Die Bestellung eines Datenschutzbeauftragten kann von jedem Unternehmen freiwillig vorgenommen werden. Dies kann sich beispielsweise positiv auf die Außendarstellung des Unternehmens auswirken, sowie das Haftungsrisiko mindern. Darüber hinaus ist die Bestellung eines DSB für viele Unternehmen jedoch nicht nur sinnvoll, sondern sogar verpflichtend.

Die Bestellung eines Datenschutzbeauftragten ist nach den Grundsätzen des §38 BDSG-neu für Unternehmen in folgenden Fällen zwingend erforderlich:

Das Unternehmen beschäftigt mehr als 20 Mitarbeiter. Dabei kommt darauf an, wie viele Mitarbeiter regelmäßig automatisiert Daten verarbeiten - nicht auf die zeitliche Auslastung der Mitarbeiter (Halbe oder Viertel Stellen). Das Auszählen der PC Arbeitsplätze oder auch der personengebundenen E-Mail Postfächer stellen eine bewährte Methode zur Annäherung dar. Bereits die Bearbeitung einer E-Mail ist als automatisierte Verarbeitung zu werten.

Sollte das Unternehmen Markt- und Meinungsforschung im Hauptzweck betreiben, ist es unabhängig von der Anzahl der Mitarbeiter verpflichtet einen Datenschutzbeauftragen zu stellen.

Dies gilt nach Art. 37, Abs. 1, lit. a-c DSGVO auch in folgenden Fällen:

Der datenverarbeitende Betrieb ist eine Behörde oder eine andere öffentliche Stelle.

Sollten besonders personenbezogene Daten regelmäßig verarbeitet werden (vgl. Art. 9 DSGVO), z.B. biometrische Daten, Kranken-/ Gesundheitsdaten usw.