Als Mitte der sechziger Jahre die automatisierte Datenverarbeitung in den Verwaltungen der Bundesrepublik Deutschland immer stärker vorangetrieben wurde, begann eine Diskussion über die Gefährdungen durch die aufkommenden Datenbanken staatlicher Behörden. Sowohl das Bestreben, die Privatsphäre des Einzelnen zu schützen, als auch die Befürchtung, dass eine umfassende Informationsmacht des Staates über seine Bürgerinnen und Bürger entstehen könnte, führten zur Überzeugung, dass die immer effektiver werdende automatisierte Informationsverarbeitung durch öffentliche Stellen der Begrenzung durch den Datenschutz bedarf. Am 30. September 1970 verabschiedete Hessen als erstes Bundesland ein Landesdatenschutzgesetz. Dieses sah unter anderem vor, dass elektronisch verarbeitete Daten vor dem Zugriff Unbefugter zu schützen sind, die mit der Datenverarbeitung Beschäftigten über den Inhalt der Daten Verschwiegenheit zu wahren haben und Betroffene unrichtige Daten berichtigen lassen können. Es bestimmte auch die Einrichtung eines Datenschutzbeauftragten als unabhängige Kontrollbehörde für die öffentlichen Stellen des Landes.

Das Bundesdatenschutzgesetz vom 28. Januar 1977 konzentrierte sich ebenfalls auf den Schutz der „personenbezogenen Daten“ und war vom Grundgedanken bestimmt, dass staatliche Stellen, aber auch Unternehmen nicht ohne Weiteres in das Recht des Einzelnen, allein gelassen zu werden, eingreifen dürfen. Für die Datenverarbeitung öffentlicher Stellen wurde der „Erforderlichkeitsgrundsatz“ eingeführt, d.h. es durften nur solche personenbezogene Daten verarbeitet werden, die für die Erledigung der gesetzlichen Aufgabe der Behörde erforderlich waren. Personenbezogene Daten durften zudem nur verarbeitet werden, wenn entweder ein Gesetz dies vorsah oder der Betroffene der Verarbeitung freiwillig zustimmte. Die private, geschäftsmäßige Datenverarbeitung war weiter gehend gestattet, wenn sie im Geschäftsinteresse lag und die schutzwürdigen Belange der Betroffenen gegenüber den berechtigten Interessen des Unternehmens nicht überwogen.

Bis 1981 gaben sich sämtliche Bundesländer der alten Bundesrepublik ein Landesdatenschutzgesetz. Eine geplante Volkszählung wurde mit dem sog. Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983 teilweise für verfassungswidrig erklärt. Das aus Artikel 1 Absatz 1 und Artikel 2 Abs. 1 Grundgesetz abgeleitete „Recht auf informationelle Selbstbestimmung“, befand das höchste Gericht, wird verletzt, wenn und soweit die betroffenen Bürgerinnen und Bürger der Datenverarbeitung nicht grundsätzlich selbst über die Verwendung ihrer Daten bestimmen können. Damit war das Grundrecht auf Datenschutz etabliert. Personenbezogene Daten dürfen seitdem durch staatliche Stellen ohne Einwilligung der Betroffenen nur dann verwendet werden, wenn dies durch ein Gesetz erlaubt wird. Die Bürgerinnen und Bürger haben einen Anspruch darauf, darüber hinaus zu erfahren, welche Daten die staatlichen Stellen über sie verarbeiten. Aus diesem Transparenzgebot werden individuelle Auskunftsansprüche abgeleitet. Der Gesetzgeber wurde aufgefordert, Maßnahmen zu treffen, die das Grundrecht auf informationelle Selbstbestimmung bei der automatisierten Datenverarbeitung gewährleisten. Als Folge dieses Urteils wurden die Datenschutzgesetze der Länder und des Bundes erneuert und Datenschutzregelungen für die einzelnen Bereiche der staatlichen Tätigkeit geschaffen. Dieser Prozess mündete in die Neufassung des Bundesdatenschutzgesetzes im Jahre 1990.

Die neuen Bundesländer verabschiedeten eigene Datenschutzgesetze, z.B. das Brandenburgische Datenschutzgesetz vom 22. Januar 1992.

Mit der Datenschutzrichtlinie vom 24. Oktober 1995 (Richtlinie 95/46/EG) setzte die Europäische Union neue Maßstäbe für die nationale Datenschutzgesetzgebung. Die Richtlinie unterscheidet nicht mehr grundsätzlich zwischen Datenverarbeitung im öffentlichen und nicht öffentlichen Bereich. Sie macht den besonderen Schutz von personenbezogenen Daten zur Regel und stärkt die Rechte der betroffenen Person. Bei der Vorbereitung von Regelungen mit Auswirkungen auf den Datenschutz werden Risikoanalyse, Vorabkontrolle, Technikfolgenabschätzung sowie Verpflichtung zur Beteiligung der Datenschutzbeauftragten verpflichtend vorgeschrieben. Die Datenschutzrichtlinie erleichtert zugleich die Übermittlung personenbezogener Daten innerhalb der Union, indem sie ein harmonisiertes Datenschutzniveau in allen Mitgliedsstaaten vorschreibt. An Drittstaaten dürfen solche Daten nur übermittelt werden, soweit dort ein angemessenes Datenschutzniveau herrscht. Zur Umsetzung der europäischen Datenschutzrichtlinie trat das geänderte Bundesdatenschutzgesetz am 23. Mai 2001 in Kraft, während die Länder Hessen und Brandenburg als erste bereits 1998/1999 ihre Landesdatenschutzgesetze den europäischen Vorgaben angeglichen hatten.