Das Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 hat bei vielen gemeinnützigen Organisationen und Vereinen jeder Größenordnung für erhebliche Unsicherheit gesorgt. Insbesondere die gegenüber dem zuvor geltenden Datenschutzrecht drastisch erhöhten Bußgelder für Datenschutzverstöße haben den Verantwortlichen vor Augen geführt, dass innerhalb der meisten Organisationen die gesetzlichen Vorgaben des neuen Datenschutzrechts bislang trotz der zweijährigen Vorlaufzeit nicht ansatzweise umgesetzt worden waren. Sowohl der administrative Aufwand als auch die damit verbundenen erheblichen Kosten überfordern viele kleinere gemeinnützige Organisationen, insbesondere wenn die Bestellung eines betrieblichen Datenschutzbeauftragten aus rechtlichen Gründen zwingend vorgegeben ist. Qualifizierte Datenschutzbeauftragte waren insbesondere zum Zeitpunkt des Inkrafttretens der DSGVO schwer zu bekommen, und die Nachfrage führte zu einem entsprechend hohen Preisniveau.
Anderthalb Jahre später ist die seinerzeit befürchtete Abmahnwelle aufgrund von Datenschutzverstößen ausgeblieben, und auch die Datenschutzbehörden haben in den bislang bekannt gewordenen Fällen Bußgelder eher gegen größere gewerbliche Unternehmen verhängt. Dennoch bleiben die gesetzlichen Verpflichtungen zur Umsetzung der Vorgaben aus der DSGVO auch für gemeinnützige Organisationen und Vereine bestehen.
Der Gesetzgeber hat allerdings im Herbst 2019 reagiert und den für die Bestellung eines betrieblichen Datenschutzbeauftragten maßgeblichen Schwellenwert (Anzahl der regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befassten Personen innerhalb der Organisation) von zehn auf zwanzig Personen angehoben.
Erst ab Erreichen dieser neuen Schwelle ist künftig die Bestellung eines Datenschutzbeauftragten erforderlich, sofern die sonstigen gesetzlichen Voraussetzungen vorliegen. Mit dieser Neuregelung des § 38 BDSG dürfte für eine Vielzahl von Vereinen und anderen gemeinnützigen Organisationen die Pflicht zur Bestellung eines externen Datenschutzbeauftragten entfallen, was auch zu erheblichen Kosteneinsparungen führt.
Das dieser Neuregelung zugrundeliegende 2. DSAnpUG-EU ist am 26. November 2019 in Kraft getreten. Der neue Schwellenwert gilt also ab diesem Datum.