So wie Ihnen geht es leider sehr vielen kleinen Unternehmen und Selbständigen hier in Deutschland. Und die staatlichen Datenschutzbeauftragten selbst sind derart überlastet, dass sie dabei auch nicht helfen können. Insgesamt hat die deutsche und europ. Politik mit dieser DSGVO einen wahren Schildbürger-Streich hingelegt, der so weit über sein Ziel hinaus geht, dass es kaum zu fassen ist.
Die großen Unternehmen (Google, Facebook usw), um die es ursprünglich eigentlich ging, haben damit überhaupt kein Problem, da diese a) genug Kapital und b) genug Personal haben, die Umstellung zu kompensieren. Darüber hinaus haben viele dieser großen Unternehmen zwar das Nötigste geändert, im Weiteren aber nur ihre AGB geändert, so dass die Nutzer gar nicht oder nur mit erheblichem Aufwand einen tatsächlichen Schutz ihrer Daten erreichen und durchsetzen können.
Unternehmen wie Vodafone, Yahoo, AOL usw. haben in ihren Online-Accounts ein Labyrinth an Seiten aufgebaut durch die man sich durcharbeiten muss, wenn man seine Daten bzw. sich selbst vor der Nutzung der Daten schützen möchte. Klickt man aber bequemer Weise nur auf das aufdringlich angebotene "OK", gibt man seine Zustimmung für praktisch jede Nutzung der eigenen Daten.
Kleine Unternehmen und Selbständige jedoch haben in der Regel weder das Personal noch die finanzielle Ausstattung solche Lösungen herbei zu führen. Sie müssen in den sauren Apfel beißen und die DSGVO am sichersten Punkt für Punkt umsetzen. Und trotzdem stehen sie immer mit einem Bein "im Gefängnis", denn viele Punkte sind so unpräzise gefasst, dass man sehr viel hinein interpretieren kann. Man denkt, man hat sein Bestes getan, und doch kann jemand, der einem Böses will (z.B. Abmahn-Anwälte) an den Karren fahren und erheblich schaden. Anfänglich hat die Politik lauthals verkündet, man würde diese Abmahn-Möglichkeiten einschränken, getan hat man jedoch nichts. Und inzwischen haben auch bereits Gerichte bestätigt, dass unter gewissen Umständen solche Abmahnungen gar nicht unterbunden werden können. Die Politik lässt die kleinen Unternehmen und Selbständigen, die Vereine, Schulen, Kitas, usw. wieder mal alleine im Regen stehen.
Viele machen deshalb auch so weiter wie bisher und hoffen, dass sie nicht in den Fokus von Prüfern (die staatlichen Datenschutzbeauftragten) oder solche Abmahnern geraten. Eine Lösung ist das natürlich nicht. Also sollte man mindestens einen internen oder noch besser einen externen Datenschutzbeauftragten für die Firma beauftragen: http://bit.ly/2R9hV6b, der die Regeln der DSGVO im Unternehmen umsetzt und sicherstellt, dass man sich nicht aufs Eis begibt. Der Unternehmer/Selbständige selbst darf diese Aufgabe nicht übernehmen (Gewaltentrennung/Interessenkonflikt). Im Idealfall trägt dieser Datenschutzbeauftragte auch die Verantwortung, aber ich befürchte dass ein gutes Stück davon immer auch am Unternehmer/Selbständigen hängen bleibt.
Für klein(st)e Unternehmen gibt es zwar auf den ersten Blick eine Sonderlösung, nach der sie keinen solchen Datenschutzbeauftragten benötigen, aber wenn man genau hinsieht, dann ist das wohl eher eine Illusion. Denn die Voraussetzungen dafür sind in einem auch nur einigermaßen modernen Betrieb kaum zu erfüllen. Und das ist wohl auch so gewollt.
Ich wünsche Ihnen viel Glück und Erfolg beim Umsetzen der DSGVO.
