FAQs zum Bundesdatenschutzgesetz (BDSG)

Das Bundesdatenschutzgesetz (BDSG) gilt gem. §1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen Stellen. Dazu zählen Personengesellschaften (GBRs, ect), juristische Personen (AGs, GmbHs, Vereine etc.), nicht rechtsfähige Vereinigungen (Gewerkschaften, politische Parteien etc.) und auch natürliche Personen (Ärzte, Architekten, Rechtsanwälte etc.), soweit sie personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen (d.h. automatisiert) verarbeiten, nutzen oder erheben.
Das Bundesdatenschutzgesetz (BDSG) gilt außerdem gem. §1 Abs. 2 Nr. 1 BDSG für alle öffentlichen Stellen des Bundes und gem. §1 Abs. 2 Nr. 2 BDSG für alle öffentlichen Stellen der Länder.

Das BDSG findet keine Anwendung, bei ausschließlich persönlichen oder familiären Zwecken.

Das Bundesdatenschutzgesetz (BDSG) schreibt für alle Unternehmen die Bestellung eines betrieblichen Datenschutzbeauftragten vor, wenn mehr als 9 Personen (inkl. Teilzeitkräfte und Leiharbeitnehmer) personenbezogene Daten automatisiert verarbeiten. Die Verarbeitung personenbezogener Daten liegt z.B. vor, wenn Mitarbeiter ein E-Mail-Programm nutzen (z.B. Outlook) in dem E-Mails verarbeitet bzw. gespeichert werden. Die Bestellung des Datenschutzbeauftragten muss binnen eines Monats nach Beginn der Datenerhebung, -nutzung oder –verarbeitung geschehen. (§4f BDSG) Bei Nichtbeachtung des BDSG drohen Bußgelder!

Zum Datenschutzbeauftragen darf nur eine Person bestellt werden, die die nötige Fachkunde und Zuverlässigkeit besitzt. (§4f Abs.2 BDSG) Zum Datenschutzbeauftragen muss Fachwissen im den Bereichen IT und juristisches Spezialwissen im Bereich BDSG aufweisen.

Folgende Personenkreise dürfen nicht zum Datenschutzbeauftragten bestellt werden: Geschäftsführer, Personal- und IT-Leiter und Administratoren. Diese Personenkreise haben einen Interessenkonflikt zu den Aufgaben eines Datenschutzbeauftragten. Daher ist die Zuverlässigkeit in Frage gestellt.

  • Erstellen der gesetzlich geforderten Dokumentation (Datenschutzakte)
  • Hinwirken auf Einhalten der Datenschutzbestimmungen
  • die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen
  • Sensibilisierung der Mitarbeiter und der Verantwortlichen Stelle auf das Thema Datenschutz in Form von geeigneten Maßnahmen (Schulungen)
  • Führen des öffentlichen und der internen Verfahrensverzeichnisse
  • Ansprechpartner für den Datenschutz für alle Seiten (Geschäftsleitung, Betriebsrat, Mitarbeiter, Kunden, Dritte)

Was ist der Vorteil eines externen Datenschutzbeauftragten im Vergleich zum internen?

  • Vermeidung innerbetrieblicher Interessenkonflikte
  • Geringere Kosten durch Outsourcing
  • Keine Ablenkung durch innerbetriebliche Kenntnisse
  • Keine Kosten für Aus- und Weiterbildung eines internen DSB
  • Kein Kündigungsschutz, denn der interne DSB genießt den ähnlichen Kündigungsschutz eines Betriebsrates
  • Mehr Erfahrung in den relevanten Bereichen
  • Ein externer DSB verringert das Risiko Ärger mit der Aufsichtsbehörde zu bekommen

Der Begriff „personenbezogene Daten“ ist gesetzlich definiert in §3 Abs. 1 BDSG: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person

Beispiele  für personenbezogenen Daten: Name, Adresse, Telefonnummer, E-Mail-Adresse, Alter, Geschlecht, Religion, Firmenzugehörigkeit. Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist gem. §4 BDSG grundsätzlich verboten, es sei denn ein Gesetz sieht es vor oder der Betroffene hat sein ausdrückliches Einverständnis erklärt.

Die Verantwortliche Stelle ist die Geschäftsleitung. Diese haftet persönlich. Es ist kein Versicherungsschutz möglich, da der Datenschutz eine gesetzliche Regelung darstellt Schadensersatzanspruch bei Missbrauch von personenbezogenen Daten (§7) kann nur dann abgewendet werden, wenn der für den Datenschutz Verantwortliche die notwendige Sorgfalt im Datenschutz walten lässt.

Nicht- oder Scheinbestellung eines Datenschutzbeauftragten gem. §43 Bundesdatenschutzgesetz (BDSG): Bußgeld von bis zu 50.000 Euro.

Fahrlässiger Verstoß gegen §43 II BDSG: Geldbuße bis zu 300.000 Euro.

Vorsätzlicher Verstoß gegen §43 II BDSG: Zusätzlich zum Bußgeld Freiheitsstrafe von bis zu zwei Jahren.

Die persönliche Haftung der Geschäftsführung wird durch eine D&O-Police (Directors and Officers-Versicherung) nicht abgedeckt, denn ein Gesetzesverstoß gilt als grob fahrlässig.