Das Bundesdatenschutzgesetz (BDSG) ist das zentrale nationale Datenschutzgesetz in Deutschland und ergänzt die Vorgaben der Datenschutz-Grundverordnung (DSGVO) um spezifische Regelungen für den deutschen Rechtsraum. Seit dem 25. Mai 2018 gilt das BDSG in seiner aktuellen Fassung als sogenannte Öffnungsgesetzgebung, das heißt, es nutzt die Spielräume, die die DSGVO den Mitgliedstaaten bei der Ausgestaltung einzelner Regelungsbereiche lässt. Für Einrichtungen der Sozialwirtschaft hat das BDSG in mehreren Punkten unmittelbare Relevanz, da es insbesondere die Rechte von Beschäftigten konkretisiert, die Videoüberwachung regelt, bestimmte Pflichten bei der Bestellung von Datenschutzbeauftragten festlegt und Anforderungen an Datenverarbeitungen im Bereich der öffentlichen Stellen oder im Zusammenhang mit Strafverfolgung beschreibt.

Ein besonders praxisrelevanter Bereich ist § 26 BDSG, der die Datenverarbeitung im Beschäftigungskontext regelt. Sozialwirtschaftliche Einrichtungen verarbeiten regelmäßig personenbezogene Daten ihrer Mitarbeitenden, sei es im Rahmen von Bewerbungsverfahren, in der Personalakte, bei der Zeiterfassung oder in arbeitsmedizinischen Zusammenhängen. Hier gilt, dass Daten nur verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Darüber hinaus erlaubt § 26 Abs. 3 BDSG auch die Verarbeitung besonders sensibler Daten, etwa Gesundheitsdaten, wenn dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist. Für die tägliche Praxis bedeutet das, dass jede personenbezogene Erhebung im Beschäftigungskontext auf ihre Notwendigkeit hin überprüft und auf das erforderliche Maß begrenzt werden muss. Pauschale Einwilligungen der Beschäftigten genügen in der Regel nicht, um weitreichende Verarbeitungen zu legitimieren.

Ein weiterer Bereich, in dem das BDSG eine Ergänzung zur DSGVO darstellt, betrifft die Videoüberwachung öffentlich zugänglicher Räume. In § 4 BDSG wird geregelt, unter welchen Voraussetzungen solche Maßnahmen zulässig sind. Diese Bestimmung ist vor allem in Einrichtungen mit Publikumsverkehr von Bedeutung, etwa in stationären Einrichtungen oder offenen Jugendhilfestrukturen. Auch wenn der Einsatz von Videoüberwachung in der Regel auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, konkretisiert § 4 BDSG die Anforderungen und stellt klar, dass der Zweck der Überwachung sowie die Erforderlichkeit und Angemessenheit im Vordergrund stehen müssen. Gleichzeitig bleibt die Pflicht zur umfassenden Information der Betroffenen bestehen.

Darüber hinaus regelt das BDSG in § 38 die Bedingungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Während die DSGVO eine Bestellung grundsätzlich nur dann verlangt, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Daten liegt, setzt das BDSG eine Schwelle von regelmäßig mindestens 20 Personen an, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies betrifft viele Träger in der Sozialwirtschaft, insbesondere dann, wenn interne Verwaltung, Dokumentation und Kommunikation digital organisiert sind. In diesen Fällen ist die rechtzeitige Bestellung eines Datenschutzbeauftragten nicht nur eine gesetzliche Pflicht, sondern auch ein wesentlicher Bestandteil des internen Datenschutzkonzepts.

Nicht zuletzt enthält das BDSG auch Regelungen zur Bußgeldverhängung, zu Schadensersatzansprüchen und zur Durchsetzung von Betroffenenrechten im nationalen Kontext. Zwar gilt die DSGVO unmittelbar in der gesamten EU, doch das BDSG ergänzt diese Vorgaben mit Ausführungsregelungen, die für deutsche Einrichtungen verbindlich sind. Für Träger und Einrichtungen der Sozialwirtschaft ist es daher unerlässlich, sich nicht nur mit der DSGVO auszukennen, sondern auch die Vorschriften des BDSG in die tägliche Praxis zu integrieren. Dies betrifft etwa die Gestaltung von Arbeitsverträgen, die Nutzung digitaler Systeme, die Kontrolle von Auftragsverarbeitern und die Dokumentation von Verarbeitungstätigkeiten.

Die IJOS Datenschutzmanagement-Software (DSM) bietet hierfür ein systematisches Instrumentarium, mit dem sowohl die Anforderungen der DSGVO als auch die spezifischen Ergänzungen durch das BDSG erfasst und umgesetzt werden können. Über das zentrale Modul zur Verzeichnisführung, zur Bewertung von Risiken und zur Durchführung von Datenschutz-Folgenabschätzungen lassen sich datenschutzrechtliche Vorgaben nachvollziehbar abbilden. Auch für die interne Dokumentation von Schulungen, Einwilligungen und datenschutzrechtlichen Prozessen bietet die Software praxiserprobte Vorlagen. Ergänzend können über die Whistleblower-Plattform der IJOS GmbH Verstöße gegen das BDSG intern gemeldet werden, was insbesondere bei wiederholten Verstößen im Beschäftigtendatenschutz oder beim unzulässigen Einsatz von Überwachungstechnologie ein wichtiges Frühwarnsystem darstellen kann.

Das BDSG ist ein unverzichtbarer Bestandteil des datenschutzrechtlichen Regelungsgefüges in Deutschland. Wer in der Sozialwirtschaft mit personenbezogenen Daten arbeitet, muss sowohl die DSGVO als auch das BDSG in Einklang bringen und in der eigenen Einrichtung operativ wirksam machen. Nur so kann ein verlässlicher, rechtskonformer und verantwortungsvoller Umgang mit personenbezogenen Daten gewährleistet werden.