BDSG Das neue Bundesdatenschutzgesetz

DSGVO und spezielle Datenschutzgesetze des Bundes haben Anwendungsvorrang (Foto: Mario Hoesel, AdobeStock)
DSGVO und spezielle Datenschutzgesetze des Bundes haben Anwendungsvorrang (Foto: Mario Hoesel, AdobeStock)

Am 25. Mai 2018 trat nicht nur die Europäische Datenschutzgrundverordnung (DSGVO), sondern auch das neukonzipierte Bundesdatenschutzgesetz (BDSG) in Kraft. In Datenschutz-Leitfäden für Kliniken und Arztpraxen wird über das an die Vorgaben des europäischen Datenschutzrechts angepasste Bundesdatenschutzgesetz kaum ein Wort verloren. Zum einen, weil seine 86 Paragraphen (vorher 48) mehrfach nachrangig sind. Zum anderen, weil das Gesetz ausgesprochen anwenderunfreundlich und schwer verständlich ist. Abfallmanager Medizin fasst zusammen, was medizinische Einrichtungen über das Gesetz wissen sollten.

Das Wichtigste auf einen Blick

  • Die Datenschutzgrundverordnung (DSGVO) und spezielle Datenschutzgesetze des Bundes haben Vorrang vor dem neuen Bundesdatenschutzgesetz (BDSG). Deshalb wird es als nachrangig betrachtet.
  • Das BDSG ist für öffentliche Stellen des Bundes und Unternehmen verfasst. Es gilt nicht für kirchliche Einrichtungen und öffentliche Stellen der Länder.
  • Ab 20 Beschäftigten sieht das BDSG in der Regel eine/n Datenschutzbeauftragte/n vor, der/die weitreichenden Kündigungsschutz genießt.

Das neue Bundesdatenschutzgesetz ist generalisierend angelegt und benennt wenige Sondervorschriften. Konzipiert als Verbotsgesetz mit Erlaubnisvorbehalt ist die personenbezogene Datenverarbeitung gemäß BDSG zunächst verboten. Nur wenn ein anerkannter Grund vorliegt – eine gesetzliche Befugnis oder eine Einwilligung zum Beispiel –, dürfen personenbezogene Daten verarbeitet werden. Dieser Grundgedanke ist nicht nur Intension der DSGVO, er entspricht auch der vorherigen Rechtslage.

BDSG ist nachrangiges Recht

Das Bundesdatenschutzgesetz müssen öffentliche Stellen des Bundes und nicht-öffentliche Stellen nur dann anwenden, wenn die DSGVO nicht unmittelbar gilt (§ 1 Abs. 5 BDSG) und sich auch in anderen Rechtsvorschriften des Bundes über den Datenschutz keine Regelung findet (§ 1 Abs. 2 BDSG). Um zu beurteilen, ob personenbezogene Daten rechtmäßig verarbeitet wurden, muss gemäß dem Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) zuerst die DSGVO herangezogen werden. Wenn diese einen Regelungsspielraum lässt, greifen bereichsspezifische Datenschutzvorschriften (z. B. in den Büchern des Sozialgesetzbuchs, im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, in der Abgabenordnung). Nur wenn diese nicht existieren oder nicht abschließend klärend sind, gilt ergänzend das BDSG als Auffanggesetz.

Die gleiche Struktur lässt sich auf die Einrichtungen der Länder übertragen: Ranghöchste und zuerst heranzuziehende Rechtsgrundlage ist die DSGVO. In nächster Instanz kommen die speziellen Landesdatenschutzbestimmungen und nachgeordnet die allgemeinen Landesdatenschutzgesetze in Frage. Da sich die Gesetzgebung auf Landesebene stark an der auf Bundesebene orientiert, kommt dem BDSG in dieser Hinsicht eine Leitfunktion zu.

„So einfach das Verhältnis zwischen der DSGVO und beispielsweise dem BDSG-neu auf den ersten Blick ist, so schwierig erweist sich in der Praxis zum Teil der Umgang mit diesen Rechtsquellen“, merkt der Deutsche Anwaltsspiegel zum Zusammenspiel der Datenschutzgesetze an.

Abbildung: Hierarchie der Datenschutzgesetze, eigene Darstellung in Anlehnung an Juraschko, Bernd (2020): Praxishandbuch Recht für Bibliotheken und Informationseinrichtungen, Abb. 14.

Abbildung: Hierarchie der Datenschutzgesetze, eigene Darstellung in Anlehnung an Juraschko, Bernd (2020): Praxishandbuch Recht für Bibliotheken und Informationseinrichtungen, Abb. 14.

Anwendungsbereich und Aufbau

Das BDSG gilt für öffentliche Stellen des Bundes und für nicht-öffentliche Stellen wie Unternehmen. Es findet keine Anwendung bei den öffentlichen Stellen der Länder und im Bereich der Kirchen, wie der BfDI aufklärt. Öffentliche Stellen der Länder sind z. B. Kommunen, Universitäten, Schulen, staatliche und kommunale Krankenhäuser. Krankenhäuser mit kirchlicher Trägerschaft unterliegen dem Datenschutzrecht ihrer Kirche, das jedoch DSGVO-konform sein muss.

Das Bundesdatenschutzgesetz besteht aus vier Teilen. Im Anwendungsbereich der DSGVO gelten die Teile 1 und 2:

  • Teil 1 fasst unter dem Titel „Gemeinsame Bestimmungen“ allgemeine Rechtsgrundlagen für die Verarbeitung personenbezogener Daten zusammen, formuliert Regelungen zu den Datenschutzbeauftragten öffentlicher Stellen, zum Profil der oder des Bundesbeauftragten für den Datenschutz und die Informationssicherheit sowie Informationen zur deutschen Vertretung im Europäischen Datenausschuss.
  • Teil 2 behandelt die Umsetzung der DSGVO und enthält ergänzende Bestimmungen zur Verarbeitung besonderer Kategorien personenbezogener Daten, besonderen Verarbeitungssituationen – z. B. im Rahmen von Forschungen–, zu Betroffenen-Rechten, den Pflichten der Verantwortlichen und Auftragsverarbeiter, zuständigen Aufsichtsbehörden und Sanktionen.
  • Teil 3 widmet sich der Umsetzung der Datenschutzrichtlinie Polizei und Justiz.
  • Teil 4 enthält besondere Bestimmungen für Datenverarbeitungen, die weder unter die Regelungen der DSGVO noch die Datenschutzrichtlinie Polizei und Justiz fallen.

Verarbeitung von Gesundheitsdaten unter strengen Bedingungen

Art. 9 Abs. 1 DSGVO untersagt die Verarbeitung von Gesundheitsdaten und anderen personenbezogenen Daten besonderer Art. Die Paragraphen 22 und 24 des BDSG benennen mehrere Ausnahmen, u. a. zum Zwecke der Gesundheitsvorsorge, für die medizinische Diagnostik, Verwaltung von Systemen im Gesundheitsbereich sowie öffentliche Gesundheitsbelange. Unter Berücksichtigung des Standes der Technik sind dabei angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen:

  • technisch organisatorische Maßnahmen für die datenschutzkonforme Verarbeitung schaffen
  • Maßnahmen ergreifen, mit denen nachvollzogen werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind
  • die an der Datenverarbeitung Beteiligten sensibilisieren
  • einen Datenschutzbeauftragten benennen
  • Zugänge zu personenbezogenen Daten beschränken
  • personenbezogene Daten pseudonymisieren
  • personenbezogene Daten verschlüsseln
  • Verarbeitungssysteme und -dienste sicher aufstellen
  • Maßnahmen regelmäßig auf Funktionalität überprüfen
  • spezifische Verfahrensregeln benennen

Stellung des Datenschutzbeauftragten wird gestärkt

Datenschutzbeauftragte sind die Triebkraft des Datenschutzes in Unternehmen und Behörden. Sie kontrollieren die Umsetzung datenschutzrechtlicher Anforderungen an, sind Ansprechpartner für Mitarbeiter, Aufsichtsbehörden und Bürger. Schon wie das alte Bundesdatenschutzgesetz unterstützt auch das neue BDSG die Stellung des Datenschutzbeauftragten. Gemäß § 6 Abs. 4 und § 38 BDSG genießen Datenschutzbeauftragte öffentlicher wie auch nicht-öffentlicher Stellen einen umfassenden Kündigungsschutz.

Datenschutzbeauftragter in Unternehmen ab 20 Beschäftigten

Im Rahmen des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (2. DSAnpUG-EU) müssen nicht-öffentliche Stellen bzw. Unternehmen einen Datenschutzbeauftragten ab 20 Mitarbeitern bestellen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Vor dem 2. DSAnpUG-EU lag die Grenze bei 10 Mitarbeitern. Mit der Anhebung entlastet der Gesetzgeber vor allem kleine und mittlere Unternehmen sowie ehrenamtlich tätige Vereine.

Datenschutz-Vorschriften für Wissenschaft und Forschung

Um Wissenschaft und Forschung durch datenschutzrechtliche Vorgaben nicht zu behindern, hat die DSGVO in Artikel 89 und den Erwägungsgründen 156 bis 163 Ausnahmevorschriften vorgesehen. Diese finden sich im Bundesdatenschutzgesetz in § 27 und § 28. Hiernach ist die Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. genetische oder biometrische Daten, Gesundheitsdaten) auch ohne Einwilligung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke unter folgenden Bedingungen zulässig: Wenn „die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen“ und Schutzmaßnahmen zur Wahrung der Interessen der betroffenen Person wie Pseudonymisierung und Verschlüsselung ergriffen werden (§ 27 BDSG).

Schmerzensgeldanspruch auch bei immateriellem Schaden

Wem durch eine Verarbeitung personenbezogener Daten ein Schaden entsteht, der hat laut Bundesdatenschutzgesetz Anspruch auf Schadenersatz. Nach § 83 Abs. 2 BDSG können Verbraucher oder auch Arbeitnehmer auch wegen eines Schadens, der kein Vermögensschaden ist, eine angemessene finanzielle Entschädigung verlangen.

BDSG in der Kritik

„Das neue BDSG ist ausgesprochen komplex und schwer verständlich, u.a. durch die nur schwer überschaubare Gliederung, die selten verständliche Herleitung des Rechts zur deutschen Regelung aus der EU DS-GVO sowie auch der damit verbundenen schwierigen Abgrenzung, ob die getroffenen Regelungen europarechtskonform sind oder nicht“, lautet das vernichtende Urteil der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V. zum Bundesdatenschutzgesetz. Die Computerwoche konstatiert sogar, die Vorschriften des BDSG würden teilweise nicht in Einklang mit der europäischen Datenschutzgrundverordnung stehen. Die höherrangige DSGVO lässt den Mitgliedsstaaten zwar Freiräume bei der Konkretisierung, doch abweichende oder gar behindernde nationale Regelungen sind verboten. Eine Sonderstellung nehmen einzig kirchliche Datenschutzregelungen ein (Art. 91 DSGVO).

Quellen

DSGVO und spezielle Datenschutzgesetze des Bundes haben Anwendungsvorrang (Foto: Mario Hoesel, AdobeStock)
DSGVO und spezielle Datenschutzgesetze des Bundes haben Anwendungsvorrang (Foto: Mario Hoesel, AdobeStock)