Hauptinhalt

Weitere Datenschutzgesetze

Die Datenschutz-Grundverordnung (DSGVO) enthält neben ihren unmittelbar anwendbaren Bestimmungen auch – je nach Zählweise – 50 bis 60 sogenannte Öffnungsklauseln. Diese erlauben es den Gesetzgebern der Mitgliedstaaten, zum Beispiel Deutschland oder Sachsen, bestimmte Vorschriften der Datenschutz-Grundverordnung zu ergänzen. Dies geschieht unter anderem mittels des Bundesdatenschutzgesetzes und des Sächsischen Datenschutzdurchführungsgesetzes. Diese ergänzen also die Datenschutz-Grundverordnung dort, wo sie es ausdrücklich zulässt.

Beschäftigtendatenschutz

Mit Artikel 88 Absatz 1 DSGVO erlaubte der EU-Gesetzgeber den Mitgliedstaaten, den gesamten Bereich des Beschäftigtendatenschutzes sozusagen en bloc selbst zu regeln. Danach dürfen die Mitgliedsstaaten »spezifischere Vorschriften zur Gewährleistung der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext« schaffen. Davon haben in Deutschland sowohl der Bund mit § 26 Bundesdatenschutzgesetz (gilt in Sachsen für alle Beschäftigungsverhältnisse mit nicht-öffentlichen Arbeitgebern) als auch der Freistaat Sachsen mit § 11 Sächsisches Datenschutzdurchführungsgesetz (gilt nur für Beschäftigte sächsischer öffentlicher Stellen) Gebrauch gemacht. So werden die Spezifika des Beschäftigtendatenschutzes eben nicht unmittelbar durch die Datenschutz-Grundverordnung, sondern durch ein deutsches beziehungsweise ein sächsisches Gesetz geregelt. Davon unberührt bleiben die auch im Beschäftigungsdatenschutz unmittelbar anwendbaren allgemeinen Vorschriften der Datenschutz-Grundverordnung, etwa über die Einwilligung.

Was regelt das Sächsische Datenschutzdurchführungsgesetz?

Neben der Datenschutz-Grundverordnung gibt es in Sachsen das Sächsische Datenschutzdurchführungsgesetz, das gleichzeitig mit der Anwendbarkeit der Datenschutz-Grundverordnung in Kraft getreten ist. Es ist nur für den öffentlichen Bereich (zum Beispiel kommunale oder staatliche Behörden, Universitäten, Kammern) anwendbar und enthält – so vorgesehen von der Datenschutz-Grundverordnung – ergänzende und ausführende Bestimmungen wie zum Beispiel

  • Regelungen zu den Grundsätzen der Datenverarbeitung oder zu besonderen Verarbeitungssituationen
  • Vorschriften, die die Rechte der Betroffenen einschränken, zum Beispiel wenn es um Belange der öffentlichen Sicherheit und Ordnung, Geheimhaltungsvorschriften oder die Verfolgung von Straftaten und Ordnungswidrigkeiten geht
    • Artikel 23 (Erwägungsgrund 73) DSGVO sieht die Möglichkeit vor, unter bestimmten Voraussetzungen Rechte der betroffenen Person durch eine nationale Rechtsvorschrift beschränken zu dürfen. Danach dürfen Mitgliedstaaten, wenn dies zu einem der in Artikel 23 Absatz 1 Buchstabe a bis j DSGVO genannten Zweck erforderlich ist, die Rechte der betroffenen Person beschränken
    • Der Freistaat Sachsen hat von dieser Öffnungsklausel unter anderem in den §§ 7 bis 10 des Sächsischen Datenschutzdurchführungsgesetzes Gebrauch gemacht. Danach darf zum Beispiel eine öffentliche Stelle Unterlagen mit personenbezogenen Daten erst löschen, wenn sie zuvor nach Archivrecht dem zuständigen Archiv angeboten worden sind. Damit wird das Recht auf Löschung beschränkt
  • Regelungen zur Sächsischen Datenschutzbeauftragten, siehe die §§ 14 ff.  Sächsisches Datenschutzdurchführungsgesetz
  • Vorschriften, die für die öffentlichen Stellen ein datenschutzrechtliches Vollregime sichern. Es gibt im öffentlichen Bereich durch das Sächsische Datenschutzdurchführungsgesetz keine Lücken. Durch § 2 Absatz 4 Sächsisches Datenschutzdurchführungsgesetz wird der Anwendungsbereich der meisten Artikel der Datenschutz-Grundverordnung auch auf die Verarbeitung personenbezogener Daten ausgeweitet, die nicht-automatisiert außerhalb eines Dateisystems erfolgt.

Datenschutzvorschriften außerhalb des Anwendungsbereichs der DSGVO und der nationalen Gesetze

Eine Verarbeitung personenbezogener Daten durch sächsische Behörden außerhalb der Anwendungsbereiche der Datenschutz-Grundverordnung und der Datenschutz-Richtlinie (EU) 2016/680 findet nur auf einigen wenigen Rechtsgebieten statt.

§ 2 Absatz 4 Sächsisches Datenschutzdurchführungsgesetz ordnet für diese Fälle eine weitgehend entsprechende Anwendung der Datenschutz-Grundverordnung an. Damit hat der sächsische Gesetzgeber zum Beispiel entschieden, dass die Betroffenenrechte der Datenschutz-Grundverordnung in entsprechender Weise zur Anwendung kommen; sie gelten – da der Anwendungsbereich der Datenschutz-Grundverordnung nicht direkt eröffnet ist – zwar nicht unmittelbar, aber über die landesrechtliche Bezugnahme gewissermaßen als sächsisches Recht.

Der praktisch wichtigste Fall einer staatlichen Verarbeitung personenbezogener Daten außerhalb des Anwendungsbereichs des EU-Rechts ist die Tätigkeit der Nachrichtendienste, im Freistaat Sachsen also des Landesamtes für Verfassungsschutz; die Datenschutz-Grundverordnung findet hier gemäß Artikel 2 Absatz 2 Buchstabe a der Datenschutz-Grundverordnung keine Anwendung. Stattdessen finden das Sächsische Verfassungsschutzgesetz und das Sächsische Sicherheitsüberprüfungsgesetz Anwendung. Beide Gesetze enthalten detaillierte Bestimmungen zur Verarbeitung personenbezogener Daten (Erheben, Speichern, Verändern und Nutzen, Berichtigen, Löschen und Sperren). Zentrales Betroffenenrecht ist auch hier der Auskunftsanspruch, § 9 des Sächsischen Verfassungsschutzgesetzes und § 24 des Sächsischen Sicherheitsüberprüfungsgesetzes.

zurück zum Seitenanfang