Bundesdatenschutzgesetz 2026: Pflichten, Schwellen, Bestellurkunde

Das Bundesdatenschutzgesetz (BDSG) ist in seiner aktuellen Fassung seit dem 25. Mai 2018 in Kraft und ergänzt die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) um nationale Öffnungsklauseln. Es regelt unter anderem die Bestellpflicht für Datenschutzbeauftragte in § 38 Abs. 1 BDSG, den Beschäftigtendatenschutz in § 26 BDSG sowie die Sanktionen in Verbindung mit Art. 83 DSGVO und § 43 BDSG. Wer in Deutschland personenbezogene Daten verarbeitet, kommt am BDSG nicht vorbei, auch dann nicht, wenn der Unternehmenssitz im Ausland liegt und nur das Marktortprinzip nach Art. 3 Abs. 2 DSGVO greift.

Dieser Beitrag ordnet das BDSG aus operativer Sicht ein. Welche Schwellenwerte lösen welche Pflicht aus, welche Nachweise verlangt eine Aufsichtsbehörde im Fall einer anlassbezogenen Prüfung, und wo unterscheidet sich Deutschland von anderen EU-Mitgliedstaaten. Sie erhalten konkrete Anhaltspunkte zur Bestellung eines Datenschutzbeauftragten, zur Führung des Verarbeitungsverzeichnisses nach Art. 30 DSGVO sowie zur 72-Stunden-Meldefrist bei Datenpannen nach Art. 33 DSGVO. Im Schlussteil zeigen wir, wie sich diese Pflichten als Plattform-Aufgabe abbilden lassen, statt als loser Aktenordner aus dem letzten Jahrzehnt. Sie lesen einen Praxisleitfaden, kein Rechtsgutachten, aber jede Aussage ist mit Paragrafen oder ISO-Referenz belegt.

Die DSGVO gilt unmittelbar in allen EU-Mitgliedstaaten und hat als Verordnung Vorrang vor nationalem Recht. Das Bundesdatenschutzgesetz nutzt jedoch die Öffnungsklauseln, die die DSGVO ausdrücklich vorsieht. Dazu zählen die Bestellpflicht für Datenschutzbeauftragte in § 38 BDSG (Öffnung über Art. 37 Abs. 4 DSGVO), der Beschäftigtendatenschutz in § 26 BDSG (Öffnung über Art. 88 DSGVO), Sondertatbestände für Videoüberwachung in § 4 BDSG sowie die Verarbeitung besonderer Kategorien personenbezogener Daten in § 22 BDSG. Auch Vorschriften zu Scoring (§ 31 BDSG), zur Datenübermittlung an öffentliche Stellen (§§ 23, 24 BDSG) und zur Berichtigung archivierter Bestände (§ 35 BDSG) sind nationale Konkretisierungen.

Für die Praxis heißt das: Eine reine DSGVO-Konformitätsprüfung greift in Deutschland zu kurz. Wer ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führt, muss zugleich prüfen, ob § 38 BDSG greift, ob § 26 BDSG die Rechtsgrundlage für die Beschäftigtenverarbeitung trägt und ob Schweigepflichten nach § 203 StGB berührt sind. Auch die Sanktionen verteilen sich auf zwei Welten. Die Bußgelder folgen weitgehend Art. 83 DSGVO, das BDSG ergänzt eigene Ordnungswidrigkeiten in § 43 BDSG, etwa bei unbefugter Übermittlung nicht offenkundiger personenbezogener Daten oder bei Verstößen gegen Auskunftsrechte.

Eine fundierte Datenschutzorganisation kennt diese Verzahnung und dokumentiert sie. CIVAC stellt dafür Audit-Vorlagen bereit, die Pflichten aus DSGVO und BDSG in einer einzigen Nachweismatrix verknüpfen. So sehen Auditierende auf einen Blick, welche Maßnahme welche Norm bedient, ohne dass eine zweite Excel-Tabelle gepflegt werden muss. Mehr zur Rolle finden Sie auf der Seite externer Datenschutzbeauftragter, eine Übersicht aller Rollen auf civac.de/de/roles. Praktisch relevant ist auch die Abgrenzung zur ePrivacy-Richtlinie und zum TTDSG, die für Cookies und Trackingdienste vorrangig sind. Wer nur die DSGVO im Blick hat, übersieht regelmäßig die TTDSG-Einwilligung nach § 25 TTDSG, die unabhängig vom Bezug zu personenbezogenen Daten ausgelöst werden kann.

Nach § 38 Abs. 1 Satz 1 BDSG bestellen Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Die Schwelle gilt kumulativ für Voll- und Teilzeitkräfte, freie Mitarbeitende, Praktikantinnen und Praktikanten sowie Leiharbeitskräfte, sofern sie regelmäßig in Datenverarbeitungsprozessen tätig sind. Reine Lesezugriffe auf E-Mail-Postfächer, CRM-Systeme oder Bewerberdatenbanken zählen mit. Maßgeblich ist nicht die Vertragsform, sondern die tatsächliche Tätigkeit am Datensatz.

Unabhängig von der 20-Personen-Schwelle besteht die Bestellpflicht nach § 38 Abs. 1 Satz 2 BDSG zwingend in drei Fallgruppen. Erstens, wenn die Verarbeitung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegt, etwa bei großflächiger Profilbildung oder Verarbeitung sensibler Daten. Zweitens, wenn besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO gewerbsmäßig verarbeitet werden, etwa Gesundheitsdaten durch Praxen oder Pflegedienste. Drittens, wenn Daten zum Zweck der geschäftsmäßigen Übermittlung, der anonymisierten Übermittlung oder der Markt- und Meinungsforschung verarbeitet werden. Sektorale Pflichten, etwa für Berufsgeheimnisträger nach § 203 StGB, bleiben daneben bestehen.

Die Bestellung erfolgt schriftlich durch eine Bestellurkunde, in der Aufgaben nach Art. 39 DSGVO, Weisungsfreiheit nach Art. 38 Abs. 3 DSGVO und Berichtslinie an die Geschäftsleitung dokumentiert sind. CIVAC liefert die Urkunde im Workspace als versionierte Vorlage, inklusive Eskalationsmatrix, jährlicher Bestätigung der Aufgabenwahrnehmung und Stellvertretungsregelung. Bestellurkunde, unterschrieben, abgelegt, belegbar. So liegt im Audit der Nachweis sofort bereit, ohne dass Aktenordner gesucht oder Mailthreads durchforstet werden müssen. Wichtig ist auch die Meldung der Kontaktdaten an die Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO, sowie die öffentliche Bekanntgabe etwa im Impressum oder in der Datenschutzerklärung.

Drei Pflichten beschäftigen jeden Datenschutzbeauftragten dauerhaft, unabhängig von Branche und Größe. Erstens das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Es führt jede Verarbeitung mit Zweck, Rechtsgrundlage, Datenkategorien, Empfängern, Speicherfristen und technisch-organisatorischen Maßnahmen. Die Pflicht greift bereits unterhalb von 250 Beschäftigten, sobald regelmäßig oder mit Risiko verarbeitet wird (Art. 30 Abs. 5 DSGVO). In der Praxis enthält ein mittleres Unternehmen 30 bis 80 Verarbeitungen, ein Konzern dreistellige Volumina.

Zweitens die Auftragsverarbeitung nach Art. 28 DSGVO. Jeder externe Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, braucht einen schriftlichen Vertrag mit den Mindestinhalten aus Art. 28 Abs. 3 DSGVO. Cloud-Anbieter, Lohnbuchhaltung, Newsletter-Tools, Helpdesk-Systeme, Recruiting-Software, ja sogar das externe Schredderunternehmen fallen darunter. Drittlandtransfers benötigen zusätzlich Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) und ein dokumentiertes Transfer Impact Assessment. Wer Hyperscaler nutzt, muss zudem die Behördenzugriffe im jeweiligen Drittland prüfen.

Drittens die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO. Verschlüsselung, Pseudonymisierung, Verfügbarkeit, Belastbarkeit und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit gehören zur Pflicht. Wer ein ISMS nach ISO/IEC 27001:2022 mit den 93 Controls aus Anhang A betreibt, deckt die TOMs strukturell ab. Die CIVAC-Plattform verknüpft beide Welten in einer einzigen Maßnahmenliste und macht die Wirksamkeit prüfbar, mit Verantwortlichen, Stichtagen und Audit-Status. Für die operative Tiefe lohnt ein Blick auf die CIVAC-FAQ, in der die häufigsten Auditfragen vorbereitet sind. Daneben sind Sektorvorgaben zu beachten, etwa der BSI-Grundschutz für KRITIS-Sektoren, die ISO/IEC 27017 für Cloud-Sicherheit oder die TISAX-Anforderungen für die Automobilindustrie. Diese Frameworks überschneiden sich inhaltlich mit den TOMs nach Art. 32 DSGVO und sollten in einer gemeinsamen Maßnahmenmatrix gepflegt werden, sonst entsteht Mehrfachaufwand.

Die Bußgeldhöhen ergeben sich aus Art. 83 DSGVO. Für die meisten Verstöße greift Stufe eins bis 10 Mio. Euro oder 2 Prozent des weltweiten Vorjahresumsatzes, etwa bei Verstößen gegen Auftragsverarbeitung oder Pflichten von Auftragsverarbeitern selbst. Für Kernverstöße wie fehlende Rechtsgrundlage, Verletzung der Betroffenenrechte oder Missachtung der Anordnungen der Aufsicht greift Stufe zwei bis 20 Mio. Euro oder 4 Prozent. Maßgeblich ist der höhere Betrag. § 43 BDSG ergänzt nationale Ordnungswidrigkeiten, etwa bei unbefugter Übermittlung nicht öffentlich zugänglicher Daten oder beim Erschleichen personenbezogener Daten unter Vortäuschung falscher Tatsachen.

Aufsichtsbehörde ist in Deutschland zuständigkeitshalber die jeweilige Landesdatenschutzbehörde (LfDI Baden-Württemberg, BayLDA, LDI NRW und so weiter), in Sektoren wie Telekommunikation oder Post der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Aufsichtsmaßnahmen reichen von Auskunftsersuchen über Anordnungen bis zur Aussetzung von Verarbeitungen (Art. 58 DSGVO). Persönlich haftet die Geschäftsleitung nach § 130 OWiG bei Aufsichtspflichtverletzungen, zivilrechtlich nach Art. 82 DSGVO gegenüber Betroffenen, dazu kommen Reputations- und Anlegerrisiken bei börsennotierten Unternehmen.

Wichtig ist die Beweislastumkehr nach Art. 24 DSGVO: Der Verantwortliche muss nachweisen, dass die Verarbeitung rechtmäßig ist. Ohne saubere Dokumentation wird das Verfahren teuer, weil die Aufsicht die fehlenden Nachweise zulasten des Unternehmens würdigt. Die CIVAC-Plattform protokolliert jede Maßnahme mit Zeitstempel, Verantwortlichem und Freigabe, damit der Prüfer ruft, der Nachweis liegt bereit. Eine Übersicht aller Beauftragten-Rollen, die die Geschäftsleitung entlasten, finden Sie unter civac.de/de/roles. Faktisch zeigt die Bußgeldpraxis der letzten Jahre, dass nicht der eine spektakuläre Vorfall die größten Summen kostet, sondern wiederholte Verstöße gegen Auskunfts- und Löschpflichten, fehlende Auftragsverarbeitungsverträge sowie eine schlecht dokumentierte Aufsichtskommunikation.

Eine Datenpanne, fachsprachlich eine Verletzung des Schutzes personenbezogener Daten, ist gemäß Art. 4 Nr. 12 DSGVO jede Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt. Verschlüsselte Notebooks, die gestohlen werden, gehören dazu, ebenso falsch adressierte Sammel-Mails mit offenem Empfängerverteiler, Phishing-erbeutete Zugangsdaten, defekte Backups mit Personenbezug oder ein Ransomware-Vorfall mit Verschlüsselung produktiver Datenbestände. Auch die versehentliche Veröffentlichung von Bewerbungsunterlagen auf einer öffentlichen Stelle zählt.

Die Meldepflicht greift ab Kenntnis durch den Verantwortlichen. Frist läuft ab Kenntnis. Innerhalb von 72 Stunden ist die zuständige Aufsichtsbehörde zu informieren (Art. 33 DSGVO), bei voraussichtlich hohem Risiko für die Rechte und Freiheiten der Betroffenen zusätzlich diese unverzüglich (Art. 34 DSGVO). Die Meldung muss Art und Umfang der Verletzung, Kategorien und ungefähre Zahl der Betroffenen, Kategorien und ungefähre Zahl personenbezogener Datensätze, voraussichtliche Folgen und ergriffene oder vorgeschlagene Maßnahmen enthalten. Eine spätere oder gestaffelte Meldung ist möglich, muss aber im Meldetext mit Gründen dokumentiert sein.

Der operative Engpass liegt selten am Formular, sondern am Erkennen, Eskalieren und Entscheiden in den ersten 24 Stunden. Wer die Pannen-Pfade als Workflow in eine Plattform einzieht, mit Rollen, SLA-Uhr, Vorlagen-Texten und einer revisionssicheren Ablage, hält die Frist auch dann, wenn Freitagabend gemeldet wird. CIVAC bildet den Meldepfad als geführten Workflow ab und produziert die Meldebescheinigung im Anschluss als revisionssichere PDF, inklusive interner Dokumentation für die Aufsicht und die Geschäftsleitung. Wer parallel NIS-2-Pflichten erfüllt, kann den gleichen Vorfall ohne Doppelerfassung in beide Meldepfade geben, denn die 24/72-Logik nach BSIG und die 72-Stunden-Logik nach Art. 33 DSGVO laufen ab Kenntnis.

§ 26 BDSG erlaubt die Verarbeitung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses, soweit sie erforderlich ist. Erforderlich heißt: ohne die Verarbeitung wäre die Aufgabe nicht oder nur mit unverhältnismäßigem Aufwand erfüllbar. Die Norm trägt von der Bewerberauswahl über Gehaltsabrechnung, Zeiterfassung, Leistungsbewertung, Krankheitsmanagement und Nutzung dienstlicher IT bis zur Aktenführung nach Austritt aus dem Unternehmen. Sie greift sowohl für klassische Arbeitsverhältnisse als auch für arbeitnehmerähnliche Personen und Auszubildende.

In der Praxis ergeben sich vier Stolperstellen. Erstens das Thema Einwilligung im Arbeitsverhältnis: Wegen des Abhängigkeitsverhältnisses ist Freiwilligkeit nicht selbstverständlich, was § 26 Abs. 2 BDSG ausdrücklich adressiert und damit das EuGH-Urteil zum hessischen Datenschutzgesetz teilweise auffängt. Zweitens die Mitarbeiter-Überwachung, etwa Browser-Logs, E-Mail-Scans, GPS auf Dienstfahrzeugen oder Tastatur-Analytik im Homeoffice: Diese sind nur unter strengen Voraussetzungen und meist nach Betriebsratsbeteiligung nach § 87 Abs. 1 Nr. 6 BetrVG zulässig. Drittens die Aufbewahrungsfristen: Arbeitsverträge mindestens 10 Jahre wegen § 257 HGB, Lohnunterlagen 6 Jahre nach AO, Bewerbungsunterlagen abgelehnter Bewerber höchstens 6 Monate ohne ausdrückliche Einwilligung wegen § 15 AGG. Viertens das Thema Whistleblowing: Hinweisgebermeldungen nach HinSchG dürfen nicht offen mit HR-Daten verknüpft werden.

Das alles ist operationalisierbar. Eine schlanke Datenschutz-Policy für HR, ergänzt um eine Verarbeitungsübersicht, ein Schulungskonzept, eine Löschmatrix und eine Eskalationsregel für Sondervorgänge, deckt die typischen Auditfragen ab. Die CIVAC-Audit-Vorlagen enthalten genau diese fünf Bausteine als ausfüllbare Module mit Versionierung. Ergänzend gilt für Konzerne mit grenzüberschreitenden Verarbeitungen die One-Stop-Shop-Logik nach Art. 56 DSGVO mit federführender Aufsichtsbehörde, was die HR-Datenverarbeitung in europaweit aufgestellten Unternehmen vereinfachen kann.

Die Bestellung eines Datenschutzbeauftragten kann intern oder extern erfolgen (Art. 37 Abs. 6 DSGVO, § 38 Abs. 2 BDSG i. V. m. § 6 BDSG). Beide Wege sind zulässig, unterscheiden sich aber in Kosten, Risiko und Tempo. Ein interner DSB bringt Marktnähe und kennt die Prozesse, kann jedoch in Rollenkonflikt geraten, etwa wenn IT-Leitung, HR-Leitung oder Geschäftsführung mit der DSB-Funktion in einer Person liegen. Art. 38 Abs. 6 DSGVO verbietet ausdrücklich Konflikte zwischen Aufgaben und der DSB-Funktion. Die Datenschutzkonferenz hat die zulässigen Konstellationen in mehreren Beschlüssen konkretisiert.

Ein externer DSB ist haftungsversichert, unabhängig, sofort einsetzbar und liefert einen Marktpreis statt einer Vollkostenrechnung mit Schulung, Vertretung und Fortbildung. Die Vertragslaufzeit beträgt typischerweise 24 Monate mit dreimonatiger Kündigungsfrist gemäß § 38 Abs. 2 BDSG i. V. m. § 6 Abs. 4 BDSG, der Abberufungsschutz schützt die Person, nicht den Vertrag. Die Vergütung richtet sich nach Mitarbeiterzahl, Risikoprofil, Sektor und Anzahl der Standorte. Ein realistischer Anhaltspunkt für ein mittelständisches Unternehmen liegt zwischen 4.000 und 18.000 Euro jährlich, ein Konzern oder eine Klinik bewegt sich höher.

CIVAC arbeitet mit einem dualen Modell. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. So sichern Sie sich Haftung und Verfügbarkeit, ohne den Marktpreis für eine Vollzeitstelle zu zahlen. Der Wechsel zwischen beiden Modi ist im Lebenszyklus eines Unternehmens jederzeit möglich, etwa wenn eine interne Stelle frei wird oder eine M&A-Phase zusätzliche Compliance-Tiefe verlangt. Wichtig ist die Übergabe der Bestandsdokumentation: Verzeichnis, Bestellurkunde, Meldevorfälle und Schulungslisten bleiben im Workspace und gehen nicht mit der Person verloren.

Ein Audit oder eine anlassbezogene Prüfung durch die Aufsichtsbehörde folgt einem wiederkehrenden Muster. Vier Bausteine sehen Prüfende fast immer zuerst: die Bestellurkunde des Datenschutzbeauftragten mit aktuellem Datum, das Verarbeitungsverzeichnis nach Art. 30 DSGVO inklusive Aktualitätsstand, der Nachweis der TOMs nach Art. 32 DSGVO mit Wirksamkeitsbeleg und der Meldepfad bei Datenpannen mit mindestens einem dokumentierten Beispiel aus der Praxis. Wenn diese vier sauber vorliegen, ist die erste Stunde des Audits typischerweise unproblematisch.

Darüber hinaus werden zunehmend tiefere Schichten geprüft: das Berechtigungskonzept mit Need-to-know-Prinzip, Löschkonzepte mit Löschklassen und Fristen nach DIN 66398, Verträge zur Auftragsverarbeitung mit dazugehörigem TOM-Anhang, Drittland-Transferanalysen mit Schrems-II-Bezug, Schulungsnachweise mit Inhalt und Datum sowie das Verfahren bei Betroffenenrechten nach Art. 12 bis 22 DSGVO. Eine schlecht vorbereitete Datenauskunft löst regelmäßig die nächste Beschwerde aus, weil Betroffene auf Folgekorrespondenz mit der Aufsicht weiterleiten. Auch die Funktionsfähigkeit der internen Meldestelle nach HinSchG fließt in eine erweiterte Prüfung ein.

Eine pragmatische Vorbereitung umfasst eine vollständige Maßnahmenliste, die Spiegelung dieser Maßnahmen auf das Verzeichnis, ein quartalsweises Self-Assessment und ein Notfallhandbuch für Datenpannen mit Telefonliste und Vorlagentexten. Audit-fest, dokumentiert, § 38-fest. CIVAC bündelt diese Bausteine als geführten Workflow auf einer Plattform mit deutscher Datenresidenz, sodass die Antwortzeit gegenüber der Aufsicht von Wochen auf Tage sinkt und die Geschäftsleitung jederzeit den Status der Compliance einsehen kann. Erfahrene Datenschutzbeauftragte führen zudem ein Lessons-learned-Log, in dem jede behördliche Anfrage und jede interne Beschwerde mit Antwortzeit, Argumentation und Ergebnis dokumentiert wird, was bei wiederkehrenden Prüfungen den Argumentationsraum spürbar erweitert.

Das Bundesdatenschutzgesetz ist gut zwanzig Druckseiten lang. Der operative Teil, also was tagtäglich passieren muss, füllt mehrere Aktenschränke oder, klüger, eine Plattform. CIVAC versteht sich als Compliance-Plattform und Officer-as-a-Service: Wir bringen Bestellurkunde, Verarbeitungsverzeichnis, technisch-organisatorische Maßnahmen, Meldepfad und Schulungsnachweise in einen Workspace mit 37 einsatzbereiten Audit-Vorlagen, Berichtslinie zur Geschäftsleitung und definierten Eskalationspfaden. Datenresidenz: Deutschland. Authentifizierung: SSO oder SAML. Schnittstellen: gängige HR- und Ticket-Systeme.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Damit der Prüfer ruft, der Nachweis liegt bereit. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Das duale Modell ist bewusst offen gehalten, weil Unternehmensgrößen, Risikoprofile und IT-Reifegrade unterschiedlich sind. Die SLA der Plattform liegt bei zwei Werktagen, gemessen am Eingang der Anfrage, statt der branchenüblichen zwei bis sechs Wochen. Über den Workspace hinaus liefern wir vorbereitete Templates für Verfahrensverzeichnis, AVV, TOM-Beschreibung, Schulungsfolien und Vorlagen für Betroffenenrechte, so dass Sie nicht jede Aufgabe von Grund auf neu strukturieren müssen.

Wenn Sie nun konkret werden wollen: Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir terminieren ein 30-minütiges Erstgespräch, in dem wir Ihren Status quo, die Schwellen aus § 38 BDSG und die nächsten drei sinnvollen Schritte besprechen. Das kostet nichts und liefert spätestens am übernächsten Werktag einen schriftlichen Vorschlag mit klarer Aufgabenliste, Zeitachse und transparenten Preisen. Sie behalten in jedem Fall die Hoheit über Bestelldaten, Verzeichnisse und Beweise, weil die Plattform mit Exportfunktion und EU-Datenresidenz arbeitet und nicht in ein US-Tooling gezwungen wird.