27.09.2018
DSGVO-Umsetzung: Aktueller Gesetzesstand der EU-Mitgliedsländer
Inhalt

Dr. Philipp Siedenburg
Director Datenschutz
Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (EU-DSGVO) wirksam und betroffene Unternehmen müssen sich EU-weit auf weitreichende Änderungen einstellen. 1993 erließ die Europäische Gemeinschaft die Richtlinie 95/46/EG, die seitdem Maßstab für den Datenschutz in den Mitgliedstaaten der EU war. Die Richtlinie erforderte eine gesetzliche Umsetzung in den Mitgliedstaaten. Die DSGVO hingegen ist in den Mitgliedstaaten als Verordnung unmittelbar anwendbar und hat Anwendungsvorrang vor mitgliedstaatlichem Recht (vgl. Art. 288 Abs. 2 AEUV). Prinzipiell ist damit die Datenschutzgrundverordnung die wichtigste Quelle für die Klärung datenschutzrechtlicher Fragen. Die DSGVO sieht allerdings eine Vielzahl von Öffnungsklauseln vor, die den Mitgliedstaaten Rechtsetzungsbefugnisse einräumen.
Deutschland ist das erste Land, das ein entsprechendes DSGVO-Umsetzungsgesetz erlassen hat. Dieses gilt ebenfalls seit dem 25. Mai 2018 und ersetzt das bisherige Bundesdatenschutzgesetz (BDSG). Da bei vielen Unternehmen Unsicherheit über den derzeitigen Rechtsstand der Datenschutzregeln im europäischen Ausland besteht, haben wir eine Übersicht erstellt, die den Gesetzgebungsstand im Großteil der EU-Mitgliedstaaten aufzeigt. Wir aktualisieren unsere Übersicht regelmäßig.
Belgien
In Belgien wird die DSGVO in erster Linie unmittelbar angewendet. Es wurde jedoch ein Gesetz erlassen um die bisherige „Kommission zum Schutz der Privatsphäre“ in eine Aufsichtsbehörde umzugestalten, die den Anforderungen der DSGVO genügt. Dies ging mit einer Erhöhung des Budgets einher.
Offizielle Bezeichnung: „Loi du 3 décembre 2017 portant création de l’Autorité de protection des données“.
Stand des Gesetzgebungsverfahrens: Abgeschlossen am 10.01.2018.
Weitere Informationen (in Landessprache): Link
Bulgarien
In Bulgarien befindet sich der Entwurf für ein Umsetzungsgesetz noch in der öffentlichen Debatte. An dem schleppenden Umsetzungsverfahren wird national Kritik geübt. In einer Stellungnahme des Bulgarischen Industrieverbandes heißt es: „Der Mangel an Informationen über die bevorstehenden Gesetzesänderungen schafft Voraussetzungen für die Verbreitung von Fehlinformationen aus verschiedensten Quellen und verhindert, dass Unternehmen sich angemessen vorbereiten können.“(Quelle: СЕГА)
Bezeichnung des Rechtsakts zur Implementierung der DSGVO: „ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ“.
Stand des Gesetzgebungsverfahrens: In der öffentlichen Debatte seit dem 14.05.2018.
Originaltext: Link
Erwägungsgründe zum Entwurf: Link
Weitere Informationen (in Landessprache): Link
Dänemark
In Dänemark wird die DSGVO mit einem eigenen Datenschutzgesetz umgesetzt, das ergänzende Vorschriften für diverse Bereiche enthält.
Offizielle Bezeichnung: „Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)“.
Stand des Gesetzgebungsverfahrens: Abgeschlossen am 17.05.2018.
Estland
In Estland ist das neue Datenschutzgesetz zur Anpassung des Datenschutzrechts in Estland an die DSGVO im Januar 2019 in Kraft getreten.
Offizielle Bezeichnung: „Isikuandmete kaitse seadus 616 SE“.
Originaltext: https://www.riigiteataja.ee/akt/104012019011
Weitere Informationen in der Landessprache folgen
Finnland
In Finnland hat die Regierung am 01.03.2018 einen Entwurf für ein neues Datenschutzgesetz eingebracht.
Offizielle Bezeichnung:„Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE 9/2018“.
Stand des Gesetzgebungsverfahrens:Erste Lesung abgeschlossen.
Originaltext: Link
Informationen zum Verfahren (in Landessprache): Link
Weitere Informationen (in Landessprache): Link
Frankreich
Das Gesetz zur Umsetzung wurde von der Nationalversammlung am 14.05.2018 angenommen.
Offizielle Bezeichnung: „Projet de loi relatif à la protection des données personnelles (JUSC1732261L)“.
Stand des Gesetzgebungsverfahrens: Abgeschlossen am 14.05.2018
Originaltext: Link
Informationen zum Verfahren (in Landessprache): Link
Griechenland
Ein Gesetzesentwurf wurde am 20.02.2018 veröffentlicht. Die Beratung zu dem Entwurf fand am 05.03.2018 statt.
Offizielle Bezeichnung:„Νόμος για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα σε εφαρμογή του Κανονισμού (ΕΕ) 2016/679“.
Stand des Gesetzgebungsverfahrens: Beratung am 05.03.2018
Originaltext: Link
Informationen zum Verfahren (in Landessprache): Link
Weitere Informationen (in Landessprache): Link
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Irland
Das Umsetzungsgesetz wurde am 18.05.2018 vom Dáil Éireann angenommen.
Offizielle Bezeichnung: „Data Protection Bill 2018“.
Stand des Gesetzgebungsverfahrens: Abgeschlossen am 18.05.2018
Originaltext: Link
Informationen zum Verfahren (in Englisch): Link
Weitere Informationen (in Englisch): Link
Italien
In Italien ist der Gesetzgebungsprozess noch nicht abgeschlossen.
Offizielle Bezeichnung: „Decreto Legislativo 10 agosto 2018, n.101)“. Damit wurde das Datenschutzgesetz in Italien (Decreto Legislativo 30 giugno 2003, n. 196) geändert um das italienische Datenschutzrecht an die DSGVO-Vorgaben anzupassen.
Stand des Gesetzgebungsverfahrens: Das neue Gesetz vom 10. August 2018 enthält Übergangsregelungen. Insbesondere können bei Verfahren, die vor Inkrafttreten des neuen Gesetzes begonnen wurden, niedrigere Bußgelder verhängt werden.
Darüber hinaus wird eine Stellungnahme der „Commissione speciale su atti urgenti del Governo“ (einer Sonderkommission für dringende Regierungsangelegenheiten) zu weiteren Umsetzungsgesetzen erwartet.
Originaltext: Link
Informationen zum Verfahren (in Landessprache): Link
http://www.senato.it/leg/18/BGT/Schede/docnonleg/36139.htm
Kroatien
Das Umsetzungsgesetz wurde am 27.04.2018 vom Parlament angenommen und ist am 25.05.2018 in Kraft getreten.
Offizielle Bezeichnung: „ZAKONO PROVEDBI OPĆE UREDBE O ZAŠTITI PODATAKA – NN24/2018“.
Stand des Gesetzgebungsverfahrens: Abgeschlossen am 27.04.2018
Originaltext: Link
Weitere Informationen (in Landessprache): Link
Lettland
Am Donnerstag, dem 12. April, unterstützte die Saeima den Gesetzesentwurf zur Verarbeitung personenbezogener Daten in erster Lesung.
Offizielle Bezeichnung: „Personas datu apstrādes likums“.
Stand des Gesetzgebungsverfahrens: Entwurf in der zweiten Lesung in der Saeima.
Informationen zum Verfahren: Link
Litauen
In Litauen ist das Gesetzgebungsverfahren noch nicht abgeschlossen.
Offizielle Bezeichnung: „IETUVOS RESPUBLIKOS ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMAS“.
Stand des Gesetzgebungsverfahrens: Der Gesetzentwurf wird am 26.06.2018 von der Sejma geprüft werden
Originaltext: Link
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Luxemburg
In Luxembourg ist das Verfahren noch nicht abgeschlossen.
Offizielle Bezeichnung: „Projet de loi portant création de la Commission nationale pour la protection des données et la mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, portant modification du Code du travail et de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d’avancement des fonctionnaires de l’Etat et abrogeant la loi du 2 août 2002 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel“.
Stand des Gesetzgebungsverfahrens: Es werden Stellungnahmen und Änderungsanträge zum Entwurf eingeholt.
Informationen zum Verfahren (in Landessprache): Link
Malta
In Malta ist das Gesetzgebungsverfahren noch nicht abgeschlossen.
Offizielle Bezeichnung: „l-Att tal-2018 dwar il-Protezzjoni u l-Privatezza tad-Data“.
Stand des Gesetzgebungsverfahrens: Dritte Lesung am 24.05.2018
Originaltext: Link
Informationen zum Verfahren (in Landessprache): Link
Niederlande
In Niederlande ist das Verfahren bereits abgeschlossen.
Offizielle Bezeichnung: „Uitvoeringswet Algemene verordening gegevensbescherming“.
Stand des Gesetzgebungsverfahrens: Am 15.05.2018 als Hammerstück abgeschlossen
Originaltext: Link
Informationen zum Verfahren (in Landessprache): Link
Österreich
In Österreich wurde die Umsetzung durch mehrere Anpassungsgesetze zum nationalen Datenschutzgesetz durchgeführt.
Offizielle Bezeichnung: „Datenschutzgesetz DSG“.
Stand des Gesetzgebungsverfahrens: Letzte Änderung des DSG am 15.05.2018
Aktuelles DSG: Link
Originaltext (Letzte Änderung): Link
Polen
In Polen ist das Verfahren noch nicht abgeschlossen. Ein Entwurf wird in der Sejm behandelt.
Offizielle Bezeichnung: „Ustawa o ochronie danych osobowych“.
Stand des Gesetzgebungsverfahrens: Stellungnahme der „Konferencja Rektorów Akademickich Szkół Polskich“ am 23.05.2018
Originaltext: Link
Informationen zum Verfahren (in Landessprache): Link
Portugal
In Portugal ist das Verfahren noch nicht abgeschlossen.
Offizielle Bezeichnung: „Proposta de Lei 120/XIII“.
Stand des Gesetzgebungsverfahrens: Entwurf eingebracht am 26.03.2018
Quelle: Link
Rumänien
In Rumänien ist am 31.07.2018 ein Umsetzungsgesetz zur DSGVO in Kraft getreten. Der rumänische Gesetzgeber macht darin kaum Gebrauch von Öffnungsklauseln der DSGVO zur Klarstellung offener Fragen und Definitionen. So bleibt etwa unklar wie die Voraussetzungen, des Artikels 37 der DSGVO zur Bestellung eines Datenschutzbeauftragten konkretisiert werden. Dagegen beinhaltet es Privilegierungen für Behörden und Parteien im Falle von Verletzungen der DSGVO. So sind u.a. niedrigere Bußgelder vorgesehen als bei Verletzungen durch Private.
Offizielle Bezeichnung: Gesetz Nummer 190/2018
Stand des Gesetzgebungsverfahrens: Abgeschlossen am 31.07.2018
Weitere Informationen: Link
Informationen zum Verfahren (in Landessprache): Link
Schweden
In Schweden ist das Verfahren bereits abgeschlossen
Offizielle Bezeichnung: „Ny Dataskyddslag“.
Stand des Gesetzgebungsverfahrens: Abgeschlossen am 18.04.2018
Originaltext: Link
Informationen zum Verfahren (in Landessprache): Link
Slowakei
In der Slowakei ist das Verfahren abgeschlossen.
Offizielle Bezeichnung: „Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov“.
Stand des Gesetzgebungsverfahrens: Abgeschlossen am 30.01.2018
Informationen zum Verfahren (in Landessprache): Link
Slowenien
In Slowenien ist das Verfahren noch nicht abgeschlossen.
Offizielle Bezeichnung: „OSNUTEK ZAKONA O VARSTVU OSEBNIH PODATKOV (ZVOP-2)“.
Stand des Gesetzgebungsverfahrens: Regierungsentwurf eingereicht am 23.01.2018
Originaltext: Link
Spanien
In Spanien ist das Verfahren noch nicht abgeschlossen
Offizielle Bezeichnung: „Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal“.
Stand des Gesetzgebungsverfahrens: Der Entwurf wurde am 11.04.2018 vom Ministerrat zur Verweisung an das Cortes Generales genehmigt
Originaltext: Link
Tschechische Republik
In Tschechien ist das Verfahren noch nicht abgeschlossen.
Offizielle Bezeichnung: „Návrh zákona o zpracování osobních údajů“.
Stand des Gesetzgebungsverfahrens: Regierungsentwurf eingereicht am 21.03.2018
Informationen zum Verfahren (in Landessprache): Link
Ungarn
In Ungarn ist das Verfahren noch nicht abgeschlossen.
Offizielle Bezeichnung: „jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról szóló törvény“.
Stand des Gesetzgebungsverfahrens: Entwurf vom 25.09.17
Originaltext: Link
Vereinigtes Königreich
Im Vereinigten Königreich ist das Verfahren abgeschlossen.
Offizielle Bezeichnung: „Data Protection Act 2018“.
Stand des Gesetzgebungsverfahrens: Abgeschlossen am 23.05.2018
Originaltext: Link
Informationen zum Verfahren (in Landessprache): Link
Zypern
In Zypern ist das Verfahren noch nicht abgeschlossen.
Offizielle Bezeichnung: „της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών Νόμος του 2018.“.
Stand des Gesetzgebungsverfahrens: Beratung über den Entwurf am 04.04.2018
Originaltext: Link
Informationen zum Verfahren (in Landessprache): Link
Weitere Neuigkeiten
03.02.2025
Externer Datenschutzbeauftragter (DSB): Pflicht, Aufgaben und Kosten
Die Bestellung eines Datenschutzbeauftragten ist für ein Großteil der Unternehmen Pflicht. Doch was macht ein DSB überhaupt und was sollte er können. Und wann ist es sinnvoll, einen externen DSB zu bestellen und wann reicht vielleicht eine interne Lösung? Wir haben alle Informationen zum externen Datenschutzbeauftragten zusammengestellt, um Ihnen die Entscheidung zu erleichtern.
Weiterlesen … Externer Datenschutzbeauftragter (DSB): Pflicht, Aufgaben und Kosten
23.01.2025
Cyber Resilience Act: Frist, Anwendung & Maßnahmen
Der Cyber Resilience Act bringt weitreichende Veränderungen in der EU mit sich und betrifft insbesondere Unternehmen aus dem Maschinen- und Anlagenbau. Produkte mit kommunikationsfähigen digitalen Elementen müssen ab 2027 strenge Sicherheitsstandards erfüllen, um die CE-Kennzeichnung zu erhalten. Das Gesetz verlangt Maßnahmen zur Minimierung von Cybersicherheitsrisiken während des gesamten Produktlebenszyklus - vom Design bis zur regelmäßigen Bereitstellung von Updates nach Inverkehrbringen. Damit Ihrem Unternehmen die Umsetzung gelingt, gibt dieser Beitrag einen Überblick über alle wesentlichen Neuerungen.
Weiterlesen … Cyber Resilience Act: Frist, Anwendung & Maßnahmen
14.01.2025
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download