Bundesdatenschutzgesetz (BDSG) — Das deutsche Datenschutzrecht neben der DSGVO

Was ist das Bundesdatenschutzgesetz?

Das Bundesdatenschutzgesetz (BDSG) ist das zentrale deutsche Datenschutzgesetz. In seiner aktuellen Fassung — dem BDSG 2018 — ergänzt es die EU-Datenschutz-Grundverordnung (DSGVO) dort, wo die Verordnung den Mitgliedstaaten Regelungsspielraum lässt. Für Website-Betreiber in Deutschland gelten DSGVO und BDSG gleichzeitig.

BDSG und DSGVO — das Zusammenspiel

Die DSGVO ist als EU-Verordnung in allen Mitgliedstaaten unmittelbar anwendbar. Sie enthält jedoch über 70 sogenannte Öffnungsklauseln, die es den Mitgliedstaaten erlauben, eigene Regelungen zu treffen. Das BDSG nutzt diese Spielräume — insbesondere bei:

• Datenschutzbeauftragter (§ 38 BDSG): Strengere Pflichten als die DSGVO vorsieht
• Beschäftigtendatenschutz (§ 26 BDSG): Eigene Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten
• Videoüberwachung (§ 4 BDSG): Spezielle Regelungen für öffentlich zugängliche Räume
• Scoring und Bonitätsauskünfte (§ 31 BDSG): Besondere Anforderungen an automatisierte Bewertungen
• Bußgelder und Strafbarkeit (§§ 41-43 BDSG): Ergänzende Sanktionsvorschriften

Bei Widersprüchen zwischen BDSG und DSGVO hat die DSGVO als EU-Recht grundsätzlich Vorrang.

BDSG-Regelungen, die Website-Betreiber kennen sollten

§ 38 BDSG — Datenschutzbeauftragter

§ 38 BDSG legt fest, wann ein Datenschutzbeauftragter (DSB) benannt werden muss. Die Schwelle in Deutschland:

• Ab 20 Personen: Wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
• Unabhängig von der Personenzahl: Wenn Verarbeitungen durchgeführt werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bedürfen
• Unabhängig von der Personenzahl: Wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der Markt- und Meinungsforschung verarbeitet werden

Für die meisten kleinen Website-Betreiber, Einzelunternehmer und Freiberufler ist ein Datenschutzbeauftragter nach § 38 BDSG nicht erforderlich. Die DSGVO-Pflichten — insbesondere die Informationspflichten nach Art. 13, die Datenschutzerklärung und der AVV — gelten jedoch uneingeschränkt.

Hinweis: Der Datenschutzbeauftragte kann intern oder extern bestellt werden. Er muss über die erforderliche Fachkunde verfügen und darf in der Ausübung seiner Tätigkeit nicht benachteiligt werden (Art. 38 Abs. 3 DSGVO).

§ 26 BDSG — Beschäftigtendatenschutz

§ 26 BDSG regelt die Verarbeitung personenbezogener Daten von Beschäftigten. Diese Vorschrift ist relevant für Unternehmen mit Mitarbeitern — auch wenn die Mitarbeiter mit der Website arbeiten:

• Rechtsgrundlage: Die Verarbeitung ist zulässig, wenn sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist
• Bewerberdaten: Auch Daten von Bewerbern fallen unter § 26 BDSG
• Einwilligung: Eine Einwilligung des Beschäftigten ist möglich, muss aber freiwillig sein — was im Arbeitsverhältnis oft kritisch bewertet wird

Für Website-Betreiber relevant: Wenn Mitarbeiter Kontaktdaten auf der Website veröffentlichen (z. B. Teamseite), sollte eine Einwilligung oder eine betriebliche Vereinbarung vorliegen.

§§ 41-43 BDSG — Bußgelder und Strafbarkeit

Das BDSG ergänzt die Bußgeldregelungen der DSGVO:

• § 42 BDSG — Strafvorschriften: Die unbefugte gewerbsmäßige Verarbeitung nicht allgemein zugänglicher personenbezogener Daten kann als Straftat mit Freiheitsstrafe bis zu 3 Jahren verfolgt werden
• § 43 BDSG — Bußgeldvorschriften: Bestimmte Ordnungswidrigkeiten (z. B. Verstoß gegen Auskunftspflichten gegenüber der Aufsichtsbehörde) können mit Bußgeldern geahndet werden
• § 41 BDSG: Verweist auf die DSGVO-Bußgeldvorschriften (Art. 83) und regelt das Verfahren

§ 22 BDSG — Besondere Kategorien personenbezogener Daten

§ 22 BDSG konkretisiert die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) für den deutschen Rechtsraum. Für Website-Betreiber relevant, wenn:

• Arztpraxen oder Pflegedienste Gesundheitsdaten über die Website verarbeiten
• Rechtsanwaltskanzleien Mandantendaten mit strafrechtlichem Bezug erfassen
• Vereine Mitgliederdaten mit religiösem oder politischem Bezug speichern

Aufbau des BDSG

Das BDSG 2018 gliedert sich in vier Teile:

BDSG vs. DSGVO: Welches Gesetz gilt wann?

Grundregel

Für die meisten Fragen rund um den Datenschutz auf Websites ist die DSGVO das maßgebliche Regelwerk. Das BDSG wird dort relevant, wo es die DSGVO konkretisiert oder ergänzt.

Praktische Zuordnung

Aktuelle Entwicklungen

Beschäftigtendatenschutzgesetz

Die Bundesregierung hat wiederholt angekündigt, ein eigenständiges Beschäftigtendatenschutzgesetz zu erarbeiten, das § 26 BDSG ablösen soll. Ein Referentenentwurf liegt vor, ein Inkrafttreten steht jedoch noch aus. Empfehlenswert ist, die Entwicklung zu verfolgen und bei Änderungen die internen Richtlinien anzupassen.

Aufsichtsbehörden

In Deutschland sind die Datenschutzaufsichtsbehörden der Länder zuständig. Für Unternehmen richtet sich die Zuständigkeit nach dem Sitz des Unternehmens. Die Behörden veröffentlichen regelmäßig Orientierungshilfen und Stellungnahmen zu aktuellen Datenschutzfragen.

Checkliste: BDSG für Website-Betreiber

• Prüfen: Ab 20 Mitarbeitern mit Datenverarbeitung → Datenschutzbeauftragten benennen
• Beschäftigtendaten: Rechtsgrundlage nach § 26 BDSG dokumentieren
• Mitarbeiter auf Website: Einwilligung für Foto/Kontaktdaten einholen
• Besondere Datenkategorien: § 22 BDSG beachten (Gesundheit, Religion etc.)
• Datenschutzerklärung aktuell halten (DSGVO + BDSG)
• Zuständige Aufsichtsbehörde kennen (Landesbeauftragter für Datenschutz)
• DSGVO-Checkliste als Basis: DSGVO-Checkliste für Websites

Häufige Fragen

Was ist der Unterschied zwischen BDSG und DSGVO?

Die DSGVO ist eine EU-Verordnung, die unmittelbar in allen Mitgliedstaaten gilt. Das BDSG ist ein deutsches Gesetz, das die DSGVO ergänzt — insbesondere beim Datenschutzbeauftragten (§ 38 BDSG), beim Beschäftigtendatenschutz (§ 26) und bei den Sanktionen (§§ 41-43). Bei Widersprüchen hat die DSGVO Vorrang.

Brauche ich als Kleinunternehmer einen Datenschutzbeauftragten?

Nach § 38 BDSG ist ein Datenschutzbeauftragter Pflicht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für Einzelunternehmer und kleine Teams ist dies in der Regel nicht der Fall. Die übrigen DSGVO-Pflichten — Datenschutzerklärung, Cookie Banner, AVV — gelten unabhängig von der Unternehmensgröße.

Gilt das BDSG auch für meine Website?

Ja, wenn Sie in Deutschland ansässig sind. Für die meisten Fragen rund um Website-Datenschutz ist die DSGVO vorrangig. Das BDSG wird insbesondere beim Datenschutzbeauftragten, beim Beschäftigtendatenschutz und bei den Bußgeld-/Strafvorschriften praktisch relevant. Eine regelmäßige Überprüfung anhand der DSGVO-Checkliste deckt die wesentlichen Anforderungen ab.

Was droht bei Verstößen gegen das BDSG?

Neben den DSGVO-Bußgeldern (Art. 83: bis zu 20 Mio. € oder 4 % des Jahresumsatzes) kennt das BDSG eigene Sanktionen. § 42 BDSG stellt die unbefugte gewerbsmäßige Verarbeitung nicht allgemein zugänglicher personenbezogener Daten unter Strafe (Freiheitsstrafe bis zu 3 Jahren). § 43 BDSG ergänzt Ordnungswidrigkeitentatbestände. Empfehlenswert ist, die Datenschutz-Dokumentation vollständig und aktuell zu halten.