Naja, also ein paar handfeste Sachen gibt's dann doch.
Wie bereits richtig erwähnt, befasst sich die DSGVO mit dem Schutz von Personendaten. Wer diese Art von Daten nicht erfasst, ist natürlich erstmal fein raus. Aber auch da rate ich dazu, einen Abgleich zwischen der eigenen Vorstellung von "persönliche Daten" und der Definition aus der DSGVO zu machen. Nur um sicher zu gehen.

Wer allerdings persönliche Daten verarbeitet, auf den kommen verschiedene Aufgaben zu:

(1) Die Erfassung der Daten muss transparent erfolgen. Der Person muss u.a. klar sein, welche Daten für welche Zweck erfasst werden und wer dann darauf Zugriff hat. Es gibt ein Widerspruchsrecht, ein Recht auf Änderung von fehlerhaften Daten und das recht auf auf Löschung persönlicher Daten. Auch das muss vor der Erfassung im Rahmen der Einverständniserklärung klar kommuniziert werden. Unternehmensseitig müssen Maßnahmen geschaffen werden, um besagte Rechte auch einräumen zu können.
(2) Es gibt eine Reihe an Dokumentationspflichten. Ein Unternehmen muss die Arbeitsprozesse dokumentieren, in denen persönliche Daten verarbeitet werden. Wo liegen welche Daten, wer hat Zugriff, zu welchem Zweck werden diese wie lang gespeichert, etc. Eine derartige Dokumentation kann später Grundlage für eine Prüfung sein.
(3) Es gibt den Anspruch an eine sichere Datenhaltung, diese Sicherheit soll einerseits durch die Prozesse, andererseits durch die eingesetzten Werkzeuge erreicht werden. Zudem besteht eine Nachweispflicht, dass relevante Mitarbeiter im Rahmen von Schulungen für das Thema Datenschutz sensibilisiert werden. Die eingangs genannten Prozesse sind ebenfalls zu dokumentieren, deren Umsetzung ist kontinuierlich zu bewerten und ggf. sind die Prozesse anzupassen.
(4) Es gibt Meldepflichten. Sollte es einen Verstoß gegen den Datenschutz gegeben haben, z.B. durch Diebstahl, so ist binnen 72 Stunden eine Meldung an die zuständigen Behörden zu machen. Bei schweren Verstößen sind die betroffenen Personen sogar unverzüglich direkt zu kontaktieren.

Das sind nun nur die ersten Aspekte, die mir gerade aus dem Stegreif einfallen. Das mag man alles mögen und gutheißen - oder meinetwegen auch nicht, ein bisschen mehr als "heiße Luft" ist das in meinen Augen jedoch schon.