Получатель персональных данных (абз. 8 § 3 Закона о защите персональных данных) – это любое физическое лицо или организация, которые получают персональные данные.

В Германии, в отличие от других государств, существует не государственный орган, а должностное лицо, уполномоченное обеспечивать защиту персональных данных (как, например, в России есть Уполномоченный по правам человека).

Согласно § 22 ff Закона о защите персональных данных на федеральном уровне назначен Уполномоченный в сфере защиты персональных данных и свободы информации. Уполномоченный в сфере защиты персональных данных есть также в каждой из земель.

Административные органы и неадминистративные организации, которые занимаются обработкой персональных данных (с числом сотрудников более девяти), также должны согласно § 4 f Закона о защите персональных данных письменно назначить уполномоченное лицо. Уполномоченное лицо отвечает внутри организации за соблюдение защиты персональных данных.

Сбор, обработка и использование персональных данных допустимы только в том случае, если Закон о защите персональных данных или другая правовая норма это допускают или субъект персональных данных дал свое разрешение. Для улучшения защиты персональных данных специализированные организации – поставщики систем и программ для обработки данных, а также организации, занимающиеся обработкой персональных данных, могут представить свой концепт по защите персональных данных независимым официальным экспертам на проверку и опубликовать результаты.

В Германии установлена уголовная ответственность за нарушение требований, установленных Законом о защите персональных данных.

За обеспечение доступа к персональным данным неограниченного круга лиц или за несанкционированный доступ третьих лиц к персональным данным установлена следующая ответственность:

а) при непреднамеренном характере действия – денежный штраф до 300 тыс. евро (§ 43 Закона о защите персональных данных);

б) при преднамеренном характере действия – аналогичное денежное наказание и лишение свободы до двух лет (§ 44 Закона о защите персональных данных).

За непринятие мер по защите персональных данных установлена следующая ответственность:

а) при непреднамеренном характере действия – денежный штраф до 50 тыс. евро (§ 43 Закона о защите персональных данных);

б) при преднамеренном характере действия – аналогичное денежное наказание и лишение свободы до двух лет (§ 44 Закона о защите персональных данных).

Персональные данные могут быть переданы третьим лицам только в том случае, если третьи лица имеют оправданный интерес в получении информации. Термин «оправданный интерес» в немецком законодательстве подразумевает в основном защищенное законодательством право третьих на получение той или иной информации. Оправданным считается, например, интерес банка о кредитоспособности клиента или интерес кредитора об имуществе должника. Во всех остальных случаях персональные данные могут быть переданы третьим лицам только с согласия субъекта персональных данных.

Любая обработка данных, позволяющих при сопоставлении получать персональные данные, охватывается дефиницией «персональные данные» и защищена Законом о защите персональных данных. Исключения составляют следующие виды сбора информации, которые отвечают признакам обработки больших данных:

а) для целей заключения, исполнения и прекращения договора с субъектом разрешается собирать и использовать данные для прогноза будущего поведения субъекта (§ 28а f Закона о защите персональных данных);