Protección de Datos en Alemania
Este elemento es una ampliación de las guías y los cursos de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs]
Ley Federal de protección de datos (Bundesdatenschutzgesetz – BDSG)
El 27 de abril de 2017 el Parlamento alemán aprobó el BDSG para hacer uso de la cláusula de apertura prevista en el Reglamento General de protección de datos de la UE (GDPR). Este proyecto de ley ha sido polémico.
El nuevo BDSG sustituye a su predecesor nacional, que ha estado en vigor durante los últimos 40 años. El nuevo BDSG es el primer paso hacia la adaptación de la ley nacional de los Estados miembros alemanes a las disposiciones del GDPR. Con una fecha efectiva del 25 de mayo de 2018, el nuevo BDSG también será la base para la adaptación de otros actos de privacidad de datos alemanes al GDPR. Observamos que varios ministerios ya han indicado que están preparando disposiciones específicas de privacidad de datos sobre situaciones especiales de procesamiento, como la protección de datos de seguridad social, y esperamos que estas disposiciones sigan la aplicación de la BDSG.
Esta descripción resume las implicaciones principales del BDSG para las compañías que operan en Alemania.
Para la aplicación práctica del GDPR y del BDSG, es importante tener en cuenta que el GDPR sustituye a las leyes de los Estados miembros y deja solo espacio limitado para las disposiciones de la legislación nacional.
Las empresas que operan en Alemania deben analizar los nuevos requisitos de BDSG y asegurarse de que las operaciones locales cumplen con ellos.Entre las Líneas En muchos proyectos de implementación de GDPR, esta ley nacional de implementación de GDPR afectará a varios paquetes de trabajo.Entre las Líneas En particular, los encargados de tomar decisiones deben comenzar a adoptar las nuevas reglas de protección de datos de los empleados de BDSG.Entre las Líneas En particular, deben iniciar rápidamente las negociaciones para los respectivos acuerdos del Consejo de obras. Cuando los cambios necesarios afecten la privacidad de los datos en el lugar de trabajo, deben estar alineados con los comités de empresa; Esto puede ser un proceso que requiere mucho tiempo.
Cabe señalar que la mayoría de las disposiciones de la BDSG que pueden ir más allá del alcance de la GDPR tienen una relevancia práctica limitada ya que los tribunales y las autoridades alemanas no deben aplicar las disposiciones del BDSG si las consideran contrarias al derecho europeo. Cuando dichas disposiciones limiten los derechos sujetos a los datos, las empresas deberían considerar la posibilidad de que las disposiciones puedan ser revisadas por el Tribunal de Justicia de las comunidades europeas antes de adherirse a las disposiciones de la BDSG sobre los requisitos de la GDPR.
Las empresas deben ser conscientes de los siguientes nuevos requisitos clave bajo el BDSG y el GDPR:
- Situaciones específicas de procesamiento: el BDSG contiene disposiciones particulares para algunas situaciones concretas de procesamiento, como la protección de datos en el trabajo, la vigilancia por vídeo y la perfilación.
- Oficiales de protección de datos: las normas alemanas relativas a la obligación de nombrar un funcionario de protección de datos son más estrictas que las estipuladas por el arts. 37 GDPR. Según la SEC. 38 BDSG, las empresas que operan en Alemania deben designar un funcionario de protección de datos si emplean constantemente al menos 10 personas que se ocupan del tratamiento automatizado de los datos personales.
Otros Elementos
Además, las empresas también deben nombrar a un oficial de protección de datos si realizan el procesamiento que está sujeto a una evaluación de impacto de protección de datos de acuerdo con Art. 35 GDPR o si procesan comercialmente los datos personales para fines de transferencia o transferencia anónima o para propósitos de investigación de mercado o de opinión.
Video vigilancia: sec. 4 BDSG, en principio, permite la videovigilancia de los espacios públicos accesibles. Los controladores deben tomar las medidas apropiadas para que la vigilancia y los nombres de los controladores y los datos de contacto se identifiquen lo antes posible. - Riesgos elevados en caso de mala conducta: el GDPR estipula multas administrativas de hasta 20 millones de euros o el 4 por ciento de los ingresos globales, dependiendo de qué importe sea mayor. Las violaciones que solo se refieren a la ley de requisitos BDSG se limitarán a una multa máxima de 50.000 EUR, pero este escenario será raro en la práctica y abarcará casos muy específicos solamente, como los derechos de información referidos a los préstamos de consumo.Entre las Líneas En todos los demás casos, se aplican las altas multas máximas estipuladas por el GDPR.
- Indemnización por sufrimiento personal: los sujetos de datos (incluidos los empleados) pueden reclamar daños por daños no pecuniarias. Se trata de una nueva responsabilidad, que puede dar lugar a riesgos económicos sustanciales para las empresas. No solo los propios clientes, sino también las asociaciones pueden iniciar procedimientos judiciales. Se prevé que este nuevo mecanismo de recurso facilitará la afirmación de las reivindicaciones reales o reivindicadas. La ley de aplicación alemana no reduce la exposición de los controladores a las reclamaciones civiles.
- Carga de la prueba: las empresas tienen que demostrar que cumplen con las normas vigentes de protección de datos. Para ello, las empresas también deben aplicar las extensas obligaciones de documentación establecidas por el GDPR. La carga comprensiva de la prueba para los reguladores no es reducida por el BDSG.
- Las partes del BDSG anterior permanecen: la legislatura alemana parece preservar la mayor parte de las disposiciones alemanas anteriores con respecto a empleados ´ protección de datos en el nuevo BDSG.
- Transparencia: las obligaciones de notificación extensas indicadas en secs. 13 y siguientes GDPR permanecen en gran medida. Aunque los borradores más antiguos de la BDSG contenían amplias restricciones con respecto a los derechos de los sujetos de datos, la legislatura ha eliminado la mayoría de estas disposiciones.
Pormenores
Las autoridades alemanas de protección de datos han criticado estas obligaciones informativas restringidas como una violación del derecho obligatorio de la UE. Los cumplimientos deben analizar estas restricciones y decidir si tienen la intención de depender de estas restricciones BDSG.
- También es necesario tener en cuenta que las estructuras específicas de información para cada país reducirán los efectos de la armonización en las estructuras de gestión de la privacidad de datos a escala mundial (o global) o a nivel de la UE.
- Controles de cumplimiento agravados: el GDPR también trae consigo requisitos que pueden afectar considerablemente el monitoreo de cumplimiento. La detección de delitos u otras infracciones del derecho sigue siendo admisible.
Aviso
No obstante, el empleador debe observar requisitos estrictos, especialmente en lo que respecta a la transparencia del tratamiento de los datos. Las secciones 32 y siguientes del BDSG prever las limitaciones de los derechos sujetos a los datos según las arts. 12 y siguientes GDPR. Algunas de esas limitaciones de los Estados miembros pueden utilizarse posiblemente para facilitar el procesamiento de datos con el fin de cumplir los objetivos del cumplimiento.
- Documentación: las obligaciones extensas de la documentación indicadas por el GDPR no son limitadas por el BDSG. Con el fin de defenderse de las demandas civiles de las multas regulatorias y de los sujetos de datos, las empresas necesitan ser capaces de documentar sus esfuerzos generales para lograr el cumplimiento de la GDPR y la BDSG.
Otros Elementos
Además, deben adaptar sus sistemas de ti y su documentación respectiva de manera que les permita probar qué datos personales corresponden a los sujetos de datos específicos que procesan, así como para qué fines y por qué medios.
- Los comités de empresa y la nueva sec. 26 BDSG: donde los comités de empresa procesan los datos personales, también deben cumplir con los reglamentos de la BDSG y GDPR en el futuro. Se trata de un cambio considerable, ya que los comités de empresa alemanes anteriormente no tenían que respetar los requisitos específicos de protección de datos, sino solo las normas más amplias de la ley de Constitución de obras alemanas y otras leyes generales de empleo.
- Acuerdos del Consejo de Obras: los convenios colectivos siguen siendo un instrumento legítimo para la regulación del procesamiento de datos admisible.
Puntualización
Sin embargo, estos acuerdos deben cumplir los requisitos de la sección 88 párr. 2 GDPR y sec. 26 BDSG.
📬Si este tipo de historias es justo lo que buscas, y quieres recibir actualizaciones y mucho contenido que no creemos encuentres en otro lugar, suscríbete a este substack. Es gratis, y puedes cancelar tu suscripción cuando quieras: Qué piensas de este contenido? Estamos muy interesados en conocer tu opinión sobre este texto, para mejorar nuestras publicaciones. Por favor, comparte tus sugerencias en los comentarios. Revisaremos cada uno, y los tendremos en cuenta para ofrecer una mejor experiencia.▷ Lo último (en 2026)▷ Si te gustó este texto o correo, considera compartirlo con tus amigos. Si te lo reenviaron por correo, considera suscribirte a nuestras publicaciones por email de Derecho empresarial, Emprender, Dinero, Marketing digital y SEO, Ensayos, Políticas, Ecología, Carreras, Liderazgo, Inversiones y startups, Ciencias sociales, Derecho global, Humanidades, Startups, y Sectores económicos, para recibir ediciones futuras.Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):
Una Conclusión
Por lo tanto, muchos de los acuerdos del Consejo de obras en vigor tienen que ser enmendados individualmente o mediante un acuerdo marco de obras respectivas.Entre las Líneas En particular, los respectivos acuerdos del Consejo de obras deben contener disposiciones específicas que reflejen las exigencias del art. 88 (2) GDPR así como los de art. 5 RDA.
Autor: Williams
▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.
Debemos ser muy cautelosos de que un éxito notable como el Reglamento General de protección de datos de la UE no se diluya y devaluara por una parte de la legislación nacional. El texto del gobierno federal alemán socava las normas europeas comunes, restringe los derechos de los sujetos de datos y permite que Alemania siga su propio camino en áreas como la vigilancia por vídeo.
Esta ley es buena para los abogados, pero malo para los que tienen que aplicar las nuevas disposiciones. Incluso los expertos apenas entienden las reglas previstas. Las empresas tendrían que gastar mucho dinero para implementar las reglas complejas planificadas. El proyecto también es impreciso en muchos lugares. Esto conducirá a problemas con la interpretación – y, a su vez, litigios y costos.
El gobierno federal alemán corre el riesgo de revertir los avances logrados por el Reglamento General de protección de datos para empresas y consumidores. Las disposiciones del proyecto que se desvían del Reglamento podrían volver a causar incertidumbre jurídica y fragmentación del mercado. Restringir los derechos de los consumidores en beneficio de ciertos modelos de negocio es simplemente contra el derecho de la UE.
El plan para que Alemania siga su propio camino en la protección de datos será bastante costoso para las empresas.
La ley sirve principalmente a los propósitos del gobierno federal alemán, que quiere demostrar que está estableciendo su propio curso sobre protección de datos después de no hacerlo cuando se está desarrollando la reforma de protección de datos de la UE. Sin embargo, esta postura incitará inmediatamente a otros Estados miembros a apartarse del consenso europeo, que sería desastroso sobre todo para las empresas y los consumidores en Alemania.
La norma ostensiblemente tiene como objetivo ayudar a las empresas mediante la restricción de los derechos de los consumidores y los empleados. Sin embargo, este enfoque no funcionará en un club de Naciones como la UE, donde las posiciones comunes son más importantes que los países individuales que lo van a hacer solos.
En el futuro, cada empresa y cada consumidor tendrá que lidiar con no uno o dos, sino tres o incluso cuatro leyes: el Reglamento General, el estatuto de enmienda nacional, las leyes nacionales especiales en esferas como la seguridad social y la protección de datos de los empleados , así como la Directiva de protección de datos que cubre la seguridad pública. Los expertos serán los únicos que podrán ver la imagen completa – dejando al consumidor ordinario mucho en la oscuridad.
Los consumidores y los empleados de las empresas simplemente no podrán entender la nueva ley prevista, que abrirá lagunas y creará incertidumbre jurídica. Esto es una desventaja para los consumidores. Además, el proyecto sigue apuntando a restringir los derechos de los sujetos de datos, tales como sus derechos a la información cuando se procesan sus datos.
La restricción de los derechos de los sujetos de datos pesa muchísimo y, en esta forma, sería inmediatamente anulada por el Tribunal de Justicia de las comunidades europeas. Las oportunidades para restringir los derechos en el Reglamento General de protección de datos se limitan por una buena razón. Es un poco rico para el gobierno federal alemán al parecer citar el riesgo de “intereses comerciales generalmente reconocidos” con el fin de justificar la exclusión de los derechos de los consumidores a la información.
Para las empresas, el Reglamento General de protección de datos de la UE representa una de las mayores medidas contra la burocracia y una oportunidad de crecimiento masivo en un mercado único europeo digital. Si un país individual se propone socavar el conjunto común de normas al hacerlo por sí solo, no sólo causará enormes costos para las empresas, sino que también pondrá en peligro la confianza de los consumidores en la validez de las nuevas y poderosas normas de protección de datos de la UE.
Sobre todo, la ley será costosa. Muchas grandes empresas ya han reservado millones de dólares para aplicar el Reglamento General de protección de datos de la UE. Imagine lo que costará si además tiene que analizar e implementar normas especiales introducidas por cada uno de los Estados miembros. En ciertas partes, el proyecto elimina la armonización prevista por la nueva ley de protección de datos de la UE. Si los Estados miembros empiezan ahora a emitir nuevas reglamentaciones excesivamente complejas basadas en la GDPR, esto perjudicará a las empresas y acabaremos con el mismo mosaico que tenemos en la actualidad en lo que se refiere a la protección de datos en la UE. Además, las empresas tendrán que aplicar diferentes normas en cada Estado miembro. Esto va a costar mucho dinero y tiene poco sentido.
Después de todo, el principal argumento contra la protección federal de datos en Alemania fue la fragmentación de las leyes. Si ahora-después del desarrollo de una base jurídica paneuropea uniforme que también subsume y lleva adelante muchos elementos probados de la protección de datos alemana-el gobierno alemán aplica una ley nacional de la competencia con tropecientas disposiciones especiales, las ventajas logrado se perderá. Por eso es necesario exhortar a los Estados miembros a que muestren la máxima moderación con la legislación nacional.
Es probable, pero no seguro, que algunas de las disposiciones de la ley incumplan el derecho de la UE, que tiene precedencia. Por lo tanto, las versiones anteriores del proyecto se han visto criticadas por los especialistas en protección de datos y por el Ministerio de justicia alemán. Si el Tribunal Europeo de justicia retoca las disposiciones individuales en unos pocos años, las empresas tendrán que volver a ajustarse y esto volverá a costar dinero, por supuesto.
Además del Tribunal de justicia, la Comisión Europea supervisará hasta qué punto Alemania sigue su propio camino, y es muy probable que inicie procedimientos de infracción contra Alemania porque su legislación nacional contradice el Reglamento General. Este sería el peor de los casos para la protección de datos: una disputa que dura años sobre la validez de los fundamentos jurídicos pertinentes. Por lo tanto, repito que ahora es el momento para que los países muestren moderación, no para que los pequeños intentos de cambiar la ley empeoren.
Es no sólo el Bundestag (una cámara más baja del Parlamento alemán), pero también el Bundesrat (cámara superior del Parlamento alemán) que debe actuar. La fuerte oposición ya está emergiendo de los Estados federales de Alemania. El gobierno federal alemán debería reflexionar dos veces sobre si insistir en los pasajes controvertidos y así crear el riesgo de que el proyecto no entre en vigor en la fecha efectiva del Reglamento General de protección de datos el 25 de mayo de 2018. En cambio, debería centrarse en hacer los ajustes que son absolutamente necesarios para cumplir con la nueva ley de la UE.
Hay ciertamente alternativas. Por ejemplo, sería sensato que un estatuto de aplicación alemán se limitara a las disposiciones fundamentales que abarcan esferas como la jurisdicción de las autoridades de protección de datos, la protección de los datos de los empleados y el nombramiento y la protección contra el despido de datos oficiales de protección. Esto crearía una transparencia adicional y facilitaría la aplicación de la nueva ley de protección de datos de la UE. En contraste, los planes actuales del Ministerio Federal del interior de Alemania crean incertidumbre y dificultan la aplicación de una ley uniforme de protección de datos en la UE.
Las cuestiones que no requieren absoluta e indudablemente la reglamentación, como la de preservar la institución de confianza del funcionario de protección de datos de la empresa, deben dejarse en paz. El Reglamento general es una buena base de trabajo que debemos evolucionar juntos a nivel europeo-donde, de todos modos, se están llevando a cabo un gran número de debates sobre normas especiales en áreas como grandes datos, puntuación, Internet de las cosas y robótica. El gobierno federal alemán estaría bien aconsejado de no apresurarse a abordar las cuestiones pendientes relativas a la nueva ley de protección de datos mediante su propio camino; en cambio, debería desempeñar un papel decisivo a nivel de la UE.
Es interesante conocer lo que establece el consejo regulador alemán, que en inglés sería germany regulatory council, respecto a la GDPR.