Das Bundesdatenschutzgesetz (BDSG) ist die zentrale gesetzliche Regelung für die Verarbeitung personenbezogener Daten. Sein Ansatz ist, jede Verarbeitung personenbezogener Daten zunächst einmal zu verbieten (§ 4 BDSG). Wer gleichwohl personenbezogene Daten verarbeiten will, muss also eine Rechtfertigung dafür vorweisen können. Diese kann sich entweder aus einem gesetzlichen Erlaubnistatbestand ergeben oder aus einer Einwilligung der Betroffenen. Den Erlaubnistatbeständen des BDSG (z.B. §§ 28, 32 BDSG) kommt damit für die betriebliche Praxis eine große Bedeutung zu, den daran muss die gesamte Datenverarbeitung gemessen werden – ansonsten ist eine Einwilligung der Betroffenen einzuholen oder die Verarbeitung muss unterbleiben.

Außerdem enthält das BDSG Regelungen zum betrieblichen Datenschutzbeauftragten, zu den Datensicherheitsmaßnahmen, zur Auftragsdatenverarbeitung, zu den Rechten der Betroffenen (z.B. auf Auskunft über die gespeicherten Daten) und zu den Befugnissen der Aufsichtsbehörden. Verstöße können mit Bußgeldern geahndet werden (§ 43 BDSG) und z.T. strafbar sein (§ 44 BDSG).

Anwendbar ist das BDSG grundsätzlich auf jede Verarbeitung personenbezogener Daten. Für manche Lebensbereiche gibt es aber vorrangige spezielle Datenschutzvorschriften (z.B. im Telemediengesetz oder im Sozialgesetzbuch), dass BDSG gilt in diesen Bereichen dann nur nachrangig und ergänzend (sog. „Subsidiarität“). Für öffentliche Stellen der Länder gelten in erster Linie die jeweiligen Landesdatenschutzgesetze. Die internationale Anwendbarkeit folgt grundsätzlich dem Territorialitätsprinzip (d.h. für Verarbeitung in Deutschland gilt das BDSG), abweichend davon gilt für Stellen innerhalb von EU/EWR das Sitzlandprinzip (z.B. gilt für Datenverarbeitung in Deutschland durch ein englisches Unternehmen britisches Datenschutzrecht, es sei denn, die Verarbeitung erfolgt durch eine deutsche Niederlassung).

In absehbarer Zeit wird das BDSG durch die EU-Datenschutzgrundverordnung weitgehend ersetzt werden.