德国联邦数据保护法

德国联邦数据保护法（2002年1月）（本法为执行欧盟1995年《欧盟个人数据保护指令》而制定）目录第一部分总则第1条目的和范围第2条公共机构和私法主体第3条定义第3a条减少使用数据和数据经济第4条收集、处理和使用数据的同意第4a条同意第4b条向国外和国际机构移交的个人数据第4c条例外规定第4d条登记义务第4e条登记义务的内容第4f条数据保护官第4g条数据保护官的职责第5条机密性第6条数据主体不可分割的权利第6a条自动生成的个案决定第6b条使用光电子设备对公共场所的监控第6c条用于个人数据的移动存储和处理的介质第7条赔偿第8条因公共机构自动处理数据而产生的赔偿第9条技术和组织手段第9a条数据保护稽核第10条建立自动检索程序第11条代理收集、处理或使用个人数据第二部分公共机构对数据的处理第一章数据处理的法律依据第12条适用范围第13条数据的收集第14条对数据的存储、修改和使用第15条向公共机构的数据传输第16条向私法主体的数据传输第17条向本法适用范围外的机构传输数据（删除）第18条联邦管理机构对数据保护的执行第二章数据主体的权利第19条向数据主体提供信息第19a条告知第20条对数据的修改、删除和阻滞；拒绝的权利第21条向联邦数据保护专员投诉第三章联邦数据保护专员第22条联邦数据保护专员的选举第23条联邦数据保护专员的法律地位第24条联邦数据保护专员的监督第25条联邦数据保护专员提起的诉讼第26条联邦数据保护专员的延伸职责第三部分私法主体和参与竞争的公法企业对数据的处理第一章数据处理的法律依据第27条适用范围第28条为自身目的收集、处理和使用数据第29条在交易中为传输而收集和存储数据第30条在交易中为匿名传输而收集和存储数据第31条特殊用途的限制第32条登记义务（删除）第二章数据主体的权利第33条告知数据主体第34条对数据主体提供信息第35条数据的修改、删除和阻滞第三章监管机构第36条数据保护官的任命（删除）第37条数据保护官的职责（删除）第38条监管机构第38a条提高数据保护执行程度的行为规则第四部分特殊条款第39条作为专业和官方特殊秘密的个人数据的限制使用第40条研究机构处理和使用个人数据第41条媒体对个人数据的收集、处理和使用第42条德国国际广播电台数据保护官第五部分最后条款第43条行政违法第44条刑事犯罪第六部分过渡条款第45条目前适用第46条定义的延伸效力附件（关于本法第9条第1句）第一部分总则第1条目的和适用范围(1)制定本法的目的是保护个人隐私权，防止个人数据在使用过程中被侵害。(2)本法适用于下列收集、处理和使用个人数据的主体：1.联邦公共机构；2.各州执行联邦法律而不受州立法管辖的公共机构；3.实行下列行为的私法主体：使用数据处理系统处理或使用数据，或为此类系统收集数据；使用非自动文件编档系统处理或使用数据，或为此类系统收集数据。仅为个人和家庭活动之目的收集、处理或使用数据不受本法管辖。(3)如其他联邦法律条款适用于个人数据，此类条款优先于本法条款适用。此规定不影响依据职责遵守保守职业或官方特殊机密的法律义务的效力。(4)本法的条款优先于《行政程序法》中关于使用个人数据确定事实的条款。(5)本法不适用于位于欧盟其他成员国或签署了欧洲经济区协议的其他成员国内的数据控制者，除非是其在德国境内的分支机构收集、处理或使用个人数据。本法适用于不位于欧盟其他成员国或欧州经济区协议的其他签署国内而在德国收集、处理或使用数据的数据控制者。对于本法定义的控制者，并且数据亦由在德国成立的代表主体提供。本法使用数据存储介质仅是为了穿越德国，第2、3句之规定不适用。第38条第1款的效力不变。第2条公共机构和私法主体(1)联邦公共机构指联邦行政机关、司法机关和其他联邦公法机构以及联邦国有公司、各种基金会和协会等。(2)各州公共机构指各州的行政机关、司法机关和州、自治市的其他公法机构。(3)依据私法成立的履行公共管理职能的联邦和州的一些协会，在下列情形下应被认为是联邦公共机构而不论其中的私有成分如何：1.其业务范围已超越州界；2.联邦占有绝对多数的股票或投票份额。否则应被视为州公共机构。(4)私法主体指自然人或法人、公司和其他依据私法成立的并且不包括于以上1至3款的协会。如私法主体完全行使公共管理职能，则应被视为公共机构。第3条定义(1)个人数据指关于个人或已识别、能识别的个人（数据主体）的客观情况的信息。(2)自动处理是指使用数据处理系统收集、处理或使用个人数据。非自动编档系统指对结构类似和可依据具体特征获取、评估的个人数据的非自动收集。(3)收集指对数据主体的数据的获得。(4)处理指对个人数据的存储、修改、传输、阻滞和删除：1.存储指在存储介质中刻入、录制或保存个人数据以便其能再次处理或使用；2.修改指对已存储的个人数据的改变；3.传输指将存储或获得的个人数据向第三方披露：a)通过向第三方传输；b)通过第三方的检查或检索；4.阻滞指标明已存储的个人数据以便限制其处理和使用；5.删除指去除已存储的个人数据。(5)使用指除了处理以外的对个人数据的利用。(6)匿名指改变个人数据以致有关个人或客观情况的信息不能够确定为或必须付出相当大的时间、经费和劳动才能确定为归属于认定的个人。(6a)假名指用标志替换个人的姓名和其他辨识特征以致数据主体的认定或此种认定产生实质困难。(7)控制者指任何为其自身利益或委托他人（机构）收集、处理或使用个人数据的人或机构。(8)接受者指任何收到数据的个人或机构。第三方指除控制者之外的任何个人或机构，但不包括数据主体和在德国、欧盟其他成员国或签署欧洲经济区协议的其他成员国的受委托收集、处理或使用个人数据的个人或机构。(9)特殊种类的个人数据指有关个人种族、民族、政见、宗教信仰、党派、健康或性生活的信息。(10)个人移动存储和处理介质指具备以下特点的存储介质：1.针对数据主体发行；2.可由发行主体或其他主体对个人数据进行自动处理而不仅仅是存储；3.可由数据主体通过媒质即可影响此种处理。第3a条减少使用数据和数据经济应设计和选择不收集、处理和使用或最小限度收集、处理和使用个人数据的数据处理系统。特定情形下，如可能和合理，可用假名和匿名以达到满意的保护程度。第4条收集、处理和使用数据的同意(1)收集、处理和使用个人数据必须遵守本法和其他法律的规定，或者经数据主体同意。(2)个人数据应从数据主体处收集。在下列情形下可在其不参与的情形下收集：1.依法律规定：a)履行行政职责的需要，或依据商业目的的需要从其他个人或机构处收集个人数据；b)从数据主体处收集数据会付出不合理的成本。并且此类个人数据收集不会侵害数据主体重大合法利益。(3)如从数据主体处收集个人数据，控制者应告知其：1.控制者的身份；2.收集、处理或使用数据的目的；3.如依据当时的具体情形使数据主体无法预知数据会传输给何类接受者，应告知接受者的类别，除非数据主体已从其他途径知情。如果是依据法律规定从数据主体处收集数据而使提供数据成为一项义务或是赋予合法利益的前提，则数据主体应被告知提供数据是一项义务或是自愿行为。依据个案具体情形规定或数据主体的要求，其应被告知法律条款的规定和保留个人数据的后果。第4a条同意(1)同意必须建立在数据主体自主决定的基础上。依据个案具体情形规定或数据主体的要求,应被告其收集、处理或使用数据的目的和不同意的结果。同意的意思表示应采用书面形式，在特殊情形下，可授权使用其他形式。如同时提供书面同意和其他书面声明，则应从其外观加以区分。(2)在科学研究领域，如用书面形式作同意的意思表示会给既定的研究造成很大的侵害，则以上第1款第3句所说的特殊情形亦应被认为存在。在此种情形下，以上第1款第2句所说的信息和可能对既定研究造成很大损害的原因应被记录在案。(3)如收集、处理或使用第3条第9款所指的特殊种类的个人数据，对此类数据应特别指明是否作同意的意思表示。第4b条向国外和国际机构移交的个人数据(1)向下列机构：1.欧盟其他成员国内；2.欧洲经济区其他成员国内；3．欧共体内；移交个人数据时，应遵守第15条第1款、第16条第1款和第28至30条之规定。(2)如数据主体有合法利益排除此种数据传输，特别是接受数据的此类机构不能保证对数据给予足够的保护，则这种数据传输没有法律效力。但如传输数据是联邦公共机构履行国防或在危机处理、避免冲突和实行人道主义行为时所承担的国际义务的需要，则前句规定不适用。(3)在传输数据的所有情形下都应给予数据足够的保护，应对数据的性质、目的、数据处理的持续时间、原始国、接受国、法律规定、专业规则和安全措施给予特别注意。(4)在第16条第1款第2项之上规定的情形下，传输数据的机构应告知数据主体对其数据的传输。如认为其通过其他方式已得知此项传输事宜或此项告知可能会危害公共安全、联邦或州利益，则此规定不适用。(5)传输数据的机构应对数据传输的结果负责。(6)应告知接受传输数据的机构传输数据的目的。第4c条例外规定(1)依据欧共体法律规定，可以将个人数据传输给第4b条第1款之外的机构，即使这些机构不能给予个人数据以足够的保护，只要：1.数据主体同意；2.传输数据是履行数据主体和控制者之间合同的需要或应数据主体的要求履行前合同义务的需要；3.传输数据是为数据主体之利益，在第三方和控制者之间签订或履行合同的需要；4.传输数据是维护重大公共利益或确定、享有或保护合法利益的需要；5.传输数据是为了保护数据主体重大利益的需要；6.传输数据是为了记录数据，以便向公众提供信息或为公众提供有关个人合法权益的咨询。应向数据接受机构指出对被传输数据的处理或使用只能用于其被传输之目的。(2)在没有对第1条第1句之立法目的损害的情形下，监管机构可授权将个人数据传输给第4b条第1款之外的机构，只要控制者证明能够充分保障个人隐私权及相关权利；此种保护可特别基于合同条款或公司章程的规定而产生。对于邮政和电信公司，权限来自联邦数据保护专员。如由公共机构传输数据，联邦数据保护专员应依据第1条第1句进行监督。(3)各州应通知联邦机构依据上述第2款第1句做出的决定。第4d条登记义务(1)使用自动处理程序前，具有监督权力的私人控制者、联邦公共控制者和邮政电信公司应依据第4e条规定将该程序向联邦数据保护专员登记。(2)如控制者已任命了数据保护官，则登记义务不适用。(3)如控制者收集、处理、或使用个人数据是为了自身之目的，最多有4名雇员从事个人数据的收集、处理或使用，并且从数据主体处得到同意的意思表示，或收集、处理或使用数据是基于与数据主体合同或准合同信托关系之目的，则登记义务不适用。(4)如有关控制者为传输或匿名传输之目的使用自动处理方法存储个人数据，则以上第2和3款不适用。(5)如自动处理运行中含有对数据主体的权利和自由的特殊风险，则在处理运行前应进行前期检查。特别是在下列情形下应进行前期检查：1.处理个人特殊数据（第3条第9款）；2.处理个人数据是为了评估数据主体的素质，包括能力、表现或行为。除非有法律规定义务，获得数据主体的同意，收集、处理或使用数据是基于与数据主体的合同或准合同信托关系之目的。(6)前期检查由数据保护官负责。数据保护官应依据第4g条第2款第1句之规定，在收到清单后进行前期检查。如有疑虑，可向监督机构咨询。作为邮政和电信公司，应向联邦数据保护专员咨询。第4e条登记义务的内容对于须登记的自动处理程序，应提供以下信息：1.姓名或控制者的名称；2.所有者、管理委员会、总经理或其他合法任命的管理人员以及负责数据处理的人员；3.控制者的地址；4.收集、处理或使用数据的目的；5.对数据主体以及附属数据或数据种类的说明；6.数据的接受者或接受者的类别；7.删除数据的标准期限；8.计划向第三国传输的数据；9.对第9条所指的保证数据处理安全的措施的初步评估的说明。第4d条第1和4款比照适用于对依据上述第1句规定提供的信息的修改和依据登记义务产生的活动的起讫时间。第4f条数据保护官(1)自动收集、处理和使用个人数据的公共机构和私法主体应书面任命一名数据保护官。私法主体应