BDSG: Pflichten, Schwellenwerte und Verhältnis zur DSGVO im Überblick

Das Bundesdatenschutzgesetz (BDSG) in der Fassung vom 25. Mai 2018 bildet zusammen mit der Datenschutz-Grundverordnung (DSGVO) das zweistufige Datenschutzrecht in Deutschland. Die DSGVO setzt den europäischen Rahmen; das BDSG nutzt die nationalen Öffnungsklauseln, um Beschäftigtendatenschutz, Videoüberwachung, Scoring und die Bestellpflicht für den betrieblichen Datenschutzbeauftragten spezifisch zu regeln.

Für Unternehmen ab 20 Personen, die personenbezogene Daten verarbeiten, ist § 38 BDSG der wichtigste Paragraph des gesamten Gesetzes: Er verpflichtet zur Bestellung eines Datenschutzbeauftragten. Fehlt diese Urkunde, liegt bereits eine Ordnungswidrigkeit vor – unabhängig davon, ob die Datenverarbeitung im Übrigen beanstandungsfrei ist. Dieser Artikel erklärt Aufbau und Anforderungen des BDSG, die Schnittstelle zur DSGVO und zeigt, wie Unternehmen die Bestellpflicht rechtssicher erfüllen.

Das Bundesdatenschutzgesetz (BDSG) 2018 gliedert sich in drei Teile mit insgesamt 88 Paragrafen. Teil 1 (§§ 1–21) enthält allgemeine Bestimmungen und Grundsätze, die das gesamte Gesetz durchziehen. Besonders relevant ist § 1 Abs. 2 BDSG, der das Verhältnis zur DSGVO klarstellt: Das BDSG gilt ergänzend und modifizierend, nicht verdrängend. Für Unternehmen bedeutet das: Wer die DSGVO einhält, erfüllt damit noch nicht automatisch alle BDSG-Anforderungen.

Teil 2 (§§ 22–44) regelt die Verarbeitung personenbezogener Daten durch private Stellen und öffentliche Stellen des Bundes. Hier finden sich die nationalen Öffnungsklauseln: § 26 BDSG zum Beschäftigtendatenschutz (Art. 88 DSGVO), § 25 BDSG zur Videoüberwachung öffentlich zugänglicher Räume, § 27 BDSG zur wissenschaftlichen Verarbeitung sowie die §§ 32–37 BDSG zu eingeschränkten Betroffenenrechten in bestimmten Konstellationen. Die Öffnungsklauseln sind keine Nachrangigkeit des BDSG, sondern eine bewusste Ausfüllung nationaler Spielräume.

Teil 3 (§§ 45–84) setzt die EU-Richtlinie 2016/680 (JI-Richtlinie) um und gilt für die Datenverarbeitung durch Polizei und Strafverfolgungsbehörden. Für privatwirtschaftliche Unternehmen hat Teil 3 keine unmittelbare Relevanz. Ausnahmen gelten für private Sicherheitsdienstleister, die im Auftrag von Behörden tätig werden.

Für Unternehmen im Mittelstand sind die §§ 26, 38 und 43 BDSG die meistgeprüften Normen. § 38 bestimmt die Bestellpflicht, § 43 den Bußgeldrahmen. Wer beide kennt, dokumentiert und einen benannten DSB vorweisen kann, legt die Grundlage für einen rechtssicher bestellten Datenschutzbeauftragten. Der Prüfer ruft an, der Nachweis liegt bereit.

§ 38 Abs. 1 BDSG verpflichtet Unternehmen zur Benennung eines Datenschutzbeauftragten, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Der Schwellenwert bezieht sich auf die Zahl der mit Datenverarbeitung befassten Personen, nicht auf die Gesamtbelegschaft. Wer 18 Büromitarbeitende mit Zugang zu CRM, ERP und E-Mail hat, liegt schnell über dem Schwellenwert – ein Irrtum, der in Prüfverfahren häufig vorkommt.

Daneben gilt die Bestellpflicht nach § 38 Abs. 1 S. 2 BDSG unabhängig von der Beschäftigtenzahl, wenn das Unternehmen Datenverarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bedürfen. Die Aufsichtsbehörden veröffentlichen Listen mit Verarbeitungstypen, die regelmäßig eine DSFA erfordern. Typische Auslöser sind: systematisches Profiling, biometrische Verarbeitung im großen Umfang und weitreichende Überwachungssysteme.

Die Bestellpflicht nach Art. 37 DSGVO greift zusätzlich für bestimmte Kategorien unabhängig von Schwellenwerten: öffentliche Stellen, Unternehmen mit umfangreicher Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO sowie Unternehmen, die Personen systematisch im großen Umfang beobachten. In der Praxis ist für mittelständische private Unternehmen häufig die § 38-Schwelle der maßgebliche Auslöser.

Entscheidend ist die Dokumentation: § 38 BDSG verlangt keine besondere Schriftform, aber aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO muss die Bestellung nachweisbar sein. Die Aufsichtsbehörden erwarten eine datierte, unterzeichnete Bestellurkunde mit Rollenbezeichnung und Berichtslinie. Bestellurkunde, unterschrieben, abgelegt, belegbar.

§ 5 BDSG regelt die Benennung des Datenschutzbeauftragten und verweist auf Art. 37–39 DSGVO. Der DSB muss über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen, wie Art. 37 Abs. 5 DSGVO vorschreibt. Das BDSG präzisiert diese Anforderung nicht weiter; die Datenschutzkonferenz (DSK) hat jedoch Orientierungshilfen veröffentlicht, die Kenntnisse in Datenschutzrecht, IT-Sicherheit und dem spezifischen betrieblichen Umfeld eines Unternehmens fordern. Fehlende Qualifikation kann zur Unwirksamkeit der Bestellung führen.

§ 6 BDSG stellt sicher, dass der DSB nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden darf. Dieser Abberufungsschutz gilt auch für externe DSB, die über einen Dienstleister bestellt werden. Ein Unternehmen darf seinen externen DSB nicht kündigen, weil dieser unbequeme datenschutzrechtliche Feststellungen trifft. Eine Kündigung aus diesem Grund ist unwirksam und kann selbst zu einem Bußgeldverfahren führen.

§ 7 BDSG ermöglicht die Benennung einer Gruppe als gemeinsame Datenschutzbeauftragte. Diese Konstellation ist in Konzernen relevant, in denen mehrere Tochtergesellschaften einen gemeinsamen DSB benennen wollen. Jede beteiligte Gesellschaft bleibt dabei eigenständig verantwortlich; der gemeinsame DSB darf keine unauflösbaren Interessenkonflikte zwischen den Gesellschaften begründen.

Für Unternehmen ohne eigene datenschutzkonforme Fachkraft bietet ein externer DSB die praktische Alternative: Qualifikation, strukturelle Unabhängigkeit und Bestellnachweis ohne internen Interessenkonflikt. Der externe Datenschutzbeauftragte über CIVAC bringt alle formalen Voraussetzungen mit und wird innerhalb von zwei Werktagen schriftlich bestellt.

§ 26 BDSG ist die nationale Öffnungsklausel zu Art. 88 DSGVO und regelt die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis. Die Norm erlaubt die Verarbeitung, wenn sie zur Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist oder die betroffene Person wirksam eingewilligt hat. Beides setzt eine explizite Interessenabwägung und deren schriftliche Dokumentation voraus.

Für die Praxis bedeutet dies: Lohnabrechnung, Personalakte, Krankmeldungserfassung und Leistungsbeurteilung sind in der Regel nach § 26 Abs. 1 BDSG zulässig, soweit das Minimalprinzip nach Art. 5 Abs. 1 lit. c DSGVO eingehalten wird. Problematisch werden Keylogger, permanente E-Mail-Überwachung oder GPS-Tracking ohne transparente und dokumentierte Rechtsgrundlage. Auch das Auslesen privater Gerätedaten auf Firmentelefonen ist ohne klare Grundlage unzulässig.

Besonders sensibel ist die Verarbeitung von Gesundheitsdaten der Beschäftigten, zum Beispiel im betrieblichen Eingliederungsmanagement (BEM) oder bei der Erfassung krankheitsbedingter Fehlzeiten. § 26 Abs. 3 BDSG fordert angemessene Schutzmaßnahmen und eine dokumentierte Erforderlichkeitsprüfung. Diese Dokumentation gehört in das Verarbeitungsverzeichnis nach Art. 30 DSGVO.

Der Datenschutzbeauftragte hat nach Art. 39 DSGVO die Aufgabe, das Unternehmen in Fragen des § 26 BDSG zu beraten und die Einhaltung laufend zu überwachen. Unternehmen ohne benannten DSB fehlt dieser Kontrollpunkt; Betriebsvereinbarungen zur IT-Nutzung oder Videoüberwachung werden dann ohne datenschutzrechtliche Qualitätsprüfung abgeschlossen. Solche Vereinbarungen können rückwirkend beanstandet werden.

Das Verhältnis zwischen BDSG und DSGVO folgt dem Anwendungsvorrang des Unionsrechts: Wo die DSGVO abschließend regelt, darf das BDSG nicht abweichen. Wo die DSGVO nationalen Spielraum lässt, füllt das BDSG diese Lücken mit deutschen Regelungen, die mit dem Unionsrecht vereinbar sein müssen. Dieses Prinzip ist im deutschen Datenschutzrecht gelegentlich Quelle von Auslegungsunsicherheiten.

Deutschland hat 22 Öffnungsklauseln der DSGVO genutzt. Die bedeutsamsten sind: Beschäftigtendatenschutz (Art. 88 DSGVO → § 26 BDSG), Verarbeitung zu wissenschaftlichen Zwecken (Art. 89 DSGVO → § 27 BDSG), Sonderregelungen für öffentliche Stellen (Art. 6 Abs. 2 DSGVO → §§ 3, 22 BDSG) sowie Einschränkungen von Betroffenenrechten in Ausnahmefällen (§§ 32–37 BDSG). Jede dieser Klauseln kann im Unternehmensalltag relevant werden.

In der Praxis entstehen Spannungen vor allem bei der Auslegung des § 26 BDSG: Arbeitsgerichte und Datenschutzbehörden legen diese Norm manchmal unterschiedlich aus. Im Zweifel hat die DSGVO Vorrang; § 26 BDSG gilt nur, soweit er mit ihr vereinbar ist. Der Europäische Gerichtshof hat in mehreren Entscheidungen klargestellt, dass nationale Öffnungsklauseln das DSGVO-Schutzniveau nicht absenken dürfen.

Für Compliance-Verantwortliche gilt daher: DSGVO und BDSG sind gemeinsam zu lesen und gemeinsam umzusetzen. Ein Verarbeitungsverzeichnis nach Art. 30 DSGVO muss auch die nationalen Rechtsgrundlagen aus dem BDSG ausweisen. Der DSB prüft beides und hält den Stand aktuell. Fehlt er, fehlt der Prüfpunkt. Frist läuft ab Kenntnis.

Das BDSG sieht in § 43 Abs. 1 und 2 eigene Bußgeldtatbestände vor, die unabhängig von den DSGVO-Bußgeldern gelten. § 43 Abs. 1 BDSG ahndet leichtere Verstöße – etwa unzulässige Erhebung, fehlende Benachrichtigung oder unzureichende technische und organisatorische Maßnahmen – mit bis zu 50.000 Euro. § 43 Abs. 2 BDSG sanktioniert schwerwiegende Verstöße, etwa unbefugte Übermittlung oder die Verarbeitung zu sachfremden Zwecken, mit bis zu 300.000 Euro.

Daneben gelten die Bußgeldrahmen des Art. 83 DSGVO: Verstöße gegen Grundprinzipien, Betroffenenrechte oder internationale Übermittlungen können bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes betragen. Die fehlende oder fehlerhafte Bestellung eines DSB nach § 38 BDSG ist ein sanktionsfähiger Tatbestand nach Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeldrahmen bis 10 Mio. Euro oder 2 % des Jahresumsatzes.

Die Aufsichtsbehörden koordinieren sich über die Datenschutzkonferenz (DSK) und tauschen Verfahren aus. Bußgeldverfahren werden nicht nur nach Beschwerden eingeleitet; Behörden prüfen auch anlasslos, etwa nach öffentlich bekannt gewordenen Datenpannen oder bei sektoriellen Schwerpunktprüfungen.

Entscheidend für die Bußgeldhöhe ist neben der Schwere des Verstoßes die Qualität der Dokumentation. Wer Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) nicht erfüllt, trägt im Bußgeldverfahren faktisch die Beweislast. Unternehmen mit vollständigem Audit-Trail und belegbarer Bestellurkunde werden in der Praxis milder beurteilt.

Art. 33 DSGVO verpflichtet Verantwortliche zur Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden. Die Meldepflicht besteht, wenn die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Das BDSG enthält keine abweichende nationale Regelung; die 72-Stunden-Frist gilt uneingeschränkt für alle privaten verantwortlichen Stellen in Deutschland.

Die Meldung muss nach Art. 33 Abs. 3 DSGVO mindestens enthalten: Art der Verletzung, Kategorien und ungefähre Zahl betroffener Personen, wahrscheinliche Folgen sowie ergriffene oder geplante Abhilfemaßnahmen. Wenn zum Zeitpunkt der Meldung noch nicht alle Informationen vorliegen, kann sie nach Erwägungsgrund 85 DSGVO in mehreren Schritten nachgereicht werden. Diese schrittweise Meldung befreit jedoch nicht von der Anfangsmeldung innerhalb der Frist.

Frist läuft ab Kenntnis. Die 72-Stunden-Frist beginnt nicht mit dem technischen Sicherheitsvorfall, sondern mit dem Moment, in dem eine verantwortliche Person den Vorfall als meldepflichtige Datenpanne einordnet. Deshalb sind klare interne Eskalationsregeln und ein namentlich benannter Ansprechpartner entscheidend. Unternehmen ohne DSB laufen Gefahr, dass der Zeitpunkt der Kenntnis später liegt als der tatsächliche Beginn der Frist.

Zusätzlich kann Art. 34 DSGVO eine Benachrichtigungspflicht gegenüber betroffenen Personen auslösen, wenn hohes Risiko besteht. Der extern bestellte Datenschutzbeauftragte über CIVAC übernimmt die Koordination: Sachverhaltsklärung, Risikoeinschätzung, Behördenmeldung und interne Kommunikation.

§ 38 BDSG und Art. 37 DSGVO erlauben sowohl interne als auch externe Datenschutzbeauftragte. Die Entscheidung hängt von vier Kriterien ab: Fachwissen, Unabhängigkeit, Kapazität und Kosten. Wer alle vier ehrlich bewertet, kommt in vielen Fällen zu dem Ergebnis, dass ein externer DSB die sicherere und oft kostengünstigere Lösung darstellt.

Fachwissen: Ein interner DSB muss die wesentlichen Normen kennen und laufend aktualisieren. Da das Datenschutzrecht sich durch neue Behördenentscheidungen, EuGH-Urteile und sich verändernde Verarbeitungsformen ständig fortentwickelt, ist kontinuierliche Weiterbildung Pflicht – intern ist das oft schwer zu gewährleisten, weil Tagesgeschäft und DSB-Funktion um dieselbe Kapazität konkurrieren.

Unabhängigkeit: Art. 38 Abs. 6 DSGVO verbietet den Interessenkonflikt. Ein IT-Leiter, der gleichzeitig die verarbeitende IT-Infrastruktur verantwortet, kann nicht unabhängiger DSB sein. Die Aufsichtsbehörden haben mehrfach solche Doppelfunktionen beanstandet und die Bestellung für unwirksam erklärt. Externe DSB sind per Konstruktion weisungsfrei.

Kapazität: Der DSB muss ausreichend Zeit für seine Aufgaben haben (Art. 38 Abs. 2 DSGVO). Verarbeitungsverzeichnis, DSFA-Prüfungen, Schulungsplanung und Datenpannen-Bearbeitung erfordern in einem mittelständischen Unternehmen typischerweise 20–40 % einer Vollzeitstelle. CIVAC bietet beide Wege als Compliance-Plattform und Officer-as-a-Service: Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. Die Entscheidung kann auch rollensweise getroffen werden und jederzeit angepasst werden, wenn sich die interne Qualifikationssituation ändert.

BDSG-Konformität ist kein einmaliges Projekt, sondern eine laufende Betriebspflicht. Das Verarbeitungsverzeichnis nach Art. 30 DSGVO muss aktuell gehalten werden; neue Verarbeitungen erfordern eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, wenn sie ein hohes Risiko aufweisen. Einwilligungsprozesse müssen den Anforderungen des Art. 7 DSGVO genügen; technische und organisatorische Maßnahmen sind nach dem Stand der Technik fortzuschreiben und regelmäßig zu überprüfen. Das sind keine optionalen Aufgaben, sondern Pflichten mit Bußgeldrelevanz.

Der DSB übernimmt nach Art. 39 DSGVO die Überwachung dieser Aufgaben, berät die Geschäftsleitung und ist Anlaufstelle für Aufsichtsbehörden. Für Unternehmen, die den DSB intern führen, bietet der CIVAC-Workspace eine strukturierte Aufgabenliste mit Fälligkeiten, 37 vorbereiteten Audit-Vorlagen und einem KI-Assistenten, der Normanfragen mit Confidence Score und Quellenangabe beantwortet.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der CIVAC-Workspace automatisiert wiederkehrende Cadences, protokolliert jeden Schritt im Audit-Trail und exportiert den Jahresbericht auf Anfrage. Der Prüftermin kommt, der Bericht steht.

Für Unternehmen, die keinen qualifizierten internen DSB benennen können oder wollen, übernimmt CIVAC die externe Bestellung als Compliance-Plattform und Officer-as-a-Service. Vertrag, Bestellurkunde und Workspace-Aktivierung in zwei Werktagen – auditfest, dokumentiert und § 38 BDSG-fest.

Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de, um die DSB-Bestellung oder eine Workspace-Lizenz für Ihren internen Beauftragten zu besprechen.