Die Benennung eines Datenschutzbeauftragten bedeutet für viele kleine Unternehmen beziehungsweise Organisationen einen erheblichen organisatorischen und finanziellen Aufwand. Nach der aktuellen Fassung der Datenschutz-Grundverordnung („DS-GVO“) und des in Deutschland zusätzlich zu beachtenden Bundesdatenschutzgesetzes („BDSG“) sind die meisten E-Sportorganisationen und Sportorganisationen von genau dieser Pflicht betroffen.
Entscheidend für das Vorliegen der Voraussetzung einer Pflicht zur Bestellung eines Datenschutzbeauftragten ist, ob zehn Personen vorhanden sind, die regelmäßig personenbezogene Daten verarbeiten.
Pflicht.
Der Begriff der „Verarbeitung“ von personenbezogenen Daten (zum Beispiel Name, Kontaktdaten, Spielernamen, Bilder, Gesundheitsdaten) ist sehr weit gefasst. Daher sind grundsätzlich auch Personen aus der Verwaltung des kleinen Unternehmens beziehungsweise der Organisation, zum Beispiel der Teammanager oder sogar der Coach, mit einer Verarbeitung von personenbezogenen Daten betraut. Wenn Teammitglieder jedoch untereinander nur auf Basis der ihnen zur Verfügung gestellten Daten kommunizieren, betreiben sie keine „Verarbeitung“.
Daher trifft das Unternehmen beziehungsweise die Organisation als „Verantwortlichen“ die Pflicht zur Bestellung eines Datenschutzbeauftragten sehr schnell.
Für den E-Sport im Ganzen ist im Gesetz keine Ausnahme von diesen Regelungen vorgesehen.
Änderung.
Glücklicherweise hat der Gesetzgeber reagiert und zum Zwecke der Entlastung kleiner Unternehmen beziehungsweise Organisationen eine Änderung verabschiedet. Durch das neue Gesetz wird die Regelung des § 38 BDSG bezüglich der Notwendigkeit eines Datenschutzbeauftragten angepasst, indem die Zahl der relevanten für den „Verantwortlichen“ tätigen Personen von zehn auf zwanzig angehoben wird. Die Änderung gilt jedoch erst nach Verkündung des Gesetzes, die noch im Laufe des Jahres 2019 zu erwarten ist.
Praxis.
Den Unternehmen und Organisationen ist dennoch zu raten, durch eine entsprechende Organisation zum Beispiel mittels Satzung oder Geschäftsordnung sicherzustellen, dass auch der neue Schwellenwert nicht überschritten wird.
Durch die genaue Abgrenzung von Kompetenzen und Aufgabenbereichen in Bezug auf die Daten kann die Zahl der mit der Verarbeitung betrauten Personen niedrig gehalten werden.
Dabei darf nicht vergessen werden, dass die sonstigen datenschutzrechtlichen Bestimmungen oder Vorschriften zu beachten sind, auch wenn kein Datenschutzbeauftragter zu benennen ist. Die Haftung für Verstöße gegen die DS-GVO beziehungsweise das BDSG besteht fort!