Privacy by Design bedeutet, dass Datenschutzprobleme schon bei der Entwicklung neuer Technologien festgestellt und geprüft werden sollen. Datenschutz und Privatsphäre sind von vorneherein in die Gesamtkonzeption und Entwicklung einzubeziehen.

Online-Dienste müssen die datenschutzfreundlichsten Voreinstellungen enthalten. Personenbezogene Daten sollen demnach nur dann verarbeitet werden, wenn dies für den Zweck erforderlich ist. Die Voreinstellungen sollen es dem Nutzer ermöglichen zu entscheiden, ob er Dritten den Zugriff auf seine personenbezogenen Daten ermöglichen will.

Unbefugte sollen keinen Zugang zu personenbezogenen Daten haben. Ihnen muss die Nutzung dieser Daten bzw. Geräte verwehrt bleiben. § 32 DSGVO schreibt dafür technische Sicherheitsmaßnahen vor.

Der Transparenzgrundsatz ist durch die Informationspflichten in Art. 13 und 14 DSGVO näher ausgestaltet. Es ist nun erforderlich, neben Kontaktdaten des Verantwortlichen (also des die personenbezogenen Daten verarbeitenden Unternehmens) auch die Kontaktdaten des Datenschutzbeauftragten in der Datenschutzerklärung anzugeben. Außerdem müssen die Betroffenen nun zusätzlich auf ihre Rechte (insbesondere auf Zugang, Berichtigung, Sperrung, Beschwerderecht bei der Aufsichtsbehörde usw.) hingewiesen werden. Ferner muss der Datenverarbeitende das berechtigte Interesse zur Datenverarbeitung angeben, sofern er sich auf ein solches stützt. Zudem müssen die Herkunft der Daten und die Speicherdauer oder die Kriterien nach denen sich diese bestimmt, angegeben werden.

Die Auflistung von verpflichtenden Maßnahmen nach § 32 Abs. 1 DSGVO unterscheidet sich deutlich von der Anlage zu § 9 BDSG. Neu ist die Pseudonymisierungspflicht. Diese soll Daten im Missbrauchs -und Verlustfall schützen. Art. 32 Abs.1 DSGVO enthält darüber hinaus die Pflicht zur Datensicherung um Daten vor Verlust zu schützen. Außerdem besteht für den Verantwortlichen die Verpflichtung, die Datensicherheit regelmäßig zu überprüfen und zu evaluieren. Nicht in Art. 32 DSGVO aufgenommen wurden die Pflichten zur Eingabe- und Auftragskontrolle sowie das Trennungsgebot (aus Anlage 1 Satz 1 Nr. 5, 6 und 8 zu § 9 BDSG).

Den Datenschutzbeauftragten wird es jetzt EU-weit geben. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden. Den Schwellenwert aus dem BDSG, nach dem Unternehmen mit mehr als neun Beschäftigten einen Datenschutzbeauftragten bestellen müssen, gibt es in der Datenschutzgrundverodnung zwar nicht mehr, allerdings existiert eine Öffnungsklausel für nationale Regelungen. Für Deutschland wird davon ausgegangen, dass der Gesetzgeber über diese Öffnungsklausel die bisherige Rechtslage beibehält.

Zukünftig werden sowohl Auftraggeber als auch Auftragnehmer für die Datenverarbeitung gleichermaßen verantwortlich sein. Bisher war nach dem BDSG nur der Auftraggeber verantwortlich. Auch für eventuell verhängte Bußgelder können beide herangezogen werden. Der ADV-Vertrag kann nun auch elektronisch gefasst werden, während im BDSG die Schriftform zwingend vorgeschrieben ist.

Eine wichtige Änderung betrifft auch die Meldepflicht der Unternehmen im Falle einer Datenpanne. Diese Pflicht wurde durch die neue Verordnung ausgeweitet. Sie gilt nun unabhängig von den betroffenen Daten. Zudem gibt es konkrete Meldefristen. So ist künftig grundsätzlich jede Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Die Pflicht entfällt aber unter bestimmten Ausnahmen, wie etwa wenn es unwahrscheinlich ist, dass die Verletzung zu einem Risiko für die Rechte und Freiheiten von Personen führt. Zudem wird eine Dokumentationspflicht für Unternehmen gegenüber der Aufsichtsbehörde zur Überprüfung der Meldepflicht bestehen. Unternehmen werden demnach alle etwaigen Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen dokumentieren müssen.

Firmen sollen Daten nicht direkt an Behörden in Drittstaaten weitergeben dürfen. Dies ist nur erlaubt auf der Grundlage von Rechtshilfeabkommen oder ähnlicher, auf EU-Recht basierender Regeln. Auch außerhalb der EU müssen Bürgerinnen und Bürgern, deren Daten weitergeleitet werden, gleiche Rechte zustehen, einschließlich der Klagemöglichkeit im Drittstaat.