개인정보 보호위원회

피해 구제 체계

Ⅰ. 데이터 컨트롤러

(감독기관에 대한 통지) 컨트롤러는 GDPR 제33조에 따라 개인정보 침해가 발생한 경우 관할 개인정보 감독기관에 해당 사실을 통지해야 함

 • BDSG는 컨트롤러의 개인정보 침해 사고 통지의무를 별도로 규정하지 않아 GDPR 제33조(감독기관에 대한 통지)가 독일에 직접 적용

 • 개인정보 침해가 발생할 경우, 컨트롤러는 부당한 지체 없이, 가급적 이를 알게 된 후 72시간 내에 각 주의 개인정보 감독기관에 해당 개인정보의 침해를 통지해야 함

    - 이때 컨트롤러가 위반사실을 인지한 후 72시간 내에 각 주의 개인정보 감독기관에 통보하지 않을 경우, 컨트롤러는 지연 사유를 통지에 포함해야 함

    - 통지에는 관련 정보주체의 범주 및 대략적인 수, 관련 개인정보 기록의 범주 및 대략적인 수 등을 포함한 개인정보 침해의 성격에 대한 설명, DPO 또는 기타 연락 가능한 개인의 이름 및 상세연락처, 개인정보 침해로 인해 발생할 수 있는 결과에 대한 설명, 적절한 경우, 개인정보 침해로 인한 부작용을 완화하기 위한 조치 등 해당 개인정보 침해 해결을 위해 컨트롤러가 취하거나 취하도록 제안되는 조치에 대한 설명 등이 포함되어야 함

    - 단, 해당 개인정보의 침해가 자연인의 권리와 자유에 위험을 초래할 것으로 예상되지 않는 경우는 통지 의무를 면제

 • 또한 BDSG 제43조제4항은 GDPR 제33조의 감독기관 통지 의무사항이 독일 질서위반법(Gesetz über Ordnungswidrigkeiten, 이하 OWiG) 및 형사소송법 제52조제1항에 근거하여 제기되는 소송절차에 적용되기 위해서는 통지를 제공해야 하는 당사자의 사전 동의를 득해야 함을 언급

개인정보 침해 발생 시 통지할 수 있는 관할 감독기관은 일반적으로 컨트롤러의 사무소가 위치한 독일 주의 개인정보 감독기관에 해당하나 1)

(GDPR 제55조, BDSG 제40조제1항), 주로 BfDI는 공공 기관의 침해 통지를 담당하며 각 주의 개인정보 감독기관은 민간 부문의 침해 통지를 담당 2)

 • 연방 개인정보 감독기관인 BfDI는 다음 주체에 의한 개인정보 처리에 대해 관할권을 가짐3)

    - 연방 당국

    - 통신 서비스 제공업체

    - 우편 서비스 제공업체

    - 독일 보안검색법의 적용을 받는 민간 조직

 • BfDI에 침해를 통지하는 경우 BfDI에서 제공하는 온라인 포털 4)

를 통한 제출, 또는 아래와 같은 방법으로 제출이 가능 5)

    - 작성한 문서를 BfDI 주소로 우편 발송

    - 팩스로 침해 사실 통지 문서 발송

    - poststelle@bfdi.bund.de 또는 De-Mail 6)

로 이메일 전송

• 각 주의 개인정보 감독기관은 다음 기관들의 처리 활동에 대한 관할권을 보유

    - 주 당국

    - 해당 주 또는 지방 자치 단체의 기타 공공 기관

    - BfDI의 관할권에 속하지 않는 기업 및 기타 비공공 기관

• 대부분의 주 개인정보 감독기관은 BfDI와 마찬가지로 감독기관 웹사이트에서 개인정보 침해 통지 온라인 양식을 공개하고 있음

• BfDI와 16개 주 개인정보 감독기관 간에는 계층적 관계가 존재하지 않으며, BfDI는 주 개인정보 감독기관을 감독할 권한이 없음

(정보주체에 대한 통지) 컨트롤러는 GDPR 제34조에 따라 특정 요건 하에서 개인정보 침해 사실을 정보주체에게도 통지해야 함

 • 감독기관에 대한 통지의무와 마찬가지로 BDSG는 정보주체에게 통지할 의무에 대해 침묵하고 있어 GDPR 제34조(정보주체에 대한 통지)가 독일 역내에 그대로 적용

 • 컨트롤러는 개인정보의 침해가 자연인의 권리와 자유에 중대한 위험을 초래할 것으로 예상되는 경우, 부당한 지체 없이 정보주체에게 그 개인정보 침해에 대해 통지해야 함

 • 정보주체에 대한 통지는 해당 개인정보 유출의 성격을 명확하고 평이한 언어로 기술하고, 해당 통지에는 DPO 또는 기타 연락 가능한 개인의 이름 및 상세연락처, 개인정보 침해로 인해 발생할 수 있는 결과에 대한 설명, 적절한 경우, 개인정보 침해로 인한 부작용을 완화하기 위한 조치 등 해당 개인정보 침해 해결을 위해 컨트롤러가 취하거나 취하도록 제안되는 조치에 대한 설명 등을 포함해야 함

 • 또한 BDSG 제43조제4항은 GDPR 제34조제1항의 정보주체 통지 의무사항이 독일 질서위반법(Gesetz über Ordnungswidrigkeiten, 이하 OWiG) 및 형사소송법 제52조제1항에 근거하여 제기되는 소송절차에 적용되기 위해서는 통지를 제공해야 하는 당사자의 사전 동의를 득해야 함을 언급

Ⅱ. 정보주체

정보주체는 컨트롤러가 자신의 개인정보를 처리하는 방식과 관련하여 각 주의 개인정보 감독기관에 민원을 제기할 권리가 있음 (GDPR 제77조~제79조)

 • 정보주체는 자신에 관한 개인정보의 처리가 본 규정을 침해한다고 판단될 경우 각 주의 개인정보 감독기관에 민원을 제기할 권리가 있음 (GDPR 제77조제1항)

    - BDSG는 정보주체의 민원 제기 권리에 대해 별도로 규정하지 않고 있어 GDPR 제77조가 독일 역내에 직접 적용

 • 각 주의 개인정보 감독기관은 민원이 접수되면 법적 구제책의 가능성 등 민원처리 경과 및 결과를 민원인에게 통보해야 함 (GDPR 제77조제2항)

    - 만약 3개월 이내에 민원 처리나 결과 통보가 없을 경우, 정보주체는 법적 구제책을 가질 권리가 있음 (GDPR 제78조제2항)

 • 또한 정보주체는 본인의 권리가 침해되었다고 판단할 경우, 법원에서 컨트롤러나 프로세서를 상대로 법적 절차를 진행할 사법구제권이 있음 (GDPR 제79조)

 • BfDI에 민원을 제기하고자 하는 정보주체는 온라인 양식 7)

을 작성한 후 다음과 같은 방식을 통해 접수가 가능

    - 작성한 문서를 BfDI 주소로 우편 발송

    - 팩스로 침해 사실 통지 문서 발송

    - poststelle@bfdi.bund.de 또는 De-Mail로 이메일 전송

1) 컨트롤러가 독일에 둘 이상의 사업장을 보유하고 있는 경우, 관할 감독기관을 결정함에 있어 ‘주 사업장’에 대한 GDPR의 정의가 적용 (GDPR 제4조제16항, BDSG 제40조제2항)

2) 한편, BDSG 제3부제65조에서는 개인정보 침해에 대해 BfDI에 통지해야 하는 상황을 규정하고 있으나, 이는 ‘EU 형사사법절차 개인정보보호지침(Directive EU 2016/680’)‘의 국내법 반영과 관련한 내용이기에 본고에서는 별도로 소개하지 않음

3) https://www.bfdi.bund.de/EN/Buerger/Inhalte/Allgemein/Datenschutz/BeschwerdeBeiDatenschutzbehoerden.html

4) https://formulare.bfdi.bund.de/lip/form/display.do?%24context=A542036DF9E6DD357266

5) https://www.bfdi.bund.de/DE/Service/Kontakt/kontakt_node.html

6) 인터넷을 통해 시민, 기관 및 기업 간에 법적 전자 문서를 교환할 수 있게 해주는 독일 전자 정부 통신 서비스

7) https://formulare.bfdi.bund.de/lip/form/display.do?%24context=80F849F80514E0AB3471