Die DS-GVO betrifft alle Unternehmen, Vereine, Behörden und Kirchen, die personenbezogene Daten von EU-Bürgern verarbeiten, und zwar unabhängig davon, ob das betreffende Unternehmen in der EU ansässig ist oder nicht (Marktortprinzip).

(Die Schreibweise, ob DSGVO, DS-GVO, EU-DSGVO, ..., wird tatsächlich branchenübergreifend mal so und mal so verwendet.)

Das kommt ganz auf die Sichtweise an.
Firmen, die sich schon heute verantwortungsvoll um die Daten ihrer Kunden und Mitarbeiter kümmern, werden die DSGVO nicht als Bürde empfinden und die Vorgaben verhältnismässig einfach umsetzen können.

Firmen, die sich wenig bis gar nicht um den Datenschutz gekümmert haben, haben nun erheblich mehr Aufwand.
Aus Sicht der Betroffenen ist das sehr positiv. Datenmissbrauch und Datenschutzpannen sind allgegenwärtig und Betroffene haben in solchen Fällen persönliche und wirtschaftliche Probleme. Die Datenschutz Grundverordnung tritt an, damit solche Fälle im Vorfeld unterbunden werden und Firmen verantwortungsvoll mit personenbezogenen Daten umgehen.

Bitte nicht vergessen: Datenschutz ist ein Grundrecht. Jeder Mensch hat das Recht, selbstbestimmt über seine Daten zu verfügen. Firmen, die das missachten, gefährden das Vertrauen in ihre Kunden und vor allem ihre Gewinne.

Wo stehen Sie als Unternehmen?

Konkrete Punkte/kleine Checkliste:

• Alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, sind in einem Verzeichnis von Verarbeitungstätigkeiten (VVT) zu dokumentieren.
  Das ist ein wichtiger Baustein für die Rechenschaftspflicht und für Auskünfte an Betroffene oder Aufsichtsbehörden und gilt auch für Auftragsverarbeiter (z. B. externe Lohnbuchhaltung).
  Siehe z. B. hier: https://www.lda.bayern.de/de/infoblaetter.html

• Damit wirklich alle Vorgänge mit personenbezogene Daten korrekt erfasst werden, muss bei allen Mitarbeitern ein Bewusstsein für die Dringlichkeit des Themas geschaffen werden. Datenschutz ist ein Grundrecht.
  Angepasste Richtlinien und Schulungen helfen hier, Ihr Unternehmen zu schützen.

• Bestehende Einwilligungserklärungen (z. B. für Newsletter) sind zu prüfen und gegebenenfalls neu einzuholen, wenn im Wesentlichen
  a) der Nachweis fehlt,
  b) der Betroffene nicht über Widerruf und Freiwilligkeit informiert wurde,
  c) die Einwilligung an weitere Verarbeitungen gekoppelt wurde.
  Siehe z. B. hier: IHK Rheinhessen Merkblatt EU-DSGVO Einwilligung

• Es muss intern geregelt sein, wie auf Anfragen von Betroffenen reagiert wird.
  Was passiert z. B. wenn ein Kunde anfragt, welche Daten über ihn bei Ihnen gespeichert sind?
  Was passiert, z. B. wenn diese Daten gelöscht werden sollen?

• Es muss intern geregelt sein, wie Datenpannen innerhalb von 72 Stunden nach Kenntnisnahme der Aufsichtsbehörde gemeldet werden.

• Wichtig: Ihre Homepage!
  Hier haben sie einen schnellen und effektiven Ansatz, Besuchern und Behörden zu zeigen, dass Sie sich mit der DS-GVO beschäftigt haben.
  Siehe z. B. hier: https://datenschutzhinweis-online.de/

Wer sich in seinen Datenschutzrechten verletzt sieht, kann künftig Beschwerde bei der Datenschutzbehörde des eigenen Landes einreichen. Dabei ist es mit der DSGVO nun egal, wo und in welchem Land das betroffene Unternehmen seinen Hauptsitz hat. Auch Verbände wie Verbraucherschutzorganisationen dürfen nun im Auftrag von Verbrauchern klagen - Stichwort Verbandsklage.

Vereinfacht:

• Firmen ab 20 Mitarbeitern (auch externe, Praktikanten, Leiharbeiter,...), die personenbezogene Daten verarbeiten (und das ist schon eine E-Mail schreiben mit Zugriff auf das Firmenadressbuch)
• Firmen, die besondere (sensible) persönliche Daten verarbeiten (rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
• Firmen, die personenbezogene Daten geschäftsmäßig übermitteln, erheben, verarbeiten oder nutzen (z. B. Adresshändler, Meinungsforscher,...)

Ihr Datenschutzbeauftragter braucht zum Erfolg drei Kernkompetenzen:

1. fachliches Verständnis für die Rechtslage
2. technisches Verständnis der Abläufe, Sicherheitsmaßnahmen und deren interaktive Verbindungen
3. Fingerspitzengefühl, Überzeugungskraft und Augenmaß bei der Umsetzung gesetzlicher Vorgaben

Ein intern bestellter Datenschutzbeauftragter erlangt behält seine Fachkunde mit Schulungen und zweigt einen Teil seiner Arbeitszeit für seine Aufgaben als Datenschutzbeauftragter ab. Da er für gewöhnlich die Abläufe im Unternehmen kennt, kann eine interne Bestellung durchaus sinnvoll sein. Auf der anderen Seite besteht die Gefahr einer gewissen "Betriebsblindheit" und einer umständlichen Integration in die bestehenden Aufgaben.

Der externe DSB ist bereits ausgebildet und konzentriert sich voll auf die Datenschutz-Aufgaben.  Er bringt wertvolle Erfahrungen aus anderen Firmen/Branchen mit ein und kann sich als neutraler Ansprechpartner positionieren. Zu dem bedeutet ein externer Datenschützer ein in vielen Branchen nicht zu unterschätzender Imagegewinn für Ihr Unternehmen. Zu guter Letzt ist es natürlich auch eine Kostenfrage, wobei in vielen Fällen ein externer Datenschutzbeauftragter tatsächlich budgetschonender ist als ein interner Mitarbeiter auf diesem Posten.

Der Preis für einen externen Datenschutzbeauftragen ermittelt sich aus Einmalkosten, monatlicher Pauschalen und Aufwände für Folgeprojekte.

Initial fallen Kosten für die Analyse der Ist-Situation, daraus resultierende, konkrete Handlungsempfehlungen und die Begleitung der Umsetzung an.
Ein wichtiger Punkt dabei ist Sensibilisierung und Schulung aller Mitarbeiter, damit der Datenschutz nicht nur ein Kostenfaktor ist, sondern ein gewinnbringendes Aushängeschild Ihres Unternehmens wird.

Ist das Datenschutzniveau erreicht, ist der externe Datenschutzbeauftragte  Ansprechpartner für Mitarbeiter und Kunden zu allen Fragen rund um den Datenschutz.
Zudem steht er für Folgeprojekte und Updates zur Verfügung.

Diese Kosten lassen sich nach einer ersten Analyse recht genau kalkulieren.

Kostenidee interner DSB:

• Jahresgehalt 40.000 Eu, davon 20% als Datenschutzbeauftragter tätig ~ 8.000,00 Eu
• jährliche Aufwendungen für Weiterbildung ~2.500,00 Eu

Kostenidee externer DSB:

• erstes Jahr oberer vierstelliger / kleinerer fünfstelliger Betrag
• Folgejahre kleinerer-mittlerer vierstelliger Betrag

Selbst wenn der externe Datenschutzbeauftrage im ersten Jahr etwas höherpreisig ist, ist es über mehrere Jahre verteilt oft kostengünstiger, mit einem externen Datenschützer zu arbeiten. Die genauen Vor- und Nachteile, sowie ein seriöser Preisvergleich, lassen sich nur individuell erörtern.