Das ab dem 25. Mai 2018 geltende Bundesdatenschutzgesetz (BDSG 2018) ergänzt die Datenschutz-Grundverordnung in den Bereichen, in denen den Mitgliedstaaten Gestaltungsspielräume verbleiben. Zwar gilt eine EU-Verordnung nach Artikel 288 des Vertrags über die Arbeitsweise in der Europäischen Union (AEUV) unmittelbar in jedem Mitgliedstaat und bedarf daher keiner Umsetzung in nationales Recht. Die Datenschutz-Grundverordnung enthält jedoch zahlreiche Klauseln, die den Mitgliedstaaten Handlungsverpflichtungen oder -optionen einräumen (“hinkende Verordnung”).
Dem nationalen Gesetzgeber ist es grundsätzlich verwehrt, unmittelbar geltende Regelungen einer EU-Verordnung im nationalen Recht lediglich „abzuschreiben“ (Wiederholungsverbot). Das BDSG 2018 enthält daher im Anwendungsbereich der Datenschutz-Grundverordnung keine umfassenden Regelungen des Datenschutzrechts mehr, sondern nur noch punktuelle Ergänzungen. So regelt die Datenschutz-Grundverordnung die Rechte der betroffenen Personen in Kapitel III unmittelbar und das BDSG 2018 sieht lediglich ergänzende Einschränkungen vor. Für die Anwendungspraxis bedeutet dies, dass die Datenschutz-Grundverordnung und das BDSG 2018 zusammen zu lesen sind. Ergänzend treten ggf. bereichsspezifische Normen hinzu.
Im Anwendungsbereich der Datenschutz-Grundverordnung gelten lediglich Teil 1 und 2 (§§ 1 bis 44) des BDSG 2018; die Regelungen des Teil 3 (§§ 45 bis 84) dienen hingegen der Umsetzung der Richtlinie (EU) 2016/680 und betreffen somit allein die Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung durch die zuständigen Behörden. Der abschließende Teil 4 (§ 85) enthält Regelungen für die Verarbeitung personenbezogener Daten außerhalb der Datenschutz-Grundverordnung und der Richtlinie (EU) 2016/680, etwa zu Zwecken der Landesverteidigung oder der humanitären Hilfe.