Da es sich bei der Datenschutzreform um eine Verordnung handelt, gelten ihre Bestimmungen unmittelbar verbindlich für alle Mitgliedststaaten in der Europäischen Union. Die derzeit unterschiedlichen 28 nationalen Gesetzgebungen werden durch die Verordnung ersetzt und harmonisiert. Die Verordnung ersetzt auch die bestehende EU Datenschutzrichtlinie aus dem Jahre 1995. Hier die zehn wichtigsten Kernelemente der Datenschutzverordnung zusammengefasst.
1. Breite Definition von personenbezogenen Daten
Die Definition von personenbezogenen Daten umfasst alle Daten, die direkt und indirekt Rückschlüsse auf die Person zulassen. Eine möglichst breite Definition ist wichtig, damit möglichst viele Daten in den Schutzmantel der Verordnung fallen. Auch pseudonymisierte Daten gelten als personenbezogene Daten, da auch sie Rückschlüsse auf die Person zulassen und geschützt werden müssen.
2. Datenverarbeitung nur bei expliziter Zustimmung
Jede Datenverarbeitung muss nach dem Grundsatz der Transparenz, Zweckbindung und Datenminimierung erfolgen. Es dürfen nur soviel Daten wie nötig gesammelt werden. Die Verarbeitung von personenbezogenen Daten ist grundsätzlich nur dann erlaubt, wenn die Person ihr explizites Einverständnis dazu gegeben hat, die Zustimmung muss einfach widerrufbar und der Zweck der Datenverarbeitung muss klar ersichtlich sein.
3. Transparente Datenschutzinformationen
Datenverarbeitende Unternehmen müssen transparente Datenschutzbestimmungen erfüllen und diese leicht verständliche kommunizieren. Vorgeschrieben werden auch EU weit standardisierte und vergleichbare Informationen zu den Datenschutzbestimmungen.
4. Datenschutz-Rechte des Individuums werden gestärkt
Die Verordnung stärkt die Benachrichtigungspflicht bei Löschung und Berichtigung sowie die Informationspflicht und das Auskunftsrecht. Personen erhalten das Recht, eine Kopie ihrer verarbeiteten Daten zu erhalten, das Recht auf Berichtigung und Ergänzung sowie auf eine begründete Stellungnahme. Jede Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung seiner personenbezogenen Daten zu verlangen. Jede Person erhält das Recht jederzeit Widerspruch gegen die Verarbeitung seiner/ihrer Daten einzulegen.
5. Datenschutz durch Design und Datenschutzfreundliche Voreinstellungen
Datenschutz soll schon in die Technologie eingebaut werden (auch die Hersteller sollten verpflichtet werden, die Vorschriften zum Schutz der Privatsphäre durch Technik und datenschutzfreundliche Voreinstellungen einzuhalten, Forderung Weidenholzer AM 1731 konnte durchgesetzt werden).
6. Eine zentrale Datenschutzbehörde: “One Stop Shop”
Die Verarbeitung von personenbezogen Daten durch ein Unternehmen, das in mehreren EU-Ländern ansässig ist, soll nur noch von einer „federführenden Datenschutzbehörde“ überwacht werden. Die federführende Behörde eines Unternehmens ist im Allgemeinen die Datenschutzbehörde des Landes, in dem die Hauptniederlassung des Unternehmens liegt. Die federführende Behörde eines Bürger/In ist die des jeweiligen Wohnsitzes. Für BürgerInnen bedeutet das, dass sie ihre Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat richten können.
7. Strenge Strafen bei Datenschutzverstößen
Im ursprünglichen Kommissionsentwurf waren drei Kategorien von Strafen vorgesehen (0,5 Prozent/1 Prozent/2 Prozent des Jahresumsatzes und 1 000 000 euro Geldstrafe), das EU Parlament hat die verwaltungsrechtlichen Sanktionen (die von den Datenschutzbehörden festgelegt werden) mit fünf Prozent und 100 000 000 EUR mehr als verdoppelt. Die von Josef Weidenholzer eingebrachte Forderung, den Beisatz – „je nachdem was höher ist“ – hinzuzufügen, konnte durchgesetzt werden.
8. Strenge Regeln beim Austausch mit Drittstaaten
Generelle Grundsätze bei Daten-Transfer und Wiederaufnahme des früheren Artikel 42 (als Artikel 43a), der es Unternehmen untersagt, Daten an Behörden aus Drittstaaten weiterzugeben – ohne dass diese Übermittlung von der Datenschutzbehörde überprüft wurde. Die Kommission hat sicherzustellen, dass EU-Recht Vorrang einzuberäumen ist. Verlangt werden auch internationale Kooperationen zum Datenschutz sowie regelmässige Berichterstattung über die Einhaltung der Datenschutzbestimmungen durch die Kommission an Parlament und Rat und der Öffentlichkeit.
9. Datenschutz im Beschäftigungskontext
Artikel 82 legt Mindeststandards für die Datenverarbeitung im Beschäftigungskontext fest: Die Verarbeitung von Daten von Mitarbeiterdaten ohne dem Wissen der MitarbeiterInnen und Einwilligung ist nicht gestattet. Die heimliche Überwachung von MitarbeiterInnen ist verboten. Zuvor in der Verordnung gab es eine Verpflichtung zu einen Datenschutzbeauftragten erst bei 250 Mitarbeitern, jetzt heißt es wenn die Datenerhebung und Verarbeitung mehr als 5000 betroffene Personen pro Jahr umfasst und auch wenn die Kernaktivität des Unternehmens Datenverarbeitung darstellt.
10. Verpflichtung zur Datenschutz-Folgeabschätzung und Datensicherheit
Unternehmen haben Lifecycle data protection management zu betreiben und bei der Verarbeitung von Daten strenge Sicherheitsgarantien gewährleisten, Mit Artikel 33a wurde auch eine Datenschutz Kompatibilitätsprüfung in die Verordnung mitaufgenommen.