BDSG erklärt: Praxisleitfaden für Vereine und Wohnungswirtschaft

Inhaltsverzeichnis

• Einleitung: Warum das BDSG auch 2025 noch von zentraler Bedeutung ist
• Kurzüberblick: Zweck und Entwicklung des Bundesdatenschutzgesetzes (BDSG)
• Geltungsbereich und Abgrenzung zur DSGVO: Ein Zusammenspiel
• Wesentliche Pflichten für Verantwortliche nach dem BDSG
• Betroffenenrechte: Anwendung und Umsetzung im BDSG-Kontext
• Besondere Regelungen im Bundesdatenschutzgesetz (BDSG)
• Technische und Organisatorische Maßnahmen (TOM)
• Sanktionen und Durchsetzung in der Praxis
• Praxisfall: Datenschutz in Vereinen – Typische Szenarien
• Praxisfall: Datenschutz in Wohnungsunternehmen – Typische Szenarien
• Checkliste: Datenschutz-Quickcheck für Vereine
• Checkliste: Datenschutz-Quickcheck für Wohnungsunternehmen
• Musterprozesse und die essenzielle Datenschutzdokumentation
• Weiterführende Ressourcen und offizielle Stellen
• Fazit: Handlungsempfehlungen und Priorisierung für 2025

Einleitung: Warum das BDSG auch 2025 noch von zentraler Bedeutung ist

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) steht diese im Mittelpunkt der öffentlichen Diskussion. Dennoch hat das Bundesdatenschutzgesetz (BDSG) seine Relevanz keineswegs verloren. Ganz im Gegenteil: Für Unternehmen, Vereine und insbesondere für die Wohnungswirtschaft in Deutschland ist das BDSG eine unverzichtbare Rechtsgrundlage, die die europäische Verordnung konkretisiert und ergänzt. Viele der sogenannten Öffnungsklauseln der DSGVO werden erst durch das Bundesdatenschutzgesetz (BDSG) mit Leben gefüllt.

Dieser Leitfaden richtet sich gezielt an Datenschutzverantwortliche, Vereinsvorstände und Verantwortliche in Wohnungsunternehmen. Er bietet einen praxisorientierten Überblick über die wesentlichen Regelungen des BDSG, zeigt die Abgrenzung zur DSGVO auf und liefert konkrete Anwendungsbeispiele und Checklisten. Ziel ist es, Ihnen ein klares Verständnis für die nationalen Datenschutzanforderungen zu vermitteln und Sie bei der rechtskonformen Umsetzung zu unterstützen.

Kurzüberblick: Zweck und Entwicklung des Bundesdatenschutzgesetzes (BDSG)

Das Bundesdatenschutzgesetz (BDSG) hat eine lange Geschichte und wurde im Mai 2018 in seiner aktuellen Fassung neu aufgesetzt, um parallel zur DSGVO zu gelten. Es wird daher oft auch als BDSG-neu bezeichnet. Seine primäre Funktion ist es nicht, die DSGVO zu ersetzen, sondern sie zu ergänzen und zu spezifizieren. Die DSGVO ist als europäische Verordnung direkt in allen Mitgliedsstaaten anwendbar, gibt den nationalen Gesetzgebern aber an vielen Stellen Spielraum für eigene, detailliertere Regelungen.

Der Zweck des BDSG ist es, diese Spielräume zu nutzen und Regelungen für Bereiche zu schaffen, die entweder von der DSGVO bewusst offengelassen wurden oder einen besonderen nationalen Regelungsbedarf aufweisen. Dazu gehören insbesondere der Beschäftigtendatenschutz, die Videoüberwachung und bestimmte Aspekte der Datenverarbeitung für Scoring-Zwecke.

Geltungsbereich und Abgrenzung zur DSGVO: Ein Zusammenspiel

Das Verhältnis zwischen DSGVO und dem Bundesdatenschutzgesetz (BDSG) lässt sich am besten als ein Regel-Ausnahme-Verhältnis beschreiben. Die DSGVO legt den allgemeinen Rahmen fest, während das BDSG spezifische nationale Anforderungen definiert. Für Verantwortliche in Deutschland bedeutet dies, dass sie stets beide Regelwerke im Blick haben müssen.

Wo gilt was? Eine klare Abgrenzung

Die DSGVO hat grundsätzlich Anwendungsvorrang. Das Bundesdatenschutzgesetz (BDSG) kommt immer dann zur Anwendung, wenn:

• Die DSGVO eine Öffnungsklausel enthält, die es den Mitgliedsstaaten erlaubt, eigene Vorschriften zu erlassen (z. B. im Beschäftigtenkontext).
• Es um die Datenverarbeitung durch öffentliche Stellen des Bundes geht.
• Regelungen für Bereiche getroffen werden, die nicht in den Anwendungsbereich der DSGVO fallen, wie beispielsweise die nationale Sicherheit.

Die folgende Tabelle gibt einen vereinfachten Überblick:

Regelungsbereich	Primär anwendbares Recht	Ergänzungen/Konkretisierungen durch BDSG
Allgemeine Grundsätze der Datenverarbeitung	DSGVO (Art. 5)	Keine direkten Abweichungen, aber Konkretisierung in Spezialgesetzen.
Rechtsgrundlagen der Verarbeitung	DSGVO (Art. 6)	Spezifische Rechtsgrundlagen, z. B. für Beschäftigtendaten (§ 26 BDSG).
Betroffenenrechte (Auskunft, Löschung etc.)	DSGVO (Art. 12-23)	Mögliche Beschränkungen dieser Rechte in bestimmten Kontexten (§§ 29, 34 BDSG).
Pflicht zur Benennung eines Datenschutzbeauftragten	DSGVO (Art. 37)	Konkretere und strengere Benennungspflicht in Deutschland (§ 38 BDSG).
Bußgelder und Sanktionen	DSGVO (Art. 83)	Verfahrensregeln und spezifische deutsche Regelungen (§ 41, 43 BDSG).

Wesentliche Pflichten für Verantwortliche nach dem BDSG

Neben den bekannten Pflichten aus der DSGVO, wie dem Führen eines Verzeichnisses von Verarbeitungs-
tätigkeiten (VVT), ergeben sich aus dem Bundesdatenschutzgesetz (BDSG) einige besondere Verpflichtungen für Verantwortliche.

Benennung eines Datenschutzbeauftragten (DSB)

Eine der praxisrelevantesten Regelungen ist § 38 BDSG. Während die DSGVO die Benennung eines Datenschutzbeauftragten nur unter bestimmten Voraussetzungen vorschreibt, senkt das BDSG die Hürde in Deutschland erheblich. Eine Benennungspflicht besteht unabhängig von der Kerntätigkeit immer dann, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Regelung betrifft viele mittelständische Wohnungsunternehmen und größere Vereine.

Betroffenenrechte: Anwendung und Umsetzung im BDSG-Kontext

Die grundlegenden Rechte betroffener Personen wie Auskunft, Berichtigung, Löschung und Widerspruch sind in der DSGVO verankert. Das Bundesdatenschutzgesetz (BDSG) sieht jedoch in bestimmten Situationen Einschränkungen dieser Rechte vor. So kann beispielsweise das Auskunftsrecht eingeschränkt sein, wenn die Auskunftserteilung Geschäftsgeheimnisse des Verantwortlichen gefährden würde oder wenn die Daten nur zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert werden und eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde (§ 34 BDSG). Diese Ausnahmen sind eng auszulegen und müssen im Einzelfall gut begründet werden.

Besondere Regelungen im Bundesdatenschutzgesetz (BDSG)

Der eigentliche Mehrwert des BDSG liegt in seinen spezifischen Regelungen für praxisrelevante Lebensbereiche. Für Vereine und Wohnungsunternehmen sind vor allem die folgenden Paragrafen von Bedeutung.

Beschäftigtendatenschutz nach § 26 BDSG

§ 26 BDSG ist die zentrale Norm für die Verarbeitung von Mitarbeiterdaten in Deutschland. Er erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses. Dies umfasst klassische HR-Prozesse wie die Lohnabrechnung, die Personalakte oder die Zeiterfassung. Wichtig ist hierbei, dass die Datenerhebung stets erforderlich sein muss. Die Einwilligung von Mitarbeitern als Rechtsgrundlage ist zwar möglich, aber aufgrund des Machtungleichgewichts im Arbeitsverhältnis oft problematisch und sollte nur mit Bedacht eingesetzt werden.

Videoüberwachung nach § 4 BDSG

Die Videoüberwachung öffentlich zugänglicher Räume, wie Eingangsbereiche von Wohnhäusern oder Vereinsgelände, wird durch § 4 BDSG konkretisiert. Eine Überwachung ist nur zulässig, soweit sie zur Wahrung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Wichtig sind hierbei:

• Erforderlichkeit: Gibt es mildere, gleich effektive Mittel?
• Transparenz: Auf die Videoüberwachung muss durch gut sichtbare Schilder hingewiesen werden.
• Speicherdauer: Die Aufnahmen sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind (in der Regel nach maximal 72 Stunden).

Scoring und Bonitätsauskünfte nach § 31 BDSG

Für Wohnungsunternehmen ist § 31 BDSG relevant, der die Nutzung von Scoring-Verfahren regelt, beispielsweise bei der Bonitätsprüfung von Mietinteressenten. Die Verwendung eines Score-Wertes ist nur zulässig, wenn bestimmte Voraussetzungen erfüllt sind, unter anderem muss das Verfahren auf einer wissenschaftlich anerkannten mathematisch-statistischen Methode beruhen. Betroffene müssen zudem über die Nutzung von Scoring-Verfahren informiert werden.

Technische und Organisatorische Maßnahmen (TOM)

Die Verpflichtung zur Implementierung geeigneter technischer und organisatorischer Maßnahmen (TOM) zur Sicherstellung der Datensicherheit ergibt sich aus Art. 32 DSGVO. Das Bundesdatenschutzgesetz (BDSG) nimmt hier keine wesentlichen Änderungen vor, unterstreicht aber die Notwendigkeit, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für Vereine und Wohnungsunternehmen bedeutet dies konkret, Maßnahmen wie Zutrittskontrollen, Verschlüsselung von Daten, regelmäßige Backups und klare interne Anweisungen zum Umgang mit sensiblen Daten zu etablieren und zu dokumentieren.

Sanktionen und Durchsetzung in der Praxis

Bei Verstößen gegen die DSGVO und das Bundesdatenschutzgesetz (BDSG) drohen empfindliche Bußgelder. Die deutschen Aufsichtsbehörden sind für die Durchsetzung zuständig. Das BDSG enthält in den §§ 41-43 ergänzende Vorschriften zu den Sanktionen der DSGVO. Beispielsweise wird klargestellt, dass Bußgelder auch direkt gegen Unternehmen verhängt werden können und nicht nur gegen die handelnden natürlichen Personen. Die Höhe der Bußgelder richtet sich nach den Vorgaben der DSGVO und kann bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes betragen.

Praxisfall: Datenschutz in Vereinen – Typische Szenarien

Mitgliederverwaltung

Die Verarbeitung von Mitgliedsdaten (Name, Adresse, Geburtsdatum, Bankverbindung) ist zur Verwaltung des Vereinsverhältnisses gemäß Art. 6 Abs. 1 lit. b DSGVO zulässig. Eine darüberhinausgehende Nutzung, etwa für einen nicht-vereinsbezogenen Newsletter, erfordert eine separate Einwilligung. Das Bundesdatenschutzgesetz (BDSG) spielt hier eine untergeordnete Rolle.

Veröffentlichung von Fotos auf der Webseite

Die Veröffentlichung von Fotos von Vereinsveranstaltungen stellt eine Datenverarbeitung dar. Hier ist eine sorgfältige Interessenabwägung erforderlich (Art. 6 Abs. 1 lit. f DSGVO) oder es muss eine Einwilligung der abgebildeten Personen eingeholt werden, insbesondere bei Porträtaufnahmen. Eine pauschale Zustimmung über die Vereinssatzung ist oft nicht ausreichend.

Praxisfall: Datenschutz in Wohnungsunternehmen – Typische Szenarien

Verarbeitung von Mieter- und Interessentendaten

Daten von Mietinteressenten (z. B. über eine Selbstauskunft) dürfen nur erhoben werden, soweit sie für die Entscheidung über den Abschluss eines Mietvertrags erforderlich sind. Nach einer Absage sind diese Daten unverzüglich zu löschen. Die Daten der Mieter werden zur Durchführung des Mietverhältnisses verarbeitet (Art. 6 Abs. 1 lit. b DSGVO).

Bonitätsprüfungen

Die Einholung einer Bonitätsauskunft vor Vertragsabschluss ist ein berechtigtes Interesse. Hierbei sind die strengen Vorgaben des § 31 Bundesdatenschutzgesetz (BDSG) zu beachten. Der Interessent muss darüber transparent informiert werden.

Checkliste: Datenschutz-Quickcheck für Vereine

• Haben wir ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt?
• Werden die Mitgliedsdaten ausschließlich für satzungsgemäße Zwecke verwendet?
• Holen wir für die Veröffentlichung von Fotos eine wirksame Einwilligung ein oder stützen wir uns auf eine dokumentierte Interessenabwägung?
• Gibt es einen klaren Prozess für den Umgang mit Austritten und die Löschung von Daten ehemaliger Mitglieder?
• Ist die Benennung eines Datenschutzbeauftragten gemäß § 38 BDSG geprüft worden (relevant bei großen Vereinen mit mehr als 20 ständig mit Datenverarbeitung beschäftigten Personen, z.B. in der Verwaltung)?

Checkliste: Datenschutz-Quickcheck für Wohnungsunternehmen

• Ist die Benennungspflicht für einen Datenschutzbeauftragten nach § 38 Bundesdatenschutzgesetz (BDSG) erfüllt (Regel: ab 20 Personen)?
• Entspricht unsere Videoüberwachung den Vorgaben des § 4 BDSG (Erforderlichkeit, Kennzeichnung, Löschfristen)?
• Werden die Daten von Mietinteressenten nach einer Absage fristgerecht gelöscht?
• Ist der Prozess zur Einholung von Bonitätsauskünften konform mit § 31 BDSG und transparent für die Betroffenen?
• Sind unsere Dienstleister (z. B. Ablesedienste, Handwerker) per Auftragsverarbeitungsvertrag (AVV) verpflichtet?

Musterprozesse und die essenzielle Datenschutzdokumentation

Ein funktionierender Datenschutz basiert auf klar definierten und dokumentierten Prozessen. Herzstück der Dokumentation ist das Verzeichnis von Verarbeitungstätigkeiten (VVT). Es beschreibt, welche Daten zu welchem Zweck auf welcher Rechtsgrundlage verarbeitet werden. Daneben sind weitere Dokumente entscheidend:

• Löschkonzept: Ein Regelwerk, das festlegt, wann welche Datenkategorien gelöscht werden müssen.
• Datenschutz-Folgenabschätzung (DSFA): Notwendig für Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen (z. B. großangelegte Videoüberwachung).
• Dokumentation der TOMs: Eine Übersicht der ergriffenen technischen und organisatorischen Maßnahmen.

Weiterführende Ressourcen und offizielle Stellen

Für vertiefende Informationen und offizielle Auslegungen zum Bundesdatenschutzgesetz (BDSG) und zur DSGVO sind die Webseiten der Aufsichtsbehörden die beste Anlaufstelle.

• Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): Die oberste deutsche Datenschutzbehörde für den Bund. Hier finden Sie Tätigkeitsberichte, Leitfäden und Pressemitteilungen. Zur Webseite des BfDI.
• Bundesministerium des Innern und für Heimat (BMI): Das zuständige Ministerium für das Bundesdatenschutzgesetz (BDSG) stellt den Gesetzestext und weiterführende Informationen bereit. Zur Webseite des BMI.

Fazit: Handlungsempfehlungen und Priorisierung für 2025

Das Bundesdatenschutzgesetz (BDSG) ist und bleibt eine zentrale Säule des Datenschutzes in Deutschland. Für Vereine und Wohnungsunternehmen ist es unerlässlich, die spezifischen nationalen Regelungen zu kennen und umzusetzen. Die DSGVO gibt den Takt vor, aber das BDSG spielt die Melodie in wichtigen Bereichen wie dem Beschäftigtendatenschutz und der Videoüberwachung.

Für Ihre Datenschutzstrategie für 2025 und darüber hinaus empfehlen wir folgende Prioritäten:

1. Prüfung der nationalen Besonderheiten: Analysieren Sie, welche spezifischen Regelungen des BDSG (insb. §§ 4, 26, 31, 38) für Ihre Organisation relevant sind.
2. Dokumentation aktualisieren: Halten Sie Ihr Verzeichnis von Verarbeitungstätigkeiten und Ihr Löschkonzept aktuell.
3. Mitarbeiter schulen: Sensibilisieren Sie alle Personen, die mit personenbezogenen Daten arbeiten, regelmäßig für die Anforderungen von DSGVO und Bundesdatenschutzgesetz (BDSG).

Ein proaktiver und gut dokumentierter Datenschutz ist nicht nur eine rechtliche Verpflichtung, sondern auch ein Zeichen von Professionalität und schafft Vertrauen bei Mitgliedern, Mietern und Mitarbeitern.

Weitere relevante Inhalte

• BDSG Praxiskompass: Gesetz, Pflichten und Checklisten
• BDSG Index und Kernregeln: Paragraphen, Praxis und Quellen
• Vereinsdatenschutz: Praxisleitfaden für Vorstände
• DSGVO-konforme Videoüberwachung: rechtssicher und praxisnah
• Datenschutz im Vereinsalltag: Konkreter Leitfaden für Vorstände