Zum 25. Mai 2018 tritt nach einer zweijährigen Übergangsfrist die Datenschutzgrundverordnung in Kraft. Es handelt sich dabei um eine europäische Verordnung, die keiner Umsetzung in deutsches Recht bedarf, sondern sofort und in allen Mitgliedsstaaten der EU gilt.
Durch die Verordnung soll der Datenschutz intensiviert werden. Die Bürger sollen erfahren, wer ihre Daten nutzt und was mit ihren Daten geschieht.
Der Bürger erhält dazu Rechte, um seine Interessen durchzusetzen. So ist etwa ein Auskunftsrecht vorgesehen. Dem Auskunftsberechtigten muss daraufhin unter anderem mitgeteilt werden, ob personenbezogene Daten verarbeitet wurden und falls ja zu welchem Verarbeitungszweck sie verwendet werden, welchem Empfänger sie zugänglich sind, wie lange sie gespeichert werden und woher die Daten stammen.
Die Datenschutzgrundverordnung sieht erstmals ein geschriebenes Recht auf Vergessenwerden vor. Die Unternehmen trifft damit eine Löschpflicht, wenn die Daten für den Verwendungszweck nicht mehr erforderlich sind, der Betroffene seine Einwilligung widerruft oder widerspricht oder aber kein Rechtfertigungsgrund mehr vorliegt.
Die Datenschutzgrundverordnung greift jedoch nur bei sogenannten personenbezogenen Daten. Solche liegen vor, wenn es sich um Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Begriff wird dabei weit verstanden und umfasst alle Daten, die einer Person zugeordnet werden können. Auf den privaten Bereich ist die Verordnung hingegen nicht anwendbar.
Die Unternehmen, Vereine oder Behörden, die solche Daten verarbeiten oder erheben, treffen vielfältige Informationspflichten. Bei einer direkten Erhebung beim Betroffenen muss der Verantwortliche den Betroffenen unverzüglich informieren. Dabei muss es unter anderem den Verarbeitungszweck offenlegen, die Rechtsgrundlage benennen, den Empfänger mitteilen, über die Widerrufbarkeit von Einwilligungen aufklären und seine eigene Identität offenbaren.
Erfolgt die Erhebung nicht unmittelbar beim Betroffenen, müssen die Informationspflichten innerhalb einer angemessenen Frist erfüllt werden.
Daneben müssen Unternehmen, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten benennen. Dabei kann es sich um einen Mitarbeiter des Unternehmens oder um einen Externen handeln. Das Unternehmen bleibt jedoch selbst für die Einhaltung seiner Informationspflichten verantwortlich. Unterbleibt eine Benennung, handelt es sich um eine bußgeldbewehrte Ordnungswidrigkeit.
Die Datenschutzgrundverordnung sieht auch Änderungen bei der Werbung über E-Mailverteiler vor. Die Empfänger der E-Mails müssen zuvor einwilligen oder es muss ein gesetzlicher Rechtfertigungsgrund wie beispielsweise ein berechtigtes Interesse vorliegen.