Die Punkte bisher sind schon Alle recht gut zusammengefasst, und geben interessante Anregungen.

Ich frage mich z.B. aber auch noch: Was sind eigentlich persönliche Daten, und was nicht:
1. EMail-Adress plus Username (nur für einfachste Anmeldeverfahren) ?
2. EMail-Adress plus Username, plus IP-Adresse ?
3. EMail-Adress plus Username, plus Coockie (zur Authentifizierung am Server) ?
4. EMail-Adresse plus Klarname ?
5. EMail-Adresse plus vollständige Adresse (ja das wohl sicher) ?
6. Familiendaten, Medizinische Daten, Bankdaten, Vertragsdaten, etc. (ja klar) !

Müsste eine einfache Anwendung die nur User mit EMail verwaltet schon Alle Punkte im DSGVO berücksichtigen ?
Also so in der Art 1. bis 4., oder evtl. sogar bis 4.).

Ab wann muss man anfangen mehr in die Datensicherheit zu investieren, Mitarbeiter zu schulen, Datenübergabe zu organisieren, etc., etc. ?

Wenn die reine EMail schon als persönliche Daten zählt, z.B. für Spammer, bewertet wird dann wäre ja wirklich fast jede App/Website betroffen die User-Registrierung anbietet

Was ist wenn man die User-Registierung über Google/Facebook API's macht, hat man damit das Problem auf G+/FB verlagert ?

Rollo