Ich habe meistens nur viel BlaBla und wenig konkret rechtssicheres dazu gefunden
Das ging mir bei anderen Baustellen meistens ganz genauso. Es wurde mit der DSGVO viel Schindluder getrieben, Panikmache, wenig Greifbares. Wenn man sich genauer damit befasst wird einem klar, weshalb es so wenig Greifbares gab: Die europäische DSGVO ist ein typischer EU-Minimalkompromiss mit vielen Ausnahmen für die einzelnen EU-Staaten. In den meisten Punkten blieb die DSGVO hinter dem Schutzniveau nach deutschem Recht zurück. Also hat sich Berlin die Sache einfach gemacht und nutzt weitestgehend die Öffnungsklauseln, wodurch vieles auch nach dem 1.5.2018 einfach so bleibt wie es ist. Die Bagatellgrenzen für die Bestellung eines Datenschutzbeauftragten bleiben z.B. gleich, weil die DSGVO eigentlich gar keine Bestellpflicht mehr vorsieht. Lediglich die Datenschutzerklärung muss man ein bissi überarbeiten bzw. neu erstellen wenn man noch keine hatte.
Die DS-Erklärung ist ein lustiges Konstrukt geworden. Man findet viele Muster-Erklärungen im Netz, alle im typischen Beamtensprech verfasst. Weil die DSGVO hier aber ausdrücklich "einfache Verständlichkeit" einfordert, dürfte es hier Abmahnrisiken geben wenn die Erklärung allzu gestelzt ist. Oder man verfasst die gleich zweisprachig: Auf Deutsch und "Beamtisch" parallel