Unternehmen sollten ein Projektteam bestehend aus Geschäftsführung, IT, Personalverantwortlichen und Fachabteilungen sowie Datenschutzexperten bilden. In diesem Team müssen alle Prozesse identifiziert werden, bei denen personenbezogene Daten erfasst, gespeichert oder verarbeitet werden. Das gilt z.B. für Daten von Mitarbeitern, Bewerbern aber auch Kunden gleichermaßen wie für Daten, die über die Webseite erhoben werden (Besucheranalyse, Kontaktformulare, Newsletter). Da eine Verarbeitung nur auf Basis von Rechtsgrundlagen (Einwilligung, Vertragserfüllung oder gesetzliche Verpflichtungen) erlaubt ist, muss die Rechtmäßigkeit geprüft und dokumentiert werden. Daten, die ohne Rechtsgrundlage verarbeitet werden, müssen gelöscht und dürfen nicht weiter erhoben werden. Im weiteren Schritt müssen die einzelnen Prozesse in Verarbeitungsverzeichnissen erfasst werden. Findet eine Weitergabe von Daten an Dritte statt, ist zudem zu prüfen, ob ein Auftragsverarbeitungsvertrag mit dem jeweiligen Partner geschlossen werden muss. Die deutschen Landesdatenschutzbeauftragten haben sehr gute Leitfäden für die DSGVO-Compliance mit Hinweisen, auf welche Anforderungen der Gesetzgeber besonders achtet, veröffentlicht. Für die ersten Schritte ist das eine sehr gute Ausgangsbasis.