Sächsische Datenschutzbeauftragte

Meine Rechte aus der Datenschutz-Grundverordnung

Nach der Datenschutz-Grundverordnung (DS-GVO) haben Sie unmittelbar gegenüber allen privaten (zum Beispiel Unternehmen, Vereine, Arztpraxen) und den meisten öffentlichen (zum Beispiel einer Stadtverwaltung, einer Staatsbehörde oder einer Universität) Stellen bestimmte Rechte. Ebenso hat der Verantwortliche Ihnen gegenüber bestimmte Pflichten. Diese Rechte und Pflichten sind in den Artikeln 12 bis 22, 34 und 77 der Datenschutz-Grundverordnung geregelt. Die Rechte können alle direkt gegenüber dem Verantwortlichen geltend gemacht werden. Aus Beweisgründen empfiehlt es sich, sie schriftlich geltend zu machen. Im Einzelnen handelt es sich um Ihre folgenden Rechte und um folgende Pflichten des Verantwortlichen:

1. Transparente Information, Kommunikation und Modalitäten für die Ausübung Ihrer Rechte, Artikel 12 DS-GVO 

Der Verantwortliche muss Sie über Ihre Rechte klar und einfach informieren und insgesamt die Ausübung Ihrer Rechte vereinfachen, z. B. durch Fristen, innerhalb derer Ihr Ersuchen beantwortet werden muss.

Die für Öffentlichkeit oder für Sie bestimmten Informationen sollen präzise, leicht zugänglich und verständlich sowie in einfacher und klarer Sprache abgefasst sein und gegebenenfalls zusätzlich visuelle Elemente enthalten. Solche Informationen können in elektronischer Form bereitgestellt werden, z. B. auf einer Website. Außerdem soll der Verantwortliche Modalitäten festlegen, die die Ausübung Ihrer Rechte erleichtern, z. B. Mechanismen, die dafür sorgen, dass die Löschung Ihrer personenbezogener Daten unentgeltlich beantragt und durchgeführt werden kann.

2. Informationspflicht bei Erhebung von personenbezogenen Daten bei Ihnen, Artikel 13 DS-GVO

Der Verantwortliche muss Ihnen zum Zeitpunkt der Erhebung Ihrer Daten den Namen, die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters, ggf. die Kontaktdaten des internen (betrieblichen oder behördlichen) Datenschutzbeauftragten, die Zwecke, für die die Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, ggf. die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und ggf. Informationen zu einer Übermittlung nach außerhalb der EU, Islands, Norwegens oder Liechtensteins. Zusätzlich muss der Verantwortliche Ihnen die Dauer, für die Ihre Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, mitteilen. Des Weiteren muss der Verantwortliche Sie über Ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Ihr Widerspruchsrecht, Ihr Recht auf Datenübertragbarkeit sowie Ihr Recht, sich jederzeit an uns oder eine andere zuständige Aufsichtsbehörde zu wenden, hinweisen. Der Verantwortliche muss Sie auch darüber informieren, ob die Bereitstellung Ihrer Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob Sie verpflichtet sind, Ihre Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und schließlich ob eine automatisierte Entscheidungsfindung einschließlich Profiling (einschließlich aussagekräftiger Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung) besteht. Beabsichtigt der Verantwortliche, Ihre Daten für einen anderen Zweck weiterzuverarbeiten als den, für den sie erhoben worden sind, so muss er Ihnen vor dieser Weiterverarbeitung dazu Informationen zur Verfügung stellen.

Bitte beachten Sie: All dies findet jedoch keine Anwendung, wenn und soweit Sie bereits über die aufgeführten Informationen verfügen, z. B. indem der Verantwortliche Sie durch ein Merkblatt aufgeklärt hat.

3. Informationspflicht, wenn die personenbezogenen Daten nicht bei Ihnen erhoben wurden, Artikel 14 DS-GVO

Wurden Ihre Daten nicht bei Ihnen, sondern bei einem Dritten (z. B. einem Nachbarn oder Ihrem Arbeitgeber) erhoben, dann muss Ihnen der Verantwortliche seinen Namen und seine Kontaktdaten sowie gegebenenfalls die seines Vertreters, ggf. die Kontaktdaten seines Datenschutzbeauftragten, die Zwecke, für die Ihre Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, die Kategorien personenbezogener Daten, die verarbeitet werden, ggf. die Empfänger oder Kategorien von Empfängern Ihrer Daten, ggf. seine Absicht (einschließlich der entsprechenden Rechtsgrundlagen und eine Möglichkeit, eine Kopie dieses Grundlagen zu erlangen), Ihre Daten an einen Empfänger außerhalb der EU, Islands, Norwegens oder Liechtensteins zu übermitteln. Zusätzlich muss Ihnen der Verantwortliche die Dauer, für die Ihre Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, ggf. seine oder die berechtigten Interessen eines Dritten, das Bestehen Ihres Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Ihres Widerspruchsrechts Ihres Rechts auf Datenübertragbarkeit, ggf. Ihres Rechts, Ihre Einwilligung jederzeit zu widerrufen, Ihr Beschwerderecht bei einer Aufsichtsbehörde und die Quelle Ihrer Daten sowie ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Sie mitteilen.

Der Verantwortliche muss Ihnen die o. g. Informationen innerhalb einer angemessenen Frist, längstens jedoch innerhalb eines Monats, oder, falls die personenbezogenen Daten zur Kommunikation mit Ihnen verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an Sie, oder, falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung, mitteilen.

Beabsichtigt der Verantwortliche, Ihre Daten für einen anderen Zweck weiterzuverarbeiten als den, für den sie erhoben worden sind, so muss er Ihnen vor dieser Weiterverarbeitung dazu Informationen zur Verfügung stellen.

Bitte beachten Sie: All dies findet jedoch keine Anwendung, wenn und soweit Sie bereits über die aufgeführten Informationen verfügen, z. B. indem der Verantwortliche Sie durch ein Merkblatt aufgeklärt hat, oder wenn Ihnen die Informationen nicht erteilt werden können oder wenndie Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

4. Auskunftsrecht der betroffenen Person, Artikel 15 DS-GVO

Ihr Auskunftsrecht ist nach wie vor Ihr „Königsrecht“. Mit dem Auskunftsrecht soll ein informationeller Machtausgleich zwischen Ihnen und dem Verantwortlichen erreicht werden. Nach der Vorschrift haben Sie das Recht, von dem Verantwortlichen Auskunft über die die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden, die Empfänger oder Kategorien von Empfängern, gegenüber denen Ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen, falls möglich die geplante Dauer, für die Ihre Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, das Bestehen Ihres Rechts auf Berichtigung oder Löschung der sie betreffenden Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder Ihres Widerspruchsrechts gegen diese Verarbeitung, das Bestehen Ihres Beschwerderechts bei einer Aufsichtsbehörde, wenn Ihre Daten nicht bei Ihnen erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Sie.

Werden Ihre Daten an ein Drittland oder an eine internationale Organisation übermittelt, so haben Sie auch das Recht, über die geeigneten Garantien gemäß Artikel 46 DS-GVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Der Verantwortliche muss Ihnen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Für alle weiteren Kopien, die Sie beantragen, kann der Verantwortliche von Ihnen ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellen Sie den Antrag elektronisch, so sind die Informationen Ihnen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern Sie nichts anderes angeben.

Ihr Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

5. Recht auf Berichtigung, Artikel 16 DS-GVO

Ihr Recht auf Berichtigung baut auf dem alten Recht auf Berichtigung, wie es das BDSG und das Sächsische Datenschutzgesetz kannten, auf.

6. Recht auf Löschung („Recht auf Vergessenwerden“), Artikel 17 DS-GVO

Ihr Recht auf Löschung oder auf Vergessenwerden baut auf dem alten Recht auf Löschung, wie es das BDSG und das Sächsische Datenschutzgesetz kannten, auf.

7. Recht auf Einschränkung der Verarbeitung, Artikel 18 DS-GVO

Ihr Recht auf Einschränkung der Verarbeitung baut auf dem alten Recht auf Sperrung, wie es das BDSG und das Sächsische Datenschutzgesetz kannten, auf.

8. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung, Artikel 19 DS-GVO

Die Pflicht des Verantwortlichen auf Mitteilung erfolgter Berichtigungen, Löschungen oder Einschränkungen der Verarbeitung baut auf den alten, aus dem Sächsischen Datenschutzgesetz bekannten Nachberichtspflichten auf. Der Verantwortliche muss, wenn er z. B. Ihre Daten zu berichtigen oder zu löschen hatte, dies all den anderen Stellen nachmelden, denen er zuvor diese Ihre Daten übermittelt hatte. So soll garantiert werden, dass nur richtige und zulässigerweise verarbeitete Daten zu Ihrer Person in Umlauf sind.

9. Recht auf Datenübertragbarkeit, Artikel 20 DS-GVO

Ihr Recht auf Datenübertragbarkeit ist neu. Es ist im Hinblick auf die „sozialen Netzwerke“ geschaffen worden und soll garantieren, dass Sie als Nutzer all Ihre Daten, die bei einem bestimmten social network entstanden sind, zu einem anderen social network mitnehmen können. Über diese ursprüngliche Absicht hinaus ist dieses Recht aber auch auf andere Verantwortliche anwendbar, etwa auf Versicherungen, Banken oder Energieversorgern.

10. Widerspruchsrecht, Artikel 21 DS-GVO

Ihr Widerspruchsrecht baut auf dem alten Recht auf Widerspruch, wie es das BDSG und das Sächsische Datenschutzgesetz kannten, auf.

11. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling, Artikel 22 DS-GVO

Dieses Ihr Recht baut auf bereits im BDSG oder dem Sächsischen Datenschutzgesetz vorhandenen Rechten auf. Es bedeutet, dass Sie das Recht haben, keiner ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt allerdings nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Verantwortlichen erforderlich ist oder aufgrund von EU-oder deutschen Rechtsvorschriften, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten oder Ihre ausdrückliche Einwilligung vorliegt.

12. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Artikel 34 DS-GVO

Ihr Benachrichtigungsrecht soll Sie in die Lage versetzen, die erforderlichen Maßnahmen zu Ihrem Selbstschutz zu ergreifen, wenn bei einem Verantwortlichen ein Datenschutzverstoß, z. B. ein Datenleck, passiert ist.

13. Recht auf Beschwerde bei einer Aufsichtsbehörde, Artikel 77 DS-GVO

Das Recht auf Beschwerde bei einer Aufsichtsbehörde baut auf dem alten Anrufungsrecht, wie es das BDSG und das Sächsische Datenschutzgesetz kannten, auf.

14. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde, Artikel 78 DS-GVO

Ihr Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde war bereits nach bisher geltendem deutschem Recht selbstverständlich.

15. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter, Artikel 79 DS-GVO

Ihr Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter war bereits nach bisher geltendem deutschem Recht selbstverständlich.

16. Haftung und Recht auf Schadenersatz, Artikel 82 DS-GVO

Ihr Recht auf Schadenersatz sowie die Haftung des Verantwortlichen oder des Auftragsverarbeiters bauen auf dem alten Schadenersatzrecht, wie es das BDSG und das Sächsische Datenschutzgesetz kannte, auf.

Meine Rechte im Bereich der Datenschutz-Richtlinie (EU) 680/2016

Der Anwendungsbereich der Richtlinie (EU) 2016/680 umfasst im Wesentlichen die Datenverarbeitung der Polizei, der Staatsanwaltschaften und des Justiz- und Maßregelvollzugs. Auf diesen wird der Datenschutz durch Rechtsvorschriften der Mitgliedsstaaten geregelt, in Deutschland und Sachsen also durch Bundes- und sächsische Gesetze. Die Pflichten der Verantwortlichen und die Rechte der betroffenen Personen sind daher wie folgt geregelt:

1. Informationspflicht des Verantwortlichen – Artikel 13 Absatz 1 der Richtlinie

Die nach Artikel 13 der Richtlinie dem Mitgliedsstaaten verbindlich vorgegebene Pflicht zur Information betroffener Personen ist in Deutschland in folgenden Vorschriften geregelt: § 55 des Bundesdatenschutzgesetzes, § 11 des Sächsischen Datenschutz-Umsetzungsgesetzes sowie § 52 des Sächsischen Justizvollzugsdatenschutzgesetzes.

2. Benachrichtigungspflicht in besonderen Fällen – Artikel 13 Absatz 2 der Richtlinie

Über die allgemeine Informationspflicht hinausgehende Angaben zu einer konkreten Datenverarbeitung hat die verantwortliche Stelle betroffenen Personen zu erteilen, wenn besondere Rechtsvorschriften eine Benachrichtigungspflicht vorsehen. Besondere, eine Benachrichtigungspflicht im Sinne von § 56 des Bundesdatenschutzgesetzes und § 12 des Sächsischen Datenschutz-Umsetzungsgesetzes auslösende Rechtsvorschriften sind zum Beispiel § 101 der Strafprozessordnung und § 74 des Sächsischen Polizeivollzugsdienstgesetzes. Dabei sind der betroffenen Person folgende Informationen zur Verfügung zu stellen: die Rechtsgrundlage der Verarbeitung; die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; gegebenenfalls die Kategorien von Empfängern der personenbezogenen Daten und erforderlichenfalls weitere Informationen, insbesondere, wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben wurden. Diese Pflicht ist in § 56 des Bundesdatenschutzgesetzes, § 12 des Sächsischen Datenschutz-Umsetzungsgesetzes, § 53 Sächsischen Justizvollzugsdatenschutzgesetzes geregelt.

Unter besonderen, in den genannten Vorschriften näher bezeichneten Voraussetzungen – etwa wenn die Benachrichtigung den Zweck einer konkreten Maßnahme gefährden würde – kann die Benachrichtigungspflicht eingeschränkt sein.

3. Auskunftsrecht – Artikel 14 der Richtlinie

Betroffene Personen haben das Recht, von der verantwortlichen Stelle eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben sie das Recht, Auskunft über diese personenbezogenen Daten und folgende Informationen zu erhalten: die Zwecke der Verarbeitung und deren Rechtsgrundlage; die Kategorien personenbezogener Daten, die verarbeitet werden; die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; das Bestehen eines Rechts auf Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung personenbezogener Daten der betroffenen Person durch den Verantwortlichen; das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten; Mitteilung zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten.

Umgesetzt wurde das Auskunftsrecht in § 57 des Bundesdatenschutzgesetzes, § 13 des Sächsischen Datenschutz-Umsetzungsgesetzes sowie § 54 des Sächsischen Justizvollzugsdatenschutzgesetzes. Einschränkungen des Auskunftsrechts sind unter den in den Vorschriften genannten Voraussetzungen zulässig.

4. Recht auf Berichtigung – Artikel 16 Absatz 1 der Richtlinie

Von der Verarbeitung ihrer Daten betroffene Personen haben das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger Daten zu verlangen. Daneben können betroffene Personen die Vervollständigung unvollständiger personenbezogener Daten –– auch mittels einer ergänzenden Erklärung –– verlangen.

Unrichtig können allerdings nur objektive, wertneutrale Informationen sein (Name, Geburtsdatum, Abschlüsse, Vorstrafen usw.). Bezüglich subjektiver Aussagen, Werturteile oder Beurteilungen kommt hingegen eine Berichtigung nicht in Betracht.

Das Recht auf Berichtigung unrichtiger Daten ist in § 58 Absatz 1 des Bundesdatenschutzgesetzes, § 14 Absatz 1 des Sächsischen Datenschutz-Umsetzungsgesetzes sowie §§ 61, 62 des Sächsischen Justizvollzugsdatenschutzgesetzes geregelt.

5. Recht auf Löschung – Artikel 16 Absatz 2 der Richtlinie

Der Verantwortliche hat personenbezogene Daten zu löschen, die für seine Aufgabenerfüllung nicht (mehr) erforderlich sind, deren Löschung gesetzlich gefordert wird oder die aus anderen Gründen ohne Rechtsgrundlage verarbeitet werden. Betroffene Personen haben das Recht, eine solche Löschung zu verlangen. Regelmäßig bestimmen gesetzliche Vorschriften konkrete Fristen, nach deren Ablauf personenbezogene Daten zu löschen sind; vor Ablauf dieser Fristen kommt eine Löschung – auch auf Antrag der betroffenen Person – in der Regel nicht in Betracht.

Das Recht auf Löschung findet sich in § 58 Absatz 2 des Bundesdatenschutzgesetzes, § 14 Absatz 2 Sächsischen Datenschutz-Umsetzungsgesetzes sowie § 59 des Sächsischen Justizvollzugsdatenschutzgesetzes.

Unter bestimmten, in den genannten Regelungen beschriebenen Voraussetzungen kann an die Stelle der Löschung eine Einschränkung der Verarbeitung der betroffenen Daten treten. Im Bereich der Strafprozessordnung werden durch spezielle gesetzliche Regelungen konkrete Speicherfristen festgelegt (§ 489 der Strafprozessordnung), für die Speicherung personenbezogener Daten durch den Polizeivollzugsdienst bestimmt § 59 Absatz 3 des Sächsischen Polizeivollzugsdienstgesetzes genaue Fristen und § 59 Absatz 3 des Sächsischen Justizvollzugsdienstgesetzes bestimmt Fristen für die Speicherung personenbezogener Daten in Dateisystemen von Vollzugsbehörden.

6. Einschränkung der Verarbeitung – Artikel 16 Absatz 3 der Richtlinie

Eine Einschränkung der Verarbeitung personenbezogener Daten (früher: „Sperrung“) kann an die Stelle der Löschung treten, wenn die betroffene Person die Richtigkeit der personenbezogenen Daten bestreitet und die Richtigkeit oder Unrichtigkeit nicht festgestellt werden kann oder die personenbezogenen Daten für Beweiszwecke weiter aufbewahrt werden müssen. In ihrer Verarbeitung eingeschränkte Daten dürfen nur für besonders wichtige Zwecke genutzt werden, stehen den Verantwortlichen aber während der Einschränkung nicht für die übliche Verwendung zur Aufgabenerfüllung zur Verfügung. Die Einschränkung der Verarbeitung ist in § 58 Absatz 1, 3 und 4 des Bundesdatenschutzgesetzes, § 14 Absatz 1, 2, 3 und 4 des Sächsischen Datenschutz-Umsetzungsgesetzes sowie § 60 des Sächsischen Justizvollzugsdatenschutzgesetz geregelt.

Meine Rechte außerhalb des Anwendungsbereichs der DS-GVO und der Datenschutz-Richtlinie (EU) 680/2016

Eine Verarbeitung personenbezogener Daten durch sächsische Behörden außerhalb der Anwendungsbereiche der Datenschutz-Grundverordnung und der Datenschutz-Richtlinie (EU) 2016/680 findet nur auf einigen wenigen Rechtsgebieten statt. § 2 Absatz 4 des Sächsischen Datenschutzdurchführungsgesetzes ordnet für diese Fälle eine weitgehend entsprechende Anwendung der Datenschutz-Grundverordnung an. Damit hat der sächsische Gesetzgeber zum Beispiel entschieden, dass die Betroffenenrechte der Datenschutz-Grundverordnung in entsprechender Weise zur Anwendung kommen; sie gelten – da der Anwendungsbereich der Datenschutz-Grundverordnung nicht direkt eröffnet ist – zwar nicht unmittelbar, aber über die landesrechtliche Bezugnahme gewissermaßen als sächsisches Recht.

Zwar ist auch für das Landesamt für Verfassungsschutz als sächsische Behörde grundsätzlich der Anwendungsbereich des Sächsischen Datenschutzdurchführungsgesetzes eröffnet und damit auch eine entsprechende Anwendung von Datenschutz-Grundverordnungs-Regelungen vorgesehen. Allerdings schließt wiederum das Sächsische Verfassungsschutzgesetz die entsprechende Anwendung zahlreicher Vorschriften der Datenschutz-Grundverordnung und des Sächsischen Datenschutzdurchführungsgesetzes aus (§ 19 des Sächsischen Verfassungsschutzgesetzes).

Der praktisch wichtigste Fall einer staatlichen Verarbeitung personenbezogener Daten außerhalb des Anwendungsbereichs des EU-Rechts ist die Tätigkeit der Nachrichtendienste, im Freistaat Sachsen also des Landesamtes für Verfassungsschutz; die Datenschutz-Grundverordnung findet hier gemäß Artikel 2 Absatz 2 Buchstabe a der Datenschutz-Grundverordnung keine Anwendung. Stattdessen finden das Sächsische Verfassungsschutzgesetz und das Sächsische Sicherheitsüberprüfungsgesetz Anwendung. Beide Gesetze enthalten detaillierte Bestimmungen zur Verarbeitung personenbezogener Daten (Erheben, Speichern, Verändern und Nutzen, Berichtigen, Löschen und Sperren). Zentrales Betroffenenrecht ist auch hier der Auskunftsanspruch, § 9 des Sächsischen Verfassungsschutzgesetzes und § 24 des Sächsischen Sicherheitsüberprüfungsgesetzes.