Ab dem 25.05.2018 ist die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedsstaaten der Europäischen Union anzuwenden. Bislang war das europäische Datenschutzrecht nur teilweise durch die Datenschutzrichtlinie aus dem Jahr 1995, die in Deutschland im Bundesdatenschutzgesetz (BDSG) umgesetzt wurde, harmonisiert. Demgegenüber gilt die DSGVO in allen Mitgliedsstaaten unmittelbar, sie bedarf keiner weiteren Umsetzung in nationale Gesetze.

Die Verordnung genießt Anwendungsvorrang vor nationalem Recht, entgegenstehende nationale Rechtsvorschriften sind demnach nicht mehranz uwenden, wenn sie den Vorschriften der Verordnung widersprechen. Allerdings sieht die Verordnung an einigen Stellen Öffnungsklauseln vor, die durch nationale Regelungen ausgestaltet werden können. So können u.a. die Rechte der Betroffenen auf Unterrichtung, Auskunft, Berichtigung oder Löschung ihrer Daten durch nationales Recht eingeschränkt werden. Des Weiteren erlaubt die Verordnung in bestimmten Bereichen, beispielsweise im Beschäftigtendatenschutz, weiterhin nationale Regelungen. Deutschland hat nunmehr als erster Mitgliedsstaat ein neues Datenschutzgesetz auf den Weg gebracht, um von den verbliebenen nationalen Regelungsbefugnissen Gebrauch zu machen. Der Bundestag hat das neue Bundesdatenschutzgesetz (BDSG-neu) am 27.04.2017 verabschiedet. Es wird zeitgleich mit der DSGVO in Kraft treten und das bisherige BDSG vollständig ersetzen. Der deutsche Gesetzgeber hat im BDSG-neu unter anderem neue Regelungen zum Beschäftigtendatenschutz, zum Datenschutzbeauftragten und zur Datenschutzaufsicht getroffen.

Des Weiteren lockert das BDSG- neu in bestimmten Fällen die Informationspflichten des Verantwortlichen. Allerdings drohen bei Datenschutzverstößen zukünftig deutliche höhere Bußgelder. Diese können im Extremfall bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes betragen. Bislang waren nur Bußgelder bis zu 300.000 Euro möglich.