BDSG

Basisdaten
Titel:	Bundesdatenschutzgesetz
Abkürzung:	BDSG
Art:	Bundesgesetz
Geltungsbereich:	Bundesrepublik Deutschland
Rechtsmaterie:	Verwaltungsrecht
FNA:	204-3
Ursprüngliche Fassung vom:	27. Januar 1977 (BGBl. I S. 201)
Inkrafttreten am:	1. Januar 1978
Letzte Neufassung vom:	14. Januar 2003 (BGBl. I S. 66)
Letzte Änderung durch:	Art. 15 Abs. 53 G vom 5. Februar 2009 (BGBl. I S. 160, 266)
Inkrafttreten der letzten Änderung:	12. Februar 2009 (Art. 17 G vom 5. Februar 2009)
Bitte beachten Sie den Hinweis zur geltenden Gesetzesfassung.

Das deutsche Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Länder und anderen bereichsspezifischeren Regelungen den Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell verarbeitet werden (siehe auch: Datenschutz).

Geschichtliche Entwicklung

Vereinzelt gab es schon seit langem Bestimmungen, die dem Schutz der Privatsphäre dienten (Beichtgeheimnis, ärztliche Schweigepflicht, Steuergeheimnis, Postgeheimnis). Überlegungen zu einem umfassenden Datenschutz nahmen in den 1960er Jahren in den USA ihren Anfang und gingen einher mit der Entwicklung der Computertechnologie und den damit verbundenen Gefahren für die Privatsphäre (englisch: privacy).

In Deutschland eröffnete Hessen 1970 mit dem ersten Datenschutzgesetz der Welt die Datenschutzgesetzgebung. Nach dem Volkszählungsurteil des Bundesverfassungsgerichts 1983 war klar, dass die bisherigen Datenschutzgesetze nicht den verfassungsrechtlichen Anforderungen genügten. Diese mussten innerhalb eines angemessenen Zeitraumes novelliert werden. 1986 verabschiedete Hessen als erstes Land ein neues, daran angepasstes Datenschutzgesetz, 1990 war auch der Bund so weit.

Eine ausdrückliche Kompetenz des Bundes zur umfassenden Regelung des Datenschutzes enthält das Grundgesetz nicht. Die Regelungskompetenz für ein Bundesdatenschutzgesetz ergibt sich aus dem Rückgriff auf die Gesetzgebungszuständigkeiten für verschiedene Bereiche, die für den Datenschutz von Bedeutung sind. Für den Datenschutz im Anwendungsbereich der öffentlichen Verwaltung ist dies die Gesetzgebung für das Verwaltungsverfahren (Art. 70 ff. i. V. m. Art. 84 Abs. 1, 85 Abs. 1 und 86 GG). Die Datenverarbeitung wird als Arbeits- und Organisationsmittel eingesetzt und ist damit dem Bereich des Verwaltungsverfahrens zuzuordnen. Bundesrechtliche Datenschutzbestimmungen können daher für die Verwaltungstätigkeit des Bundes sowie für die der Länder, Gemeinden und Gemeindeverbände erlassen werden, soweit diese Bundesrecht ausführen; im Bereich der landeseigenen Ausführung von Bundesrecht bedarf es hierzu der Zustimmung des Bundesrates. Für die gesetzliche Regelung des Schutzes der Privatsphäre im nicht-öffentlichen Bereichen beruht die Gesetzgebungskompetenz des Bundes auf der jeweiligen Sachkompetenz, also auf seiner im GG festgelegten Zuständigkeit u. a. für die Gesetzgebung auf dem Gebiet des Wirtschafts-, Arbeits-, Zivil-, Straf- und Prozessrechts.

Überblick über das BDSG

Das BDSG besteht aus sechs Abschnitten:

• Im ersten Abschnitt (§§ 1–11) werden allgemeine und gemeinsame Bestimmungen erläutert,
• im zweiten Abschnitt (§§ 12–26) die Datenverarbeitung für öffentliche Stellen und
• im dritten Abschnitt (§§ 27–38a) für private Stellen geregelt.
• Der vierte Abschnitt (§§ 39–42) enthält Sondervorschriften,
• im fünften Abschnitt (§§ 43–44) werden Straf- und Bußgeldvorschriften und
• im sechsten Abschnitt (§§ 45–46) Übergangsvorschriften genannt.

Allgemeine und gemeinsame Bestimmungen

§ 1 Absatz 1 BDSG lautet:

Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

Grundsätze

Ein wesentlicher Grundsatz des Gesetzes ist das so genannte Verbotsprinzip mit Erlaubnisvorbehalt. Dieses besagt, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Prinzip verboten ist. Sie ist nur dann erlaubt, wenn entweder eine klare Rechtsgrundlage gegeben ist (d. h., das Gesetz erlaubt die Datenverarbeitung in diesem Fall) oder wenn die betroffene Person ausdrücklich (meist schriftlich) ihre Zustimmung zur Erhebung, Verarbeitung und Nutzung gegeben hat (§ 13 Abs.2 ff). Die angewendeten Verfahren mit automatisierter Verarbeitung sind vom (behördlichen oder betrieblichen) Datenschutzbeauftragten zu prüfen, oder (wenn ein solcher nicht vorhanden ist) beim zuständigen Landesdatenschutzbeauftragten anzeigepflichtig.

Ebenfalls gilt der in § 3a definierte Grundsatz der Datenvermeidung und Datensparsamkeit: So sollen sich alle Datenverarbeitungssysteme an dem Ziel ausrichten, keine oder so wenig personenbezogene Daten wie möglich zu verwenden und insbesondere von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen.

Geschützte Daten

Geregelt wird der Umgang mit personenbezogenen Daten. Daten sind personenbezogen, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben. Dazu genügt es, wenn die Person nicht namentlich benannt wird, aber bestimmbar ist (beispielsweise: Telefonnummer, E-Mail-Adresse, IP-Adresse beim Surfen, Personalnummer).

Im Gegensatz dazu stehen anonyme Daten, bei denen die Person unbekannt (also unbestimmbar) ist. Pseudonyme Daten, bei denen der Name durch einen Decknamen ersetzt wird, fallen jedoch wieder unter den Geltungsbereich des BDSG, weil es sich dabei um Angaben bestimmbarer Personen handelt. Da es aber aufwändiger ist, vom Pseudonym auf den Inhaber zu schließen, ist das informationelle Selbstbestimmungsrecht hiermit besser geschützt, als z. B. mit Namen.

Nicht in den Geltungsbereich des BDSG fallen Daten über juristische Personen (GmbHs, AGs usw.).

Besonders geschützt werden so genannte besondere Arten von Daten gemäß § 3 Abs. 9 BDSG, nämlich Daten über rassische und ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben.

Bei diesen Daten ist das Verbotsprinzip mit Erlaubnisvorbehalt durch einen Ausnahmekatalog noch enger definiert und eine ausdrückliche Einwilligung des Betroffenen notwendig.

Sachlicher Anwendungsbereich

Das BDSG regelt folgende Tätigkeiten: Die Datenerhebung, die Datenverarbeitung und die Datennutzung. Zur Verarbeitung gehört dabei das Speichern, Verändern, Übermitteln, Sperren und Löschen der Daten. Auch wird im BDSG geregelt, welche Rechte und Pflichten die Aufsichtsbehörden für den Datenschutz haben.

Räumlicher Anwendungsbereich

Bei einem Sitz der verantwortlichen Stelle im EG/EWR-Ausland gilt grundsätzlich das Sitzprinzip, d. h. der Sitz der verantwortlichen Stelle ist maßgeblich für das nationale Recht. Eine Firma mit Sitz in Frankreich beispielsweise kann ihr französisches Recht bei der Datenverarbeitung in Deutschland exportieren.

Falls die Stelle jedoch eine Niederlassung in Deutschland hat, gilt grundsätzlich das Territorialprinzip, d. h. es gilt das deutsche BDSG. Dies gilt ebenso für Stellen, die einen Sitz in einem Nicht-EG/EWR-Staat haben.

Normadressaten

Im BDSG wird unterschieden zwischen Datenschutz von staatlichen („öffentlichen“) und von privaten („nicht-öffentlichen“) Stellen. Öffentlich-rechtliche Wettbewerbsunternehmen, die im Wettbewerb zu privaten Unternehmen stehen (z. B. die Deutsche Bahn), werden wie private Stellen behandelt.

Datenverarbeitung der privaten Stellen

Jede private Stelle (z. B. Unternehmen), in der zehn oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung beschäftigt sind, benötigt einen Datenschutzbeauftragten (kurz DSB). Desgleichen bei zwanzig oder mehr Mitarbeitern wenn die Daten manuell (z. B. mit Karteikarten) verarbeitet werden, wenn Verarbeitungen eine Vorabkontrolle erfordern oder die Verarbeitung zur Übermittlung (Detektei, Auskunftei) oder anonymer Übermittlung (Meinungsforschung) verarbeitet werden.

Die Pflichten der verantwortlichen (verarbeitenden) Stelle fallen immer der Geschäftsführung zu. Unabhängig von der Bestellung eines Datenschutzbeauftragten umfassen sie u. a.:

• Gewährung der Betroffenenrechte (Benachrichtigung, Auskunft, Korrektur, Sperrung, Löschung)
• transparente und dokumentierte EDV (Verfahrensverzeichnis),
• Schutz der EDV und der Daten im Sinne der IT-Sicherheit (§ 9 BDSG nebst Anhang)
• Nachvollziehbarkeit von Zugriffen, Änderungen und Weitergaben an Dritte

Rechte der Betroffenen

Betroffene (natürliche Personen, über die Daten bei öffentlichen oder nicht-öffentlichen Stellen gespeichert sind), haben nach dem Bundesdatenschutzgesetz folgende (gem. § 6 Abs. 1 BDSG) unabdingbare Rechte:

• Auskunft darüber, ob und welche personenbezogenen Daten über sie gespeichert sind
• Auskunft darüber, aus welchen Quellen diese Daten stammen und zu welchem Verwendungszweck sie gespeichert werden
• Berichtigung von falschen personenbezogenen Daten
• Übermittlung persönlicher Daten an Dritte zu untersagen
• Löschung seiner Daten
• Sperrung seiner Datensätze
• Beschwerderecht bei der zuständigen Aufsichtsbehörde für den Datenschutz

Die beiden erstgenannten Rechte können verweigert werden, falls das allgemeine öffentliche Interesse, das Interesse der jeweiligen nicht-öffentlichen Stelle an der Wahrung des Geschäftsgeheimnisses oder das Interesse Dritter zur Geheimhaltung überwiegt. Dies muss allerdings im Einzelfall geprüft werden. Eine Verweigerung der Auskunft muss mit Angabe der Gründe dokumentiert werden.

Jeder Bürger hat also ein Auskunftsrecht bezüglich der über ihn gespeicherten Daten sowie ein Recht auf Richtigstellung falscher Daten. Für die befragten Stellen ergibt sich eine Auskunftspflicht, von der jedoch Polizei und Geheimdienste ausgenommen sind. Die Auskunft ist von öffentlichen Stellen unentgeltlich zu erteilen (§ 19 Abs. 4 BDSG). Bei der Auskunftserteilung durch private Stellen kann unter Umständen ein Entgelt verlangt werden (§ 34 BDSG), allerdings muss der Betroffene darauf hingewiesen und ggf. eine kostenfreie Alternative angeboten werden. Umstritten war lange Zeit die Praxis der Schufa, ein Selbstauskunftersuchen mit einer negativen Wertung zu belegen; diese Praxis hat die Schufa jedoch aufgegeben ^[1]. Des weiteren hat jeder das Recht der Nutzung seiner Adressdaten für Werbung oder der Markt- oder Meinungsforschung bei der datenspeichernden Stelle zu widersprechen und eine Sperrung seiner Daten zu verlangen.

Sondervorschriften

Für die Behörden der Länder und Gemeinden gelten die jeweiligen Landesdatenschutzgesetze. Sonderregelungen gibt es auch für die öffentlich-rechtlichen Rundfunkanstalten (zur Kontrolle vgl. Herb, Die Struktur der Datenschutzkontrollstellen in der Bundesrepublik, ZUM 2004, S. 530–532).

Öffentlich-rechtliche Religionsgesellschaften unterliegen weder dem Bundesdatenschutzgesetz noch den Landesdatenschutzgesetzen. Die Römisch-katholische Kirche hat die Anordnung über den kirchlichen Datenschutz erlassen und die Synode der Evangelischen Kirche in Deutschland das Datenschutzgesetz der Evangelischen Kirche in Deutschland. Beide Gesetze sind mit Synopse zum BDSG abgedruckt im Datenschutz-Kommentar Bergmann/Möhrle/Herb, Boorberg-Verlag Stuttgart.

Für Verwaltungsverfahren im Geltungsbereich des Sozialgesetzbuchs sind für den Schutz der Sozialdaten besondere Vorschriften gültig, welche statt des Bundesdatenschutzgesetzes oder landesrechtlicher Regelungen anzuwenden sind. Dies gilt auch für die Durchführung jener Gesetze, die gemäß § 68 Erstes Buch Sozialgesetzbuch (SGB I) als besondere Teile des Sozialgesetzbuches gelten, wie also für Verfahren, die BAföG- oder Wohngeldstellen durchführen. Der Sozialdatenschutz ist im zweiten Kapitel des Zehntes Buch Sozialgesetzbuch (SGB X) geregelt^[2]. .

Siehe auch

• Datenschutzauditgesetz

Literatur

• Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Hrsg.): BfDI-Info 1. Bundesdatenschutzgesetz. Text und Erläuterung. 13. Auflage. Bonn 2007. Download
• Bergmann/Möhrle/Herb: Kommentar zum Datenschutzrecht. Boorberg-Verlag. Stuttgart 2009: Stand: 38. Lieferung Januar 2009 (mit BürokratieabbauG). ISBN 3-415-00616-6.
• Peter Gola, Rudolf Schomerus, Christoph Klug: BDSG – Bundesdatenschutzgesetz. Kommentar. 9., Auflage, Verlag C. H. Beck, Juli 2007, ISBN 3406555446
• Peter Gola, Andreas Jaspers: Das neue BDSG im Überblick. Datakontext-Verlag, 3. Auflage, Frechen 2005, ISBN 389577376X
• Spiros Simitis (Hrsg.): Kommentar zum Bundesdatenschutzgesetz. Nomos, 6. Auflage, Baden-Baden 2006, ISBN 3832913769 (noch ohne Änderungen durch BürokratieabbauG 22. August 2006)
• Kurt Nagel, Erich Kiefer: Informationsbroschüre zum Bundesdatenschutzgesetz in der Fassung der Neubekanntmachung vom 14. Januar 2003. 11. Auflage 2005. ISBN 978-3-486-57744-0

Einzelnachweise

1. ↑ FAQ SCHUFA-Score
2. ↑ SGB X, abgedruckt – mit Anmerkungen – im Datenschutz-Kommentar Bergmann/Möhrle/Herb, Boorberg-Verlag Stuttgart.

Weblinks

• Bundesdatenschutzgesetz Vorlage:§§/Wartung/alt-juris vom BMJ bei juris
• Kommentierung zu den Straftatbeständen des Datenschutzrechts – Computer- & Mediendelikte (CuMK)
• Folie über den Datenschutz (ab Seite 7) in der Vorlesung Anwendungssysteme von Lutz Prechelt
• Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz - ZAfTDa

Bitte beachte den Hinweis zu Rechtsthemen!