德国联邦数据保护法(BDSG)是一项联邦数据保护法案,与德意志联邦州的数据保护法案和其他地区特定法规一起,管理人工处理或存储在IT系统中的个人数据的暴露。
历史发展
1960–1970
20世纪60年代初,美国开始考虑全面数据保护,并随着计算机技术及其隐私风险的进步而进一步发展。因此,需要一个监管框架来抵消个人数据处理过程中对隐私的损害。
1970–1990
1970年,联邦黑森州通过了第一部国家数据保护法,这也是世界上第一部数据保护法。1971年,第一份法案草案提交联邦数据保护法。最后,1978年1月1日,第一部联邦数据保护法生效。[1] 在接下来的几年里,随着BDSG在实践中的形成,随着计算机在工作和私营部门中变得越来越重要,数据处理领域出现了技术发展。[2]
法律领域也发生了重大变化。根据1983年12月15日的Volkszählungsurteil[3](德语)(人口普查裁决),宪法法院发展了信息自决权(《宪法》第一条和第二条第一款)。判决确认,个人数据在德国受到宪法保护。这意味着个人有权决定何时以及在多大程度上发布个人信息。[4]
从1990年起
1990年,立法机关根据德国宪法法院的裁决通过了一项新的数据保护法。
BDSG在2009年和2010年进行了三次修订:2010年4月1日,《Novelle I》出台了一项关于信用局及其交易对手(特别是信用机构)活动和评分的新规定。经过长时间激烈辩论的《中篇小说II》于2009年9月1日生效,修改了BDSG中的18段。内容包括地址交易列表特权的变更、市场和意见研究的新规定、选择加入、耦合禁令、员工数据保护、订单数据处理、监管机构的新权力和新的或大幅扩大的罚款、数据泄露时的信息义务、数据保护官员的解雇保护。2010年6月11日,将“Novelle III”[4]作为实施欧盟消费者信贷指令的法律中的一个小项,即§29 BDSG,修改了两段。
法律修正案
2009年,由于消费者权益倡导者的批评和商业领域的众多隐私丑闻,BDSG有三项修正案。修正案涉及以下项目:[5]
修正案一和三
- 执行数据保护权利时严格指定用途(§6 III BDSG)
- 自动个人决策的允许性和透明度(§6a BDSG)
- 向商业机构传输数据(§28a BDSG)
- 评分程序的可接受性(§28b BDSG)
- 欧盟/欧洲经济区内跨境信用查询的信用拒绝信息索赔(§29、六和七、BDSG)
- 针对责任机构的索赔信息,特别是计分和商业机构的索赔(§34 BDSG)
- 对违法行为的新处罚(BDSG第43 I节第4a、8b、8c号)
修正案二
- 引入术语“Beschäftigte”(员工)的法律定义(§3 XI BDSG)
- 扩展目标数据经济性和数据避免(§3a BDSG)
- 通过培训和明确的工作保护法加强内部数据保护官的职位(《商业数据表》第4f节第三节第5-7句)
- 延长对书面内容的要求,以便承包商的数据处理和控制(§11 II BDSG)
- 作为地址交易和促销目的的一部分使用个人数据的新资格要求和透明度(§28 III BDSG)
- 收紧非书面同意的同意要求(§28 IIIa BDSG)
- 引入与同意相关的耦合禁令(§28 IIIb BDSG)
- 对市场和意见研究公司的救济(§30a BDSG)
- 就业数据处理的可接受性规则(§32 BDSG)
- 中等传输列表披露要求的扩展(§34 Ia BDSG)
- 扩大监管机构在处理、保护和使用数据方面的安排权力(§38 V BDSG)
- 因非法获取数据而向监管机构和受影响人员自我披露的义务(§42a BDSG)
- 引入新的罚款(§43 I第2a、2b、3a、8a号和II第5a-7号BDSG)
- 将罚款框架提高至50000欧元至300000欧元(§43 III BDSG)
- 市场和意见研究人员的过渡安排,以及2009年9月1日之前记录的存储数据的推广使用(§47 BDSG)
- 强调加密的使用(BDSG§9第1句附件)
BDSG概述
- 第一节(§§1-11):一般和通用规则
- 第二节(§§12-26):公共机构的数据处理
- 第三节(§§27-38a):非公共机构和公共竞争公司的数据处理
- 第四节(§§39-42):特殊规定
- 第五节(§§43-44):刑事和民事处罚规定
- 第六节(§§45-46):过渡条款
目的和范围
意图
法律应保护个人的个人权利不因个人信息的处理而受到损害(《商业数据表》第1条)。
范围
根据BDSG§1 II,法律适用于通过以下方式收集、处理和使用个人数据:
- 联邦公共机构
- 联邦各州的公共当局
- 非公共机构
排除
根据该法第22条和第37条,外国国民中央登记册不包括在《联邦公报》的某些章节中。[6]
联邦公共机构
公共当局是联邦当局、司法和联邦其他公法机构、联邦当局、机构和公法下的基金会及其协会,无论其法律形式如何(§2 I BDSG)。
联邦各州的公共当局
联邦州的公共当局、联邦州的司法机关和其他公法机构、社区、社区协会和其他公法律法人,无论其法律形式如何,都服从联邦州公法及其协会的监督(《联邦法典》第二章)。
非公共机构
非公共机构是私法上的自然人和法人、公司和其他个人协会,不属于BDSG§2 I-III(§2 IV BDSG)的条款范围。
第一原则概述
BDSG包含数据保护法的七项第一原则:[7]
1.保留许可的禁止:
严格禁止收集、处理和使用个人数据,除非法律允许或相关人员同意(§4 I BDSG)。
2.即时性原则:
个人数据必须直接从相关人员处收集。这一原则的一个例外是法律许可或不成比例的努力(§4 III BDSG)。
3.特别法的优先权:
BDSG取代与个人信息及其发布相关的任何其他联邦法律(§1 III BDSG)。
4.相称原则:
制定标准限制了受影响者的基本权利。因此,这些法律和程序必须是适当和必要的。必须实现利益平衡。
5.数据避免和数据经济原则:
通过使用数据匿名或伪匿名,每个数据处理系统都应实现不使用(或尽可能少使用)个人可识别数据的目标。
6.透明度原则:
如果收集了个人数据,责任实体必须将其身份以及收集、处理或使用的目的告知受影响的人(§4 III BDSG)。
7.指定用途原则:
如果允许为特定目的收集数据,则数据的使用仅限于此目的。如果数据将用于其他目的,则需要新的同意或法律。
个人数据的类型
“个人数据”是指提供有关已识别或可识别自然人的个人关系或事实信息的所有数据。它们包括:
- 个人关系:姓名、地址、职业、电子邮件、IP地址或个人号码
- 实际情况:收入、税收、所有权
- 特殊类型的个人数据:种族或族裔出身、政治观点、宗教或哲学信仰、工会会员资格、健康或性生活。这些数据受到特别保护。
受保护的个人数据不包括匿名数据,因为无法识别个人身份。假名化数据(姓名替换为假名)受BDSG保护,因为该数据涉及身份可辨的人。BDSG不保护法人(如公司)的数据,尽管一些法院已将保护范围扩大到法人。
与欧洲法律的互动
部长理事会和欧洲议会于1995年10月24日通过了数据保护指令,该指令必须在1998年底前转化为成员国的国内法(欧洲议会和理事会关于保护个人处理个人数据和此类数据自由流动的指令95/46/EC)。所有成员国都制定了自己的数据保护立法。[8]
2012年1月25日,欧盟委员会公布了一项通用数据保护条例草案,该草案将取代数据保护指令。
跨境数据传输
根据欧盟委员会数据保护指令的要求,以下规则适用于在德国注册的公司和海外公司。
位于德国的公司
对于总部位于德国的公司,《联邦数据保护法》对在另一个欧盟成员国和向第三国传输数据的规定有所不同。
从德国向另一欧盟成员国的传输
通过实施《欧盟数据保护指令》,欧盟成员国已经形成了统一的数据保护水平。因此,在德国注册的公司有权根据与在德国境内传输数据相同的规则在欧洲传输个人数据。
从德国向第三国的传播
向第三国的转让必须符合《联邦隐私法》(BDSG第4b II节第1句)的要求。如果该人在防止传输方面有合法利益,尤其是在第三国的充分数据保护得不到保障的情况下,传输必须停止(《BDSG》第4b II节第2句)。应通过考虑对数据传输具有重要意义的所有情况来评估保护的充分性(§4b III BDSG)。其中包括数据类型、目的、处理时间、专业规则和安全措施。欧洲联盟委员会认为,瑞士和加拿大有足够的保护水平。
欧盟委员会的另一项决定影响到美国的数据传输。根据该决定,美国商务部通过谈判达成的安全港协议确保了合理的数据保护水平。通过《安全港协议》(Maximillian Schrems v.Data Protection Commission于2015年10月6日失效,其继任者Privacy Shield于2020年7月16日失效),美国接收方承诺通过向相关美国当局发表声明,遵守某些数据保护原则。由于所有第三国都需要GDPR下的另一个批准机制(例如具有约束力的公司规则、标准合同条款),目前没有适用于美国和美国之间的转让框架。
对于其他第三国,由于标准复杂,很难确定适当的保护水平。因此,某些例外情况(BDSG§4c I和II)非常重要,根据这些例外情况,即使不能保证充分的数据保护水平,也允许在第三国进行数据传输。§4c I BDSG允许在当事人同意的情况下,在当事人与责任方之间履行合同的情况下进行跨境数据传输。
在所有其他情况下,“须经批准”解决方案(§4c II BDSG)允许制造厂在确保充分数据保护的接收国传输数据。合同条款或“具有约束力的公司规则”必须提供有关个人权利保护的充分保障,并且必须事先得到主管当局的批准(《商业数据表第二编第1节》)。对于国际公司,建议获得标准合同条款的批准。即使是公司政策中的自我监管也可以实现跨国公司内部的数据流。行为守则还必须给予受害者合法权利和某些保障,合同就是如此
- 登录 发表评论