Das deutsche Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Bundesländer und anderen bereichsspezifischeren Regelungen den Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell verarbeitet werden (Beispiele: Datenschutz).

Basisdaten
Kurztitel:	Bundesdatenschutzgesetz
Voller Titel:	ders.
Typ:	Bundesgesetz
Rechtsmaterie:	Verwaltungsrecht
Gültigkeitsbereich:	Bundesrepublik Deutschland
Abkürzung:	BDSG
FNA:	204-3
Verkündungstag:	20. Dezember 1990 (BGBl. I 1990, S. 2954, 2955)
Aktuelle Fassung:	14. Januar 2003 (BGBl. I 2003, S. 66)

Geschichtliche Entwicklung

Das Bundesdatenschutzgesetzt existiert seit dem 27. Januar 1977 und wurde zuletzt am 14. Januar 2003 revidiert.

Das BDSG besteht aus sechs Abschnitten: Im ersten Abschnitt (§ 1 - § 11) werden allgemeine und gemeinsame Bestimmungen erläutert, im zweiten Abschnitt (§ 12 - § 26) die Datenverarbeitung für öffentliche Stellen und im dritten Abschnitt (§ 27 - § 38a) für private Stellen geregelt. Der vierte Abschnitt (§ 39 - § 42) enthält Sondervorschriften, im fünften Abschnitt (§ 43 - 44) werden in den Schlussvorschriften Straf- und Bußgeldvorschriften und im sechsten Abschnitt (§ 45 - § 46) Übergangsvorschriften genannt.

Allgemeine und gemeinsame Bestimmungen

• § 1(1) BDSG sagt:

Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

Ein wesentlicher Grundsatz des Gesetzes ist das Verbotsprinzip mit Erlaubnisvorbehalt. So muss für die Erhebung und Verarbeitung personenbezogener Daten entweder eine klare Rechtsgrundlage gegeben sein oder dass der betroffene Personenkreis explizit seine Zustimmung zur Verarbeitung gegeben haben. Die angewendeten Verfahren sind beim zuständigen Landesdatenschutzbeauftragten genehmigungs- oder anzeigepflichtig.

Ebenfalls gilt der in § 3a definierte Grundsatz der Datenvermeidung und Datensparsamkeit: So sollen sich alle Datenverarbeitungssysteme an dem Ziel ausrichten, keine oder so wenig personenbezogene Daten wie möglich zu verwenden und insbesondere von den Möglichkeiten der Anynomisierung und Pseudonymisierung Gebrauch zu machen.

Geregelt wird der Umgang mit personenbezogener Daten. Personenbezogen sind Daten dann, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben. Dazu genügt es, wenn die Person nicht namentlich benannt wird, aber bestimmbar ist (beispielsweise: Telefonnummer, E-Mail-Adresse, IP-Adresse beim Surfen, Personalnummer). Im Gegensatz dazu stehen anonyme Daten, bei denen die Person unbekannt ist, und pseudonyme Daten, bei denen der Name durch einen Decknamen ersetzt wird.

Nicht in den Geltungsbereich des BDSG fallen Daten über juristische Personen (GmbHs, AGs usw.)

Besonders geschützt werden sog. sensible Daten gemäß § 3 Abs. 9 BDSG, nämlich Daten über: rassische und ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben.

Bei diesen Daten ist das Verbotsprinzip mit Erlaubnisvorbehalt durch einen Ausnahmekatalog noch enger definiert und eine ausdrückliche Einwilligung des betroffenen notwendig.

Das BDSG regelt folgende Tätigkeiten: Die Datenerhebung, die Datenverarbeitung und die Datennutzung. Zur Verbeitung gehört dabei das Speichern, Verändern, Übermitteln, Sperren und Löschen der Daten.

Räumlicher Anwendungsbereich

Bei einem Sitz der verantwortlichen Stelle im EG/EWR-Ausland gilt grundsätzlich das Sitzprinzip, d.h. der Sitz der verantwortlichen Stelle ist maßgeblich für das nationale Recht. Eine Firma mit Sitz in Frankreich beispielsweise kann ihr französisches Recht bei der Datenverarbeitung in Deutschland exportieren.

Falls die Stelle jedoch eine Niederlassung in Deutschland hat, gilt grundsätzlich das Territorialprinzip, d.h. es gilt das deutsche BDSG. Dies gilt ebenso für Stellen, die einen Sitz in einem Nicht-EG-EWR-Staat haben.

Im BDSG wird unterschieden zwischen Datenschutz von staatlichen ("öffentlichen") und von privaten ("nicht-öffentlichen") Stellen. Öffentlich-rechtliche Wettbewerbsunternehmen, die im Wettbewerb zu privaten Unternehmen stehen (z.B. die Deutsche Bahn), werden wie private Stellen behandelt.

Datenverarbeitung der privaten Stellen

Jede private Stelle (z.B. Firma), in der fünf oder mehr Arbeitnehmer mit der Bearbeitung personenbezogener Daten beschäftigt sind, benötigt einen Datenschutzbeauftragten. Diese weitgehend unbekannte Regelung gilt spätestens nach Ablauf der dreijährigen Schonfrist (§ 45 BDSG) ab dem 23. Mai 2004 zwingend für jedes Unternehmen, das die o.g. Kriterien erfüllt.

Außerdem wird aus dem BDSG die Forderung abgeleitet, dass nachvollzogen werden kann, wer welche personenbezogenen Daten wann geändert hat. Ebenso muss dokumentiert werden, an welche Stellen die Daten weiter gegeben wurden.

Betroffene (natürliche Personen, über die Daten bei öffentlichen oder nicht-öffentlichen Stellen gespeichert sind), haben nach dem Bundesdatenschutzgesetz folgende unabdingbare Rechte:

• Auskunft darüber, ob und welche personenbezogenen Daten über sie gespeichert sind
• Auskunft darüber, aus welchen Quellen diese Daten stammen und zu welchem Verwendungszweck sie gespeichert werden
• Berichtigung von falschen personenbezogenen Daten
• Übermittlung seiner Daten an Dritte zu untersagen
• Löschung seiner Daten
• Sperrung seiner Datensätze

Die beiden erstgenannten Rechte können verweigert werden, falls das allgemeine öffentliche Interesse, das Interesse der jeweiligen nicht-öffentlichen Stelle an der Wahrung des Geschäftsgeheimnisses oder das Interesse Dritter zur Geheimhaltung überwiegt. Dies muss allerdings im Einzelfall geprüft werden. Eine Verweigerung der Auskunft muss mit Angabe der Gründe dokumentiert werden.

Jeder Bundesbürger hat also prinzipiell ein Auskunftsrecht bezüglich der über ihn gespeicherten Daten sowie ein Recht auf Richtigstellung falscher Daten. Für die befragten Stellen ergibt sich eine Auskunftspflicht, von der jedoch Polizei und Geheimdienste ausgenommen sind. Für die Auskunft kann eine Gebühr erhoben werden. Umstritten war lange Zeit die Praxis der Schufa, ein Selbstauskunftersuchen mit einer negativen Wertung zu belegen; diese Praxis hat die Schufa jedoch aufgegeben.

Die Evangelische Kirche in Deutschland, die Evangelischen Landeskirchen und die Bistümer der Katholischen Kirche unterliegen nicht dem Bundesdatenschutzgesetz, sondern haben eigene Datenschutzvorschriften erlassen.

Für Verwaltungsverfahren im Geltungsbereich des Sozialgesetzbuches (SGB) sind für den Schutz der Sozialdaten besondere Vorschriften gültig, welche statt des Bundesdatenschutzgesetzes oder landesrechtlicher Regelungen anzuwenden sind. Dies gilt auch für die Durchführung jener Gesetze, die gem. Art. II § 1 SGB I als besondere Teile des Sozialgesetzbuches gelten, also z.B. für Verfahren, die BAföG- oder Wohngeldstellen durchführen.