Das Zusammenwirken von DSGVO und BDSG

Der Datenschutz in Deutschland ruht auf zwei tragenden Säulen: der Datenschutz-Grundverordnung der Europäischen Union und dem Bundesdatenschutzgesetz. Gemeinsam spannen diese beiden Regelwerke die rechtlichen Rahmen auf, an dem sich Unternehmen bei der Verarbeitung personenbezogener Daten orientieren müssen.

Die DSGVO entfaltet seit dem 25. Mai 2018 unmittelbare Wirkung in sämtlichen EU-Mitgliedstaaten und genießt Vorrang vor nationalem Recht. Das BDSG wurde zeitgleich grundlegend überarbeitet – mit dem Ziel, die europäische Verordnung zu ergänzen und jene Spielräume auszuschöpfen, die Brüssel den Mitgliedstaaten bewusst eingeräumt hat.

Der rechtliche Rahmen im Überblick

Die DSGVO als europäische Grundlage

Die DSGVO [Verordnung (EU) 2016/679] bildet das Herzstück des europäischen Datenschutzrechts. Als EU-Verordnung gilt sie unmittelbar in allen Mitgliedstaaten – eine Umsetzung in nationales Recht erübrigt sich. Sie regelt die Verarbeitung personenbezogener Daten umfassend und etabliert einheitliche Standards für den gesamten europäischen Wirtschaftsraum.

Die wesentlichen Regelungsbereiche der DSGVO umfassen:

• Grundsätze der Datenverarbeitung (Rechtmäßigkeit, Transparenz, Zweckbindung)
• Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
• Rechte der betroffenen Personen (Auskunft, Löschung, Berichtigung)
• Pflichten für Verantwortliche und Auftragsverarbeiter
• Regelungen zur Datenübermittlung in Drittländer
• Sanktionen bei Verstößen

Das BDSG als nationale Ergänzung

Das Bundesdatenschutzgesetz in seiner aktuellen Fassung – häufig als BDSG-neu bezeichnet – trat ebenfalls am 25. Mai 2018 in Kraft. Seine Funktion: die DSGVO dort zu konkretisieren und

zu ergänzen, wo die Verordnung den Mitgliedstaaten Gestaltungsspielräume eröffnet. Darüber hinaus enthält das BDSG Vorschriften, die über den Anwendungsbereich der DSGVO hinausreichen – etwa für nicht-automatisierte Datenverarbeitungen außerhalb von Dateisystemen.

Die wichtigsten Ergänzungen des BDSG betreffen:

• Regelungen zum Datenschutzbeauftragten (§§ 5–7 BDSG)
• Beschäftigtendatenschutz (§ 26 BDSG)
• Videoüberwachung öffentlich zugänglicher Räume (§ 4 BDSG)
• Scoring und Bonitätsauskünfte (§ 31 BDSG)
• Bußgeldvorschriften und Straftatbestände (§§ 41–43 BDSG)

Das Zusammenwirken beider Regelwerke

Das Verhältnis zwischen DSGVO und BDSG folgt einer klaren Normenhierarchie: Die DSGVO steht an der Spitze, das BDSG ordnet sich darunter ein und füllt die Spielräume aus, die die europäische Verordnung den Mitgliedstaaten lässt. Bei Widersprüchen setzt sich die DSGVO stets durch.

Öffnungsklauseln der DSGVO

Die DSGVO enthält eine ganze Reihe von Öffnungsklauseln, die den Mitgliedstaaten erlauben, in bestimmten Bereichen eigene Regelungen zu treffen. Diese Klauseln sind unterschiedlich ausgestaltet: Einige ermächtigen die Mitgliedstaaten zu abweichenden Regelungen, andere verpflichten sie zur Konkretisierung. Der deutsche Gesetzgeber hat diese Spielräume im BDSG umfassend genutzt.

Prüfungsreihenfolge in der Praxis

Bei datenschutzrechtlichen Fragestellungen empfiehlt sich eine systematische Prüfungsreihenfolge:

1. Zunächst ist die DSGVO als primäre Rechtsquelle heranziehen.
2. Prüfen, ob die DSGVO eine abschließende Regelung trifft oder eine Öffnungsklausel enthält.
3. Bei Vorliegen einer Öffnungsklausel sind die entsprechenden BDSG-Vorschriften ergänzend anzuwenden.
4. Gegebenenfalls sind weitere bereichsspezifische Datenschutzregelungen zu beachten.

Wesentliche Unterschiede und Besonderheiten

Datenschutzbeauftragter

Während die DSGVO die Bestellung eines Datenschutzbeauftragten nur unter bestimmten Voraussetzungen vorschreibt (Art. 37 DSGVO), erweitert das BDSG diese Pflicht erheblich. Nach § 38 BDSG müssen Unternehmen einen Datenschutzbeauftragten benennen, sobald sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Diese Schwelle wurde 2019 von ursprünglich 10 auf 20 Personen angehoben.

Beschäftigtendatenschutz

§ 26 BDSG enthält spezifische Regelungen für die Verarbeitung personenbezogener Daten im Beschäftigungskontext. Die Norm übersetzt die allgemeinen Erlaubnistatbestände der DSGVO in die Sprache des Arbeitsrechts und regelt unter anderem die Datenverarbeitung für Zwecke der Begründung, Durchführung und Beendigung von Beschäftigungsverhältnissen sowie zur Aufdeckung von Straftaten.

Videoüberwachung

§ 4 BDSG enthält spezielle Regelungen zur Videoüberwachung öffentlich zugänglicher Räume. Die Vorschrift konkretisiert die Abwägung zwischen dem Überwachungsinteresse und den schutzwürdigen Interessen der Betroffenen und formuliert besondere Anforderungen an die Kennzeichnung der Videoüberwachung.

Sanktionen und Bußgelder

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor. Das BDSG ergänzt diese Regelungen um spezifische Straftatbestände (§ 42 BDSG) für besonders schwere Verstöße – etwa die gewerbsmäßige unberechtigte Datenverarbeitung, die mit Freiheitsstrafe bis zu drei Jahren geahndet werden kann.

Compliance-Anforderungen für Unternehmen

Grundlegende Pflichten

Unternehmen müssen eine Reihe von Pflichten erfüllen, die sich aus dem Zusammenspiel von DSGVO und BDSG ergeben:

• Verzeichnis von Verarbeitungstätigkeiten: Dokumentation aller Verarbeitungsvorgänge gemäß Art. 30 DSGVO
• Technische und organisatorische Maßnahmen: Implementierung angemessener Schutzmaßnahmen nach Art. 32 DSGVO
• Datenschutz-Folgenabschätzung: Bei risikoreichen Verarbeitungen gemäß Art. 35 DSGVO
• Auftragsverarbeitungsverträge: Bei Einschaltung externer Dienstleister nach Art. 28 DSGVO
• Meldepflichten: Benachrichtigung der Aufsichtsbehörde und Betroffener bei Datenschutzverletzungen

Empfohlene Maßnahmen zur Compliance

Für eine umfassende Datenschutz-Compliance sollten Unternehmen folgende Maßnahmen ergreifen:

1. Bestandsaufnahme durchführen: Erfassung aller Datenverarbeitungsprozesse im Unternehmen
2. Rechtsgrundlagen prüfen: Sicherstellung, dass für jede Verarbeitung eine gültige Rechtsgrundlage existiert
3. Datenschutzbeauftragten benennen: Prüfung der Benennungspflicht und gegebenenfalls Bestellung
4. Betroffenenrechte sicherstellen: Prozesse für Auskunfts-, Löschungs- und Berichtigungsanfragen etablieren
5. Mitarbeitende schulen: Regelmäßige Sensibilisierung und Fortbildung zum Datenschutz
6. Datenschutzmanagement etablieren: Aufbau eines systematischen Datenschutz-Managementsystems

Besondere Anforderungen für bestimmte Branchen

Neben DSGVO und BDSG können branchenspezifische Regelungen zu beachten sein. Im Gesundheitswesen gelten etwa zusätzliche Anforderungen an den Umgang mit Gesundheitsdaten. Im Finanzsektor sind das Kreditwesengesetz und das Geldwäschegesetz von Bedeutung. Telekommunikationsunternehmen müssen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) beachten.

Fazit

Das Zusammenwirken von DSGVO und BDSG verlangt von Unternehmen ein ganzheitliches Verständnis beider Regelwerke. Die DSGVO bildet den europäischen Rahmen, während das BDSG wichtige nationale Konkretisierungen und Ergänzungen liefert. Für eine rechtssichere Datenverarbeitung müssen beide Regelwerke systematisch beachtet und im Unternehmensalltag konsequent umgesetzt werden.

Eine kontinuierliche Überprüfung und Anpassung der Datenschutzmaßnahmen bleibt angesichts der dynamischen Rechtsentwicklung und der fortschreitenden Digitalisierung unverzichtbar. Unternehmen sollten den Datenschutz nicht als bloße Pflichtübung begreifen, sondern als Gelegenheit, Vertrauen bei Kunden und Geschäftspartnern aufzubauen.