La Germania, pur essendo stata uno dei primi Stati membri dell'Unione europea a munirsi di una legge in materia di protezione dei dati personali già nel 1977, è uno dei Paesi europei a non avere ancora dato attuazione alla direttiva del 25 ottobre 1996 (96/45/CE). Attualmente, tuttavia, la legislazione originaria è stata sostituita dalla legge federale del 20 dicembre 1990 (BDSG. Bundesdatenschutzgesetz), entrata in vigore il 1° luglio 1990: l'opinione dominante è che questa normativa debba essere interpretata conformemente ai principi introdotti dalla 95/46/CE. Infatti, le disposizioni immediatamente applicabili della direttiva  prevalgono rispetto alla normativa tedesca in contrasto con esse e si applicano direttamente nelle materie che non sono disciplinate dalla normativa tedesca esistente. Si pensi, ad esempio, alle disposizioni relative al trasferimento di dati personali all'estero: laddove la legge del 1990 nulla stabilisce in proposito, troveranno applicazione le disposizioni della direttiva.

In via preliminare, occorre precisare che il BDSG tedesco parte da una assunto diverso rispetto a quello che caratterizza la legislazione italiana, secondo la quale il trattamento è ammesso con il consenso dell'interessato ed eventuali altre limitazioni poste a tutela ulteriore dell'interessato: secondo la normativa tedesca l'utilizzazione dei dati personali è, in linea di principio, vietata, salvo ciò che è espressamente consentito dalla legge stessa.

In base al BDSG, inoltre, il trattamento di dati personali viene disciplinato diversamente a seconda che esso sia effettuato da organi pubblici o da soggetti ed enti privati. Nel primo caso, il trattamento è ammesso se necessario per l'adempimento dei doveri dell'ente pubblico e solo se raccolti direttamente dall'interessato. La legge federale in esame, inoltre, si discosta dalla direttiva 95/46/CE in quanto, in relazione ai soggetti che utilizzano i dati personali, cambia anche il proprio ambito di applicazione: i dossier detenuti da organi pubblici sono soggetti alla normativa da essa introdotta, mentre, per quanto attiene agli archivi detenuti da privati, essi sono soggetti alla legge in esame solo se organizzati in maniera sistematica.

Per quanto attiene al trattamento da parte dei privati, la legge tedesca ammette il trattamento dei dati personali solo se la legge stessa o altra normativa lo autorizzano espressamente o, in alternativa, quando l'interessato abbia rilasciato il proprio consenso al trattamento. Inoltre, essa disciplina esclusivamente le seguenti ipotesi: a) raccolta di dati per scopi propri; b) raccolta di dati allo scopo di comunicazione; c) raccolta di dati allo scopo di comunicazione in forma anonima.

Nel primo caso, la raccolta di dati personali da parte di soggetti privati per il perseguimento di obiettivi rientranti nella propria normale attività è sempre ammessa quando è necessaria per l'adempimento di obbligazioni contrattuali o per la tutela di interessi ragionevolmente ritenuti rilevanti dal soggetto che effettua tali operazioni, ovvero quando riguarda dati personali già pubblici o quando è necessaria per il perseguimento di scopi di ricerca e scientifici. Nel caso sub b), in cui i dati raccolti sono destinati alla comunicazione a terzi, la legittimità della raccolta è subordinata alla circostanza che non via sia un interesse rilevante contrario facente capo al soggetto interessato ovvero si tratti di dati pubblici. Anche in questo caso, in assenza delle due condizioni, resta il principio generale per cui la raccolta è sempre ammessa con il consenso dell'interessato. Nell'ultimo caso, quando i dati raccolti devono essere comunicati in forma anonima, la legge richiede che gli elementi che possono essere collegati ai dati di un soggetto determinato devono essere raccolti e conservati separatamente. Pertanto, un primo confronto tra la legge italiana e la legge tedesca, rende subito evidente come il concetto di "trattamento" introdotto dalla direttiva 95/46/CE sia comunque molto più ampio rispetto a quello di "comunicazione e raccolta" di dati che viene utilizzato nel BDSG.

I soli soggetti che intendono procedere alla raccolta o elaborazione dei dati personali per gli scopi sub b) e c), devono effettuare una comunicazione alle autorità competenti, come avviene in Italia. Questa comunicazione contiene i dati del notificante e informazioni sui dati, sui soggetti a cui saranno comunicati, ecc. Vale la pena di sottolineare come la raccolta di dati per scopi che rientrano nella normale attività di un soggetto privato (anche persona giuridica e anche imprenditore) non è soggetta a notifica. In Italia, come sappiamo, la notifica va fatta sempre, ad eccezione di una serie casi specificamente individuati dall'articolo 7, comma 5-ter, fra i quali sono compresi i trattamenti svolti dai liberi professionisti iscritti nei rispettivi albi.

Questa comunicazione va fatta all'"autorità competente": trattandosi di uno stato federale, tutti gli Stati (Länder) hanno - o dovrebbero avere - una propria autorità competente a ricevere queste comunicazioni. L'autorità di vigilanza nazionale (Bundesbeauftragte für den Datenschutz), invece, esercita il proprio potere di controllo affinché l'uso e la raccolta dei dati personali avvenga nel rispetto della normativa esistente, qualora abbia motivo di credere che tale normativa sia stata violata, su indicazione del soggetto interessato. Tuttavia, il controllo di questo organo a rilevanza nazionale si rivolge esclusivamente alle amministrazioni pubbliche e al comportamento delle stesse circa il rispetto delle norme introdotte dal BDSG. Queste stesse competenze, a livello locale, sono demandate agli organi che ciascun Land ha designato per la protezione dei dati personali.

Pertanto, la legislazione tedesca attua un grado di protezione più elevato nei confronti dei dati elaborati da soggetti pubblici: abbiamo detto che l'ambito di applicazione è più ampio, ma va anche sottolineato come solo per i soggetti pubblici l'organo di controllo eserciti i propri poteri a livello nazionale. Questa differenza di disciplina si giustifica se si pensa che gli attentati alla privacy possono essere anche più pericolosi se provenienti da organi pubblici. Inoltre, nel settore privato all'interesse del cittadino a tutelare i dati che lo riguardano si contrappongono spesso interessi facenti campo a privati, dotati dello stessa o di maggiore rilevanza sotto il profilo giuridico. In Italia la situazione è diversa: dopo innumerevoli ritardi e proroghe, è stato adottato il decreto legislativo 11 maggio 1999, n. 135, recante norme relative al trattamento di dati personali da parte di soggetti pubblici. In questo caso la disciplina è si diversa, in quanto il citato decreto legislativo individua le finalità che possono avere i trattamenti effettuati in ambito pubblico, ma la tutela non è rafforzata, come avviene nel sistema giuridico tedesco, anzi sono spesso interessati da deroghe ed esclusioni o disposizioni più blande.

Un aspetto che in Italia è stato oggetto di regolamentazione specifica, sulla base anche delle previsioni della direttiva 95/46/CE, è quello del trasferimento dei dati personali all'estero. Come sappiamo, la legge 675/96 impone l'obbligo di notifica al Garante e la sua autorizzazione al trasferimento, oltre al consenso dell'interessato, almeno in linea di principio. In Germania, non esistendo alcuna disposizione relativa al trasferimento di dati all'estero, l'opinione più diffusa è che sia direttamente applicabile la direttiva comunitaria. In generale la direttiva ammette il trasferimento di dati all'estero solo se il Paese destinatario garantisce un livello di protezione adeguato, o, in alternativa, se il soggetto interessato ha prestato il proprio consenso.

In Germania i soggetti privati che effettuano trattamenti di dati personali devono nominare un funzionario, che ha mansioni alquanto diverse da quelle dell'eventuale "responsabile del trattamento" previsto dalla legge italiana, perché deve "garantire" il rispetto della legge all'interno dell'azienda.
Per quanto riguarda le misure di sicurezza da adottare all'interno delle aziende allo scopo di proteggere adeguatamente i dati da essa elaborati, un allegato alla legge del 1990 stabilisce che le misure in questione devono garantire che i dati non siano accessibili o modificabili da parte di soggetti non autorizzati, che siano registrati gli di accessi ai dati e l'indicazione di chi li ha consultati ed utilizzati, che le utilizzazioni degli stessi avvengano sempre in maniera conforme alle indicazioni del "garante" interno.