Am 4. Mai 2016 wurde die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ kundgetan.

Die Übergangsfrist Datenschutzgrundverordnung endet am 25. Mai 2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden.
 
Wesentliche Neuerungen:

Die Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) entfällt.
Stärkere Verantwortung jener, die Daten verarbeiten.
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen - (privacy by   design/privacy by default): geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung), um die Rechte der betroffenen Personen zu schützen sowie datenschutzrechtliche Voreinstellungen, die sicherstellen, dass personenbezogene Daten nur für den bestimmten Zweck (z.B. Servicevertrag) verarbeitet werden.
Meldungspflicht binnen 72 Stunden an die Aufsichtsbehörde bei Verletzungen des Schutzes personenbezogener Daten.
Pflicht zur Datenschutz-Folgeabschätzung, wenn ein hohes Risiko besteht, dass die Rechte und Freiheiten natürlicher Personen aufgrund der Verarbeitung von personenbezogenen Daten verletzt werden.
Einsatz eines Datenschutzbeauftragten.
 
Informationspflicht: Betroffene (also natürliche Personen) haben:

Auskunftsrecht über die Verarbeitung und Speicherung ihrer Daten
Recht auf Berichtigung
Recht auf Einschränkung der Verarbeitung
Recht auf Datenübertragbarkeit
Widerspruchsrecht