Am 25. Mai 2018 ist die Europäische Datenschutzgrund-Verordnung (DS-GVO) unmittelbar in allen Mitgliedstaaten der Europäischen Union – und damit auch in Deutschland – nach einer zweijährigen Übergangsphase in Kraft getreten. Alle Unternehmen und Institutionen mussten ihre Geschäftsabläufe bis zu dem Stichtag an die neue Rechtslage anpassen. Die DS-GVO „ersetzt die aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie und gibt zeitgemäße Antworten auf die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft. Mit einem modernen Datenschutz auf europäischer Ebene bietet die DS-GVO Lösungen zu Fragen, die sich durch ,Big Data‘ und neue Techniken oder Arten der Datenverarbeitung wie Profilbildung, Web-Tracking oder dem Cloud Computing für den Schutz der Privatsphäre stellen“, so das Bundesministerium für Wirtschaft und Energie.
Die DS-GVO richtet sich an jeden, der außerhalb des rein privaten Bereichs mit personenbezogenen Daten umgeht (Unternehmen, Vereine, Verbände, Stiftungen). Unternehmen und Institutionen müssen jederzeit nachweisen können, dass sie datenschutzkonform agieren. Hierzu gehört auch die Pflicht, Datenschutzbeauftragte ab einer Betriebsgröße von zehn festangestellten Mitarbeitenden zu bestellen. Bei Missachtung der DS-GVO drohen Unternehmen empfindliche Bußgelder.
Zeitgleich zur DS-GVO sollte die Datenschutzrichtlinie für elektronische Kommunikation („ePrivacy-Richtlinie“), in Kraft treten. Diese befindet sich aber noch in der Schwebe. Die Richtlinie versteht sich als Erweiterung und Konkretisierung der Datenschutz-Grundverordnung. Die ePrivacy-Verordnung, die umgangssprachlich auch „Cookie-Richtlinie“ genannt wird, sollte den Datenschutz der elektronischen Kommunikation regeln. Dazu gehören u.a.:
- Datenverarbeitung und Datenspeicherung
- Rufnummernunterdrückung
- Direktwerbung
- Privatsphäre
- Recht auf Vergessenwerden
Lange Jahre konnten sich die EU-Mitgliedstaaten nicht auf einen Konsens festlegen; hinzu kommt Widerstand seitens der Wirtschaft. Im Februar 2021 gelang es den EU-Staaten, sich auf eine Position zu einigen. Indes: Dass sie kommt, steht zwar außer Frage. Aber wann die Richtlinie, die die elektronische Kommunikation rund um Cookies, Tracking und das Recht auf Vergessen regeln soll, tatsächlich in Kraft treten wird, ist noch ungewiss.