Bundesdatenschutzgesetz

Basisdaten
Titel: Bundesdatenschutzgesetz
Früherer Titel: Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung
Abkürzung: BDSG
Art: Bundesgesetz
Geltungsbereich: Bundesrepublik Deutschland
Rechtsmaterie: Datenschutzrecht
Fundstellennachweis: 204-4
Ursprüngliche Fassung vom: 27. Januar 1977
(BGBl. I S. 201)
Inkrafttreten am: überw. 1. Januar 1978
Letzte Neufassung vom: 30. Juni 2017
(BGBl. I S. 2097)
Inkrafttreten der
Neufassung am:
25. Mai 2018
Letzte Änderung durch: Art. 10 G vom 23. Juni 2021
(BGBl. I S. 1858, 1968, ber. 2022 I S. 1045)
Inkrafttreten der
letzten Änderung:
1. Dezember 2021
(Art. 61 G vom 23. Juni 2021)
GESTA: E059
Weblink: Text des Gesetzes
Bitte den Hinweis zur geltenden Gesetzesfassung beachten.

Das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt und präzisiert die Datenschutz-Grundverordnung (DS-GVO) an den Stellen, die nationalen Regelungen der EU-Staaten überlassen sind. Das sind unter anderem die Verarbeitung von Beschäftigtendaten, die Videoüberwachung, die Bestellung von Datenschutzbeauftragten oder die Aufsichtsbehörden. Zudem dient das BDSG der Umsetzung der EU-Datenschutzrichtlinie für Polizei- und Justizbehörden (JI-Richtlinie).[1]

Das Bundesdatenschutzgesetz trat am 1. Januar 1978 in Kraft, die aktuelle Fassung gilt seit dem 1. Dezember 2021.

Überblick über das BDSG

Das BDSG gilt für die Verarbeitung personenbezogener Daten öffentlicher Stellen des Bundes und der Länder (soweit nicht landesrechtliche Regelungen greifen) sowie für nichtöffentliche Stellen. Es besteht aus vier Teilen: Gemeinsame Bestimmungen, Durchführungsbestimmungen zur DS-GVO, Datenschutzbestimmungen für Polizei- und Justizbehörden und Besondere Bestimmungen für Tätigkeiten außerhalb von DS-GVO und JI-Richtlinie.

Teil 1: Gemeinsame Bestimmungen

Anwendungsbereich und Begriffsbestimmungen (§§ 1, 2)

Das BDSG gilt für Behörden und für nichtöffentliche Stellen. Dies sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, also z. B. Unternehmen, Selbständige, Freiberufler, Vereine oder Stiftungen. Das Gesetz gilt jedoch nicht für natürliche Personen bei der Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten in Übereinstimmung mit der DS-GVO.[2] Zusätzlich zu den Begriffsbestimmungen der DS-GVO werden drei weitere Begriffe definiert: „Öffentliche Stellen des Bundes“, „Öffentliche Stellen der Länder“ und „Nichtöffentliche Stellen“.

Rechtsgrundlagen für öffentliche Stellen und Videoüberwachung (§§ 3, 4)

Öffentliche Stellen dürfen personenbezogene Daten ausschließlich dann verarbeiten, wenn dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist. Die Videoüberwachung öffentlich zugänglicher Räume ist nur unter festgelegten Bedingungen zulässig. Auf eine Videoüberwachung muss deutlich erkennbar hingewiesen werden. Die Mindestinhalte der Hinweise sind vorgeschrieben.

BfDI: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (§§ 8 – 21)

Der Bundesbeauftragte ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes. Ebenso beaufsichtigt er Unternehmen, die geschäftsmäßig Telekommunikations- oder Postdienstleistungen[3] erbringen. Er erstellt jährlich einen Bericht, der eine Liste der Arten gemeldeter Verstöße und der Arten getroffener Maßnahmen und der verhängten Sanktionen enthält. Er vertritt Deutschland im Europäischen Datenschutzausschuss, sein Stellvertreter ist der Leiter der Aufsichtsbehörde eines Bundeslandes.

Teil 2: Durchführungsbestimmungen zur DS-GVO

Kapitel 1: Rechtsgrundlagen der Verarbeitung personenbezogener Daten (§§ 22 – 31)

Besondere Kategorien personenbezogener Daten und Zweckänderungen (§§ 22 – 25)

Die DS-GVO sieht in Art. 9 (4) ergänzende nationale Bestimmungen zur Verarbeitung besonders sensibler Daten wie z. B. Gesundheitsdaten vor. In § 22 präzisiert das BDSG die Voraussetzungen und die technischen und organisatorischen Schutzmaßnahmen, wie zum Beispiel Verfahren zur regelmäßigen Bewertung ihrer Wirksamkeit oder die Benennung eines Datenschutzbeauftragten. Personenbezogene Daten dürfen nur unter bestimmten Voraussetzungen zu einem anderen Zweck verarbeitet werden als demjenigen, zu dem sie erhoben wurden (siehe auch Erwägungsgrund 50 DS-GVO). Dazu gehört zum Beispiel die Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit, die Verfolgung von Straftaten und Ordnungswidrigkeiten oder die Prüfung von Angaben gegenüber einer Behörde, wenn es Anhaltspunkte für deren Unrichtigkeit gibt.

Besondere Verarbeitungssituationen (§§ 26 – 31)

Die DS-GVO delegiert die Datenschutzregelung für die Datenverarbeitung im Beschäftigungskontext an die Mitgliedsstaaten (Art. 88 (1) DS-GVO). Dies erfolgt in § 26 des BDSG. Hier wird insbesondere der Personenkreis der Beschäftigten definiert, z. B. Arbeitnehmer, Auszubildende, BuFDis, Bundesbeamte, Soldaten und auch Bewerber. An die Freiwilligkeit von Einwilligungen stellt das BDSG im Beschäftigungskontext hohe Anforderungen. Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.

Für Zwecke von Wissenschaft, historischer Forschung oder Statistik dürfen besondere Kategorien personenbezogener Daten auch ohne Einwilligung verarbeitet werden. Dabei dürfen entgegenstehende Interessen der betroffenen Person aber nicht erheblich überwiegen. Wenn besondere Kategorien personenbezogener Daten im öffentlichen Interesse archiviert werden, müssen angemessene und spezifische Schutzmaßnahmen getroffen werden. Insbesondere muss dokumentiert werden, wer Daten eingegeben, verändert oder entfernt hat. Datenschutzrechtliche Auskunft braucht nur erteilt zu werden, wenn das Archivgut namentlich erschlossen ist und die Daten mit vertretbarem Verwaltungsaufwand aufzufinden sind.

Datenschutzrechtliche Auskunft braucht nicht erteilt zu werden, wenn Geheimhaltungspflichten entgegenstehen. Dies betrifft insbesondere Daten, die unter der Verantwortung von Berufsgeheimnis- oder Amtsgeheimnisträgern verarbeitet werden.

Wenn ein Verbraucherkredit wegen einer Bonitätsauskunft abgelehnt wird, muss der Verbraucher unverzüglich über die Ablehnung und über die erhaltene Auskunft unterrichtet werden. Zur Berechnung von Scoring-Werten dürfen nur Daten verwendet werden, die nachweisbar für die Berechnung erheblich sind. Sollen Adressdaten in die Berechnung einfließen, muss der Betroffene informiert werden, die Berechnung darf aber nicht ausschließlich auf Adressdaten beruhen.

Kapitel 2: Rechte der betroffenen Person (§§ 32 – 37)

Wenn personenbezogene Daten erhoben werden, muss die betroffene Person gemäß DS-GVO umfassend informiert werden, es sei denn sie verfügt schon über die Informationen. Das BDSG legt weitere Ausnahmen von dieser Pflicht fest: zum Beispiel wenn Daten nur analog verwendet werden (wie beispielsweise Visitenkarten), oder wenn öffentliche Sicherheit oder Ordnung, Steuererhebung, öffentliche Gesundheit oder rechtliche Ansprüche des Verantwortlichen gefährdet würden. In diesen Fällen hat die betroffene Person auch kein Recht auf Auskunft. Die Gründe der Auskunftsverweigerung sind zu dokumentieren. Die Ablehnung ist gegenüber der betroffenen Person in der Regel zu begründen. Bei Versicherungsverträgen hat der Versicherte nur dann das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, wenn eine Leistung verweigert wird.

Kapitel 3: Pflichten der Verantwortlichen und Auftragsverarbeiter (§§ 5, 38, 39)

Jede öffentliche Stelle muss einen Datenschutzbeauftragten benennen, eine nichtöffentliche Stelle jedoch nur, wenn sie mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Sie braucht auf jeden Fall aber einen Datenschutzbeauftragten, wenn sie wegen hohen Risikos für die Rechte und Freiheiten natürlicher Personen Datenschutz-Folgenabschätzungen durchführen muss, oder wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Kapitel 4: Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen (§ 40)

Die datenschutzrechtliche Überwachung der nichtöffentlichen Stellen liegt in der Hoheit der Bundesländer. Deren Aufsichtsbehörden[4] können bei Verstößen die betroffenen Personen unterrichten, den Verstoß anderen für die Verfolgung oder Ahndung zuständigen Stellen anzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen unterrichten. Ihre Mitarbeiter dürfen zur Erfüllung ihrer Aufgaben Grundstücke und Geschäftsräume der nichtöffentlichen Stelle betreten und Zugang zu allen Datenverarbeitungsanlagen erhalten. Die Aufsichtsbehörden beraten und unterstützen die Datenschutzbeauftragten.

Kapitel 5 und 6: Sanktionen und Rechtsbehelfe (§§ 41 – 44)

Die DS-GVO legt den Rahmen für die Höhe der Sanktionen bei Verstößen fest (Geldbuße bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes[5]). Die Durchführung der Ahndung von Verstößen erfolgt nach dem Gesetz über Ordnungswidrigkeiten. Wenn eine Geldbuße 100.000 Euro übersteigt, entscheidet das Landgericht. Es gelten dann die Strafprozessordnung und das Gerichtsverfassungsgesetz. Über eine eventuelle Einstellung kann die Staatsanwaltschaft nur mit Zustimmung der Aufsichtsbehörde entscheiden. Datenschutzverletzungen können auch mit Freiheitsstrafe bis zu drei Jahren bestraft werden, wenn Daten gewerbsmäßig Dritten zugänglich gemacht werden oder wenn Daten durch unrichtige Angaben erschlichen werden.

Teil 3: Datenschutzbestimmungen für Polizei- und Justizbehörden

Kapitel 1: Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten (§§ 45 – 47)

Der dritte Teil des BDSG gilt für die Verarbeitung personenbezogener Daten durch die Polizei- und Justizbehörden, soweit sie Daten zum Zweck der Erfüllung ihrer Aufgaben verarbeiten. Die Begriffsbestimmungen sind ebenso wie die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten weitgehend denjenigen der DS-GVO ähnlich.

Kapitel 2: Rechtsgrundlagen der Verarbeitung personenbezogener Daten (§§ 48 – 54)

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist. Es sind geeignete Schutzmaßnahmen vorzusehen. Die Beispielliste enthält acht Maßnahmen, darunter die Festlegung besonderer Aussonderungsprüffristen, die Sensibilisierung der Beteiligten oder die Beschränkung des Zugangs zu den Daten innerhalb der verantwortlichen Stelle. Die konkrete Ausgestaltung der Maßnahmen kann von Einzelfall zu Einzelfall variieren. In diesem Kapitel werden auch die Bedingungen für die Einwilligung, für Zweckänderungen, für die Weisungsbindung und die Verpflichtung auf das Datengeheimnis sowie für automatisierte Einzelentscheidungen festgelegt.

Kapitel 3: Betroffenenrechte (§§ 55 – 61)

Der Verantwortliche stellt Informationen zu den Verarbeitungszwecken, zur Wahrnehmung der Betroffenenrechte, zu seinen Kontaktdaten und zum Recht auf Anrufung des Bundesbeauftragten für den Datenschutz in allgemeiner Form für jedermann zugänglich zur Verfügung. Für individuelle Auskünfte, Berichtigungs- oder Löschverlangen werden in diesem Kapitel die Voraussetzungen, Inhalte und Verfahren definiert. Zudem wird hier das Recht auf Beschwerde beim Bundesbeauftragten für den Datenschutz geregelt.

Kapitel 4: Pflichten der Verantwortlichen und Auftragsverarbeiter (§§ 62 – 77)

Auftragsverarbeitung (§ 62)

Lässt der Verantwortliche personenbezogene Daten durch einen Dienstleister verarbeiten, bleibt er in der datenschutzrechtlichen Verantwortung. Insbesondere ist er in der Pflicht, dass die Betroffenenrechte erfüllt werden. Die Verarbeitung durch einen Auftragsverarbeiter darf nur auf der Grundlage eines Vertrags erfolgen, der festgelegte Inhalte aufweisen muss, zum Beispiel die strikte Bindung an dokumentierte Weisungen oder die Verpflichtung, alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen zurückzugeben, zu löschen und eventuelle Kopien zu vernichten.

Sicherheit der Datenverarbeitung (§ 64)

Der Verantwortliche und der Auftragsverarbeiter müssen die erforderlichen technischen und organisatorischen Maßnahmen treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierbei sind die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu berücksichtigen. Es werden 14 Schutzzwecke aufgelistet, darunter Zugangskontrolle, Datenträgerkontrolle, Benutzerkontrolle, Zugriffskontrolle, Eingabekontrolle, Datenintegrität oder Verfügbarkeitskontrolle. Die Maßnahmen sollen dazu führen, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sichergestellt werden und die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können. Die Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung umfassen.

Datenschutzverletzungen (§§ 65, 66)

Datenschutzverletzungen sind unverzüglich, möglichst innerhalb von 72 Stunden nach Bekanntwerden, dem Bundesbeauftragten zu melden. Betroffene Personen sind unverzüglich über den Vorfall zu benachrichtigen, wenn eine erhebliche Gefahr für ihre Rechtsgüter nicht ausgeschlossen werden kann.

Datenschutz-Folgenabschätzung, Verzeichnis von Verarbeitungstätigkeiten, Technikgestaltung und Voreinstellungen (§§ 67 – 71)

Der Verantwortliche muss eine Datenschutz-Folgenabschätzung durchführen, wenn von der Form der Verarbeitung eine erhebliche Gefahr für die Rechtsgüter betroffener Personen ausgeht. Er hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen. Er hat dafür zu sorgen, dass für seine Verarbeitungstätigkeiten der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen umgesetzt wird.

Unterscheidung zwischen verschiedenen Kategorien betroffener Personen (§ 72) und zwischen Tatsachen und persönlichen Einschätzungen (§ 73)

Er muss bei der Verarbeitung zwischen den verschiedenen Kategorien betroffener Personen unterscheiden: Personen unter Verdacht einer begangenen Straftat, Personen unter Verdacht einer geplanten Straftat, verurteilte Straftäter, tatsächliche oder vermutliche Opfer einer Straftat und andere Personen wie Zeugen, Hinweisgeber oder Kontaktpersonen von Tätern oder Opfern. Zudem muss er zwischen Tatsachen und persönlichen Einschätzungen unterscheiden.

Übermittlungen, Berichtigung und Löschung, Protokollierung (§§ 74 – 76)

Bei Übermittlungen an andere Stellen muss der Verantwortliche gewährleisten, dass keine falschen oder veralteten Daten übermittelt werden. Er muss sicherstellen, dass gespeicherte Daten spätestens nach Ablauf ihrer gesetzlichen Höchstspeicherfrist gelöscht werden. Er muss Erhebung, Veränderung, Abfrage, Offenlegung einschließlich Übermittlung, Kombination und Löschung protokollieren und die Protokolldaten am Ende des darauffolgenden Jahres löschen.

Vertrauliche Meldung von Verstößen (§ 77)

Der Verantwortliche muss ermöglichen, dass ihm Datenschutzverstöße vertraulich gemeldet werden können.

Kapitel 5: Datenübermittlungen an Drittstaaten und an internationale Organisationen (§§ 78 – 81)

Datenübermittlungen an Stellen außerhalb der Europäischen Union und an internationale Organisationen sind nur unter bestimmten Voraussetzungen zulässig. Die europäische Kommission muss einen Angemessenheitsbeschluss für den betreffenden Staat gemäß der JI-Richtlinie getroffen haben. Andernfalls kann der Verantwortliche selbst einschätzen, ob geeignete Garantien für den Schutz personenbezogener Daten bestehen. Bei schwerwiegenden Gründen können Daten auch übermittelt werden, wenn keine geeigneten Garantien vorliegen.

Kapitel 6: Zusammenarbeit der Aufsichtsbehörden (§ 82)

Der Bundesbeauftragte leistet den Aufsichtsbehörden anderer EU-Mitgliedsstaaten Amtshilfe, insbesondere bei Auskunftsersuchen oder aufsichtsbezogenen Maßnahmen.

Kapitel 7: Haftung und Sanktionen (§§ 83, 84)

Wird jemandem durch rechtswidrige Verarbeitung ein Schaden zugefügt, ist der Verantwortliche schadensersatzpflichtig. Für die Verjährung gelten die Verjährungsvorschriften des BGB entsprechend. Datenschutzverletzungen können auch mit Freiheitsstrafe bis zu drei Jahren bestraft werden, wenn Daten gewerbsmäßig Dritten zugänglich gemacht werden oder wenn Daten durch unrichtige Angaben erschlichen werden.

Teil 4: Besondere Bestimmungen für Tätigkeiten außerhalb der Anwendungsbereiche der DS-GVO und der JI-Richtlinie

Die Übermittlung personenbezogener Daten außerhalb der Europäischen Union ist gemäß § 85 auch dann zulässig, wenn sie zur Erfüllung eigener Aufgaben aus zwingenden Gründen der Verteidigung, der Krisenbewältigung und Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist.

Bei der Vorbereitung öffentlicher Ehrungen wie zum Beispiel der Verleihung des Bundesverdienstkreuzes gelten besondere Bedingungen für den Umgang mit den Daten der zu ehrenden Person.

Zuordnung BDSG zu DS-GVO

BDSG -Paragraf setzt den DS-GVO-Artikel um
§ 1 Artt. 2, 3, 90
§ 2 Art. 4
§ 3 Art. 6
§ 4 Artt. 6, 13, 14, 17
§ 5 Art. 37
§ 6 Art. 38
§ 7 Art. 39
§§ 8 – 16 Artt. 51 – 59
§ 17 Artt. 51, 68
§ 18 Artt. 51, 60
§ 19 Artt. 56, 60
§ 20 Art. 78
§ 21 Art. 45, 46
§ 22 Art. 9
§§ 23 – 25 Artt. 6, 9
§ 26 Art. 88
§§ 27, 28 Artt. 9, 15, 16, 18, 21, 89
§ 29 Artt. 13 – 15, 34, 58, 90
§ 30 Art. 15
§ 31 Art. 21
§ 32 Artt. 13, 23
§ 33 Artt. 14, 23
§ 34 Artt. 15, 18
§ 35 Artt. 17, 18
§ 36 Art. 21
§ 37 Art. 22
§ 38 Artt. 35, 37
§ 39 Art. 43
§ 40 Artt. 36, 58, 64
§ 41 Art. 83
§ 42 Artt. 33, 34, 84
§ 43 Artt. 33, 34, 83
§ 44 Artt. 37,79
§§ 45 – 84 JI-Richtlinie
§ 85 Art. 13, 49
§ 86 -[6]

Gesetzliche Umsetzung der DS-GVO in Deutschland außerhalb des Anwendungsbereichs des BDSG

Landesdatenschutzgesetze

Die Datenschutzgesetze der Bundesländer regeln den Datenschutz für die Behörden der Länder und Gemeinden, dabei auch die Zuständigkeiten und Aufgaben der Datenschutzaufsichtsbehörden. Sie wurden 2018 innerhalb von vier Wochen an die DS-GVO angepasst[7], als erstes das Brandenburgische Datenschutzgesetz – BbgDSG vom 8. Mai 2018 und als letztes schließlich das Berliner Datenschutzgesetz – BlnDSG vom 23. Juni 2018.

Kirchen

Das Datenschutzrecht der Kirchen und religiösen Gemeinschaften in Deutschland muss im Einklang mit der DS-GVO stehen. Dies ist in den Datenschutzgesetzen der katholischen Kirche in den (Erz-)Diözesen oder (Erz-)Bistümern[8] und im Datenschutzgesetz der Evangelischen Kirche in Deutschland[9] umgesetzt.

Überblick über das BDSG in der alten Fassung von 1990

Das BDSG in der Fassung von 1990 (im Folgenden: BDSG a.F.) bestand aus sechs Abschnitten:

  • Im ersten Abschnitt (§§ 1–11) wurden allgemeine und gemeinsame Bestimmungen erläutert,
  • im zweiten Abschnitt (§§ 12–26) die Datenverarbeitung für öffentliche Stellen und
  • im dritten Abschnitt (§§ 27–38a) für private Stellen geregelt.
  • Der vierte Abschnitt (§§ 39–42) enthielt Sondervorschriften,
  • im fünften Abschnitt (§§ 43–44) wurden Straf- und Bußgeldvorschriften und
  • im sechsten Abschnitt (§§ 45–48) Übergangsvorschriften genannt.

Allgemeine und gemeinsame Bestimmungen

§ 1 Absatz 1 BDSG a.F. lautete:

„Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Grundsätze

Ein wesentlicher Grundsatz des Gesetzes war das so genannte Verbotsprinzip mit Erlaubnisvorbehalt. Dieses besagt, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Prinzip verboten sind. Sie sind nur dann erlaubt, wenn entweder eine klare Rechtsgrundlage gegeben ist (d. h., das Gesetz erlaubt die Datenverarbeitung in diesem Fall) oder wenn die betroffene Person ausdrücklich (meist schriftlich) ihre Zustimmung zur Erhebung, Verarbeitung und Nutzung gegeben hat (§ 4 Absatz 1, § 4a). Die angewendeten Verfahren mit automatisierter Verarbeitung waren vom (behördlichen oder betrieblichen) Datenschutzbeauftragten zu prüfen oder (wenn ein solcher nicht vorhanden war) bei der zuständigen Aufsichtsbehörde anzeigepflichtig (§ 4d).

Ebenfalls galt der in § 3a definierte Grundsatz der Datensparsamkeit und Datenvermeidung: So sollten sich alle Datenverarbeitungssysteme an dem Ziel ausrichten, keine oder so wenig personenbezogene Daten wie möglich zu verwenden und insbesondere von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen.

Geschützte Daten

Geregelt wurde der Umgang mit personenbezogenen Daten. Daten sind personenbezogen, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben. Dazu genügt es, wenn die Person nicht namentlich benannt wird, aber bestimmbar ist (beispielsweise: Telefonnummer, E-Mail-Adresse, IP-Adresse beim Surfen, Personalnummer).

Im Gegensatz dazu stehen anonyme Daten, bei denen die Person unbekannt (also unbestimmbar) ist. Pseudonyme Daten, bei denen der Name durch einen Decknamen ersetzt wird, fallen jedoch wieder unter den Geltungsbereich des BDSG a.F., weil es sich dabei um Angaben bestimmbarer Personen handelt. Da es aber aufwändiger ist, vom Pseudonym auf den Inhaber zu schließen, ist das informationelle Selbstbestimmungsrecht hiermit besser geschützt als z. B. mit Namen.

Nicht in den Geltungsbereich des BDSG a.F. fielen Daten über juristische Personen (GmbH, AG usw.). Entgegen dem eindeutigen Wortlaut haben einzelne Verwaltungsgerichte Datenschutzgesetze auch auf juristische Personen angewandt.[10]

Besonders geschützt wurden so genannte besondere Arten von Daten gemäß § 3 Abs. 9 BDSG a.F., nämlich Daten über ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben. Nach § 4d Abs. 5 BDSG a.F. unterlagen diese Daten der Vorabkontrolle. Das bedeutete, dass der Umgang mit den Daten in Institutionen, die Daten dieser Art erheben, verarbeiten oder speichern, vor Beginn der Datenverarbeitung geprüft werden musste. Dafür zuständig war der Beauftragte für den Datenschutz, der von der betreffenden Institution bestellt werden musste.

Bei diesen Daten war das Verbotsprinzip mit Erlaubnisvorbehalt durch einen Ausnahmekatalog noch enger definiert und eine ausdrückliche Einwilligung des Betroffenen notwendig.

Sachlicher Anwendungsbereich

Das BDSG a.F. regelte folgende Tätigkeiten: Die Datenerhebung, die Datenverarbeitung und die Datennutzung. Ein Erheben im Sinne des Gesetzes lag bereits bei der bloßen Beschaffung von Daten über natürliche Personen beim Betroffenen oder bei Dritten vor. Zur Verarbeitung gehörte dabei das Speichern, Verändern, Übermitteln, Sperren und Löschen der Daten. Unter Nutzen war jede Verwendung personenbezogener Daten außerhalb der Verarbeitung zu verstehen. Auch wurde im BDSG a.F. geregelt, welche Rechte und Pflichten die Aufsichtsbehörden für den Datenschutz hatten.

Normadressaten

Im BDSG a.F. wurde unterschieden zwischen Datenschutz in öffentlichen und nichtöffentlichen Stellen. Öffentlich-rechtliche Wettbewerbsunternehmen, die im Wettbewerb zu privaten Unternehmen stehen (z. B. die Deutsche Bahn), wurden wie nichtöffentliche Stellen behandelt.

Datenverarbeitung der nichtöffentlichen Stellen und Beratung

Jede nichtöffentliche Stelle (z. B. Unternehmen), in der 10 oder mehr Personen ständig mit der Verarbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung beschäftigt waren, benötigten einen Datenschutzbeauftragten (kurz DSB). Desgleichen bei zwanzig oder mehr Mitarbeitern, wenn die Daten manuell (z. B. mit Karteikarten) verarbeitet wurden, wenn Verarbeitungen eine Vorabkontrolle erforderten oder die Verarbeitung zur Übermittlung (Detektei, Auskunftei) oder anonymen Übermittlung (Meinungsforschung) verarbeitet wurden.

Die Pflichten der verantwortlichen (verarbeitenden) Stelle fielen immer der Geschäftsführung zu. Unabhängig von der Bestellung eines Datenschutzbeauftragten umfassen sie u. a.:

  • Gewährung der Betroffenenrechte (Benachrichtigung, Auskunft, Korrektur, Sperrung, Löschung)
  • transparente und dokumentierte EDV (Verfahrensverzeichnis)
  • Schutz der EDV und der Daten im Sinne der IT-Sicherheit (§ 9 BDSG a.F. nebst Anhang)
  • Nachvollziehbarkeit von Zugriffen, Änderungen und Weitergaben an Dritte

Sondervorschriften

Für Verwaltungsverfahren im Geltungsbereich des Sozialgesetzbuchs sind für den Schutz der Sozialdaten besondere Vorschriften gültig, welche statt des Bundesdatenschutzgesetzes oder landesrechtlicher Regelungen anzuwenden sind. Dies gilt auch für die Durchführung jener Gesetze, die gemäß § 68 Erstes Buch Sozialgesetzbuch (SGB I) als besondere Teile des Sozialgesetzbuches gelten, wie also für Verfahren, die BAföG- oder Wohngeldstellen durchführen. Der Sozialdatenschutz ist im zweiten Kapitel des Zehntes Buch Sozialgesetzbuch (SGB X) geregelt.

Geschichtliche Entwicklung

Vorgeschichte

Vereinzelt gab es schon seit langem Bestimmungen, die dem Schutz der Privatsphäre dienten (Beichtgeheimnis, ärztliche Schweigepflicht, Steuergeheimnis, Postgeheimnis). Überlegungen zu einem umfassenden Datenschutz nahmen in den 1960er Jahren in den USA ihren Anfang und gingen einher mit der Entwicklung der Computertechnologie und den damit verbundenen Gefahren für die Privatsphäre (englisch: privacy). In Deutschland eröffnete Hessen 1970 mit dem ersten Datenschutzgesetz der Welt die Datenschutzgesetzgebung.

Erste Fassung 1977

Das erste BDSG wurde mit Datum vom 27. Januar 1977 als Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG)[11] erlassen. Es war zwischen dem 1. Januar 1978 und dem 31. Mai 1991 in Kraft. Es hatte 47 Paragrafen und nahm im Bundesgesetzblatt 14 Seiten ein.

Nach dem Volkszählungsurteil des Bundesverfassungsgerichts 1983 war klar, dass die bisherigen Datenschutzgesetze nicht den verfassungsrechtlichen Anforderungen genügten. Diese mussten innerhalb eines angemessenen Zeitraumes novelliert werden.

Zweite Fassung 1990

Das zweite BDSG („Bundesdatenschutzgesetz 1990“) wurde am 20. Dezember 1990 mit Artikel 1 des Gesetzes zur Fortentwicklung der Datenverarbeitung und des Datenschutzes[12] erlassen. Es galt vom 1. Juni 1991 bis zum 24. Mai 2018. Das Bundesdatenschutzgesetz von 1990 wurde mehrfach novelliert, z. B. wurde es mit der Novelle vom 18. Mai 2001[13] an die Richtlinie 95/46/EG (Datenschutzrichtlinie) angepasst.[14] Durch die Richtlinie wurde ein einheitliches Datenschutzniveau für die Ausführung und Anwendung des Gemeinschaftsrechts durch die Mitgliedstaaten der EU geschaffen. Ende der 2010er-Jahre erfolgten drei Novellen: Am 1. April 2010 wurden mit der „Novelle I“[15] die Tätigkeiten von Auskunfteien und ihrer Vertragspartner (insbesondere Kreditinstitute) sowie das Scoring geregelt. Die „Novelle II“[16] trat am 1. September 2009 in Kraft. Sie enthielt Änderungen des Listenprivilegs beim Adresshandel, Neuregelungen für Markt- und Meinungsforschung, Opt-in, Koppelungsverbot, Beschäftigtendatenschutz, Auftragsdatenverarbeitung, neue Befugnisse für die Aufsichtsbehörden und neue oder stark erweiterte Bußgeldtatbestände, Informationspflichten bei Datenschutzverstößen, Kündigungsschutz für Datenschutzbeauftragte. Am 11. Juni 2010 wurde die „Novelle III“[17] mit dem Gesetz zur Umsetzung der EU-Verbraucherkreditrichtlinie den § 29 BDSG um zwei Absätze erweitert.

Dritte Fassung 2017

Die DS-GVO hat den Zweck, das Datenschutzrecht innerhalb der EU vollständig zu harmonisieren. Deshalb wurde das BDSG vollständig neu gefasst. Die Neufassung wurde vom Bundestag in seiner 231. Sitzung am 27. April 2017 mit den Stimmen der CDU/CSU-Fraktion und der SPD-Fraktion gegen die Stimmen der Fraktion Die Linke und der Fraktion Bündnis 90/Die Grünen verabschiedet. Es steht als Artikel 1 im Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)[18] vom 30. Juni 2017. Es ist seit dem 25. Mai 2018 in Kraft. Es hat 86 Paragrafen und nahm im Bundesgesetzblatt 31 Seiten ein. Es wurde 2019 mit dem 2. DSAnpUG-EU[19] noch um die besonderen Bedingungen für die Vorbereitung öffentlicher Ehrungen ergänzt.

Literatur

Viele deutsche Kommentare zur DS-GVO behandeln auch das BDSG. Eine umfangreiche Liste findet sich im Artikel zur DS-GVO

Kommentare zu früheren Fassungen des BDSG (vor DS-GVO)

Weblinks

Deutsche Gesetze

Verordnungen und Richtlinien der EU

Belege

  1. Richtlinie (EU) 2016/680 des Europäischen Parlamentes und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates.
  2. Artikel 2 (2) lit c) In: DS-GVO, abgerufen am 21. März 2021. In: Amtsblatt der Europäischen Union. L, Nr. 119, 4. Mai 2016, S. 1–88.
  3. § 42 (3) PostG
  4. Liste der Anschriften der Aufsichtsbehörden der Länder. In: Internetauftritt des BfDI. Abgerufen am 25. März 2021.
  5. Art. 83 (5) In: DS-GVO, abgerufen am 26. März 2021. In: Amtsblatt der Europäischen Union. L, Nr. 119, 4. Mai 2016, S. 1–88.
  6. Gierschmann (Hrsg.): Workbook Datenschutz-Grundverordnung. 2. Auflage. Bundesanzeiger-Verlag GmbH, Köln 2018, ISBN 978-3-8462-0962-2, S. 245.
  7. Datenschutzgesetze der Bundesländer an die DS-GVO angepasst. BvD, 27. Juni 2018, abgerufen am 28. März 2021.
  8. (Muster-)Gesetz über den kirchlichen Datenschutz (KDG). Katholisches Datenschutzzentrum, Dortmund, 20. November 2017, abgerufen am 29. März 2017.
  9. EKD-Datenschutzgesetz – DSG-EKD. In: Fachinformationssystem Kirchenrecht. Evangelische Kirche in Deutschland – Kirchenamt – Hannover, 15. November 2017, abgerufen am 28. März 2021.
  10. So entschied das Verwaltungsgericht Wiesbaden am 18. Januar 2008 (AZ 6 E 1559/06), dass datenschutzrechtliche Vorgaben „auch auf juristische Personen, soweit ein grundrechtlich verbürgtes Recht auf informationelle Selbstbestimmung nach Artikel 14 GG gegeben ist, entsprechend“ anzuwenden sind. Am 27. Februar 2009 bestätigte das Verwaltungsgericht Wiesbaden seine Rechtsprechung (AZ 6 K 1045/08.WI).
  11. BDSG 1977: BGBl. 1977 I S. 201, vom 1. Februar 1977.
  12. BDSG 1990: BGBl. 1990 I S. 2954 vom 29. Dezember 1990.
  13. BDSG-Novelle 2001: BGBl. 2001 I S. 904 vom 22. Mai 2001.
  14. Gesetzesbegründung zur BDSG-Novelle 2001: BT-Drs. 14/4329 vom 13. Oktober 2000.
  15. Vorgangsablauf (Entwürfe, Begründungen und Beratungen) im DIP
    Text und Änderungen durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes
  16. Vorgangsablauf (Entwürfe, Begründungen und Beratungen) im DIP
    Text und Änderungen durch das Gesetz zur Änderung datenschutzrechtlicher Vorschriften
  17. Vorgangsablauf (Entwürfe, Begründungen und Beratungen) im DIP
    Text und Änderungen durch Art. 5 des Gesetzes zur Umsetzung der Verbraucherkreditrichtlinie, des zivilrechtlichen Teils der Zahlungsdiensterichtlinie sowie zur Neuordnung der Vorschriften über das Widerrufs- und Rückgaberecht
  18. DSAnpUG-EU: BGBl. 2017 I S. 2097 vom 30. Juni 2017.
  19. 2. DSAnpUG-EU: BGBl. 2019 I S. 1626 vom 20. November 2019.