Mit Einführung der Datenschutzgrundverordnung (DS-GVO) ist eine Bestellpflicht für Datenschutzbeauftragte in allen EU-Staaten eingeführt worden. In Deutschland regelt in Ergänzung zur DS-GVO das neue Bundesdatenschutzgesetz (BDSG neu) darüber hinaus weitere Einzelheiten und ersetzt das bisherige alte Bundesdaten-schutzgesetz.
Auf den Punkt gebracht muß jedes Unternehmen, in dem mindestens zehn Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten bestellen ( § 38 (1) BDSG-neu).
Die Arbeitnehmereigenschaft der beschäftigten Personen ist nicht entscheidend, d.h. „…neben Vollzeitbeschäftigten sind daher z.B. auch Teilzeitbeschäftigte, Leiharbeiter, Auszubildende und Praktikanten bei der Kalkulation der 10 Personen zu berücksichtigen.“*
Personenbezogene Daten können z.B. auch schon allein Emailadressen sein.
Darüber hinaus existieren noch weitere „Muss“- Kriterien zur Bestellung eines betrieblichen Datenschutzbeauftragten, unabhängig von der Anzahl der mit der Verarbeitung personenbezogener Daten beschäftigten Personen, etwa wenn „…personenbezogen Daten geschäftsmäßig zum Zweck der Übermittlung , der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung…“* verarbeitet werden oder Datenverarbeitungen im Unternehmen durchgeführt werden, die ein hohes Risiko für die Rechte der betroffenen Personen bergen etwa Gesundheitsdaten oder Daten die eine Profilbildung ermöglichen können. In den letztgenannten Fällen ist zusätzlich eine Datenschutz-Folgeabschätzung durchzuführen.
*Quelle u.a.: Der Hessische Datenschutzbeauftragte: „Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht“ Stand Juni 2017 und DS-GVO