Begriff und Wesen des Bundesdatenschutzgesetzes
Das Bundesdatenschutzgesetz (BDSG) ist das zentrale Gesetz zur Regelung des Datenschutzes in Deutschland auf Bundesebene. Zweck des BDSG ist es, den Einzelnen davor zu schützen, dass durch die Verarbeitung personenbezogener Daten sein Persönlichkeitsrecht beeinträchtigt wird (§ 1 BDSG). Das BDSG ergänzt und konkretisiert die Vorgaben der Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 als unmittelbar geltendes europäisches Recht den Datenschutz in der Europäischen Union harmonisiert. Das BDSG enthält außerdem nationale Besonderheiten, Übergangsregelungen sowie Sondervorschriften für Behörden und bestimmte Bereiche der Datenverarbeitung.
Historische Entwicklung
Entstehung und Entwicklung des Datenschutzrechts
Die erste Version des BDSG trat am 1. Januar 1978 in Kraft und war eines der weltweit ersten Datenschutzgesetze. Westdeutschland reagierte damit auf die zunehmende Automatisierung und Zentralisierung von Datenverarbeitung. Im Verlauf der Jahre wurde das Gesetz mehrfach novelliert, zuletzt umfassend am 25. Mai 2018, um die Vorgaben der DSGVO in deutsches Recht umzusetzen. Das aktuelle BDSG (neue Fassung, oft als BDSG-neu bezeichnet) besteht aus 85 Paragraphen und unterscheidet sich inhaltlich und systematisch erheblich von der alten Fassung.
Rechtsgrundlagen und Verhältnis zur DSGVO
Die DSGVO ist als Verordnung unmittelbar anwendbar und regelt umfassend die Verarbeitung personenbezogener Daten im Unionsgebiet. Das BDSG ist als sogenanntes „begleitendes Gesetz“ zu verstehen: Es dient der Ausfüllung, Ergänzung und Konkretisierung von Öffnungsklauseln der DSGVO, die dem nationalen Gesetzgeber Spielraum lassen.
Anwendungsbereich und Geltungsbereich
Sachlicher Geltungsbereich
Das BDSG findet Anwendung auf alle Formen der Verarbeitung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen des Bundes, soweit keine spezielleren Regelungen bestehen. Das Gesetz gilt für elektronische und nicht-elektronische (z. B. Papierakte) Datenverarbeitungen, sofern diese in einer Datei gespeichert werden oder werden sollen.
Räumlicher Geltungsbereich
Das BDSG gilt für die Verarbeitung personenbezogener Daten in Deutschland, soweit weder EU-Recht noch internationale Regelungen vorrangig sind. Die Anwendung des Gesetzes erstreckt sich insbesondere auf Bundesbehörden, öffentliche Stellen des Bundes und privatwirtschaftliche Unternehmen, die Daten in Deutschland verarbeiten.
Grundprinzipien des Bundesdatenschutzgesetzes
Rechtmäßigkeit der Datenverarbeitung
Datenverarbeitungen sind nur dann zulässig, wenn eine gesetzliche Grundlage, eine Einwilligung oder ein berechtigtes Interesse im Sinne der DSGVO vorliegt (§ 3 BDSG in Verbindung mit Art. 6 DSGVO).
Zweckbindung und Datensparsamkeit
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine Weiterverarbeitung zu einem mit dem ursprünglichen Zweck nicht vereinbarten Zweck ist grundsätzlich unzulässig. Der Umfang der Datenverarbeitung muss zudem auf das notwendige Maß beschränkt sein („Datenminimierung“, § 47 BDSG).
Transparenz und Informationspflichten
Betroffene müssen nachvollziehen können, welche Daten zu welchem Zweck verarbeitet werden. Das BDSG sieht in Verbindung mit der DSGVO umfassende Informationspflichten sowie Rechte auf Auskunft, Berichtigung und Löschung vor (§§ 31 ff. BDSG).
Zentrale Regelungen im Bundesdatenschutzgesetz
Rechte der Betroffenen
Informationsrecht
Betroffene haben einen Anspruch auf Information über die Erhebung ihrer Daten (§ 32 BDSG).
Auskunftsrecht
Das Recht auf Auskunft ermöglicht es Betroffenen, zu erfahren, welche personenbezogenen Daten über sie gespeichert sind (§ 34 BDSG).
Berichtigung, Löschung und Einschränkung der Verarbeitung
Betroffene können unter bestimmten Voraussetzungen die Berichtigung unrichtiger, die Löschung oder Einschränkung der Verarbeitung ihrer Daten verlangen (§ 35 BDSG).
Widerspruchsrecht
Gegen rechtsgrundlose oder nicht gerechtfertigte Datenverarbeitungen kann Widerspruch eingelegt werden (§ 36 BDSG).
Datenschutzbeauftragte
Nicht-öffentliche Stellen und öffentliche Stellen des Bundes müssen in bestimmten Fällen einen Datenschutzbeauftragten bestellen (§ 38 BDSG). Zu den Aufgaben gehören die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften und die Schulung von Mitarbeitenden.
Besonderheiten für öffentliche Stellen und private Unternehmen
Öffentliche Stellen
Für öffentliche Stellen gelten spezielle Regelungen, etwa hinsichtlich der Datenübermittlung und der Zuständigkeit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (§ 40 BDSG). Das BDSG sieht für Behörden unter anderem Sondervorschriften zur Verarbeitung sensibler Daten vor.
Private Unternehmen
Auch Wirtschaftsunternehmen, Dienstleister oder sonstige private Organisationen müssen bei der Verarbeitung personenbezogener Daten die Regelungen des BDSG beachten. Insbesondere bestehen Pflichten zur technischen und organisatorischen Sicherung von Daten (Art. 32 DSGVO i. V. m. § 64 BDSG).
Datenschutzaufsicht und Sanktionen
Zuständige Aufsichtsbehörden
Die Umsetzung und Kontrolle des Datenschutzes auf Bundesebene obliegt dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Landesdatenschutzbehörden sind für die Einhaltung des Datenschutzes bei den Ländern und Kommunen zuständig.
Sanktionen und Bußgelder
Bei Verstößen gegen das BDSG oder die DSGVO sind empfindliche Bußgelder möglich. Die Höhe der Sanktionen richtet sich dabei insbesondere nach Art, Schwere und Dauer des Verstoßes und kann bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes betragen (Art. 83 DSGVO i. V. m. § 41 BDSG).
Sondervorschriften des BDSG
Datenverarbeitung zu Beschäftigungszwecken
Das BDSG enthält spezielle Regelungen zur Datenverarbeitung im Beschäftigungskontext (§ 26 BDSG). Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses ist möglich, wenn sie für die Entscheidung über die Begründung eines Arbeitsverhältnisses oder dessen Durchführung erforderlich ist.
Videoüberwachung und Scoring
Besondere Vorschriften finden sich etwa für die Videoüberwachung öffentlich zugänglicher Räume (§ 4 BDSG) und für das Profiling, Scoring und die automatisierte Einzelentscheidung (§ 37 BDSG).
Verhältnis zu weiteren Datenschutzgesetzen
Das BDSG steht im Regelungszusammenhang mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), den Landesdatenschutzgesetzen der Bundesländer und speziellen datenschutzrechtlichen Vorschriften etwa im Strafrecht, Sozialrecht oder Steuerrecht. Der Anwendungsbereich des BDSG ist immer dann eröffnet, wenn keine spezielleren gesetzlichen Regelungen bestehen.
Reformen und aktuelle Entwicklungen
Das Bundesdatenschutzgesetz wird stetig an technische Entwicklung und neue gesellschaftliche Anforderungen angepasst. Insbesondere im Zusammenhang mit der fortschreitenden Digitalisierung, neuen EU-Gesetzen (z. B. ePrivacy-Verordnung) oder gerichtlichen Entscheidungen erfolgt regelmäßig eine Evaluierung des bestehenden Datenschutzrechts.
Literatur und weiterführende Quellen
Für weitergehende Informationen bieten sich die offizielle Textfassung des Bundesdatenschutzgesetzes, Gesetzeskommentare sowie Veröffentlichungen der Datenschutzaufsichtsbehörden an.
Mit dieser umfassenden Darstellung werden die rechtlichen Grundlagen, Ziele, Anwendungsbereiche sowie die wesentlichen Regelungen und aktuellen Entwicklungen des Bundesdatenschutzgesetzes detailliert erläutert. Der Artikel bietet einen tiefgehenden Überblick zu allen relevanten Aspekten rund um das BDSG.
Häufig gestellte Fragen
Welche Rechte haben Betroffene nach dem Bundesdatenschutzgesetz?
Das Bundesdatenschutzgesetz (BDSG) gewährt Betroffenen eine Vielzahl an Rechten, die den Schutz ihrer personenbezogenen Daten sicherstellen. Hierzu zählt insbesondere das Recht auf Auskunft nach § 34 BDSG, das es Betroffenen erlaubt, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ebenso können sie Auskunft über den Zweck der Verarbeitung, die Herkunft der Daten, sowie etwaige Empfänger oder Kategorien von Empfängern erhalten, an die Daten weitergegeben werden. Weiterhin besteht das Recht auf Berichtigung unrichtiger Daten (§ 35 Abs. 1 BDSG), Löschung („Recht auf Vergessenwerden“, § 35 Abs. 2 BDSG), sowie das Recht auf Einschränkung der Verarbeitung unter bestimmten Voraussetzungen. Das Widerspruchsrecht (§ 36 BDSG) ermöglicht es Betroffenen, gegen die Verarbeitung Widerspruch einzulegen, sofern diese auf Basis berechtigter Interessen erfolgt. Schließt das Gesetz eine Verarbeitung aus oder wird die Verarbeitung durch die betroffene Person widerrufen, so ist die Datenverarbeitung unverzüglich einzustellen. Ferner können sich Betroffene bei Verstößen an die zuständige Datenschutzaufsichtsbehörde wenden oder die gerichtlichen Rechtsbehelfe in Anspruch nehmen.
Unter welchen Bedingungen ist die Verarbeitung personenbezogener Daten nach dem BDSG zulässig?
Die Verarbeitung personenbezogener Daten ist nach dem BDSG grundsätzlich nur rechtmäßig, wenn eine Rechtsgrundlage existiert. Das BDSG verweist insofern auf die Bestimmungen der Datenschutz-Grundverordnung (DSGVO), insbesondere deren Art. 6. Demnach ist eine Verarbeitung vor allem zulässig, wenn eine ausdrückliche Einwilligung des Betroffenen vorliegt, die Verarbeitung zur Erfüllung eines Vertrags, zur Erfüllung rechtlicher Verpflichtungen, zum Schutz lebenswichtiger Interessen, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Das BDSG enthält daneben für bestimmte Verarbeitungssituationen – etwa im Beschäftigungskontext (§ 26 BDSG) – spezifische Regelungen, die über die DSGVO hinausgehen und den rechtlichen Rahmen für die Verarbeitung in Deutschland präzisieren.
Welche Pflichten treffen Unternehmen und Behörden im Rahmen des BDSG?
Unternehmen und Behörden, die personenbezogene Daten verarbeiten, müssen eine Vielzahl rechtlicher Pflichten aus dem BDSG beachten. Eine zentrale Pflicht ist die Implementierung angemessener technischer und organisatorischer Maßnahmen (TOM), um das Schutzniveau der Daten zu gewährleisten. Sie müssen sich an Grundsätze wie Datenminimierung, Zweckbindung und Transparenz halten. Das BDSG verpflichtet Verantwortliche zudem zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (§ 70 BDSG) und gegebenenfalls zur Bestellung eines Datenschutzbeauftragten (§ 38 BDSG). Ferner bestehen Meldepflichten bei Datenschutzverletzungen, etwa die Mitteilung gegenüber der zuständigen Aufsichtsbehörde und, unter bestimmten Umständen, gegenüber den Betroffenen. Unternehmen und Behörden sind außerdem verpflichtet, Betroffenenrechte zu verwalten und sicherzustellen, dass Anfragen unverzüglich beantwortet werden.
Welche Sanktionen drohen bei einem Verstoß gegen das BDSG?
Verstöße gegen das Bundesdatenschutzgesetz sowie die DSGVO können erhebliche rechtliche Folgen für Verantwortliche und Auftragsverarbeiter haben. Je nach Schwere der Verletzung drohen Bußgelder, die gemäß Art. 83 DSGVO staffelbar sind und sich in Deutschland auf bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens belaufen können, je nachdem, welcher Betrag höher ist. Zusätzlich zur Verhängung von Bußgeldern können Aufsichtsbehörden weitere Maßnahmen wie Verwarnungen, Anordnungen zur Einstellung bestimmter Datenverarbeitungen oder auch die Löschung widerrechtlich verarbeiteter Daten anordnen. Im Einzelfall können sogar zivilrechtliche Schadensersatzforderungen von betroffenen Personen entstehen (§ 82 DSGVO). In bestimmten Fällen kann ein Verstoß auch strafrechtliche Konsequenzen nach sich ziehen.
Wie wird die Einhaltung des BDSG kontrolliert und wer ist zuständig?
Die Einhaltung des BDSG wird durch unabhängige Datenschutzaufsichtsbehörden kontrolliert. In Deutschland gibt es sowohl eine Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), die für Bundesbehörden und bestimmte Unternehmen des Bundes zuständig ist, als auch die Datenschutzbeauftragten der Länder, die die Einhaltung des Datenschutzrechts in privaten Unternehmen und landesrechtlichen Behörden überwachen. Diese Aufsichtsbehörden besitzen weitgehende Prüf- und Eingriffsrechte. Sie können Unternehmen und Behörden kontrollieren, unangekündigte Prüfungen vornehmen, Auskünfte und Unterlagen anfordern sowie Maßnahmen zur Herstellung datenschutzgerechter Zustände anordnen und Verstöße sanktionieren. Betroffene können sich mit Beschwerden direkt an diese Behörden wenden.
Welche Sonderregelungen enthält das BDSG für die Verarbeitung von Beschäftigtendaten?
Das BDSG enthält in § 26 spezifische Regelungen zur Verarbeitung personenbezogener Daten von Beschäftigten. Demnach ist die Datenverarbeitung zulässig, wenn sie zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Ebenso ist die Verarbeitung für die Aufdeckung von Straftaten im Beschäftigungsverhältnis gestattet, sofern ein dokumentierter Verdacht besteht und keine überwiegenden schutzwürdigen Interessen des Beschäftigten entgegenstehen. Darüber hinaus regelt § 26 BDSG die Einwilligung von Beschäftigten sowie die Verarbeitung besonderer Kategorien personenbezogener Daten, etwa Gesundheitsdaten, die grundsätzlich nur unter strengen Voraussetzungen möglich ist.
Welche Rolle spielt der Datenschutzbeauftragte nach BDSG?
Nach § 38 BDSG sind Unternehmen und Behörden unter bestimmten Voraussetzungen zur Bestellung eines Datenschutzbeauftragten verpflichtet. Dies ist insbesondere dann der Fall, wenn in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder eine Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO erfolgt. Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzbestimmungen im Unternehmen, fungiert als Ansprechpartner sowohl für Betroffene als auch für die Aufsichtsbehörden und berät die Geschäftsleitung zu datenschutzrechtlichen Fragestellungen. Zudem ist der Datenschutzbeauftragte verpflichtet, bei der Umsetzung technischer und organisatorischer Maßnahmen mitzuwirken und Mitarbeitende zu schulen. Eine unabhängige Position und der besondere Kündigungsschutz sollen die Unabhängigkeit seiner Tätigkeit sicherstellen.
