Anderthalb Jahre später ist die seinerzeit befürchtete Abmahnwelle aufgrund von Datenschutzverstößen ausgeblieben, und auch die Datenschutzbehörden haben in den bislang bekannt gewordenen Fällen Bußgelder eher gegen größere gewerbliche Unternehmen verhängt. Dennoch bleiben die gesetzlichen Verpflichtungen zur Umsetzung der Vorgaben aus der DSGVO auch für gemeinnützige Organisationen und Vereine bestehen.
Der Gesetzgeber hat allerdings im Herbst 2019 reagiert und den für die Bestellung eines betrieblichen Datenschutzbeauftragten maßgeblichen Schwellenwert (Anzahl der regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befassten Personen innerhalb der Organisation) von zehn auf zwanzig Personen angehoben.
Erst ab Erreichen dieser neuen Schwelle ist künftig die Bestellung eines Datenschutzbeauftragten erforderlich, sofern die sonstigen gesetzlichen Voraussetzungen vorliegen.
Mit dieser Neuregelung des § 38 BDSG dürfte für eine Vielzahl von Vereinen und anderen gemeinnützigen Organisationen die Pflicht zur Bestellung eines externen Datenschutzbeauftragten entfallen, was auch zu erheblichen Kosteneinsparungen führt.
Das dieser Neuregelung zugrundeliegende 2. DSAnpUG-EU ist am 26. November 2019 in Kraft getreten. Der neue Schwellenwert gilt also ab diesem Datum.