Logo der activeMind AG

Das neue Bundesdatenschutzgesetz (BDSG) und Konkretisierungen der DSGVO

Inhalt

Das Bundesdatenschutzgesetz (BDSG) ergänzt die europäische Datenschutz-Grundverordnung (DSGVO) in einigen wichtigen Punkten. Dabei hat der deutsche Gesetzgeber von zahlreichen Öffnungsklauseln der DSGVO Gebrauch gemacht. Nachdem das neue Bundesdatenschutzgesetz mit der DSGVO 2018 in Kraft trat, wurde es mittlerweile erneut überarbeitet. In unserem Artikel finden Sie die wichtigsten Konkretisierungen des deutschen Datenschutzrechts der DSGVO.

BDSG-alt und BDSG-neu

Auch wenn es grundsätzlich zu begrüßen ist, dass der Gesetzgeber bereits bekannte Gesetzestitel weiternutzt, so wäre es in diesem Fall doch angebracht gewesen eine neue Bezeichnung zu finden. Damit hätte man einiger Verwirrung vorbeugen können. Der Grund liegt darin, dass das Gesetz in seiner Gesamtheit neu gefasst wurde und nun nichtmehr den Datenschutz in Deutschland vollumfassend regelt, sondern lediglich auf die vom europäischen Gesetzgeber zugestandenen Öffnungsklauseln eingeht. Seit Geltung kann daher nicht nur auf ein Gesetz zurückgegriffen werden, sondern es muss stets die DSGVO und das BDSG gemeinsam herangezogen werden.

Kenntnisse zu den Normen des alten BDSG helfen daher bei der Arbeit mit dem neuen BDSG nur bedingt weiter. Wenige Normen wurden nahezu unverändert übernommen, so findet man etwa den § 32 BDSG-alt mit kleinen Anpassungen in § 26 BDSG-neu wieder. Die Paragraphennummern haben sich hingegen vollständig geändert, so dass gerade bei der Arbeit mit veralteten Materialien besonders hierauf zu achten ist.

Im Folgenden (sowie in allen anderen Artikeln auf dieser Website) verwenden wir nur den Begriff „BDSG“ und beziehen uns damit auf das am 25. Mai 2018 in Kraft getretene Bundesdatenschutzgesetz – verkündet als Art. 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) und angepasst durch das zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU).

Warum überhaupt ein neues Bundesdatenschutzgesetz?

Wenn nun die DSGVO den Datenschutz vollumfassend regelt, wofür braucht man dann ein neues Bundesdatenschutzgesetz? Der Grund liegt in den Öffnungsklauseln in der DSGVO.

Öffnungsklauseln sind Regelungen in der DSGVO, die es den nationalen Gesetzgebern ermöglichen, gewisse Sachverhalte abweichend von der DSGVO zu regeln und diese für den Mitgliedsstaat zu konkretisieren. Zu beachten ist jedoch, dass die durch Öffnungsklauseln legitimierten nationalen Bestimmungen das Datenschutzniveau der DSGVO nicht unterschreiten dürfen.

Kritiker führen an, dass dies einer Harmonisierung des europäischen Datenschutzrechts entgegensteht, da dies wieder zu einer Zersplitterung der europäischen Datenschutzregelungen führt. Jedoch ist zu bedenken, dass die DSGVO den Datenschutz in ganz Europa für jede Branche und den öffentlichen wie nichtöffentlichen Bereich regelt. Diese Regelungsbreite macht es notwendig, dass gewisse Punkte von den Ländern abweichend geregelt werden, um die Umstellung auf die neuen Datenschutzbestimmungen nicht zu drastisch ausfallen zu lassen. Gerade in der Strafverfolgung gibt es nationale Besonderheiten in den Mitgliedsstaaten, die sich in der DSGVO nicht zufriedenstellend abbilden ließen. Daher hat der europäische Gesetzgeber hier sogar die Richtlinie (EU) 2016/680 zur Strafverfolgung und -Vollstreckung geschaffen und diese nicht in die DSGVO implementiert.

Ein praxisrelevantes Beispiel ist die Öffnungsklausel in Art. 88 DSGVO, die es den nationalen Gesetzgebern ermöglicht, über die Datenverarbeitung im Beschäftigungskontext abweichend zu bestimmen. Hiervon hat der deutsche Gesetzgeber in § 26 BDSG Gebrauch gemacht und die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses auf nationaler Basis geregelt.

Es soll auch noch darauf hingewiesen werden, dass nicht alle Normen des BDSG zweifelsfrei durch Öffnungsklausel der DSGVO abgedeckt sind. Teilweise ist der deutsche Gesetzgeber auch über das Ziel hinausgeschossen und hat Regelungen getroffen, die sich nur schwer unter den Öffnungsklauseln subsumieren lassen. Ein Beispiel hierfür ist der § 4 BDSG. Dieser Paragraph beschäftigt sich mit der Videoüberwachung, zu welcher in der DSGVO keine Öffnungsklausel existiert (siehe die Diskussion weiter unten). Inzwischen hat das Bundesverwaltungsgericht die Norm für unanwendbar erklärt, da sie europarechtswidrig ist.

Die Einteilung des Bundesdatenschutzgesetzes

In seiner Neufassung wurde das BDSG in vier Teile aufgeteilt:

  • Teil 1 (§§ 1 – 21 BDSG) regelt allgemeine Bestimmungen des deutschen Datenschutzrechts. Hierzu gehören etwa der Anwendungsbereich, Regelungen zum Datenschutzbeauftragten öffentlicher Stellen und zum Bundesbeauftragten für den Datenschutz und die Informationssicherheit sowie die Rechtsbehelfe.
  • In Teil 2 (§§ 22 – 44 BDSG) wird auf die Öffnungsklauseln der DSGVO für den öffentlichen und nichtöffentlichen Bereich Bezug genommen. In diesem Teil werden die praxisrelevanten Öffnungsklauseln geregelt.
  • Teil 3 (§§ 45 – 84 BDSG) geht auf die Richtlinie (EU) 2016/680 zur Strafverfolgung und -Vollstreckung ein. Der Anwendungsbereich dieses Teils wird in § 45 BDSG bestimmt. Demzufolge gelten die Vorschriften nur für die Verarbeitung personenbezogener Daten bei Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten durch die zuständigen öffentlichen Stellen. Somit ist dieser Teil für alle nichtöffentlichen Stellen und den Großteil der öffentlichen Stellen nicht relevant. Hier wäre es durchaus zu begrüßen gewesen, wenn der Gesetzgeber ein eigenes Gesetz geschaffen hätte.
  • Teil 4 (§ 85 BDSG) befasst sich mit Datenverarbeitungsvorgängen durch öffentliche Stellen, die nicht im Anwendungsbereich der DSGVO oder der Richtlinie zur Strafverfolgung und -Vollstreckung liegen. Namentlich sind dies etwa Tätigkeiten der nationalen Sicherheit, also der Verteidigungsbereich und Geheimdienste.

Diese Aufzählung zeigt, dass für Unternehmen und die meisten nichtöffentlichen Stellen lediglich die ersten beiden Teile relevant sind. Daher beschränkt sich die folgende Erläuterung auf diese zwei Teile.

Die Regelungen des BDSG

“Für wen gilt das BDSG?”

Der Anwendungsbereich des BDSG ist in § 1 BDSG geregelt. § 1 Abs. 2 Satz 1 BDSG stellt klar, dass andere Rechtsvorschriften des Bundes über den Datenschutz den Vorschriften des BDSG vorgehen. Das BDSG gilt für die Verarbeitung personenbezogener Daten durch

  • öffentliche Stellen des Bundes,
  • öffentliche Stellen der Länder (soweit es kein Landesdatenschutzgesetz hierzu gibt, was jedoch aktuell nicht der Fall ist) und
  • nichtöffentliche Stellen soweit diese personenbezogene Daten ganz oder teilweise automatisiert verarbeiten sowie bei nicht automatisierten Verarbeitungen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Lediglich die Verarbeitung durch natürliche Personen zur Ausübung persönlicher oder familiärer Tätigkeiten ist ausgeschlossen. Hier ist eine gewisse Ähnlichkeit zu 2 DSGVO zu erkennen.

Der Begriff der automatisierten Verarbeitung ist weit gefasst und weder in der DSGVO noch im BDSG definiert. Er ist weit auszulegen und erfasst daher nahezu jede elektronische Verarbeitung. Für die Praxis lässt sich sagen, dass sobald ein Computer o.ä. zur Verarbeitung von Daten eingesetzt wird, liegt auch eine zumindest teilweise automatisierte Verarbeitung vor.

Hingegen wird das Dateisystem in Art. 4 Nr. 6 DSGVO beschrieben. Diese Definition ist auch im BDSG anwendbar. Ein Dateisystem ist danach

„jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.“

Sofern also Akten, Karteikarten, etc. nach bestimmten Kriterien sortiert sind, dann fallen diese ebenso unter den Anwendungsbereich des BDSG. Zu beachten ist dabei, dass ein Dokument nicht erst mit Aufnahme in ein sortiertes System dem BDSG unterfällt, sondern bereits dann, wenn dieses später z.B. in eine Akte mit aufgenommen werden soll. Werden etwa handschriftliche Notizen während eines Mitarbeitergesprächs angefertigt, um diese später in der Personalakte abzulegen, dann gilt das BDSG bereits bei der Anfertigung der Unterlagen.

Eine Sonderstellung nehmen die öffentlichen Stellen der Länder ein, wenn diese am Wettbewerb teilnehmen. Wie bereits erwähnt haben alle Bundesländer ein eigenes Datenschutzgesetz verabschiedet, welches dem BDSG nach § 1 Abs. 1 Satz 1 Nr. 2 BDSG in diesem Fall vorgeht. Zum Teil haben die Länder Regelungen getroffen, dass öffentliche Stellen, sofern sie am Wettbewerb teilnehmen, dennoch dem BDSG unterworfen sind. Teilweise wird auch in einzelnen Vorschriften auf das BDSG verwiesen. Aus Platzgründen soll an dieser Stelle auf eine vollständige Aufzählung verzichtet werden. Was man beachten sollte ist, dass es in diesen Fällen ggf. länderspezifische Sonderregelungen gibt.

“Die Notwendigkeit der Bestellung eines Datenschutzbeauftragten”

Eine der wichtigsten Regelungen findet sich in § 38 BDSG. In der Norm wird von der Öffnungsklausel in Art. 37 Abs. 4 DSGVO Gebrauch gemacht und bestimmt, wann ein Unternehmen in Deutschland einen Datenschutzbeauftragten zu bestellen hat.

Während Art. 37 Abs. 1 DSGVO eher vage gehalten ist, beschreibt § 38 Abs. 1 Satz 1 BDSG die Pflicht der Bestellung eines Datenschutzbeauftragten ziemlich deutlich. Danach benennen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Auf kurzzeitige Schwankungen der Mitarbeiterzahl kommt es hierbei nicht an. Der Begriff „ständig“ ist hierbei weit auszulegen. Es ist nicht notwendig, dass die Mitarbeiter keiner anderen Tätigkeit als der Datenverarbeitung nachgehen. Hingegen genügt es, wenn Mitarbeiter nicht nur in Einzelfällen, sondern im Rahmen ihrer Tätigkeit immer wieder personenbezogene Daten automatisiert verarbeiten. Die automatisierte Verarbeitung umfasst jeglichen Zugang zu Datenverarbeitungssystemen.

Man kann also sagen, dass ein Datenschutzbeauftragter zu bestellen ist, wenn das Unternehmen 20 Mitarbeiter hat und diese einen PC zur Verfügung haben, über den personenbezogene Daten verarbeitet werden. Nicht mitzuzählen sind daher Mitarbeiter, die keinen Zugang zu einem PC oder ähnlichem haben oder darauf keine und nur in Einzelfällen personenbezogenen Daten verarbeiten. So sind etwa das Reinigungspersonal oder die Fabrikarbeiter in der Regel nicht auf die 20 Personen anzurechnen. Es steht natürlich dem Unternehmen frei, auch bei einer kleineren Mitarbeiterzahl einen Datenschutzbeauftragten zu bestellen.

Des Weiteren besteht die Pflicht zur Bestellung gem. § 38 Abs. 1 Satz 2 BDSG unabhängig von der Mitarbeiteranzahl, wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Eine weitere Besonderheit ergibt sich aus den Verweisungen in § 38 BDSG zu § 6 BDSG. Danach ist der Datenschutzbeauftragte – ähnlich einem Betriebsrat – nicht ordentlich kündbar. Die außerordentliche Kündigung bleibt jedoch möglich. Zudem besteht der Kündigungsschutz für ein Jahr nach dem Ende der Tätigkeit fort. Dies gilt jedoch nur, sofern die Pflicht besteht, nach § 38 Abs. 1 BDSG einen Datenschutzbeauftragten zu bestellen. Es besteht jedoch Streit darüber, ob diese Vorschrift noch von der Öffnungsklausel gedeckt ist.

Unabhängig davon, ob nach dem Gesetz ein Datenschutzbeauftragter zu bestellen ist, sollte jedes Unternehmen eine Person bestimmten, die für die Einhaltung des Datenschutzes zuständig ist. Dass keine Bestellpflicht besteht, bedeutet nicht, dass die datenschutzrechtlichen Vorschriften nicht einzuhalten sind. Jedes Unternehmen hat für die Einhaltung des Datenschutzes zu sorgen.

“Begriffsbestimmungen”

In § 2 BDSG wird u.a. beschrieben, was unter öffentlichen und nichtöffentlichen Stellen zu verstehen ist. Leider hat der deutsche Gesetzgeber hierbei nicht die Begriffsbestimmungen der DSGVO übernommen, so dass auf die unterschiedlichen Begriffe bei der Arbeit mit dem BDSG zu achten ist.

“Videoüberwachung öffentlich zugänglicher Räume”

Nicht mehr anwendbar ist die Norm zur Videoüberwachung öffentlich zugänglicher Räume, die in § 4 BDSG geregelt ist, da diese Norm mangels Öffnungsklausel vom Bundesverwaltungsgericht bereits als europarechtswidrig beurteilt wurde.

Der Gesetzgeber versuchte hier das Videoüberwachungsverbesserungsgesetz, welches unter Kritik von Datenschützern bereits in das alte BDSG eingeführt wurde, in das neue BDSG zu übernehmen. Dies war besonders fragwürdig, da die DSGVO für die Videoüberwachung keine Öffnungsklausel vorgesehen hat. Daher ist die Zulässigkeit der Videoüberwachung, wie bereits zuvor empfohlen, nach Art. 6 DSGVO zu bewerten (nutzen Sie dafür einfach unseren kostenlosen Generator für ein Videoüberwachungs-Hinweisschild).

“Verarbeitung von besonderen Kategorien personenbezogener Daten”

§ 22 BDSG erweitert die Ausnahmen, in welchen Fällen vom Verbot des Art. 9 Abs. 1 DSGVO abgewichen und dennoch besonders schutzwürdige personenbezogene Daten verarbeitet werden dürfen. Diese Ausnahme sind in § 22 Abs. 1 BDSG geregelt. Diese Abweichungen sind von der Öffnungsklausel des Art. 9 DSGVO abgedeckt, so dass hierbei kaum Bedenken bestehen. Interessant in diesem Kontext ist noch § 22 Abs. 2 BDSG, der eine Aufzählung der notwendigen technischen organisatorischen Maßnahmen zum Schutz der Daten bei der Verarbeitung nach Absatz 1 liefert.

“Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses”

Aufgrund der Praxisrelevanz des § 26 BDSG haben wir hierfür in unserem Datenschutzportal einen eigenen Schwerpunkt zum Beschäftigtendatenschutz entwickelt. Dort finden Sie auch alle relevanten Regelungen der DSGVO.

“Rechte der betroffenen Person”

Die §§ 32 – 37 BDSG beschäftigen sich mit den Rechten der betroffenen Person. Allerdings geht es hierbei weniger darum, wie diese Rechte gestärkt werden können, als vielmehr darum, wie diese Rechte weiter beschränkt werden. Der Gesetzgeber ist hier weit über das Ziel hinausgeschossen, indem die Öffnungsklauseln der DSGVO weit überstrapaziert und diese Rechte in einem Umfang eingeschränkt wurden, der nicht mehr von der DSGVO gedeckt ist. Daher ist bei der Anwendung dieser Normen Vorsicht geboten. Es besteht eine große Wahrscheinlichkeit, dass diese Normen auf kurz oder lang noch geändert werden.

Fazit: Das BDSG ist nur bedingt hilfreich für die Datenschutzpraxis

Das BDSG konkretisiert einige Bestimmungen der DSGVO, wohingegen es wenig zur Rechtssicherheit oder Klarheit beiträgt. Dies liegt einerseits daran, dass viele Normen mehr Fragen aufwerfen als sie beantworten, andererseits daran, dass Normen verabschiedet wurden, für welche die DSGVO keine Öffnungsklausel vorsieht. Es ist daher davon auszugehen, dass der Gesetzgeber von sich aus oder durch Entscheidungen der Rechtsprechung noch Änderungen am BDSG vornimmt. Es bleibt daher abzuwarten, welche Normen bestand haben bzw. wie diese abgeändert werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.