Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier

BDSG

Für wen gilt das Bundesdatenschutzgesetz (BDSG)? Wie ist das Verhältnis von BDSG und Datenschutz-Grundverordnung (DSGVO)? Welche Bestimmungen enthält das BDSG? Welche Vorschriften sind umstritten?

➜ Zu den Antworten

Gratis
Regierungskoalition passt über 150 Gesetze an, auch das BDSG
Bild: MichaelJay / iStock / Getty Images Plus
DSGVO

In der Bundestagssitzung vom 27.06.2019 beschloss die große Koalition mit den Stimmen der Fraktionen von CDU, CSU und SPD das Zweite Datenschutzanpassungsgesetz. Damit setzten sich Initiativen auf Landesebene sowie der CDU-Mittelstandsvereinigung MIT bei der Regierungskoalition durch, um das Datenschutzrecht in Hinblick auf kleinere Unternehmen anzupassen.

Gratis
BDSG-neu: Was sind die wesentlichen Änderungen?
Bild: iStock.com / MarioGuti
Datenschutz-Grundverordnung

Der Artikel 1 des nun verabschiedeten Datenschutz-Anpassungs- und -Umsetzungsgesetzes enthält die Neufassung des Bundesdatenschutzgesetzes (BDSG-neu). Welche seiner Regelungen haben besondere Bedeutung für die Privatwirtschaft? Und wo verstößt der nationale Gesetzgeber möglicherweise gegen die DSGVO?

Beschluss der Bundesregierung vom 1. Februar 2017

Am 1. Februar 2017 hat die Bundesregierung den Entwurf eines „BDSG-neu“ beschlossen. Es soll das bisherige Bundesdatenschutzgesetz (BDSG) ablösen, wenn ab 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) gilt. Schwerpunkte bilden der komplizierte Aufbau des „BDSG-neu“, ohne dessen Kenntnis viele Regelungen nicht einzuordnen sind, ferner die Bußgeldregelungen und Scoring-Vorschriften.

1 von 1

Für wen gilt das BDSG?

Das Bundesdatenschutzgesetz (BDSG) gilt für öffentliche Stellen des Bundes und für nicht öffentliche Stellen. Das BDSG kommt nicht zur Anwendung bei den öffentlichen Stellen der Länder und bei den Kirchen.

Das BDSG behält die Trennung der Vorschriften nach öffentlichen Stellen und nicht-öffentlichen Stellen (also vor allem Unternehmen) als Verantwortliche bei. Allerdings spiegelt sich das nicht in der Struktur des BDSG wider. Die Vorschriften zu den verschiedenen Verantwortlichen sind über das Gesetz verteilt. Daher ist aufmerksames Lesen der Regelungen zwingend erforderlich.

Die Bundesländer haben jeweils eigene Landesdatenschutzgesetze. Sie regeln die Verarbeitung personenbezogener Daten durch öffentliche Stellen des jeweiligen Bundeslandes.

Wie das BDSG nutzen die Landesdatenschutzgesetze die Regelungsspielräume (Öffnungs- bzw. Spezifizierungsklauseln), die der Gesetzgeber nach der Datenschutz-Grundverordnung (DSGVO) hat.

Wie stehen BDSG und DSGVO zueinander?

Das aktuelle Bundesdatenschutzgesetz (BDSG oder BDSG-neu) gilt seit dem 25. Mai 2018. Es ergänzt die Datenschutz-Grundverordnung.

Das BDSG ist gemeinsam mit der DSGVO anzuwenden.

Die DSGVO als EU-Verordnung gilt unmittelbar in jedem Mitgliedsstaat der EU. Das bedeutet, sie bedarf keiner Umsetzung in nationales Recht. Die DSGVO enthält aber Handlungsverpflichtungen oder -optionen für die Mitgliedstaaten. Sie geben einen Rahmen vor, in dem die Mitgliedsstaaten eigene Regelungen treffen können. In Deutschland setzt das BDSG diese eigenen Regelungen um.

Das aktuelle BDSG regelt daher das Datenschutzrecht nicht mehr umfassend, sondern ergänzt nur die DSGVO.

Entsprechend müssen Verantwortliche die DSGVO und das BDSG gemeinsam lesen und beachten, um die Datenschutz-Vorschriften umzusetzen und einzuhalten.

Dabei gilt, dass die DSGVO Anwendungsvorrang vor dem BDSG hat. Das bedeutet: Im Verhältnis zur Datenschutz-Grundverordnung greifen die Regelungen des BDSG nur dann, soweit die DSGVO nicht unmittelbar gilt.

Auch andere, bereichsspezifische Datenschutzvorschriften des Bundes gehen dem BDSG gegenüber vor.

Welche Bereiche regelt das BDSG?

Regelungsbereiche, die die DSGVO dem BDSG zum großen Teil überlässt, ist die Verarbeitung personenbezogener Daten durch Behörden und öffentliche Stellen. Aber auch Regelungen zur Videoüberwachung und zur Datenverarbeitung im Beschäftigtenverhältnis finden sich im BDSG.

Außerdem enthält das Bundesdatenschutzgesetz die Vorschriften über den Bundesbeauftragten oder die Bundesbeauftragte für den Datenschutz (BfDI) und zur Zusammenarbeit der Aufsichtsbehörden in Bund und Ländern.

Wie ist das BDSG aufgebaut?

Das BDSG besteht aus insgesamt vier Teilen.

  • Teil 1 enthält allgemeine Vorschriften, die auf jegliche Datenverarbeitung anzuwenden sind.
  • Teil 2 enthält alle ergänzenden Vorschriften zur DSGVO.
  • Teil 3 dient der Umsetzung der europäischen Richtlinie (EU) 2016/680, der sogenannten Richtlinie für Polizei und Justiz.
  • Teil 4 enthält besondere Regelungen für Behörden des Bundesministeriums der Verteidigung.

Achtung: Für Unternehmen und öffentliche Stellen sind die Teile 1 und 2 relevant. Die Teile 3 und 4 betreffen sie nicht, sofern sie nicht im Bereich Polizei und Justiz tätig sind oder zu den Behörden des Bundesministeriums der Verteidigung gehören.

Das BDSG enthält die folgenden Teile, Kapitel, Abschnitte und Paragrafen:

Teil 1 – Gemeinsame Bestimmungen

Kapitel 1 Anwendungsbereich und Begriffsbestimmungen

  • § 1 Anwendungsbereich des Gesetzes
  • § 2 Begriffsbestimmungen

Kapitel 2 Rechtsgrundlagen der Verarbeitung personenbezogener Daten

  • § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen
  • § 4 Videoüberwachung öffentlich zugänglicher Räume

Kapitel 3 Datenschutzbeauftragte öffentlicher Stellen

  • § 5 Benennung
  • § 6 Stellung
  • § 7 Aufgaben

Kapitel 4 Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

  • § 8 Errichtung
  • § 9 Zuständigkeit
  • § 10 Unabhängigkeit
  • § 11 Ernennung und Amtszeit
  • § 12 Amtsverhältnis
  • § 13 Rechte und Pflichten
  • § 14 Aufgaben
  • § 15 Tätigkeitsbericht,
  • § 16 Befugnisse

Kapitel 5 Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle, Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Angelegenheiten der Europäischen Union

  • § 17 Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle
  • § 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder
  • § 19 Zuständigkeiten

Kapitel 6 Rechtsbehelfe

  • § 20 Gerichtlicher Rechtsschutz
  • § 21 Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission

Teil 2 – Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679

Kapitel 1 Rechtsgrundlagen der Verarbeitung personenbezogener Daten

Abschnitt 1 Verarbeitung besonderer Kategorien personenbezogener Daten und Verarbeitung zu anderen Zwecken

  • § 22 Verarbeitung besonderer Kategorien personenbezogener Daten
  • § 23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen
  • § 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
  • § 25 Datenübermittlungen durch öffentliche Stellen

Abschnitt 2 Besondere Verarbeitungssituationen

  • § 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
  • § 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
  • § 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
  • § 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
  • § 30 Verbraucherkredite
  • § 31 Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften

Kapitel 2 Rechte der betroffenen Person

  • § 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
  • § 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
  • § 34 Auskunftsrecht der betroffenen Person
  • § 35 Recht auf Löschung
  • § 36 Widerspruchsrecht
  • § 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Kapitel 3 Pflichten der Verantwortlichen und Auftragsverarbeiter

  • § 38 Datenschutzbeauftragte nichtöffentlicher Stellen
  • § 39 Akkreditierung

Kapitel 4 Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen

  • § 40 Aufsichtsbehörden der Länder

Kapitel 5 Sanktionen

  • § 41 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
  • § 42 Strafvorschriften
  • § 43 Bußgeldvorschriften

Kapitel 6 Rechtsbehelfe

  • § 44 Klagen gegen den Verantwortlichen oder Auftragsverarbeiter

Teil 3 richtet sich nicht an privatwirtschaftliche Unternehmen. Er setzt die Datenschutz-Richtlinie Polizei und Justiz um.

Teil 4 enthält besondere Regelungen für Behörden des Bundesministeriums der Verteidigung.

Welche Regelungen des BDSG gehen über die DSGVO hinaus?

Nationale Gesetze wie das BDSG dürfen die DSGVO ergänzen oder konkretisieren. Sie können spezifische Regelungen nur vorgeben, soweit eine Öffnungsklausel der DSGVO dies erlaubt. An den folgenden Stellen hat der deutsche Gesetzgeber das genutzt:

Datenschutzbeauftragter

Die DSGVO sieht in Art. 37 vor, dass öffentliche Stellen und Verantwortliche, die entweder systematisch betroffene Personen überwachen oder besondere Kategorien von personenbezogenen Daten wie Gesundheitsdaten verarbeiten, einen Datenschutzbeauftragten benennen müssen.

§ 38 BDSG sieht ergänzend dazu vor, dass nichtöffentliche Stellen auch einen Datenschutzbeauftragten zu benennen haben, wenn

  • in der Regel mindestens 20 Personen ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind,
  • eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO notwendig ist oder
  • der Verantwortliche personenbezogene Daten geschäftsmäßig zu Zwecken der Übermittlung, der anonymisierten Übermittlung oder der Markt- oder Meinungsforschung verarbeitet.

Beschäftigtendatenschutz

Die DSGVO enthält zum Beschäftigtendatenschutz keine spezifischen Regelungen. Sie sieht aber in Art. 88 DSGVO die Möglichkeit vor, solche Themen national zu regeln. Das hat der deutsche Gesetzgeber in § 26 BDSG getan.

  • § 26 BDSG entspricht in vielen Passagen dem bisherigen § 32 BDSG.
  • Neu eingeflossen sind Grundsätze, die die Rechtsprechung bisher schon gefordert hat. Das betrifft etwa die Erforderlichkeit einer Interessenabwägung zwischen den Zwecken, die der Arbeitgeber verfolgt, und den Belangen der Arbeitnehmer.
  • § 26 Abs. 7 BDSG unterscheidet nicht zwischen automatisierter Datenverarbeitung und Daten auf Papier, wie zum Beispiel der klassischen Personalakte. Der Beschäftigtendatenschutz gilt immer unabhängig vom Medium der Verarbeitung.
  • § 26 Abs. 8 BDSG definiert, welche Personen zu den „Beschäftigten“ gehören. Das sind beispielsweise auch Leiharbeitnehmer, Auszubildende, Bewerber für einen Arbeitsplatz oder bereits gekündigte (ehemalige) Mitarbeiter.
  • Neu sind ausdrückliche Regelungen zur Einwilligung des Arbeitnehmers in eine Datenverarbeitung, die schriftlich oder elektronisch erfolgen kann, und Definitionen zur Freiwilligkeit einer Einwilligung.

Informationspflichten

Art. 13 und 14 DSGVO enthalten umfangreiche Informationspflichten, die Verarbeiter / Auftragsverarbeiter gegenüber den betroffenen Personen zu erfüllen haben.

Das BDSG schränkt diese Informationspflichten in § 32 und 33 BDSG an einigen Stellen ein. Danach müssen die betroffenen Personen bei Vorliegen bestimmter überwiegender Interessen, zum Beispiel der öffentlichen Sicherheit, nicht über die Datenverarbeitung informiert werden. Unterbleibt aus den Gründen, die das BDSG nennt, eine Information, so muss der Verantwortliche die Begründung hierfür dokumentieren.

Strafen und Geldbußen

Nach den Regelungen der DSGVO in Art. 83 drohen den Unternehmen bei Verstößen gegen den Datenschutz erhebliche Geldbußen. Je nach Verstoß können die Aufsichtsbehörden Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des globalen Umsatzes verhängen, je nachdem, welcher Betrag der höhere ist.

Das BDSG deckelt mögliche Geldbußen auf einen Betrag von 50.000 Euro, wenn der Datenschutzverstoß ausschließlich eine Vorschrift des BDSG berührt. Das betrifft etwa unrichtige Angaben bei Verbraucherkrediten.

Datenschutzkontrolle

Art. 58 Abs. 1 Buchstaben e und f DSGVO regelt Untersuchungsbefugnisse der Aufsichtsbehörden.

§ 29 Abs. 3 BDSG regelt eine Ausnahme von diesen Untersuchungsbefugnissen bei den sogenannten Berufsgeheimnisträgern. Zu den Berufsgeheinnisträgern gehören etwa Ärzte, Rechtsanwälte, Sozialarbeiter, Suchtberater etc.

Die Untersuchungsbefugnisse gelten dann nicht, wenn dies einen Verstoß gegen die Geheimhaltungspflichten des Berufsgeheimnisträgers darstellen würde.

Welche Vorschriften des BDSG sind umstritten?

Bereits im Rahmen des Gesetzgebungsverfahrens sind einzelne Vorschriften des BDSG kritisiert worden. Sie dehnten die Öffnungsklauseln der Datenschutz-Grundverordnung zu sehr aus und schüfen damit wieder einen nationalen „Flickenteppich“ von Datenschutzregeln. Genau das sollte die DSGVO ja verhindern.

Zu diesen umstrittenen Vorschriften gehören etwa

  • die Schriftform für die Einwilligung von Beschäftigten. Sie kann allerdings seit den Änderungen durch das 2. DSAnpUG-EU von Ende 2019 auch elektronisch erfolgen.
  • die Definition von „Beschäftigten“,
  • die Möglichkeit, Betroffenenrechte einzuschränken, wenn zum Beispiel eine „Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde“, oder auch
  • die Datenschutzkontrolle von Berufsgeheimnisträgern, die nach dem BDSG nicht mehr vorhanden ist.
Praxis-Tipp
Das BDSG ist unübersichtlich strukturiert und enthält Regelungen, die möglicherweise europarechtswidrig sind. Das zu entscheiden, ist jedoch Sache der Gerichte. Zumindest bis es so weit ist, müssen Verantwortliche also sowohl die DSGVO als auch das BDSG anwenden, um das Risiko von Geldbußen zu minimieren.

Wie ist der aktuelle Stand beim BDSG?

Der Bundestag hatte am 27. Juni 2019 den Entwurf der Bundesregierung für ein zweites Gesetz zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016/679 und zur Umsetzung der EU-Richtlinie 2016/680 beschlossen.

Das „Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU“ nahm in 154 Fachgesetzen Änderungen vor. Dazu gehörten Anpassungen von Begriffsbestimmungen und von Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten.

Zudem wurde die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von zehn auf 20 angehoben.

Die Aufsichtsbehörden für den Datenschutz in Deutschland kritisierten diese Änderung an dem neuen BDSG scharf. „Selbst ohne die Pflicht einen Datenschutzbeauftragten zu bestellen, muss eine Organisation natürlich die Vorgaben der DSGVO erfüllen“, so die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel. „Die Anforderungen werden also nicht weniger. Ohne Datenschutzbeauftragten fehlt aber ein kompetenter Ansprechpartner vor Ort, der helfen könnte, Fehler und Verstöße von vorneherein zu vermeiden.“

Evaluierung des BDSG

Das damalige Bundesministerium des Innern, für Bau und Heimat (BMI) hat im Oktober 2021 das neue Bundesdatenschutzgesetz evaluiert. Dafür hat es sowohl öffentliche als auch private Normanwender, darunter die Datenschutzaufsichtsbehörden sowie Spitzenverbände der Wirtschaft und andere mit dem Datenschutz befasste Institutionen, befragt.

Das BMI kam zu dem Ergebnis, dass sich das BDSG trotz verschiedener Kritik insgesamt als sachgerecht, praktikabel und normenklar erwiesen habe. Das BMI wird in Folge der Evaluation gesetzliche Änderungen einzelner BDSG-Vorschriften prüfen.

Oliver Schonschek

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.