E. DS-GVO und nationales Recht
Wie Art. 9 DS-GVO mit dem BDSG und anderen deutschen Gesetzen zusammenhängt – Vorrang, Spielräume und Pflichten.
Zurück zur Übersicht Art. 9 DS-GVO.
Auf einen Blick
Die DS-GVO gilt als EU-Verordnung direkt in ganz Deutschland – ohne dass der Bundestag sie erst umsetzen muss. Sie hat Vorrang vor nationalem Recht. Das BDSG und andere deutsche Gesetze dürfen die DS-GVO nur konkretisieren oder – in bestimmten Bereichen – verschärfen.
I. Wie deutsches Recht neben der DS-GVO stehen darf
| Art des nationalen Rechts | Zulässig? |
|---|---|
| Konkretisierungen und Ausführungsregeln | ✅ Ja, soweit die DS-GVO Spielraum lässt |
| Öffnungsklauselrecht (z. B. über Art. 9 Abs. 4) | ✅ Ja, im jeweiligen Rahmen |
| Strengere Regeln für genetische, biometrische und Gesundheitsdaten | ✅ Ja, nach Art. 9 Abs. 4 |
| Lockerungen des DS-GVO-Schutzniveaus | ❌ Nein |
II. Was das BDSG zu Art. 9 regelt
Das Bundesdatenschutzgesetz 2018 (BDSG) enthält mehrere Vorschriften, die Art. 9 DS-GVO konkretisieren:
| BDSG-Vorschrift | Funktion |
|---|---|
| § 22 Abs. 1 BDSG | Erlaubnisnormen für Gesundheitsdaten (Umsetzung von lit. b, h, i) |
| § 22 Abs. 2 BDSG | Pflicht zu Schutzmaßnahmen bei allen Art. 9-Daten |
| § 23 BDSG | Weiterverarbeitung besonderer Datenkategorien |
| § 26 Abs. 3 BDSG | Einwilligung im Arbeitsverhältnis für besondere Kategorien |
| § 27 BDSG | Wissenschaftliche Forschung und Statistik (Umsetzung von lit. j) |
| § 28 BDSG | Archivierung im öffentlichen Interesse (Umsetzung von lit. j) |
Was § 22 Abs. 2 BDSG verlangt
Wer besondere Datenkategorien verarbeitet, muss angemessene und spezifische Schutzmaßnahmen treffen. Das ist keine Empfehlung – es ist Pflicht. Dazu gehören:
- Technische Maßnahmen: Verschlüsselung, Pseudonymisierung, Zugangsbeschränkungen
- Organisatorische Maßnahmen: Schulungen, interne Richtlinien, Datenschutzbeauftragter
- Kontrollen: Protokollierung, regelmäßige Überprüfung
III. Fachgesetze, die besondere Datenkategorien betreffen
Neben dem BDSG gibt es viele weitere deutsche Gesetze, die für sensible Daten relevant sind. Diese gehen dem BDSG als speziellere Gesetze vor:
| Gesetz | Bereich | Relevante Kategorien |
|---|---|---|
| GenDG | Genetische Diagnostik | Genetische Daten |
| SGB V (§§ 284 ff.) | Gesetzliche Krankenversicherung | Gesundheitsdaten |
| SGB XI (§§ 94 ff.) | Pflegeversicherung | Gesundheits- und Pflegedaten |
| IfSG (§§ 9 ff.) | Infektionsschutz | Gesundheitsdaten (Meldepflichten) |
| Krankenhausgesetze der Länder | Stationäre Versorgung | Gesundheitsdaten |
| ArbSchG | Arbeitsschutz | Gesundheitsdaten (Betriebsarzt) |
IV. Datenschutz-Folgeabschätzung (DSFA)
Wer besondere Datenkategorien in großem Umfang verarbeitet, muss vorher eine Datenschutz-Folgeabschätzung (DSFA) durchführen. Das ist eine systematische Prüfung der Risiken für die betroffenen Personen.
Verzeichnis von Verarbeitungstätigkeiten
Jede Verarbeitung sensibler Daten muss im Verarbeitungsverzeichnis nach Art. 30 DS-GVO dokumentiert werden – auch für kleine Unternehmen. Es gibt hier keine Ausnahme.
Datenschutzbeauftragter
Wer sensible Daten umfangreich verarbeitet, muss einen Datenschutzbeauftragten benennen. In Deutschland konkretisiert § 38 Abs. 1 BDSG diese Pflicht für private Unternehmen.
Häufige Fragen (FAQ)
Muss ich als kleines Unternehmen auch ein Verarbeitungsverzeichnis führen? Ja – für sensible Daten gibt es keine Ausnahme von der Dokumentationspflicht, auch nicht für Kleinstunternehmen.
Wann brauche ich einen Datenschutzbeauftragten? Wenn Sie sensible Daten umfangreich verarbeiten. „Umfangreich" richtet sich nach Menge, Dauer, geographischer Ausdehnung und dem Risiko für Betroffene.
Was passiert, wenn mein Fachgesetz und die DS-GVO sich widersprechen? In der Regel geht die striktere Regelung vor – wenn das Fachgesetz auf Art. 9 Abs. 4 basiert und strenger ist als die DS-GVO, hat es Vorrang. Lockert das Fachgesetz hingegen den DS-GVO-Schutz, ist es unzulässig.
Zurück zur Übersicht Art. 9 DS-GVO