BDSG

Bundesdatenschutzgesetz

Photo by Markus Spiske on Unsplash

Nationale Regelung

Adressat: Das BDSG regelt die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes. Außerdem findet das BDSG auf Private Anwendung, soweit sie Daten automatisiert verarbeiten oder nicht automatisiert in einem Dateisystem speichern bzw. speichern wollen, wobei Ausnahmen im persönlichen und familiären Bereich gelten (§ 1 Abs. 1 BDSG). 

Relevante Normen: § 6 Abs. 1; § 22 Abs. 1, Abs. 2; § 47 Nr. 4, 5, 6; §§ 45 ff: § 47; § 48; § 58; § 64; § 64 Abs. 3; § 65 Abs. 5; § 65 Abs. 6; § 66 Abs. 1 § 71 Abs. 1; § 72 Abs. 2

Regelungsgehalt

Allgemein:

Gemeinsam mit der DSGVO ist das 2017 neu gefasste Bundesdatenschutzgesetz (BDSG) Kern des Datenschutzrechts des Bundes. Soweit die DSGVO jedoch unmittelbar gilt oder andere bereichsspezifische Gesetze des Bundes zum Datenschutz wie z.B. die AO oder das BSIG vorhanden sind, wird das BDSG durch Sie verdrängt (§ 1 Abs. 5 BDSG). Schwerpunkt der Bundesdatenschutzregelungen ist die Datenverarbeitung im öffentlichen Bereich. Für die Verarbeitung durch Private gibt die Datenschutzgrundverordnung jedoch nur geringen Ausgestaltungsspielraum.[1]

Das BDSG gliedert sich in vier Teile: im ersten Teil (§§ 1 -21 BDSG) befinden sich gemeinsame Bestimmungen zur Datenverarbeitung und den Datenschutzbeauftragten öffentlicher Stellen. Teil 2 (§§ 22 – 44 BDSG) enthält ergänzende Bestimmungen zur DSGVO, während Teil 3 (§§ 45 – 84 BDSG) der teilweisen Umsetzung der Datenschutzrichtlinie Polizei und Justiz (Richtlinie (EU) 2016/680 – im Folgenden: JI-Richtlinie) dient. Teil 4 (§ 85 BDSG) enthält eine besondere Bestimmung zur Datenverarbeitung, soweit die EU-Rechtsakte nicht betroffen sind.

§ 6 Abs. 1:

§ 6 Abs. 1 BDSG betrifft die Stellung des Datenschutzbeauftragen in öffentlichen Stellen.  Die Norm dient der Sicherung der von Art. 38 DSGVO vorgesehenen Rechte des Datenschutzbeauftragten, indem den öffentlichen Stellen verschiedene Vorgaben gemacht werden. So muss die öffentliche Stelle den Datenschutzbeauftragen bei seinen Aufgaben nach § 7 BDSG unterstützen und seine Unabhängigkeit sicherstellen. Durch diese Vorgaben wird gewährleistet, dass die Datenschutzbeauftragten ihre Aufgaben umfassend wahrnehmen können.

§ 22 Abs. 1,2: Verarbeitung sensibler Daten

§ 22 Abs. 1 BDSG normiert eine Rechtsgrundlage für die Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO („sensible Daten“). Die Norm füllt Regelungslücken, die die DSGVO offenlässt. In § 22 Abs. 1 BDSG werden sieben Erlaubnistatbestände normiert, die eine Verarbeitung von sensiblen Daten zulassen. Davon finden die in § 22 Abs. 1 Nr. 1 BDSG genannten Tatbestände sowohl auf öffentliche, als auch private Stellen Anwendung, während die in § 22 Abs. 1 Nr. 2 BDSG genannten Tatbestände nur für öffentliche Stellen gelten. § 22 Abs. 2 BDSG sieht verschiedene Schutzmaßnahmen vor, die von der verarbeitenden Stelle, im Falle einer Verarbeitung nach § 22 Abs. 1 BDSG, zu treffen sind. § 22 Abs. 2 BDSG enthält zudem einen nicht abschließenden Katalog von Regelbeispielen von Maßnahmen, die durch die jeweilige Stelle getroffen werden können.

§ 26:

Gem. § 26 BDSG kann eine Verarbeitung von personenbezogenen Daten auch für Zwecke des Beschäftigungsverhältnisses zulässig sein (etwa bei der Entscheidung über die Begründung des Arbeitsverhältnisses). Auch hier hat der Gesetzgeber von der Ausgestaltungsmöglichkeit der DS-GVO Gebrauch gemacht (Art. 88 DS-GVO). Auch hier gilt ein strenger Zweckbindungsgrundsatz, Art. 5 Abs. 1 lit b DS-GVO. Weiter fordert § 26 BDSG, wie schon nach § 32 BDSG (alte Fassung), die Wahrung der Verhältnismäßigkeit.[2]

Von Bedeutung ist auch hier, dass zwar eine Verarbeitung für Zwecke des Beschäftigungsverhältnisses erlaubt sein soll, allerdings ebenfalls nur unter Wahrung der weiteren allgemeinen Voraussetzungen. Über den Verweis des § 26 Abs. 5 BDSG auf insbesondere Art. 5 DS-GVO sind somit die geeigneten und technischen Maßnahmen zu treffen, um die Schutzgrundsätze der Verarbeitung sicherzustellen (Datenminimierung, Integrität, Vertraulichkeit, etc.).

Besonders im Bereich der Verarbeitung sensibler Daten gilt es, die technischen Vorkehrungen, wie durch § 22 BDSG gefordert (siehe oben), einzuhalten.

§§ 27, 28:

Die Verarbeitung sensibler Daten (§ 22 BDSG) kann gem. §§ 27 und 28 BDSG auch für wissenschaftliche oder historische Forschungs- sowie Archivzwecke zulässig sein. Der Verantwortliche hat in dem Fall wiederum die technischen Vorkehrungen und Maßnahmen des § 22 Abs. 2 BDSG zu beachten (siehe oben).

§ 47: 

§ 47 BDSG dient der Umsetzung von Art. 4 der Datenschutz-Richtlinie im Bereich von Justiz und Inneres (JI-Richtlinie) und legt allgemeine Grundsätze für die Verarbeitung personenbezogener Daten fest. Aus § 45 BDSG folgt, dass die Norm nur auf Polizei- und Sicherheitsbehörden Anwendung findet, hingegen nicht auf andere öffentliche Stellen oder Private. Es werden insgesamt sieben Kriterien aufgestellt, die von den Polizei- und Sicherheitsbehörden beachtet werden müssen.

§ 48:

§ 48 BDSG enthält eine Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten durch die in § 45 BDSG genannten Stellen und dient der Umsetzung von Art.10 der JI-Richtlinie.  Besondere personenbezogene Daten werden in § 46 Nr. 14 BDSG legal definiert. Gemäß § 48 Abs. 2 S. 1 BDSG sind bei der Verarbeitung besonderer Kategorien personenbezogener Daten geeignete Garantien für den Schutz der Rechtsgüter der betroffenen Personen vorzusehen. § 48 Abs. 2 S. 2 BDSG enthält eine beispielhafte Aufzählung für geeignete Garantien, z.B. die Sensibilisierung von an den Verarbeitungsvorgängen Beteiligten.

§ 58:

In § 58 BDSG wird von der Datenverarbeitung betroffenen Personen das Recht auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung durch die Verantwortlichen eingeräumt. Normadressat sind die in § 45 BDSG genannten Stellen. Die Begriffe „betroffene Person“ und „Verantwortliche“ werden jeweils in § 46 Nr. 1 BDSG bzw. § 46 Nr. 7 BDSG definiert.

§ 64:

§ 64 BDSG betrifft die Anforderungen an die Sicherheit der Datenverarbeitung, die Verantwortliche und Auftragsverarbeiter zu beachten haben. Diese sind verpflichtet, die erforderlichen technischen und organisatorischen Maßnahmen zu treffen. Hierzu verweist § 64 Abs. 1 S. 2 BDSG auf die einschlägigen technischen Richtlinien und Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Eine Verarbeitung, die die Vorgaben die die gesetzlichen Vorgaben aus § 64 BDSG missachtet, ist rechtswidrig und kann zu einer Schadensersatzpflicht aus § 83 BDSG führen (vgl. BeckOK DatenschutzR/Bock, 29. Edition, Stand 01.08.2019, BDSG § 64 Rn. 15). § 64 Abs. 3 BDSG legt 14 Zwecke fest, die bei Maßnahmen, die der Verantwortliche und Auftragsverarbeiter im Fall einer automatisierten Verarbeitung ergreifen, verfolgt werden müssen. Hierzu zählt beispielsweise die Verwehrung des Zugangs für Unbefugte zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird. 

§ 65:

Verantwortliche sind nach § 65 BDSG zur unverzüglichen Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragen verpflichtet. § 65 Abs. 3 BDSG stellt konkrete Anforderungen zum Inhalt und Form einer Meldung nach § 65 Abs. 1 BDSG auf. So muss der Verantwortliche u.a. eine Beschreibung der Art der Verletzung und der möglichen Folgen darlegen. Diese Informationen sollen es dem Bundesbeauftragten erleichtern, die Schwere der Datenverletzung einzuschätzen. Ferner ist der Verantwortliche gemäß § 65 Abs. 5 BDSG verpflichtet, die Verletzungen zu dokumentieren, wobei die Dokumentation alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen hat. Der Verantwortliche kann sich bei der Dokumentation an den Inhalten seiner Meldepflicht aus § 65 Abs. 3 BDSG orientieren. Darüber hinaus schreibt § 65 Abs. 6 BDSG vor, dass die Informationen aus § 65 Abs. 3 BDSG auch an einen Verantwortlichen in einem anderen Mitgliedstaat in der Europäischen Union übermittelt werden, wenn personenbezogene Daten verletzt wurden, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat übermittelt wurden.

§ 66:

Eine Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten hat gemäß § 66 BDSG dann zu erfolgen, wenn voraussichtlich eine erhebliche Gefahr für die Rechtsgüter der betroffenen Person besteht. Ob eine erhebliche Gefahr besteht, ist auf Basis einer Gefahrenprognose im konkreten Einzelfall zu ermitteln, wobei Kriterien die Art der betroffenen Daten und die potenziellen Auswirkungen der Datenpanne sein können (Gola/Heckmann/Gola, 13. Aufl. 2019, BDSG § 66 Rn. 7).

§ 71:

§ 71 BDSG soll die Implementierung von Datenschutz durch Technikgestaltung und datenschutzfreundlichen Voreinstellungen fördern. Adressat der Regelung sind Verantwortliche im Sinne von § 46 Nr. 7 BDSG. Dieser hat angemessene Vorkehrungen zu treffen, die geeignet sind Datenschutzgrundsätze umzusetzen. § 71 Abs. 1 S. 2 BDSG sieht verschiedene Kriterien, wie z.B. den Stand der Technik und Art und Umfang der Verarbeitung, vor, anhand derer sich die Angemessenheit bemisst. Darüber hinaus, sind gemäß § 71 Abs.1 S. 4 BDSG personenbezogene Daten so früh wie möglich zu anonymisieren.

§ 72: 

§ 72 BDSG statuiert ein Differenzierungsgebot bezüglich der Daten von verschiedenen Gruppen von Personen. Zweck dieser Differenzierung ist die Verhinderung von Missverständnissen bei der Auswertung von Daten. Konkrete Rechtsfolgen, die bei Nichtbeachtung der Kategorisierung eintreten können, sieht die Norm nicht vor. Im Falle einer falschen Kategorisierung können Betroffene jedoch einen Berichtigungsanspruch nach § 75 BDSG geltend machen. § 75 S.2 BDSG listet eine Reihe möglicher Kategorien auf, z.B. verurteilte Straftäter oder Opfer einer Straftat. 


[1] Greve, „Das neue Bundesdatenschutzgesetz“, NVwZ 2017, 737.

[2] Kühling /Buchner, DS-GVO / BDSG, 2. Auflage, § 26 BDSG, Rn. 18 f.

Ähnliche Einträge