Am 25.05.2018 endet die Übergangsfrist für die im Jahr 2016 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) und die DSGVO ist dann in der gesamten Europäischen Union anzuwenden. In Deutschland ersetzt die DSGVO die bisherigen Regelungen im Bundesdatenschutzgesetz (BDSG) bzw. den Landesdatenschutzgesetzen.
Obwohl es sich um eine nach europäischem Recht unmittelbar anwendbare Verordnung handelt, enthält sie zahlreiche sog. „Öffnungsklauseln“. Nur im Rahmen dieser Öffnungsklauseln sind in dem neuen Bundesdatenschutzgesetz bzw. neuen Landesdatenschutzgesetzen abweichende bzw. ergänzende nationale Regelungen möglich.
Die grundsätzlichen Prinzipien des Datenschutzes (Datensparsamkeit, Zweckbindung usw.) sind gleichgeblieben. Wie auch bisher gilt, dass für jede Verarbeitung personenbezogener Daten entweder eine gesetzliche Erlaubnis oder eine wirksame Einwilligung vorliegen muss.
Wesentliche Änderungen der neuen DSGVO sind:
- Die Anforderungen für eine wirksame Einwilligung wurden erhöht.
- Den Betroffenen sind in größerem Umfang als bisher vor Beginn der Datenverarbeitung Informationen u.a. zum Zweck und zur Rechtsgrundlage der Datenverarbeitung, zur Speicherdauer, zur Absicht der Datenübermittlung in Länder außerhalb der EU, zu Auskunfts- und Beschwerderechten des Betroffenen sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling zu erteilen. Die Informationen sind vor jeder weiteren Verarbeitung der Daten zu einem anderen Zweck erneut zu erteilen.
- Mehrere an der Datenverarbeitung Beteiligte können gemeinsam verantwortlich sein; die Pflichten der Auftragsverarbeiter werden verschärft.
- Bei Datenverarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen ist nunmehr vorab eine Datenschutz-Folgenabschätzung
- Der Rahmen für Geldbußen bei Verstößen gegen die DSGVO wurde deutlich erhöht (bis zu 20 Mio. € bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes).