Bei den Verhandlungen zur Datenschutz-Grundverordnung hat die Bundesregierung Wert auf eine angemessene, die besonderen Belange kleinerer Institutionen berücksichtigende Ausgestaltung gelegt.
Ob und in welchem Umfang die Pflichten der Datenschutz-Grundverordnung zu erfüllen sind, bemisst sich daher vor allem nach dem Umfang, den Zwecken und der Schwere des von der Datenverarbeitung ausgehenden Risikos (sog. risikobasierter Ansatz). Lediglich Institutionen, deren Geschäftszweck (Kerntätigkeit) in der Verarbeitung personenbezogener Daten liegt oder die außergewöhnliche, hochriskante Datenverarbeitungsvorgänge vornehmen, unterliegen dem vollen Pflichtenkatalog der Datenschutz-Grundverordnung.
Geht die Datenverarbeitung hingegen nicht über eine übliche, unterstützende Tätigkeit (z.B. Lohnabrechnung, Mitglieder- und Beitragsverwaltung, Betrieb einer Vereinswebsite) hinaus, führt die Datenschutz-Grundverordnung im Vergleich zur geltenden Rechtslage zu keinen wesentlichen Neuerungen.
Die Verarbeiterpflichten des Kapitels IV der Datenschutz-Grundverordnung sind nach geltendem Datenschutzrecht bereits bekannt, etwa die Pflicht zu geeigneten technischen und organisatorischen Maßnahmen, die Bestellung betrieblicher Datenschutzbeauftragter oder die Erstellung eines Verarbeitungsverzeichnisses.
Für die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit gilt: Nicht jede Datenverarbeitung erfordert gleich hohe Sicherheitsstandards. Es ist ein dem Risiko angemessenes Schutzniveau unter Berücksichtigung der Implementierungskosten erforderlich. Im Rahmen der üblichen Vereins- oder ehrenamtlichen Tätigkeit genügen daher im Regelfall bereits Standardmaßnahmen, wie die Lagerung personenbezogener Daten in abschließbaren Vorrichtungen, aktuelle Betriebssysteme mit Passwortschutz, Zugriffsrechten und aktuellem Virenschutz den Anforderungen.
Ein betrieblicher Datenschutzbeauftragter ist – wie bislang auch schon – bei Vereinen und ehrenamtlichen Institutionen in der Regel nur dann zu bestellen, wenn „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind (§ 38 Absatz 1 Satz 1 BDSG 2018).
Eine Datenschutz-Folgeabschätzung bei hochriskanten Datenverarbeitungen, die unabhängig von diesem Schwellenwert zur Bestellung betrieblicher Datenschutzbeauftragter führt, ist nur in deutlich von den üblichen Verarbeitungstätigkeiten in Vereinen und ehrenamtlichen Institutionen abweichenden Einzelfällen angezeigt. Die Pflicht gilt daher nicht schon ab zehn Beschäftigten oder Mitgliedern, sondern regelmäßig erst bei mehr als neun in der Verwaltung (d. h. insbesondere in der Mitglieder- und Beitragsverwaltung sowie der Lohnabrechnung) tätigen Mitarbeitern. Nur diese sind „ständig“ – und nicht nur regelmäßig oder bei Gelegenheit – mit der automatisierten Verarbeitung personenbezogener Daten betraut.
Betriebliche Datenschutzbeauftragte können Beschäftigte oder externe Dienstleister sein. Die Datenschutzbeauftragten müssen über die zur Erfüllung ihrer Beratungs- und Überwachungsfunktionen erforderlichen zeitlichen Ressourcen verfügen, was jedoch keinesfalls eine vollständige Freistellung erfordert.
Die Bestellung betrieblicher Datenschutzbeauftragter auf freiwilliger Grundlage bleibt zulässig. Denn auch hier gilt: Die Befreiung von der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragen befreit im Übrigen nicht von der Einhaltung des Datenschutzrechts!
Das schon bislang zu führende Verfahrensverzeichnis wird durch das Verzeichnis der Verarbeitungstätigkeiten ersetzt. Das Verfahrensverzeichnis umschreibt stichpunktartig die wesentlichen Angaben jeder Verarbeitungstätigkeit, wie z. B. die Zwecke der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger.
Die Rechte der betroffenen Personen auf Information und Auskunft werden durch die Datenschutz-Grundverordnung zwar ausgeweitet, sind mit Ausnahme des Rechts auf Datenübertragbarkeit (Artikel 20 Datenschutz-Grundverordnung) aber ebenfalls nicht neu. Das zum 25. Mai 2018 in Kraft getretene, novellierte Bundesdatenschutzgesetz 2018 enthält ergänzende Ausnahmen von den Betroffenenrechten, die an die bisherige Rechtslage in Deutschland nach dem alten Bundesdatenschutzgesetz anknüpfen.
Die Aufsichtsbehörden haben mittlerweile eine Vielzahl abgestimmter Kurzpapiere zur Umsetzung der Datenschutz-Grundverordnung veröffentlicht, die auch den Bedürfnissen kleinerer und mittlerer Institutionen Rechnung tragen. Zu verweisen ist insbesondere auf die Handreichung des Bayerischen Landesamtes für Datenschutzaufsicht für kleine Unternehmen und Vereine, welche die Anforderungen der Datenschutz-Grundverordnung für typische Vereinstätigkeiten in der praktischen Umsetzung (für den Freistaat Bayern) erläutert.