Struktur und Aufbau
Das Bundesdatenschutzgesetz ist ein so genanntes „Auffanggesetz“, das dem Grundsatz der Subsidiarität folgt. Dies bedeutet, dass es im Einzelfall lediglich dann zur Anwendung gelangt, wenn kein anderes Gesetz den zu bewertenden Sachverhalt spezieller regelt. Dies ergibt sich aus § 1 Abs. 2 und Abs. 5 BDSG: „Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor.“ Zudem besitzt die DSGVO Vorrang: „Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.“ Dementsprechend, kann das BDSG nur zur Anwendung kommen, falls die DSGVO das mit sogenannten Öffnungsklauseln zulässt.
Unbedingt beachtet werden sollte ferner, dass das Bundesdatenschutzgesetz ein im gesamten Sektor des Schutzes personenbezogener Daten geltendes „Verbot mit Ausnahmevorbehalt“ normiert, vgl. § 1 BDSG. Dies bedeutet, dass es zunächst einmal unzulässig ist, personenbezogene Daten zu verarbeiten, es sei denn, dass dies im konkreten Einzelfall ein Erlaubnistatbestand gestattet. Der Erlaubnistatbestand kann sich seinerseits aus der DSGVO oder einer spezialgesetzlichen Regelung oder aus dem BDSG selbst ergeben. Für das Vorhandensein eines solchen Erlaubnistatbestandes trägt im Streitfalle immer die für die Verarbeitung der Daten Verantwortliche die Verantwortung und die Beweislast. Aus diesem Grund ist jedes Unternehmen gut beraten, die Rechtsgrundlagen, auf welche Verarbeitungsprozesse personenbezogener Daten gestützt werden, nachweisbar zu dokumentieren, Art. 5 Abs. 2 DSGVO.
1. Struktur und Aufbau des BDSG
Das BDSG gliedert sich in zwei Teile mit jeweils Unterkapiteln:
- Teil: Gemeinsame Bestimmungen
, - Teil: Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679
2. Anwendungsbereich
Das BDSG findet bundesweit für den Sektor der privaten Wirtschaft Anwendung, sofern eine Verarbeitung personenbezogener Daten ganz oder teilweise automatisiert stattfindet oder personenbezogene Daten bei nicht automatisierten Verarbeitungen in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nicht anwendbar sind hier die Landesdatenschutzgesetze – sie gelten nur für die öffentliche Landesverwaltung. Allerdings handelt es sich bei dem BDSG um ein so genanntes „Auffanggesetz“. Dies bedeutet, dass es lediglich nachrangig dann einschlägig ist, wenn keine andere Vorschrift den betreffenden Lebenssachverhalt spezieller regelt oder die DSGVO den Lebenssachverhalt unmittelbar regelt, s. o..