Neu ist beispiels­weise, dass die Verar­bei­tung von Gesund­heits­da­ten nur erfol­gen darf, wenn dies durch eine gesetz­li­che Vorschrift geboten ist oder über die Einwil­li­gung des Betrof­fe­nen abgedeckt wird. Eine Verar­bei­tung der Daten ohne eine solche Grund­lage ist unzuläs­sig und bußgeld­be­währt. Dem sog. „Einwil­li­gungs­ma­nage­ment“ wird damit zukünf­tig eine enorme Bedeu­tung zukom­men. Die Verant­wort­li­chen sind insoweit aufge­ru­fen die Einwil­li­gungs­er­klä­run­gen z.B. darauf zu überprü­fen, ob der Einwil­li­gende über die vorge­se­hene Verwen­dung auch infor­miert wurde. Demnächst gilt: auch die Verar­bei­tung von Gesund­heits­da­ten darf nur für konkret festge­legte Zwecke erfol­gen. Zu beach­ten ist außer­dem, dass dem Einwil­li­gen­den natür­lich auch ein Wider­rufs­recht zusteht – werden also beispiels­weise persön­li­che Daten eines Patien­ten zu Studi­en­zwe­cken (weiter-)verwendet, kann der Wider­ruf einmal gewon­nene wissen­schaft­li­che Analy­sen gefähr­den.

Ein weite­rer Schwer­punkt der DSGVO ist das „Recht auf Verges­sen­wer­den“. Mit anderen Worten: perso­nen­be­zo­gene Daten müssen jeder­zeit gelöscht werden können. Auch hier können Probleme entste­hen, wenn weiter­ver­ar­bei­te­ten Daten im Nachhin­ein die Berech­ti­gung entzo­gen wird.

Dieses und vieles andere mehr wird in der Zukunft von den Aufsichts­be­hör­den leicht überprüft werden können.