BDSG praxisnah erklärt: Kurzfassungen, Vorlagen und Querverweise

Das BDSG 2026: Ihr umfassender Praxis-Leitfaden zum Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BDSG) ist die zentrale nationale Rechtsvorschrift für den Datenschutz in Deutschland. Es agiert nicht isoliert, sondern flankiert und konkretisiert die europaweit geltende Datenschutz-Grundverordnung (DSGVO), auf Englisch General Data Protection Regulation (GDPR). Für Unternehmen, Behörden und alle anderen Organisationen, die personenbezogene Daten verarbeiten, ist ein tiefes Verständnis des BDSG unerlässlich, um Compliance sicherzustellen und Bußgelder zu vermeiden. Dieser Leitfaden dient als Ihre Handlungslandkarte durch die Komplexität des BDSG, angereichert mit praxisnahen Vorlagen, Checklisten und einer wertvollen Querverweis-Matrix zur DSGVO.

Kurzzusammenfassung für Entscheider (TLDR)

Das BDSG ist das deutsche Begleitgesetz zur DSGVO. Es nutzt die sogenannten “Öffnungsklauseln” der DSGVO, um spezifische nationale Regelungen zu treffen. Für Sie als Entscheider bedeutet das: Die DSGVO legt den europäischen Rahmen fest, das BDSG füllt diesen mit deutschen Details. Besonders relevant sind die Regelungen zum Beschäftigtendatenschutz (§ 26 BDSG), zur Videoüberwachung (§ 4 BDSG) und zur Benennung eines Datenschutzbeauftragten (§ 38 BDSG). Die Missachtung des BDSG kann ebenso wie ein Verstoß gegen die DSGVO zu empfindlichen Bußgeldern führen. Eine proaktive Auseinandersetzung mit dem BDSG ist daher keine juristische Kür, sondern eine unternehmerische Pflicht.

Aufbau und Geltungsbereich des BDSG: Ein schneller Überblick

Das Bundesdatenschutzgesetz ist logisch in vier Teile gegliedert, die verschiedene Anwendungsbereiche abdecken:

Teil 1: Gemeinsame Bestimmungen. Dieser Teil ergänzt und präzisiert die DSGVO. Er enthält allgemeine Vorschriften, die für fast alle Datenverarbeitungen durch private und öffentliche Stellen gelten. Hier finden sich unter anderem die Regelungen zur Videoüberwachung und zu den Rechten der betroffenen Personen.
Teil 2: Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß der JI-Richtlinie. Dieser Abschnitt ist speziell für Polizei, Staatsanwaltschaften und andere Justiz- und Sicherheitsbehörden relevant und regelt die Datenverarbeitung zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten.
Teil 3: Bestimmungen für Verarbeitungen zu Zwecken außerhalb des Anwendungsbereichs des Unionsrechts. Hier werden Datenverarbeitungen durch deutsche Sicherheitsbehörden im Bereich der nationalen Sicherheit geregelt, die nicht unter die DSGVO oder die JI-Richtlinie fallen.
Teil 4: Schlussbestimmungen. Dieser Teil enthält Übergangsregelungen und das Inkrafttreten des Gesetzes.

Für die meisten Unternehmen und Organisationen ist Teil 1 des BDSG der mit Abstand relevanteste. Er wirkt immer im Zusammenspiel mit der DSGVO und darf nie isoliert betrachtet werden.

Kapitel-für-Kapitel: Klare Kernbotschaften und Pflichten

Innerhalb von Teil 1 des BDSG finden sich mehrere entscheidende Kapitel, deren Kernbotschaften für die Praxis von hoher Bedeutung sind.

Kapitel 1: Anwendungsbereich und Begriffsbestimmungen (§§ 1-3)

Dieses Kapitel stellt klar, für wen das BDSG gilt. Es findet Anwendung auf öffentliche Stellen des Bundes und der Länder (sofern kein Landesdatenschutzgesetz greift) sowie auf nicht-öffentliche Stellen (Unternehmen) in Deutschland. Eine zentrale Regelung ist § 4 BDSG zur Videoüberwachung öffentlich zugänglicher Räume.

Kapitel 2: Rechtsgrundlagen der Verarbeitung (§§ 22-31)

Hier werden die von der DSGVO erlaubten nationalen Spezifizierungen umgesetzt. Die wichtigsten Paragraphen sind:

§ 26 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses): Dies ist die wichtigste Norm für den deutschen Arbeitnehmerdatenschutz. Sie regelt, wann Daten von Bewerbern und Mitarbeitern verarbeitet werden dürfen.
§ 27 BDSG (Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken): Schafft Privilegien für die Forschung, um die Verarbeitung von Daten unter bestimmten Voraussetzungen zu erleichtern.

Kapitel 3: Rechte der betroffenen Person (§§ 32-37)

Dieses Kapitel schränkt einige der Betroffenenrechte aus der DSGVO (wie das Auskunftsrecht) unter bestimmten, eng definierten Umständen ein, beispielsweise wenn Geschäftsgeheimnisse gefährdet wären (§ 34 BDSG).

Kapitel 4: Pflichten der Verantwortlichen und Auftragsverarbeiter (§§ 38-40)

Hier findet sich die für Deutschland wichtige Regelung zur Benennungspflicht eines Datenschutzbeauftragten (DSB). Nach § 38 BDSG müssen Unternehmen in der Regel dann einen DSB benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Querverweis-Matrix: BDSG Paragraphen zu relevanten DSGVO-Artikeln

Diese Matrix hilft Ihnen, die Verbindung zwischen dem deutschen BDSG und dem europäischen Rahmen der DSGVO schnell zu erfassen.

BDSG Paragraph	Thema	Korrespondierender DSGVO-Artikel (Öffnungsklausel)
§ 4 BDSG	Videoüberwachung öffentlich zugänglicher Räume	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
§ 26 BDSG	Beschäftigtendatenschutz	Art. 88 DSGVO (Datenverarbeitung im Beschäftigungskontext)
§ 27 BDSG	Verarbeitung zu Forschungszwecken	Art. 89 DSGVO (Garantien und Ausnahmen)
§ 34 BDSG	Einschränkung des Auskunftsrechts	Art. 23 DSGVO (Beschränkungen)
§ 38 BDSG	Benennung eines Datenschutzbeauftragten	Art. 37 Abs. 4 DSGVO (nationale Benennungspflichten)
§ 42 BDSG	Strafvorschriften	Art. 84 DSGVO (andere Sanktionen)

Einseitige DSB-Checkliste für Verantwortliche

Diese Checkliste fasst die Kernaufgaben zusammen, die im Kontext des BDSG relevant sind:

Benennungspflicht DSB geprüft? Prüfen Sie, ob Ihr Unternehmen gemäß § 38 BDSG einen Datenschutzbeauftragten benennen muss.
Verträge mit DSB vorhanden? Stellen Sie sicher, dass die Aufgaben und die Stellung des DSB klar vertraglich geregelt sind.
Beschäftigtendatenschutz umgesetzt? Existieren klare Richtlinien und Prozesse für die Verarbeitung von Mitarbeiterdaten gemäß § 26 BDSG?
Videoüberwachung konform? Falls eine Videoüberwachung nach § 4 BDSG stattfindet: Ist sie erforderlich, verhältnismäßig und sind die Hinweisschilder korrekt?
Prozesse für Betroffenenrechte etabliert? Können Sie Auskunfts-, Lösch- und Berichtigungsanfragen unter Berücksichtigung der BDSG-Einschränkungen fristgerecht bearbeiten?
Dokumentation aktuell? Ist Ihr Verzeichnis von Verarbeitungstätigkeiten (VVT) vollständig und auf dem neuesten Stand?

DSFA-Vorlage mit Schritt-für-Schritt-Anleitung

Eine Datenschutz-Folgenabschätzung (DSFA), auf Englisch Data Protection Impact Assessment (DPIA), ist bei Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen erforderlich. Das BDSG hat hier keine eigenen Formvorschriften, verweist aber auf die Pflicht nach Art. 35 DSGVO. Eine strukturierte DSFA sollte folgende Schritte umfassen:

Schritt: Systematische Beschreibung der Verarbeitung
- Zweck der Verarbeitung
- Art, Umfang und Kontext der verarbeiteten Daten
- Beteiligte Akteure (Verantwortlicher, Auftragsverarbeiter, Empfänger)
Schritt: Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Rechtsgrundlage der Verarbeitung (z.B. § 26 BDSG)
- Prüfung, ob der Zweck nicht mit weniger datenintensiven Mitteln erreicht werden kann
Schritt: Risikobewertung für die Betroffenen
- Identifikation potenzieller Risiken (z.B. Diskriminierung, Identitätsdiebstahl)
- Bewertung der Eintrittswahrscheinlichkeit und der Schwere der Risiken
Schritt: Geplante Abhilfemaßnahmen
- Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) zur Risikominderung
- Darlegung, wie die Einhaltung des BDSG und der DSGVO sichergestellt wird
Schritt: Dokumentation und Konsultation
- Einholung der Stellungnahme des Datenschutzbeauftragten
- Gegebenenfalls Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO

Beispielklauseln für Auftragsverarbeitungsverträge (AVV)

Ein Auftragsverarbeitungsvertrag (AVV) ist zwingend erforderlich, wenn ein externes Unternehmen (Auftragsverarbeiter) personenbezogene Daten im Auftrag Ihres Unternehmens (Verantwortlicher) verarbeitet. Gemäß Art. 28 DSGVO muss ein solcher Vertrag mindestens folgende Punkte regeln:

Gegenstand und Dauer der Verarbeitung: Was genau wird wie lange verarbeitet?
Art und Zweck der Verarbeitung: Welche Art von Daten und zu welchem Zweck?
Art der personenbezogenen Daten und Kategorien betroffener Personen: z.B. Kundendaten (Name, Adresse) oder Mitarbeiterdaten (Gehaltsinformationen).
Weisungsgebundenheit: Der Auftragsverarbeiter darf die Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.
Vertraulichkeit: Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit.
Technische und Organisatorische Maßnahmen (TOMs): Gewährleistung der Sicherheit der Verarbeitung.
Unterauftragsverhältnisse: Regelungen für den Einsatz weiterer Auftragsverarbeiter (Genehmigungspflicht).
Unterstützungspflichten: Hilfe bei der Erfüllung der Betroffenenrechte und der Meldung von Datenschutzverletzungen.
Rückgabe oder Löschung der Daten: Regelungen nach Beendigung des Auftrags.
Kontroll- und Auditrechte: Das Recht des Verantwortlichen, die Einhaltung des Vertrags zu überprüfen.

Sektorbriefe: Gesundheit, Beschäftigung, Forschung, Wohnungswesen

Das BDSG enthält spezifische Regelungen für verschiedene Sektoren.

Beschäftigung

§ 26 BDSG ist die zentrale Norm. Er erlaubt die Datenverarbeitung zur Anbahnung, Durchführung und Beendigung von Arbeitsverhältnissen. Wichtig ist hierbei der Grundsatz der Erforderlichkeit: Es dürfen nur Daten erhoben werden, die für die jeweilige Phase des Arbeitsverhältnisses zwingend notwendig sind.

Gesundheit

Die Verarbeitung von Gesundheitsdaten ist durch Art. 9 DSGVO besonders geschützt. Das BDSG konkretisiert in § 22 Abs. 1 Nr. 1 lit. b, unter welchen Voraussetzungen eine Verarbeitung dieser sensiblen Daten im öffentlichen Interesse, z.B. im Bereich der öffentlichen Gesundheit, zulässig sein kann.

Forschung

§ 27 BDSG erleichtert die Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke. Er sieht Privilegierungen vor, etwa bei den Betroffenenrechten, sofern geeignete Garantien (z.B. Pseudonymisierung) zum Schutz der Betroffenen implementiert werden.

Wohnungswesen

Im Wohnungswesen ist insbesondere bei der Verarbeitung von Mieterdaten das BDSG relevant. Die Erhebung von Daten über eine Mieterselbstauskunft muss sich auf das für den Vertragsabschluss Erforderliche beschränken. Scoring-Verfahren durch Auskunfteien unterliegen den strengen Regelungen des § 31 BDSG.

Videoüberwachung: Entscheidungsbaum und Dokumentationspflichten

Die Videoüberwachung nach § 4 BDSG ist nur zulässig, wenn sie zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Entscheidungsbaum (vereinfacht):

Liegt ein zulässiger Zweck vor? (z.B. Schutz vor Vandalismus, Diebstahl)
Ist die Überwachung erforderlich? Gibt es mildere, gleich effektive Mittel?
Überwiegen die Interessen des Verantwortlichen? Eine umfassende Interessenabwägung ist durchzuführen. Besonders sensible Bereiche (z.B. Toiletten, Umkleiden) sind tabu.
Ist die Transparenz gewährleistet? Ein Hinweisschild muss frühzeitig über den Umstand der Beobachtung, die Identität des Verantwortlichen und weitere Pflichtinformationen nach Art. 13 DSGVO aufklären.

Dokumentationspflicht: Die durchgeführte Interessenabwägung, der Zweck, die Speicherfristen und die technischen Maßnahmen müssen schriftlich dokumentiert werden, um der Rechenschaftspflicht nachzukommen.

Dokumentation und Nachweispflichten: Praktische Formate

Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verlangt, dass Sie die Einhaltung der Datenschutzvorschriften nachweisen können. Das BDSG unterstreicht diese Pflicht. Wichtige Dokumente sind:

Verzeichnis von Verarbeitungstätigkeiten (VVT): Das zentrale Dokument, das alle Datenverarbeitungsprozesse im Unternehmen beschreibt.
Datenschutz-Folgenabschätzungen (DSFA): Für alle Hochrisikoverarbeitungen.
Auftragsverarbeitungsverträge (AVV): Für alle externen Dienstleister, die Daten verarbeiten.
Technische und Organisatorische Maßnahmen (TOMs): Eine detaillierte Beschreibung Ihrer Sicherheitsmaßnahmen.
Löschkonzepte: Definieren, wann welche Datenkategorien gelöscht werden.
Schulungsnachweise: Dokumentation der Sensibilisierung Ihrer Mitarbeiter.

Änderungszeitachse: Wichtige Novellen und Prüfpunkte

Das Datenschutzrecht ist dynamisch. Für Ihre Strategieplanung ab 2026 sollten Sie proaktiv folgende Prüfpunkte etablieren:

Regelmäßige Gesetzes-Überwachung: Beobachten Sie aktiv die deutsche und europäische Gesetzgebung. Änderungen am BDSG oder neue EU-Verordnungen können Anpassungen Ihrer Prozesse erfordern.
Technologie-Anpassungen: Prüfen Sie bei der Einführung neuer Technologien (z.B. KI-Systeme), ob diese neue datenschutzrechtliche Fragen aufwerfen, die durch das aktuelle BDSG möglicherweise noch nicht abgedeckt sind.
Rechtsprechungs-Review: Analysieren Sie quartalsweise die Urteile der Aufsichtsbehörden und Gerichte zum BDSG, um Ihre Risikobewertung und Compliance-Maßnahmen anzupassen.

Barrierefreie Publikation: Anforderungen und Downloadformate

Öffentliche Stellen des Bundes sind nach dem Behindertengleichstellungsgesetz (BGG) und der Barrierefreie-Informationstechnik-Verordnung (BITV 2.0) verpflichtet, ihre Webseiten und Dokumente barrierefrei zu gestalten. Dies betrifft auch datenschutzrechtliche Informationen wie Datenschutzerklärungen. Die Bereitstellung in Formaten wie barrierefreien PDFs (PDF/UA) ist hierbei ein wichtiger Baustein, um der Informationspflicht transparent und inklusiv nachzukommen.

Kurzfälle: Praxisnahe Beispiele und Lösungsnotizen

Fall 1: Bewerbungsunterlagen

Szenario: Ein Unternehmen bewahrt die Unterlagen abgelehnter Bewerber länger als sechs Monate auf, um auf einen “Talent-Pool” zugreifen zu können.

Lösungsnotiz: Dies ist ohne eine explizite, freiwillige und informierte Einwilligung des Bewerbers unzulässig. Nach § 26 BDSG ist die Verarbeitung nur für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses zulässig. Nach Abschluss des Verfahrens entfällt der Zweck. Eine kurze Aufbewahrung (max. 6 Monate) zur Abwehr von Ansprüchen nach dem AGG ist zulässig, danach muss gelöscht werden. Für einen Talent-Pool ist eine aktive Einwilligung erforderlich.

Fall 2: Videoüberwachung am Mitarbeitereingang

Szenario: Ein Unternehmen installiert eine Kamera am Mitarbeitereingang, die den gesamten Bereich permanent filmt.

Lösungsnotiz: Eine permanente Überwachung von Mitarbeitern ist in der Regel unverhältnismäßig. Die Interessenabwägung nach § 4 BDSG und § 26 BDSG würde hier wahrscheinlich zugunsten der Mitarbeiter ausfallen. Ein berechtigtes Interesse (z.B. Zutrittskontrolle) könnte auch mit milderen Mitteln (z.B. Chipkartenleser) erreicht werden. Eine Videoüberwachung wäre nur in Ausnahmefällen, etwa bei einem konkreten Diebstahlverdacht und zeitlich begrenzt, denkbar.

Glossar und amtliche Referenzen

Verantwortlicher: Die natürliche oder juristische Person, Behörde etc., die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter: Eine natürliche oder juristische Person, Behörde etc., die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
DSFA (Datenschutz-Folgenabschätzung): Ein Instrument zur Bewertung der Risiken einer Datenverarbeitung für die Betroffenen.
BDSG (Bundesdatenschutzgesetz): Das deutsche Gesetz zur Konkretisierung und Ergänzung der DSGVO.

BDSG praxisnah erklärt: Kurzfassungen, Vorlagen und Querverweise