Für öffentliche Stellen zeigt Art. 85 DSGVO dann Relevanz, sofern sie Grundrechtsträger nach Art. 11 GRCh oder Art. 13 GRCh sind. So können sich öffentlich-rechtlich organisierte Rundfunkanstalten bei staatlicher Unabhängigkeit auf die Medienfreiheit, Universitäten sich auch bei öffentlich-rechtlicher Organisation auf Art. 13 GRCh berufen.
Praktische Relevanz ist bei nicht-öffentlichen Stellen (also natürliche und juristische Personen) insbesondere bei Presse- bzw. Medienunternehmen und Rundfunkveranstaltern gegeben. Auch für Bewertungsportale, soziale Netzwerke oder Anbieter von Online-Inhalten kann Art. 85 DSGVO Relevanz haben, vorausgesetzt, ihre Beiträge haben meinungsbildende Funktion für die Allgemeinheit und sind nicht nur schmückendes Beiwerk, was im Einzelfall festzustellen ist. Dies gilt auch für private Personen, wie z.B. Blogger, sofern sie journalistisch tätig sind, der journalistisch-redaktionelle Gehalt des Beitrags im Vordergrund steht und die meinungsbildende Wirkung zu bejahen ist.
Für betroffene Personen, deren persönliche Daten im Rahmen privilegierter Zwecke genutzt werden, bedeutet Art. 85 DSGVO eine Beschränkung ihrer Rechte. Die zulässigen Ausnahmen und Abweichungen, die der Mitgliedstaat festlegen darf, betreffen beispielsweise Einschränkungen ihrer Auskunfts- und Berichtigungsansprüche oder die Nutzung ihrer personenbezogenen Daten ohne deren Einwilligung. Ihnen steht bei Zuwiderhandlungen ein Schadensersatzanspruch auf der Grundlage des Art. 82 DSGVO zu, sofern auch im Lichte des privilegierten Zwecks ein Verstoß gegen das Datenschutzrecht anzunehmen ist.
Die datenschutzrechtliche Kontrolle erfolgt über die zuständigen Aufsichtsbehörden. Für den Medienbereich ist zwischen Presse, öffentlich-rechtlichem und privatem Rundfunk, Presse und dem öffentlich-rechtlichen und privaten Rundfunk als Telemedienanbieter zu unterscheiden:
Für die Presse wird auch nach Inkrafttreten der DSGVO sowohl für den Printbereich wie auch für den Bereich der Telemedien die Sonderkonstellation der Kontrolle über den Redaktionsdatenschutz durch den Deutschen Presserat fortgeführt, der als Einrichtung der freiwilligen Selbstkontrolle agiert. Voraussetzung ist dabei die Unterwerfung unter die freiwillige Selbstkontrolle der Presse.
Die datenschutzrechtliche Kontrolle des öffentlich-rechtlichen Rundfunks erfolgt für den journalistisch-redaktionellen Bereich seitens eigener Datenschutzbeauftragter und zwar auch, wenn sie als Anbieter von Telemedien auftreten. Der neue RStV verleiht dem Rundfunkbeauftragten für Datenschutz beim ZDF wie auch beim Deutschlandradio den Status einer echten Aufsichtsbehörde im Sinne der DSGVO, was auch die landesrechtlichen Regelungen für die ARD sicherstellen sollen.
Die datenschutzrechtliche Kontrolle des privaten Rundfunks ist in den einzelnen Bundesländern unterschiedlich geregelt. Je nach Bundesland kann z.B. eine spezielle Kontrolle für den journalistisch-redaktionellen Bereich durch die zuständige Landesmedienanstalt vorgesehen sein (z.B. NRW). Je nach landesrechtlicher Regelung überwacht dann die für den Datenschutz im journalistischen Bereich zuständige Stelle auch die journalistisch-redaktionell gestalteten Telemedienangebote.