Der Datenschutz in Deutschland wird durch ein mehrstufiges Regelwerk bestimmt, das europäische und nationale Vorschriften verzahnt.
Die drei zentralen Gesetze
1. Datenschutz-Grundverordnung (DSGVO) Die DSGVO ist eine EU-Verordnung, die seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten gilt. Sie ist das Leitgesetz des Datenschutzes und regelt umfassend den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Art. 1 DSGVO). Die DSGVO besteht aus 99 Artikeln in 11 Kapiteln und 173 Erwägungsgründen. Sie hat Vorrang vor nationalem Recht.
2. Bundesdatenschutzgesetz (BDSG) Das BDSG ergänzt und konkretisiert die DSGVO für Deutschland. Es nutzt die zahlreichen Öffnungsklauseln der DSGVO, etwa im Beschäftigtendatenschutz (Paragraph 26 BDSG), bei der DSB-Pflicht (Paragraph 38 BDSG) oder bei der Verarbeitung besonderer Datenkategorien (Paragraph 22 BDSG). Das BDSG tritt zurück, wo die DSGVO unmittelbar gilt (Paragraph 1 Abs. 5 BDSG).
3. Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) Das TDDDG (früher TTDSG) regelt den Datenschutz speziell in der Telekommunikation und bei digitalen Diensten. Besonders wichtig ist Paragraph 25 TDDDG, der sogenannte "Cookie-Paragraph", der die Einwilligungspflicht für Cookies und ähnliche Technologien regelt. Das TDDDG setzt die ePrivacy-Richtlinie (2002/58/EG) in deutsches Recht um.
Weitere relevante Vorschriften
Daneben existieren zahlreiche bereichsspezifische Regelungen: Landesdatenschutzgesetze für Landesbehörden, das Sozialgesetzbuch (SGB) für Sozialdaten, das Telekommunikationsgesetz (TKG), kirchliche Datenschutzgesetze (KDG, DSG-EKD) sowie branchenspezifische Vorschriften im Gesundheits- und Finanzsektor.
Was müßen Sie tun?
Prüfen Sie für jede Datenverarbeitung, welche Gesetze anwendbar sind. In der Praxis ist fast immer die DSGVO als Basis relevant. Das BDSG kommt hinzu, wenn deutsche Sonderregelungen greifen (z.B. Beschäftigtendatenschutz). Das TDDDG ist relevant, sobald Sie eine Website, App oder einen digitalen Dienst betreiben.