BDSG - Bundesdatenschutzgesetz

Ab dem 25. Mai 2018 gilt in Deutschland ein neues Bundesdatenschutzgesetz. Ein Überblick für Unternehmen über die wichtigsten Regelungen im BDSG (neu).

Was ist das BDSG? 

Das Bundesdatenschutzgesetz regelt den Umgang mit personenbezogenen Daten in Deutschland. Vor Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) sollte das BDSG die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) von 1995 umsetzen. Die in der Richtlinie beschriebenen Mindeststandards zum Datenschutz wurden von den EU-Mitgliedstaaten national implementiert. Die im Frühjahr 2016 in Kraft getretene EU-DSGVO soll das Datenschutzrecht für alle EU-Mitgliedstaaten vereinheitlichen: Die Grundverordnung dient dem Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten (Art. 1 DSGVO). Anwendbar ist die DSGVO ab dem 25. Mai 2018. In der Übergangsfrist haben datenverarbeitende Unternehmen Zeit, sich auf die neuen Vorschriften einzustellen. Die DSGVO sieht Öffnungsklauseln vor (z. B. zur Einschränkung von Betroffenenrechten, zur Ausgestaltung von Sanktionen), die nationale Regelungen zulassen. Dadurch verfügen die Mitgliedstaaten über einen gewissen Regelungsspielraum. In Deutschland wurde das Bundesdatenschutzgesetz überarbeitet, um von den Öffnungsklauseln Gebrauch zu machen: Die Neufassung des Bundesdatenschutzgesetzes (BDSG (neu)) konkretisiert und ergänzt die Datenschutz-Grundverordnung. Ein Großteil der bisherigen Regelungen wird durch die DSGVO ersetzt. Ebenfalls eine Rolle spielt die EU-Richtlinie für den Datenschutz bei Polizei und Justiz (JI-Richtlinie), die sich mit der behördlichen Datenverarbeitung zur Prävention und Aufdeckung von Straftaten befasst. Die Richtlinie ist bis zum 06. Mai 2018 in nationales Recht umzusetzen. Mit der Neufassung des BDSG soll ein reibungsloses Zusammenspiel zwischen Datenschutz-Grundverordnung und JI-Richtlinie mit dem deutschen Recht ermöglicht werden. Beschlossen wurde die Neufassung des BDSG als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU). Das BDSG (alt) wird mit Anwendbarkeit der EU-DSGVO im Mai 2018 durch das neue Bundesdatenschutzgesetz abgelöst. Das alte Gesetz wird komplett durch das BDSG (neu) ersetzt.

Für wen gilt das BDSG? 

Das Bundesdatenschutzgesetz richtet sich nach § 1 BDSG (neu) an öffentliche und nicht-öffentliche Stellen. Zu den nicht-öffentlichen Stellen gehören Unternehmen, die personenbezogene Daten:

- ganz- oder teilautomatisiert verarbeiten (z. B. computergestützt)

- nichtautomatisiert verarbeiten und die Daten in einem Dateisystem speichern

In den räumlichen Anwendungsbereich fallen Unternehmen, die:

- personenbezogene Daten im Inland verarbeiten

- personenbezogene Daten im Rahmen der Tätigkeit einer inländischen Niederlassung verarbeiten

- in den Anwendungsbereich der DSGVO fallen

Nach dem Marktortprinzip sind von der Datenschutz-Grundverordnung auch außereuropäische Unternehmen betroffen, die ihre Waren und Dienstleistungen auf dem europäischen Markt anbieten oder Daten von EU-Bürgern verarbeiten. 

Was beinhaltet das BDSG? 

Das Bundesdatenschutzgesetz umfasst Regelungen zur Ergänzung, Konkretisierung und Beschränkung der Datenschutz-Grundverordnung. Es lässt sich in vier Teile unterteilen:

1. Teil: Im ersten Teil sind allgemeine und gemeinsame Bestimmungen nachzulesen, z. B. Begriffsbestimmungen.

2. Teil: Der zweite Teil enthält die Durchführungsbestimmungen für die Datenverarbeitung nach der DSGVO.

3. Teil: Im dritten Teil werden die Durchführungsbestimmungen zur JI-Richtlinie thematisiert.

4. Teil: Teil 4 enthält besondere Bestimmungen zur Datenverarbeitung von Tätigkeiten, die nicht in den Bereich der Grundverordnung oder JI-Richtlinie fallen.

Einschränkung der Rechte von Betroffenen 

Die Datenschutz-Grundverordnung regelt in Art. 13 DSGVO die Informationspflicht datenverarbeitender Unternehmen bei der Erhebung personenbezogener Daten: Personen sind auf bestimmte Aspekte der Datenverarbeitung hinzuweisen, zum Beispiel die Verarbeitungszwecke und die Speicherungsdauer der Daten. Wurden die Daten nicht bei der betroffenen Person erhoben, gelten die Informationspflichten in Art. 14 DSGVO. Die Auskunftsrechte der Person (z. B. über die Datenempfänger, Verarbeitungszwecke) werden in Art. 15 DSGVO geregelt. Personen haben unter bestimmten Umständen das „Recht auf Vergessenwerden“, also auf die Löschung ihrer Daten (Art. 17 DSGVO). Gegen die Verarbeitung ihrer Daten können sie gemäß Art. 21 DSGVO Widerspruch einlegen. Einschränkungen zu den genannten Betroffenenrechten werden im BDSG (neu) in § 32 bis § 36 thematisiert.

Regelungen im Beschäftigungskontext 

Mitgliedstaaten haben nach Art. 88 Abs. 1 DSGVO die Möglichkeit, spezifische Vorschriften bzgl. der Verarbeitung von Beschäftigtendaten zu treffen. Die Regelungen zur Datenverarbeitung im Beschäftigungskontext sind in § 26 BDSG (neu) verankert. In Absatz 8 ist der Beschäftigtenbegriff genauer definiert: Hierunter fallen beispielsweise Arbeitnehmer, Leiharbeiter und Auszubildende. Wie im BDSG (alt) finden sich Vorschriften darüber, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten erlaubt ist: Die Daten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies erforderlich ist:

- für das Agieren der Interessensvertretung der Beschäftigten

- um über die Begründung eines Beschäftigungsverhältnisses zu entscheiden

- um ein Beschäftigungsverhältnis durchzuführen oder zu beenden

Erfolgt eine schriftliche Einwilligung der Beschäftigten bzgl. der Verarbeitung ihrer Daten, muss diese freiwillig sein: Zu berücksichtigen sind die im Beschäftigungsverhältnis bestehenden Abhängigkeiten und Umstände der Einwilligung. Von Freiwilligkeit ist nach Art. 26 Abs. 2 vor allem dann auszugehen, wenn der Beschäftigte einen wirtschaftlichen oder rechtlichen Vorteil erlangt oder die Interessen von Arbeitgeber und Mitarbeiter gleichgelagert sind. Art. 7 DSGVO regelt die genaueren Bedingungen der Einwilligung. Datenverarbeiter müssen nachweisen können, dass die Einwilligung erfolgt ist. Der Beschäftigte hat das Recht seine Einwilligung zu widerrufen und ist über dieses Recht sowie die Datenverarbeitungszwecke aufzuklären.  Sensible personenbezogene Daten dürfen nur unter bestimmten Umständen verarbeitet werden, z. B. wenn dies zur Erfüllung arbeitsrechtlicher Pflichten erforderlich ist und das schutzwürdige Interesse der Person nicht überwiegt. In welchen Fällen besondere Kategorien personenbezogener Daten verarbeitet werden dürfen, wird in § 22 BDSG (neu) konkretisiert. Die Neufassung des BDSG nimmt explizit Bezug auf Kollektivvereinbarungen (z. B. Tarifvereinbarungen, Betriebsvereinbarungen): Nach § 26 Abs. 4 BDSG (neu) ist die Verarbeitung personenbezogener Daten „für Zwecke des Beschäftigungsverhältnisses“ auf Grundlage von Kollektivvereinbarungen erlaubt. Zu berücksichtigen sind dabei die Anforderungen in Art. 88 DSGVO. Datenverarbeitende Unternehmen müssen außerdem sicherstellen, dass sie die Grundsätze aus Art. 5 DSGVO einhalten. 

Pflicht zum betrieblichen Datenschutzbeauftragten 

Unternehmen müssen unter bestimmten Umständen einen betrieblichen Datenschutzbeauftragten bestellen (§ 38 BDSG (neu)). Betroffen sind:

  • Unternehmen, in denen sich mindestens 10 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen
  • Unternehmen, für die eine Pflicht zur Datenschutz-Folgenabschätzung (Art. 35 DSGVO) besteht
  • Unternehmen, die Daten geschäftsmäßig verarbeiten, um sie (anonymisiert) zu übermitteln oder für Markt- und Meinungsforschungszwecke zu nutzen

In der Datenschutz-Grundverordnung wird das Thema Datenschutzbeauftragter in Art. 37 DSGVO behandelt. 

Sanktionen bei Datenschutzverstößen 

EU-Mitgliedstaaten können nach Art. 84 Abs. 1 DSGVO andere Sanktionen bei Verstößen gegen die Grundverordnung verhängen. In § 42 BDSG (neu) werden die Strafvorschriften definiert: Die unbefugte, gewerbsmäßige und wissentliche Übermittlung personenbezogener Daten kann mit einer Freiheitsstrafe von bis zu 3 Jahren oder mit einer Geldstrafe sanktioniert werden. Werden personenbezogene Daten unberechtigterweise zu Bereicherungszwecken verarbeitet oder erschlichen, kann eine Freiheitsstrafe von bis zu 2 Jahren oder eine Geldstrafe verhängt werden.

Fazit

Im Mai 2018 löst die Neufassung des Bundesdatenschutzgesetzes (BDSG (neu)) das alte Gesetz zur Regelung des Datenschutzes ab. Das BDSG regelt die Verarbeitung personenbezogener Daten in Deutschland. Die neue Fassung konkretisiert und ergänzt die EU-Datenschutz-Grundverordnung, die das Datenschutzrecht für alle EU-Mitgliedstaaten vereinheitlicht. Die DSGVO enthält Öffnungsklauseln, die nationale Regelungen zulassen. Die Bundesregierung macht im neuen BDSG von diesen Klauseln Gebrauch. Mit der Neufassung soll ein reibungsloses Zusammenspiel zwischen der DSGVO und JI-Richtlinie mit dem deutschen Recht ermöglicht werden.

Newsletter abonnieren

Stets die aktuellsten Themen im Bereich HR, Recruiting und Bewerbermanagement im Blick haben.