Gesetz zur Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten,zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG

§§ 1 - 2 Abschnitt 1 Allgemeine Vorschriften

§ 1 Zweck

¹Dieses Gesetz trifft die ergänzenden Regelungen zur Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABI. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72), in der jeweils geltenden Fassung. ²Gleichzeitig regelt es in den Grenzen der Verordnung (EU) 2016/679 spezifische Anforderungen an die Verarbeitung personenbezogener Daten.

§ 2 Anwendungsbereich

(1) ¹Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten im Anwendungsbereich der Verordnung (EU) 2016/679 durch Behörden und sonstige öffentliche Stellen des Freistaates Sachsen, der Gemeinden und Landkreise sowie der sonstigen der Aufsicht des Freistaates Sachsen unterstehenden juristischen Personen des öffentlichen Rechts (öffentliche Stellen). ²Nehmen nicht-öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes. ³Für den Landtag gilt dieses Gesetz nur, soweit er in Verwaltungsangelegenheiten tätig wird. ⁴Soweit der Landtag, seine Gremien, seine Mitglieder, die Fraktionen und deren Beschäftigte sowie die Landtagsverwaltung in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten, gibt sich der Landtag unter Berücksichtigung seiner verfassungsrechtlichen Stellung eine Datenschutzordnung.

(2) ¹Als öffentliche Stellen gelten auch juristische Personen und sonstige Vereinigungen des privaten Rechts, an denen eine oder mehrere der in Absatz 1 genannten juristischen Personen des öffentlichen Rechts mit absoluter Mehrheit der Anteile oder absoluter Mehrheit der Stimmen beteiligt sind. ²Beteiligt sich eine juristische Person oder sonstige Vereinigung des privaten Rechts, die nach Satz 1 als öffentliche Stelle gilt, an einer weiteren Vereinigung des privaten Rechts, findet Satz 1 entsprechend Anwendung.

(3) Für die Sachsen-Finanzgruppe, die Sparkassen, andere öffentlich-rechtliche Unternehmen mit eigener Rechtspersönlichkeit und Stellen nach Absatz 2, die am Wettbewerb teilnehmen, gelten ergänzend zur Verordnung (EU) 2016/679 die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097), in der jeweils geltenden Fassung.

(4) ¹Für die Verarbeitung personenbezogener Daten, die nicht in den sachlichen Anwendungsbereich nach Artikel 2 Absatz 1 der Verordnung (EU) 2016/679 fällt, oder die im Rahmen einer Tätigkeit erfolgt, die nach Artikel 2 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 nicht in deren Anwendungsbereich fällt, gelten ergänzend zu diesem Gesetz die Artikel 4 bis 26, 28 Absatz 1 bis 5, 9 und 10, Artikel 29 bis 35 Absatz 1 bis 3 und 7 bis 11, Artikel 36 bis 39, 44 bis 46 Absatz 1 bis 3, Artikel 48, 49, 55, 57 bis 59, 77 und 82 der Verordnung (EU) 2016/679 entsprechend, soweit dieses Gesetz oder andere spezielle Rechtsvorschriften keine abweichenden Regelungen enthalten. ²Die Artikel 30, 35 Absatz 1 bis 3 und 7 bis 11 und Artikel 36 der Verordnung (EU) 2016/679 gelten abweichend von Satz 1 nur, soweit die Verarbeitung automatisiert erfolgt oder die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(5) Soweit besondere Rechtsvorschriften des Freistaates Sachsen oder des Bundes den Schutz personenbezogener Daten regeln, gehen sie den Vorschriften dieses Gesetzes vor.

§§ 3 - 6 Abschnitt 2 Grundsätze der Datenverarbeitung

§ 3 Zulässigkeit der Verarbeitung personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten durch öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(2) ¹Zu dem Zweck einer Verarbeitung personenbezogener Daten zählt auch die Verarbeitung zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung von Organisationsuntersuchungen und zur Prüfung und Wartung von automatisierten Verfahren sowie zu statistischen Zwecken des Verantwortlichen. ²Dies gilt auch für die Verarbeitung zu Aus-, Fort-, Weiterbildungs- und Prüfungszwecken, soweit nicht schutzwürdige Interessen der betroffenen Person entgegenstehen.

§ 4 Zulässigkeit der Verarbeitung personenbezogener Daten zu einem anderen Zweck

(1) Eine Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, ist zulässig, wenn

1.	es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,

2.	es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,

3.

es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes in der Fassung der Bekanntmachung vom 11. Dezember 1974 (BGBl. I S. 3427), das zuletzt durch Artikel 4 des Gesetzes vom 27....