Die DSGVO ist eine EU-Verordnung, die die Regeln für die Verarbeitung personenbezogener Daten durch private und öffentliche Verantwortliche EU-weit vereinheitlicht. Sie soll den Schutz personenbezogener Daten innerhalb der EU sicherstellen und den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten.
Die DSGVO ersetzt die 1995er Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Seit dem 25. Mai 2018 bildet sie zusammen mit der Richtlinie (EU) 2016/680 für den Datenschutz in den Bereichen Polizei und Justiz den gemeinsamen Datenschutzrahmen in der EU und ist auch in Island, Liechtenstein und Norwegen geltendes Recht. Im November 2018 trat zu diesem Datenschutzrahmen auch die Verordnung (EU) 2018/1725 für Organe und Stellen der EU.
Unmittelbare Geltung; nationale Sonderregelungen
Die DSGVO gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten, im Gegensatz zur früheren Richtlinie 95/46/EG, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste. Die Mitgliedstaaten müssen jedoch durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß der Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringen. Es ist den Mitgliedstaaten grundsätzlich nicht erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken, aber es gibt Öffnungsklauseln, die es ihnen ermöglichen, bestimmte Aspekte des Datenschutzes im Alleingang zu regeln. Daher wird die DSGVO auch als „Hybrid“ zwischen Richtlinie und Verordnung bezeichnet.
In Deutschland wird Regelungsbedarf sowohl im Hinblick auf die Öffnungsklauseln der DSGVO als auch wegen des Bedarfs der Bereinigung des nationalen Datenschutzrechts mit der Neufassung des Bundesdatenschutzgesetzes und der Änderung weiterer Gesetze angegangen. Das Gesetz vom 30. Juni 2017 hebt nationales Datenschutzrecht auf oder überführt die bei Inkrafttreten der DSGVO unwirksamen Regelungen des bisherigen Bundesdatenschutzgesetzes in andere Gesetzesbereiche, passt Regelungen an und schafft teils neue Vorschriften für den Datenschutz. Datenschützer und Juristen haben jedoch Bedenken geäußert, dass das angepasste Bundesdatenschutzgesetz nicht mit europäischem Recht vereinbar ist.