近期互联网陷“泄密门”,CSDN数據库泄密事件升级 超1亿用户密码被黑客泄露
我国在个人数据保护立法方面还非常薄弱随着互联网更加广泛而深入的应用,个人数据保护嘚重要性日益凸显2002年颁布的《德国联邦数据保护法》是在全球范围内专门针对个人数据保护较早的立法之一,现发表本人在工信部部委機构工作期间翻译的《德国联邦数据保护法》全文供大家参考如需引用,请注明:(1)译者:盈科律师事务所北京总部冉德勇律师;及(2)出处:新浪博客:北京冉律师)
(本法为执行欧盟1995年《欧盟个人数据保护指令》而制定)
第2条 公共机构和私法主体
第3a条减少使用数据和數据经济
第4条 收集、处理和使用数据的同意
第4b条向国外和国际机构移交的个人数据
第4e条登记义务的内容
第4g条数据保护官的职责
第6条 数据主體不可分割的权利
第6a条自动生成的个案决定
第6b条使用光电子设备对公共场所的监控
第6c条 用于个人数据的移动存储和处理的介质
第8条 因公共機构自动处理数据而产生的赔偿
第9条 技术和组织手段
第10条建立自动检索程序
第11条代理收集、处理或使用个人数据
第二部分 公共机构对数据嘚处理
第一章 数据处理的法律依据
第14条 对数据的存储、修改和使用
第15条向公共机构的数据传输
第16条 向私法主体的数据传输
第17条向本法适用范围外的机构传输数据(删除)
第18条联邦管理机构对数据保护的执行
第二章 数据主体的权利
第19条向数据主体提供信息
第20条对数据的修改、刪除和阻滞;拒绝的权利
第21条向联邦数据保护专员投诉
第三章 联邦数据保护专员
第22条联邦数据保护专员的选举
第23条联邦数据保护专员的法律地位
第24条联邦数据保护专员的监督
第25条联邦数据保护专员提起的诉讼
第26条联邦数据保护专员的延伸职责
第三部分 私法主体和参与竞争的公法企业对数据的处理
第一章 数据处理的法律依据
第28条为自身目的收集、处理和使用数据
第29条在交易中为传输而收集和存储数据
第30条 在交噫中为匿名传输而收集和存储数据
第31条 特殊用途的限制
第二章 数据主体的权利
第34条对数据主体提供信息
第35条 数据的修改、删除和阻滞
第36条數据保护官的任命(删除)
第37条数据保护官的职责(删除)
第38a条提高数据保护执行程度的行为规则
第39条作为专业和官方特殊秘密的个人数據的限制使用
第40条研究机构处理和使用个人数据
第41条媒体对个人数据的收集、处理和使用
第42条德国国际广播电台数据保护官
第46条定义的延伸效力
(关于本法第9条第1句)
第1条 目的和适用范围
(1) 制定本法的目的是保护个人隐私权防止个人数据在使用过程中被侵害。
(2) 本法适用于下列收集、处理和使用个人数据的主体:
2. 各州执行联邦法律而不受州立法管辖的公共机构;
3. 实行下列行为的私法主体:使用数据处理系统处悝或使用数据或为此类系统收集数据;使用非自动文件编档系统处理或使用数据,或为此类系统收集数据仅为个人和家庭活动之目的收集、处理或使用数据不受本法管辖。
(3) 如其他联邦法律条款适用于个人数据此类条款优先于本法条款适用。此规定不影响依据职责遵守保守职业或官方特殊机密的法律义务的效力
(4) 本法的条款优先于《行政程序法》中关于使用个人数据确定事实的条款。
本法不适用于位于歐盟其他成员国或签署了欧洲经济区协议的其他成员国内的数据控制者除非是其在德国境内的分支机构收集、处理或使用个人数据。本法适用于不位于欧盟其他成员国或欧州经济区协议的其他签署国内而在德国收集、处理或使用数据的数据控制者对于本法定义的控制者,并且数据亦由在德国成立的代表主体提供本法使用数据存储介质仅是为了穿越德国,第2、3句之规定不适用第38条第1款的效力不变。
第2條 公共机构和私法主体
(1) 联邦公共机构指联邦行政机关、司法机关和其他联邦公法机构以及联邦国有公司、各种基金会和协会等
(2) 各州公共機构指各州的行政机关、司法机关和州、自治市的其他公法机构。
(3) 依据私法成立的履行公共管理职能的联邦和州的一些协会在下列情形丅应被认为是联邦公共机构而不论其中的私有成分如何:
1.其业务范围已超越州界;
2.联邦占有绝对多数的股票或投票份额。
否则应被视为州公共机构
(4) 私法主体指自然人或法人、公司和其他依据私法成立的并且不包括于以上1至3款的协会。如私法主体完全行使公共管理职能则應被视为公共机构。
(1) 个人数据指关于个人或已识别、能识别的个人(数据主体)的客观情况的信息
(2) 自动处理是指使用数据处理系统收集、处理或使用个人数据。非自动编档系统指对结构类似和可依据具体特征获取、评估的个人数据的非自动收集
(3) 收集指对数据主体的数据嘚获得。
(4) 处理指对个人数据的存储、修改、传输、阻滞和删除:
1.存储指在存储介质中刻入、录制或保存个人数据以便其能再次处理或使用;
2.修改指对已存储的个人数据的改变;
3.传输指将存储或获得的个人数据向第三方披露:
4.阻滞指标明已存储的个人数据以便限制其处理和使鼡;
5.删除指去除已存储的个人数据
(5) 使用指除了处理以外的对个人数据的利用。
(6) 匿名指改变个人数据以致有关个人或客观情况的信息不能夠确定为或必须付出相当大的时间、经费和劳动才能确定为归属于认定的个人
(6a) 假名指用标志替换个人的姓名和其他辨识特征以致数据主體的认定或此种认定产生实质困难。
(7) 控制者指任何为其自身利益或委托他人(机构)收集、处理或使用个人数据的人或机构
(8) 接受者指任哬收到数据的个人或机构。第三方指除控制者之外的任何个人或机构但不包括数据主体和在德国、欧盟其他成员国或签署欧洲经济区协議的其他成员国的受委托收集、处理或使用个人数据的个人或机构。
(9) 特殊种类的个人数据指有关个人种族、民族、政见、宗教信仰、党派、健康或性生活的信息
(10) 个人移动存储和处理介质指具备以下特点的存储介质:
1.针对数据主体发行;
2.可由发行主体或其他主体对个人数据進行自动处理而不仅仅是存储;
3.可由数据主体通过媒质即可影响此种处理。
第3a条 减少使用数据和数据经济
应设计和选择不收集、处理和使鼡或最小限度收集、处理和使用个人数据的数据处理系统特定情形下,如可能和合理可用假名和匿名以达到满意的保护程度。
第4条 收集、处理和使用数据的同意
(1) 收集、处理和使用个人数据必须遵守本法和其他法律的规定或者经数据主体同意。
a)履行行政职责的需要或依据商业目的的需要从其他个人或机构处收集个人数据;
b)从数据主体处收集数据会付出不合理的成本。
并且此类个人数据收集不会侵害数據主体重大合法利益
2.收集、处理或使用数据的目的;
3.如依据当时的具体情形使数据主体无法预知数据会传输给何类接受者,应告知接受鍺的类别除非数据主体已从其他途径知情。如果是依据法律规定从数据主体处收集数据而使提供数据成为一项义务或是赋予合法利益的湔提则数据主体应被告知提供数据是一项义务或是自愿行为。依据个案具体情形规定或数据主体的要求其应被告知法律条款的规定和保留个人数据的后果。
(1) 同意必须建立在数据主体自主决定的基础上依据个案具体情形规定或数据主体的要求, 应被告其收集、处理或使用數据的目的和不同意的结果。同意的意思表示应采用书面形式在特殊情形下,可授权使用其他形式如同时提供书面同意和其他书面声奣,则应从其外观加以区分
(2) 在科学研究领域,如用书面形式作同意的意思表示会给既定的研究造成很大的侵害则以上第1款第3句所说的特殊情形亦应被认为存在。在此种情形下以上第1款第2句所说的信息和可能对既定研究造成很大损害的原因应被记录在案。
(3) 如收集、处理戓使用第3条第9款所指的特殊种类的个人数据对此类数据应特别指明是否作同意的意思表示。
第4b条 向国外和国际机构移交的个人数据
1. 欧盟其他成员国内;
2. 欧洲经济区其他成员国内;
移交个人数据时应遵守第15条第1款、第16条第1款和第28至30条之规定。
(2) 如数据主体有合法利益排除此種数据传输特别是接受数据的此类机构不能保证对数据给予足够的保护,则这种数据传输没有法律效力但如传输数据是联邦公共机构履行国防或在危机处理、避免冲突和实行人道主义行为时所承担的国际义务的需要,则前句规定不适用
(3) 在传输数据的所有情形下都应给予数据足够的保护,应对数据的性质、目的、数据处理的持续时间、原始国、接受国、法律规定、专业规则和安全措施给予特别注意
(4) 在苐16条第1款第2项之上规定的情形下,传输数据的机构应告知数据主体对其数据的传输如认为其通过其他方式已得知此项传输事宜或此项告知可能会危害公共安全、联邦或州利益,则此规定不适用
(5) 传输数据的机构应对数据传输的结果负责。
(6) 应告知接受传输数据的机构传输数據的目的
(1) 依据欧共体法律规定,可以将个人数据传输给第4b条第1款之外的机构即使这些机构不能给予个人数据以足够的保护,只要:
2.传輸数据是履行数据主体和控制者之间合同的需要或应数据主体的要求履行前合同义务的需要;
3.传输数据是为数据主体之利益在第三方和控制者之间签订或履行合同的需要;
4.传输数据是维护重大公共利益或确定、享有或保护合法利益的需要;
5.传输数据是为了保护数据主体重夶利益的需要;
6.传输数据是为了记录数据,以便向公众提供信息或为公众提供有关个人合法权益的咨询
应向数据接受机构指出对被传输數据的处理或使用只能用于其被传输之目的。
(2) 在没有对第1条第1句之立法目的损害的情形下监管机构可授权将个人数据传输给第4b条第1款之外的机构,只要控制者证明能够充分保障个人隐私权及相关权利;此种保护可特别基于合同条款或公司章程的规定而产生对于邮政和电信公司,权限来自联邦数据保护专员如由公共机构传输数据,联邦数据保护专员应依据第1条第1句进行监督
(3) 各州应通知联邦机构依据上述第2款第1句做出的决定。
(1) 使用自动处理程序前具有监督权力的私人控制者、联邦公共控制者和邮政电信公司应依据第4e条规定将该程序向聯邦数据保护专员登记。
(2) 如控制者已任命了数据保护官则登记义务不适用。
(3) 如控制者收集、处理、或使用个人数据是为了自身之目的朂多有4名雇员从事个人数据的收集、处理或使用,并且从数据主体处得到同意的意思表示或收集、处理或使用数据是基于与数据主体合哃或准合同信托关系之目的,则登记义务不适用
(4) 如有关控制者为传输或匿名传输之目的使用自动处理方法存储个人数据,则以上第2和3款鈈适用
(5) 如自动处理运行中含有对数据主体的权利和自由的特殊风险,则在处理运行前应进行前期检查特别是在下列情形下应进行前期檢查:
1.处理个人特殊数据(第3条第9款);
2.处理个人数据是为了评估数据主体的素质,包括能力、表现或行为
除非有法律规定义务,获得數据主体的同意收集、处理或使用数据是基于与数据主体的合同或准合同信托关系之目的。
(6) 前期检查由数据保护官负责数据保护官应依据第4g条第2款第1句之规定,在收到清单后进行前期检查如有疑虑,可向监督机构咨询作为邮政和电信公司,应向联邦数据保护专员咨詢
第4e条 登记义务的内容
对于须登记的自动处理程序,应提供以下信息:
1.姓名或控制者的名称;
2.所有者、管理委员会、总经理或其他合法任命的管理人员以及负责数据处理的人员;
4.收集、处理或使用数据的目的;
5.对数据主体以及附属数据或数据种类的说明;
6.数据的接受者或接受者的类别;
7.删除数据的标准期限;
8.计划向第三国传输的数据;
9.对第9条所指的保证数据处理安全的措施的初步评估的说明
第4d条第1和4款仳照适用于对依据上述第1句规定提供的信息的修改和依据登记义务产生的活动的起讫时间。
自动收集、处理和使用个人数据的公共机构和私法主体应书面任命一名数据保护官私法主体应在其开业1个月内任命此官员。如以其他方法处理个人数据并且至少20人为此目的被长期雇傭则同样适用此规定。对于最多雇佣4人收集、处理或使用个人数据的私法主体则不适用上述第1和第2句之规定如是由于公共机构的组织結构的要求,在数个领域任命1名数据保护官应是足够的对于进行自动处理运行,做前期检查或在业务中为传输或匿名传输个人数据之目嘚而收集、处理或使用个人数据的私法主体则不论其雇员多少都应任命数据保护官。
(2) 只有具备相关专业知识并且证明其具备履行职责所必需的责任感的人员才能被任命为数据保护官机构之外的人员亦可被任命。经过监督机构的同意公共机构可任命其他公共机构的人员為其数据保护官。
(3) 数据保护官应直接向其所在公共机构或私法主体的领导负责其可在数据保护领域自主地运用专业知识,在履行职责时應不受任何干涉数据保护官的任命可依据《民法典》第626条之规定撤销;对于私法主体,则应依据监督机构的要求撤销其数据保护官
(4) 数據保护官应为数据主体保守秘密,除非其已经过数据主体同意取消此项责任
(5) 公共机构和私法主体应支持数据保护官的工作,为其提供工莋场所、设备和其他资源数据主体可在任何时间接触数据保护官。
第4g条 数据保护官的职责
(1) 数据保护官应依据本法和其他数据保护条款开展工作为达此目的,数据保护官可向负责数据保护控制的有权机构进行咨询:
1.其应监督数据处理项目的合理使用;其应被及时告知个人數据自动处理计划;
2.采取合理步骤使受雇处理个人数据的人员熟悉本法和其他有关数据保护的条款以及其他有关数据保护的特殊要求。
(2) 控制者应向数据保护官提供第4e条第1句所规定的信息的概述和合法访问者的名单在第4d条第2款的情形下,数据保护官应要求以合适的方式向任何人提供第4e条第1句下第1至8项信息在第4d条第3款的情形下,第2句可比照适用于控制者
(3) 第2条第2句不适用于第6条第2款第4句所指的机构。机构數据保护官和机构长官间的分歧应通过上级联邦机构解决
数据处理人员不得收集、处理或使用未经授权个人数据,工作期间应保守秘密并且此项承诺在其工作终止后仍然有效。
第6条 数据主体不可分割的权利
(1) 数据主体获取(第19、34条)、修改、删除或阻滞(第20、35条)数据的權利不能因法律诉讼而被排除或限制
如用自动程序存储数据,且有几个机构被授权存储数据如数据主体不能确定是哪个机构存储的数據,其可接触其中任意机构这些机构应向存储数据的机构转发数据主体的要求。数据主体应被告知要求已被转发和相关机构的名称本法第19条第3款所列的机构、公诉机关、警察局和公共金融机构为履行《财政法》规定的有关监督和控制的职责而存储个人数据时,应向联邦數据保护专员而不是数据主体汇报在此种情形下,进一步的程序应按本法第19条第6款之规定执行
第6a条 自动生成的个案决定
(1) 不能排他性依據自动处理的用来评估个人特征的个人数据作出具有法律效力或对数据主体的利益产生实质侵害的决定。
(2) 在下列情形下此规定不适用:
1.此決定与签订和履行合同或其他法律关系有关且已经满足了数据主体的要求;
2.通过适当的措施确保维护数据主体的正当利益,并且控制者告知数据主体此决定的存在控制者应复审其决定。
(3) 依据第19和34条之规定数据主体的获取数据的权利也可延伸至其自身数据的逻辑结构。
苐6b条 使用光电子设备对公共场所的监控
(1) 只有在必要的情形下才能用光电子设备(视频监控)对公共场所进行监控:
2.为实现决定允许或拒絕何人进入的权利;
3.为实现目标明确的合法利益的需要。
但必须是在不损害数据主体普遍的合法利益的前提下
(2) 如某区域已被监视,则控淛者的身份应可通过适当手段得知
(3) 依据第1款之规定,所收集的数据在必要时和在数据主体的合法利益不是普遍的情形下可进行处理和使用以实现既定目的。只有在这些数据用于避免国家和公共安全危险或追诉犯罪时才能用于其他目的
(4) 当通过视频监视收集的数据是针对某个人时,则应告知其依据第19a和33条处理或使用之事宜
(5) 如数据不需要继续用于既定目的或继续存储将妨碍数据主体的合法利益,则数据应竝即删除
第6c条 个人数据移动存储和处理介质
(1) 发行用于个人数据移动存储和处理的介质,或是运行用于自动处理个人数据的程序且此程序蔀分或全部在介质与介质之间运行、修改或提供的机构必须告知数据主体(在数据主体还未得知这些信息的情形下):
1.该机构的名称和哋址;
2.用通用的术语说明介质的功能模型,包括被处理的个人数据的种类;
3.依据第19、20、34和35条之规定如何实现其权利;
4.当介质丢失或受损時应采取何种措施。
(2) 负有第1款所规定责任的机构应保证提供足够多的设备数据主体可免费使用,以便维护其获取信息的权利
(3) 数据主体應清楚导致在介质上进行处理数据的通信程序。
如控制者采取本法或其他数据保护条款规定不允许或认为不正确的方式收集、处理或使用個人数据而给数据主体造成了损害则控制者或其支持组织应赔偿由此造成的损失。如控制者依据具体情形已尽必要之注意则此赔偿责任不适用。
第8条 因公共机构自动处理数据而产生的赔偿
(1) 如公共机构采取本法或其他数据保护条款规定不允许或认为不正确的自动方式收集、处理或使用个人数据而给数据主体造成了损害则公共机构的支持组织应赔偿由此造成的损失,而不论其过错如何
(2) 当数据主体的隐私權被侵犯时,则应得到充分的精神损失赔偿
(3) 依据第1和2款之规定所产生的赔偿的最高限额为25万德国马克。当同一案件中赔偿数人而超过了朂高额25万德国马克时则每人的赔偿额应依据最高限额按比例减少。
(4) 对于数据自动处理的情形如授权数个机构存储数据,而受损主体不能确定编档系统的控制者时则每个机构都负有赔偿责任。
(5) 对于数据主体疏忽的情形可比照适用《民法典》第254条和852条。
第9条 技术和组织掱段
公共和私法主体在为自身利益或他人利益处理数据时应采取必要的技术和组织手段,确保执行本法特别是本法附件的规定应依据所设定的保护层次而采用合理的措施。
第9a条 数据保护审计
为了提高数据保护和数据安全水平数据处理系统和程序的提供者以及进行数据處理的机构可以借助独立的评估机构,对其数据保护概念和技术设备进行检查、评估并公布审计结果关于评估机构检查、评估的详细要求和选择和审批的程序由专门法律规定。
第10条 建立自动检索程序
(1) 如该程序合理地注意到数据主体的合法利益和有关机构的职责或商业目的则可以建立个人数据自动检索程序。但有关特定情形下的检索许可条款的效力不受影响
(2) 有关机构应保证检索程序的许可能被监督。为此目的其应书面特别说明:
1.检索程序的原因和目的;
2.接受传输数据的第三方;
3.传输的数据的种类;
4.依据本法第9条之规定所采取的技术和組织措施。
在公共领域管理机构应制定这些规范。
(3) 当涉及到本法第12条第1款所指的机构时应通知联邦数据保护专员所建立的检索系统及仩述第2款之规范。只有当负责管理编档系统、检索机构的联邦和州部门及其代理机构同意时则本法第6条第2款和第19条第3款所规定的机构才鈳建立检索系统。
(4) 在特殊情形下检索许可应由数据传输的第三方负责。编档系统的控制者只有在有相关规定时才可以检查检索许可。編档系统的控制者应保证可通过适当的样本程序确定和检查个人数据的传输情况如所有的个人数据被检索或传输(批处理),只要保证所有数据检索或传输的许可可被确认和检查
(5) 上述第1至4款不适用于开放性数据的检索。开放性数据指任何人都可使用的数据不管事先是否登记、同意或交费。
第11条 代理收集、处理或使用个人数据
(1) 当其他机构代理收集、处理或使用个人数据时则依据本法和其他数据保护条款而产生的责任由被代理人承担,本法第6至8条规定的权利亦相应地由被代理人享有
(2) 被代理人应认真选择代理机构,特别应注意其技术和組织手段应书面表示代理事宜,应特别说明数据收集、处理和使用、技术和组织手段以及再代理事宜对于公共机构,可由其监督机构指示代理被代理人可检验代理机构承诺的技术和组织手段。
(3) 代理机构应按照被代理人的指示收集、处理或使用数据如其认为被代理人嘚指示违反了本法或其他数据保护条款,则应立即向被代理人指出
(4) 对于代理机构,除本法第5条、9条、43条第1款的第1、2、10和11项、43条第2款的第1囷3项、43条第3款和44条第1、2款规定的条款外只能适用有关数据保护控制和监督的条款,具体来说:
b)公共机构占有多数股份或选票份额的私法主体以及被代理人为公共机构,
适用本法第18条、24至26条或各州有关数据保护法律;
2.代理收集、处理和使用个人数据的其他私法主体适用夲法第4f、4g和38条。
(5) 如果有其他机构代理对自动程序或数据处理系统的检测和维护且不排除他们获取个人数据的可能性,则比照适用第1至4款
第二部分 公共机构对数据的处理
第一章 数据处理的法律依据
(1) 本部分的条款适用于不作为公法企业参与竞争的联邦公共机构。
(2) 当数据保护鈈受州立法管辖时本法第12至16、19至20条亦适用于州公共机构,只要他们:
1.执行联邦法律且不作为公法企业参与竞争;
2.作为司法机构但不进荇行政管理。
(3) 州数据保护专员可比照执行本法第23条第4款
(4) 如是为过去、现在和未来的服务或就业合同收集、处理或使用个人数据,则本法苐28条第1和第3款第1项和第33至35条应取代第13至16条、第19至20条适用只要个人数据既不是由自动程序处理,亦不是由自动编档系统处理或使用的
(1) 如收集个人数据是有关机构履行职责的需要,则应允许收集个人数据
(1a)如个人数据是从私法主体处,而且不是从数据主体处收集则应告知其提供特殊个人数据的法律规定,该数据提供是自愿的
(2) 只有符合下列条件时才能收集个人的特殊数据:
1.法律有明文规定可以收集,或此數据收集关系到重大公共利益;
2.依据本法第4a条第3款之规定数据主体同意;
3.收集此类数据是为了保护数据主体或第三方的重大利益的需要,而数据主体由于健康或法律等因素无法表示同意;
4.收集的此类数据已被数据主体公布于众;
5.收集此类数据可避免对公共安全的重大威胁;
6.收集此类数据是为了避免对公共利益的重大危害或为了对重大公共利益的保护;
7.收集此类数据是预防医学、医疗诊断、卫生保健和医疗衛生管理的需要由医务人员或其他承诺保守秘密的人员对此类数据进行处理;
8.收集此类数据是科学研究的需要,并且此项科学研究的利益明显大于该数据主体排除此类数据收集的所得利益而且该项科学研究的目的不能通过其他渠道达到,或通过其他渠道须付出不合理的荿本;
9.收集此类数据是联邦公共机构在危机处理、避免冲突或实行人道主义行为时履行国防或国际义务的需要
第14条 对数据的存储、修改囷使用
(1) 如收集个人数据是为了履行编档系统控制者的职责和达到收集数据的目的,则应允许收集、修改或使用个人数据如没有先期收集,则为了存储目的的需要可对数据进行修改或使用
(2) 只有在下列情形下,才可允许为其他目的存储、修改或使用数据:
1.法律规定或可确切哋认为;
3.明显地是为了数据主体的利益并且没有理由认为其知道此目的后会不同意;
4.数据主体提供的特殊数据明显存在错误而须进行检查;
5.数据属于开放性数据,或控制者会得到同意公布这些数据的意思表示除非数据主体明显有重大合法利益而排除目的的改变;
6.为了避免对公共利益的重大危害或为了对重大公共利益的保护;
7.为了追诉犯罪或行政违法,执行《刑法典》第11条第1款第8项的判决或是《青少年处罰法》中规定的劳动教养处罚以及执行行政罚款的需要;
8.为了避免对他人造成重大侵害的需要;
9.为了科学研究的需要并且此项科学研究嘚利益明显大于该数据主体排除改变目的所得利益,而且该项科学研究的目的不能通过其他渠道达到或通过其他渠道须付出不合理的成夲。
(3) 如是为了行使监督或控制权力、执行审计或编档系统控制者组织学习的需要则不认定是为其他目的处理或使用数据。这同样适用于控制者为训练和检查之目的处理或使用数据的情形除非数据主体具有重大合法利益。
(4) 仅仅是为了监督数据保护、维护数据安全或保证数據处理系统的正常运行而存储个人数据可排他性地用于此类目的。
(5) 只有在下列情形下才能因为其他目的存储、修改或使用个人特殊数據(第3条第9款):
1.满足第13条第2款第1至6项和第9项之规定;
2.为了科学研究的需要,并且此项科学研究的利益明显大于该数据主体排除改变目的所得利益而且该项科学研究的目的不能通过其他渠道达到,或通过其他渠道须付出不合理的成本
此处科学研究利益是出于对公共利益嘚特殊考虑。
(6) 为第13条第2款第7项所规定的目的存储、修改或使用个人特殊数据(第3条第9款)的应依据第13条第2款第7项之规定负有保守秘密的責任。
第15条 向公共机构传输数据
(1) 在下列情形下允许向公共机构传输个人数据:
1.为履行传输数据机构或接受数据机构职责的需要;
2.满足本法第14条之规定。
(2) 准许传输数据的责任应由传输方承担如果是应接受数据的第三方的要求而向其传输数据的,则第三方应承担责任在该凊形下,数据传输机构仅仅负责检查数据传输是否符合第三方的要求除非有特殊原因需要才可检查传输是否经过许可。本法第10条第4款的效力不受影响
(3) 接受数据的第三方可按数据传输的目的处理或使用数据。只有在满足本法第14条第2款的情形下才能允许因其他目的处理或使用数据。
(4) 将个人数据传输给公法宗教协会且其能保证采取充分的数据保护措施的情形可比照适用上述第1至3款之规定。
(5) 当依据上述第1款規定传输的个人数据与其他数据主体或第三方的个人数据相连接而且不可能或只有付出不合理成本才有可能分割其连接时,后者的数据亦可允许被传输除非为数据主体或第三方保守秘密具有明显重大利益;但不允许使用这些数据。
(6) 在一个公共机构内传输个人数据的情形可比照适用上述第5款之规定。
第16条 向私法主体传输数据
(1) 在下列情形下应允许向私法主体传输个人数据:
1.为履行传输机构的职责和满足夲法第14条规定的需要;
2.能充分证明接受数据的第三方具有合法利益,并且如排除数据传输不会影响数据主体的合法利益。只有在满足第14條第5、9款或是为了确认、实现或维护合法利益的情形下才可允许传输个人特殊数据(第3条第9款)。
(2) 同意传输数据的责任由传输机构承担
(3) 在第1款第2项规定的数据传输的情形下,传输机构应告知数据主体对其数据的传输如可认为该数据主体可通过其他方式得知该传输事宜,或该告知信息会危害公共安全或对联邦或州有危害,则此告知义务不适用
(4) 接受传输数据的第三方只能因数据传输之目的处理或使用被传输的数据。数据传输机构应告知第三方此义务只有在依据上述第1款规定允许该数据传输和传输机构同意的情形下,才可为其他目的處理或使用数据
第17条 向本法适用范围外的机构传输数据
第18条 联邦管理机构对数据保护的执行
(1) 联邦最高机构、联邦铁路资产管理局局长、依据公法成立的直接受联邦政府或最高联邦机构法律监督的机构和基金会应保证在其各自的业务范围内使本法和其他有关数据保护的法律條款得以执行。此规定同样适用于依据《联邦邮政特别基金法》成立的公司的管理委员会只要其依据《邮政法》享有专营权。
(2) 公共机构應将使用的数据处理系统登记在册对于自动处理系统,应依据第4e条之规定和数据处理的法律依据将有关信息进行书面记录如为了行政管理之目的,在没有对第19条第3和4款规定的数据主体的获取数据的权利造成限制的情形下运行自动处理系统则此要求可取消。
第二章 数据主体的权利
第19条 向数据主体提供信息
(1) 在数据主体的要求下应向其提供以下信息:
1.与其有关的被存储信息,包括出处;
2.被传输数据的接受鍺或接受者的种类;
数据主体在提出信息提供要求时应具体指明个人数据的种类。在个人数据既不是用自动程序也不是用非自动编档系統存储的情形下只有当数据主体提供特殊数据才有可能找到数据并且提供此信息所付出的努力没有与数据主体得到此信息所体现出的利益不成比例时,才可向其提供信息控制者应认真考虑提供此类信息的程序,特别是提供形式
(2) 对于只是因为依据法律、法规或合同条款規定而保存或排他性地用于数据安全、数据保护控制而存储的并且提供信息会付出不合理成本的个人数据,则上述第1款不适用
(3) 如提供的信息涉及到向宪法保护机构、联邦情报局、联邦武装部队反情报办公室以及联邦国防部的其他机构传输的个人数据而涉及联邦安全时,则應得到这些机构的同意
(4) 在下列情形下,不应提供信息:
1.不利于正常履行控制者的职责;
2.会侵害公共安全或秩序或对联邦、州有危害;
3.依据法律规定或其自身性质,必须对数据或其被存储的事实保密特别是为了维护第三方的重大合法利益。
在这些情形下数据主体在信息提供中的所得利益次之。
(5) 如说明做出决定的真实的和法律上的原因会损害拒绝提供信息所要达到的目的则不需要说明拒绝提供信息的原因。在此情形下应向数据主体说明其可向联邦数据保护专员投诉。
(6) 如没有信息向数据主体提供应其要求可向联邦数据保护专员提供,除非在特殊情形下有关联邦最高机构认为这将危害联邦或州的安全
(7) 应免费提供信息。
(1) 如数据主体不知道数据被收集则应被告知数据被存储的事实、控制者的名称和收集、处理或使用数据的目的。其亦应被告知接受者的身份或接受者的类别除非其希望向接受者传输数據。告知应最迟在第一次传输时进行
(2) 在下列情形下,不要求此告知义务:
1.数据主体已通过其他途径得知数据被存储或传输;
2.告知数据主體会付出不合理成本;
3.法律明确规定了个人数据的存储或传输
依据上述第2或3项之规定,控制者应书面明确在何种条件下可以不履行该告知义务
(3) 第19条第2至4款可比照适用。
第20条 对数据的修改、删除和阻滞;拒绝的权利
(1) 不正确的个人数据应进行修改如果认定既不是自动程序處理的也不是自动编档系统存储的个人数据是错误的,或者数据主体要求进行修改则应以适当方式进行记录。
(2 )在下列情形下用自动程序处理的或用非自动编档系统存储的个人数据应被删除:
2.编档系统控制者的职责已不需要存储此数据。
(3) 在下列情形下应该阻滞而不是删除个人数据:
1.法律、法规或合同规定的数据保存期排除了删除的可能;
2.有理由认为删除会侵害数据主体的合法利益;
3.因特殊类型的存储而使删除不可能实现或需付出不合理的成本才可能实现。
(4) 如数据主体质疑数据的正确性并且无法断定其正确性与否则应阻滞用自动程序处悝或用非自动编档系统存储的个人数据。
(5) 如数据主体向控制者提出反对意见并且检验表明依据数据主体的情形,数据主体的合法利益大於控制者收集、处理或使用数据的利益则不可用自动处理程序收集、处理或使用或用非自动编档系统处理个人数据。第1句只适用于依据法律规定负有收集、处理或使用义务的情形
(6) 如依据个案情形,有权机构认定若不阻滞数据会侵害数据主体的合法利益并且有权机构履荇其职责时已不需要此数据,则应阻滞既不是用自动程序处理也不是用非自动编档系统存储的个人数据
(7) 仅在下列情形下,传输或使用被阻滞的数据可无需数据主体的同意:
1.此数据是为科学研究目的必不可少的或是作为证据使用,或是为了维护数据控制者或第三方的重大利益;
2.如其不被阻滞传输或使用此数据是被允许的。
(8) 如不会导致不合理的成本也不会与数据主体的合法利益冲突,则应告知数据接受機构对不正确数据的修改、对有争议数据的阻滞和对不允许存储数据的删除或阻滞
(9)《国家档案法》第2条第1至6、8、9款适用。
第21条 向联邦数據保护专员投诉
如认为联邦公共机构在收集、处理或使用其个人数据时侵害了其权利任何人都可向联邦数据保护专员投诉。本规定亦适鼡于联邦法院因处理行政事务而收集、处理或使用个人数据的情形
第三章 联邦数据保护专员
第22条 联邦数据保护专员的选举
(1) 经联邦政府提議,联邦议会法定人数半数以上通过可选举联邦数据保护专员当选时,联邦数据保护专员应在35周岁以上联邦数据保护专员应由联邦总統任命。
(2) 由联邦内务部部长出席联邦数据保护专员应作如下宣誓:“我宣誓在本人职责范围内尽我最大之力量增加德国人民福祉,保护怹们不受伤害保卫基本法和联邦法律,恪尽职守以实现公正愿上帝保佑。”最后一句可省略
(3) 联邦数据保护专员的任期为5年,可连任兩届
(4) 联邦数据保护专员具有公法官员地位,独立行使职权只服从于法律。受联邦政府的法律监督
(5) 联邦数据保护专员服从于联邦内务蔀长的级别监督。应为联邦数据保护专员配备履行职责所需的人员和物资这些资源在联邦内务部的预算中单列出来。人员任命应得到联邦数据保护专员的同意如果无法取得一致,工作人员的调整和任命由联邦数据保护专员决定
(6) 如联邦数据保护专员暂时不能履行职责,聯邦内务部长可任命替代者但应与联邦数据保护专员协商这一任命。
第23条 联邦数据保护专员的法律地位
(1) 联邦数据保护专员的任命应从任命证书交付时开始到下列情形下结束:
在联邦数据保护专员要求下或在联邦政府基于有效裁定而提出建议时,联邦总统可解除联邦数据保护专员的职务此时,联邦数据保护专员会收到一份由联邦总统签署的文件从该文件交付时起,职务解除开始生效在联邦内务部长嘚要求下,联邦数据保护专员应继续工作直至任命其继任者
(2) 联邦数据保护专员不可在其职务以外担任其他有偿职务或参加有偿活动,也鈈可在盈利性企业担任经理、董事、管理委员会成员以及在联邦各州政府或立法机构担任职务不可为获取报酬而发表司法权限以外的意見。
(3) 联邦数据保护专员应向联邦内务部长报告其在履行职务期间所收的所有礼物由联邦内务部长决定如何处理这些礼物。
(4) 联邦数据保护專员有权拒绝为委托其管理信息的人和信息自身提供证言当其决定行使此权利时,此规定也适用于其工作人员在此拒绝作证权利范围內,不可要求其提交文件
联邦数据保护专员(即使在其任期结束后)应为其因履行职责而获得的信息保守秘密。此规定不适用于其履行職责时的正常通信、众所周知的事实以及未达到密级的信息在未得到联邦内务部长同意的情形下,联邦数据保护专员(即使在其任期结束后)不可就此类信息在法庭内外发表任何声明此项规定不影响其依法报告犯罪和采取措施维护基本的自由民主秩序。当财政机构因涉嫌税务犯罪而需要在法庭辩论或有关法律程序中提交此类信息并且起诉是出于对公共利益的考虑,或因某人或其代理人为其利益故意提供虚假信息而需得到此类信息时则《财政法》第93、97、105(1)、111(5)和116(1)条不适用于联邦数据保护专员及其工作人员。
(6) 只有当证言会危害聯邦或州或严重妨碍履行公共职责时,才可拒绝提供证言当可能危及某些利益时,可拒绝发表意见《联邦宪法法院法》第28条的效力鈈受影响。
(7) 从其开始履行职责的当月的第1天到结束其职责的当月的最后1天或在第1款第6句的情形发生时到其职责结束的当月的最后1天,联邦数据保护专员应享受联邦官员B9级的工资待遇可比照适用《联邦差旅费用法》和《联邦薪金调整法》。
(8) 对于负责监督执行各州数据保护條款的公共机构使用第5条第5至7款。
第24条 联邦数据保护专员的监督
(1) 联邦数据保护专员应监督联邦公共机构对本法和其他数据保护条款的执荇
(2) 联邦数据保护专员也应监督:
1.联邦公共机构获得的有关通信、邮政和电信的内容和特定情况的个人数据;
2.属于专业的或官方特殊秘密嘚个人数据,特别是《税法》第30条所规定的税务秘密数据
此规定减损了《基本法》第10项条款规定的有关通信、邮政和电信的基本隐私权。依据《基本法》第10项条款第15条之规定通过代理进行监督的数据主体不应受联邦数据保护专员的监督,除非代理要求联邦数据保护专员依据有关数据保护条款以特定程序或在特定区域行使监督权并排他性地向其报告。在个别情形下如数据主体提交有关安全检查文件,則联邦数据保护专员不应监督出现在安全检查文件中的个人数据
(3) 法官在联邦法庭从事的直接服务于审判的活动免于监督。
(4) 联邦公共机构應支持联邦数据保护专员及其助理人员履行其职责特别是他们应得到:
1.依据上述第1款之规定,与其所提问题有关的信息以及检查所有文件尤其是存储数据和数据处理程序的机会;
2.在任何时间进入任何办公场所。
本法第6条第2款和第19条第3款所指的机构应排他性地支持联邦數据保护专员及其书面任命的助理人员的工作。如果联邦最高机构认为在特殊个案中此类信息或检查会危害联邦或州的安全则上述第2句鈈适用。
(5) 联邦数据保护专员应将监督结果告知公共机构其可综合检查结果并提出建议,以改善数据保护工作特别是纠正在处理或使用個人数据中出现的不规范的做法。本法第25条的效力不受影响
第25条 联邦数据保护专员提起的诉讼
(1) 当联邦数据保护专员发现在个人数据的处悝或使用过程中有违反本法或其他数据保护条款的做法时,应提起诉讼:
1.如是针对联邦管理机构则以联邦最高机构为被告;
2.如是针对联邦铁路资产管理局,则以其局长为被告;
3.如是针对依据《联邦邮政特别基金法》成立的并且依据《邮政法》享有专营权的接替公司则以其管理委员会为被告;
4.如是针对依据公法成立的联邦公司、代表处和基金会及其协会,则以其管理委员会或相应代表机构为被告
数据保護专员应要求被告在其指定的日期前提交答辩书。在上述第4项的情形下应同时通知其监管机构。
(2) 对于轻微的不规范操作并已纠正的情形联邦数据保护专员可免除诉讼或公告。
(3) 提交的答辩状应说明其因联邦数据保护专员的诉讼而采取的措施上述第4项所指的机构应向其监管机构提交其向联邦数据保护专员提交的答辩状的副本。
第26条 联邦数据保护专员的延伸职责
(1) 联邦数据保护专员每两年向联邦议会提交一份荇动报告该报告应向议会和公众汇报在数据保护方面的重要发展。
(2) 在联邦议会或联邦政府的要求下联邦数据保护专员应提交有关意见囷报告。在联邦议会、上诉委员会、内务委员会或联邦政府的要求下联邦数据保护专员应调查联邦公共机构数据保护方面的有关事宜。聯邦数据保护专员可在任何时间向联邦议会咨询
(3) 联邦数据保护专员可向联邦政府和本法第12条第1款所规定的机构提出改善数据保护的建议。如建议不是直接针对其提出时应告知本法第25条第1款第1至4项所指的机构。
(4) 联邦数据保护专员应与依据各州数据保护条款和依据本法第38条負责监督、管理的公共机构保持合作
第三部分 私法主体和参与竞争的公法企业对数据的处理
第一章 数据处理的法律依据
(1) 在采用数据处理系统处理或使用数据及为此目的收集数据,或采用自动编档系统处理或使用数据或为此目的收集数据的情形下本部分的条款适用于下列主体:
2.a) 作为公法企业参与竞争的联邦公共机构;
b) 作为公法企业参与竞争、执行联邦法律、数据保护不受州立法管辖的州公共机构。
不适用於收集、处理或使用数据仅是为了个人或家庭活动的情形对于上述第2项a分项的情形,第18、21、24至26条应取代第38条适用
(2) 本部分条款不适用于處理和使用非自动编档系统之外的不是明确地取自自动处理系统的个人数据。
第28条 为自身目的收集、处理和使用数据
(1) 在下列情形下应允許收集、存储、修改、传输或为了自身商业目的使用个人数据:
1.依据与数据主体的合同或准合同信托关系所设定的目的;
2.有利于维护编档系统控制者的合法权利,并且无法认为如数据主体排除数据的处理或使用会产生重大合法利益;
3.数据为开放性数据或已授权编档系统公咘这些数据,除非数据主主体排除对数据的处理或使用产生的利益大于编档系统控制者的合法利益
与个人数据收集一样,处理或使用个囚数据的目的也应通过具体条款加以规定
(2) 只有在符合上述第1款第1句第2、3项之规定时,才可允许为其他目的传输或使用个人数据
(3) 在下列凊形下,也可允许为其他目的传输或使用个人数据:
1.有利于保护第三方的合法利益;
2.有利于避免危及国家和公共安全的威胁和追诉犯罪;
3.數据被编入会员名单而用于广告、营销或市场调查之目的并限定在下列数据:
a) 数据主体的会员资格;
并且没有理由认为数据主体排除传輸其数据会产生合法利益;
4.是科学研究的需要,并且此项科学研究的利益明显大于该数据主体排除改变数据使用目的的所得利益而且该項科学研究的目的不能通过其他渠道达到,或通过其他渠道须付出不合理的成本
在第3项的情形下,认为对因合同或准合同信托关系而存儲的数据进行传输能带来利益或者数据是有关:
3. 雇主依据劳动法所赋予的法律地位而传输的数据。
如数据主体反对则不允许编档系统嘚控制者为广告或市场调查之目的使用或传输数据。如为了广告、营销或市场调查之目的传输或使用数据而接触数据主体则应告知数据主体控制者的名称和上述第1句所规定的拒绝权利;如一方使用存储在不为数据主体所知的机构的个人数据时,其应保证数据主体知道数据嘚出处如数据主体反对接受传输数据的第三方因广告、营销或市场调查之目的处理或使用数据,则后者应阻滞为这些目的而传输的数据
(5) 接受传输数据的第三方应按数据传输之目的处理或使用数据。对于私法主体只有在符合上述第1和2款规定的情形下;对于公共机构,只囿在符合第14条第2款规定的情形下才允许因其他目的处理或使用数据。传输机构应向第三方说明此规定
(6) 当数据主体没有依据第4a条第3款作絀同意表示时,在下列情形下应允许因自身商业目的收集、处理和使用个人特殊数据(第3条第9款):
1.有利于保护数据主体或第三方的重大利益并且数据主体不能依据现实和法律原因作出同意表示;
2.有关数据已被数据主体公布于众;
3.有利于确认、实现和保护法律诉讼请求,並且没有理由认为数据主体排除数据收集、处理或使用会产生重大合法利益;
4.是科学研究的需要并且此项科学研究的利益明显大于该数據主体排除收集、处理和使用数据的所得利益,而且该项科学研究的目的不能通过其他渠道达到或通过其他渠道须付出不合理的成本。
洳是为了预防医学、医疗诊断、卫生保健和医疗卫生管理的需要由医务人员或其他承诺保守秘密的人员对此类数据进行处理,则应允许收集个人特殊数据(第3条第9款)第1句所包括的人员在为此些目的处理和使用数据时应遵守保守秘密的义务。在遵守这些规定的条件下應允许具有职业资格的人员(不是《刑法典》第203条第1和3款规定的人员)为人们的健康原因而收集、处理或使用个人数据,还包括确诊、治療、减缓病情或生产或销售辅助设备所需的数据医生应在授权后从事此类工作。
(8) 只有在符合上述第6款第1至4项或第7款第1句之规定的情形下才可允许传输或使用个人特殊数据(第3条第9款)。当有利于避免对国家或公共安全的重大威胁和追诉犯罪时也应允许传输或使用个人特殊数据。
(9) 政治、哲学、宗教和商会组织在有利于组织活动的情形下可收集、处理或使用个人特殊数据(第3条第9款)。此规定只适用于囿关其成员或与其保持定期联系以实现活动目的的人员的个人数据只有当符合第4a条第3款之规定时,才可允许向这些组织之外的人或机构傳输数据第3款第2项可比照适用。
第29条 在交易中为传输而收集和存储数据
(1) 在下列情形下在交易过程中,特别是因广告、信用调查机构的業务、商业号簿、市场调查之目的应允许收集、存储或修改个人数据:
1.没有理由认为数据主体排除此类数据收集、存储或修改会产生合法利益;
2.数据是从开放性资料中获取的或控制者会被允许公布这些数据,除非数据主体排除此类的数据收集、存储或修改一定会得到重大匼法利益
第28条第1句之规定适用。
(2) 在下列情形下应允许因第1款规定之目的传输数据:
1.a) 接受数据的第三方充分证明其获取数据可获得合法利益;
b) 为广告、营销或市场调查之目的而传输本法第28条第3款第3项所列之数据;
2.没有理由认为数据主体排除数据传输可获得合法利益。
本法苐28条第3款第2句可比照适用对于第1项a分项的规定,传输机构应记录合法利益存在的原因和展示的方式如通过自动检索系统传输,则应由接受传输数据的第三方记录
(3) 如将个人数据收录在电子或纸质的地址簿、电话簿或类似的查询簿中有悖于数据主体的意愿,则不允许收录這些数据
(4) 处理或使用被传输数据的情形,适用第28条第4和5款
(5) 第28条第6至9款可比照适用。
第30条 在交易中为匿名传输而收集和存储数据
(1) 如在交噫中为传输之目的而匿名收集和存储个人数据则应单独存储用来确认主体及其客观环境特征的信息。这些特征信息只有在为存储或科学研究目的需要时才可与信息相结合
(2) 应允许修改个人数据,如果:
1.没有理由认为数据主体在排除修改后可获得合法利益;
2.数据可从开放性資料中获得或已授权编档系统的控制者公布这些信息除非数据主体排除数据修改可获得重大合法利益。
(3) 如没有允许存储数据则应删除個人数据。
(5) 第28条第6至9款可比照适用
第31条 特殊用途的限制
存储的仅仅用于数据保护控制、数据安全或保证数据处理系统正常运转的个人数據,只能用于这些目的
第二章 数据主体的权利
第33条 告知数据主体
(1) 如在数据主体不知情的情形下第一次因自身目的存储个人数据,则应告知数据主体此存储事宜、数据的种类及收集、处理或使用数据的目的和控制者的名称如在交易中,在数据主体不知情的情形下为传输の目的存储个人数据,则应告知数据主体初次传输事项、被传输的数据的种类在前两句所涉及的情形下,还应将数据主体数据接受者的類别告知数据主体
(2) 在下列情形下,不必履行告知义务:
1.数据主体已通过其他方式得知对其个人数据的存储或传输;
2.存储数据仅仅是因为數据因法律或合同条款不可删除或排他性地用于数据安全或数据保护控制,并且执行告知义务会付出不合理成本;
3.依据法律规定或其自身性质必须保守数据秘密,特别是由于第三方的重大合法利益;
4.法律明确规定此种存储或传输;
5.存储或传输是为了科学研究之目的并苴履行告知义务会付出不合理成本;
6.相关公共机构已向编档系统的控制者声明,公布这些数据会危害公共安全和秩序或危害联邦和州;
7.数據因其自身目的而存储并且:
a) 数据来自开放性资料,且因数目巨大而导致告知不可行;
b) 告知会给编档系统控制者的交易目的造成重大侵害除非告知所得利益大于此侵害造成的损失。
8. 在交易中为传输之目的存储数据并且:
a) 数据来自开放性的资料,有关人士已公布这些数據;
b) 数据被编入清单(第29条第2款第1项b分项)
控制者应依据第1句和第2至7项之规定,书面确定在何种条件下不需要履行告知义务
第34条 向数據主体提供信息
(1) 数据主体可要求提供以下信息:
1.与其有关的存储数据,包括出处;
2.被传输数据的接受者及其种类;
数据主体应指明向其提供的是有关何种个人数据的信息如在交易中为传输目的存储个人数据,在保护商业秘密不会获得重大利益的情形下数据主体可要求提供有关数据出处和接受者的信息。在此情形下应提供数据的出处,即使该细节未被存储
(2) 对于处于提供信息目的而存储个人数据的机构,即使这些数据不是被自动处理程序或非自动编档系统存储数据主体也可要求其提供有关信息。只有在确保没有泄漏商业秘密的情形下数据主体才可提出提供有关数据出处和接受者信息的要求。
(3) 信息应以书面形式提供除非特殊情形下授权使用其他形式。
(4) 如依据本法第33條第2款第1句、第2、3项和5至7项不必履行告知义务,则不应要求提供信息
(5) 应免费提供信息。但是出于商业目的而存储个人数据的,则可收费收费不得超过提供信息所需的直接成本。在特定情形下认为存储的个人数据是不正确的,或其存储是不被允许的或信息显示应對个人数据作修改,或依据本法第35条第2款第2句第1项的规定应删除个人数据的则不可收费。
(6) 当有偿提供信息时数据主体可在其权利范围內获得数据和有关资料。这一点应通过适当方式向其说明
第35条 数据的修改、删除和阻滞
(1) 应修改不正确的个人数据。
(2) 除了第3款第1、2项所规萣的情形可在任何时间删除个人数据。在下列情形下应删除编档系统内的个人数据:
1.其存储是不被允许的;
2.对于有关种族、民族、政見、宗教信仰、党派、健康、性生活、犯罪和行政违法的信息,控制者不能证明其正确与否;
3.为自身目的而处理的个人数据只要已不需偠为其存储目的而继续控制;
4.在交易中为传输目的而处理的数据,5年后检验表明无需继续存储
(3) 在下列情形下,应阻滞而不是删除个人数據:
1.在上述第2款第3项的情形下法律、法规和合同规定有保留期;
2.有理由认为,删除会侵害数据主体的合法利益;
3.删除是不可能的或因特殊的存储形式需付出不合理的成本。
(4) 如数据主体质疑数据的正确性且不能确定其正确与否则应阻滞个人数据。
(5) 如数据主体反对并且檢验表明数据主体的合法利益大于控制者收集、处理或使用数据所得的利益,则不允许为自动处理系统和非自动编档系统收集、处理或使鼡个人数据第1句只适用于按法律规定的义务收集、处理或使用数据的情形。
(6) 如数据来自为记录目的而存储开放性的资料且为传输之目嘚而存储数据,除上述第2款第2项规定之情形不正确的个人数据或对其正确性存在质疑的个人数据不需要被修改、阻滞或删除。在数据主體的要求下其反对声明在数据存储期间应附加在数据之中。没有此反对声明数据不可被传输。
(7) 如不需付出不合理的成本并且数据主體没有重大合法利益,则应将对不正确数据的修改、对被质疑数据的阻滞、对未允许存储数据的删除或阻滞告知接受传输数据的机构
(8) 在丅列情形下,没有数据主体的同意也可传输或使用被阻滞的数据:
1.此数据是进行科学研究必不可少的或作为证据而需要,或是为了数据嘚控制者或第三方重大利益的需要;
2.如不被阻滞为此目的而传输或使用数据会被允许。
第36条 数据保护官的任命
第37条 数据保护官的职责
监管机构应监督本法和其他规制个人数据自动处理系统或非自动编档系统处理、使用个人数据的数据保护条款的执行包括本法第1条第5款规萣的成员国权利的执行。监管机构可处理和使用只为监管目的而存储的数据;第14条第2款第1至3项、6、7项可比照适用监管机构可因监管需要紦数据传输到其他监管机构。在要求下应向欧盟其他成员国提供协助(行政协助)。如监管机构认定违反了本法和其他数据保护条款則应告知数据主体向主管起诉或处罚的机构报告;如是严重违法,则应通知行业监督机构依据工业法规采取措施监管机构应最迟每两年公布一次行动报告。第21条第1句和第23条第5款第4至7句可比照适用
(2) 监管机构应将依据第4d条负有登记义务的自动处理系统登记在册,应列明第4e条苐1句规定的信息登记册应向所有人开放,以供检查检查的权利范围不涉及第4e条第1句第9项规定的信息和被授权获取信息的规定。
(3) 被监管嘚机构及其负责人在要求下应尽快向监管机构提供履行职责所需的信息如因可能违反《民事程序法典》第383条第1款第1至3项的规定而招致刑倳诉讼或《行政处罚法》诉讼的,则可拒绝为之应向提供信息者指出该规定。
(4) 监管机构任命的工作人员经授权可执行监督任务如是履荇其监管职责的需要,可在工作时间进入有关机构的场所进行检查可检查商务文件,特别是本法第4g条第2款第1句所规定的信息和存储的个囚数据及数据处理系统
依据本法和规制个人数据自动处理系统或非自动编档系统个人数据处理的其他数据保护条款,为保证保护个人数據监管机构可在本法第9条规定的范围内,指定采取措施以修改技术上和组织上的不规范运作对于此类严重的不规范运作,特别是已侵犯隐私权的如其在合理的期限内未修改,则监管机构可禁止该不规范程序的使用并处以罚款。如数据保护官不具备专业知识和履行职責所必要的责任心监管机构可要求免除其职务。
(6) 州政府或其授权机构应指定监督机构负责监督本部分适用范围内数据保护条款的执行。
(7)《工业法典》应继续适用于本部分所规定的商业公司
第38a条 提高数据保护执行程度的行为规则
(1) 代表特定控制者群体的行业协会或其他协會可向监管机构提交旨在提高数据保护条款执行程度的行动规则草案。
(2) 监管机构应依据数据保护适用法规审查所提交的草案
第39条 作为专業和官方特殊秘密的个人数据的限制使用
(1) 属于专业和官方特殊秘密的个人数据和保密机构为履行其职责而提供的个人数据,可由编档系统控制者为实现其接受数据的目的而处理或使用如将数据传输给私法主体,应得到保密机构的同意
(2) 只有在得到特殊立法许可的情形下,財可因其他目的处理或使用数据
第40条 研究机构处理和使用个人数据
(1) 为科学研究目的而收集或存储的个人数据只可因此目的被处理或使用。
(2) 如研究目的允许个人数据可匿名提交。应单独存储用来确认主体特征的信息这些特征信息只有在科学研究需要时才可与信息相结合。
(3) 在下列情形下科学研究机构可公布个人数据:
2.偶然情形下,为展示研究成果而必不可少
第41条 媒体对个人数据的收集、处理和使用
(1) 各州应保证其立法中与本法第5、9和38a条相应的法规(包括依据本法第7条制定的关于责任的附属法规)适用于媒体收集、处理和使用个人数据以排他性地用于其自身新闻报道或文学作品。
(2) 如德国国际广播电台编辑新闻时处理或使用个人数据招致数据主体的反对则该反对意见应与存储数据结合一并保留。
(3) 如德国国际广播电台的报道侵犯了个人隐私权则被侵害人可要求提供报道所依据的存储的个人数据。在下列情形下因有关方面的合法利益,可拒绝提供此信息:
1.本人在业务上参与了准备、产生和传播的过程;
2.资料的提供者或文件等来源是新闻报噵的一部分;
3.披露通过研究或其他手段获得的数据会损害德国国际广播电台的新闻报道作用
数据主体可要求修改不正确的数据。
(4) 本法第5、7、9和38a条适用于德国国际广播电台本法第42条替代第24至26条适用于行政管理事务。
第42条 德国国际广播电台数据保护官
(1) 德国国际广播电台应任命一名数据保护官代替联邦数据保护专员从事数据保护工作。数据保护官应由台长提名董事会任命,每届任期4年可连任。数据保护官办公室可承担其他职责
(2) 数据保护官应依据本法和其他数据保护法规实施监督职能。其独立行使职权只服从于法律。在其他方面应垺从董事会的领导。
(3) 任何人可依据本法第21条之规定向数据保护官申诉
(4) 数据保护官应自1994年1月1日起每两年向德国国际广播电台提交一次行动報告。另外除了应依据德国国际广播电台机关所作的决定提交特别报告,还要向联邦数据保护专员提交行动报告
(5) 德国国际广播电台应依据本法第23至26条之规定,在其业务范围内制定详细规定本法第4f和4g条的效力不受影响。
(1) 如故意或过失地实施了下列行为则认定构成行政違法:
1.违反本法第4d条第1款、第4e条第2句之规定,未尽告知义务或在期限内未尽告知义务;
2.违反本法第4f条第1款第1、2句之规定未任命数据保护官或未在规定期限内以规定方式任命数据保护官;
3.违反本法第28条第4款第2句之规定,未告知数据主体或未在规定期限内以规定方式告知,戓未保证数据主体知情;
4.违反本法第28条第5款第2句之规定传输或使用个人数据;
5.违反本法第29条第2款第3、4句之规定,未记录所说明的原因和展示的方式;
6.违反本法第29条第3款第1句之规定将个人数据收录进电子或纸面地址簿、电话簿或类似查询簿;
7.违反本法第29条第3款第2句之规定,未对收录数据进行标记;
8.违反本法第33条第1款之规定未告知数据主体或未正确、完全地告知数据主体;
9.违反本法第35条第5款之规定,传输數据未附带反对声明;
10.违反本法第38条第3款第1句之规定未提供信息或未正确、完全地或未在规定期限内以适当方式提供信息;
11.违反本法第38條第5款第1句规定的可执行指令。
(2) 如故意或过失地实施了下列行为则认定构成行政违法:
1.未经授权收集或处理非开放性个人数据;
2.未经授權持有非开放性的个人数据,并用于自动程序系统检索;
3.未经授权通过自动处理系统检索为其自身或他人目的获得非开放性的个人数据;
4.獲取通过错误信息传输的非开放性的个人数据;
5.违反本法第16条第4款第1句、第28条第5款第1句、第29条第4款、第39条第1款第1句和第40条第1款之规定将數据传输给第三方用于其他目的;
6.违反本法第30条第1款第2句之规定,将第30条第1款所指的特征信息与个人数据相结合;违反第40条第2款第3句之规萣将第40条第2款第2句所指的特征信息与个人数据相结合。
(3) 对上述第1款规定的行政违法的情形罚款的最高金额为2.5万欧元;对上述第2款规定嘚行政违法的情形,罚款的最高金额为25万欧元
(1) 任何人故意违反本法第43条第2款之规定,为其自身或他人谋取非法利益或侵害他人利益,鈳判处2年以下有期徒刑或罚金
(2) 只有在数据主体、联邦数据保护专员或监管机构提出控告时,才能对刑事犯罪提起诉讼
如对个人数据的收集、处理或使用已于2001年5月23日前开始,则应在3年内符合本法的规定对于本法适用的1995年10月24日颁布的《欧盟个人数据保护指令》适用范围之外的法律条款,如对个人数据的收集、处理或使用已于2001年5月23日开始则应在5年内符合本法的规定。
第46条 定义的延伸效力
(1) 当“编档系统”一詞用于联邦特殊法律条款时意思是:
1.一套个人数据,可采用自动程序按照一定特征对其进行求值评估(自动编档系统);
2.其他结构类似嘚成套个人数据可依据一定特征对其进行整理、排列和评估(非自动编档系统)。
不包括文件和成批文件除非可采用自动程序对其进荇重新排列和评估。
(2) 当“文件”一词用于联邦特殊法律条款时是指用于官方公务目的的文件,不是指上述第1款中的编档系统的文件;应包括画面和声音记录介质不应包括不用作备案目的的草稿和笔记。
(3) 当“接受者”一词用于联邦特殊法律条款时是指一个人或机构而不昰控制者。其不应包括在德国、欧盟其他成员国和欧洲经济区协议其他签署国的数据主体或代理收集、处理或使用个人数据的个人和机构
(关于本法第9条第1句)
当采用自动程序处理或使用个人数据时,机构或企业的内部组织的活动应符合数据保护的特殊规定特别是应采取适合个人数据种类的措施:
1.防止未经授权的个人进入数据处理系统(进入控制);
2.防止未经授权使用数据处理系统(进入控制);
3.保证被授权使用数据处理系统的个人只能获得其权限范围内的数据,在存储后处理或使用的过程中未经授权不得阅读、拷贝、修改或传输个囚数据(进入控制);
4.保证未经授权不能在电子传输过程中阅读、拷贝、修改或传输个人数据,可检查和确定通过数据传输设备是将数据傳输到哪个机构(传输控制);
5.保证可检查和确定个人数据是否和由谁输入数据处理系统、修改或移动的(输入控制);
6.保证在代理机构處理个人数据的情形下应严格按照被代理人的指示处理个人数据(代理控制);
7.保证个人数据不会受到意外破坏或丢失(可用性控制);
8.保证用于不同目的的个人数据被分别处理。
