Datenschutzerklärung für die Aufsichtsbehörde

1. Einleitung und Zwecke der Verarbeitung

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) verarbeitet personenbezogene Daten für die Erfüllung ihrer Aufgaben als Aufsichtsbehörde nach Artikel 57 Absatz 1 Buchstabe f. Datenschutz-Grundverordnung (DSGVO) in Verbindung mit den §§ 14, 19 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) und § 40 Bundesdatenschutzgesetz (BDSG) im nicht-öffentlichen und dem größten Teil des öffentlichen Bereichs sowie für die Erfüllung ihrer Aufgaben als Kontrollbehörde nach § 37 Sächsisches Datenschutz-Umsetzungsgesetz (SächsDSUG) und § 65 Nr. 5 Sächsisches Justizvollzugsdatenschutzgesetz (SächsJVollzDSG) für den Bereich der Polizei, der Strafvollstreckung und der außerhalb des Unionsrechts stehenden Datenverarbeitung (z. B. des Verfassungsschutzes).
Dazu gehören insbesondere die personenbezogenen Daten von Beschwerdeführern, Hinweisgebern, Verantwortlichen sowie Auftragsverarbeitern und deren Mitarbeitern.

2. Rechtsgrundlagen der Verarbeitung

§ 3 SächsDSDG in Verbindung mit Artikel 57 DSGVO und § 14 SächsDSDG, 40 BDSG; § 40 SächsDSUG, § 65 Nr. 5 SächsJVollzDSG

Die Offenbarung Ihrer Person als Beschwerdeführer oder Hinweisgeber und damit verbundener personenbezogenen Daten gegenüber einem Verantwortlichen der streitigen Datenverarbeitung sowie anderen beteiligten Stellen erfolgt grundsätzlich auf Grundlage Ihrer Einwilligung.

3. Herkunft der Daten, Datenkategorien

Soweit Sie Ihre Person betreffende Daten nicht selbst bereitgestellt haben, sind sie der SDTB entweder durch vorgeschriebene Meldungen (Datenpannen, Mitteilung benannter Datenschutzbeauftragter) oder durch Beschwerdeführer bzw. Hinweisgeber bekanntgegeben worden. Darüber hinaus greift die SDTB zur Erfüllung ihrer Aufsichtstätigkeit auch auf öffentliche Quellen wie bspw. das Handelsregister oder das Einwohnermelderegister zu. Die zu untersuchenden Sachverhalte können sämtliche Lebensbereiche betreffen und somit jede Kategorie von personenbezogenen Daten, auch besondere Kategorien gemäß Artikel 9 DSGVO.

4. Empfängerkategorien

Bei der Wahrnehmung ihrer Aufgaben übermittelt die SDTB erforderlichenfalls personenbezogene Daten an andere öffentliche Stellen der Europäischen Union, des Bundes (z. B. den/die Bundesbeauftragte/-n für den Datenschutz und die Informationsfreiheit), der Länder (z. B. andere Aufsichtsbehörden), des Freistaates Sachsen (z. B. Landesamt für Finanzen zur Zahlungsabwicklung), an nicht-öffentliche Stellen (z. B. an Unternehmen, soweit dies zur Aufsicht erforderlich ist) sowie an betroffene Personen.

Dabei wird stets geprüft, ob eine Übermittlung in diesem Sinne erforderlich ist, das heißt, ob die SDTB ohne die Übermittlung ihre Aufgaben nicht, nicht vollständig oder nicht rechtzeitig erfüllen könnte.

Stellt die SDTB bei öffentlichen Stellen einen strafbewehrten Verstoß gegen Vorschriften über den Datenschutz fest, ist sie nach § 19 Absatz 2 SächsDSDG, § 40 Absatz 2 SächsDSUG, § 65 Nr. 5 SächsJVollzDSG in Verbindung mit § 40 SächsDSUG oder ähnlichen Vorschriften in anderen Rechtsvorschriften befugt, diesen bei der zuständigen Behörde (z. B. der Staatsanwaltschaft) anzuzeigen.

Stellt die SDTB bei nicht-öffentlichen Stellen einen Verstoß gegen Vorschriften über den Datenschutz fest, ist sie nach § 40 Absatz 3 Satz 3 BDSG befugt, diesen anderen für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten.

5. Speicherdauer

Personenbezogene Daten werden bei der SDTB solange gespeichert, wie dies zur Erfüllung ihrer Aufgaben erforderlich ist. Nach Abschluss eines Vorgangs richtet die sich daran anschließende Aufbewahrungsfrist gemäß dem Aktenplan nach der Art des Aufsichtsvorgangs:

6 Monate: Auskunftsersuchen nach Artikel 15 DSGVO
2 Jahre: Abgabe- und Unzuständigkeitsfälle,
3 Jahre: anlassbedingte Kontrollvorgänge (z. B. Beschwerden, Datenpannenmeldungen), Meldungen benannter Datenschutzbeauftragter
10 Jahre: alle sonstigen Vorgänge, insbesondere auch Beratungen und anlassfreie Kontrollen

Sämtliche Fristen beginnen mit Ablauf des Jahres, in welchem die Bearbeitung des jeweiligen Aufsichtsvorganges abgeschlossen worden ist.
Anschließend muss die SDTB die in ihrem Bereich entstandenen Unterlagen, die eventuell Ihre Daten enthalten können, gemäß Archivrecht dem Sächsischen Staatsarchiv anbieten, das dann nach archivfachlichen Maßstäben darüber entscheidet, ob es diese Unterlagen übernimmt. Tut es das nicht, vernichtet die SDTB diese Unterlagen.

6. Ihre Rechte

Ihnen stehen die in den Artikeln 15 bis 18 und 20 bis 21 DSGVO genannten Rechte zu, insbesondere das Recht auf Auskunft (Artikel 15 DSGVO), die Rechte auf Berichtigung, auf Löschung sowie auf Einschränkung der Verarbeitung (Artikel 16 bis 18 DSGVO), das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO) und das Recht auf Widerspruch (Artikel 21 DSGVO). Auf die durch den Landesgesetzgeber in den §§ 7 und 9 SächsDSDG nach Artikel 23 DSGVO erfolgten Beschränkungen wird hingewiesen.

7. Einwilligung zur Datenverarbeitung

Beruht die Datenverarbeitung der SDTB ausnahmsweise auf Ihrer Einwilligung, so dürfen Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, Artikel 7 Absatz 3 DSGVO.

8. Beschwerderecht

Sie haben das Recht, sich jederzeit an die SDTB zu wenden, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten bei der SDTB gegen die DSGVO oder eine andere datenschutzrechtliche Vorschrift verstößt, Artikel 77 DSGVO, § 16 SächsDSUG, § 65 Nr. 1 SächsJVollzDSG.

9. Vorgaben zur Datenbereitstellung

Als Beschwerdeführer oder Hinweisgeber stellen Sie uns Ihre Daten freiwillig bereit. Allerdings können wir als SDTB ohne ausreichende Angaben Ihrerseits im Einzelfall Ihre Beschwerde oder Ihren Hinweis nicht vollständig oder rechtzeitig bearbeiten.
Nicht-öffentliche Stellen sind nach § 40 Absatz 4 Satz 1 BDSG bzw. Artikel 58 Absatz 1 Buchstabe a DSGVO zur unverzüglichen und vollständigen Erteilung der für die Erfüllung der Aufgaben der Aufsichtsbehörde erforderlichen Auskünfte verpflichtet. Allerdings dürfen deren Vertreter die Auskunft auf solche Fragen verweigern, deren Beantwortung sie selbst oder einen Ihrer in § 383 Absatz 1 Nr. 1 bis 3 Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde (§ 40 Absatz 4 Satz 2 BDSG).
Auch öffentliche Stellen sind nach Artikel 58 Absatz 1 Buchstabe a DSGVO (ggf. in Verbindung mit § 28 SächsDSG) zur unverzüglichen und vollständigen Erteilung der für die Erfüllung der Aufgaben der Aufsichtsbehörde erforderlichen Auskünfte verpflichtet.
Unabhängig davon sind folgende gesetzlich vorgeschriebene Meldepflichten zu beachten:
- Mitteilung benannter Datenschutzbeauftragter (Artikel 37 Absatz 7 DSGVO; § 34 Absatz SächsDSUG; § 65 Nr. 4 SächsJVollzDSG)
- Meldung von Verletzungen des Schutzes personenbezogener Daten (Artikel 33 DSGVO; § 21 SächsDSUG; § 65 Nr. 2 SächsJVollzDSG)
Soweit eine Verpflichtung zur Datenbereitstellung besteht, können Verstöße dagegen die Einleitung eines Ordnungswidrigkeitenverfahrens zur Folge haben.

10. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung findet nicht statt.

11. Website der SDTB

Bei Beschwerden und Meldungen, die auf der Website www.datenschutz.sachsen.de per Webformular an die Sächsische Datenschutz- und Transparenzbeauftragte übermittelt werden, werden personenbezogene Daten verarbeitet:
Vor dem Zugang zu den online bereitgestellten Formularen wird die E-Mail-Adresse abgefragt und anschließend eine E-Mail mit einem temporär gültigen Link an diese E-Mail-Adresse gesendet, über den dann das jeweils gewünschte Formular per Browser erreicht wird. Mit Beginn der Formularbereitstellung wird darüber hinaus ein temporäres Cookie erzeugt, das ausschließlich dazu dient, den Prozess der Formularausfüllung zu unterstützen. Dementsprechend wird dieses Cookie am Ende der erfolgreichen Formulargenerierung wieder gelöscht. Der Webauftritt der SDTB enthält Links zu Internetseiten anderer Anbieter. Die Sächsische Datenschutz- und Transparenzbeauftragte hat keinen Einfluss darauf, dass diese Anbieter die gesetzlichen Datenschutzbestimmungen einhalten. Sie sollten daher stets die Datenschutzerklärung der anderen Anbieter prüfen.

Verantwortliche Stelle für die technische Bereitstellung der unter www.sachsen.de gehosteten SDTB-Website:

• Staatsbetrieb Sächsische Informatik Dienste, Dresdner Straße 78A, 01445 Radebeul
  Postanschrift: Staatsbetrieb Sächsische Informatik Dienste, Postfach 1185, 01911 Kamenz

Bei jedem Zugriff werden technisch bedingt Daten an den Hosting-Anbieter Deutsche Telekom übermittelt und verarbeitet.

Auftragsverarbeiter:

• Deutsche Telekom Business Solution GmbH, Annenstraße 5, 01067 Dresden und Deutsche Telekom ISP GmbH, Annenstraße 5, 01067 Dresden

Auf dem Webserver wird Ihre IP-Adresse zusammen mit Datum, Uhrzeit, Browser-Information, Zugriffsmethode/Funktion, übermittelten Eingabewerten (z. B. Zieldatei) und Zugriffsstatus des Webservers (Datei übertragen, Datei nicht gefunden, Kommando nicht ausgeführt) sowie der Name der angeforderten Datei/Ressource verarbeitet und anschließend protokolliert. Ihre IP-Adresse wird vor der Speicherung anonymisiert. Die Logdaten werden nach sieben Tagen gelöscht.
Die Daten werden für den Nachweis der ordnungsgemäßen Durchführung des Betriebs eines Webservers und zur Bearbeitung von Störungen verwendet.

Eine Internet-Firewall sichert das Hosting ab. Dabei werden von der Firewall Ihre IP-Adresse auf der Webpräsenz zusammen mit Datum, Uhrzeit, Netzwerkprotokoll und Ziel-IP Adresse verarbeitet. Diese Daten werden für 182 Tagen gespeichert und für den Nachweis der ordnungsgemäßen Durchführung der Netzwerksicherheit, Bearbeitung von Störungen und Aufklärung von Sicherheitsvorfällen verwendet.

Auf www.datenschutz.sachsen.de ist die Verbindung durchgängig verschlüsselt (HTTPS). Es werden grundsätzlich keine Cookies gesetzt. Nur wenn Sie auf der Website über die entsprechenden Schaltflächen Änderungen am Kontrastverhältnis oder der Schriftgröße vornehmen, werden für diese Dienste technisch bedingt temporäre Cookies gesetzt. Diese Session-Cookies beinhalten keine personenbezogenen Daten und verfallen nach Ablauf der Sitzung. Tracking-Technologien, die Ihr Verhalten auf der Website erfassen, werden nicht verwendet.

12. Mastodon-Profil

Die SDTB betreibt eine Instanz des Mikroblogging-Dienstes Mastodon und verfügt dort über ein Profil. Genauere Informationen zur Datenverarbeitung finden Sie in der Datenschutzerklärung auf social.sachsen.de.