Ein Datenschutzbeauftragter (DSB) ist zu benennen, wenn mindestens eines der folgenden Kriterien zutrifft:

• 20 Mitarbeiter sind regelmäßig mit automatisierter Datenverarbeitung beschäftigt.
• Es werden besondere Arten von personenbezogenen Daten (z. B. Gesundheitsdaten, Bankdaten, usw.) in hohem Maße verarbeitet. (Bsp. Arztpraxisgemeinschaften, Kreditinstitute, usw.).
• Die Kerntätigkeit liegt in der Verarbeitung von personenbezogenen Daten. (z. B. Vermarktung von Kundendaten für Werbe- oder Marketingzwecken).
• Die Durchführung einer Datenschutz Folgeabschätzung (DSFA) ist erforderlich.

Der Datenschutzbeauftragte muss nach Art. 37 Abs. 8 DS-GVO der zuständigen Aufsichtsbehörde gemeldet werden. Interne Datenschutzbeauftragte genießen nach Abberufung oder Amtsverzicht noch ein Jahr Kündigungsschutz.

Musterprozess:

1. Wir verarbeiten keine personenbezogenen Daten und haben deshalb keinen Datenschutzbeauftragten benannt.
2. Wir erfüllen o. g. Kriterien nicht und müssen daher keinen DSB bestellen.
3. Wir erfüllen o. g. Kriterien und haben einen Datenschutzbeauftragten benannt. Dieser wurde der zuständigen Aufsichtsbehörde gemeldet.