Bundesdatenschutzgesetz (BDSG)

Definition des Begriffs

Das Bundesdatenschutzgesetz (BDSG) ist das zentrale nationale Datenschutzgesetz Deutschlands. Es ergänzt die unmittelbar geltende Datenschutz-Grundverordnung (DSGVO) durch spezifische nationale Regelungen, insbesondere in den Bereichen, in denen die DSGVO Öffnungsklauseln vorsieht oder ergänzende Vorschriften zulässt.

Das BDSG in seiner aktuellen Fassung (BDSG-neu) trat am 25. Mai 2018 im Zuge des Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (DSAnpUG-EU) in Kraft und löste das frühere BDSG von 1977 ab. Es gilt parallel zur DSGVO, entfaltet jedoch nur insoweit eigenständige Bedeutung, als unionsrechtliche Gestaltungsspielräume bestehen oder besondere nationale Sachverhalte geregelt werden.

Einordnung der Relevanz

Das BDSG-neu ist von zentraler Bedeutung für den Datenschutz in Deutschland, da es die europäische DSGVO um nationale Besonderheiten ergänzt. Es verhält sich zur DSGVO wie folgt: Die DSGVO ist unmittelbar geltendes Recht und hat Vorrang, das BDSG-neu greift nur dort, wo die DSGVO den Mitgliedstaaten durch Öffnungsklauseln Gestaltungsspielräume lässt. Das Gesetz ist Teil des deutschen Datenschutzrechts und steht im Kontext weiterer Regelwerke wie der ePrivacy-Richtlinie, dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) und der NIS-2-Richtlinie. Es hat unmittelbare Auswirkungen auf nahezu alle Unternehmen und Behörden in Deutschland, die personenbezogene Daten verarbeiten.

Betroffene

Betroffen sind insbesondere:

• Öffentliche Stellen des Bundes sowie bundesunmittelbare Körperschaften,
• Private Unternehmen und Organisationen, die personenbezogene Daten verarbeiten,
• Arbeitgeber im Rahmen der Verarbeitung von Beschäftigtendaten,
• Datenschutzbeauftragte in Unternehmen und Behörden,
• Aufsichtsbehörden, insbesondere die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden.

Das BDSG ergänzt und konkretisiert insbesondere die DSGVO und steht in Wechselwirkung mit weiteren Regelwerken wie dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie spezialgesetzlichen Datenschutzvorschriften.

Anforderungen und Pflichten

Das BDSG-neu gliedert sich in vier Teile mit unterschiedlichen Anforderungen:

Teil 1: Gemeinsame Bestimmungen

• Anwendungsbereich und Begriffsbestimmungen (§§ 1-2)
• Rechtsgrundlagen der Verarbeitung personenbezogener Daten (§§ 3-4)
• Regelungen zu Datenschutzbeauftragten öffentlicher Stellen (§§ 5-7)
• Bestimmungen zum Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (§§ 8-16)
• Regelungen zur Zusammenarbeit der Aufsichtsbehörden (§§ 17-19)
• Rechtsbehelfe (§§ 20-21)

Teil 2: Durchführungsbestimmungen zur DSGVO

• Datenschutzbeauftragter: Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung unterliegen (§ 38)
• Beschäftigtendatenschutz: Besondere Regelungen zur Datenverarbeitung im Beschäftigungsverhältnis (§ 26)
• Scoring und Bonitätsprüfungen: Spezifische Anforderungen für die Verwendung von Wahrscheinlichkeitswerten (§ 31)
• Betroffenenrechte: Konkretisierung der Informationspflichten, Auskunfts-, Löschungs- und Widerspruchsrechte (§§ 32-37)
• Videoüberwachung: Regelungen für die Überwachung öffentlich zugänglicher Räume (§ 4)

Teil 3: Bestimmungen für Polizei und Justiz

• Umsetzung der EU-Datenschutzrichtlinie (EU) 2016/680 für Strafverfolgungsbehörden

Teil 4: Sonderregelungen

• Bestimmungen für Verarbeitungen außerhalb des Anwendungsbereichs der DSGVO und der Richtlinie (EU) 2016/680

Sanktionen:

• Bei Verstößen gegen das BDSG-neu oder die DSGVO drohen Geldbußen bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes
• Strafvorschriften für schwerwiegende Verstöße (§§ 42, 84)
• Rechtsbehelfe für betroffene Personen (§§ 20, 44)

Weitere Informationen

Das BDSG-neu trat gemeinsam mit der DSGVO am 25. Mai 2018 in Kraft. Die zuständigen Aufsichtsbehörden sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für öffentliche Stellen des Bundes sowie die Landesdatenschutzbehörden für nicht öffentliche und öffentliche Stellen der Länder.

Das Gesetz wird regelmäßig aktualisiert, zuletzt durch das Gesetz zur Durchführung der Verordnung (EU) 2022/2065 im Mai 2024.

Wichtige Zusammenhänge bestehen zu:

• Datenschutz-Grundverordnung (DSGVO/GDPR)
• Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)
• Richtlinie (EU) 2016/680 (JI-Richtlinie)
• NIS-2-Richtlinie
• DORA
• MaRisk

Zentrale Prinzipien des BDSG-neu sind:

• Subsidiarität zur DSGVO: Das BDSG-neu greift nur, wo die DSGVO Gestaltungsspielräume lässt
• Transparenz und Rechenschaftspflicht bei der Datenverarbeitung
• Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
• Stärkung der Betroffenenrechte

Weiterführende Details, regulatorische Vorgaben und Umsetzungshilfen finden Sie auf Regupedia: www.regupedia.de