BDSG: das Bundesdatenschutzgesetz im Überblick

Was ist das BDSG?

Das Bundesdatenschutzgesetz (BDSG) ist das zentrale deutsche Gesetz zum Schutz personenbezogener Daten. Es ergänzt die EU-Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten gilt. Die DSGVO sieht an vielen Stellen sogenannte Öffnungsklauseln vor: Punkte, an denen die Mitgliedstaaten ergänzend oder abweichend regeln dürfen. Genau diese Lücken schließt das BDSG.

Das aktuelle BDSG (umgangssprachlich "BDSG-neu") trat zeitgleich mit der DSGVO am 25. Mai 2018 in Kraft und löste das alte BDSG von 1990 ab. Es wurde 2019 und 2023 im Detail novelliert, etwa bei den Schwellenwerten für den Datenschutzbeauftragten und beim Videoüberwachungsparagraphen.

In der Praxis ist das BDSG das Gesetz, das deutsche Personalabteilungen, Betriebsräte, mittelständische Unternehmen und Freiberufler am häufigsten zur Hand nehmen. Die DSGVO gibt den Rahmen, das BDSG liefert die deutschen Details.

Rechtsgrundlage und Aufbau

Das BDSG ist aufgerufen im Bundesgesetzblatt als Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU). Die amtliche Fassung findest Du auf gesetze-im-internet.de. Die Struktur umfasst vier Teile und rund 85 Paragraphen:

• Teil 1 (§§ 1 bis 21): Allgemeine Bestimmungen, Anwendungsbereich, Begriffsdefinitionen.
• Teil 2 (§§ 22 bis 44): Durchführungsbestimmungen für Verarbeitungen im Anwendungsbereich der DSGVO. Hier steht der wichtige § 26 BDSG zum Beschäftigtendatenschutz.
• Teil 3 (§§ 45 bis 84): Regelungen für die Strafverfolgung (Umsetzung der JI-Richtlinie 2016/680).
• Teil 4 (§§ 85 bis 86): Besondere Verarbeitungssituationen und Schlussvorschriften.

Das BDSG gilt neben der DSGVO. Konfliktfälle werden nach dem europarechtlichen Vorrangprinzip gelöst: Die DSGVO geht vor, außer wenn eine Öffnungsklausel ausdrücklich eine nationale Regelung zulässt.

Die wichtigsten Paragraphen im Detail

§ 26 BDSG: Beschäftigtendatenschutz

Der Klassiker unter den BDSG-Normen. Er regelt, wann Arbeitgeber Daten von Bewerbern, Beschäftigten und ehemaligen Mitarbeitern verarbeiten dürfen. Kernpunkte:

• Zulässig ist Datenverarbeitung, soweit erforderlich für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses.
• Besondere Datenkategorien (Gesundheit, Religion, Gewerkschaftszugehörigkeit) dürfen nur unter strengen Voraussetzungen verarbeitet werden.
• Einwilligungen im Arbeitsverhältnis sind möglich, werden aber mit Misstrauen betrachtet, weil die Freiwilligkeit umstritten ist.

Der Europäische Gerichtshof hat in der Entscheidung vom 30. März 2023 (C-34/21) festgestellt, dass Teile des § 26 BDSG nicht voll mit der DSGVO vereinbar sind. Der deutsche Gesetzgeber plant daher ein eigenes Beschäftigtendatenschutzgesetz, bis dahin gilt § 26 BDSG weiter.

§ 38 BDSG: Datenschutzbeauftragter

Deutschland nutzt hier eine Öffnungsklausel und schreibt einen Datenschutzbeauftragten vor, wenn:

• mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten,
• eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist,
• sensible Daten in großem Umfang verarbeitet werden,
• geschäftsmäßig Daten zur Übermittlung oder Marktforschung verarbeitet werden.

Der Datenschutzbeauftragte kann intern oder extern sein. Er muss Fachkunde haben (meist durch Schulung + Zertifikat wie TÜV oder UDIS nachgewiesen) und darf keine Interessenkonflikte haben. Geschäftsführer und Leiter der IT dürfen die Rolle nicht selbst übernehmen.

§ 4 BDSG: Videoüberwachung

Regelt die Überwachung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen. Voraussetzungen: berechtigte Interessen, kein Überwiegen schutzwürdiger Interessen der Betroffenen, Hinweisschilder. Die Rechtsprechung ist streng, vor allem wenn Dauerüberwachung oder Aufzeichnung stattfindet.

Wer muss das BDSG beachten?

Das BDSG gilt für alle öffentlichen und nicht-öffentlichen Stellen in Deutschland, die personenbezogene Daten verarbeiten. Das umfasst:

• Unternehmen jeder Größe, vom Soloselbstständigen bis zum DAX-Konzern.
• Vereine, Stiftungen, politische Parteien.
• Behörden auf Bundes-, Landes- und Kommunalebene.
• Schulen, Universitäten, Hochschulen.
• Arztpraxen, Kanzleien, Steuerberater.

Nicht anwendbar ist das BDSG bei rein persönlichen oder familiären Tätigkeiten (Haushaltsausnahme). Eine private Weihnachtskartenliste ist kein Fall für das BDSG.

Aufsicht, Bußgelder, Rechtsschutz

Die Aufsicht ist in Deutschland föderal organisiert:

• Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): zuständig für Bundesbehörden, Post, Telekommunikation.
• 16 Landesdatenschutzbeauftragte: zuständig für Unternehmen, Vereine, Landesbehörden im jeweiligen Bundesland.

Bußgelder richten sich nach Art. 83 DSGVO (bis 20 Mio Euro oder 4 Prozent Weltumsatz), konkretisiert durch § 41 BDSG. Deutschland hat bislang eher mittlere Bußgelder verhängt, im Schnitt zwischen 5.000 und 500.000 Euro pro Fall, mit Einzelspitzen bis 35 Millionen Euro.

Betroffene haben Anspruch auf Schadensersatz nach Art. 82 DSGVO und § 83 BDSG. Neben materiellem (konkret belegbarem) auch immaterieller Schaden, der auch ohne konkrete Finanzbelastung in Betracht kommen kann.

Beispielrechnung: GmbH mit 45 Mitarbeitern

Eine GmbH verarbeitet mit 25 Büromitarbeitern automatisiert Kunden-, Bewerber- und Lohndaten. Konsequenzen aus BDSG und DSGVO:

• Datenschutzbeauftragter nach § 38 BDSG Pflicht (25 Personen > 20).
• Interner Aufwand für externen DSB: 3.000 bis 8.000 Euro pro Jahr.
• Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO: Erstellungsaufwand rund 20 Stunden, laufende Pflege rund 2 Stunden pro Monat.
• Schulung aller Mitarbeiter mindestens einmal jährlich (1 Stunde reicht oft).
• Datenschutz-Folgenabschätzung nur bei bestimmten Hochrisiko-Verarbeitungen, z.B. KI-Systeme im Recruiting.

Abgrenzung zu anderen Gesetzen