Auf Unternehmen und Website-Betreiber kommen einige neue Pflichten zu, deren Nichteinhaltung strafbewehrt ist. Ob Kundenprofilbildung oder Online-Werbung: Mit Nutzerdaten können Unternehmen eine Menge anstellen, um den Profit zu erhöhen. Die neuen Regeln der EU setzen dafür aber engere Grenzen als bisher. Für Unternehmen erhöht sich mit den neuen Datenschutzregeln der Aufwand gewaltig, den Datenschutz umzusetzen.
Die Zweckbindung wurde sogar erweitert: Personenbezogene Daten darf man nur für einen zuvor festgelegten Zweck erheben und schon gar nicht weiterveräußern. Generell gilt in der DSGVO wie auch im alten Bundesdatenschutzgesetz das Gebot der Datenminimierung, nach dem so wenige Daten wie möglich und nur so viele wie unbedingt für den Zweck nötig erhoben werden dürfen.
Die neuen Datenschutz-Regeln soll Betreiber dazu zwingen, die Verarbeitung personenbezogener Daten transparenter und sicherer zu gestalten. Von der Datenerhebung Betroffene sollen jederzeit gut informiert sein. Deshalb gelten nun erweiterte Auskunftspflichten und das Gebot zu klaren, verständlichen Erklärungen, beispielsweise für die Datenschutzerklärung und Einwilligungstexte.
Um diese Prinzipien durchzusetzen, etabliert die DSGVO eine erweiterte Rechenschaftspflicht: Betreiber müssen einzelne Vorgänge in Verzeichnissen dokumentieren, von größeren Unternehmen fordert das EU-Recht eine fortlaufende Risikoabschätzung aller Datenverarbeitungsprozesse.