Seit dem 25.05.2018 regelt die EU Datenschutzgrundverordnung (DSGVO) die Verarbeitung personenbezogener Daten EU-weit einheitlich. Die DSGVO enthält dabei etliche neue Anforderungen, die zum Teil deutlich über das bisherige Bundesdatenschutzgesetz hinausgehen. Die DSGVO gilt für die Verarbeitung aller personenbezogenen Daten. Dabei werden auch die voranschreitenden digitalen Möglichkeiten berücksichtigt, wodurch sich zahlreiche neue Vorgaben ergeben. Zu berücksichtigen sind bei der Umsetzung insbesondere: erweiterte Dokumentations- und Nachweispflichten, risikobasierter Datenschutz, Datenschutz durch Technik („Privacy by design”) und datenschutzrechtliche Voreinstellungen („Privacy by default”), Verzeichnis von Verarbeitungstätigkeiten, Informationspflichten des Verantwortlichen bei Datenerhebung, Datenschutzfolgenabschätzung, striktere Löschpflichten und Recht auf „Vergessenwerden“, Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen und Datensicherheit. Die Folgen bei Verstößen können erheblich sein. Es sind Geldbußen bis zu 20 Mio. Euro oder 4 % des globalen (Konzern-)Umsatzes, Sammelklagen von Verbraucherverbänden und Ansprüche auf Schadenersatz von Einzelpersonen vorgesehen.
