Am 17.12.2015 haben sich das Europäische Parlament und der Europäische Rat auf einen Kompromiss bezüglich der neuen EU-Datenschutzvorschriften geeinigt. Die EU Datenschutz-Grundverordnung kommt.

Als EU-Verordnung gelten die Datenschutzvorschiften in den jeweiligen EU-Staaten direkt und vorrangig vor nationalem Recht (damit auch vor dem Bundesdatenschutzgesetz).

Wesentliche Regelungsinhalte:

• Verarbeitung der Daten nur nach ausdrücklicher Einwilligung: Der Nutzer soll Herr seiner Daten werden. Er soll seine Einwilligung auch leicht wieder zurückziehen können dürfen.
  
  
• Kinder und soziale Medien: Kinder unter einem bestimmten Alter benötigen die Zustimmung der Eltern, um ein Social-Media-Konto zu eröffnen, wie zum Beispiel bei Facebook, Instagram oder Snapchat. Dies ist bereits in den meisten EU-Ländern üblich. Die neuen, flexiblen Vorschriften räumen den Mitgliedstaaten einen Spielraum für die Altersgrenzen ein (allerdings muss diese mindestens bei 13 und höchstens bei 16 Jahren liegen). Diese Flexibilität wurde auf den auf den dringenden Wunsch der Mitgliedstaaten beibehalten. Das Verhandlungsteam des Parlaments hätte eine EU-weite Altersgrenze von 13 Jahren vorgezogen.
  
  
• Recht auf Vergessenwerden: Die Verbraucher sollten ihre Einwilligung geben müssen, aber genauso einfach sollten sie sie auch wieder zurückziehen können. Sie bekommen ein "Recht auf Vergessenwerden", d.h. ein Recht darauf, dass auf ihren Wunsch ihre persönlichen Daten aus den Speichern von Unternehmen auch wieder gelöscht werden müssen.
  
  
• Datenlecks oder "gehackte" Daten: Bei Verstößen gegen den Schutz personenbezogener Daten müssen die Anbieter die zuständigen Behörden so schnell wie möglich informieren, so dass die Nutzer geeignete Maßnahmen ergreifen können.
  
  
• Verständliche Sprache: Die Abgeordneten haben darauf bestanden, dass die neuen Vorschriften die Praxis des "Kleingedruckten" abschaffen müssen. Die Verbraucher sollen in klarer, verständlicher Sprache und mit leicht verständlichen Symbolen informiert werden, bevor die Daten gespeichert werden;
  
  
• Strafen: Wenn Firmen gegen die Regeln verstoßen, drohen ihnen Strafen von bis zu vier Prozent des Jahresumsatzes;
  
  
• Unternehmen müssen Datenschutzbeauftragte anstellen: Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn sie im großen Ausmaß sensible Daten verarbeiten oder das Verhalten vieler Verbraucher überwachen. KMU sind von dieser Vorschrift ausgenommen, es sei denn, die Datenverarbeitung ist ihre Haupttätigkeit.
  
  
• Zentrale Anlaufstellen für Beschwerden und die Durchsetzung der neuen Regeln: Die nationalen Datenschutzbehörden werden ausgebaut und sollen zu zentralen Anlaufstellen für Bürger werden, wo sie ihre Beschwerden über Verstöße gegen die Datenschutzvorschriften einreichen können. Die Zusammenarbeit zwischen diesen nationalen Behörden soll erheblich verstärkt werden, um einen einheitlichen Schutz der personenbezogenen Daten innerhalb der Union sicherzustellen.

Die Regelungen sollen ab 2018 gelten.