Über uns

Die Sächsische Datenschutzbeauftragte ist die Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (zum Beispiel Unternehmen, Vereine, Arztpraxen, Internet-Anbieter) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes (SächsDSDG), im Hinblick auf öffentliche Stellen aus § 14 Absatz 1 desselben Gesetzes.

Amtsinhaberin ist seit Januar 2022 Dr. Juliane Hundert, die am 21. Dezember 2021 vom Sächsischen Landtag gewählt wurde. In der Behörde arbeiten derzeit über 30 Bedienstete, die circa 150.000 Unternehmen, 29.000 Vereine, 2,2 Millionen Privathaushalte sowie zahlreiche öffentliche Stellen in Sachsen im Hinblick auf deren Umgang mit personenbezogenen Daten beaufsichtigen.

Die Sächsische Datenschutzbeauftragte nimmt ihre Aufgaben in völliger Unabhängigkeit wahr. Sie handelt weisungsfrei und ist nur dem Gesetz unterworfen. Nach § 15 des Sächsischen Datenschutzdurchführungsgesetzes ist sie eine oberste Staatsbehörde mit Dienstsitz in Dresden. Der Amtsinhaber wird nach § 16 des Sächsischen Datenschutzdurchführungsgesetzes vom Sächsischen Landtag mit der Mehrheit seiner Mitglieder gewählt. Er muss die Voraussetzungen für die Berufung in das Beamtenverhältnis auf Zeit erfüllen und über die für die Erfüllung der Aufgaben und die Ausübung der Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde, insbesondere im Bereich des Schutzes personenbezogener Daten, verfügen. Die Amtszeit beträgt sechs Jahre. Jährlich berichtet die Sächsische Datenschutzbeauftragte nach Artikel 59 der Datenschutz-Grundverordnung dem Sächsischen Landtag und der Staatsregierung in einem Tätigkeitsbericht, der allgemein zugänglich ist, über ihre Arbeit.

Eine einmalige Wiederwahl ist zulässig. Der Amtsinhaber hat nach § 18 des Sächsischen Datenschutzdurchführungsgesetzes, auch nach Beendigung seines Amtsverhältnisses, Verschwiegenheit über die ihm amtlich bekanntgewordenen Angelegenheiten gegenüber jedermann zu wahren.

Befugnisse im nicht-öffentlichen Bereich

Der Sächsischen Datenschutzbeauftragten steht durch Artikel 58 Datenschutz-Grundverordnung (DSGVO) ein umfassender Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen.

So können gegenüber Verantwortlichen und Auftragsverarbeitern unter anderem vorsorgliche Warnungen ausgesprochen werden, wenn diese Datenverarbeitungen beabsichtigen, die voraussichtlich einen Verstoß gegen die Grundverordnung darstellen (Artikel 58 Absatz 2 Buchstabe a DSGVO) bzw. Verwarnungen, wenn mit Datenverarbeitungen bereits gegen die Grundverordnung verstoßen wurde (Artikel 58 Absatz 2 Buchstabe b DSGVO).

Die genannten behördlichen Maßnahmen können sich nicht nur gegen den Verantwortlichen selbst, sondern auch gegen Auftragsverarbeiter richten. Die Aufsichtsbehörden haben umfassende Untersuchungsbefugnisse, insbesondere können diese den Verantwortlichen und Auftragsverarbeiter sowie deren Vertreter anweisen, alle Informationen bereitzustellen, die für die Erfüllung der Aufgaben der Aufsichtsbehörde erforderlich sind.

Verstöße gegen die Grundverordnung können auch mit Geldbußen geahndet werden (Artikel 83 DSGVO)
Geldbußen können mit bis zu 10.000.000 Euro bzw. bei Unternehmen bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Bei bestimmten, besonders schwerwiegenden Verstößen, darunter Verstöße gegen die Datenverarbeitungsgrundsätze und gegen die Betroffenenrechte oder im Falle einer Verarbeitung ohne Rechtsgrundlage, sind Geldbußen von bis zu 20.000.000 Euro möglich. Gegen Unternehmen kann diese Grenze sogar noch überschritten werden, nämlich bis zu 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Für den Fall der Nichtbefolgung einer Anweisung der Aufsichtsbehörde nach Artikel 58 Absatz 2 DSGVO ist ebenfalls die Verhängung einer Geldbuße von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorgesehen.

Im öffentlichen Bereich, zum Beispiel bei Staatsbehörden, dürfen die Sächsische Datenschutzbeauftragte und ihre Mitarbeiter nach § 19 des Sächsischen Datenschutzdurchführungsgesetzes jederzeit Diensträume betreten; auch muss ihnen Zugang zu allen Datenverarbeitungsanlagen und -geräten gewährt werden. Weiterhin darf die Sächsische Datenschutzbeauftragte, wenn sie einen strafbewehrten Verstoß gegen eine Vorschrift über den Datenschutz festgestellt hat, diesen bei der zuständigen Behörde, meist der zuständigen Staatsanwaltschaft, anzeigen. Zudem ist die Sächsische Datenschutzbeauftragte nach § 22 Absatz 3 des Sächsischen Datenschutzdurchführungsgesetzes die nach § 36 Absatz 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten zur Ahndung von datenschutzrechtlichen Ordnungswidrigkeiten sachlich zuständige Verwaltungsbehörde.

Befugnisse im öffentlichen Bereich

Im öffentlichen Bereich, zum Beispiel bei Staatsbehörden, dürfen die Sächsische Datenschutzbeauftragte und ihre Mitarbeiterinnen und Mitarbeiter nach § 19 Sächsisches Datenschutzdurchführungsgesetz jederzeit Diensträume betreten; auch muss ihnen Zugang zu allen Datenverarbeitungsanlagen und -geräten gewährt werden. Weiterhin darf die Sächsische Datenschutzbeauftragte, wenn sie einen strafbewehrten Verstoß gegen eine Vorschrift über den Datenschutz festgestellt hat, diesen bei der zuständigen Behörde, meist der zuständigen Staatsanwaltschaft, anzeigen. Schließlich ist die Sächsische Datenschutzbeauftragte nach § 22 Absatz 3 Sächsisches Datenschutzdurchführungsgesetz die nach § 36 Absatz 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten zur Ahndung von datenschutzrechtlichen Ordnungswidrigkeiten sachlich zuständige Verwaltungsbehörde.

In einem kleineren Teil der öffentlichen Verwaltung, namentlich bei der Polizei und im Strafvollstreckungsbereich, beruhen die Befugnisse der Sächsischen Datenschutzbeauftragten auf dem Sächsischen Datenschutz-Umsetzungsgesetz oder dem Sächsischen Justizvollzugsdatenschutzgesetz.

Im Verfassungsschutz- und Sicherheitsüberprüfungsbereich beruhen die Befugnisse der Sächsischen Datenschutzbeauftragten auf dem Sächsischen Verfassungsschutzgesetz.

Verfolgung und Ahndung von Ordnungswidrigkeiten

Im nicht-öffentlichen Bereich ist die Sächsische Datenschutzbeauftragte nach Artikel 58 Absatz 2 Buchstabe i DSGVO für die Verhängung von Geldbußen nach Artikel 83 DSGVO zuständig. Geldbußen können dabei je nach den Umständen des Einzelfalls zusätzlich oder anstelle der anderen in Artikel 58 Absatz 2 DSGVO genannten Maßnahmen verhängt werden. Die Höhe der Geldbuße reicht in Abhängigkeit von der Schwere des Datenschutzverstoßes bis zu einer Höhe von 20.000.000 Euro bzw. im Fall eines Unternehmens bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der beiden Beträge höher ist.

Im öffentlichen Bereich ist die Sächsische Datenschutzbeauftragte nach § 22 Absatz 3 Sächsisches Datenschutzdurchführungsgesetz als zuständige Verwaltungsbehörde im Sinne des Gesetzes über Ordnungswidrigkeiten bestimmt worden. Sie darf datenschutzrechtliche Ordnungswidrigkeiten einzelner Bediensteter verfolgen und ahnden, das heißt mit einer Geldbuße bis zu 25.000 Euro belegen. Gegenüber öffentlichen Stellen steht ihr die Befugnis zur Verhängung eines Bußgeldes nur zu, soweit diese als Unternehmen am Wettbewerb teilnehmen, § 19 Absatz 3 Sächsisches Datenschutzdurchführungsgesetz.