Sächsischer Datenschutzbeauftragter
Gz.: J-0127/10/70
Guten Tag,
Sie wandten Sich mit Ihrem vorbezeichneten Antrag per E-Mail an den Sächsischen Datenschutzbeauftragten.
Bei den von Ihnen nachgefragten Informationen handelt es sich nicht um Umweltinformationen nach § 3 Absatz 2 Sächsisches Umweltinformationsgesetz bzw. um Informationen nach § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation.
Darüber hinaus möchte ich Sie darauf hinweisen, dass im Freistaat Sachsen bisher kein allgemeines Informationsfreiheitsgesetz erlassen wurde.
Der Sächsische Datenschutzbeauftragte ist Aufsichtsbehörde im Sinne des Artikels 51 Abs.1 DS-GVO. Er überwacht bei den öffentlichen Stellen (z. B. Behörden) des Freistaates Sachsen gemäß § 14 SächsDSDG und bei den nicht-öffentlichen Stellen gemäß § 40 BDSG die Anwendung der Vorschriften über den Datenschutz.
Mit der Datenschutz-Folgenabschätzung (DSFA) verpflichtet die DS-GVO die Verantwortlichen in Art. 35, für besonders risikobehaftete Verarbeitungen die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge einzuschätzen und eine sorgfältige Analyse, Bewertung und Planung der Behandlung der Risiken vorzunehmen (Art. 35 Abs. 7 DS-GVO). Hierzu empfehlen die Datenschutzaufsichtsbehörden des Bundes und der Länder die Verwendung/Nutzung des Standard-Datenschutzmodell (SDM). Das SDM bietet eine Systematik, um eine DSFA in strukturierter Form zu erarbeiten.
Das SDM bietet geeignete Mechanismen, um diese rechtlichen Anforderungen der DS-GVO in technische und organisatorische Maßnahmen zu überführen. Zu diesem Zweck erfasst das SDM zunächst die rechtlichen Anforderungen der DS-GVO und ordnet sie anschließend den Gewährleistungszielen Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und Intervenierbarkeit zu. Das SDM überführt damit die rechtlichen Anforderungen der DS-GVO über die Gewährleistungsziele in von der Verordnung geforderten technischen und
organisatorischen Maßnahmen, die im Referenzmaßnahmen-Katalog des SDM detailliert beschrieben werden. Es unterstützt somit die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen.
Der zum SDM gehörende Referenzmaßnahmen-Katalog kann herangezogen werden, um bei jeder einzelnen Verarbeitung zu prüfen, ob das rechtlich geforderte „Soll“ von Maßnahmen mit dem vor Ort vorhandenen „Ist“ von Maßnahmen übereinstimmt. Das SDM und der Referenzmaßnahmen-Katalog bieten zudem eine Grundlage für die Planung und Durchführung der von der DS-GVO geförderten datenschutzspezifischen Zertifizierungen (Art. 42 DS-GVO) und der in bestimmten Fällen erforderlichen Datenschutz-Folgenabschätzung (Art. 35 DS-GVO).
Eine derartige Standardisierung unterstützt auch die in der Verordnung normierte Zusammenarbeit der Aufsichtsbehörden. Denn diese bedingt, dass auf nationaler Ebene die deutschen Datenschutzaufsichtsbehörden in zunehmendem Maße zusammenarbeiten und mit ihren Beratungs- und Prüfmethoden zu gleichen datenschutzrechtlichen Beurteilungen gelangen müssen. Das SDM wird mit dem Ziel erstellt, ein abgestimmtes, transparentes und nachvollziehbares System der datenschutzrechtlichen Beurteilung zu bieten.
Das SDM finden Sie in der jeweils aktuellen Fassung auf der Homepage der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder unter
https://www.datenschutzkonferenz-online.de/anwendungshinweise.html.
Mit freundlichen Grüßen