Seit 1980 existieren mit den "OECD Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Data" international gültige Richtlinien, die die Absichte haben, die mitgliedstaatlichen Datenschutzbestimmungen weitreichend zu harmonisieren, einen freien Informationsaustausch zu fördern, ungerechtfertigte Handelshemmnisse zu vermeiden und eine Kluft insbesondere zwischen den europäischen und US-amerikanischen Entwicklungen zu verhindern.

1981 hat der Europarat die Europäische Datenschutzkonvention verabschiedet, die eines der ersten internationalen Abkommen zu dem Datenschutz darstellt. Die Europäische Datenschutzkonvention ist bis heute in Kraft und besteht unabhängig von den Datenschutzrichtlinien der Europäischen Union.

Zwischen den Vereinigte Staaten Amerika und der EU gibt es in dem Bezug auf den Datenschutz strukturelle Unterschiede: Während die EU in dem Wege einer systematischen Gesetzgebung ein gesetztes Recht geschaffen hat, gibt es in den Vereinigte Staaten Amerika eine anlassbezogene Gesetzgebung, die bestimmte Fälle regelt.

In der EU sind durch das Verbotsprinzip mit Erlaubnisvorbehalt ca. bestimmte Datenverarbeitungen erlaubt, während in den Vereinigte Staaten Amerika ca. bestimmte Datenverarbeitungen verboten sind und man sonst in dem Wesentlichen auf den Markt und freiwillige Selbstverpflichtungen der Wirtschaft vertraut.

Nach deutschem und europäischem Datenschutzrecht ist ein Transfer von Daten in die Vereinigte Staaten Amerika eigentlich ausgeschlossen, weil dort ein ausreichendes Schutzniveau nicht erreicht ist. Dies trifft amerikanische Unternehmen, die von den jeweiligen Datenschutzgesetzen z. B. in Deutschland erfasst werden, weil sie Daten hier erheben oder verarbeiten. Aus diesem Grund wurde mit den Vereinigte Staaten Amerika ein Abkommen geschlossen, wonach dort Unternehmen, die sich selbst zu einem bestimmen Schutz verpflichten, in eine Liste der so genannten Safe Harbors (deutsch: "sichere Häfen"') eingetragen werden. Diese Unternehmen dürfen Daten dann auch in der EU erheben und verarbeiten. Es handelt sich um eine freiwillige Selbstverpflichtung, die jedoch bindend ist. Das Datenschutzniveau der EU wird dadurch aber nicht vollständig gewährleistet.

Mit der Richtlinie 95/46/EG zu dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zu dem freien Datenverkehr haben das Europäische Parlament und der Europäische Rat Mindeststandards für den Datenschutz der Mitgliedsstaaten festgeschrieben. Geregelt wird insbesondere auch die Übermittlung von personenbezogenen Daten in Drittstaaten, die nicht Mitglied der EU sind: Gemäß Artikel 25 ist die Übermittlung ca. dann zulässig, wenn der Drittstaat ein angemessenes Schutzniveau gewährleistet. Die Entscheidung, welche Länder dieses Schutzniveau gewährleisten, wird von der Kommission getroffen, die dabei von der so genannten Artikel-29-Datenschutzgruppe beraten wird. Aktuell (Stand 9/2004) wird gemäß Entscheidung der Kommission bei folgende Drittstaaten ein angemessenes Schutzniveau gewährleistet: Schweiz, Kanada, Argentinien, Guernsey, Insel Man, bei der Anwendung der vom US-Handelsministerium vorgelegten Grundsätze des "sicheren Hafens" sowie bei der Übermittlung von Fluggastdatensätzen an die US-Zoll- und Grenzschutzbehörde (CBP).

Insbesondere die Entscheidung über die Zulässigkeit der Übermittlung von Fluggastdatensätzen an die US-amerikanischen Zollbehörden ist stark umstritten gewesen. So hat das Europäische Parlament gegen diese Entscheidungen der Kommission und des Rates Klage eingericht, da es seiner Ansicht nach unzureichend beteiligt worden sei und zudem seitens der Vereinigte Staaten Amerika kein angemessenes Datenschutzniveau garantiert werde.

Ergänzt wurde diese Richtlinie durch die bereichsspezifischere Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Nachdem die Umsetzungsfrist der Richtlinie am 31.12 2003 abgelaufen war, wurde gegen neun Mitgliedsstaaten ein Vertragsverletzungsverfahren eingeleitet; nach dem ca. Schweden die Richtlinie daraufhin vollständig umgesetzt hat, droht Belgien, Deutschland, Griechenland, Frankreich, Luxemburg, den Niederlanden, Portugal und Finnland ein Verfahren vor dem Europäischen Gerichtshof.

• Datenschutzportal der europäischen Kommission (http://europa.eu.int/comm/internal_market/privacy/index_de.htm)
• Richtlinie 95/46/EG als PDF (http://141.3.20.23/datis/data/RL_eu_datenschutz_de_809.pdf)
• Richtlinie 2002/58/EG als PDF (http://europa.eu.int/eur-lex/pri/de/oj/dat/2002/l_201/l_20120020731de00370047.pdf)

In der Bundesrepublik Deutschland regelt das Bundesdatenschutzgesetz (BDSG) die gesetzlichen Bestimmungen zu dem allgemeinen Datenschutz für die Wirtschaft und Bundesbehörden. Es wird durch unter anderem folgende bereichsspezifischere Regelungen ergänzt:

• für Landesbehörden sind die Landesdatenschutzgesetze (LDSG) zuständig
• für Teledienste das Teledienstedatenschutzgesetz (TDDSG)
• für Mediendienste der Staatsvertrag über Mediendienste
• für den Bereich Telekommunikation durch die Telekommunikations-Datenschutzverordnung (TDSV)

Durch das Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983 erhielt das Recht auf informationelle Selbstbestimmung und damit der Datenschutz Verfassungsrang.

Neben dem BDSG und den Landesdatenschutzgesetzen gibt es eine Reihe speziellerer Gesetze, die (unter anderem auch) dem Datenschutz dienen und dem BDSG vorgehen (etwa das Sozialgesetzbuch X für den Schutz von Sozialdaten , Strafgesetzbuch für ärztliche Schweigepflicht , die Abgabenordnung für das Steuergeheimnis ...)

In der Kirche hat Datenschutz eine sehr lange Tradition. So wurden bereits 1215 n. Chr. Seelsorge- und Beichtgeheimnis in dem Kirchenrecht schriftlich verankert. In Deutschland gelten die Datenschutzgesetze von Bund und Ländern in dem Bereich der öffentlich-rechtlichen Kirchen (einschließlich Caritas und Diakonie) nicht unmittelbar, da die Kirchen diesbezüglich ein Selbstgestaltungsrecht haben. In der Evangelischen Kirche in Deutschland (EKD) gilt das Datenschutzgesetz der EKD (DSG-EKD) und in der Katholischen Kirche die Anordnung über den kirchlichen Datenschutz (KDO).

• Datenschutz in der Katholischen Kirche (http://www.datenschutz-kirche.de)
• Datenschutz in der EKD (http://www.ekd.de/datenschutz/1618_datenschutzbeauftragte.html)
• Kirche und Datenschutz (http://www.sewecom.de/kirche)
• Datenschutz in der Evangelischen Landeskirche Württemberg (http://okrweb.elk-wue.de/datenschutz/)

George Orwell zeigte schon 1948 in seinem Roman "1984" die Dystopie eines totalitären Überwachungsstaates.

Durch globale Überwachungssysteme wie Echelon, durch die massiv erweiterten Befugnisse von Polizei und Geheimdiensten nach den Terroranschlägen vom 11.09 2001, durch wachsende Datenbanken von Unternehmen und staatlichen Einrichtungen gekoppelt mit stets größeren Speicherkapazitäten und schnelleren Verarbeitungsmöglichkeiten sowie durch stets massivere Videoüberwachung und die Aushöhlung des Brief- und Postgeheimnisses, sehen viele Datenschützer - wie der Chaos Computer Club und die Deutsche Vereinigung für Datenschutz (DVD) e.V. - den Datenschutz in Deutschland und global massiv gefährdet.