsichtsbehörde:
Nach Artikel 33 DSGVO hat der Verantwortliche Verletzungen des Schutzes personenbezogener Daten unverzüglich der zuständigen Aufsichtsbehörde zu melden (z. B. per Webformular), es sei denn, dass die Verletzungen des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (der Verlust eines Datenträgers mit nach dem Stand der Technik verschlüsselten Daten etwa dürfte kein solches Risiko begründen).
Meldepflichtig ist nur der für die Datenverarbeitung Verantwortliche. Ist die Datenverarbeitung an einen Auftragsverarbeiter ausgelagert und entsteht die Datenschutzverletzung in dessen Sphäre, hat er unverzüglich den Verantwortlichen zu informieren, der wiederum die Meldung an die Aufsichtsbehörde vornimmt. Eine Verletzung des Schutzes personenbezogener Daten liegt gemäß Artikel 4 Nummer 12 DSGVO vor, wenn es sich um »eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden«.
Mit der Pflicht soll insbesondere Transparenz über stattgefundene Datenschutzverletzungen geschaffen werden und es den Aufsichtsbehörden und Betroffenen erleichtert werden, aus der Datenschutzverletzung resultierende Folgeschäden zu vermeiden bzw. zu minimieren.
Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht gemäß Artikel 37 Absatz 7 der Datenschutz-Grundverordnung die Kontaktdaten des Datenschutzbeauftragten und muss diese Daten auch der Aufsichtsbehörde mitteilen.
Konsultationen und Genehmigungspflichten
Konsultation im Ergebnis einer Datenschutz-Folgenabschätzung
Ergibt eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO, dass die Verarbeitung personenbezogener Daten ein hohes Risiko zur Folge hätte, muss der Verantwortliche in erster Linie Maßnahmen zur Eindämmung des Risikos treffen (siehe Datenschutz-Folgenabschätzung). Ist eine Eindämmung des hohen Risikos nicht möglich, muss der Verantwortliche die Sächsische Datenschutzbeauftragte vor der Verarbeitung konsultieren, vgl. Artikel 36 Absatz 1 bis 3 DSGVO. Erläuterungen zum Konsultationsverfahren finden Sie hier
Pflicht des Verantwortlichen oder Auftragsverarbeiters zur Bereitstellung des Verzeichnisses von Verarbeitungstätigkeiten
Auf Anfrage muss der Verantwortliche oder der Auftragsverarbeiter gemäß Artikel 30 Absatz 4 DSGVO der Sächsischen Datenschutzbeauftragten das Verzeichnis von Verarbeitungsvorgängen zur Verfügung stellen. Gegebenenfalls trifft diese Pflicht den Vertreter des Verantwortlichen oder des Auftragsverarbeiters. Das Verzeichnis dient der Aufsichtsbehörde als Ausgangspunkt ihrer Kontrollmaßnahmen und soll eine vorläufige Rechtmäßigkeitsprüfung ermöglichen. Die Vorlage hat ausdrücklich nur auf Anforderung zu erfolgen.
Pflichten des Gesetz- und Verordnungsgebers
Konsultation bei Erlass von Gesetzen und Rechtsverordnungen
Nach Artikel 36 Absatz 4 DSGVO haben der Gesetz- und Verordnungsgeber die Sächsische Datenschutzbeauftragte »bei der Ausarbeitung eines Vorschlags«, »die die Verarbeitung betreffen«, zu konsultieren. Dies betrifft mithin die Erstellung von Entwürfen von Rechtsvorschriften (Gesetze und Rechtsverordnungen), die die Verarbeitung personenbezogener Daten regeln. Die Konsultation sollte frühzeitig erfolgen, damit die rechtliche und technische Expertise der Sächsischen Datenschutzbeauftragten wie auch ihre praktische Erfahrung unmittelbar in den Erstellungsprozess einfließen kann. Für den Geschäftsbereich der Staatsregierung ist die Konsultationspflicht außerdem in § 12 Absatz 3 der Geschäftsordnung der Staatsregierung niedergelegt.
Informationspflichten gegenüber der EU-Kommission
Die Datenschutz-Grundverordnung eröffnet den Mitgliedstaaten für sogenannte besondere Verarbeitungssituationen die Möglichkeit, spezifische Rechtsvorschriften zu beschließen. Macht der Gesetzgeber von dieser Regelungsbefugnis Gebrauch, sieht die Datenschutz-Grundverordnung eine Mitteilung des Mitgliedsstaats an die EU-Kommission vor. Dies betrifft folgende Regelungsbereiche:
- Artikel 85 Absatz 2 DSGVO: Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
- Betroffen sind hier insbesondere Regelungen zum sogenannten Medienprivileg sowie zur datenschutzrechtlichen Aufsicht über Presseunternehmen oder Rundfunkanstalten, zum Beispiel die Regelungen im Sächsischen Pressegesetz oder Sächsischen Privatrundfunkgesetz.
- Hinweis: Für Informationsfreiheitsgesetze oder entsprechende kommunale Satzungen enthält Artikel 86 der Datenschutz-Grundverordnung die Öffnungsklausel. In diesen Fällen besteht keine Informationspflicht.
- Artikel 88 Absatz 1 DSGVO: Datenverarbeitung im Beschäftigungskontext
- Hinweis: Von der Meldepflicht sind nur Rechtsvorschriften betroffen, nicht aber Betriebs-, Dienst- oder sonstige Kollektivvereinbarungen (Tarifverträge).
- Artikel 90 Absatz 1 DSGVO: Vorschriften zu den Befugnissen der Aufsichtsbehörden gegenüber Verantwortlichen, die Geheimhaltungspflichten unterliegen
Die Informationspflicht besteht:
- beim erstmaligen Erlass einer Rechtsvorschrift auf der Grundlage der jeweiligen Öffnungsklausel,
- bei beibehaltenen Rechtsvorschriften, die sich auf die jeweilige Öffnungsklausel stützen sowie
- bei einer späteren Änderung der Rechtsvorschriften.
Pflichten der Verwaltungsvorschriftengeber
Nach § 20 Sächsischen Datenschutzdurchführungsgesetz haben öffentliche Stellen die Sächsische Datenschutzbeauftragte über den beabsichtigten Erlass von Verwaltungsvorschriften, soweit sie das Recht auf informationelle Selbstbestimmung betreffen, zu informieren. Diese Regelung versetzt die Sächsische Datenschutzbeauftragte in die Lage, ihre Beratungsaufgabe nach Artikel 57 Absatz 1 Buchstabe c DSGVO zu erfüllen.