Nachfolgende Änderungen der EU-DSGV sind zu betrachten, falls sie 2015 erlassen wird.
Bei den erweiterten Transparenzpflichten sollen verantwortliche Stellen Datenschutzerklärungen erstellen, in denen erklärt wird, wie die betroffenen Personen ihre Rechte durchsetzen können. Diese sollen zudem verständlich verfasst sein. Um auch für Kinder den Datenschutz rechtlich zu verbessern, sollen personenbezogene Daten von Kindern unter 13 mittels Einwilligungen ihrer Erziehungsberechtigten verarbeitet werden dürfen.
Ob IP-Adressen in der EU-Datenschutzgrundverordnung einen Personenbezug haben werden, ist noch nicht klar geregelt. Für viele Datenschutzbeauftragte in Konzernen ein Lichtblick: es könnte das Konzernprivileg eingeführt werden. Dadurch könnten die Datenweitergaben innerhalb der verbundenen Unternehmen erleichtert werden.
Die Zusammenarbeit von Datenschutzbehörden mit einem geplanten Gremium namens „European Data Protection Board“ könnte kommen, welches dann die nationalen Datenschutzbehörden koordiniert. Dieses Board hätte Entscheidungsbefugnisse bei Streitigkeiten zwischen Datenschutzbehörden aus unterschiedlichen europäischen Mitgliedstaaten. Bei der sogenannten Auftragsdatenverarbeitung soll die Haftung nicht mehr nur beim Auftraggeber liegen, sondern auch beim Auftragsdatenverarbeiter.
Das Verfahren bezüglich der Binding Corporate Rules würde geplant vereinfacht werden, sodass bei einem Datentransfer in Drittländer nur noch eine Datenschutzaufsichtsbehörde eine Genehmigung erteilen muss. Bei Auskünften an Behörden oder Gerichte aus Drittstaaten, sollen die verarbeitenden Stellen die Datenschutzaufsichtsbehörden benachrichtigen, die wiederum klärt, ob Daten offenbart werden dürfen. Vermutlich ist die Wiederaufnahme dieses Artikels den Aktivitäten der ausländischen Geheimdiensten geschuldet. Beim Recht auf Löschung ist eine Berichtigung und Löschung für die verantwortliche Stelle vorgesehen. Sind Daten des Betroffenen veröffentlicht, muss die verantwortliche Stelle Maßnahmen ergreifen, um die Daten ebenfalls bei Dritten löschen zu lassen. Vorgesehen ist zudem die Einrichtung eines Verfahrens zur Ausübung der Betroffenenrechte, bei denen die verantwortliche Stelle binnen 40 Kalendertagen antworten muss. Auch muss die verantwortliche Stelle auf Anfrage die verarbeiteten Daten elektronisch zur Verfügung stellen, wenn die Daten automatisiert verarbeitet werden. Dies soll den Betroffenen ermöglichen, ihre Daten aus sozialen Netzwerken zu anderen Anbietern zu portieren.