BDSG

Das Bundesdatenschutzgesetz (BDSG) in seiner seit dem 25. Mai 2018 geltenden Fassung ist die zentrale nationale Rechtsgrundlage des deutschen Datenschutzrechts. Es steht nicht eigenständig neben der Datenschutz-Grundverordnung (DSGVO), sondern ergänzt und konkretisiert diese: Die DSGVO als unmittelbar geltendes EU-Recht hat Anwendungsvorrang, doch sie enthält zahlreiche sogenannte Öffnungsklauseln, die den Mitgliedstaaten eigene Regelungen erlauben oder aufgeben. Genau diese Spielräume füllt das BDSG für Deutschland aus. Wer die Pflichten eines Verantwortlichen verstehen will, muss deshalb stets DSGVO und BDSG gemeinsam lesen.

Das Gesetz gliedert sich in vier Teile: gemeinsame Bestimmungen (Teil 1), Durchführungsbestimmungen für Verarbeitungen im Anwendungsbereich der DSGVO (Teil 2), Umsetzung der sogenannten JI-Richtlinie für Polizei und Justiz (Teil 3) sowie besondere Bestimmungen für Verarbeitungen außerhalb des Unionsrechts (Teil 4). Praktisch bedeutsam für Unternehmen sind vor allem die Regelungen zur Benennung eines Datenschutzbeauftragten (§ 38 BDSG), zum Beschäftigtendatenschutz (§ 26 BDSG), zu Einschränkungen der Betroffenenrechte (§§ 32 ff. BDSG) sowie zu Videoüberwachung und Scoring.

Eine zentrale deutsche Besonderheit ist die Pflicht zur Benennung eines Datenschutzbeauftragten: Nach § 38 BDSG muss ein Verantwortlicher in der Regel einen Datenschutzbeauftragten bestellen, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind - eine Schwelle, die die DSGVO selbst nicht kennt. Verstöße gegen das BDSG können nach § 43 BDSG als Ordnungswidrigkeit oder in schweren Fällen nach § 42 BDSG sogar strafrechtlich geahndet werden, neben den Bußgeldern der DSGVO. Für die Compliance-Praxis ist das BDSG damit der unverzichtbare nationale Baustein neben dem europäischen Rahmen.