Sächsisches Datenschutz-Umsetzungsgesetz / § 25 Anhörung des Sächsischen Datenschutzbeauftragten

(1) ¹Der Verantwortliche oder der Auftragsverarbeiter hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen den Sächsischen Datenschutzbeauftragten anzuhören, wenn

1.	aus einer Datenschutz-Folgenabschätzung nach § 23 hervorgeht, dass die Verarbeitung eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hätte, wenn der Verantwortliche keine Abhilfemaßnahmen treffen würde, oder

2.

die Form der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten und eine nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren, eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hat.

²Der Sächsische Datenschutzbeauftragte kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur Anhörung nach Satz 1 unterliegen.

(2) ¹Dem Sächsischen Datenschutzbeauftragten sind im Fall des Absatzes 1 vorzulegen:

1.	die gemäß § 23 durchgeführte Datenschutz-Folgenabschätzung,

2.	gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,

3.	Angaben zu den Zwecken und Mitteln der beabsichtigten Verarbeitung,

4.	Angaben zu den zum Schutz der Rechtsgüter der betroffenen Personen vorgesehenen Maßnahmen und Garantien sowie

5.	Name und Kontaktdaten des Datenschutzbeauftragten.

²Auf Anforderung sind ihm zudem alle sonstigen Informationen zu übermitteln, die er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.

(3) ¹Ist der Sächsische Datenschutzbeauftragte der Auffassung, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder keine ausreichenden Abhilfemaßnahmen getroffen hat, kann er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von sechs Wochen nach Einleitung der Anhörung schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten. ²Der Sächsische Datenschutzbeauftragte kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. ³Er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung zu informieren.