《德国联邦数据保护法_1.docx》由会员分享,可在线阅读,更多相关《德国联邦数据保护法_1.docx(25页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、德国联邦数据保护法德国联邦数据保护法德国联邦数据保护法德国联邦数据保护法2002年1月本法为执行欧盟1995年(欧盟个人数据保护指令)而制定目录第一部分总则第1条目的和范围第2条公共机构和私法主体第3条定义第3a条减少使用数据和数据经济第4条采集、处理和使用数据的同意第4a条同意第4b条向国外和国际机构移交的个人数据第4c条例外规定第4d条登记义务第4e条登记义务的内容第4f条数据保护官第4g条数据保护官的职责第5条机密性第6条数据主体不可分割的权利第6a条自动生成的个案决定第6b条使用光电子设备对公共场所的监控第6c条用于个人数据的移动存储和处理的介质第7条赔偿第8条因公共机构自动处理数据而
2、产生的赔偿第9条技术和组织手段第9a条数据保护稽核第10条建立自动检索程序第11条代理采集、处理或使用个人数据第二部分公共机构对数据的处理第一章数据处理的法律根据第12条适用范围第13条数据的采集第14条对数据的存储、修改和使用第15条向公共机构的数据传输第16条向私法主体的数据传输第17条向本法适用范围外的机构传输数据删除德国联邦数据保护法德国联邦数据保护法第18条联邦管理机构对数据保护的执行第二章数据主体的权利第19条向数据主体提供信息第19a条告知第20条对数据的修改、删除和阻滞;拒绝的权利第21条向联邦数据保护专员投诉第三章联邦数据保护专员第22条联邦数据保护专员的选举第23条联邦数据
3、保护专员的法律地位第24条联邦数据保护专员的监督第25条联邦数据保护专员提起的诉讼第26条联邦数据保护专员的延伸职责第三部分私法主体和介入竞争的公法企业对数据的处理第一章数据处理的法律根据第27条适用范围第28条为本身目的采集、处理和使用数据第29条在交易中为传输而采集和存储数据第30条在交易中为匿名传输而采集和存储数据第31条特殊用处的限制第32条登记义务删除第二章数据主体的权利第33条告知数据主体第34条对数据主体提供信息第35条数据的修改、删除和阻滞第三章监管机构第36条数据保护官的任命删除第37条数据保护官的职责删除第38条监管机构第38a条提高数据保护执行程度的行为规则第四部分特殊条
4、款第39条作为专业和官方特殊机密的个人数据的限制使用第40条研究机构处理和使用个人数据第41条媒体对个人数据的采集、处理和使用第42条德国国际广播电台数据保护官第五部分最后条款第43条行政违法德国联邦数据保护法德国联邦数据保护法第44条刑事犯罪第六部分过渡条款第45条目前适用第46条定义的延伸效力附件关于本法第9条第1句第一部分总则第1条目的和适用范围(1)制定本法的目的是保护个人隐私权,防止个人数据在使用经过中被损害。(2)本法适用于下列采集、处理和使用个人数据的主体:1.联邦公共机构;2.各州执行联邦法律而不受州立法管辖的公共机构;3.实行下列行为的私法主体:使用数据处理系统处理或使用数据
5、,或为此类系统采集数据;使用非自动文件编档系统处理或使用数据,或为此类系统采集数据。仅为个人和家庭活动之目的采集、处理或使用数据不受本法管辖。(3)如其他联邦法律条款适用于个人数据,此类条款优先于本法条款适用。此规定不影响根据职责遵守保守职业或官方特殊机密的法律义务的效力。(4)本法的条款优先于(行政程序法)中关于使用个人数据确定事实的条款。(5)本法不适用于位于欧盟其他成员国或签署了欧洲经济区协议的其他成员国内的数据控制者,除非是其在德国境内的分支机构采集、处理或使用个人数据。本法适用于不位于欧盟其他成员国或欧州经济区协议的其他签署国内而在德国采集、处理或使用数据的数据控制者。对于本法定义的
6、控制者,并且数据亦由在德国成立的代表主体提供。本法使用数据存储介质仅是为了穿越德国,第2、3句之规定不适用。第38条第1款的效力不变。第2条公共机构和私法主体(1)联邦公共机构指联邦行政机关、司法机关和其他联邦公法机构以及联邦国有公司、各种基金会和协会等。(2)各州公共机构指各州的行政机关、司法机关和州、自治市的其他公法机构。(3)根据私法成立的履行公共管理职能的联邦和州的一些协会,在下列德国联邦数据保护法德国联邦数据保护法情形下应被以为是联邦公共机构而不管其中的私有成分怎样:1.其业务范围已超越州界;2.联邦占有绝对多数的股票或投票份额。否则应被视为州公共机构。(4)私法主体指自然人或法人、
7、公司和其他根据私法成立的并且不包括于以上1至3款的协会。如私法主体完全行使公共管理职能,则应被视为公共机构。第3条定义(1)个人数据指关于个人或已识别、能识别的个人数据主体的客观情况的信息。(2)自动处理是指使用数据处理系统采集、处理或使用个人数据。非自动编档系统指对构造类似和可根据详细特征获取、评估的个人数据的非自动采集。(3)采集指对数据主体的数据的获得。(4)处理指对个人数据的存储、修改、传输、阻滞和删除:1.存储指在存储介质中刻入、录制或保存个人数据以便其能再次处理或使用;2.修改指对已存储的个人数据的改变;3.传输指将存储或获得的个人数据向第三方披露:a)通过向第三方传输;b)通过第
8、三方的检查或检索;4.阻滞指标明已存储的个人数据以便限制其处理和使用;5.删除指去除已存储的个人数据。(5)使用指除了处理以外的对个人数据的利用。(6)匿名指改变个人数据以致有关个人或客观情况的信息不能够确定为或必须付出相当大的时间、经费和劳动才能确定为归属于认定的个人。(6a)假名指用标志替换个人的姓名和其他辨识特征以致数据主体的认定或此种认定产生本质困难。(7)控制者指任何为其本身利益或委托别人机构采集、处理或使用个人数据的人或机构。(8)接受者指任何收到数据的个人或机构。第三方指除控制者之外的任何个人或机构,但不包括数据主体和在德国、欧盟其他成员国或签署欧洲经济区协议的其他成员国的受委托
9、采集、处理或使用个人数据的个人或机构。(9)特殊种类的个人数据指有关个人种族、民族、政见、宗教信仰、党派、健康或性生活的信息。德国联邦数据保护法德国联邦数据保护法(10)个人移动存储和处理介质指具备下面特点的存储介质:1.针对数据主体发行;2.可由发行主体或其他主体对个人数据进行自动处理而不仅仅是存储;3.可由数据主体通过媒质即可影响此种处理。第3a条减少使用数据和数据经济应设计和选择不采集、处理和使用或最小限度采集、处理和使用个人数据的数据处理系统。特定情形下,如可能和合理,可用假名和匿名以到达满意的保护程度。第4条采集、处理和使用数据的同意(1)采集、处理和使用个人数据必须遵守本法和其他法
10、律的规定,或者经数据主体同意。(2)个人数据应从数据主体处采集。在下列情形下可在其不介入的情形下采集:1.依法律规定:a)履行行政职责的需要,或根据商业目的的需要从其他个人或机构处采集个人数据;b)从数据主体处采集数据会付出不合理的成本。并且此类个人数据采集不会损害数据主体重大合法利益。(3)如从数据主体处采集个人数据,控制者应告知其:1.控制者的身份;2.采集、处理或使用数据的目的;3.如根据当时的详细情形使数据主体无法预知数据会传输给何类接受者,应告知接受者的类别,除非数据主体已从其他途径知情。假如是根据法律规定从数据主体处采集数据而使提供数据成为一项义务或是赋予合法利益的前提,则数据主体
11、应被告知提供数据是一项义务或是自愿行为。根据个案详细情形规定或数据主体的要求,其应被告知法律条款的规定和保留个人数据的后果。第4a条同意(1)同意必须建立在数据主体自主决定的基础上。根据个案详细情形规定或数据主体的要求,应被告其采集、处理或使用数据的目的和不同意的结果。同意的意思表示应采用书面形式,在特殊情形下,可受权使用其他形式。好像时提供书面同意和其他书面声明,则应从其外观加以区分。(2)在科学研究领域,如用书面形式作同意的意思表示会给既定的研究造成很大的损害,则以上第1款第3句所讲的特殊情形亦应被以为存在。在此种情形下,以上第1款第2句所讲的信息和可能对既定研究造成很大德国联邦数据保护法
12、德国联邦数据保护法损害的原因应被记录在案。(3)如采集、处理或使用第3条第9款所指的特殊种类的个人数据,对此类数据应十分指明能否作同意的意思表示。第4b条向国外和国际机构移交的个人数据(1)向下列机构:1.欧盟其他成员国内;2.欧洲经济区其他成员国内;3欧共体内;移交个人数据时,应遵守第15条第1款、第16条第1款和第28至30条之规定。(2)如数据主体有合法利益排除此种数据传输,十分是接受数据的此类机构不能保证对数据给予足够的保护,则这种数据传输没有法律效力。但如传输数据是联邦公共机构履行国防或在危机处理、避免冲突和实行人道主义行为时所承当的国际义务的需要,则前句规定不适用。(3)在传输数据
13、的所有情形下都应给予数据足够的保护,应对数据的性质、目的、数据处理的持续时间、原始国、接受国、法律规定、专业规则和安全措施给予十分注意。(4)在第16条第1款第2项之上规定的情形下,传输数据的机构应告知数据主体对其数据的传输。如以为其通过其他方式已得知此项传输事宜或此项告知可能会危害公共安全、联邦或州利益,则此规定不适用。(5)传输数据的机构应对数据传输的结果负责。(6)应告知接受传输数据的机构传输数据的目的。第4c条例外规定(1)根据欧共体法律规定,能够将个人数据传输给第4b条第1款之外的机构,即便这些机构不能给予个人数据以足够的保护,只要:1.数据主体同意;2.传输数据是履行数据主体和控制
14、者之间合同的需要或应数据主体的要求履行前合同义务的需要;3.传输数据是为数据主体之利益,在第三方和控制者之间签订或履行合同的需要;4.传输数据是维护重大公共利益或确定、享有或保护合法利益的需要;5.传输数据是为了保护数据主体重大利益的需要;6.传输数据是为了记录数据,以便向公众提供信息或为公众提供有关个人合法权益的咨询。应向数据接受机构指出对被传输数据的处理或使用只能用于其被传输之目的。德国联邦数据保护法德国联邦数据保护法(2)在没有对第1条第1句之立法目的损害的情形下,监管机构可受权将个人数据传输给第4b条第1款之外的机构,只要控制者证实能够充分保障个人隐私权及相关权利;此种保护可十分基于合
15、同条款或公司章程的规定而产生。对于邮政和电信公司,权限来自联邦数据保护专员。如由公共机构传输数据,联邦数据保护专员应根据第1条第1句进行监督。(3)各州应通知联邦机构根据上述第2款第1句做出的决定。第4d条登记义务(1)使用自动处理程序前,具有监督权利的私人控制者、联邦公共控制者和邮政电信公司应根据第4e条规定将该程序向联邦数据保护专员登记。(2)如控制者已任命了数据保护官,则登记义务不适用。(3)如控制者采集、处理、或使用个人数据是为了本身之目的,最多有4名雇员从事个人数据的采集、处理或使用,并且从数据主体处得到同意的意思表示,或采集、处理或使用数据是基于与数据主体合同或准合同信托关系之目的
16、,则登记义务不适用。(4)如有关控制者为传输或匿名传输之目的使用自动处理方法存储个人数据,则以上第2和3款不适用。(5)如自动处理运行中含有对数据主体的权利和自由的特殊风险,则在处理运行前应进行前期检查。十分是在下列情形下应进行前期检查:1.处理个人特殊数据第3条第9款;2.处理个人数据是为了评估数据主体的素质,包括能力、表现或行为。除非有法律规定义务,获得数据主体的同意,采集、处理或使用数据是基于与数据主体的合同或准合同信托关系之目的。(6)前期检查由数据保护官负责。数据保护官应根据第4g条第2款第1句之规定,在收到清单后进行前期检查。如有疑虑,可向监督机构咨询。作为邮政和电信公司,应向联邦
17、数据保护专员咨询。第4e条登记义务的内容对于须登记的自动处理程序,应提供下面信息:1.姓名或控制者的名称;2.所有者、管理委员会、总经理或其他合法任命的管理人员以及负责数据处理的人员;3.控制者的地址;4.采集、处理或使用数据的目的;5.对数据主体以及附属数据或数据种类的讲明;6.数据的接受者或接受者的类别;7.删除数据的标准期限;德国联邦数据保护法德国联邦数据保护法8.计划向第三国传输的数据;9.对第9条所指的保证数据处理安全的措施的初步评估的讲明。第4d条第1和4款比照适用于对根据上述第1句规定提供的信息的修改和根据登记义务产生的活动的起讫时间。第4f条数据保护官(1)自动采集、处理和使用
18、个人数据的公共机构和私法主体应书面任命一名数据保护官。私法主体应在其开业1个月内任命此官员。如以其他方法处理个人数据并且至少20人为此目的被长期雇佣,则同样适用此规定。对于最多雇佣4人采集、处理或使用个人数据的私法主体则不适用上述第1和第2句之规定。如是由于公共机构的组织构造的要求,在数个领域任命1名数据保护官应是足够的。对于进行自动处理运行,做前期检查或在业务中为传输或匿名传输个人数据之目的而采集、处理或使用个人数据的私法主体,则不管其雇员多少都应任命数据保护官。(2)只要具备相关专业知识并且证实其具备履行职责所必需的责任感的人员才能被任命为数据保护官。机构之外的人员亦可被任命。经过监督机构
19、的同意,公共机构可任命其他公共机构的人员为其数据保护官。(3)数据保护官应直接向其所在公共机构或私法主体的领导负责。其可在数据保护领域自主地运用专业知识,在履行职责时应不受任何干预。数据保护官的任命可根据(民法典)第626条之规定撤销;对于私法主体,则应根据监督机构的要求撤销其数据保护官。(4)数据保护官应为数据主体保守机密,除非其已经过数据主体同意取消此项责任。(5)公共机构和私法主体应支持数据保护官的工作,为其提供工作场所、设备和其他资源。数据主体可在任何时间接触数据保护官。第4g条数据保护官的职责(1)数据保护官应根据本法和其他数据保护条款开展工作。为达此目的,数据保护官可向负责数据保护
20、控制的有权机构进行咨询:1.其应监督数据处理项目的合理使用;其应被及时告知个人数据自动处理计划;2.采取合理步骤,使受雇处理个人数据的人员熟悉本法和其他有关数据保护的条款以及其他有关数据保护的特殊要求。(2)控制者应向数据保护官提供第4e条第1句所规定的信息的概述和合法访问者的名单。在第4d条第2款的情形下,数据保护官应要求以适宜的方式向任何人提供第4e条第1句下第1至8项信息。在第4d条第3款的情形下,第2句可比照适用于控制者。(3)第2条第2句不适用于第6条第2款第4句所指的机构。机构数据保护德国联邦数据保护法德国联邦数据保护法官和机构长官间的分歧应通过上级联邦机构解决。第5条机密性数据处
21、理人员不得采集、处理或使用未经受权个人数据,工作期间应保守机密,并且此项承诺在其工作终止后仍然有效。第6条数据主体不可分割的权利(1)数据主体获取第19、34条、修改、删除或阻滞第20、35条数据的权利不能因法律诉讼而被排除或限制。(2)如用自动程序存储数据,且有几个机构被受权存储数据,如数据主体不能确定是哪个机构存储的数据,其可接触其中任意机构。这些机构应向存储数据的机构转发数据主体的要求。数据主体应被告知要求已被转发和相关机构的名称。本法第19条第3款所列的机构、公诉机关、警察局和公共金融机构为履行(财政法)规定的有关监督和控制的职责而存储个人数据时,应向联邦数据保护专员而不是数据主体汇报
22、。在此种情形下,进一步的程序应按本法第19条第6款之规定执行。第6a条自动生成的个案决定(1)不能排他性根据自动处理的用来评估个人特征的个人数据作出具有法律效力或对数据主体的利益产生本质损害的决定。(2)在下列情形下此规定不适用:1.此决定与签订和履行合同或其他法律关系有关,且已经知足了数据主体的要求;2.通过适当的措施确保维护数据主体的正当利益,并且控制者告知数据主体此决定的存在。控制者应复审其决定。(3)根据第19和34条之规定,数据主体的获取数据的权利可以延伸至其本身数据的逻辑构造。第6b条使用光电子设备对公共场所的监控(1)只要在必要的情形下,才能用光电子设备视频监控对公共场所进行监控
23、:1.为完成公共任务;2.为实现决定允许或拒绝何人进入的权利;3.为实现目的明确的合法利益的需要。但必须是在不损害数据主体普遍的合法利益的前提下。(2)如某区域已被监视,则控制者的身份应可通过适当手段得知。(3)根据第1款之规定,所采集的数据在必要时和在数据主体的合法利益不是普遍的情形下,可进行处理和使用以实现既定目的。只要在这些数据用于避免国家和公共安全危险或追诉犯罪时才能用于其他目的。(4)当通过视频监视采集的数据是针对某个人时,则应告知其根据第德国联邦数据保护法德国联邦数据保护法19a和33条处理或使用之事宜。(5)如数据不需要继续用于既定目的或继续存储将阻碍数据主体的合法利益,则数据应
24、立即删除。第6c条个人数据移动存储和处理介质(1)发行用于个人数据移动存储和处理的介质,或是运行用于自动处理个人数据的程序且此程序部分或全部在介质与介质之间运行、修改或提供的机构,必须告知数据主体在数据主体还未得知这些信息的情形下:1.该机构的名称和地址;2.用通用的术语讲明介质的功能模型,包括被处理的个人数据的种类;3.根据第19、20、34和35条之规定,怎样实现其权利;4.当介质丢失或受损时应采取何种措施。(2)负有第1款所规定责任的机构应保证提供足够多的设备,数据主体可免费使用,以便维护其获取信息的权利。(3)数据主体应清楚导致在介质上进行处理数据的通信程序。第7条赔偿如控制者采取本法
25、或其他数据保护条款规定不允许或以为不正确的方式采集、处理或使用个人数据而给数据主体造成了损害,则控制者或其支持组织应赔偿由此造成的损失。如控制者根据详细情形已尽必要之注意,则此赔偿责任不适用。第8条因公共机构自动处理数据而产生的赔偿(1)如公共机构采取本法或其他数据保护条款规定不允许或以为不正确的自动方式采集、处理或使用个人数据而给数据主体造成了损害,则公共机构的支持组织应赔偿由此造成的损失,而不管其过错怎样。(2)当数据主体的隐私权被侵犯时,则应得到充分的精神损失赔偿。(3)根据第1和2款之规定所产生的赔偿的最高限额为25万德国马克。当同一案件中赔偿数人而超过了最高额25万德国马克时,则每人
26、的赔偿额应根据最高限额按比例减少。(4)对于数据自动处理的情形,如受权数个机构存储数据,而受损主体不能确定编档系统的控制者时,则每个机构都负有赔偿责任。(5)对于数据主体疏忽的情形,可比照适用(民法典)第254条和852条。第9条技术和组织手段公共和私法主体在为本身利益或别人利好处理数据时,应采取必要的技术和组织手段,确保执行本法十分是本法附件的规定。应根据所设定的保护层次而采用合理的措施。德国联邦数据保护法德国联邦数据保护法第9a条数据保护审计为了提高数据保护和数据安全水平,数据处理系统和程序的提供者以及进行数据处理的机构能够借助独立的评估机构,对其数据保护概念和技术设备进行检查、评估并公布
27、审计结果。关于评估机构检查、评估的具体要求和选择和审批的程序由专门法律规定。第10条建立自动检索程序(1)如该程序合理地注意到数据主体的合法利益和有关机构的职责或商业目的,则能够建立个人数据自动检索程序。但有关特定情形下的检索许可条款的效力不受影响。(2)有关机构应保证检索程序的许可能被监督。为此目的,其应书面十分讲明:1.检索程序的原因和目的;2.接受传输数据的第三方;3.传输的数据的种类;4.根据本法第9条之规定所采取的技术和组织措施。在公共领域,管理机构应制定这些规范。(3)当涉及到本法第12条第1款所指的机构时,应通知联邦数据保护专员所建立的检索系统及上述第2款之规范。只要当负责管理编
28、档系统、检索机构的联邦和州部门及其代理机构同意时,则本法第6条第2款和第19条第3款所规定的机构才可建立检索系统。(4)在特殊情形下,检索许可应由数据传输的第三方负责。编档系统的控制者只要在有相关规定时,才能够检查检索许可。编档系统的控制者应保证可通过适当的样本程序确定和检查个人数据的传输情况。如所有的个人数据被检索或传输批处理,只要保证所有数据检索或传输的许可可被确认和检查。(5)上述第1至4款不适用于开放性数据的检索。开放性数据指任何人都可使用的数据,不管事先能否登记、同意或交费。第11条代理采集、处理或使用个人数据(1)当其他机构代理采集、处理或使用个人数据时,则根据本法和其他数据保护条款而产生的责任由被代理人承当,本法第6至8条规定的权利亦相应地由被代理人享有。(2)被代理人应认真选择代理机构,十分应注意其技术和组织手段。应书面表示代理事宜,应十分讲明数据采集、处理和使用、技术和组织手段以及再代理事宜。对于公共机构,可由其监督机构指示代理。被代理人可检验代理机构承诺的技术和组织手段。(3)代理机构应根据被代理人的指示采集、处理或使用数据。如其以为