Die Datenschutzgrundverordnung bewirkt einen Paradigmenwechsel im Datenschutz, der keine Organisation unberührt lässt. Die Europäische Union setzt damit neue Datenschutzstandards, die weltweiten Einfluss haben und seit Neuestem sogar von amerikanischen Social Media Mogulen als richtungsweisend gesehen werden. Die Union hat damit einen Impuls gesetzt, der aber für die Praxis eigentlich Jahrzehnte zu spät kommt. Datenverarbeitungen sind zu einem riesigen Geschäftsfeld geworden; aber auch der Umgang mit Beschäftigtendaten geschah bislang weitgehend unberührt von den schon bestehenden datenschutzrechtlichen Bestimmungen der Datenschutz-Richtlinie bzw des DSG 2000, schlicht weil weder (effektive) Strafen, noch behördliche Kontrollen existierten. Die massiven Strafdrohungen der DSGVO haben für die gehörige, vom Gesetzgeber erwünschte Aufmerksamkeit gesorgt und auch dafür, dass die meisten Unternehmen nun Anstrengungen unternehmen, in datenschutzrechtlicher Sicht „compliant“ zu werden. Angesichts der teilweise enormen Anstrengungen, die Unternehmen und andere Organisationen dafür auf sich nehmen müssen, haben die Strafen ihren Präventivzweck wohl erfüllt. Dass in der Realität gegenüber kleinen und mittelständischen Unternehmen Strafen in zweistelliger Millionenhöhe ausgesprochen werden, ist nicht flächendeckend zu erwarten. Allein der mögliche Strafrahmen, noch dazu im Verwaltungsstrafrecht, ist aber neu (und lässt die Strafen nach dem LSD-BG fast alt aussehen).
