Nach den derzeit geltenden Regelungen besteht eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten in der Regel, wenn
- bei einem automatisierten Verfahren mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder
- bei einer nicht automatisierten Datenverarbeitung mindestens 20 Personen mit der Erhebung, Verarbeitung oder Nutzung beschäftigt sind.
Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen sieht das BDSG noch eine Reihe weiterer Fälle vor, in denen ein Datenschutzbeauftragter zu bestellen ist. Dies betrifft u.a. Auskunfteien, Adressverlage und Markt- und Meinungsforschungsinstitute sowie Unternehmen, die besonders sensitive Daten verarbeiten (z.B. Gesundheitsdaten).
Ab kommenden Jahr ergibt sich aus Art. 37 Abs. 1 DSGVO die Bestellpflicht eines Datenschutzbeauftragten für die folgenden Fälle:
- die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10
- In anderen als den zuvor genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln (dies folgt aus Art. 37 Abs. 4 DSGVO)