Die Pflicht zur Benennung eines Datenschutzbeauftragten wurde in Art. 37 der Datenschutz-Grundverordnung (DS-GVO) normiert. Unternehmen, Vereine und Verbände haben nach § 38 BDSG (neu) die Pflicht, einen fachlich qualifizierten Datenschutzbeauftragten unter folgender Voraussetzung in der Regel zu benennen: Mindestens 20 Personen verarbeiten ständig automatisiert personenbezogene Daten. Hierzu zählen auch Mitarbeiter in Teilzeit, geringfügig Beschäftigte, Auszubildende, Praktikanten, Geschäftsführer, Vorstande, etc.
Unabhängig von der Zahl der Beschäftigten trifft den Verantwortlichen die Benennungspflicht, soweit automatisierte Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden (§38 Abs. 1 Satz 2 BDSG n.F.). Jedoch muss auch ohne Benennung eines DSB dafür Sorge getragen sein, dass alle datenschutzrechtlichen Vorschriften eingehalten werden.
Stellung eines fachlich qualifizierten, externen Datenschutzbeauftragten.
Soll-Ist-Analyse des vorhandenen Datenschutz- und IT-Sicherheitsniveaus.
Ihre Mitarbeiter werden geschult und auf das Datengeheimnis verpflichtet.
Dokumentation der gesetzlich erforderlichen Konzepte, Richtlinien und Informationen.