Eine aktuelle Umfrage des Ifo-Instituts und des Personaldienstleisters Randstad bestätigt, was viele bereits ahnten: insbesondere bei klein- und mittelständischen Unternehmen (KMU) ist die Unsicherheit in der Umsetzung der neuen datenschutzrechtlichen Anforderungen weiterhin extrem groß.
Die im letzten Blog-Beitrag beispielhaft genannten Kosten für einen Selbständigen werden dabei für KMU nochmals deutlich übertroffen – 88% der Befragten geben an, dass die Umsetzung der DSGVO für sie mit bis zu 100.000 EUR an Kosten verbunden ist. Daneben besteht weiterhin eine große Unsicherheit, ob die Anforderungen der DSGVO korrekt umgesetzt werden. Viele Unternehmen fühlen sich weiterhin nicht ausreichend informiert. Positive Effekte sind jedoch im Datenschutz ebenfalls zu verzeichnen. Geht es nach den Befragten, stellt man eine starke Sensibilisierung für den Themenkomplex „Datenschutz“ bei Kunden, Dienstleistern, Geschäftspartnern sowie der breiten Bevölkerung fest.
„Wichtig und richtig“ mag jetzt an dieser Stelle für viele KMU und Selbständige ein Zwischenfazit sein. Dass mit der DSGVO binneneuropäisch ein Wettbewerbsvorteil gegenüber Staaten mit laxeren Datenschutzvorschriften entsteht, wird sich perspektivisch sicherlich ebenfalls noch zeigen. Eine breite Sensibilisierung für den Datenschutz kann in Zeiten von wiederkehrenden Datenskandalen bei z. B. SocialMedia-Plattformen absolut auch nicht schaden. Vergessen wir an dieser Stelle jedoch nicht diejenigen, die mit den neuen Möglichkeiten und Rechten für die von der Datenerhebung und –verarbeitung Betroffenen umgehen müssen. Neben inhaltlichen Angaben, die man als Verein, KMU oder Selbständiger erbringen muss, stehen gleichfalls Anforderungen an die Herausgabe und Information über die Erhebung und Verarbeitung personenbezogener Daten im Raum.
Gehen wir doch einen Schritt weiter, wie es auch die DSGVO und das BDSG vorsehen und legen Sie sich einmal die Hand auf’s Herz. Während sich die meisten Betroffenen der DSGVO mit der Umsetzung auf ihrem Internetauftritt, in internen Prozessen oder bei Marketingmaßnahmen über SocialMedia-Plattformen (z. B. Influencer-Marketing) beschäftigen, werden sich die wenigsten damit befasst haben, was zu tun ist, wenn eine Person mit berechtigtem Interesse die personenbezogenen Daten einsehen oder diesen widersprechen möchte. Insbesondere bei bereits über SocialMedia-Kanäle verbreiteten Inhalten eine wesentliche Fragestellung, der man sich widmen muss. Personenbezogene Daten sind in der DSGVO dabei ein weit gefasster Begriff, der ebenso weite Auslegungen und insbesondere Auswirkungen auf Prozesse haben kann. Die Definitionen in Art. 4 DSGVO sind dabei eng mit den Grundsätzen der Verarbeitung (Art. 5 DSGVO) sowie der Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO) verbunden. Der genaue Umfang personenbezogener Daten kann daher von einer Speicherung s. g. Cookies über den Internetauftritt bis hin zu Fotografien reichen, die eine personenbezogene Datenerhebung oder –verarbeitung ermöglichen. Verbunden mit dem in der DSGVO neu verankerten „Recht auf Vergessen“ nach Art. 17 DSGVO i. V. m. §§ 57 BDSG können betroffene Personen unter Umständen eine Einsicht oder gar Löschung der personenbezogenen Daten (u. a. auch Fotomaterial, das ggf. bereits über SocialMedia-Kanäle verbreitet wurde) verlangen.
Quellen: https://www.cesifo-group.de/de/ifoHome/facts/Survey-Results/Personalleiterbefragung/Archiv/Personalleiterbefragung-2018Q1.html; https://www.randstad.de/fuer-unternehmen/wissenswertes/randstad-ifo-Personalleiterbefragung, Abruf am 31.07.2018.