Sofern eine betroffene Person der Datenverarbeitung nicht für einen oder mehrere Zwecke in Kenntnis der Sachlage zugestimmt hat, dürfen personenbezogene Daten nur verarbeitet werden, wenn es dafür mindestens eine Rechtsgrundlage gibt. Artikel 6 besagt, dass die rechtmäßigen Zwecke sind:[9] Kleinere Unternehmen und Organisationen haben wahrscheinlich überhaupt keine Richtlinien zur Offenlegung von Datenschutzverletzungen, genau wie Unternehmen in bestimmten US-Bundesstaaten, die keine Gesetze zur Offenlegung von Datenschutzverletzungen haben (z. B. Alabama, New Mexico und South Dakota). Unabhängig von der Unternehmensgröße oder dem Standort, ob in einem Land oder Bundesland mit oder ohne Datenschutzbestimmungen, wird die DSGVO der „Standard” sein, an den sie sich halten muss. Die Mitteilung an die betroffenen Personen ist jedoch nicht erforderlich, wenn der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Schutzmaßnahmen getroffen hat, die die personenbezogenen Daten für Personen, die nicht berechtigt sind, darauf zuzugreifen, unverständlich machen, wie z. B. Verschlüsselung (Artikel 34). Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat im Mai 2018 in Kraft, um den Nutzern mehr Transparenz und Kontrolle über ihre personenbezogenen Daten zu geben. Eine Schlüsselkomponente ist, dass Unternehmen die Nutzer jetzt um ihre ausdrückliche Zustimmung bitten müssen, bevor sie ihre Daten aufheben – aber neue Untersuchungen deuten darauf hin, dass nur 11 % der großen Websites diese so genannten Einwilligungsmitteilungen entwerfen, um die gesetzlich festgelegten Mindestanforderungen zu erfüllen. Carroll weiß, wie schwierig es sein kann, ein Unternehmen in Schach zu halten. Carroll reichte 2017 eine Beschwerde gegen das Londoner Beratungsunternehmen Cambridge Analytica ein, um Details darüber abzurufen, wie sie heimlich personenbezogene Daten von ihm abgebaut hatte.
Laut Carroll, als Cambridge Analytica Konkurs anmeldete, wurde das Unternehmen dann durch ein Moratorium geschützt. So bekam er nie seine Antwort. Die Saga „entlarvte das Fluchtventil der letzten Instanz” für Unternehmen, die verletzt wurden: Konkurs. Laut der Studie lagern Websites das Design dieser Seiten häufig an sogenannte Zustimmungsmanagementplattformen (CMPs) oder Codebibliotheken von Drittanbietern aus, die behaupten, Website-Besitzern dabei zu helfen, Compliance-Vorschriften einzuhalten. Aber wie diese 11,8% Compliance-Statistik zeigt, schneiden CMPs es einfach nicht. Ein wichtiger Grund dafür ist, dass ihr Design Unternehmen in Verletzung bringt. Das liegt daran, dass dunkle Muster ein Symptom des Geschäfts sind, das Daten als moderne Währung priorisiert: Warum verschenken, wenn Sie es nicht müssen? „Es ist ein Designproblem”, sagt Carroll, „aber es ist in erster Linie ein Geschäftsmodellproblem.” Der Rauch und die Spiegel lenken von der Hauptursache der Nichteinhaltung ab: Unternehmen wollen sich nicht ändern. Beachten Sie, dass die Begriffe „Datenschutzhinweis” und „Datenschutzrichtlinie” nicht im Text der DSGVO enthalten sind und im Wesentlichen austauschbar sind. Die in diesem Artikel erläuterten Richtlinien gelten für alle öffentlichen Dokumente, in denen Ihre Organisation ihre Datenverarbeitungsaktivitäten für Kunden und die Öffentlichkeit beschreibt.