De BDSG (Bundesdatenschutzgesetz) regelt het verzamelen, verwerken en gebruiken van persoonsgegevens, alsmede het doorgeven ervan aan derden. Zowel handmatige als geautomatiseerde systemen van overheids- en niet-overheidsinstanties worden in aanmerking genomen.
De eerste gedachten over alomvattende gegevensbescherming en de bescherming van de persoonlijke levenssfeer ontstonden in de jaren zestig in de Verenigde Staten, parallel aan de ontwikkeling van de computertechnologie. Voordien bestonden er alleen geïsoleerde regelingen zoals het belasting- en postgeheim, het medisch beroepsgeheim of het zegel van de biecht.
De eerste wet op de gegevensbescherming ter wereld werd in 1970 in de deelstaat Hessen aangenomen, waarna de federale regering in 1977 met de eerste uitgave van de federale wet op de gegevensbescherming (BDSG) kwam. Na de zeer omstreden volkstelling van 1983 en een beslissende uitspraak van het Federale Constitutionele Hof werd het duidelijk dat de tot dan toe geldende wetgeving niet voldeed aan de grondwettelijke vereisten inzake gegevensbescherming en moest worden gewijzigd. Ook hier was Hessen in 1986 de pionier, vier jaar later gevolgd door de federale regering.
Na diverse wijzigingen is er sinds 2018 een nieuwe BDSG die voldoet aan de EU-richtlijnen. Het is in 2017 aangenomen als onderdeel van de Wijzigings- en Uitvoeringswet gegevensbescherming EU (DSAnpUG-EU) en is op 28 mei 2018 in werking getreden, samen met de nieuwe Algemene verordening gegevensbescherming (GDPR).
Inhoud van de BDSG
De BDSG van 2018 bestaat uit 85 paragrafen in vier delen en bevat alle relevante bepalingen over gegevensbescherming in Duitsland, in het verlengde van andere wetboeken. De nadruk ligt op uitgebreide regelgeving inzake digitale gegevensbescherming, die recht moet doen aan de snelle ontwikkeling van de digitalisering. De hoogste prioriteit heeft de bescherming van de persoonlijke levenssfeer, die in de overgrote meerderheid van de gevallen voorrang krijgt boven openbare of zakelijke belangen.
Het eerste deel regelt hoe en wanneer de BDSG van toepassing is, waar de verantwoordelijkheid voor de naleving ligt en wie het recht heeft deze te toetsen. Het tweede deel bepaalt welke instanties gegevens mogen verzamelen en verwerken en hoe deze moeten worden beveiligd. De nadruk ligt op de rechten van de personen die worden geregistreerd en opgeslagen – sterk gebaseerd op de GDPR, die in heel Europa van toepassing is. Deel 3 regelt het interne en externe gebruik en de verwerking van persoonsgegevens in bedrijven. Het vierde deel betreft bijzondere gevallen in verband met derde landen en personen buiten de EU op wie de Duitse bepalingen slechts gedeeltelijk van toepassing zijn.
Verplichting tot uitvoering
Zowel overheidsinstanties zoals overheden als particuliere organisaties zoals ondernemingen zijn verplicht de bepalingen van de BDSG in de huidige versies uit te voeren. Kennisneming alleen is niet voldoende om ervoor te zorgen dat wettelijk in overeenstemming wordt gehandeld. Op dit punt is de BDSG nauw verwant met de GDPR, die uniforme richtsnoeren geeft voor de hele Europese Unie.