국가정보_독일
법률체계
1개요
독일은 2018년 5월 25일부터 시행된 EU의 일반 개인정보보호법(General Data Protection Regulation, 이하 GDPR)을 근간으로 연방과 주에서 각각 개인정보보호법을 개정하여 시행하고 있다. 새롭게 전면 개정된 연방 개인정보보호법(Neue Bundesdatenschutzgesetz, 이하 BDSG)의 경우, GDPR의 시행에 맞춰 EU 회원국 각자가 자국 내 상황에 맞게 GDPR이 부여한 재량범위 내에서 자국법 조항을 둘 수 있도록 허용한 개별 위임조항을 구체화하고 기존의 법률 체계를 GDPR에 맞추어 2018년 5월 25일부터 시행하고 있다. 주별 개인정보보호법도 GDPR과 연방 개인정보보호법에 따라 개정이 이루어졌다.
독일은 2018년 5월 25일부터 시행된 EU의 일반 개인정보보호법(General Data Protection Regulation, 이하 GDPR)을 근간으로 연방과 주에서 각각 개인정보보호법을 개정하여 시행하고 있다. 새롭게 전면 개정된 연방 개인정보보호법(Neue Bundesdatenschutzgesetz, 이하 BDSG)의 경우, GDPR의 시행에 맞춰 EU 회원국 각자가 자국 내 상황에 맞게 GDPR이 부여한 재량범위 내에서 자국법 조항을 둘 수 있도록 허용한 개별 위임조항을 구체화하고 기존의 법률 체계를 GDPR에 맞추어 2018년 5월 25일부터 시행하고 있다. 주별 개인정보보호법도 GDPR과 연방 개인정보보호법에 따라 개정이 이루어졌다.
2법률 체계
가. 개요
GDPR은 EU 회원국이 준수해야 할 법으로, GDPR이 직접 적용되는 범위에 독일 연방 개인정보보호법(BDSG)은 적용되지 않는다 (BDSG 제1조제5항). 다만 GDPR에는 약 70개의 개별 위임조항이 있는데, 이들 조항은 각 회원국의 특색에 맞도록 조정할 수 있는 부분적인 선택 사항을 담고 있다. 따라서, BDSG는 GDPR이 개별 회원국 법률에 위임한 범위 내(예: 당국 및 공공 기관에 의한 개인정보 처리, 고용 관계에서의 비디오 감시 및 개인정보 처리 등)에서 적용되나, 만약 개별 주(州)의 개인정보보호법에서 별도의 정한 바가 있다면, 주(州) 개인정보보호법 조항이 BDSG보다 우선 적용되는 법체계적 특색을 나타낸다. 주 개인정보보호법은 GDPR과 BDSG의 주요 내용을 따르며 GDPR과 BDSG에 확정되지 않은 세부사항을 보완한다.
나. 특별법
일반 개인정보보호법 이외에 독일은 개인정보보호에 관한 다양한 특별법을 갖고 있는데, 일련의 법률에 개인정보보호 관련 규정들이 분산되어 있다. 예컨대, 통신 및 텔레미디어 개인정보보호법(Telekommunikation-Telemedien-Datenschutz-Gesetz, 이하 TTDSG)은 인터넷, 정보통신 및 텔레미디어 등 온라인상의 개인정보보호에 관한 내용을 상세히 다뤄 온라인 개인정보보호 규정이 비교적 적은 GDPR 및 BDSG와 상호 보완적인 관계를 이루고 있다. 특히 TTDSG는 온라인상의 개인정보보호에 관한 특별법으로서 이 분야의 개인정보보호와 관련해서는 GDPR이나 BDSG보다 우선하여 적용된다.
그밖에 개인정보보호 관련 내용을 포함한 법률로는 돈세탁방지법(Geldwäschegesetz), 에너지경제법(Energiewirtschaftsgesetz) 등을 들 수 있다.
다. 주별 개인정보 보호법
독일에는 공공과 민간을 모두 규율하는 일반법 차원의 연방 개인정보보호법 외에도 각 주별로 개인정보보호법을 두고 있다. 각 주별 개인정보보법의 원문은 아래 인터넷 주소에서 확인할 수 있다.
독일 각 주별 개인정보보호법
가. 개요
GDPR은 EU 회원국이 준수해야 할 법으로, GDPR이 직접 적용되는 범위에 독일 연방 개인정보보호법(BDSG)은 적용되지 않는다 (BDSG 제1조제5항). 다만 GDPR에는 약 70개의 개별 위임조항이 있는데, 이들 조항은 각 회원국의 특색에 맞도록 조정할 수 있는 부분적인 선택 사항을 담고 있다. 따라서, BDSG는 GDPR이 개별 회원국 법률에 위임한 범위 내(예: 당국 및 공공 기관에 의한 개인정보 처리, 고용 관계에서의 비디오 감시 및 개인정보 처리 등)에서 적용되나, 만약 개별 주(州)의 개인정보보호법에서 별도의 정한 바가 있다면, 주(州) 개인정보보호법 조항이 BDSG보다 우선 적용되는 법체계적 특색을 나타낸다. 주 개인정보보호법은 GDPR과 BDSG의 주요 내용을 따르며 GDPR과 BDSG에 확정되지 않은 세부사항을 보완한다.
나. 특별법
일반 개인정보보호법 이외에 독일은 개인정보보호에 관한 다양한 특별법을 갖고 있는데, 일련의 법률에 개인정보보호 관련 규정들이 분산되어 있다. 예컨대, 통신 및 텔레미디어 개인정보보호법(Telekommunikation-Telemedien-Datenschutz-Gesetz, 이하 TTDSG)은 인터넷, 정보통신 및 텔레미디어 등 온라인상의 개인정보보호에 관한 내용을 상세히 다뤄 온라인 개인정보보호 규정이 비교적 적은 GDPR 및 BDSG와 상호 보완적인 관계를 이루고 있다. 특히 TTDSG는 온라인상의 개인정보보호에 관한 특별법으로서 이 분야의 개인정보보호와 관련해서는 GDPR이나 BDSG보다 우선하여 적용된다.
그밖에 개인정보보호 관련 내용을 포함한 법률로는 돈세탁방지법(Geldwäschegesetz), 에너지경제법(Energiewirtschaftsgesetz) 등을 들 수 있다.
다. 주별 개인정보 보호법
독일에는 공공과 민간을 모두 규율하는 일반법 차원의 연방 개인정보보호법 외에도 각 주별로 개인정보보호법을 두고 있다. 각 주별 개인정보보법의 원문은 아래 인터넷 주소에서 확인할 수 있다.
독일 각 주별 개인정보보호법
3연방 개인정보 보호법(BDSG Neue Bundesdatenschutzgesetz)
가. 개요
독일의 연방 개인정보보호법은 개인정보 법체계에 있어 가장 중심이 되는 법률로서 전체 4부, 86조로 구성되어 있다. 제1부는 총칙, 제2부는 GDPR 이행 규정, 제3부는 ‘EU 형사사법절차에 관한 개인정보보호 지침’(Directive (EU) 2016/680)의 이행 규정, 제4부는 GDPR과 ‘EU 형사사법절차에 관한 개인정보보호지침’(Directive (EU) 2016/680)이 적용되지 않는 영역에서의 처리를 위한 특별 규정 등으로 이루어져 있다.
나. 개인정보 및 민감정보 정의
BDSG에는 개인정보 또는 민감정보에 대한 개념을 정의하고 있지 않으므로, 해당 내용은 GDPR 규정을 그대로 따르게 된다. “개인정보”란 식별되었거나 또는 식별 가능한 자연인(정보주체)과 관련된 모든 정보를 의미하며, 특히 이름, 식별 번호, 소재지 데이터, 온라인 식별자, 정신적·경제적·문화적·사회적 고유성에 관한 모든 정보를 뜻한다. 또한 “민감정보”란 인종 또는 민족, 정치적 견해, 종교적·철학적 신념, 노동조합의 가입 여부를 나타내는 개인정보의 처리와 유전자 정보, 개인을 고유하게 식별할 수 있는 생체정보, 건강정보, 성생활 또는 성적 취향에 관한 정보를 의미한다.
다. 적용 범위
BDSG 제1조는 동 법률의 적용범위를 규정하고 있다. 제1조제1항은 BDSG가 연방 공공기관과, 주(州) 개인정보보호법이 적용되지 않는 주 공공기관의 개인정보 처리에 적용된다고 명시하고 있으며, 또한 민간 부문의 경우 전적 또는 부분적으로 자동화 방식에 의해 이루어지는 개인정보의 처리와 자동화 수단 이외의 방식에 의한 것으로서 파일시스템을 구성하거나 구성하기 위한 개인정보의 처리에 적용된다고 규정하고 있다. 다만, 자연인이 순수하게 개인활동 또는 가정활동을 하는 중에 이루어지는 처리에는 적용되지 않는다.
BDSG 제1조제4항에서는 적용대상을 규정하고 있다. 즉, 동 법률은 공공기관에 적용되며, 민간 부문의 경우 ▲독일에서 컨트롤러 또는 프로세서가 개인정보를 처리하거나 ▲컨트롤러 또는 프로세서의 독일 내 사업장의 활동에 수반되는 개인정보 처리이거나 ▲컨트롤러 또는 프로세서가 EU 회원국 내 또는 유럽 경제 지역(European Economic Area) 내 사업장이 없으나 GDPR의 적용범위에 해당될 경우에는 민간 부문도 BDSG의 적용대상이 된다.
라. 개인정보처리 동의
BDSG에서는 ‘동의’에 관해 규정하고 있지 않아 GDPR 규정을 그대로 따른다. GDPR 제4조제11항은 동의를 ‘본인과 관련된 개인정보의 처리에 대해 합의하는 의사표시로, 정보주체의 희망 진술 또는 명백한 적극적인 행위를 통해 자유롭고, 구체적으로, 결과에 대해 인지하여 분명하게 나타낸 것’이라고 정의하고 있다. 정보주체의 동의는 컨트롤러의 개인정보 처리 적법성의 한 요건에 해당하기도 하는데(GDPR 제6조제1항), 무엇보다도 적극적인 의사표시 행위로써 이루어져야 하므로 침묵이나 웹사이트상에서 사전 자동체크된 형식의 동의, 부작위에 의한 동의는 허용되지 않는다 (전문 제32항).
한편, 정보주체는 자신이 의사표시한 동의를 언제든지 철회할 수 있으며, 동의 철회권에 대해서는 동의를 제공하기 전에 해당 권리를 행사할 수 있음을 고지받아야 한다. 동의 철회는 동의의 제공만큼 용이하게 행사할 수 있어야 하며, 동의를 철회하더라도 철회 이전에 동의를 기반으로 한 정보 처리의 적법성에는 영향을 미치지 않는다. (제7조제3항)
마. 정보주체의 권리
(1) 정보를 제공받을 권리
BDSG 제32조~제33조는 개인정보수집 및 처리에 관한 정보가 정보주체에 제공되어야 한다고 규정한다. 이는 GDPR 제12조~제14조에 상응하는 내용이며, 정보주체는 컨트롤러로부터 정보수집 목적, 처리권한 등을 고지 받을 권리가 있다. 또한 정보주체의 개인정보 처리와 관련해 해당 컨트롤러가 지정한 DPO, 개인정보 감독기구 연락처 역시 정보주체에게 전달되어야 한다. 정보주체가 개인정보에 대해 가지는 권리, 이를테면 감독기구에 민원을 제기할 권리와 개인정보의 국외이전에 관한 요건 역시 알 수 있어야 한다.
(2) 접근권
접근권이란 정보주체 자신의 개인정보 열람 권한을 뜻한다. 정보주체는 수집 및 처리되는 개인정보에 접근할 수 있어야 한다. 또한 수집된 정보의 출처, 처리 목적, 정보 열람자 범위, 정보 소장 기간 등에 대한 내용을 열람할 수 있거나, 자신과 관련된 데이터를 어떻게 처리하고 있는지 여부에 대한 정보를 제공 받을 수 있어야 한다. 컨트롤러는 정확하고 이해하기 쉬우며 쉽게 접근할 수 있는 형식으로 명확하고 간단한 언어를 사용하여 정보주체와 의사소통해야 할 의무가 있다. 따라서 컨트롤러는 정보주체의 열람 요청에 대응해야 하며 정보주체가 열람하는 데 장애를 두어선 안 된다.
접근권은 GDPR 제15조에 근거를 두고 있는데, BDSG는 제34조에서 접근권 행사의 제한 사유를 열거하고 있다. 즉, 개인정보를 보존하도록 규정하고 있는 법령상의 조항이나 단순한 개인정보보호 목적의 모니터링을 이유로 개인정보가 기록되어 있는 경우에, 정보를 제공하는 것이 불균형적인 노력을 요하거나 타 목적을 위한 개인정보 처리를 불가능하게 하는 기술적, 관리적 조치를 요할 경우 정보주체의 접근권이 제한된다. 마찬가지로 공공당국의 판단에 따라, 컨트롤러가 개인정보를 공개하는 것이 연방 또는 주(州)의 공공의 이익에 해가 되는 경우에도 정보주체의 접근권 행사가 제한된다. 이 경우, 컨트롤러는 정보 제공을 거부하는 이유를 문서화해야 하며 그 거부 사유를 정보주체에게 알려야 한다.
(3) 삭제권
BDSG 제35조는 ‘삭제권’이라는 제목을 두고 있으면서도 정보주체의 삭제권 행사가 제외되는 사유만을 열거하고 있으며, 실질적으로는 컨트롤러의 ‘처리제한 의무’를 주로 규정하고 있다. 구체적으로, ▲자동화되지 않는 개인정보 처리의 경우에 삭제가 불가능하거나 특별한 저장 유형으로 인해 지나치게 많은 노력을 기울여야만 삭제가 가능하고 삭제에 대한 정보주체의 법익이 낮은 것으로 간주되는 경우 ▲수집된 개인정보가 처리 목적에 더 이상 필요하지 않은 경우와 개인정보가 불법적으로 처리된 경우라 할지라도, 컨트롤러가 개인정보 삭제가 정당한 이익에 부정적인 영향을 미칠 것이라고 판단하는 경우 ▲개인정보 삭제가 법령이나 계약에 반하는 상황에서 수집된 개인정보가 목적에 더 이상 필요하지 않은 경우, 컨트롤러는 삭제 의무 대신 처리제한 의무를 부담하게 된다. 결국 정보주체는, BDSG 제35조에 따라 삭제권이 제한되는 경우 이외에는 GDPR 제17조에 따라 삭제권을 행사할 수 있다.
(4) 반대권
정보주체는 GDPR 제21조에 따라 자신의 개인정보에 대한 처리 및 수집에 원칙적으로 반대할 수 있으나 일부 특수한 경우에는 반대권이 인정되지 않는다. BDSG 제36조는 정보주체의 이익을 초과하여 처리에 긴급한 공익성이 있거나 법에 따라 처리가 필요한 경우 공공기관에 대한 정보주체의 반대권이 보장되지 않는다고 규정하고 있다. 또한, BDSG 제27조에 따라 개인정보가 과학적 또는 역사적 연구 목적과 통계적 목적을 위하여 처리될 때에, 연구 또는 통계 목적 달성이 불가능하거나 심각하게 저해될 가능성이 있으면서 해당 목적의 이행을 위하여 반대권 제한이 필요한 경우에는 해당 범위 내에서 반대권 행사가 제한될 수 있다.
바. 컨트롤러 및 프로세서의 의무
(1) 개요
BDSG는 DPO 지명(제38조) 이외에는 컨트롤러 및 프로세서의 의무에 대해 별도 규정을 두지 않고 있어, 해당 의무사항 역시 GDPR 규정이 그대로 적용된다. 즉, 컨트롤러 및 프로세서는 GDPR 규정에 따라 처리 활동 기록(GDPR 제30조), 개인정보 영향평가(GDPR 제35조)와 관련한 의무를 부담하며, DPO 지정과 관련해서는 BDSG 제38조를 따른다.
(2) 처리 활동 기록 관련 의무
GDPR 제30조에 따라 컨트롤러와 프로세서는 개인정보 처리활동 기록을 보존해야 한다. 처리활동 기록에는 컨트롤러와 DPO의 이름 및 연락처, 개인정보 수집 및 처리 목적 등을 명시해야 한다. 또한 정보주체와 수집된 개인정보의 카테고리, 이와 관련한 설명 및 수집 정보의 저장기간과 삭제 예정 기한, 정보처리에 적용되는 기술적, 관리적 조치에 대한 정보도 모두 포함되어야 한다.
처리 활동 기록을 보존해야 할 의무대상은 종업원 수 250명 이상을 보유한 기업을 원칙으로 한다. 단, ▲정보주체의 권리와 자유에 위험을 초래할 가능성이 있는 개인정보를 처리하거나 ▲민감한 개인정보를 처리하거나 ▲범죄경력 및 범죄행위에 관련된 개인정보를 처리하는 기업은 종업원 수에 관계없이 처리활동 기록을 보존해야 한다. (GDPR 제30조제5항)
(3) 개인정보 영향 평가
컨트롤러는 개인정보처리 기술 및 시스템을 도입하기 이전에 해당 기술·시스템이 초래할 위험을 미리 예상 및 진단해야 한다. 즉, 컨트롤러는 개인정보의 처리 형태(신기술 사용 시) 및 유형, 처리 목적 및 범위, 처리 상황 등으로 인해 정보주체의 법익에 상당한 위험을 초래할 가능성이 있는 경우, 처리 이전에 처리 작업이 개인정보 보호에 미치는 영향에 대한 평가를 수행해야 한다. 이 때 침해의 위험성이 높은 유사한 업무 분야의 경우, 한 번의 평가로 중대한 위험을 초래하는 일련의 유사 처리 작업을 다룰 수 있다.
영향평가를 수행할 경우에는 최소한 ▲예정된 처리 업무 및 처리 목적에 대한 체계적인 설명 ▲목적과 관련한 개인정보 처리의 필요성과 비례성에 대한 평가 ▲정보주체의 법익에 대한 위험 평가 ▲정보주체의 권리 보장과 보안에 관한 예방조치 및 개인정보 보호가 구현되는지, 법적 요건을 준수하고 있는지, 위험도 개선을 위한 필요한 조치를 하였는지 등에 대한 입증 절차 마련 등이 포함되어야 한다. 만약, DPO가 지정되어 있는 경우, 컨트롤러는 영향평가 수행 시 DPO의 자문을 구해야 한다.
(4) DPO지정
컨트롤러와 프로세서는 GDPR 제37조 및 BDSG 제38조에 따라 DPO을 지정해야 한다. 다만 모든 사업체가 DPO를 지정할 필요는 없으며, 이는 사업체의 규모와 성격에 따라 달라진다. BDSG 제38조는 GDPR 제37조에서 규정하고 있는 DPO 지정의무 요건을 추가하고 있다. 즉, GDPR 제37조에 따라 ▲공공기관 ▲정보주체에 대한 정기적·체계적 모니터링을 해야 하는 조직 ▲민감한 개인정보의 대규모 처리가 기본 활동인 조직 중 어느 하나에 해당할 경우 DPO를 임명해야 하며, 추가적으로 ▲개인정보의 자동화된 처리를 다루는 사람을 최소 20명 이상 지속적으로 고용하는 조직 ▲개인정보의 자동화된 처리를 다루는 사람이 20명 미만인 민간 기업의 경우에는 i)컨트롤러 또는 프로세서가 GDPR 제35조의 개인정보 영향평가에 따라 처리를 수행하거나 ii)개인정보를 전송, 익명 전송, 시장 조사 또는 의견 조사 목적으로 상업적으로 처리하는 경우 DPO를 지정해야 한다.
바. 개인정보 역외이전(Transfer)
BDSG는 제25조에서 주로 공공기관 간 개인정보 국외이전과 관련한 규정만을 두고 있을 뿐이며, 기타 개인정보 국외이전은 GDPR 제44조 이하가 직접 적용된다.
제3국 또는 국제기구로의 개인정보 이전은 EU집행위원회가 충분한 보안 체계를 가진 국가를 선별한 뒤 적정성 결정(Adequacy decision)을 통해 개인정보 이전 가능 국가로 결정한 경우 가능하다 (GDPR 제45조). 이전 대상 국가 또는 국제기구의 정보보안 수준은 4년마다 재평가되는데, 만약 해당 국가 또는 국제기구가 적절한 보호 수준을 더 이상 만족하지 못한다고 판단하는 경우 EU집행위원회는 적정성 결정을 철회, 수정, 또는 중지할 수 있다.
만약 이전 대상 국가 또는 국제기구가 EU집행위원회의 적정성 결정을 받지 못한 경우라 할지라도, 컨트롤러 또는 프로세서는 적정한 안전조치(▲공공당국 또는 기관 간 법적 구속력이 있고 강제할 수 있는 장치 ▲GDPR 제47조에 따른 의무적 기업 규칙 ▲EU집행위원회 또는 개인정보 감독기구가 채택 또는 승인한 정보보호 표준조항 등)를 제공한 경우에 한하여 정보주체가 행사할 수 있는 권리와 유효한 법적 구제책이 제공되는 조건으로 제3국 또는 국제기구에 개인정보를 이전할 수 있다 (GDPR 제46조).
그밖에, 적정성 결정 및 적정한 안전조치가 없는 경우에도 제3국 또는 국제기구로의 개인정보 이전이 예외적으로 가능한 경우가 있으며, GDPR은 해당 사유를 제49조에서 아래와 같이 열거하고 있다.
① 정보주체가 적정성 결정 및 적정한 안전조치가 없어 자신의 개인정보 이전 시에 발생 가능한 위험을 통보 받은 후, 정보 이전에 명시적으로 동의한 경우
② 정보주체와 컨트롤러 간의 계약 이행을 위해 또는 당사자의 요청에 따라 취해진 계약 전 사전 조치의 실행을 위해 이전이 필요한 경우
③ 정보주체의 이익을 위해 컨트롤러와 그 밖의 다른 개인 또는 법인 사이에 체결된 계약의 이행을 위하여 이전이 필요한 경우
④ 중요한 공익상의 이유로 이전이 필요한 경우
⑤ 법적 권리의 확립, 행사, 방어를 위해 정보이전이 필요한 경우
⑥ 정보주체가 신체적으로 불가능하거나 법적으로 동의할 수 없는 경우, 정보주체 또는 타인의 생명, 건강 또는 재산을 보호하기 위해 필요한 경우
⑦ 정보 이전이 법률에 따라 정보를 공개할 목적이거나 일반 국민 또는 정당한 이익을 입증할 수 있는 제3자가 참조하기 위한 목적으로 만들어진 개인정보 기록부로부터 이루어진 것으로, 법률에 규정된 조건이 충족되는 범위 내에서 이전되는 경우
사. 집행
(1) 조사 및 시정조치
BDSG 제1부 제4장(제8-16조)은 개인정보 감독기구의 권한 및 의무를 규정한다. 개인정보 감독기구는 공공과 민간의 개인정보 처리 업무를 관리 감독한다. 감독기구 중 연방 개인정보 감독기구(Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 이하 BfDI)는 인사 및 예산의 독립성을 가지는 연방 최고의 독임제 기구이다. BDSG는 주로 BfDI 권한을 규정하며, 다른 16개 주 감독기구의 권한은 각 주 개인정보보호법에 근거한다.
BfDI의 업무는 GDPR 제57조와 동일한 취지로 BDSG 제14조에서 관련 내용을 규정하고 있으며, BDSG 제16조는 BfDI가 GDPR 제58조에서 규정하고 있는 권한을 갖는다고 명시하고 있다. 즉, BfDI는 정보주체의 개인정보보호와 관련된 일련의 조사 권한을 보유하며, 공공 및 민간부문이 GDPR 및 BDSG에 따라 적법하게 개인정보 처리를 할 수 있게 감독 및 시정조치 할 수 있는 권한을 보유한다.
(2) 과징금
개인정보보호 위반행위에 대한 처분 시 부과되는 과징금은 기본적으로 GDPR 제83조 규정을 따른다 (2천만 유로 또는 전년도 글로벌 총 매출의 4%에 해당하는 금액 중 높은 금액). 이외에, BDSG는 소비자 대출과 관련하여 제43조에서 특칙을 규정하고 있다. 즉, BDSG는 제30조에서 소비자 대출을 허가하고 신용도 평가를 수행할 목적으로 개인정보를 처리하는 기관에 특별한 정보 제공 및 통지 의무를 부담케 하고 있는데, 감독기구는 이러한 의무사항을 위반한 기관에 대해 최대 5만 유로의 행정 과징금을 부과할 수 있다.
(3) 형사처벌
BDSG는 과징금 이외에도 개인정보보호 위반을 근거로 한 형사처벌 규정을 두고 있다 (BDSG 제42조). 즉, 다수의 정보주체의 개인정보를 허락 없이 고의적으로 제3자에게 이전하거나 상업적 목적으로 이용할 수 있도록 하는 행위에 대해 3년 이하의 징역 또는 벌금에 처할 수 있다 (제1항). 또한. 자신 또는 제3자의 이익을 추구하거나 타인을 해할 목적으로 공개적으로 접근할 수 없는 개인정보를 허락 없이 처리하거나 부정 취득하는 경우에는 2년 이하의 징역 또는 벌금에 처할 수 있다 (제2항).
가. 개요
독일의 연방 개인정보보호법은 개인정보 법체계에 있어 가장 중심이 되는 법률로서 전체 4부, 86조로 구성되어 있다. 제1부는 총칙, 제2부는 GDPR 이행 규정, 제3부는 ‘EU 형사사법절차에 관한 개인정보보호 지침’(Directive (EU) 2016/680)의 이행 규정, 제4부는 GDPR과 ‘EU 형사사법절차에 관한 개인정보보호지침’(Directive (EU) 2016/680)이 적용되지 않는 영역에서의 처리를 위한 특별 규정 등으로 이루어져 있다.
나. 개인정보 및 민감정보 정의
BDSG에는 개인정보 또는 민감정보에 대한 개념을 정의하고 있지 않으므로, 해당 내용은 GDPR 규정을 그대로 따르게 된다. “개인정보”란 식별되었거나 또는 식별 가능한 자연인(정보주체)과 관련된 모든 정보를 의미하며, 특히 이름, 식별 번호, 소재지 데이터, 온라인 식별자, 정신적·경제적·문화적·사회적 고유성에 관한 모든 정보를 뜻한다. 또한 “민감정보”란 인종 또는 민족, 정치적 견해, 종교적·철학적 신념, 노동조합의 가입 여부를 나타내는 개인정보의 처리와 유전자 정보, 개인을 고유하게 식별할 수 있는 생체정보, 건강정보, 성생활 또는 성적 취향에 관한 정보를 의미한다.
다. 적용 범위
BDSG 제1조는 동 법률의 적용범위를 규정하고 있다. 제1조제1항은 BDSG가 연방 공공기관과, 주(州) 개인정보보호법이 적용되지 않는 주 공공기관의 개인정보 처리에 적용된다고 명시하고 있으며, 또한 민간 부문의 경우 전적 또는 부분적으로 자동화 방식에 의해 이루어지는 개인정보의 처리와 자동화 수단 이외의 방식에 의한 것으로서 파일시스템을 구성하거나 구성하기 위한 개인정보의 처리에 적용된다고 규정하고 있다. 다만, 자연인이 순수하게 개인활동 또는 가정활동을 하는 중에 이루어지는 처리에는 적용되지 않는다.
BDSG 제1조제4항에서는 적용대상을 규정하고 있다. 즉, 동 법률은 공공기관에 적용되며, 민간 부문의 경우 ▲독일에서 컨트롤러 또는 프로세서가 개인정보를 처리하거나 ▲컨트롤러 또는 프로세서의 독일 내 사업장의 활동에 수반되는 개인정보 처리이거나 ▲컨트롤러 또는 프로세서가 EU 회원국 내 또는 유럽 경제 지역(European Economic Area) 내 사업장이 없으나 GDPR의 적용범위에 해당될 경우에는 민간 부문도 BDSG의 적용대상이 된다.
라. 개인정보처리 동의
BDSG에서는 ‘동의’에 관해 규정하고 있지 않아 GDPR 규정을 그대로 따른다. GDPR 제4조제11항은 동의를 ‘본인과 관련된 개인정보의 처리에 대해 합의하는 의사표시로, 정보주체의 희망 진술 또는 명백한 적극적인 행위를 통해 자유롭고, 구체적으로, 결과에 대해 인지하여 분명하게 나타낸 것’이라고 정의하고 있다. 정보주체의 동의는 컨트롤러의 개인정보 처리 적법성의 한 요건에 해당하기도 하는데(GDPR 제6조제1항), 무엇보다도 적극적인 의사표시 행위로써 이루어져야 하므로 침묵이나 웹사이트상에서 사전 자동체크된 형식의 동의, 부작위에 의한 동의는 허용되지 않는다 (전문 제32항).
한편, 정보주체는 자신이 의사표시한 동의를 언제든지 철회할 수 있으며, 동의 철회권에 대해서는 동의를 제공하기 전에 해당 권리를 행사할 수 있음을 고지받아야 한다. 동의 철회는 동의의 제공만큼 용이하게 행사할 수 있어야 하며, 동의를 철회하더라도 철회 이전에 동의를 기반으로 한 정보 처리의 적법성에는 영향을 미치지 않는다. (제7조제3항)
마. 정보주체의 권리
(1) 정보를 제공받을 권리
BDSG 제32조~제33조는 개인정보수집 및 처리에 관한 정보가 정보주체에 제공되어야 한다고 규정한다. 이는 GDPR 제12조~제14조에 상응하는 내용이며, 정보주체는 컨트롤러로부터 정보수집 목적, 처리권한 등을 고지 받을 권리가 있다. 또한 정보주체의 개인정보 처리와 관련해 해당 컨트롤러가 지정한 DPO, 개인정보 감독기구 연락처 역시 정보주체에게 전달되어야 한다. 정보주체가 개인정보에 대해 가지는 권리, 이를테면 감독기구에 민원을 제기할 권리와 개인정보의 국외이전에 관한 요건 역시 알 수 있어야 한다.
(2) 접근권
접근권이란 정보주체 자신의 개인정보 열람 권한을 뜻한다. 정보주체는 수집 및 처리되는 개인정보에 접근할 수 있어야 한다. 또한 수집된 정보의 출처, 처리 목적, 정보 열람자 범위, 정보 소장 기간 등에 대한 내용을 열람할 수 있거나, 자신과 관련된 데이터를 어떻게 처리하고 있는지 여부에 대한 정보를 제공 받을 수 있어야 한다. 컨트롤러는 정확하고 이해하기 쉬우며 쉽게 접근할 수 있는 형식으로 명확하고 간단한 언어를 사용하여 정보주체와 의사소통해야 할 의무가 있다. 따라서 컨트롤러는 정보주체의 열람 요청에 대응해야 하며 정보주체가 열람하는 데 장애를 두어선 안 된다.
접근권은 GDPR 제15조에 근거를 두고 있는데, BDSG는 제34조에서 접근권 행사의 제한 사유를 열거하고 있다. 즉, 개인정보를 보존하도록 규정하고 있는 법령상의 조항이나 단순한 개인정보보호 목적의 모니터링을 이유로 개인정보가 기록되어 있는 경우에, 정보를 제공하는 것이 불균형적인 노력을 요하거나 타 목적을 위한 개인정보 처리를 불가능하게 하는 기술적, 관리적 조치를 요할 경우 정보주체의 접근권이 제한된다. 마찬가지로 공공당국의 판단에 따라, 컨트롤러가 개인정보를 공개하는 것이 연방 또는 주(州)의 공공의 이익에 해가 되는 경우에도 정보주체의 접근권 행사가 제한된다. 이 경우, 컨트롤러는 정보 제공을 거부하는 이유를 문서화해야 하며 그 거부 사유를 정보주체에게 알려야 한다.
(3) 삭제권
BDSG 제35조는 ‘삭제권’이라는 제목을 두고 있으면서도 정보주체의 삭제권 행사가 제외되는 사유만을 열거하고 있으며, 실질적으로는 컨트롤러의 ‘처리제한 의무’를 주로 규정하고 있다. 구체적으로, ▲자동화되지 않는 개인정보 처리의 경우에 삭제가 불가능하거나 특별한 저장 유형으로 인해 지나치게 많은 노력을 기울여야만 삭제가 가능하고 삭제에 대한 정보주체의 법익이 낮은 것으로 간주되는 경우 ▲수집된 개인정보가 처리 목적에 더 이상 필요하지 않은 경우와 개인정보가 불법적으로 처리된 경우라 할지라도, 컨트롤러가 개인정보 삭제가 정당한 이익에 부정적인 영향을 미칠 것이라고 판단하는 경우 ▲개인정보 삭제가 법령이나 계약에 반하는 상황에서 수집된 개인정보가 목적에 더 이상 필요하지 않은 경우, 컨트롤러는 삭제 의무 대신 처리제한 의무를 부담하게 된다. 결국 정보주체는, BDSG 제35조에 따라 삭제권이 제한되는 경우 이외에는 GDPR 제17조에 따라 삭제권을 행사할 수 있다.
(4) 반대권
정보주체는 GDPR 제21조에 따라 자신의 개인정보에 대한 처리 및 수집에 원칙적으로 반대할 수 있으나 일부 특수한 경우에는 반대권이 인정되지 않는다. BDSG 제36조는 정보주체의 이익을 초과하여 처리에 긴급한 공익성이 있거나 법에 따라 처리가 필요한 경우 공공기관에 대한 정보주체의 반대권이 보장되지 않는다고 규정하고 있다. 또한, BDSG 제27조에 따라 개인정보가 과학적 또는 역사적 연구 목적과 통계적 목적을 위하여 처리될 때에, 연구 또는 통계 목적 달성이 불가능하거나 심각하게 저해될 가능성이 있으면서 해당 목적의 이행을 위하여 반대권 제한이 필요한 경우에는 해당 범위 내에서 반대권 행사가 제한될 수 있다.
바. 컨트롤러 및 프로세서의 의무
(1) 개요
BDSG는 DPO 지명(제38조) 이외에는 컨트롤러 및 프로세서의 의무에 대해 별도 규정을 두지 않고 있어, 해당 의무사항 역시 GDPR 규정이 그대로 적용된다. 즉, 컨트롤러 및 프로세서는 GDPR 규정에 따라 처리 활동 기록(GDPR 제30조), 개인정보 영향평가(GDPR 제35조)와 관련한 의무를 부담하며, DPO 지정과 관련해서는 BDSG 제38조를 따른다.
(2) 처리 활동 기록 관련 의무
GDPR 제30조에 따라 컨트롤러와 프로세서는 개인정보 처리활동 기록을 보존해야 한다. 처리활동 기록에는 컨트롤러와 DPO의 이름 및 연락처, 개인정보 수집 및 처리 목적 등을 명시해야 한다. 또한 정보주체와 수집된 개인정보의 카테고리, 이와 관련한 설명 및 수집 정보의 저장기간과 삭제 예정 기한, 정보처리에 적용되는 기술적, 관리적 조치에 대한 정보도 모두 포함되어야 한다.
처리 활동 기록을 보존해야 할 의무대상은 종업원 수 250명 이상을 보유한 기업을 원칙으로 한다. 단, ▲정보주체의 권리와 자유에 위험을 초래할 가능성이 있는 개인정보를 처리하거나 ▲민감한 개인정보를 처리하거나 ▲범죄경력 및 범죄행위에 관련된 개인정보를 처리하는 기업은 종업원 수에 관계없이 처리활동 기록을 보존해야 한다. (GDPR 제30조제5항)
(3) 개인정보 영향 평가
컨트롤러는 개인정보처리 기술 및 시스템을 도입하기 이전에 해당 기술·시스템이 초래할 위험을 미리 예상 및 진단해야 한다. 즉, 컨트롤러는 개인정보의 처리 형태(신기술 사용 시) 및 유형, 처리 목적 및 범위, 처리 상황 등으로 인해 정보주체의 법익에 상당한 위험을 초래할 가능성이 있는 경우, 처리 이전에 처리 작업이 개인정보 보호에 미치는 영향에 대한 평가를 수행해야 한다. 이 때 침해의 위험성이 높은 유사한 업무 분야의 경우, 한 번의 평가로 중대한 위험을 초래하는 일련의 유사 처리 작업을 다룰 수 있다.
영향평가를 수행할 경우에는 최소한 ▲예정된 처리 업무 및 처리 목적에 대한 체계적인 설명 ▲목적과 관련한 개인정보 처리의 필요성과 비례성에 대한 평가 ▲정보주체의 법익에 대한 위험 평가 ▲정보주체의 권리 보장과 보안에 관한 예방조치 및 개인정보 보호가 구현되는지, 법적 요건을 준수하고 있는지, 위험도 개선을 위한 필요한 조치를 하였는지 등에 대한 입증 절차 마련 등이 포함되어야 한다. 만약, DPO가 지정되어 있는 경우, 컨트롤러는 영향평가 수행 시 DPO의 자문을 구해야 한다.
(4) DPO지정
컨트롤러와 프로세서는 GDPR 제37조 및 BDSG 제38조에 따라 DPO을 지정해야 한다. 다만 모든 사업체가 DPO를 지정할 필요는 없으며, 이는 사업체의 규모와 성격에 따라 달라진다. BDSG 제38조는 GDPR 제37조에서 규정하고 있는 DPO 지정의무 요건을 추가하고 있다. 즉, GDPR 제37조에 따라 ▲공공기관 ▲정보주체에 대한 정기적·체계적 모니터링을 해야 하는 조직 ▲민감한 개인정보의 대규모 처리가 기본 활동인 조직 중 어느 하나에 해당할 경우 DPO를 임명해야 하며, 추가적으로 ▲개인정보의 자동화된 처리를 다루는 사람을 최소 20명 이상 지속적으로 고용하는 조직 ▲개인정보의 자동화된 처리를 다루는 사람이 20명 미만인 민간 기업의 경우에는 i)컨트롤러 또는 프로세서가 GDPR 제35조의 개인정보 영향평가에 따라 처리를 수행하거나 ii)개인정보를 전송, 익명 전송, 시장 조사 또는 의견 조사 목적으로 상업적으로 처리하는 경우 DPO를 지정해야 한다.
바. 개인정보 역외이전(Transfer)
BDSG는 제25조에서 주로 공공기관 간 개인정보 국외이전과 관련한 규정만을 두고 있을 뿐이며, 기타 개인정보 국외이전은 GDPR 제44조 이하가 직접 적용된다.
제3국 또는 국제기구로의 개인정보 이전은 EU집행위원회가 충분한 보안 체계를 가진 국가를 선별한 뒤 적정성 결정(Adequacy decision)을 통해 개인정보 이전 가능 국가로 결정한 경우 가능하다 (GDPR 제45조). 이전 대상 국가 또는 국제기구의 정보보안 수준은 4년마다 재평가되는데, 만약 해당 국가 또는 국제기구가 적절한 보호 수준을 더 이상 만족하지 못한다고 판단하는 경우 EU집행위원회는 적정성 결정을 철회, 수정, 또는 중지할 수 있다.
만약 이전 대상 국가 또는 국제기구가 EU집행위원회의 적정성 결정을 받지 못한 경우라 할지라도, 컨트롤러 또는 프로세서는 적정한 안전조치(▲공공당국 또는 기관 간 법적 구속력이 있고 강제할 수 있는 장치 ▲GDPR 제47조에 따른 의무적 기업 규칙 ▲EU집행위원회 또는 개인정보 감독기구가 채택 또는 승인한 정보보호 표준조항 등)를 제공한 경우에 한하여 정보주체가 행사할 수 있는 권리와 유효한 법적 구제책이 제공되는 조건으로 제3국 또는 국제기구에 개인정보를 이전할 수 있다 (GDPR 제46조).
그밖에, 적정성 결정 및 적정한 안전조치가 없는 경우에도 제3국 또는 국제기구로의 개인정보 이전이 예외적으로 가능한 경우가 있으며, GDPR은 해당 사유를 제49조에서 아래와 같이 열거하고 있다.
① 정보주체가 적정성 결정 및 적정한 안전조치가 없어 자신의 개인정보 이전 시에 발생 가능한 위험을 통보 받은 후, 정보 이전에 명시적으로 동의한 경우
② 정보주체와 컨트롤러 간의 계약 이행을 위해 또는 당사자의 요청에 따라 취해진 계약 전 사전 조치의 실행을 위해 이전이 필요한 경우
③ 정보주체의 이익을 위해 컨트롤러와 그 밖의 다른 개인 또는 법인 사이에 체결된 계약의 이행을 위하여 이전이 필요한 경우
④ 중요한 공익상의 이유로 이전이 필요한 경우
⑤ 법적 권리의 확립, 행사, 방어를 위해 정보이전이 필요한 경우
⑥ 정보주체가 신체적으로 불가능하거나 법적으로 동의할 수 없는 경우, 정보주체 또는 타인의 생명, 건강 또는 재산을 보호하기 위해 필요한 경우
⑦ 정보 이전이 법률에 따라 정보를 공개할 목적이거나 일반 국민 또는 정당한 이익을 입증할 수 있는 제3자가 참조하기 위한 목적으로 만들어진 개인정보 기록부로부터 이루어진 것으로, 법률에 규정된 조건이 충족되는 범위 내에서 이전되는 경우
사. 집행
(1) 조사 및 시정조치
BDSG 제1부 제4장(제8-16조)은 개인정보 감독기구의 권한 및 의무를 규정한다. 개인정보 감독기구는 공공과 민간의 개인정보 처리 업무를 관리 감독한다. 감독기구 중 연방 개인정보 감독기구(Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 이하 BfDI)는 인사 및 예산의 독립성을 가지는 연방 최고의 독임제 기구이다. BDSG는 주로 BfDI 권한을 규정하며, 다른 16개 주 감독기구의 권한은 각 주 개인정보보호법에 근거한다.
BfDI의 업무는 GDPR 제57조와 동일한 취지로 BDSG 제14조에서 관련 내용을 규정하고 있으며, BDSG 제16조는 BfDI가 GDPR 제58조에서 규정하고 있는 권한을 갖는다고 명시하고 있다. 즉, BfDI는 정보주체의 개인정보보호와 관련된 일련의 조사 권한을 보유하며, 공공 및 민간부문이 GDPR 및 BDSG에 따라 적법하게 개인정보 처리를 할 수 있게 감독 및 시정조치 할 수 있는 권한을 보유한다.
(2) 과징금
개인정보보호 위반행위에 대한 처분 시 부과되는 과징금은 기본적으로 GDPR 제83조 규정을 따른다 (2천만 유로 또는 전년도 글로벌 총 매출의 4%에 해당하는 금액 중 높은 금액). 이외에, BDSG는 소비자 대출과 관련하여 제43조에서 특칙을 규정하고 있다. 즉, BDSG는 제30조에서 소비자 대출을 허가하고 신용도 평가를 수행할 목적으로 개인정보를 처리하는 기관에 특별한 정보 제공 및 통지 의무를 부담케 하고 있는데, 감독기구는 이러한 의무사항을 위반한 기관에 대해 최대 5만 유로의 행정 과징금을 부과할 수 있다.
(3) 형사처벌
BDSG는 과징금 이외에도 개인정보보호 위반을 근거로 한 형사처벌 규정을 두고 있다 (BDSG 제42조). 즉, 다수의 정보주체의 개인정보를 허락 없이 고의적으로 제3자에게 이전하거나 상업적 목적으로 이용할 수 있도록 하는 행위에 대해 3년 이하의 징역 또는 벌금에 처할 수 있다 (제1항). 또한. 자신 또는 제3자의 이익을 추구하거나 타인을 해할 목적으로 공개적으로 접근할 수 없는 개인정보를 허락 없이 처리하거나 부정 취득하는 경우에는 2년 이하의 징역 또는 벌금에 처할 수 있다 (제2항).
4기타 관련 법령 : 통신 및 텔레미디어 개인정보보호법(TTDSG)
TTDSG는 유럽사법재판소와 독일 고등법원이 정보통신 이용자의 명확한 동의를 받지 않은 쿠키정보의 이용이 EU법에 위반된다고 판시한 후 이러한 문제점을 해결하고자 정보통신법(TMG)과 텔레커뮤니케이션법(TKG)을 통합한 법률로, 정보통신 관련 개인정보보호 조항이 두 법률에 분산 규정되어 발생하는 법적 불확실성을 제거하고, GDPR 및 e-Privacy 규정(ePrivacy Regulation)과의 조화를 위해 2021년 5월 20일 독일 연방의회에 의해 승인된 법률이다. 동 법률은 2021년 6월 23일 개정된 전기통신법 시행령과 함께 2021년 12월 1일부터 시행에 돌입했다.
이에 따라, 쿠키(또는 이와 유사한 정보)를 설정하기 위해서는 GDPR 규정에 따른 최종 사용자의 동의가 요구되므로(TTDSG 제25조제1항), 무엇보다도 정보주체의 실질적이고(유효하고) 명시적인 동의가 필요하다. 다만, TTDSG 제25조제2항에서는 최종사용자의 동의를 요하지 않는 예외 사항을 다음과 같이 규정하고 있다.
① 최종 사용자의 단말기기에 정보를 저장하는 유일한 목적이 공중 통신 네트워크로 메시지를 전송하는 것인 경우 (공중통신망으로 메시지를 전송하는 데 사용되는 쿠키)
② 텔레미디어 서비스 제공업체가 사용자에게 텔레미디어 서비스를 제공하기 위해 최종 사용자의 단말기기에 정보를 저장하는 것이 절대적으로 필수적인 경우 (기술적으로 필수적인 쿠키)
TTDSG는 유럽사법재판소와 독일 고등법원이 정보통신 이용자의 명확한 동의를 받지 않은 쿠키정보의 이용이 EU법에 위반된다고 판시한 후 이러한 문제점을 해결하고자 정보통신법(TMG)과 텔레커뮤니케이션법(TKG)을 통합한 법률로, 정보통신 관련 개인정보보호 조항이 두 법률에 분산 규정되어 발생하는 법적 불확실성을 제거하고, GDPR 및 e-Privacy 규정(ePrivacy Regulation)과의 조화를 위해 2021년 5월 20일 독일 연방의회에 의해 승인된 법률이다. 동 법률은 2021년 6월 23일 개정된 전기통신법 시행령과 함께 2021년 12월 1일부터 시행에 돌입했다.
이에 따라, 쿠키(또는 이와 유사한 정보)를 설정하기 위해서는 GDPR 규정에 따른 최종 사용자의 동의가 요구되므로(TTDSG 제25조제1항), 무엇보다도 정보주체의 실질적이고(유효하고) 명시적인 동의가 필요하다. 다만, TTDSG 제25조제2항에서는 최종사용자의 동의를 요하지 않는 예외 사항을 다음과 같이 규정하고 있다.
① 최종 사용자의 단말기기에 정보를 저장하는 유일한 목적이 공중 통신 네트워크로 메시지를 전송하는 것인 경우 (공중통신망으로 메시지를 전송하는 데 사용되는 쿠키)
② 텔레미디어 서비스 제공업체가 사용자에게 텔레미디어 서비스를 제공하기 위해 최종 사용자의 단말기기에 정보를 저장하는 것이 절대적으로 필수적인 경우 (기술적으로 필수적인 쿠키)
