1. Das Bearbeiten von Personendaten ist grundsätzlich VERBOTEN. Für die Bearbeitung braucht es nachvollziehbare Rechtsgrundlagen (Vertrag, Gesetz, Einverständnis, berechtigtes Interesse u.a.m.)
2. Die DSGVO übernimmt grundsätzlich alle bisher bekannten Grundsätze des Datenschutzes (damit wenig Neues)
3. Die zusätzlichen Anforderungen sind überschaubar, aber nicht überraschend
4. Die DSGVO ist ein Beamten-Machwerk erster Güte. Einfach und verständlich ist anders. Trotzdem sollte man sie nicht unterschätzen. Leider geht aber auch der CH-Gesetzesentwurf genau in diese Richtung (Praktiker wurden bei der Erarbeitung offenbar  nicht berücksichtigt).
5. Die Tatsache, dass sich die EU-Länder auf eine gemeinsame Datenschutz-Strategie festgelegt haben, ist bemerkenswert.
6. Datenschutz Behörden sind immer auch Partei und keine allmächtigen Regulatoren. Jede Entscheidung kann gerichtlich herausgefordert werden. Viele Bestimmungen sind interpretierbar. Nur schon die Frage, wann etwas als „Bearbeitung“ gilt ist z.T. höchst umstritten.
7. Die amerikanischen Anbieter sind zumindest bei der rechtlichen (vertraglichen) Umsetzung wesentlich weiter als die Europäer. Trotzdem können sie das Problem des Staatszugriffs damit nicht lösen (Patriot Act). Dies gilt auch für Daten, die in der EU gehalten werden.
8. Verträge decken nur rund 25% der notwendigen Tätigkeiten, ebenso wichtig sind Schaffen der Transparenz (Dokumentation) als Grundlage für das Risiko Management.
9. Risiko Management: Schlüsseldisziplin für die erfolgreiche Umsetzung. Wichtig: Hier geht es um die Risiken für die betroffene Person, nicht (nur) um die Risiken des Verantwortlichen. Trotzdem ist ein ISMS (Informations Sicherheits Management System) unabdingbar.
10. Grösste Herausforderung ist aber sicher die konsequente und vollumfängliche Beherrschung der Personendaten: Von der Entstehung bis zur Vernichtung = Information Governance).

Unser Umsetzungsmodell für die DSGVO und weitere Informationen, Whitepapers.