Wer muss was tun?
Das klingt leider auch trivialer als es ist.
Sie betreiben eine Webseite - dann müssen Sie beachten, dass sowohl der Provider als auch Ihr Web-Designer den Status von Auftragsbearbeitern haben. Beide haben die Möglichkeit an personenbezogene Daten Ihrer Webseite zu kommen - das reicht.
Sie haben die Verantwortung sicher zu stellen, dass beide die DSGVO einhalten - und ein 'Ich gelobe die DSGVO einzuhalten' reicht da leider nicht, da müssen entsprechende Verträge abgeschlossen werden.
Sie haben ein Firmen-Handy und benutzen darauf eine beliebige App (wir nenne diese mal WAp) und akzeptieren in den Lizenzbedingen (die App ist immerhin ja kostenlos) den kompletten Zugriff auf Ihr Adressbuch, in welchem Sie alle möglichen Kundenkontakte abgelegt haben.
Damit verstoßen Sie direkt und recht umfangreich gegen die DSGVO.
Warum:
Sie erfassen Personendaten im Adressbuch des Handys und übergeben diese an WAp (WAp wird damit zum Auftragsverarbeiter). Gem. DSGVO müssen Sie gegenüber den realen Personen in Ihrem Adressbuch sicherstellen:
beides ist für Sie aber mehr oder weniger unmöglich, denn Sie haben die Daten zum freien Gebrauch weiter gegeben.
Achten Sie darauf, Apps zu verwenden die garantiert nicht auf Ihre Kontakte zugreifen.