Deutschland zeichnet sich durch besonders anspruchsvolle Datenschutzvorgaben aus. Die Datenschutz-Grundverordnung (DS-GVO/GDPR) bildet den verbindlichen Rechtsrahmen auf EU-Ebene. Ergänzend dazu regelt das Bundesdatenschutzgesetz (BDSG) nationale Besonderheiten und verschärft in bestimmten Bereichen die Anforderungen – etwa im Beschäftigtendatenschutz oder bei der Benennungspflicht für Datenschutzbeauftragte.
Im Fokus dieses Beitrags steht das Zusammenspiel von DS-GVO und BDSG: Welche Regelungen greifen ineinander, wo bestehen Unterschiede – und welche Anforderungen müssen Unternehmen erfüllen, um datenschutzkonform zu handeln und rechtliche Risiken zu vermeiden?
DS-GVO (GDPR) als Grundlage des Datenschutzes in Deutschland
Die Datenschutz-Grundverordnung (GDPR/DSGVO) ist ein einheitlicher Rechtsrahmen, der in allen EU-Mitgliedsstaaten – inklusive Deutschland – direkte Anwendung findet. Hierdurch werden folgende Vorgaben umgesetzt:
- Einheitliche Regeln für die Datenverarbeitung: Unternehmen und öffentliche Einrichtungen müssen personenbezogene Daten nur unter strengen Vorgaben verarbeiten.
- Rechte für Betroffene: Betroffene erhalten umfassende Rechte wie Auskunft, Berichtigung, Löschung und Datenübertragbarkeit.
- Verpflichtungen für Organisationen: Transparenz, Rechenschaftspflicht sowie technische und organisatorische Maßnahmen werden zur Pflicht, um die Sicherheit von Daten zu gewährleisten.
Die Datenschutz-Grundverordnung (DS-GVO/GDPR) bildet das zentrale Regelwerk für den Datenschutz in der Europäischen Union und gewährleistet einen einheitlichen Schutz personenbezogener Daten.
Die Rolle des Bundesdatenschutzgesetzes (BDSG)
Wie bereits erwähnt gilt in Deutschland neben der Datenschutz-Grundverordnung (DS-GVO) das Bundesdatenschutzgesetz (BDSG). Die im Jahr 2018 überarbeitete Fassung des BDSG konkretisiert insbesondere folgende Aspekte:
- Erweiterter Beschäftigtendatenschutz: Arbeitgeber unterliegen zusätzlichen Anforderungen bei der Verarbeitung personenbezogener Daten von Beschäftigten, um deren Rechte besonders zu schützen.
- Pflicht zur Benennung eines Datenschutzbeauftragten: Während die DS-GVO bereits in bestimmten Fällen die Bestellung eines Datenschutzbeauftragten vorsieht, verpflichtet das BDSG Unternehmen zur Benennung, sofern mindestens 20 Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten betraut sind.
- Besondere Vorschriften für öffentliche Stellen und Strafverfolgungsbehörden: Das BDSG enthält ergänzende Regelungen, die den Datenschutz in der öffentlichen Verwaltung sowie im Bereich der Strafverfolgung näher ausgestalten.
Diese nationalen Regelungen tragen dazu bei, den Schutz personenbezogener Daten in Deutschland weiter zu präzisieren und an spezifische rechtliche und organisatorische Rahmenbedingungen anzupassen.
Unterschiede zwischen Regelungen der DS-GVO (GDPR) und nationalen Datenschutzrecht
Die im Bundesdatenschutzgesetz (BDSG) enthaltenen nationalen Abweichungen und Ergänzungen zur Datenschutz-Grundverordnung (DS-GVO) sind in der Regel restriktiver ausgestaltet.
Hintergrund ist, dass die DS-GVO als europäische Verordnung zwar unmittelbar gilt, jedoch in bestimmten Bereichen sogenannte Öffnungsklauseln enthält. Diese erlauben es den Mitgliedstaaten, eigene – meist spezifischere oder strengere – Regelungen zu treffen. Das BDSG nutzt diese Spielräume insbesondere dort, wo ein erhöhtes Schutzbedürfnis besteht, beispielsweise:
|
Aspekt
|
GDPR (EU-weit)
|
BDSG (Deutschland-spezifisch)
|
|
Geltungsbereich
|
Einheitlich in allen EU-Staaten
|
Gilt zusätzlich innerhalb Deutschlands
|
|
Mitarbeiterdaten
|
Allgemeine Richtlinien
|
Strengere Regelungen gemäß §26 BDSG
|
|
Datenschutz-beauftragter (DPO)
|
Erforderlich bei bestimmten Verarbeitungstätigkeiten
|
Pflicht ab 20 Mitarbeitern, die personenbezogene Daten verarbeiten
|
|
Bußgelder bei Verstößen
|
Bis zu 20 Mio. € oder 4 % des Jahresumsatzes
|
Bußgelder richten sich nach der GDPR, werden aber durch deutsche Aufsichtsbehörden eigenständig durchgesetzt
|
|
Regelungen für den öffentlichen Sektor
|
Einheitliche Vorgaben für öffentliche und private Einrichtungen
|
Zusätzliche Bestimmungen für staatliche Einrichtungen und Behörden
|
Unternehmen müssen also sowohl den europäischen als auch den nationalen Anforderungen entsprechen.
Datenschutzrechtliche Kontrolle nach DS-GVO und BDSG
Die Einhaltung der Datenschutzvorgaben wird in Deutschland durch unabhängige Datenschutzbehörden sichergestellt. Wichtige Aspekte hierbei sind:
- Regionale Datenschutzbehörden: Jedes Bundesland verfügt über eine eigene Aufsichtsbehörde, die die Einhaltung der Datenschutzvorgaben überwacht und bei Verstößen Maßnahmen ergreift.
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): Für Bundesinstitutionen und den Bereich Telekommunikation ist der BfDI zuständig.
- Kontrolle und Durchsetzung: Kontrollen durch die zuständige Datenschutzbehörde erfolgen meist stichprobenartig oder anlassbezogen (z. B. nach Beschwerden) oder risikoorientiert. Die Kontrolle kann schriftlich, vor Ort oder digital erfolgen und umfasst u. a. Auskunftsersuchen, Dokumentenprüfungen und technische Überprüfungen. Bei Verstößen können Maßnahmen wie Anordnungen oder Bußgelder folgen. Regelmäßige Audits und Überprüfungen sorgen dafür, dass Unternehmen den gesetzlichen Vorgaben entsprechen.
Business Compliance in Deutschland
In Deutschland tätige Unternehmen sollten daher folgendes beachten, wenn sie den gesetzlichen Anforderungen der DS-GVO (GDPR) entsprechen wollen:
- Umfassende Compliance-Maßnahmen: Unternehmen müssen sicherstellen, dass alle Prozesse – von der Datenerhebung bis zur -verarbeitung – den europäischen und nationalen Vorgaben entsprechen.
- Ernennung eines Datenschutzbeauftragten: Sobald in einem Unternehmen regelmäßig mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist gemäß § 38 BDSG zwingend ein Datenschutzbeauftragter zu benennen. Der Datenschutzbeauftragte überwacht die Einhaltung der datenschutzrechtlichen Vorschriften, berät die Geschäftsleitung sowie die Mitarbeitenden in Datenschutzfragen, wirkt auf die Sensibilisierung und Schulung hin und dient als Anlaufstelle für Aufsichtsbehörden. Die Pflicht zur Benennung gilt unabhängig von der Unternehmensgröße auch dann, wenn besonders sensible Daten (z. B. Gesundheitsdaten) verarbeitet oder Datenschutz-Folgenabschätzungen durchgeführt werden müssen.
- Regelmäßige Audits und Sicherheitsmaßnahmen: Unternehmen müssen geeignete technische und organisatorische Maßnahmen (TOM) umsetzen, um personenbezogene Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen. Dazu zählen unter anderem Zugriffskontrollen, Verschlüsselung, Protokollierung, Datensicherungen sowie Maßnahmen zur Wiederherstellbarkeit im Falle eines Systemausfalls. Regelmäßige Datenschutz-Audits prüfen die Wirksamkeit dieser Maßnahmen, decken Schwachstellen auf und sichern die fortlaufende Einhaltung gesetzlicher Vorgaben. Ein strukturiertes Datenschutz-Managementsystem unterstützt dabei, Prozesse zu steuern und kontinuierlich zu verbessern.
- Hohe Bußgelder bei Verstößen: Verstöße gegen die DS-GVO oder das BDSG können mit Bußgeldern von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes geahndet werden. Zusätzlich drohen Reputationsschäden und behördliche Auflagen. Unternehmen sollten daher frühzeitig in Datenschutz-Compliance investieren, um Risiken wirksam zu minimieren.
Fazit
Die Datenschutz-Grundverordnung (DS-GVO/GDPR) bildet den zentralen Rechtsrahmen für den Schutz personenbezogener Daten in der Europäischen Union. Sie schafft einheitliche Standards innerhalb der EU und soll den freien Datenverkehr unter gleichzeitiger Wahrung hoher Datenschutzstandards ermöglichen.
In Deutschland wird dieser europäische Rahmen durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Das BDSG nutzt gezielt die Öffnungsklauseln der DS-GVO und konkretisiert insbesondere Regelungen zum Beschäftigtendatenschutz, zur Verpflichtung zur Benennung eines Datenschutzbeauftragten sowie zur Verarbeitung personenbezogener Daten durch öffentliche Stellen und Strafverfolgungsbehörden.
Für Unternehmen in Deutschland ergibt sich daraus eine erweiterte Verantwortung: Sie müssen sowohl die europaweit geltenden Vorgaben der DS-GVO als auch die spezifischen nationalen Anforderungen des BDSG einhalten. Verstöße können nicht nur zu empfindlichen Bußgeldern führen, sondern auch das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitenden nachhaltig beeinträchtigen.
Ein wirksames Datenschutz-Management setzt daher eine kontinuierliche Überprüfung, Anpassung und Dokumentation interner Prozesse voraus. Nur durch die konsequente Umsetzung beider Rechtsquellen – DS-GVO und BDSG – kann ein rechtssicherer und vertrauenswürdiger Umgang mit personenbezogenen Daten gewährleistet werden.
Stellen Sie Ihre Datenschutz-Compliance sicher! Unsere Experten unterstützen Sie bei der effizienten Umsetzung von DSGVO und BDSG, minimieren Datenschutzrisiken und vermeiden Bußgelder. Schützen Sie Ihre Daten und setzen Sie die DS-GVO mit unserer Datenschutz-Software um.