Datenschutz-Akademie » Datenschutz-Wiki » Was ist das BDSG – neu?

Das neue Bundesdatenschutzgesetz (BDSG-neu)

Das Bundesdatenschutzgesetz-neu (kurz BDSG-neu) ist die zentrale Ergänzung zur Datenschutzgrundverordnung (DSGVO) und trat gleichzeitig mit dieser in 2018 in Kraft. Das BDSG-neu löste gleichzeitig das vorher zentrale deutsche Datenschutzgesetz BDSG-alt ab und konkretisiert die DSGVO auf nationaler Ebene. Dabei greift das BDSG-neu immer nur dann, wenn die DSGVO aufgrund von Öffnungsklauseln u.ä. nicht angewendet werden kann. Sogenannte „Öffnungsklauseln“ bieten einzelnen Mitgliedsländern der Europäischen Union einen gewissen Spielraum bei der Umsetzung des Datenschutzes.

Wichtigste Informationen zum BDSG

  • Das BDSG ist die Abkürzung für das “Bundesdatenschutzgesetz“
  • Das BDSG-neu ist 2018 in Kraft getreten und ergänzt bzw. konkretisiert die Datenschutzgrundverordnung (DSGVO) auf nationaler Ebene
  • Das BDSG regelt der Umgang mit personenbezogenen Daten, Arbeitnehmerdatenschutz, Betroffenenrechte sowie Scoring und Bonitätsprüfungen

Was bildet die Grundlage des Datenschutzes in Deutschland?

Die Grundlage des Datenschutzes bietet wie in allen EU-Mitgliedsstaaten die Datenschutzgrundverordnung als unmittelbar geltendes Recht. Sollte die DSGVO keine konkreten Datenschutzvorgaben machen, greift in Deutschland das BDSG-neu.

DSGVO und BDSG-neu: In welchem Verhältnis stehen sie? Was ist der Unterschied zwischen BDSG und DSGVO? Was passiert, wenn sich BDSG und DSGVO widersprechen?

Als europarechtliches Regelwerk gilt die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten der EU und hat damit Vorrang vor den nationalen Regelwerken. Eines dieser nationalen Gesetze ist das Bundesdatenschutzgesetz-neu (BDSG-neu), welches ausschließlich in der Bundesrepublik Deutschland Geltung findet.

Dabei greift das BDSG mit seinen Bestimmungen dann, wenn die DSGVO Bestimmungen bewusst offen- oder auslässt. Demzufolge dient es als Konkretisierung bzw. Ergänzung der Datenschutzgrundverordnung. Ein Beispiel hierfür ist die Regelungen der Strafvorschriften, welche durch § 42 BDSG-neu, statt der DSGVO vorgenommen werden. Grund dafür ist, dass auf europäischer Ebene lediglich Bußgeldvorschriften gemacht werden können.

Sollten sich DSGVO und BDSG-neu bspw. in Folge einer Überarbeitung der DSGVO widersprechen, gilt die DSGVO als ranghöher BDSG-neu.

Welchen Zweck verfolgt das BDSG?

Das Bundesdatenschutzgesetz hat den Zweck die Datenschutzgrundverordnung auf nationaler Ebene zu konkretisieren bzw. zu ergänzen.

Wie unterscheiden sich altes und neues Bundesdatenschutzgesetz?

Der wesentliche Unterschied zwischen dem alten und neuen Bundesdatenschutzgesetz besteht in ihrem jeweiligen Geltungsbereich. War das alte Bundesdatenschutzgesetz noch ein eigenständiges Gesetz, dessen Umsetzung nicht erforderlich war, so ist das BDSG-neu ein unmittelbar geltendes Recht, welches als Ergänzung und Konkretisierung der DSGVO dient. Infolgedessen ist es auch nur in Verbindung mit der Datenschutzgrundverordnung anwendbar.

Für wen gilt das BDSG-neu?

Für wen das neue Bundesdatenschutzgesetz gilt, wird im ersten Paragrafen behandelt. So findet das BDSG-neu auf öffentlichen Stellen Anwendung, aber auch auf nicht öffentliche Stellen, sofern

  1. der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,
  2. die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder
  3. der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) fällt.

BDSG: das sind die gesetzlichen Pflichten

Mit Inkrafttreten des neuen Bundesdatenschutzgesetzes kam auch eine Reihe an neuen Datenschutzbestimmungen. So sind Unternehmen unter Umständen dazu verpflichtet einen Datenschutzbeauftragten zu bestellen, wenn Aspekte von § 38 BDSG-neu auf das Unternehmen zutreffen.

Einhaltung der BDSG

Verstößt ein Unternehmen gegen die Vorgaben des BDSG-neu, hat dies empfindliche Geldbußen zur Folge. Hinzukommen Vertrauens- und Imageverluste bei Kunden, Geschäftspartner und Arbeitnehmern.  

Um dem vorzubeugen und Ihr Unternehmen bei der datenschutzrechtlichen Umsetzung zu helfen, empfiehlt sich das Bestellen eines Datenschutzbeauftragen.  

Haben Sie Interesse an einem externen Datenschutzbeauftragten? Wir von Robin Data helfen Ihn gerne weiter.

Bestellung eines Datenschutzbeauftragten

Wann ein Datenschutzbeauftragter zu bestellen ist, wird in der DSGVO in Artikel 37 geregelt. Aus den dort stehenden Bedingungen ergeben sich nur wenige Formen von Datenverarbeitungen, welche zur Bestellung eines Datenschutzbeauftragen verpflichten.

In Deutschland wird die Bestellung von Datenschutzbeauftragen durch § 38 BDSG-neu geregelt. So ist ein Datenschutzbeauftragter zu bestellen,

  • wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
  • Verarbeitungen durchgeführt werden, die einer Datenschutz-Folgeabschätzung nach Artikel 35 unterliegen
  • Geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden

Darin zeigt sich auch ein Unterschied zum alten Bundesdatenschutzgesetz, welches eine Bestellung eines Datenschutzbeauftragten dann erforderte, wenn mehr als 20 Personen beschäftigt sind. Im Gegensatz dazu entfällt im BDSG-neu die Regelung bezüglich der nicht automatisierten Datenverarbeitung.

Externer Datenschutzbeauftragter

Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.

Was besagt das BDSG-neu? – Was hat es damit auf sich?

Das neue Bundesdatenschutzgesetz ist in vier Teile geteilt:

  • Teil 1: Allgemeine Bestimmung
  • Teil 2: Konkretisierungen und Ergänzungen der Datenschutzgrundverordnung in sechs Kapiteln:
  • Kapitel 1: Rechtsgrundlagen der Verarbeitung personenbezogener Daten
  • Kapitel 2: Rechte der betroffenen Person
  • Kapitel 3: Pflichten der Verantwortlichen und Auftragsverarbeiter
  • Kapitel 4: Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen
  • Kapitel 5: Sanktionen
  • Kapitel 6: Rechtsbehelfe
  • Teil 3: Umsetzung der EU-Datenschutzrichtlinie für Polizei und Justiz (EU 2016/680)
  • Teil 4: Bestimmungen, welche weder unter Richtlinie für Justiz und Polizei noch unter die DSGVO fallen

Datenschutz im Beschäftigungsverhältnis

Artikel 88 DSGVO trägt den Titel „Datenverarbeitung im Beschäftigungskontext“, enthält aber keine konkreten Vorschriften zu zum Beschäftigungsdatenschutz. Stattdessen weist der Artikel EU-Mitgliedsstaaten darauf hin, selber spezifische Regelungen zu erlassen.

In Deutschland erfolgen die Regelungen zur gesetzlichen Grundlage von Datenverarbeitungen sowie zur Einwilligung im Arbeitskontext in § 26 BDSG-neu („Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“).

Danach ist die Verarbeitung personenbezogener Daten von Beschäftigten dann erlaubt, wenn es

  • Für die Entscheidung  über die Begründung eines Beschäftigungsverhältnisses,
  • Innerhalb des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung,
  • oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Absatz 2 des Paragrafen regelt dahingehend die Freiwilligkeit einer Einwilligung. Dabei sind bestehende Abhängigkeit der beschäftigten Person sowie die Umstände zu berücksichtigen. Danach kann eine Einwilligung dann freiwillig gegeben werden, wenn

  • für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird
  • Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen

Eine solche Einwilligung ist nach § 26 Abs. 2 BDSG-neu in Schriftform vorzulegen, wobei der Arbeitgeber den Beschäftigten über den Zweck der Datenverarbeitung und ihr Widerrufsrecht (nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679) aufzuklären hat.

Als Beschäftigte gelten gemäß Absatz 8 folgende:

  • Arbeitnehmer*innen (einschließlich Leiharbeiter*innen im Verhältnis zum Entleiher),
  • Zu ihrer Berufsbildung Beschäftigte,
  • Teilnehmer*innen an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
  • in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
  • Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,
  • Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
  • Beamte*innen des Bundes, Richter*innen des Bundes, Soldaten*innen sowie Zivildienstleistende.
  • Bewerber*innen für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist

Scoring und Bonitätsauskünfte

Das Bundesdatenschutzgesetz-neu definiert Scoring in § 31 Abs. 1 als:

Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person

Es ist dann zulässig, wenn

  • die Vorschriften des Datenschutzrechts eingehalten wurden,
  • die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
  • für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und
  • im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.

Bonitätsauskünfte unterliegen den gleichen oben genannten Bedingungen. Hinzukommen bestimmte Forderungen, welche ebenfalls berücksichtigt werden müssen. Weitere Informationen finden Sie in § 31 Abs. 2 BDSG-neu.

Verbraucherkredite

Verbraucherkredite werden in § 30 des neuen Bundesdatenschutzgesetzes geregelt und stehen im engen Zusammenhang mit Scoring und Bonitätsauskünften. So wird in Abs. 2 festgelegt, dass betroffene Personen informiert werden müssen, wenn der Kredit aufgrund eingeholter Bonitätsauskünfte abgelehnt wird. Zudem müssen Betroffene zusammen mit der Information über die Ablehnung auch über die erhaltene Auskunft unterrichtet werden.

Straf- und Bußgeldvorschriften

  • § 42des neuen Bundesdatenschutzgesetzes ergänzt die in Artikel 83 DSGVO vorgeschriebenen Sanktionen um Strafvorschriften. Diese Vorschritten müssen durch ein nationales Gesetz erfolgen, das die EU-Datenschutzgrundverordnung nicht dazu befugt ist.

Vorgesehen werden durch das BDSG-neu folgende Sanktionen:

  • Freiheitsstrafen von bis zu drei Jahren oder mit Geldstrafe bei Übermittlung an Drittländer oder anderweitiges zugänglich machen einer großen Anzahl an personenbezogenen Daten, ohne dazu berechtigt zu sein. Ab wann die Rede von einer „Großen Zahl“ ist, wird im Gesetzestext nicht weiter konkretisiert und ist im Einzelfall von Gerichten festzulegen.
  • Freiheitsstrafen von bis zu zwei Jahren oder mit Geldstrafe, wenn personenbezogene Daten ohne Berechtigung verarbeitet oder durch unrichtige Angaben erschlichen werden und hierbei die Absicht einer Bereicherung oder Schädigung vorliegt

Auch regelt das BDSG-neu Bußgelder, welche über die DSGVO hinaus gehen. So werden in ( § 43 BDSG-neu 2 Fälle reguliert. Ordnungswidriges handelt wer vorsätzlich oder fahrlässig

  1. entgegen § 30 Absatz 1 BDSG-neu ein Auskunftsverlangen nicht richtig behandelt oder
  2. entgegen § 30 Absatz 2 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet.

Beide Fälle können mit Bußgeldern von bis zu 50.000€ geahndet werden, wobei gegen Behörden und sonstige öffentliche Stellen keine Bußgelder verhängt werden.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Arbeitsschutz-Management nach ISO 45001

Das Arbeitsschutzmanagementsystem nach ISO 45001: Aufbau, Umsetzung, High Level Structure und Informationen. Jetzt lesen!

Alle Informationen zum Qualitaetsmanagement

Das wichtigste zum Qualitätsmanagement: Aufgaben, Normen und Standards, und Aufbau eines Qualitätsmanagement-Systems.

Risiko-Management im Unternehmen

Das Wichtigste zum Risikomanagement: Definitionen, Instrumente, Normen und Standards und Aufbau eines Risikomanagement-Systems.