德国联邦数据保护法课件docWord文件下载.docx

1、第 23 条联邦数据保护专员的法律地位第 24 条联邦数据保护专员的监督第 25 条联邦数据保护专员提起的诉讼第 26 条联邦数据保护专员的延伸职责第三部分 私法主体和参与竞争的公法企业对数据的处理第 27 条适用范围第 28 条为自身目的收集、处理和使用数据第 29 条在交易中为传输而收集和存储数据第 30 条 在交易中为匿名传输而收集和存储数据第 31 条 特殊用途的限制第 32 条 登记义务（删除）第 33 条告知数据主体第 34 条对数据主体提供信息第 35 条 数据的修改、删除和阻滞第三章 监管机构第 36 条数据保护官的任命（删除）第 37 条数据保护官的职责（删除）第 38 条监

2、管机构第 38a 条提高数据保护执行程度的行为规则第四部分 特殊条款第 39 条作为专业和官方特殊秘密的个人数据的限制使用第 40 条研究机构处理和使用个人数据第 41 条媒体对个人数据的收集、处理和使用第 42 条德国国际广播电台数据保护官第五部分 最后条款第 43 条行政违法第 44 条刑事犯罪第六部分 过渡条款第 45 条目前适用第 46 条定义的延伸效力附 件（关于本法第 9 条第 1 句）第 1 条 目的和适用范围（1） 制定本法的目的是保护个人隐私权， 防止个人数据在使用过程中被侵害。（2） 本法适用于下列收集、处理和使用个人数据的主体：1. 联邦公共机构；2. 各州执行联邦法律而

3、不受州立法管辖的公共机构；3. 实行下列行为的私法主体：使用数据处理系统处理或使用数据，或为此类系统收集数据；使用非自动文件编档系统处理或使用数据，或为此类系统收集数据。 仅为个人和家庭活动之目的收集、 处理或使用数据不受本法管辖。（3） 如其他联邦法律条款适用于个人数据， 此类条款优先于本法条款适用。此规定不影响依据职责遵守保守职业或官方特殊机密的法律义务的效力。（4） 本法的条款优先于 行政程序法 中关于使用个人数据确定事实的条款。（5） 本法不适用于位于欧盟其他成员国或签署了欧洲经济区协议的其他成员国内的数据控制者，除非是其在德国境内的分支机构收集、处理或使用个人数据。 本法适用于不位于

4、欧盟其他成员国或欧州经济区协议的其他签署国内而在德国收集、 处理或使用数据的数据控制者。对于本法定义的控制者，并且数据亦由在德国成立的代表主体提供。本法使用数据存储介质仅是为了穿越德国， 第 2、3 句之规定不适用。第 38 条第 1 款的效力不变。（1） 联邦公共机构指联邦行政机关、 司法机关和其他联邦公法机构以及联邦国有公司、各种基金会和协会等。（2） 各州公共机构指各州的行政机关、 司法机关和州、 自治市的其他公法机构。（3） 依据私法成立的履行公共管理职能的联邦和州的一些协会， 在下列情形下应被认为是联邦公共机构而不论其中的私有成分如何：1. 其业务范围已超越州界；2. 联邦占有绝对多

5、数的股票或投票份额。否则应被视为州公共机构。（4） 私法主体指自然人或法人、 公司和其他依据私法成立的并且不包括于以上 1 至 3 款的协会。 如私法主体完全行使公共管理职能， 则应被视为公共机构。（1） 个人数据指关于个人或已识别、能识别的个人（数据主体）的客观情况的信息。（2） 自动处理是指使用数据处理系统收集、 处理或使用个人数据。 非自动编档系统指对结构类似和可依据具体特征获取、 评估的个人数据的非自动收集。（3） 收集指对数据主体的数据的获得。（4） 处理指对个人数据的存储、修改、传输、阻滞和删除：1. 存储指在存储介质中刻入、 录制或保存个人数据以便其能再次处理或使用；2. 修改指

6、对已存储的个人数据的改变；3. 传输指将存储或获得的个人数据向第三方披露：a） 通过向第三方传输；b） 通过第三方的检查或检索；4. 阻滞指标明已存储的个人数据以便限制其处理和使用；5. 删除指去除已存储的个人数据。（5） 使用指除了处理以外的对个人数据的利用。（6） 匿名指改变个人数据以致有关个人或客观情况的信息不能够确定为或必须付出相当大的时间、 经费和劳动才能确定为归属于认定的个人。（6a） 假名指用标志替换个人的姓名和其他辨识特征以致数据主体的认定或此种认定产生实质困难。（7） 控制者指任何为其自身利益或委托他人（机构）收集、处理或使用个人数据的人或机构。（8） 接受者指任何收到数据的

7、个人或机构。 第三方指除控制者之外的任何个人或机构， 但不包括数据主体和在德国、 欧盟其他成员国或签署欧洲经济区协议的其他成员国的受委托收集、 处理或使用个人数据的个人或机构。（9） 特殊种类的个人数据指有关个人种族、民族、政见、宗教信仰、党派、健康或性生活的信息。（10） 个人移动存储和处理介质指具备以下特点的存储介质：1. 针对数据主体发行；2. 可由发行主体或其他主体对个人数据进行自动处理而不仅仅是存储；3. 可由数据主体通过媒质即可影响此种处理。第 3a 条 减少使用数据和数据经济应设计和选择不收集、 处理和使用或最小限度收集、 处理和使用个人数据的数据处理系统。特定情形下，如可能和合

8、理，可用假名和匿名以达到满意的保护程度。（1） 收集、处理和使用个人数据必须遵守本法和其他法律的规定， 或者经数据主体同意。（2） 个人数据应从数据主体处收集。在下列情形下可在其不参与的情形下收集：1. 依法律规定：a） 履行行政职责的需要， 或依据商业目的的需要从其他个人或机构处收集个人数据；b） 从数据主体处收集数据会付出不合理的成本。并且此类个人数据收集不会侵害数据主体重大合法利益。（3） 如从数据主体处收集个人数据，控制者应告知其：1. 控制者的身份；2. 收集、处理或使用数据的目的；3. 如依据当时的具体情形使数据主体无法预知数据会传输给何类接受者，应告知接受者的类别，除非数据主体已

9、从其他途径知情。如果是依据法律规定从数据主体处收集数据而使提供数据成为一项义务或是赋予合法利益的前提， 则数据主体应被告知提供数据是一项义务或是自愿行为。 依据个案具体情形规定或数据主体的要求， 其应被告知法律条款的规定和保留个人数据的后果。第 4a 条 同意（1） 同意必须建立在数据主体自主决定的基础上。 依据个案具体情形规定或数据主体的要求 , 应被告其收集、 处理或使用数据的目的和不同意的结果。同意的意思表示应采用书面形式，在特殊情形下，可授权使用其他形式。 如同时提供书面同意和其他书面声明， 则应从其外观加以区分。（2） 在科学研究领域， 如用书面形式作同意的意思表示会给既定的研究造成

10、很大的侵害， 则以上第 1 款第 3 句所说的特殊情形亦应被认为存在。在此种情形下， 以上第 1 款第 2 句所说的信息和可能对既定研究造成很大损害的原因应被记录在案。（3） 如收集、处理或使用第 3 条第 9 款所指的特殊种类的个人数据，对此类数据应特别指明是否作同意的意思表示。第 4b 条 向国外和国际机构移交的个人数据（1） 向下列机构：1. 欧盟其他成员国内；2. 欧洲经济区其他成员国内；3欧共体内；移交个人数据时，应遵守第 15 条第 1 款、第 16 条第 1 款和第 28 至30 条之规定。（2） 如数据主体有合法利益排除此种数据传输， 特别是接受数据的此类机构不能保证对数据给予

11、足够的保护， 则这种数据传输没有法律效力。但如传输数据是联邦公共机构履行国防或在危机处理、 避免冲突和实行人道主义行为时所承担的国际义务的需要， 则前句规定不适用。（3） 在传输数据的所有情形下都应给予数据足够的保护， 应对数据的性质、目的、数据处理的持续时间、原始国、接受国、法律规定、专业规则和安全措施给予特别注意。（4） 在第 16 条第 1 款第 2 项之上规定的情形下，传输数据的机构应告知数据主体对其数据的传输。 如认为其通过其他方式已得知此项传输事宜或此项告知可能会危害公共安全、 联邦或州利益， 则此规定不（5） 传输数据的机构应对数据传输的结果负责。（6） 应告知接受传输数据的机构

12、传输数据的目的。第 4c 条 例外规定（1） 依据欧共体法律规定，可以将个人数据传输给第 4b 条第 1 款之外的机构，即使这些机构不能给予个人数据以足够的保护，只要：1. 数据主体同意；2. 传输数据是履行数据主体和控制者之间合同的需要或应数据主体的要求履行前合同义务的需要；3. 传输数据是为数据主体之利益， 在第三方和控制者之间签订或履行合同的需要；4. 传输数据是维护重大公共利益或确定、 享有或保护合法利益的需要；5. 传输数据是为了保护数据主体重大利益的需要；6. 传输数据是为了记录数据， 以便向公众提供信息或为公众提供有关个人合法权益的咨询。应向数据接受机构指出对被传输数据的处理或使

13、用只能用于其被传输之目的。（2） 在没有对第 1 条第 1 句之立法目的损害的情形下， 监管机构可授权将个人数据传输给第 4b 条第 1 款之外的机构，只要控制者证明能够充分保障个人隐私权及相关权利； 此种保护可特别基于合同条款或公司章程的规定而产生。 对于邮政和电信公司， 权限来自联邦数据保护专员。 如由公共机构传输数据， 联邦数据保护专员应依据第 1 条第1 句进行监督。（3） 各州应通知联邦机构依据上述第 2 款第 1 句做出的决定。第 4d 条 登记义务（1） 使用自动处理程序前， 具有监督权力的私人控制者、 联邦公共控制者和邮政电信公司应依据第 4e 条规定将该程序向联邦数据保护专员

14、登记。（2） 如控制者已任命了数据保护官，则登记义务不适用。（3） 如控制者收集、处理、或使用个人数据是为了自身之目的，最多有 4 名雇员从事个人数据的收集、 处理或使用， 并且从数据主体处得到同意的意思表示， 或收集、 处理或使用数据是基于与数据主体合同或准合同信托关系之目的，则登记义务不适用。（4） 如有关控制者为传输或匿名传输之目的使用自动处理方法存储个人数据，则以上第 2 和 3 款不适用。（5） 如自动处理运行中含有对数据主体的权利和自由的特殊风险， 则在处理运行前应进行前期检查。 特别是在下列情形下应进行前期检查：1. 处理个人特殊数据（第 3 条第 9 款）；2. 处理个人数据是

15、为了评估数据主体的素质， 包括能力、表现或行为。除非有法律规定义务，获得数据主体的同意，收集、处理或使用数据是基于与数据主体的合同或准合同信托关系之目的。（6） 前期检查由数据保护官负责。数据保护官应依据第 4g 条第 2 款第 1 句之规定，在收到清单后进行前期检查。如有疑虑，可向监督机构咨询。作为邮政和电信公司，应向联邦数据保护专员咨询。第 4e 条 登记义务的内容对于须登记的自动处理程序，应提供以下信息：1. 姓名或控制者的名称；2. 所有者、 管理委员会、 总经理或其他合法任命的管理人员以及负责数据处理的人员；3. 控制者的地址；4. 收集、处理或使用数据的目的；5. 对数据主体以及附

16、属数据或数据种类的说明；6. 数据的接受者或接受者的类别；7. 删除数据的标准期限；8. 计划向第三国传输的数据；9. 对第 9 条所指的保证数据处理安全的措施的初步评估的说明。第 4d 条第 1 和 4 款比照适用于对依据上述第 1 句规定提供的信息的修改和依据登记义务产生的活动的起讫时间。第 4f 条 数据保护官（1） 自动收集、处理和使用个人数据的公共机构和私法主体应书面任命一名数据保护官。 私法主体应在其开业 1 个月内任命此官员。 如以其他方法处理个人数据并且至少 20 人为此目的被长期雇佣，则同样适用此规定。 对于最多雇佣 4 人收集、 处理或使用个人数据的私法主体则不适用上述第

17、1 和第 2 句之规定。如是由于公共机构的组织结构的要求， 在数个领域任命 1 名数据保护官应是足够的。 对于进行自动处理运行，做前期检查或在业务中为传输或匿名传输个人数据之目的而收集、处理或使用个人数据的私法主体， 则不论其雇员多少都应任命数据保护官。（2） 只有具备相关专业知识并且证明其具备履行职责所必需的责任感的人员才能被任命为数据保护官。 机构之外的人员亦可被任命。 经过监督机构的同意， 公共机构可任命其他公共机构的人员为其数据保护官。（3） 数据保护官应直接向其所在公共机构或私法主体的领导负责。 其可在数据保护领域自主地运用专业知识， 在履行职责时应不受任何干涉。数据保护官的任命可依

18、据民法典第 626 条之规定撤销；对于私法主体，则应依据监督机构的要求撤销其数据保护官。（4） 数据保护官应为数据主体保守秘密， 除非其已经过数据主体同意取消此项责任。（5） 公共机构和私法主体应支持数据保护官的工作， 为其提供工作场所、设备和其他资源。数据主体可在任何时间接触数据保护官。第 4g 条 数据保护官的职责（1） 数据保护官应依据本法和其他数据保护条款开展工作。 为达此目的，数据保护官可向负责数据保护控制的有权机构进行咨询：1. 其应监督数据处理项目的合理使用； 其应被及时告知个人数据自动处理计划；2. 采取合理步骤， 使受雇处理个人数据的人员熟悉本法和其他有关数据保护的条款以及其

19、他有关数据保护的特殊要求。（2） 控制者应向数据保护官提供第 4e 条第 1 句所规定的信息的概述和合法访问者的名单。在第 4d 条第 2 款的情形下，数据保护官应要求以合适的方式向任何人提供第 4e 条第 1 句下第 1 至 8 项信息。在第 4d 条第 3 款的情形下，第 2 句可比照适用于控制者。（3） 第 2 条第 2 句不适用于第 6 条第 2 款第 4 句所指的机构。 机构数据保护官和机构长官间的分歧应通过上级联邦机构解决。数据处理人员不得收集、 处理或使用XX个人数据， 工作期间应保守秘密，并且此项承诺在其工作终止后仍然有效。（1） 数据主体获取（第 19、34 条）、修改、删除

20、或阻滞（第 20、35条）数据的权利不能因法律诉讼而被排除或限制。（2） 如用自动程序存储数据， 且有几个机构被授权存储数据， 如数据主体不能确定是哪个机构存储的数据， 其可接触其中任意机构。 这些机构应向存储数据的机构转发数据主体的要求。 数据主体应被告知要求已被转发和相关机构的名称。本法第 19 条第 3 款所列的机构、公诉机关、警察局和公共金融机构为履行财政法规定的有关监督和控制的职责而存储个人数据时， 应向联邦数据保护专员而不是数据主体汇报。在此种情形下，进一步的程序应按本法第 19 条第 6 款之规定执行。第 6a 条 自动生成的个案决定（1） 不能排他性依据自动处理的用来评估个人特

21、征的个人数据作出具有法律效力或对数据主体的利益产生实质侵害的决定。（2） 在下列情形下此规定不适用：1. 此决定与签订和履行合同或其他法律关系有关， 且已经满足了数据主体的要求；2. 通过适当的措施确保维护数据主体的正当利益， 并且控制者告知数据主体此决定的存在。控制者应复审其决定。（3） 依据第 19 和 34 条之规定，数据主体的获取数据的权利也可延伸至其自身数据的逻辑结构。第 6b 条 使用光电子设备对公共场所的监控（1） 只有在必要的情形下，才能用光电子设备（视频监控）对公共场所进行监控：1. 为完成公共任务；2. 为实现决定允许或拒绝何人进入的权利；3. 为实现目标明确的合法利益的需

22、要。但必须是在不损害数据主体普遍的合法利益的前提下。（2） 如某区域已被监视，则控制者的身份应可通过适当手段得知。（3） 依据第 1 款之规定，所收集的数据在必要时和在数据主体的合法利益不是普遍的情形下， 可进行处理和使用以实现既定目的。 只有在这些数据用于避免国家和公共安全危险或追诉犯罪时才能用于其他目的。（4） 当通过视频监视收集的数据是针对某个人时， 则应告知其依据第19a 和 33 条处理或使用之事宜。（5） 如数据不需要继续用于既定目的或继续存储将妨碍数据主体的合法利益，则数据应立即删除。第 6c 条 个人数据移动存储和处理介质（1） 发行用于个人数据移动存储和处理的介质， 或是运行

23、用于自动处理个人数据的程序且此程序部分或全部在介质与介质之间运行、 修改或提供的机构， 必须告知数据主体 （在数据主体还未得知这些信息的情形下）：1. 该机构的名称和地址；2. 用通用的术语说明介质的功能模型， 包括被处理的个人数据的种类；3. 依据第 1 9、2 0、34 和 35 条之规定，如何实现其权利；4. 当介质丢失或受损时应采取何种措施。（2） 负有第 1 款所规定责任的机构应保证提供足够多的设备， 数据主体可免费使用，以便维护其获取信息的权利。（3） 数据主体应清楚导致在介质上进行处理数据的通信程序。如控制者采取本法或其他数据保护条款规定不允许或认为不正确的方式收集、 处理或使用

24、个人数据而给数据主体造成了损害， 则控制者或其支持组织应赔偿由此造成的损失。 如控制者依据具体情形已尽必要之注意，则此赔偿责任不适用。（1） 如公共机构采取本法或其他数据保护条款规定不允许或认为不正确的自动方式收集、 处理或使用个人数据而给数据主体造成了损害，则公共机构的支持组织应赔偿由此造成的损失，而不论其过错如何。（2） 当数据主体的隐私权被侵犯时，则应得到充分的精神损失赔偿。（3） 依据第 1 和 2 款之规定所产生的赔偿的最高限额为 25 万德国马克。当同一案件中赔偿数人而超过了最高额 25 万德国马克时，则每人的赔偿额应依据最高限额按比例减少。（4） 对于数据自动处理的情形， 如授权

25、数个机构存储数据， 而受损主体不能确定编档系统的控制者时，则每个机构都负有赔偿责任。（5） 对于数据主体疏忽的情形，可比照适用民法典第 254 条和852 条。公共和私法主体在为自身利益或他人利益处理数据时， 应采取必要的技术和组织手段， 确保执行本法特别是本法附件的规定。 应依据所设定的保护层次而采用合理的措施。第 9a 条 数据保护审计为了提高数据保护和数据安全水平， 数据处理系统和程序的提供者以及进行数据处理的机构可以借助独立的评估机构， 对其数据保护概念和技术设备进行检查、评估并公布审计结果。关于评估机构检查、评估的详细要求和选择和审批的程序由专门法律规定。第 10 条 建立自动检索程

26、序（1） 如该程序合理地注意到数据主体的合法利益和有关机构的职责或商业目的， 则可以建立个人数据自动检索程序。 但有关特定情形下的检索许可条款的效力不受影响。（2） 有关机构应保证检索程序的许可能被监督。 为此目的， 其应书面特别说明：1. 检索程序的原因和目的；2. 接受传输数据的第三方；3. 传输的数据的种类；4. 依据本法第 9 条之规定所采取的技术和组织措施。在公共领域，管理机构应制定这些规范。（3） 当涉及到本法第 12 条第 1 款所指的机构时，应通知联邦数据保护专员所建立的检索系统及上述第 2 款之规范。只有当负责管理编档系统、检索机构的联邦和州部门及其代理机构同意时， 则本法第

27、 6 条第 2 款和第 19 条第 3 款所规定的机构才可建立检索系统。（4） 在特殊情形下， 检索许可应由数据传输的第三方负责。 编档系统的控制者只有在有相关规定时， 才可以检查检索许可。 编档系统的控制者应保证可通过适当的样本程序确定和检查个人数据的传输情况。如所有的个人数据被检索或传输（批处理） ，只要保证所有数据检索或传输的许可可被确认和检查。（5） 上述第 1 至4 款不适用于开放性数据的检索。 开放性数据指任何人都可使用的数据，不管事先是否登记、同意或交费。第 11 条 代理收集、处理或使用个人数据（1） 当其他机构代理收集、 处理或使用个人数据时， 则依据本法和其他数据保护条款而产生的责任由被代理人承担， 本法第 6 至 8 条规定的权利亦相应地由被代理人享有。（2） 被代理人应认真选择代理机构，特别应注意其技术和组织手段。应书面表示代理事宜，应特别说明数据收集、处理和使用、技术和组织手段以及再代理事宜。对于公共机构，可由其监督机构指示代理。被代理人可检验代理机构承诺的技术和组织手段。（3） 代理机构应按照被代理人的指示收集、 处理或使用数据。 如其认为被代理人的指示违反了本法或其他数据保护条款， 则应立即向被代理人指出。（4） 对于代理机构，除本法第 5 条、9 条、43 条第 1 款的第 1、2、10 和 11 项、