BDSG-neu

Welche Rolle spielt das neue Bundesdatenschutzgesetz für Unternehmen beim Datenschutz?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(4 Bewertungen, 4.00 von 5)

Das Wichtigste in Kürze

  • Die DSGVO regelt den Umgang mit personenbezogenen Daten und gilt für alle Unternehmen.
  • Mit der DSGVO trat das neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft, das ebenfalls Anforderungen an den Datenschutz in Unternehmen stellt.
  • Als Unternehmen sollten Sie prüfen, ob Sie einen Datenschutzbeauftragten benötigen und Ihre Mitarbeitenden für den Datenschutz sensibilisieren.

Worum geht's?

Im Mai 2018 trat nicht nur EU-weit die Datenschutzgrundverordnung (DSGVO) in Kraft, sondern zeitgleich in Deutschland auch das neue Bundesdatenschutzgesetz – kurz: BDSG-neu. Ebenso wie die DSGVO regelt es den Schutz und den Umgang mit personenbezogenen Daten. Doch wozu braucht es ein nationales Datenschutzgesetz, wenn die Datenschutzgrundverordnung für alle EU-Staaten gilt? Wen betrifft das neue Bundesdatenschutzgesetz? Was ist neu, was steht drin – und worauf sollten Unternehmer achten?

 1. Was ist das BDSG-neu? 

Das BDSG-neu ist ein Gesetz, das den Datenschutz in Deutschland regelt, personenbezogene Daten schützt und das Recht auf informationelle Selbstbestimmung wahrt.

Es wurde im Zuge der europäischen Datenschutzgrundverordnung (DSGVO) eingeführt und ist seit dem 25. Mai 2018 in Kraft. Das BDSG-neu ergänzt und konkretisiert die Bestimmungen der DSGVO, um den nationalen Datenschutz zu gewährleisten. Das ist nötig, weil die DSGVO zwar für alle Mitgliedsstaaten der Europäischen Union gilt, aber gleichzeitig zahlreiche Öffnungsklauseln enthält, mit denen bestimmte Regelungen auf nationaler Ebene umgesetzt werden sollen.

In Deutschland übernimmt diese Rolle das neue Bundesdatenschutzgesetz. Es handelt sich beim BDSG-neu also um ein EU-Datenschutz-Anpassungs- und Umsetzungsgesetz. Da es aber (im Gegensatz zum alten BDSG) kein eigenständiges Gesetz darstellt, sind die Ausführungen des BDSG-neu stets in Verbindung mit der Datenschutz-Grundverordnung zu betrachten. Auch in der Praxis ist für Unternehmen die DSGVO relevant.

Wer ist vom BDSG-neu betroffen? 

Das BDSG-neu betrifft sowohl öffentliche Stellen als auch Unternehmen und richtet sich an alle, die personenbezogene Daten verarbeiten. Es legt fest, Behörden, Firmen, Vereine, Praxen und Selbstständige personenbezogene Daten von Dritten erheben, nutzen, speichern und schützen müssen.

Ist das alte Bundesdatenschutzgesetz noch gültig?

Mit dem Inkrafttreten des BDSG-neu wurde das alte Bundesdatenschutzgesetz (BDSG-alt) abgelöst – es gilt somit nicht mehr. Das BDSG-alt basierte auf der EU-Datenschutzrichtlinie von 1995, die die Anforderungen an den Datenschutz im digitalen Zeitalter nicht mehr erfüllen konnte.

Die aktuellen Rechtsgrundlagen der Verarbeitung personenbezogener Daten stellen die Regelungen der DSGVO und des BDSG-neu dar.

Was ist der Unterschied zwischen altem und neuem Bundesdatenschutzgesetz?

Das BDSG-neu unterscheidet sich in mehreren Punkten vom BDSG-alt. So gilt das BDSG-neu beispielsweise für alle Firmen, die personenbezogene Daten verarbeiten – und zwar unabhängig von der Unternehmensgröße. Das alte Bundesdatenschutzgesetz bezog sich nur auf Unternehmen mit mehr als neun Beschäftigten.

AUFGEPASST

Zudem sieht das BDSG-neu deutlich höhere Bußgelder vor als sein Vorgänger. Gemäß DSGVO sind Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens möglich – je nachdem, welcher Wert höher ist.

2. BDSG-neu & DSGVO: Unterschiede und Gemeinsamkeiten

Das BDSG-neu und die DSGVO ergänzen sich und können nicht voneinander getrennt betrachtet werden. Beide haben zum Ziel, den Schutz personenbezogener Daten zu gewährleisten. Das BDSG-neu konkretisiert dabei unter anderem die Rechte betroffener Personen und die Pflichten der Verantwortlichen. Auch enthält es eine Reihe neuer Datenschutzregelungen für Unternehmen und stellt sicher, dass Datenschutz in Deutschland einheitlich und rechtskonform umgesetzt wird.

Zu den wichtigsten Gemeinsamkeiten und Unterschiede von DSGVO und BDSG-neu lassen sich folgende Punkte zählen:

  • Was gilt wo: Die DSGVO gilt EU-weit und betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten – unabhängig von ihrem Sitz. Das BDSG-neu hingegen ist auf den nationalen Bereich beschränkt und regelt den Datenschutz in Deutschland. Unternehmen müssen jedoch beide Gesetze beachten, wenn sie personenbezogene Daten verarbeiten.
  • Was steht drin: Das BDSG-neu ergänzt und konkretisiert die Bestimmungen der DSGVO, indem es nationale Anforderungen festlegt. Es enthält z. B. Regelungen zur Datenverarbeitung im Beschäftigungsverhältnis, zum Auskunftsrecht von Betroffenen zum Scoring und Bonitätsauskünften, zu Verbraucherkrediten und zur Videoüberwachung. Diese spezifischen Regelungen sind im BDSG-neu detaillierter geregelt als in der DSGVO.
  • Welche Prinzipien gelten: Sowohl das BDSG-neu als auch die DSGVO basieren auf denselben Grundprinzipien des Datenschutzes, z. B. dem Grundsatz der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und auf Transparenz. Diese Prinzipien sollen sicherstellen, dass personenbezogene Daten rechtmäßig und fair verarbeitet werden.
  • Was wird wie bestraft: Beide Gesetze legen Sanktionen für Verstöße gegen den Datenschutz fest. Das BDSG-neu geht in einigen Fällen über die in der DSGVO vorgesehenen Bußgelder hinaus und sieht z. B eine Freiheitsstrafe von bis zu drei Jahren vor, wenn personenbezogene Daten von einer Vielzahl an Personen ohne Berechtigung wissentlich und gewerbsmäßig an Dritte übermittelt werden.

Das neue Bundesdatenschutzgesetz ergänzt die Datenschutz-Grundverordnung – widersprechen kann es ihr aber nicht. Norm ist die DSGVO: Sie hat im Zweifel rechtlichen Vorrang vor dem BDSG-neu.

3. Welche Rolle spielt das neue Bundesdatenschutzgesetz für Unternehmen?

Ebenso wie die DSGVO hat auch das neue Bundesdatenschutz eine große Relevanz für Unternehmen. Führen Sie ein Unternehmen, spielt es keine Rolle, ob Sie international oder nur in Deutschland tätig sind. Folgende Punkte des BDSG-neu sind für Unternehmer wichtig:

Einsatz von Datenschutzmaßnahmen

Unternehmen sollten geeignete Maßnahmen zur Umsetzung der datenschutzrechtlichen Anforderungen ergreifen, beispielsweise indem sie die eigenen Mitarbeitenden durch Schulungspläne für den Datenschutz sensibilisieren, interne Datenschutzrichtlinien einführen und technische und organisatorische Maßnahmen (TOMs) einsetzen.

Verarbeitet Ihr Unternehmen besonders sensible Daten (z. B. Gesundheitsdaten) oder entstehen durch die Verarbeitung hohe Risiken für die Rechte und Freiheiten der betroffenen Personen (z. B. bei Videoüberwachung), sind Sie darüber hinaus verpflichtet, eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchführen. Anhand einer solchen Risikoanalyse lassen sich die Folgen der Datenverarbeitung abschätzen und geeignete Schutzmaßnahmen ergreifen.

Beschäftigtenschutz

Nicht nur im Außenverhältnis zwischen Unternehmen und Kunden spielt Datenschutz eine wichtige Rolle, sondern auch intern, wenn es um die Daten von Mitarbeitern und Bewerbern geht. Das betrifft nicht nur Lebensläufe und Zeugnisse in Bewerbungsgesprächen, sondern nach der Einstellung sämtliche Daten der Mitarbeiter – sei es die private Adresse, Bankdaten oder Gehaltsinformationen.

Als Arbeitgeber dürfen Sie diese Daten verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Sie sind jedoch verpflichtet, Ihre Mitarbeiter schriftlich über den Zweck dieser Datenerhebung und -verarbeitung aufklären. Außerdem dürfen Sie nur so viele Daten erheben und speichern, wie wirklich notwendig ist.

Benennung eines Datenschutzbeauftragten

  • 38 Abs. 1 BDSG-neu regelt, wann Unternehmen dazu verpflichtet sind, einen Datenschutzbeauftragten gemäß DSGVO zu bestellen. Die Pflicht trifft etwa Firmen, bei denen mindestens 20 Personen dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten (d. h. am Computer) beschäftigt sind.

Verarbeiten Ihre Mitarbeitenden sensible personenbezogene Daten anderer Personen (z. B. über Gesundheit, Religionszugehörigkeit oder politische Einstellungen), entfällt die 20-Personen-Grenze und Sie brauchen in jedem Fall einen Datenschutzbeauftragten in Ihrem Unternehmen. Gleiches gilt, wenn die Kerntätigkeit Ihrer Firma in der Erhebung, Speicherung und Verarbeitung personenbezogener Daten liegt.

GUT ZU WISSEN

Um klein- und mittelständische Unternehmen (KMU) zu entlasten, wurde die ursprünglich im BDSG-neu vorgesehene 10-Personengrenze auf 20 Personen erhöht. Führen Sie ein Unternehmen, sollten Sie jedoch ungeachtet der Anzahl Ihrer Beschäftigten prüfen, ob Sie zur Bestellung eines internen oder externen Datenschutzbeauftragen verpflichtet sind, da auch andere Faktoren eine Pflicht begründen können.

Informationspflichten

Unternehmen müssen betroffene Personen über die Verarbeitung ihrer Daten informieren, beispielsweise über den Zweck der Datenverarbeitung sowie über ihre Betroffenenrechte. Zu diesen Rechten, die auch die DSGVO festhält, zählen u. a. das Recht auf Berichtung und Löschung personenbezogener Daten, auf Auskunft und das Recht auf Datenübertragbarkeit.

Macht eine betroffene Person, beispielsweise ein Kunde, ein Betroffenenrecht geltend, sollte Ihr Unternehmen die Anfrage zeitnah bearbeiten. Verfahren zur Zuordnung und Klassifizierung der betreffenden Daten und Anforderungen an eine datenschutzkonforme und fristgerechte Löschung sollten ebenfalls intern erarbeitet werden.

4. Was passiert bei Verstößen gegen das BDSG-neu?

Verstöße gegen das BDSG-neu können zu harten Sanktionen führen. Die Datenschutzaufsichtsbehörden sind befugt, Datenschutzkontrollen durchzuführen und Bußgelder zu verhängen, die sich nach Art und Schwere des Verstoßes richten.

Neben den bereits empfindlichen DSGVO-Bußgeldern sieht das neue Bundesdatenschutzgesetz Geldbußen in Höhe von bis zu 50.000 Euro vor, wenn Unternehmen beispielsweise auf ein Auskunftsverlangen nicht korrekt reagieren.

Neben den finanziellen Konsequenzen können auch Imageschäden für das Unternehmen entstehen. Im schlimmsten Fall verlieren Kunden, Geschäftspartner und Mitarbeiter das Vertrauen in das Unternehmen und wenden sich ab. Die Einhaltung nationaler und internationaler Datenschutzgesetze bewahrt Sie also nicht nur vor hohen Geldstrafen – sondern auch vor einem Reputationsverlust.

ZUM DATENSCHUTZAUDIT INFORMIEREN

KANZLEI SIEBERT LEXOW LANG

Stellen Sie für Ihr Unternehmen unbedingt sicher, dass die Anforderungen des BDSG-neu und der DSGVO erfüllt sind, da sonst können teure Konsequenzen drohen können. Die Rechtsanwälte der Kanzlei Siebert Lexow Lang unterstützen Sie bei Umsetzung gern.

Benötigt Ihr Unternehmen eine umfangreiche Datenschutzprüfung, empfiehlt sich ein DSGVO-Datenschutzaudit mit persönlicher Beratung und Betreuung Ihres Unternehmens durch erfahrene Datenschutzexperten. Möchten Sie Ihre Firmenwebsite DSGVO-konform und abmahnsicher gestalten, empfehlen wir unseren Website- und DSGVO-Check.

ZUM DATENSCHUTZAUDIT INFORMIEREN

Benötigt Ihr Unternehmen eine umfangreiche Datenschutzprüfung, empfiehlt sich ein DSGVO-Datenschutzaudit mit persönlicher Beratung und Betreuung Ihres Unternehmens durch erfahrene Datenschutzexperten. Möchten Sie Ihre Firmenwebsite DSGVO-konform und abmahnsicher gestalten, empfehlen wir unseren Website- und DSGVO-Check.

 

 

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details