Hmm .. hab ich mich zu unverständlich ausgedrückt?
Ja, Du hast es erfasst. Es ist ein großer Blödsinn und ab dem 25.5. werden hauptsächlich bei den Abmahnanwälten die Korken knallen und das Koks kübelweise ausgeschüttet.
Erster Frage ist, gegen was Du Dich wappnen möchtest. "Behördliche Prüfungen" oder "Wettbewerbsrecht".
Akut ist Wettbewerbsrecht (sprich Abmahnungen) erst mal wichtiger.
Fang erst mal mit der Datenschutzerklärung auf Deiner Webseite an.
Ich mach hier gerade den Kram für meine Kunden fertig und ich kann dann gern einen Link auf ein Template posten.
Als nächstes schaust Du Dir Deine Seite am besten mal bei
http://www.webpagetest.org/ an und schaust.
Nicht wegen des Speeds und Co, aber die haben eine sehr nette Auflistung welche Ressourcen von Deiner Webseite nachgeladen werden. (Grafiken, JavaScript, Fonts)
Falls da noch ein Google Font dabei ist oder irgend etwas anderes, was Dir ein CMS PlugIn vielleicht ohne Dein Wissen einschmuggelt dann entweder schauen ob Du die Ressource von Deinem Server nachladen kannst oder die Verwendung des externen Servers in Deiner Datenschutzerklärung mit angeben.
Wenn es z.B. so was wie Youtube / Vimeo oder Co ist. Darauf möchte man ja nicht verzichten.
In der Datenschutzerklärung sollte dann so was stehen wie "Unsere Seite lädt Inhalte/JavaScript von Youtube, (Anschrift Youtube) nach. Wir machen aus dem Grund X, was Youtube damit macht ... keine Ahnung.". (Wie gesagt, wie das genau formuliert werden kann, gibt dann in den Templates nachzulesen, wenn ich sie denn fertig habe. - natürlich ohne Anspruch auf Richtigkeit und Haftung !!)
Den internen Kram kannst Du immer noch machen.
Da geht es wirklich darum stupide blöde aufzuschreiben welche Daten Du von Deinen Kunden erfasst, was Du damit tust, wann Du sie löscht, wie Du das überprüfst und we noch Zugriff auf die Daten hat.
Bei uns ist das recht witzig, was da alles zusammen kommt. Ist also auch garnicht so verkehrt das mal zu machen.
Z.B. wenn Du etwas vom Shop aus versendest, dann musst Du theoretisch um Einwillung bitten, dass der Kunde Dir erlaubt seie Daten an den Versanddienstleister weiter zu geben.
Prüfungen von Behörden werden später so ablaufen, dass Du einen Fragebogen bekommst, auf dem genau diese Sachen abgefragt werden. Z.B. "Welche Maßnamen werden in Ihrem Unternehmen ergriffen um Kundendaten zu schützen?"
Dann einfach die Dokumentation hervorholen und hoffen, dass es ausreicht.
Aktuell ist es tatsächlich so, dass die Gesetzgebung so wage ist und (Zitat eines befreundeten Anwalts) " .... darauf hofft, dass es die Rechtsprechung danach schon klären wird, was zulässig sein wird und was nicht."
Auf Deutsch - die Sch..ß Gesetze sind erst mal erlassen und Strafen definiert und dann schauen wir mal was die Richter daraus machen.
Wie viele kleine Unternehmer dabei Geld verlieren ist denen egal. Die haben ja ihre Posten und brauchen keine Angst zu haben.
Lustig wird dann auch noch mal das Thema "Auskunftsrecht von Kunden".
Nach dem 25.5. musst Du ja innerhalb einer definierten Zeit Kundenafragen zu der Frage was Du mit ihren Daten machst und an wen Du die weiter gegeben hast beantworten.
Dafür ist dann wieder Deine Doku hilfreich, wenn sie denn existiert.
Ich würde es ja spaßig finden, wenn alle Bürger einfach mal sämtliche Behörden mit derartigen Anfragen lahmlegen würden. Das wäre ja mal ein Spaß
Ich hoffe das war verständlicher.
Hier gibts noch ein Erklärbär Video:
https://www.wbs-law.de/it-recht/datensc ... erordnung/
.. ich schmeiß mich weg. So machen es die GROSSEN. ... 
