Das Wort „Datenschutzgrundverordnung“ hat eine ähnliche Wirkung wie das Fingerschnipsen eines Hypnotiseurs. Sobald es fällt, beschäftigen sich die meisten Menschen reflexartig mit irgend etwas völlig anderem. 2009 hat sich keiner dafür interessiert, als die Verhandlungen in den EU-Gremien begannen. Und auch nicht, als die DSGVO vor zwei Jahren in Kraft trat, aber wegen einer Schonfrist noch keine Wirkung entfaltete. Erst in den Tagen vor dem 25. Mai brach Hektik aus.
Vor allem Blogger und Selbstständige fingen an, ihre Webseiten irgendwie datenschutzkonform zurechtzuzimmern. Viele brüten nun über der Frage, was für personenbezogene Daten sie eigentlich so erheben und speichern. Die müssen nämlich bis ins letzte Detail in einem „Verzeichnis von Verarbeitungstätigkeiten“ aufgeschrieben werden: Jedes erfasste Einzeldatum will darin verewigt sein mit genauer Angabe, zu welchem Zweck es gespeichert wird, auf welcher gesetzlichen Grundlage und auch welche Kollegen für diese Daten zuständig sind. Dazu gehört ein Löschkonzept und natürlich muss man in der Lage sein, Auskunft zu erteilen, wenn Kunden oder Geschäftspartner erfragen, welche Daten eigentlich über sie im Unternehmen vorliegen.