Ich glaube die meisten sind sich der Bedeutung und Definition der DSVGO nicht klar.
Ein Datum ist dann personenbezogen, wenn es auch nur einen Fall darunter gibt, dass womit sich eine Person identifizieren lässt. Das heißt nicht zwingend, dass man es mit dem Namen in Verbindung bringen muss, sondern nur dass es zugeordnet werden kann.
Ein Logeintrag mit IP Adresse ist personenbezogen, weil die Person damit identifiziertbar ist, auch wenn es nur mit dem ISPs geht. Auch eine SessionID ist personenbezogen, wenn irgendwo eine Verknüpfung mit der IP/UserId etc stattfinden kann. Ein Bewegungsprofil ist fast immer personenbezogen, weil es so einmalig ist, dass es einer Person zugeordnet werden kann.
Das heißt auch weitgehend anonymisierte Daten sind oft trotzdem personenbezogen und es muss darunter auch nur einen Fall geben, der eine Zuordnung ermöglicht. Es ist auch nicht erlaubt Nutzer auszusperren, die das nicht wollen, sondern es soll freiwillig sein. Wenn ich z.B eine App anbiete, die meine Fahrradstrecke trackt, sind diese Daten personenbezogen, auch wenn ich nichts speichere, außer der Strecke die ich gefahren bin.
Und für diese personenbezogene Daten muss ich jetzt ganz genau alle Systeme erfassen und Zweck, Dauer etc. dokumentieren und am besten beim Anwalt prüfen lassen. Außerdem muss ich jedem Nutzer es ermöglichen, dass es einfach seine Daten bekommen kann. Die Daten müssen auch nach einer gewissen Zeit gelöscht werden, das heißt Statistiken über lange Zeiträume sind prinzipiell gar nicht mehr möglich. Und weil das noch nicht genug ist, kann ich deswegen abgemahnt werden!
Herzlichen Glückwunsch!