Das deutsche Datenschutzgesetz und wie es die DSGVO komplementiert

Die Datenschutz-Grundverordnung (DSGVO) wurde eingeführt, um einen einheitlichen Datenschutzstandard in der gesamten Europäischen Union (EU) zu schaffen. Sie legt daher die Mindestanforderungen fest, die alle Mitgliedstaaten erfüllen müssen. Allerdings enthält die DSGVO auch sogenannte Öffnungsklauseln, die den Mitgliedstaaten einen gewissen Spielraum bei der Umsetzung der Verordnung lassen.

Diese Öffnungsklauseln ermöglichen es den Mitgliedstaaten, zusätzliche oder spezifischere Datenschutzbestimmungen zu erlassen, die ihren nationalen Bedürfnissen und Besonderheiten Rechnung tragen. Dies kann beispielsweise in Bereichen der Fall sein, die von der DSGVO nicht ausdrücklich geregelt sind, oder in Fällen, in denen die nationalen Gesetze strengere Anforderungen stellen als die DSGVO.

In Deutschland wurde hierfür das Bundesdatenschutzgesetz (BDSG-neu) erlassen, um eben solche Anforderungen der DSGVO zu ergänzen und spezifische nationale Regelungen festzulegen. Das BDSG-neu enthält unter anderem spezielle Bestimmungen für den Umgang mit Mitarbeiterdaten und für den Datenschutz im öffentlichen Sektor.

Durch die Kombination von EU-weiten und nationalen Datenschutzgesetzen können die Mitgliedstaaten einen hohen Datenschutzstandard gewährleisten, der sowohl die gemeinsamen europäischen Anforderungen erfüllt als auch auf ihre spezifischen nationalen Bedürfnisse eingeht.

Unterschiede zwischen dem deutschen Datenschutzgesetz und der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG-neu) sind zwei wichtige rechtliche Rahmenbedingungen, die den Umgang mit personenbezogenen Daten in Deutschland regeln. Obwohl sie viele Gemeinsamkeiten haben, gibt es auch einige wichtige Unterschiede.

Anwendungsbereich

Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, wo sie ihren Sitz haben. Das BDSG-neu hingegen gilt nur für in Deutschland tätige Unternehmen und öffentliche Stellen.

Bußgelder

Die DSGVO sieht bei Verstößen gegen die Datenschutzbestimmungen deutlich höhere Bußgelder vor als das BDSG und kann selbige in Höhe bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängen. Im Vergleich dazu sind die Bußgelder im BDSG-neu in der Regel deutlich niedriger.

Öffnungsklauseln und nationale Regelungen

Die DSGVO enthält sogenannte Öffnungsklauseln, die den Mitgliedstaaten Gestaltungsfreiheit bei bestimmten Regelungen einräumen. Das bedeutet, dass die nationalen Gesetze den europäischen Richtlinien in bestimmten Bereichen entsprechen müssen, jedoch eigene Regelungen hinzufügen oder präzisieren können. Das BDSG-neu nutzt diese Öffnungsklauseln, um spezielle Regelungen für den deutschen Datenschutz festzusetzen.

Auswirkungen auf Unternehmen in Deutschland

Die Unterschiede zwischen der DSGVO und dem BDSG-neu haben erhebliche Auswirkungen auf Unternehmen in Deutschland.

Unternehmen, die ihren Sitz oder Niederlassungen in Deutschland haben, müssen sich an das BDSG-neu halten. Dies bedeutet, dass sie zusätzliche Anforderungen erfüllen müssen, die über die Anforderungen der DSGVO hinausgehen.

Die strengeren Bußgelder der DSGVO bedeuten zudem, dass Unternehmen ein größeres finanzielles Risiko eingehen, wenn sie gegen Datenschutzbestimmungen verstoßen. Dies kann Unternehmen dazu veranlassen, mehr Ressourcen in Datenschutzmaßnahmen zu investieren, um Verstöße zu vermeiden.

Insgesamt erfordern die Unterschiede zwischen der DSGVO und dem BDSG-neu von Unternehmen in Deutschland ein hohes Maß an Aufmerksamkeit und Sorgfalt im Umgang mit personenbezogenen Daten. Sie müssen sicherstellen, dass sie sowohl die europäischen als auch die nationalen Datenschutzbestimmungen einhalten.

Auch greift in Deutschland das BDSG-neu in bestimmten Fällen, in denen die DSGVO nicht anwendbar ist:

  • Öffentliche Stellen des Bundes: Für Bundesbehörden und Bundesämter sowie für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit gilt das BDSG-neu.
  • Sicherheitsbereich: Die Vorschriften des BDSG sind für Behörden aus dem Sicherheitsbereich besonders relevant, für die die Vorschriften der DSGVO keine Anwendung finden.
  • Private Nutzung sozialer Netze: Die DSGVO gilt nicht für die private Nutzung sozialer Netze.
  • Privater Schriftverkehr: Der private Schriftverkehr fällt nicht unter den sachlichen Anwendungsbereich der DSGVO.
  • Tätigkeiten außerhalb des Anwendungsbereichs des Unionsrechts: Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, sind nicht von der DSGVO abgedeckt.

Unterschiede zwischen altem und neuem Datenschutzgesetz

Mit der Einführung der DSGVO im Jahr 2018 wurde das alte Bundesdatenschutzgesetz (BDSG-alt) durch das neue Bundesdatenschutzgesetz (BDSG-neu) ersetzt. Die wichtigsten Unterschiede sind:

  • Geltungsbereich: Das BDSG-neu gilt nur für Deutschland und betrifft ausschließlich solche Unternehmen, die ihren Sitz oder Niederlassungen in Deutschland haben, sowie für deutsche Bürger. Das alte BDSG hatte einen breiteren Anwendungsbereich.
  • Öffnungsklauseln und nationale Regelungen: Das BDSG-neu nutzt die Öffnungsklauseln der DSGVO, um spezielle Regelungen für den deutschen Datenschutz festzusetzen. Das alte BDSG hatte diese Möglichkeit nicht.
  • Anpassung an die DSGVO: Das BDSG-neu ist an die Anforderungen der DSGVO angepasst und muss zusammen mit der DSGVO angewendet werden. Das alte BDSG war vor der Einführung der DSGVO in Kraft und daher nicht auf die DSGVO abgestimmt.

Insgesamt hat das BDSG-neu das Ziel, den Datenschutz in Deutschland im Einklang mit der DSGVO zu gewährleisten und gleichzeitig spezifische nationale Regelungen zu berücksichtigen.

Unternehmen und natürliche Personen müssen verschiedene Aspekte des BDSG-neu beachten:

Für Unternehmen

  • Datenschutzbeauftragter: Unternehmen sollten prüfen, ob sie einen Datenschutzbeauftragten benötigen. Dies ist insbesondere dann der Fall, wenn sie regelmäßig und systematisch personenbezogene Daten verarbeiten.
  • Datenschutz im Beschäftigungsverhältnis: Das BDSG-neu enthält spezielle Regelungen für den Umgang mit Mitarbeiterdaten. Unternehmen müssen sicherstellen, dass sie diese Regelungen einhalten.
  • Scoring und Bonitätsauskünfte: Das BDSG-neu enthält auch besondere Regelungen, die das Scoring und Bonitätsauskünfte betreffen. Unternehmen, die solche Dienste anbieten oder nutzen, müssen diese Bestimmungen beachten.
  • Datenschutzsensibilisierung der Mitarbeitenden: Unternehmen sollten ihre Mitarbeitenden für den Datenschutz sensibilisieren. Dies kann durch regelmäßige Schulungen und Informationsveranstaltungen erfolgen.

Für natürliche Personen

  • Recht auf informationelle Selbstbestimmung: Natürliche Personen haben das Recht, selbst über die Herausgabe und Verwendung ihrer personenbezogenen Daten zu bestimmen. Sie können dieses Recht gegenüber Unternehmen und öffentlichen Stellen geltend machen.
  • Datenschutzrechte: Natürliche Personen haben unter dem BDSG-neu verschiedene Datenschutzrechte, darunter das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung ihrer Daten. Sie können diese Rechte gegenüber den Unternehmen und öffentlichen Stellen, die Ihre Daten verarbeiten, geltend machen.

Es ist wichtig zu beachten, dass sowohl BDSG-neu als auch die DSGVO in Deutschland gelten. In welchem Rahmen und in welchen Fällen das BDSG-neu anstelle der DSGVO zur Anwendung kommt, hängt von den spezifischen Umständen ab.     

Compliance: Neu Erfunden

VinciWorks ist der führende Anbieter individuell anpassbarer, innovativer Online-Compliance-Schulungen

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

“In a world older and more complete than ours they move finished and complete, gifted with extensions of the senses we have lost or never attained, living by voices we shall never hear.”

Picture of James

James

VinciWorks CEO, VInciWorks

Spending time looking for your parcel around the neighbourhood is a thing of the past. That’s a promise.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.