Ein Datenschutzbeauftragter muss bestellt werden, wenn mindestens 20 Mitarbeiter regelmäßig mit Verarbeiteitung personenbezogener Datenverarbeitung beschäftigt sind.
Unabhägig von der Mitarbeiterzahl gilt diese Pflicht auch dann:
- wenn besondere Kategorien von personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie/Rasse, Gesundheit, ...) verarbeitet werden.
- wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
- Datenverarbeitungen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 Datenschutzgrundverordnung (DSGVO) unterliegen.
Die Vorgaben wann ein Datenschutzbeauftragter im Unternehmen, im Verein oder in einer Behörde eingesetzt werden muss, finden sich zum einen in Artikel 37 Datenschutzgrundverordnung (DSGVO) und zum anderen in § 38 Bundesdatenschutzgesetz (BDSG-neu).