Das Wichtigste zum Bundesdatenschutzgesetz in Kürze
- Das Bundesdatenschutzgesetz (BDSG) reguliert den Datenschutz in Deutschland und gibt öffentlichen und nicht öffentlichen Stellen Anweisungen für die Erhebung und Verarbeitung personenbezogener Daten.
- Das BDSG überträgt EU-Datenschutzrecht in nationales Recht und bedarf mit Inkrafttreten der neuen EU-Datenschutz-Grundverordnung einer Novelle. Das Gesetzgebungsverfahren läuft derzeit noch.
- Neben dem BDSG regeln noch zahlreiche weitere Gesetze und Verordnungen den Datenschutz in Deutschland – sowohl auf Bundes- als auch auf Länderebene. Jedes Bundesland verfügt über ein eigenes Datenschutzgesetz.
Wichtig! Dieser Text bezieht sich auf die nicht mehr gültige Fassung des Bundesdatenschutzgesetzes (BDSG), welches mit Wirkung zum 25. Mai 2018 durch die Datenschutzgrundverordnung (DSGVO) und das BDSG-neu abgelöst wurde. Infos zu den aktuellen Datenschutzregelungen finden Sie hier:
Mehr zum Thema: Spezifische Ratgeber zum Bundesdatenschutzgesetz
Was ist das Bundesdatenschutzgesetz (BDSG)?
Inhaltsverzeichnis
Das Grundgesetz bestimmt in den Artikeln 1 und 2 die besondere Bedeutung der Persönlichkeitsrechte eines jeden Menschen. Eines dieser Grundrechte ist das der informationellen Selbstbestimmung. In einem Grundsatzurteil aus dem Jahre 1983 (sog. Volkszählungsurteil) beschloss das Bundesverfassungsgericht, dass jeder selbst über die Herausgabe und Verwendung seiner personenbezogenen Daten bestimmen darf. Die Bewahrung dieses Grundrechts soll der Datenschutz bewerkstelligen.
Das durch das Grundgesetz gewährte Recht auf informationelle Selbstbestimmung kann nur aufgrund eines Gesetzes in Teilen – so geringfügig wie möglich – eingeschränkt werden. Dies jedoch nur, wenn die Sammlung und Verwendung der Daten dem Allgemeininteresse dient, die Verhältnismäßigkeit gegeben ist und die Vorgänge für alle Bürger transparent sind.
Die gesetzliche Grundlage, die mögliche Einschränkungen der informationellen Selbstbestimmung sowie den Umgang mit den sensiblen Datensätzen reguliert und Datenschutzrichtlinien aufführt, ist das Bundesdatenschutzgesetz (BDSG).
Welche Daten unterliegen dem Bundesdatenschutzgesetz?
Grundsätzlich ist zunächst eine wichtige Unterscheidung zu treffen zwischen den beiden, oft fälschlicherweise synonym verwandten Begriffen „Datenschutz“ und „Datensicherheit“. Daten sind nicht gleich Daten. Das spiegelt sich in der Differenzierung wider.
Die Datensicherheit hingegen ist weiter gefasst. Sie bezieht sich auf die Sicherung von Daten jedweder Art. Der Datenschutz kann damit als wichtiger Teilabschnitt der Datensicherheit aufgefasst werden.
Was regelt das Datenschutzgesetz in Deutschland?
Das aktuelle Bundesdatenschutzgesetz setzt die Regelungen der europäischen Datenschutzrichtlinie 95/46/EG in nationales Recht um. Kern des BDSG ist die Regulierung des Umgangs mit personenbezogenen Daten bei der Datenverarbeitung und Datenerhebung, um die Beeinträchtigung des Persönlichkeitsrechts der Betroffenen zu vermeiden (§ 1 Absatz 1 BDSG).
Es ist maßgeblich verbindlich für öffentliche Stellen des Bundes und der Länder sowie privatwirtschaftliche Unternehmen, die personenbezogene Daten erheben (§ 1 Absatz 2 BDSG).
Der Inhalt des Bundesdatenschutzgesetzes umfasst derzeit insgesamt 72 Paragraphen, die in folgende sechs Abschnitte eingeteilt sind:
- Allgemeine und gemeinsame Bestimmungen
- Datenverarbeitung der öffentlichen Stellen
- Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen
- Sondervorschriften
- Schlussvorschriften
- Übergangsvorschriften
Bundesdatenschutzgesetz: Zusammenfassung der wesentlichsten Inhalte
Im Folgenden sollen die wichtigsten Eckpunkte zum in Deutschland praktizierten Datenschutz nach dem BDSG zusammengefasst werden:
- Jeder Bürger hat das Recht, selbst zu bestimmen, wem er persönliche Daten preisgibt und wie oder wann diese genutzt werden können. Es bedarf also bei der Datenerhebung und Datenverarbeitung grundsätzlich der Einwilligung des Betroffenen, wenn die Erhebung nicht durch andere Rechtsvorschriften erlaubt oder gar angeordnet ist (§ 4 BDSG).
- Zudem definiert das Bundesdatenschutz auch die Rechte der Betroffenen: Findet eine Datenerhebung und/oder -verarbeitung statt, die nach dem BDSG zulässig ist, hat jeder Betroffene das Recht, die zu ihm gespeicherten Daten einzusehen und zu prüfen (insbesondere §§ 19, 34 BDSG). Neben den hinterlegten Daten erhält er auch Auskunft zu den Empfängern der Daten und dem Zweck der Speicherung.
- Besonders schützenswerte personenbezogene Daten unterliegen einer weit strengeren Regulierung und dürfen nur in den seltensten Fällen gespeichert oder verarbeitet werden. Hierunter fallen Informationen über die Gewerkschaftszugehörigkeit einer Person, deren religiöse, philosophische oder politische Orientierung, ihrer rassischen und ethnischen Herkunft, Daten über ihre physische und psychische Gesundheit, von ihr begangenen Straftaten oder Ordnungswidrigkeiten sowie Angaben zur Sexualität (§ 3 Absatz 9 BDSG).
- Öffentliche und nicht öffentliche Stellen müssen gespeicherte Daten löschen, sperren oder berichtigen, wenn diese falsch sind, nicht mehr benötigt werden oder deren Speicherung von vornherein unzulässig war (insbesondere §§ 20, 35 BDSG). Diese Verpflichtung betrifft zudem aber insbesondere auch möglicherweise erhobene besonders schützenswerte personenbezogenen Daten, die in der Regel nicht gespeichert werden dürfen, wenn kein Gesetz oder keine Rechtsvorschrift dies erlaubt oder anordnet.
- Es sollen nur so wenige personenbezogene Daten erhoben werden wie möglich und nach dem jeweiligen Zweck notwendig (§ 3a BDSG). Sofern der jeweilige Verwendungszweck es zulässt, sollen die Daten zudem anonymisiert und pseudonymisiert werden.
- Öffentliche und nicht öffentliche Stellen dürfen Daten speichern, verändern und nutzen, wenn diese zur Erhebung notwendig sind, die Richtigkeit der Angaben bezweifelt wird, Gefahren für die öffentliche Sicherheit abgewendet werden sollen, sie zur Strafvollstreckung vonnöten sind oder aber Forschungszwecken dienen.
- Bei einem Verstoß gegen den gewährten Datenschutz nach BDSG können Bußgelder in Höhe von bis zu 50.000 Euro (§ 43 Absatz 1 BDSG) bzw. bis zu 300.000 Euro drohen (§ 43 Absatz 2 BDSG).
- Bei vorsätzlichen Zuwiderhandlungen bezüglich § 43 Absatz 2 BDSG droht zudem eine Freiheitsstrafe bis zu zwei Jahren oder eine Geldstrafe (§ 44 BDSG). Hierbei handelt es sich jedoch um ein Antragsdelikt, das beim Bundesbeauftragten für Datenschutz und die Informationsfreiheit angezeigt werden muss.
Neue BDSG-Fassung im April 2017 verabschiedet
Am 27. April 2017 hat der Bundestag ein neues deutsches Datenschutzgesetz erlassen. Während die alte Fassung des BDSG die in der europäischen Datenschutzrichtlinie beschlossenen Punkte in nationales Recht übertrug, bedarf es dieser Neuerung nun, denn:
Das neue BDSG soll diesem Anspruch genügen, ist jedoch noch nicht in Kraft getreten. Das Gesetzgebungsverfahren ist noch nicht abgeschlossen. Der Bundesrat muss dem Vorschlag noch zustimmen.
Weitere gesetzliche Grundlagen zum Datenschutz
Nicht nur das BDSG ist jedoch relevant. Neben diesem gibt es auch weitere Gesetze, die den Datenschutz in Deutschland gewährleisten sollen. Das Bundesdatenschutzgesetz reguliert maßgeblich den Datenschutz im Bund, doch auch weitere bundesweite Regelungen sowie landesspezifische Datenschutzverordnungen und -gesetze geben Datenverarbeitung und Datenerhebung enge Grenzen vor.
Unterteilt werden können die Gesetze zum Datenschutz wie folgt:
- Datenschutzgesetze im Bund:
- Bundesdatenschutzgesetz
- Gesetze und Regelungen zu spezifischen Bereichen (z. B. Verordnung über die nach Bundeskriminalamtgesetz zu speichernden Daten, Bundeskrebsregisterdatengesetz)
- Datenschutzgesetze der Länder in Deutschland
- jeweils landeseigenes Datenschutzgesetz, das die Arbeit der öffentlichen Stellen reguliert (jedes Bundesland besitzt ein eigenes)
- bereichsspezifische Landesgesetze und -regelungen (entweder in den einzelnen Verordnungen und Landesgesetzen eingebunden oder separiert wie etwa im nordrhein-westfälischen Gesundheitsdatenschutzgesetz)
Eine abschließende Gesamtliste aller neben dem BDSG in Deutschland geltender Rechtsvorschriften zum Datenschutz lässt sich kaum bewerkstelligen, da zum einen einzelne spezifische Datenschutzgesetze vorhanden sind (z. B. das nordrhein-westfälische Gesundheitsdatenschutzgesetz), zum anderen Allgemeinvorschriften zum Datenschutz auch in bereits bestehende Verordnungen und Gesetze eingebunden wurden.
Geht es um die Speicherung und Nutzung personenbezogener Daten durch privatwirtschaftliche, nicht öffentliche Stellen, fällt dies in den Bestimmungsbereich des Bundesdatenschutzgesetzes.
Fazit: DAS Datenschutzgesetz gibt es nicht
Es gibt in Deutschland nicht nur eine Datenschutzverordnung, die für alle Angelegenheiten heranzuziehen ist. Maßgeblich orientiert sich der Datenschutz am BDSG. Das Bundesdatenschutzgesetz wiederum ergibt sich aus der Umsetzung der europäischen Datenschutzrichtlinie und bedarf aufgrund der neuen EU-Datenschutz-Grundverordnung, die für alle Mitgliedstaaten verbindlich wird, einer Novelle.
Für den Datenschutz im öffentlichen Verkehr von Behörden, Ämtern und Co. sind als rechtliche Grundlagen beim Datenschutz jedoch die jeweiligen Landesgesetze heranzuziehen. von Berlin bis zum Saarland verfügt jedes Bundesland über ein eigenes Datenschutzgesetz. Dieses wiederum überträgt die im BDSG getroffenen Regelungen in Landesgesetz. Mit Abschluss der Überarbeitung des Bundesdatenschutzgesetzes wird es also auch auf Landesebene zu einigen Veränderungen kommen müssen.
Zusätzlich wurden in zahlreiche bereits bestehende Gesetze und Verordnungen neue Absätze eingefügt, die den Datenschutz in dem betroffenen spezifischen Bereich behandeln – und daneben noch neue und spezifische Gesetze, die sich mit dem Datenschutz in einzelnen Bereichen beschäftigen.
Anne meint
26. August 2022 at 16:04
Habe seit längerem Zeit ein background-Team namens PUMUCKL auf meinem PC, der n ichts besseres zu tun weiß, als meine Arbeiten zu stören
Meldungen an das bundesamt für Verfassungsschutz und Microsoft wirken nicht.
Das ist die Bundesrepublik Deutschland
Iver meint
28. Mai 2021 at 8:45
Hallo 🙂
Da ich viele Zugangsdaten in meinem Browser speichere stellt sich mir eine Frage :
Ist es legitim, das Dritte diesen Speicher auslesen dürfen, auch wenn man irgendwelchen AGB´s zugestimmt hat, die dies beinhalten ?
Falls Nein, wo kann ich die entsprechende Regelung finden ?
Mit freundlichen Grüßen
Tell meint
4. Januar 2021 at 19:42
Hallo, inwieweit darf ein Unternehmen telefonisch, egal ob staatlich oder privat, zwecks „eindeutiger Identifizierung“ meine persönlichen Daten, wie Name, Anschrift, Geburtstag, E-Mailadresse, etc. pp. neben den erforderlichen Angaben zu Kunden- Artikelnummern etc., unter Berufung auf die dienstlichen Vorschriften, vollumfänglich abfragen. Bis zu welchem Grad bin ich dabei Auskunftspflichtig? Zumal in der Regel bereits eine Identifizierung über meine vorliegende Telefonnummer gewährleistet ist.
Ist damit nicht dem Datenmißbrauch Tür und Tor geöffnet?
Es gibt ja auch Unternehmen, die einem ein Codewort/ -zahl zusenden und dann diese bzw. Teile davon abfragen. Ließe sich dies nicht grundsätzlich gesetzlich vorschreiben?
Mit freundlichen Grüßen
Gerhard meint
19. August 2019 at 17:12
was ist wenn ein Unternehmen Daten über eine Person an einer Pinnwand anbringt und diejenige Person nicht darüber informiert ?
jens meint
29. Juni 2019 at 1:04
Hallo,
was ist wenn man einer Firma, nach der Vertragsbeendigung, die Speicherung meiner Daten untersagt, aber weiterhin von denen per Mail zu gespamt wird ?
mfg
Ahmad meint
20. Mai 2019 at 15:40
Beispiel.. Foto oder video benutzen oder verteilt oder bedrohen usw..gegen mädchen 15 jahr alt? Was kommt durch Gesetze?
Herbert meint
22. April 2019 at 11:25
Hallo,
ich habe einen kleinen Betrieb für Klarinettenreparaturen.
Ich habe auch eine Webseite mit den Angaben über Datenschutz.
Ich schreibe für meine Kunden auch Rechnungen.
Muß ich diese Kunden, die in meine Werkstatt kommen, extra ein Formular mit Datenschutz unterschreiben lassen?
Wie ist es mit Kunden, die online bei mir bestellen?
mfg
H.
R. meint
22. November 2018 at 14:42
Hallo, das Problem was sich immer mehr herauskristallisiert ist, dass Behörden und private Personen den Datenschutz (personengebundene Daten) missbrauchen und sagen. „Wir können Ihnen nichts mitteilen, da es personengebundene Daten sind.“ Das ist gut, diese personengebundenen Daten sind jedoch, meine. Was ist hier los und wer kann da helfen? Ich muss doch nicht alle verklagen!
Vivian meint
25. Oktober 2018 at 8:25
Hallo ich habe da mal eine Frage:
darf ich wenn die Polizei ein FUNDHANDY im FUNDBÜRO vorbeibring… Die Bilder und Die ganzen PRIVATEN DATEN AUSLESEN obwohl DAS EIN EINGRIFF IN DIE PRIVATSPHÄRE IST… Ich sage NEIN und die POLIZEI AUCH da ich aber leider dazu KEIN Gesetz für mein PROBLEM FINDE das mir recht gibt. Ich habe aber auch gesagt das ich das Hany nicht auslesen werde und habe pracktisch die Arbeit verweigert!!!!!!!!
War des So richtig wie ich gehandelt Habe?
komme ich also nicht weiter
Tami meint
11. Oktober 2018 at 10:47
Hallo ich habe folg Frage
ich habe ein webseite die nur der info zwecke dienen soll
weder ein kontaktformular oder ähnliches ist dort vorhanden
natürlich ist dort eine angabe über meine adresse tel nummer email
muss da die datenschutzerklärung trotzdem hin ?
MFG
datenschutz.org meint
15. Oktober 2018 at 17:19
Hallo Tami,
im Rahmen der Website-Betreibung werden in aller Regel personenbezogene Daten verarbeitet (im Zweifel auch nur automatisiert von dem Provider). Betroffene müssen daher in aller Regel über entsprechende Vorgänge sowie deren Rechte in Kenntnis gesetzt werden.
Die Redaktion von Datenschutz.org
Liselotte meint
6. Oktober 2018 at 13:35
Liebes Team der Redaktion von Datenschutz. org,
als Kassenwartin bin ich ehrenamtlich tätig für einen kleinen Verein – knapp 100 Mitglieder. Zur Mitgliederverwaltung habe ich eine Excel-Datei erstellt. Abgespeichert sind Name, Vorname, Anschrift, Kontoverbindung und teilweise email. Die 1. Vorsitzende schickt Einladungen evtl. auch Infos per Mail an die Mitglieder. Einmal im Jahr werden die Beiträge per Lastschrift eingezogen. Das war es aber schon mit der Verarbeitung der Daten. Was müssen wir vom Verein berücksichtigen. Keiner hat darauf eine passende Antwort. Vielleicht können Sie mir helfen.
datenschutz.org meint
10. Oktober 2018 at 15:37
Hallo Lieselotte,
bitte wenden Sie sich an einen Datenschutzbeauftragten, wenn Sie bezüglich der zu treffenden Vorkehrungen unsicher sind (u. a. Verarbeitungsverzeichnis, Aufbewahrung personenbezogener Daten, Zugangskontrolle, Datenweitergabe, Einwilligungserklärungen usf.).
Die Redaktion von Datenschutz.org
S Marina meint
22. Juni 2018 at 1:05
Danke, liebe Redaktion für eure Ausführungen! Wir haben einen Kleinbetrieb (Fahrzeugaufbereitung) mit einer eigenen kleinen Homepage (3-Seiten). Diese habe ich aus Angst, abgemahnt zu werden bis auf weiteres auf den ‚Servicemode‘ gestellt. Gibt es einen Mustervordruck was ich in unserer Homepage unbedingt berücksichtigen muss? z.B. im Impressum o.ä.? Wir verwenden Kundendaten wie Name, Anschrift, KFZ-Kennzeichen ausschließlich nur zum manuellem Rechnungsschreiben, das wir i.a.R. mit Word erstellen. Alle Daten haben wir in einem elektronischen Safe (Steganos) gespeichert. In unserer Homepage haben wir keinerlei kundenindividuelle Daten o.Autos etc. gespeichert, sondern nur Text von unseren 3 Angeboten (einfach-mittel-Superreinigung) aufgeführt. Gibt es irgendwo eine einfache (nicht über 150 Seiten lange!!!) Anleitung, was zu tun ist? Für eine Antwort würde ich mich sehr bedanken. Ich kann mir gut vorstellen, dass es mit Sicherheit auch noch eine ganze Reihe weiterer Interessenten zu diesem Thema gibt. Beste Grüße, MS.
datenschutz.org meint
27. Juli 2018 at 14:26
Hallo Marina,
auf einer Internetseite ist unter anderem eine Datenschutzerklärung erforderlich. Informationen dazu erhalten Sie hier: https://www.datenschutz.org/datenschutzerklaerung-website/
Die Redaktion von Datenschutz.org
Steffi meint
21. Juni 2018 at 8:56
Wir sind ein mittelständiger Betrieb, der in diesem Jahr 25 jähriges Jubiläum feiert. Wir verfügen über eine Interessentendatei von ca. 30.000 Praxen und Intstituten. Alles BtoB. Davon hat ca. die Hälfte uns über einen Zeitraum von ca. 20 Jahren die Kontaktdaten auf Messen und anderen Veranstaltungen zur Verfügung gestellt mit der Bitte um Informationsmaterial. Wir haben bisher unsere Produkte ausschließlich mit Briefen und aufgeklebter Briefmarke im sehr persönlichen Stil, sprich mit Name des Arztes, HPs, Inhaber des Institus oder der Reha, beworben und unsere Produkte auch zum Testen angeboten. Damit sind wir die letzten 25 Jahre hervorragend gefahren und viele Kunden sind uns dankbar, dass sie uns so kennengelernt haben. Das ist uns nach dem neuen Datenschutzgesetz wohl nicht mehr erlaubt. Im Endeffekt könnten wir dann unseren Laden zu machen. Welche Möglichkeiten haben wir. Es kann doch nicht sein, dass wir bei Null wieder anfangen müssen, weil im EU Parlament Dinge beschlossen werden, die die gesamte mittelständige Wirtschaft bremsen und sogar lahmlegen! Wie geht es anderen Unternehmen? Die IHK und andere Institutionen scheinen vor Anrufen und Hilfestellungen ebenso überfordert.
datenschutz.org meint
1. August 2018 at 16:08
Hallo Steffi,
ein berechtigtes Interesse kann die Werbung auch weiterhin gestatten. Dabei sollte in jedem Einzelfall genau geprüft werden, ob das berechtigte Interesse des Unternehmens die schutzbedürftigen Interessen des Einzelnen überwiegen. Bitte wenden Sie sich zur Klärung dieser Frage an einen Datenschutzbeauftragten, wir können dies an dieser Stelle nicht abschließend einschätzen.
Die Redaktion von Datenschutz.org
Fatma S. meint
13. Juni 2018 at 9:39
Hallo Alex,
ich arbeite in einem Bauunternehmen mit 20 Personen, in der Buchhaltung, ich bräuchte eine Checkliste für meine Mitarbeiter,, was muss ich alles beachten auf dieser Liste, hast du da einen Link für mich?
datenschutz.org meint
17. Juli 2018 at 15:05
Hallo Fatma,
wir sind zwar nicht Alex, aber Informationen zum Datenschutz am Arbeitsplatz finden Sie z. B. hier: https://www.datenschutz.org/arbeitsplatz/
Die Redaktion von Datenschutz.org
Barbara meint
29. Mai 2018 at 5:29
Hallo ich möchte gerne wissen was in einer Datenschutzerklärung unbedingt drin sein muss. Ich arbeite alleine als Alltagsbegleiterin und erstelle einmal im Monat eine Rechnung. Zu diesem Zweck sind Name und Adresse gespeichert. Ausserdem habe ich die Geburtstage meiner Kunden gespeichert. Ich habe keine Website
Was brauche ich
Vielen Dank
Barbara
datenschutz.org meint
29. Juni 2018 at 14:28
Hallo Barbara,
die Hinweis zur Datenverarbeitung sind an den jeweiligen Einzelfall anzupassen und zumindest folgende Informationen enthalten: Wer erhebt auf welcher gesetzlichen Grundlage und zu welchem Zweck welche Daten? Welche Rechte haben die Betroffenen gemäß DSGVO gegenüber dem Verantwortlichen und wie können Sie von diesen Gebrauch machen (Kontaktmöglichkeit)?
Die Redaktion von Datenschutz.org
Margit meint
21. Mai 2018 at 20:04
Kann man für einen Gesangverein (ca 60 Mitglieder) einfach einen Vordruck(aus dem Netz) nehmen und unterschreiben lassen? Ist das gültig?
datenschutz.org meint
8. Juni 2018 at 15:41
Hallo Margit,
die Einwilligungserklärung in die Datenverarbeitung sollte in jedem Fall wirksam sein. Aus diesem Grund sollten Sie bei der Verwendung von online zur Verfügung gestellten Mustern darauf achten, dass diese stets an den jeweiligen Sonderfall anzupassen sind.
Die Redaktion von Datenschutz.org
S. Martin meint
19. Mai 2018 at 7:39
Ich muss sagen: Eine großes Lob an die Redaktion. Sehr gut Arbeit. Wie finanziert ihr euch eigentlich.
MfG
Martin S.
Elisabeth S. meint
3. Mai 2018 at 8:56
Wie sieht denn der Datenschutz in der Praxis aus z. B. in einem kleinen touristischen Familienbetrieb mit manueller Buchführung in Schleswig-Holstein?
datenschutz.org meint
25. Mai 2018 at 15:41
Hallo Elisabeth,
Ihre Frage ist sehr allgemein gestellt. Der Datenschutz richtet sich stets nach der konkreten Verarbeitung personenbezogener Daten. Eine pauschale Antwort ist hier also nicht möglich.
Die Redaktion von Datenschutz.org
alex meint
2. April 2018 at 16:53
wer ist der Autor dieser ganzen Artikel? Leider steht nie jemand dabei..
datenschutz.org meint
8. Mai 2018 at 12:04
Hallo Alex,
alle Texte dieser Seite werden von uns, der Redaktion von Datenschutz.org, verfasst. (https://www.datenschutz.org/redaktion/)
Die Redaktion von Datenschutz.org