BDSG 2018

Bundesdatenschutzgesetz 2018

Bundesdatenschutzgesetz 2018

Vom 5.7.2017

Zuletzt geändert am 30.6.2017

Teil 1
Gemeinsame Bestimmungen
Kapitel 1
Anwendungsbereich und Begriffsbestimmungen
§ 1Anwendungsbereich des Gesetzes § 2Begriffsbestimmungen
Kapitel 2
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 3Verarbeitung personenbezogener Daten durch öffentliche Stellen § 4Videoüberwachung öffentlich zugänglicher Räume
Kapitel 3
Datenschutzbeauftragte öffentlicher Stellen
§ 5Benennung § 6Stellung § 7Aufgaben
Kapitel 4
Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
§ 8Errichtung § 9Zuständigkeit § 10Unabhängigkeit § 11Ernennung und Amtszeit § 12Amtsverhältnis § 13Rechte und Pflichten § 14Aufgaben § 15Tätigkeitsbericht § 16Befugnisse
Kapitel 5
Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle, Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Angelegenheiten der Europäischen Union
§ 17Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle § 18Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder § 19Zuständigkeiten
Kapitel 6
Rechtsbehelfe
§ 20Gerichtlicher Rechtsschutz § 21Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission
Teil 2
Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679
Kapitel 1
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
Abschnitt 1
Verarbeitung besonderer Kategorien personenbezogener Daten und Verarbeitung zu anderen Zwecken
§ 22Verarbeitung besonderer Kategorien personenbezogener Daten § 23Verarbeitung zu anderen Zwecken durch öffentliche Stellen § 24Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen § 25Datenübermittlungen durch öffentliche Stellen
Abschnitt 2
Besondere Verarbeitungssituationen
§ 26Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses § 27Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken § 28Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken § 29Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten § 30Verbraucherkredite § 31Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
Kapitel 2
Rechte der betroffenen Person
§ 32Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person § 33Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden § 34Auskunftsrecht der betroffenen Person § 35Recht auf Löschung § 36Widerspruchsrecht § 37Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Kapitel 3
Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 38Datenschutzbeauftragte nichtöffentlicher Stellen § 39Akkreditierung
Kapitel 4
Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen
§ 40Aufsichtsbehörden der Länder
Kapitel 5
Sanktionen
§ 41Anwendung der Vorschriften über das Bußgeld- und Strafverfahren § 42Strafvorschriften § 43Bußgeldvorschriften
Kapitel 6
Rechtsbehelfe
§ 44Klagen gegen den Verantwortlichen oder Auftragsverarbeiter
Teil 3
Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680
Kapitel 1
Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
§ 45Anwendungsbereich § 46Begriffsbestimmungen § 47Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
Kapitel 2
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 48Verarbeitung besonderer Kategorien personenbezogener Daten § 49Verarbeitung zu anderen Zwecken § 50Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken § 51Einwilligung § 52Verarbeitung auf Weisung des Verantwortlichen § 53Datengeheimnis § 54Automatisierte Einzelentscheidung
Kapitel 3
Rechte der betroffenen Person
§ 55Allgemeine Informationen zu Datenverarbeitungen § 56Benachrichtigung betroffener Personen § 57Auskunftsrecht § 58Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung § 59Verfahren für die Ausübung der Rechte der betroffenen Person § 60Anrufung der oder des Bundesbeauftragten § 61Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten oder bei deren oder dessen Untätigkeit
Kapitel 4
Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 62Auftragsverarbeitung § 63Gemeinsam Verantwortliche § 64Anforderungen an die Sicherheit der Datenverarbeitung § 65Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten § 66Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten § 67Durchführung einer Datenschutz-Folgenabschätzung § 68Zusammenarbeit mit der oder dem Bundesbeauftragten § 69Anhörung der oder des Bundesbeauftragten § 70Verzeichnis von Verarbeitungstätigkeiten § 71Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen § 72Unterscheidung zwischen verschiedenen Kategorien betroffener Personen § 73Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen § 74Verfahren bei Übermittlungen § 75Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung § 76Protokollierung § 77Vertrauliche Meldung von Verstößen
Kapitel 5
Datenübermittlungen an Drittstaaten und an internationale Organisationen
§ 78Allgemeine Voraussetzungen § 79Datenübermittlung bei geeigneten Garantien § 80Datenübermittlung ohne geeignete Garantien § 81Sonstige Datenübermittlung an Empfänger in Drittstaaten
Kapitel 6
Zusammenarbeit der Aufsichtsbehörden
§ 82Gegenseitige Amtshilfe
Kapitel 7
Haftung und Sanktionen
§ 83Schadensersatz und Entschädigung § 84Strafvorschriften
Teil 4
Besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
§ 85Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
Teil 1
Gemeinsame Bestimmungen
Kapitel 1
Anwendungsbereich und Begriffsbestimmungen

§ 1

Anwendungsbereich des Gesetzes

(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch

1. öffentliche Stellen des Bundes,
2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
a) Bundesrecht ausführen oder
b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
2Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

(2) 1Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor. 2Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung. 3Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

(3) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.

(4) 1Dieses Gesetz findet Anwendung auf öffentliche Stellen. Auf nichtöffentliche Stellen findet es Anwendung, sofern

1. der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,
2. die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder
3. der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) fällt.
3Sofern dieses Gesetz nicht gemäß Satz 2 Anwendung findet, gelten für den Verantwortlichen oder Auftragsverarbeiter nur die §§ 8 bis 21, 39 bis 44.

(5) Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.

(6) 1Bei Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum und die Schweiz den Mitgliedstaaten der Europäischen Union gleich. 2Andere Staaten gelten insoweit als Drittstaaten.

(7) 1Bei Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89) stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mitgliedstaaten der Europäischen Union gleich. 2Andere Staaten gelten insoweit als Drittstaaten.

(8) Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten finden die Verordnung (EU) 2016/679 und die Teile 1 und 2 dieses Gesetzes entsprechend Anwendung, soweit nicht in diesem Gesetz oder einem anderen Gesetz Abweichendes geregelt ist.