Der Datenschutzbeauftragte muss in einem Unternehmen benannt werden sobald:

• 20 oder mehr Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind
• Besondere Kategorien von Daten (sensible Daten) verarbeitet werden, dazu gehören:
  rassische und ethische Herkunft, Parteizugehörigkeit, politische, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, medizinische Informationen (Gesundheitsdaten), Sexualleben, genetische oder biometrische Daten
• Daten verarbeitet werden, die eine Datenschutzfolgenabschätzung benötigen
• bei geschäftsmäßiger Nutzung der Daten, wie z. B. Marktforschung und Meinungsumfragen

Der Datenschutzbeauftragte hat eine unterrichtende und beratende Tätigkeit. Er ist der Ansprechpartner für die betroffenen Personen, Mitarbeiter und die Geschäftsführung.
Zu seinen Aufgaben gehört u.a. Überwachung der Einhaltung der Datenschutzgesetze und der EU DSGVO, Schulung und Sensibilisierung der Mitarbeiter in Belangen des Datenschutzes.
Erstellung einer Datenschutzstruktur für das Unternehmen.
Auf Anfrage muss er bei Belangen der Datenschutzfolgeabschätzung beratend zur Seite stehen und mit der Aufsichtsbehörde zusammenarbeiten. Er darf durch seine Position im Betrieb nicht in Konflikt (z.B. IT-Admin, leitende Angestellte, Geschäftsführung) geraten.

Hinweis: Mit Inkrafttreten der DSGVO musste ein Datenschutzbeauftragter benannt werden, sobald mindestens 10 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt waren. Diese Zahl wurde zwischenzeitlich auf 20 erhöht.