BDSG — Bundesdatenschutzgesetz

Ein mittelständisches Bauunternehmen wertet die Zugangsdaten der Baustellen-Zeiterfassung aus, um Pausen-Verstöße zu identifizieren. Der Betriebsrat klagt, die Aufsichtsbehörde fragt nach. Verlangt werden die Rechtsgrundlage nach § 26 BDSG, die Betriebsvereinbarung und der Nachweis, dass die Auswertung erforderlich und verhältnismäßig war. Ohne diese Dokumentation ist der Vorgang nicht haltbar — die Aufsichtsbehörde untersagt die Auswertung und prüft ein Bußgeld.

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO im deutschen Recht. Es nutzt die Öffnungsklauseln der Verordnung, regelt die nationalen Aufsichtsbehörden und konkretisiert Themen wie Beschäftigtendatenschutz, Videoüberwachung und die Datenverarbeitung durch Sicherheitsbehörden. Für jede Organisation in Deutschland gilt: Ohne BDSG-Wissen ist DSGVO-Compliance lückenhaft.

Wer ist betroffen?

Das BDSG gilt für jede Organisation, die personenbezogene Daten in Deutschland verarbeitet. Es ergänzt die DSGVO, ersetzt sie aber nicht. Konkret betrifft es:

Nicht-öffentliche Stellen — Unternehmen, Vereine, Stiftungen, Selbstständige. Maßgeblich ist § 1 Abs. 4 BDSG.
Öffentliche Stellen des Bundes — Bundesministerien, Bundesbehörden, Bundeskörperschaften.
Beschäftigte in Deutschland — § 26 BDSG ist die zentrale Norm für die Verarbeitung von Mitarbeiterdaten.
Auftragsverarbeiter mit Sitz in Deutschland — auch wenn der Verantwortliche im Ausland sitzt.

Für öffentliche Stellen der Länder gelten die jeweiligen Landesdatenschutzgesetze. Diese folgen der BDSG-Struktur weitgehend, weichen im Detail aber ab.

Was verlangt das Gesetz?

Das BDSG füllt die Öffnungsklauseln der DSGVO mit nationalem Recht. Die wichtigsten Vorgaben:

Bestellung des Datenschutzbeauftragten (§ 38) — Pflicht ab 20 Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind. Die Bestellung muss schriftlich erfolgen und der Aufsichtsbehörde gemeldet werden.
Beschäftigtendatenschutz (§ 26) — Verarbeitung zu Zwecken des Beschäftigungsverhältnisses ist zulässig, wenn sie erforderlich ist. Für die Aufdeckung von Straftaten gelten zusätzliche Hürden.
Videoüberwachung (§ 4) — öffentlich zugängliche Räume dürfen nur unter engen Voraussetzungen überwacht werden, mit Hinweispflicht und Löschung nach Zweckerreichung.
Verpflichtung auf das Datengeheimnis (§ 53) — gilt für Beschäftigte öffentlicher Stellen; in der Privatwirtschaft erfolgt die Verpflichtung über § 26 BDSG und Art. 32 DSGVO im Arbeitsvertrag.
Recht auf Auskunft, Löschung und Widerspruch (§§ 32–37) — konkretisiert die DSGVO-Betroffenenrechte für deutsches Recht und definiert Ausnahmen.
Bonitätsauskünfte und Scoring (§ 31) — Voraussetzungen für die Berechnung von Wahrscheinlichkeitswerten zur Kreditwürdigkeit.
Bußgeldvorschriften (§ 41 ff.) — eigene Sanktionstatbestände für deutsche Verstöße zusätzlich zum DSGVO-Bußgeldrahmen.

In der Praxis

DSB-Bestellung als Dauer-Aufgabe behandeln. Das Schwellenwert-Kriterium „20 Personen” wird bei wachsenden Organisationen oft übersehen. Sobald die Schwelle dauerhaft überschritten wird, gilt die Bestellpflicht — die Bestellung kann formlos nachgeholt werden, der Verstoß ist aber bußgeldbewehrt. Bei Outsourcing an einen externen DSB bleibt die Verantwortung der Geschäftsleitung.

Beschäftigtendatenschutz mit Betriebsrat klären. Jede Auswertung von Mitarbeiterdaten — Zeiterfassung, E-Mail-Logs, Videoüberwachung am Arbeitsplatz — sollte eine dokumentierte Rechtsgrundlage haben. Das Mitbestimmungsrecht des Betriebsrats nach § 87 BetrVG läuft parallel zum Datenschutzrecht. Eine Betriebsvereinbarung kann die Erforderlichkeit konkretisieren.

Verpflichtung auf das Datengeheimnis dokumentieren. Jeder neue Mitarbeiter, der Zugang zu personenbezogenen Daten bekommt, wird auf das Datengeheimnis verpflichtet. In der Praxis erfolgt das im Arbeitsvertrag oder über ein separates Formular, oft kombiniert mit einer Datenschutz-Erstunterweisung.

Mapping zu ISO 27001

Die BDSG-Anforderungen überschneiden sich substantiell mit dem ISO-27001-Annex-A-Katalog, besonders bei den TOMs aus Art. 32 DSGVO und der personalbezogenen Sicherheit.

Direkt relevante Kontrollen:

A.5.34 — Datenschutz und Schutz personenbezogener Daten: zentraler Brückenpunkt für alle datenschutzrechtlichen Anforderungen, einschließlich BDSG-Konkretisierungen.
A.6.6 — Vertraulichkeitsvereinbarungen: technische Umsetzung der Verpflichtung auf das Datengeheimnis.
A.6.3 — Informationssicherheitsbewusstsein: Datenschutz-Erstunterweisung und jährliche Auffrischung.
A.5.13 — Kennzeichnung von Informationen: Klassifizierung von Beschäftigten- und Kundendaten.
A.5.14 — Informationsübertragung: sichere Übertragung beim Auskunftsanspruch.
A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Voraussetzung für die Datenpannen-Meldung an die deutschen Aufsichtsbehörden.
A.7.10 — Speichermedien: sichere Entsorgung von Personalakten und Datenträgern.
A.8.10 — Löschung von Informationen: Umsetzung der Löschpflichten nach Beschäftigungsende.
A.8.11 — Datenmaskierung: Pseudonymisierung in HR-Auswertungen.
A.8.24 — Verwendung von Kryptografie: Verschlüsselung von Personalakten und Lohndaten.

Typische Audit-Befunde

DSB-Bestellung fehlt oder ist nicht gemeldet — die Aufsichtsbehörde wurde nicht informiert oder die Bestellung ist nicht schriftlich dokumentiert.
Verpflichtung auf das Datengeheimnis nur im Arbeitsvertrag, ohne Nachweis — keine separate Unterschrift, keine jährliche Auffrischung.
Videoüberwachung ohne Hinweisschild oder Interessenabwägung — Aufzeichnungen werden zu lange gespeichert, der Zweck ist nicht dokumentiert.
Beschäftigtendaten-Auswertung ohne Rechtsgrundlage — E-Mail-Logs, Zeiterfassungs-Auswertungen, Lokalisierungsdaten ohne Betriebsvereinbarung und ohne dokumentierte Erforderlichkeit.
Bewerber-Daten zu lange gespeichert — die Empfehlung der Aufsichtsbehörden ist sechs Monate nach Absage; viele Organisationen behalten Bewerbungen Jahre.
Outsourcing an externen DSB ohne klare Ressourcenvereinbarung — der externe DSB hat formal die Rolle, aber keine Stunden, keinen Zugang, keine Wirksamkeit.

Quellen

BDSG-Volltext (Gesetze im Internet) — amtliche Fassung des Bundesministeriums der Justiz
Datenschutzkonferenz (DSK) — Beschlüsse und Orientierungshilfen der deutschen Aufsichtsbehörden
BfDI — Bundesbeauftragte für den Datenschutz — Aufsichtsbehörde für Bundesbehörden, Post und Telekommunikation
Bundesarbeitsgericht zur Beschäftigtendatenverarbeitung — Rechtsprechung zu § 26 BDSG

Häufig gestellte Fragen

Wann muss ich nach BDSG einen Datenschutzbeauftragten bestellen?

Sobald in der Organisation mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG). Unabhängig von der Größe gilt die Pflicht außerdem, wenn eine Datenschutz-Folgenabschätzung erforderlich ist oder personenbezogene Daten geschäftsmäßig zur Übermittlung verarbeitet werden.

Was regelt das BDSG, was nicht schon in der DSGVO steht?

Das BDSG nutzt die Öffnungsklauseln der DSGVO und konkretisiert deutsches Recht: Beschäftigtendatenschutz (§ 26), Videoüberwachung (§ 4), Scoring und Bonitätsauskünfte (§ 31), die Schwelle für die DSB-Bestellung sowie Datenverarbeitung im Sicherheitsbereich. Außerdem regelt es die Tätigkeit der deutschen Aufsichtsbehörden.

Gilt der Beschäftigtendatenschutz nach § 26 BDSG nach dem EuGH-Urteil noch?

Der EuGH hat 2023 die hessische Parallelregelung als unionsrechtswidrig erklärt; § 26 BDSG ist seither in Teilen angreifbar. Bis zur gesetzgeberischen Neuregelung stützen Aufsichtsbehörden Beschäftigtendatenverarbeitung pragmatisch weiter auf § 26 in Verbindung mit Art. 6 DSGVO. Wer hier sauber dokumentiert, ist auf der sicheren Seite.