Häufige Fragen zum Bundesdatenschutzgesetz (BDSG)

Datenschutz und Datensicherheit sind im Hinblick auf die moderne Kommunikations- und Informationsgesellschaft, sowie den wachsenden wirtschaftlichen Wert von personenbezogenen Daten, wichtige Grundpfeiler im Unternehmen.

Aufgrund des ständigen Wachstums und der Ansammlung von personenbezogenen Daten und der daraus resultierenden steigenden Gefahr von Missbrauch wurde vom Gesetzgeber das Bundesdatenschutzgesetz (BDSG) erlassen. Die Regelungen des BDSG wurden zuletzt 2009 angepasst und alle Übergangsfristen (insbesondere die Nutzung von Daten zu Werbezwecken) sind am 31.08.2012 ausgelaufen.

Fragen und Antworten

Für wen gilt das Bundesdatenschutzgesetz?

Personenbezogene Daten sind Informationen über sachliche oder persönliche Verhältnisse, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen bzw. die sich auf eine natürliche Person zurückführen lassen.
Zu diesen Informationen zählen unter anderem der Name, die Anschrift, die persönliche Telefonnummer, aber auch die Firmenzugehörigkeit oder die E-Mail-Adresse, bzw. alle Personaldaten.

Personenbezogene Daten sind Informationen über sachliche oder persönliche Verhältnisse, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen bzw. die sich auf eine natürliche Person zurückführen lassen.
Zu diesen Informationen zählen unter anderem der Name, die Anschrift, die persönliche Telefonnummer, aber auch die Firmenzugehörigkeit oder die E-Mail-Adresse, bzw. alle Personaldaten.

Gemäß §1 Abs. 2 Nr. 3 BDSG gilt das Bundesdatenschutzgesetz (BDSG) unter anderem für alle nicht öffentlichen Stellen, dazu zählen alle

• juristischen Personen (GmbHs, AGs, Vereine etc.)
• Personengesellschaften (GBRs, KGs etc.)
• nicht rechtsfähigen Vereinigungen (politischen Parteien, Gewerkschaften etc.)
• aber auch natürliche Personen wie Ärzte, Steuerberater etc. soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben.
• Das BDSG findet nur dann keine Anwendung, wenn weniger als 9 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Gemäß §1 Abs. 2 Nr. 3 BDSG gilt das Bundesdatenschutzgesetz (BDSG) unter anderem für alle nicht öffentlichen Stellen, dazu zählen alle

• juristischen Personen (GmbHs, AGs, Vereine etc.)
• Personengesellschaften (GBRs, KGs etc.)
• nicht rechtsfähigen Vereinigungen (politischen Parteien, Gewerkschaften etc.)
• aber auch natürliche Personen wie Ärzte, Steuerberater etc. soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben.

Das BDSG findet nur dann keine Anwendung, wenn weniger als 9 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Wer muss nach dem BDSG einen Datenschutzbeauftragten bestellen?

Nach dem BDSG haben Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich zu bestellen.
Eine Verarbeitung personenbezogener Daten liegt auch dann vor, wenn die Mitarbeiter z.B. ein Mail System nutzen (Adressbuch) oder auch nur Kassensysteme (POS Terminals) bedienen.

Nach dem BDSG haben Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich zu bestellen.
Eine Verarbeitung personenbezogener Daten liegt auch dann vor, wenn die Mitarbeiter z.B. ein Mail System nutzen (Adressbuch) oder auch nur Kassensysteme (POS Terminals) bedienen.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen über sachliche oder persönliche Verhältnisse, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen bzw. die sich auf eine natürliche Person zurückführen lassen.
Zu diesen Informationen zählen unter anderem der Name, die Anschrift, die persönliche Telefonnummer, aber auch die Firmenzugehörigkeit oder die E-Mail-Adresse, bzw. alle Personaldaten.

Personenbezogene Daten sind Informationen über sachliche oder persönliche Verhältnisse, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen bzw. die sich auf eine natürliche Person zurückführen lassen.
Zu diesen Informationen zählen unter anderem der Name, die Anschrift, die persönliche Telefonnummer, aber auch die Firmenzugehörigkeit oder die E-Mail-Adresse, bzw. alle Personaldaten.

Was muss bei personenbezogenen Daten beachtet werden?

Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist gem. §4 BDSG generell nur dann gestattet, wenn ein Gesetz es vorsieht oder der Betroffene sein ausdrückliches Einverständnis erklärt hat. Man spricht hier auch von einem Verbot mit Erlaubnisvorbehalt.

Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist gem. §4 BDSG generell nur dann gestattet, wenn ein Gesetz es vorsieht oder der Betroffene sein ausdrückliches Einverständnis erklärt hat. Man spricht hier auch von einem Verbot mit Erlaubnisvorbehalt.

Was muss bei der Bestellung eines Datenschutzbeauftragten (DSB) berücksichtigt werden?

• Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
• Der DSB muss, um dem Gesetz gerecht zu werden, über ausreichendes juristisches Spezialwissen (Datenschutzrecht), allgemeine Kenntnisse über das Unternehmen, als auch über eine ausreichende IT-Fachkompetenz verfügen. Über diese Kenntnisse ist ein fortlaufender Nachweis zu führen.
• Auf dem Gebiet des Datenschutzes muss der DSB weisungsfrei sein.
• Bei Personen der Geschäftsleitung, IT-Leitern und Administratoren wird in der Regel von einem Interessenkonflikt zu den Aufgaben eines DSBs ausgegangen. Diese sollen daher nicht zum Datenschutzbeauftragten bestellt werden.
• Wird ein interner Mitarbeiter zum DSB bestellt, so gilt für ihn ein erweiterter Kündigungsschutz.
• Das Gesetz sieht aber ausdrücklich auch die Möglichkeit vor, die Aufgabe an einen externen Datenschutzbeauftragten zu vergeben.
• Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
• Der DSB muss, um dem Gesetz gerecht zu werden, über ausreichendes juristisches Spezialwissen (Datenschutzrecht), allgemeine Kenntnisse über das Unternehmen, als auch über eine ausreichende IT-Fachkompetenz verfügen. Über diese Kenntnisse ist ein fortlaufender Nachweis zu führen.
• Auf dem Gebiet des Datenschutzes muss der DSB weisungsfrei sein.
• Bei Personen der Geschäftsleitung, IT-Leitern und Administratoren wird in der Regel von einem Interessenkonflikt zu den Aufgaben eines DSBs ausgegangen. Diese sollen daher nicht zum Datenschutzbeauftragten bestellt werden.
• Wird ein interner Mitarbeiter zum DSB bestellt, so gilt für ihn ein erweiterter Kündigungsschutz.
• Das Gesetz sieht aber ausdrücklich auch die Möglichkeit vor, die Aufgabe an einen externen Datenschutzbeauftragten zu vergeben.

Was passiert, wenn die gesetzlichen Regelungen nicht umgesetzt werden?

Bei Nichtbefolgung der gesetzlichen Regelungen, z.B. der Bestellfrist des DSB, kann dies mit einem Bußgeld von bis zu EUR 50.000,- geahndet werden (vgl. §43 I BDSG).
Werden die gesetzlichen Bestimmungen vorsätzlich missachtet, droht im Schadensfall sogar ein Bußgeld von bis zu EUR 300.000,- (vgl. §43 II BDSG).

Bei Nichtbefolgung der gesetzlichen Regelungen, z.B. der Bestellfrist des DSB, kann dies mit einem Bußgeld von bis zu EUR 50.000,- geahndet werden (vgl. §43 I BDSG).
Werden die gesetzlichen Bestimmungen vorsätzlich missachtet, droht im Schadensfall sogar ein Bußgeld von bis zu EUR 300.000,- (vgl. §43 II BDSG).