德国联邦大数据保护法.docx
《德国联邦大数据保护法.docx》由会员分享,可在线阅读,更多相关《德国联邦大数据保护法.docx(41页珍藏版)》请在冰点文库上搜索。
德国联邦大数据保护法
德国联邦数据保护法
(2002年1月)
(本法为执行欧盟1995年《欧盟个人数据保护指令》而制定)
目 录
第一部分总则
第1条 目的和围
第2条 公共机构和私法主体
第3条 定义
第3a条减少使用数据和数据经济
第4条 收集、处理和使用数据的同意
第4a条同意
第4b条向国外和国际机构移交的个人数据
第4c条例外规定
第4d条登记义务
第4e条登记义务的容
第4f条数据保护官
第4g条数据保护官的职责
第5条 性
第6条 数据主体不可分割的权利
第6a条自动生成的个案决定
第6b条使用光电子设备对公共场所的监控
第6c条用于个人数据的移动存储和处理的介质
第7条 赔偿
第8条 因公共机构自动处理数据而产生的赔偿
第9条 技术和组织手段
第9a条数据保护稽核
第10条建立自动检索程序
第11条代理收集、处理或使用个人数据
第二部分公共机构对数据的处理
第一章数据处理的法律依据
第12条适用围
第13条数据的收集
第14条对数据的存储、修改和使用
第15条向公共机构的数据传输
第16条向私法主体的数据传输
第17条向本法适用围外的机构传输数据(删除)
第18条联邦管理机构对数据保护的执行
第二章数据主体的权利
第19条向数据主体提供信息
第19a条告知
第20条对数据的修改、删除和阻滞;拒绝的权利
第21条向联邦数据保护专员投诉
第三章联邦数据保护专员
第22条联邦数据保护专员的选举
第23条联邦数据保护专员的法律地位
第24条联邦数据保护专员的监督
第25条联邦数据保护专员提起的诉讼
第26条联邦数据保护专员的延伸职责
第三部分私法主体和参与竞争的公法企业对数据的处理
第一章数据处理的法律依据
第27条适用围
第28条为自身目的收集、处理和使用数据
第29条在交易中为传输而收集和存储数据
第30条在交易中为匿名传输而收集和存储数据
第31条特殊用途的限制
第32条登记义务(删除)
第二章数据主体的权利
第33条告知数据主体
第34条对数据主体提供信息
第35条数据的修改、删除和阻滞
第三章监管机构
第36条数据保护官的任命(删除)
第37条数据保护官的职责(删除)
第38条监管机构
第38a条提高数据保护执行程度的行为规则
第四部分特殊条款
第39条作为专业和官方特殊秘密的个人数据的限制使用
第40条研究机构处理和使用个人数据
第41条媒体对个人数据的收集、处理和使用
第42条德国国际广播电台数据保护官
第五部分最后条款
第43条行政违法
第44条刑事犯罪
第六部分过渡条款
第45条目前适用
第46条定义的延伸效力
附 件
(关于本法第9条第1句)
第一部分总则
第1条目的和适用围
(1)制定本法的目的是保护个人隐私权,防止个人数据在使用过程中被侵害。
(2)本法适用于下列收集、处理和使用个人数据的主体:
1.联邦公共机构;
2. 各州执行联邦法律而不受州立法管辖的公共机构;
3. 实行下列行为的私法主体:
使用数据处理系统处理或使用数据,或为此类系统收集数据;使用非自动文件编档系统处理或使用数据,或为此类系统收集数据。
仅为个人和家庭活动之目的收集、处理或使用数据不受本法管辖。
(3)如其他联邦法律条款适用于个人数据,此类条款优先于本法条款适用。
此规定不影响依据职责遵守保守职业或官方特殊的法律义务的效力。
(4)本法的条款优先于《行政程序法》中关于使用个人数据确定事实的条款。
(5)本法不适用于位于欧盟其他成员国或签署了欧洲经济区协议的其他成员国的数据控制者,除非是其在德国境的分支机构收集、处理或使用个人数据。
本法适用于不位于欧盟其他成员国或欧州经济区协议的其他签署国而在德国收集、处理或使用数据的数据控制者。
对于本法定义的控制者,并且数据亦由在德国成立的代表主体提供。
本法使用数据存储介质仅是为了穿越德国,第2、3句之规定不适用。
第38条第1款的效力不变。
第2条公共机构和私法主体
(1)联邦公共机构指联邦行政机关、司法机关和其他联邦公法机构以及联邦国有公司、各种基金会和协会等。
(2)各州公共机构指各州的行政机关、司法机关和州、自治市的其他公法机构。
(3)依据私法成立的履行公共管理职能的联邦和州的一些协会,在下列情形下应被认为是联邦公共机构而不论其中的私有成分如何:
1.其业务围已超越州界;
2.联邦占有绝对多数的股票或投票份额。
否则应被视为州公共机构。
(4)私法主体指自然人或法人、公司和其他依据私法成立的并且不包括于以上1至3款的协会。
如私法主体完全行使公共管理职能,则应被视为公共机构。
第3条定义
(1)个人数据指关于个人或已识别、能识别的个人(数据主体)的客观情况的信息。
(2)自动处理是指使用数据处理系统收集、处理或使用个人数据。
非自动编档系统指对结构类似和可依据具体特征获取、评估的个人数据的非自动收集。
(3)收集指对数据主体的数据的获得。
(4)处理指对个人数据的存储、修改、传输、阻滞和删除:
1.存储指在存储介质中刻入、录制或保存个人数据以便其能再次处理或使用;
2.修改指对已存储的个人数据的改变;
3.传输指将存储或获得的个人数据向第三方披露:
a) 通过向第三方传输;
b) 通过第三方的检查或检索;
4.阻滞指标明已存储的个人数据以便限制其处理和使用;
5.删除指去除已存储的个人数据。
(5)使用指除了处理以外的对个人数据的利用。
(6)匿名指改变个人数据以致有关个人或客观情况的信息不能够确定为或必须付出相当大的时间、经费和劳动才能确定为归属于认定的个人。
(6a)假名指用标志替换个人的和其他辨识特征以致数据主体的认定或此种认定产生实质困难。
(7)控制者指任何为其自身利益或委托他人(机构)收集、处理或使用个人数据的人或机构。
(8)接受者指任何收到数据的个人或机构。
第三方指除控制者之外的任何个人或机构,但不包括数据主体和在德国、欧盟其他成员国或签署欧洲经济区协议的其他成员国的受委托收集、处理或使用个人数据的个人或机构。
(9)特殊种类的个人数据指有关个人种族、民族、政见、宗教信仰、党派、健康或性生活的信息。
(10)个人移动存储和处理介质指具备以下特点的存储介质:
1.针对数据主体发行;
2.可由发行主体或其他主体对个人数据进行自动处理而不仅仅是存储;
3.可由数据主体通过媒质即可影响此种处理。
第3a条减少使用数据和数据经济
应设计和选择不收集、处理和使用或最小限度收集、处理和使用个人数据的数据处理系统。
特定情形下,如可能和合理,可用假名和匿名以达到满意的保护程度。
第4条收集、处理和使用数据的同意
(1)收集、处理和使用个人数据必须遵守本法和其他法律的规定,或者经数据主体同意。
(2) 个人数据应从数据主体处收集。
在下列情形下可在其不参与的情形下收集:
1.依法律规定:
a)履行行政职责的需要,或依据商业目的的需要从其他个人或机构处收集个人数据;
b)从数据主体处收集数据会付出不合理的成本。
并且此类个人数据收集不会侵害数据主体重大合法利益。
(3) 如从数据主体处收集个人数据,控制者应告知其:
1.控制者的身份;
2.收集、处理或使用数据的目的;
3.如依据当时的具体情形使数据主体无法预知数据会传输给何类接受者,应告知接受者的类别,除非数据主体已从其他途径知情。
如果是依据法律规定从数据主体处收集数据而使提供数据成为一项义务或是赋予合法利益的前提,则数据主体应被告知提供数据是一项义务或是自愿行为。
依据个案具体情形规定或数据主体的要求,其应被告知法律条款的规定和保留个人数据的后果。
第4a条同意
(1)同意必须建立在数据主体自主决定的基础上。
依据个案具体情形规定或数据主体的要求,应被告其收集、处理或使用数据的目的和不同意的结果。
同意的意思表示应采用书面形式,在特殊情形下,可授权使用其他形式。
如同时提供书面同意和其他书面声明,则应从其外观加以区分。
(2)在科学研究领域,如用书面形式作同意的意思表示会给既定的研究造成很大的侵害,则以上第1款第3句所说的特殊情形亦应被认为存在。
在此种情形下,以上第1款第2句所说的信息和可能对既定研究造成很大损害的原因应被记录在案。
(3)如收集、处理或使用第3条第9款所指的特殊种类的个人数据,对此类数据应特别指明是否作同意的意思表示。
第4b条向国外和国际机构移交的个人数据
(1)向下列机构:
1.欧盟其他成员国;
2.欧洲经济区其他成员国;
3.欧共体;
移交个人数据时,应遵守第15条第1款、第16条第1款和第28至30条之规定。
(2)如数据主体有合法利益排除此种数据传输,特别是接受数据的此类机构不能保证对数据给予足够的保护,则这种数据传输没有法律效力。
但如传输数据是联邦公共机构履行国防或在危机处理、避免冲突和实行人道主义行为时所承担的国际义务的需要,则前句规定不适用。
(3)在传输数据的所有情形下都应给予数据足够的保护,应对数据的性质、目的、数据处理的持续时间、原始国、接受国、法律规定、专业规则和安全措施给予特别注意。
(4)在第16条第1款第2项之上规定的情形下,传输数据的机构应告知数据主体对其数据的传输。
如认为其通过其他方式已得知此项传输事宜或此项告知可能会危害公共安全、联邦或州利益,则此规定不适用。
(5)传输数据的机构应对数据传输的结果负责。
(6)应告知接受传输数据的机构传输数据的目的。
第4c条例外规定
(1)依据欧共体法律规定,可以将个人数据传输给第4b条第1款之外的机构,即使这些机构不能给予个人数据以足够的保护,只要:
1.数据主体同意;
2.传输数据是履行数据主体和控制者之间合同的需要或应数据主体的要求履行前合同义务的需要;
3.传输数据是为数据主体之利益,在第三方和控制者之间签订或履行合同的需要;
4.传输数据是维护重大公共利益或确定、享有或保护合法利益的需要;
5.传输数据是为了保护数据主体重大利益的需要;
6.传输数据是为了记录数据,以便向公众提供信息或为公众提供有关个人合法权益的咨询。
应向数据接受机构指出对被传输数据的处理或使用只能用于其被传输之目的。
(2)在没有对第1条第1句之立法目的损害的情形下,监管机构可授权将个人数据传输给第4b条第1款之外的机构,只要控制者证明能够充分保障个人隐私权及相关权利;此种保护可特别基于合同条款或公司章程的规定而产生。
对于邮政和电信公司,权限来自联邦数据保护专员。
如由公共机构传输数据,联邦数据保护专员应依据第1条第1句进行监督。
(3)各州应通知联邦机构依据上述第2款第1句做出的决定。
第4d条登记义务
(1)使用自动处理程序前,具有监督权力的私人控制者、联邦公共控制者和邮政电信公司应依据第4e条规定将该程序向联邦数据保护专员登记。
(2)如控制者已任命了数据保护官,则登记义务不适用。
(3)如控制者收集、处理、或使用个人数据是为了自身之目的,最多有4名雇员从事个人数据的收集、处理或使用,并且从数据主体处得到同意的意思表示,或收集、处理或使用数据是基于与数据主体合同或准合同信托关系之目的,则登记义务不适用。
(4)如有关控制者为传输或匿名传输之目的使用自动处理方法存储个人数据,则以上第2和3款不适用。
(5)如自动处理运行中含有对数据主体的权利和自由的特殊风险,则在处理运行前应进行前期检查。
特别是在下列情形下应进行前期检查:
1.处理个人特殊数据(第3条第9款);
2.处理个人数据是为了评估数据主体的素质,包括能力、表现或行为。
除非有法律规定义务,获得数据主体的同意,收集、处理或使用数据是基于与数据主体的合同或准合同信托关系之目的。
(6)前期检查由数据保护官负责。
数据保护官应依据第4g条第2款第1句之规定,在收到清单后进行前期检查。
如有疑虑,可向监督机构咨询。
作为邮政和电信公司,应向联邦数据保护专员咨询。
第4e条登记义务的容
对于须登记的自动处理程序,应提供以下信息:
1.或控制者的名称;
2.所有者、管理委员会、总经理或其他合法任命的管理人员以及负责数据处理的人员;
3.控制者的地址;
4.收集、处理或使用数据的目的;
5.对数据主体以及附属数据或数据种类的说明;
6.数据的接受者或接受者的类别;
7.删除数据的标准期限;
8.计划向第三国传输的数据;
9.对第9条所指的保证数据处理安全的措施的初步评估的说明。
第4d条第1和4款比照适用于对依据上述第1句规定提供的信息的修改和依据登记义务产生的活动的起讫时间。
第4f条数据保护官
(1)自动收集、处理和使用个人数据的公共机构和私法主体应书面任命一名数据保护官。
私法主体应在其开业1个月任命此官员。
如以其他方法处理个人数据并且至少20人为此目的被长期雇佣,则同样适用此规定。
对于最多雇佣4人收集、处理或使用个人数据的私法主体则不适用上述第1和第2句之规定。
如是由于公共机构的组织结构的要求,在数个领域任命1名数据保护官应是足够的。
对于进行自动处理运行,做前期检查或在业务中为传输或匿名传输个人数据之目的而收集、处理或使用个人数据的私法主体,则不论其雇员多少都应任命数据保护官。
(2)只有具备相关专业知识并且证明其具备履行职责所必需的责任感的人员才能被任命为数据保护官。
机构之外的人员亦可被任命。
经过监督机构的同意,公共机构可任命其他公共机构的人员为其数据保护官。
(3)数据保护官应直接向其所在公共机构或私法主体的领导负责。
其可在数据保护领域自主地运用专业知识,在履行职责时应不受任何干涉。
数据保护官的任命可依据《民法典》第626条之规定撤销;对于私法主体,则应依据监督机构的要求撤销其数据保护官。
(4)数据保护官应为数据主体保守秘密,除非其已经过数据主体同意取消此项责任。
(5)公共机构和私法主体应支持数据保护官的工作,为其提供工作场所、设备和其他资源。
数据主体可在任何时间接触数据保护官。
第4g条数据保护官的职责
(1)数据保护官应依据本法和其他数据保护条款开展工作。
为达此目的,数据保护官可向负责数据保护控制的有权机构进行咨询:
1.其应监督数据处理项目的合理使用;其应被及时告知个人数据自动处理计划;
2.采取合理步骤,使受雇处理个人数据的人员熟悉本法和其他有关数据保护的条款以及其他有关数据保护的特殊要求。
(2)控制者应向数据保护官提供第4e条第1句所规定的信息的概述和合法访问者的。
在第4d条第2款的情形下,数据保护官应要求以合适的方式向任何人提供第4e条第1句下第1至8项信息。
在第4d条第3款的情形下,第2句可比照适用于控制者。
(3)第2条第2句不适用于第6条第2款第4句所指的机构。
机构数据保护官和机构长官间的分歧应通过上级联邦机构解决。
第5条性
数据处理人员不得收集、处理或使用XX个人数据,工作期间应保守秘密,并且此项承诺在其工作终止后仍然有效。
第6条数据主体不可分割的权利
(1)数据主体获取(第19、34条)、修改、删除或阻滞(第20、35条)数据的权利不能因法律诉讼而被排除或限制。
(2)如用自动程序存储数据,且有几个机构被授权存储数据,如数据主体不能确定是哪个机构存储的数据,其可接触其中任意机构。
这些机构应向存储数据的机构转发数据主体的要求。
数据主体应被告知要求已被转发和相关机构的名称。
本法第19条第3款所列的机构、公诉机关、警察局和公共金融机构为履行《财政法》规定的有关监督和控制的职责而存储个人数据时,应向联邦数据保护专员而不是数据主体汇报。
在此种情形下,进一步的程序应按本法第19条第6款之规定执行。
第6a条自动生成的个案决定
(1)不能排他性依据自动处理的用来评估个人特征的个人数据作出具有法律效力或对数据主体的利益产生实质侵害的决定。
(2)在下列情形下此规定不适用:
1.此决定与签订和履行合同或其他法律关系有关,且已经满足了数据主体的要求;
2.通过适当的措施确保维护数据主体的正当利益,并且控制者告知数据主体此决定的存在。
控制者应复审其决定。
(3)依据第19和34条之规定,数据主体的获取数据的权利也可延伸至其自身数据的逻辑结构。
第6b条使用光电子设备对公共场所的监控
(1)只有在必要的情形下,才能用光电子设备(视频监控)对公共场所进行监控:
1.为完成公共任务;
2.为实现决定允许或拒绝何人进入的权利;
3.为实现目标明确的合法利益的需要。
但必须是在不损害数据主体普遍的合法利益的前提下。
(2)如某区域已被监视,则控制者的身份应可通过适当手段得知。
(3)依据第1款之规定,所收集的数据在必要时和在数据主体的合法利益不是普遍的情形下,可进行处理和使用以实现既定目的。
只有在这些数据用于避免国家和公共安全危险或追诉犯罪时才能用于其他目的。
(4)当通过视频监视收集的数据是针对某个人时,则应告知其依据第19a和33条处理或使用之事宜。
(5)如数据不需要继续用于既定目的或继续存储将妨碍数据主体的合法利益,则数据应立即删除。
第6c条个人数据移动存储和处理介质
(1)发行用于个人数据移动存储和处理的介质,或是运行用于自动处理个人数据的程序且此程序部分或全部在介质与介质之间运行、修改或提供的机构,必须告知数据主体(在数据主体还未得知这些信息的情形下):
1.该机构的名称和地址;
2.用通用的术语说明介质的功能模型,包括被处理的个人数据的种类;
3.依据第19、20、34和35条之规定,如何实现其权利;
4.当介质丢失或受损时应采取何种措施。
(2)负有第1款所规定责任的机构应保证提供足够多的设备,数据主体可免费使用,以便维护其获取信息的权利。
(3)数据主体应清楚导致在介质上进行处理数据的通信程序。
第7条赔偿
如控制者采取本法或其他数据保护条款规定不允许或认为不正确的方式收集、处理或使用个人数据而给数据主体造成了损害,则控制者或其支持组织应赔偿由此造成的损失。
如控制者依据具体情形已尽必要之注意,则此赔偿责任不适用。
第8条因公共机构自动处理数据而产生的赔偿
(1)如公共机构采取本法或其他数据保护条款规定不允许或认为不正确的自动方式收集、处理或使用个人数据而给数据主体造成了损害,则公共机构的支持组织应赔偿由此造成的损失,而不论其过错如何。
(2)当数据主体的隐私权被侵犯时,则应得到充分的精神损失赔偿。
(3)依据第1和2款之规定所产生的赔偿的最高限额为25万德国马克。
当同一案件中赔偿数人而超过了最高额25万德国马克时,则每人的赔偿额应依据最高限额按比例减少。
(4)对于数据自动处理的情形,如授权数个机构存储数据,而受损主体不能确定编档系统的控制者时,则每个机构都负有赔偿责任。
(5)对于数据主体疏忽的情形,可比照适用《民法典》第254条和852条。
第9条技术和组织手段
公私法主体在为自身利益或他人利益处理数据时,应采取必要的技术和组织手段,确保执行本法特别是本法附件的规定。
应依据所设定的保护层次而采用合理的措施。
第9a条数据保护审计
为了提高数据保护和数据安全水平,数据处理系统和程序的提供者以及进行数据处理的机构可以借助独立的评估机构,对其数据保护概念和技术设备进行检查、评估并公布审计结果。
关于评估机构检查、评估的详细要求和选择和审批的程序由专门法律规定。
第10条建立自动检索程序
(1)如该程序合理地注意到数据主体的合法利益和有关机构的职责或商业目的,则可以建立个人数据自动检索程序。
但有关特定情形下的检索许可条款的效力不受影响。
(2)有关机构应保证检索程序的许可能被监督。
为此目的,其应书面特别说明:
1.检索程序的原因和目的;
2.接受传输数据的第三方;
3.传输的数据的种类;
4.依据本法第9条之规定所采取的技术和组织措施。
在公共领域,管理机构应制定这些规。
(3)当涉及到本法第12条第1款所指的机构时,应通知联邦数据保护专员所建立的检索系统及上述第2款之规。
只有当负责管理编档系统、检索机构的联邦和州部门及其代理机构同意时,则本法第6条第2款和第19条第3款所规定的机构才可建立检索系统。
(4)在特殊情形下,检索许可应由数据传输的第三方负责。
编档系统的控制者只有在有相关规定时,才可以检查检索许可。
编档系统的控制者应保证可通过适当的样本程序确定和检查个人数据的传输情况。
如所有的个人数据被检索或传输(批处理),只要保证所有数据检索或传输的许可可被确认和检查。
(5)上述第1至4款不适用于开放性数据的检索。
开放性数据指任何人都可使用的数据,不管事先是否登记、同意或交费。
第11条代理收集、处理或使用个人数据
(1)当其他机构代理收集、处理或使用个人数据时,则依据本法和其他数据保护条款而产生的责任由被代理人承担,本法第6至8条规定的权利亦相应地由被代理人享有。
(2)被代理人应认真选择代理机构,特别应注意其技术和组织手段。
应书面表示代理事宜,应特别说明数据收集、处理和使用、技术和组织手段以及再代理事宜。
对于公共机构,可由其监督机构指示代理。
被代理人可检验代理机构承诺的技术和组织手段。
(3)代理机构应按照被代理人的指示收集、处理或使用数据。
如其认为被代理人的指示违反了本法或其他数据保护条款,则应立即向被代理人指出。
(4)对于代理机构,除本法第5条、9条、43条第1款的第1、2、10和11项、43条第2款的第1和3项、43条第3款和44条第1、2款规定的条款外,只能适用有关数据保护控制和监督的条款,具体来说:
1.a)公共机构,
b)公共机构占有多数股份或选票份额的私法主体,以及被代理人为公共机构,
适用本法第18条、24至26条或各州有关数据保护法律;
2.代理收集、处理和使用个人数据的其他私法主体,适用本法第4f、4g和38条。
(5)如果有其他机构代理对自动程序或数据处理系统的检测和维护,且不排除他们获取个人数据的可能性,则比照适用第1至4款。
第二部分公共机构对数据的处理
第一章数据处理的法律依据
第12条适用围
(1)本部分的条款适用于不作为公法企业参与竞争的联邦公共机构。
(2)当数据保护不受州立法管辖时,本法第12至16、19至20条亦适用于州公共机构,只要他们:
1.执行联邦法律且不作为公法企业参与竞争;
2.作为司法机构,但不进行行政管理。
(3)州数据保护专员可比照执行本法第23条第4款。
(4)如是为过去、现在和未来的服务或就业合同收集、处理或使用个人数据,则本法第28条第1和第3款第1项和第33至35条应取代第13至16条、第19至20条适用,只要个人数据既不是由自动程序处理,亦不是由自动编档系统处理或使用的。
第13条数据的收集
(1)如收集个人数据是有关机构履行职责的需要,则应允许收集个人数据。
(1a)如个人数据是从私法主体处,而且不是从数据主体处收集,则应告知其提供特殊个人数据的法律规定,该数据提供是自愿的。
(2)只有符合下列条件时才能收集个人的特殊数据:
1.法律有明文规定可以收集,或此数据收集关系到重大公共利益;
2.依据本法第4a条第3款之规定,数据主体同意;
3.收集此类数据是为了保护数据主体或第三方的重大利益的需要,而数据主体由于健康或法律等因素无法表示同意;
4.收集的此类数据已被数据主体公布于众
升级会员 