In einem Satz. Das Bundesdatenschutzgesetz (BDSG) in der Fassung vom 30. Juni 2017 (zuletzt geändert 2023) ergänzt die DSGVO über die Öffnungsklauseln der Verordnung (insbesondere Art. 6, 9, 23, 88, 89) und regelt deutschspezifisch u.a. den §38 DSB-Schwellenwert (20 Personen), §26 Beschäftigtendatenschutz, §32-37 Datenverarbeitung zur Vertragsanbahnung und Bonität, sowie die Organisation der BfDI — wobei seit EuGH C-34/21 (März 2023) mehrere BDSG-Normen wegen unzureichender Eigensubstanz hinterfragt werden.
DSGVO und BDSG bilden in Deutschland eine zweischichtige Datenschutzordnung: Die DSGVO ist unmittelbar geltendes EU-Recht; das BDSG füllt die nationalen Spielräume. Bei Konflikt gilt DSGVO-Vorrang (Art. 288 AEUV). Der EuGH hat klargestellt, dass nationale Öffnungsklausel-Normen eigene konkrete Schutzbestimmungen enthalten müssen.
Die LDSGs (Landesdatenschutzgesetze) der Bundesländer regeln zusätzlich den Datenschutz öffentlicher Stellen der Länder; für private Stellen gilt primär das BDSG.
Für DSGVO-Grundlagen siehe DSGVO Anforderungen. Für die Aufsichtsstruktur BfDI.
Wichtige Punkte
- DSGVO ist unmittelbar geltend; BDSG ergänzt über Öffnungsklauseln.
- §38 BDSG: DSB-Pflicht ab 20 ständig mit automatisierter Verarbeitung beschäftigten Personen.
- §26 BDSG: Spezialregelung Beschäftigtendaten, seit EuGH C-34/21 eingeschränkt.
- §35 BDSG: Bonitätsauskünfte und Scoring (SCHUFA und EuGH C-634/21).
- BDSG-Sanktionen ergänzen DSGVO; §43 BDSG bis 50.000 €, §42 BDSG strafrechtlich.
1. Rechtshierarchie — DSGVO über BDSG
| Norm | Rang | Geltungsbereich |
|---|---|---|
| DSGVO (EU 2016/679) | EU-Verordnung, unmittelbar | EU-weit |
| BDSG (2017) | Bundesgesetz | Deutschland, soweit Öffnungsklauseln |
| LDSGs | Landesrecht | Öffentliche Stellen der Länder |
| Bereichsspezifika (TKG, SGB X, AO) | Bundesgesetze | Sektorspezifisch |
Bei Konflikt zwischen DSGVO und BDSG: DSGVO-Vorrang. Eine BDSG-Norm, die DSGVO-widrig ist, ist nicht anwendbar (EuGH-Rechtsprechung).
2. Öffnungsklauseln — wo BDSG eingreifen darf
Die DSGVO öffnet nationale Spielräume in:
| Art. | Spielraum | BDSG-Umsetzung |
|---|---|---|
| 6 Abs. 2-3 | Konkretisierung Rechtsgrundlagen | §3, §4 BDSG |
| 9 Abs. 2 | Besondere Datenkategorien | §22 BDSG |
| 10 | Strafrechtsdaten | §22 BDSG |
| 22 Abs. 2 lit. b | Automatisierte Entscheidungen | §31 BDSG (Scoring) |
| 23 | Beschränkungen | §32-37 BDSG |
| 37 Abs. 4 | Zwingender DSB | §38 BDSG |
| 88 | Beschäftigtendaten | §26 BDSG |
| 89 | Forschung, Statistik | §27 BDSG |
3. §38 BDSG — DSB-Schwellenwert
§38 BDSG verpflichtet zur Benennung eines DSB, wenn:
- 20 oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ODER
- Verarbeitungen DSFA-pflichtig sind (Art. 35 DSGVO), ODER
- Verarbeitungen geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder Markt- und Meinungsforschung erfolgen
Die “20-Personen-Schwelle” war 2019 von 10 auf 20 angehoben worden, um KMU zu entlasten.
Detail: Datenschutzbeauftragter.
4. §26 BDSG — Beschäftigtendatenschutz
Spezialregelung für HR-Datenverarbeitung (siehe ausführlich DSGVO Personalwesen).
Kernpunkt nach EuGH C-34/21 (März 2023): §26 BDSG genügt nicht als autarke Rechtsgrundlage — DSGVO-Anforderungen müssen zusätzlich erfüllt sein.
5. §32-37 BDSG — Informationspflichten und Betroffenenrechte
Diese Normen schränken DSGVO-Informationspflichten und -Rechte ein:
- §32 — Datenerhebung beim Betroffenen (mit Ausnahmen)
- §33 — Datenerhebung ohne Kenntnis (mit weitergehenden Ausnahmen)
- §34 — Auskunftsrecht-Einschränkungen
- §35 — Löschungseinschränkungen
- §36 — Widerspruch
- §37 — Automatisierte Entscheidungen Einzelfall (insbesondere Versicherungswesen)
Die meisten Einschränkungen wurden seit 2018 von EuGH und Gerichten restriktiv ausgelegt.
6. §35 BDSG — Bonitätsbewertung und Scoring
§35 BDSG (entgegen Nummerierung an §31 angelehnt für Scoring): erlaubt Scoring durch Auskunfteien unter Bedingungen — wissenschaftlich anerkannte Verfahren, ausreichende Datenbasis, keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung.
EuGH C-634/21 (SCHUFA, Dezember 2023): Score-Wert allein ist bereits “automatisierte Einzelfallentscheidung” nach Art. 22 DSGVO, wenn er entscheidungsrelevant ist. SCHUFA-ähnliche Geschäftsmodelle stehen seither unter erhöhtem Anpassungsdruck.
7. §22 BDSG — Besondere Kategorien
§22 BDSG regelt Verarbeitung von Art. 9 DSGVO-Daten (Gesundheit, Religion etc.):
- Beschäftigungskontext (lit. 1a)
- Gesundheitsvorsorge, Arbeits- und Sozialschutz (1b)
- Erhebliches öffentliches Interesse (1c)
- Vorbeugung Gesundheit (1d)
Mit zusätzlichen TOM-Anforderungen nach §22 Abs. 2.
8. §42-43 BDSG — Bußgelder und Strafnormen
| Norm | Tatbestand | Strafrahmen |
|---|---|---|
| §42 BDSG | Strafbare unbefugte Übermittlung oder Veröffentlichung | Bis 3 Jahre Freiheitsstrafe |
| §43 Abs. 1 BDSG | Bußgeld-Tatbestände | Bis 50.000 € |
DSGVO-Bußgelder (Art. 83) bleiben unberührt — gelten parallel.
9. Sektorspezifika — wo BDSG nicht greift
| Sektor | Vorrangiges Recht |
|---|---|
| Telekommunikation | TKG, TTDSG/TDDDG |
| Sozialversicherung | SGB X |
| Steuern | AO |
| Gesundheit | KHG, SGB V, Landeskrankenhausgesetze |
| Banken | KWG, GwG |
| Versicherungen | VVG |
Diese Spezialgesetze haben Vorrang vor BDSG, sind aber DSGVO-konform auszulegen.
10. Bundesländer — LDSGs für öffentliche Stellen
16 LDSGs regeln Datenschutz öffentlicher Stellen der Länder (Behörden, Schulen, kommunale Unternehmen). Für private Unternehmen irrelevant; relevant nur für Kontakte mit Landes-/Kommunalbehörden.
11. Wann gilt was — Entscheidungs-Schema
1. Greift sektorspezifisches Recht (TKG, SGB X, etc.)?
Ja → Sektorrecht + DSGVO-konforme Auslegung
Nein → Schritt 2
2. Gibt es eine DSGVO-Öffnungsklausel für den Fall?
Ja → BDSG-Vorschrift prüfen
Nein → Schritt 3
3. DSGVO direkt anwenden
12. BDSG-Reform-Diskussion 2026
Stand Mai 2026 wird diskutiert:
- Beschäftigtendatengesetz (BeschDG) als Ausgliederung des §26 BDSG
- Anpassungen nach SCHUFA-Urteil (§35 BDSG)
- Klärung Verhältnis zum EU AI Act
- Konsolidierung der Bußgeld-Tatbestände
Voraussichtliches Inkrafttreten weiterer Reformen: 2027.
13. Werkzeuge
Legiscope ordnet jeder Verarbeitung im VVT die anwendbaren BDSG-Normen zu und prüft die Vereinbarkeit mit aktueller EuGH-Rechtsprechung zu Öffnungsklauseln.
Verwandte Leitfäden: DSGVO Anforderungen, Datenschutzbeauftragter, DSGVO Personalwesen.
Fazit
BDSG ist nicht “deutsche DSGVO”, sondern die nationale Ergänzung. Wer DSGVO-Compliance ohne BDSG-Berücksichtigung organisiert, übersieht den DSB-Schwellenwert, die HR-Spezialnorm und sektorspezifische Sonderregeln. Wer BDSG ohne DSGVO-Vorrang anwendet, riskiert nach EuGH-Rechtsprechung Compliance-Lücken.
FAQ
Was ist der Unterschied zwischen DSGVO und BDSG?
DSGVO ist unmittelbar geltendes EU-Recht. BDSG ist deutsches Bundesgesetz, das Spielräume der DSGVO ausfüllt — insbesondere DSB-Schwelle, Beschäftigtendaten und sektorspezifische Regelungen.
Ab wann brauche ich nach BDSG einen DSB?
Nach §38 BDSG bei 20 oder mehr ständig mit automatisierter Datenverarbeitung beschäftigten Personen — unabhängig davon, ob DSGVO-Schwellen (Art. 37 DSGVO) erreicht sind.
Gilt das BDSG auch für nicht-deutsche Unternehmen?
Bei Niederlassung in Deutschland: ja, im jeweiligen Anwendungsbereich der Öffnungsklauseln. Bei reiner Marktortprinzip-DSGVO-Anwendung ohne deutsche Niederlassung: nur DSGVO direkt.
Sind BDSG-Bußgelder zusätzlich zu DSGVO-Bußgeldern?
Ja, §43 BDSG (bis 50.000 €) gilt parallel zu DSGVO Art. 83 (bis 4 % Umsatz). In der Praxis kumulieren Aufsichten meist nicht.
Welche Bedeutung hat das EuGH-Urteil C-34/21 für das BDSG?
§26 BDSG und ähnliche Öffnungsklausel-Normen sind nicht autark anwendbar — die DSGVO-Anforderungen (Erforderlichkeit, Verhältnismäßigkeit) müssen zusätzlich konkret nachgewiesen werden.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial