Die Verpflichtung, einen Datenschutzbeauftragten einzusetzen, gilt für:
- alle öffentlichen Stellen (§§ 12 ff. BDSG)
- alle nicht-öffentliche Stellen – Unternehmen – (§§ 27 ff. BDSG)
- mit mehr als neun Mitarbeitern,
- die personenbezogene Daten automatisch verarbeiten (§ 4f Abs. 1 BDSG).
Das Bundesdatenschutzgesetz knüpft eine Bestellpflicht an verschiedene Voraussetzungen und sieht Ausnahmeregelungen für bestimmte Unternehmen vor. Dabei besteht jedoch eine niedrige gesetzliche Schwelle für Unternehmen einen internen oder externen Datenschutzbeauftragten zu bestellen.
Ein relevanter Umgang mit personenbezogenen Daten liegt dabei in der Regel bereits bei einfacher E-Mail-Kommunikation vor. Insbesondere Mitarbeiter der IT-Abteilung sowie Sachbearbeiter und vor allem die Personal- und Finanzabteilungen kommen im Arbeitsalltag häufig mit (sensiblen) personenbezogenen Daten in Kontakt. Dabei ist anzumerken, dass der Begriff der „Person“ nach § 3 Abs. 10 BDSG sehr weit gefasst ist, sodass unabhängig vom arbeitsrechtlichen Status damit alle im Unternehmen eingesetzten Personen – auch freie Mitarbeiter und auszubildende Personen – fallen.
Neben der Verpflichtung, ab einer Anzahl von neun Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten zu bestellen, gibt es auch Regelungen für die nicht-automatisierte Verarbeitung. Liegt diese bei personenbezogenen Daten vor, gilt die Pflicht zur Bestellung eines Datenschutzbeauftragten ab einer Anzahl von zwanzig Mitarbeitern. Zudem besteht unabhängig von der Zahl der Mitarbeiter auch eine Pflicht zur Bestellung, wenn die betreffende Stelle personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder zum Zwecke der Markt- und Meinungsforschung erhebt und nutzt. Die Bestellung eines Datenschutzbeauftragten eines Unternehmens muss in Schriftform erfolgen und kann jederzeit unabhängig vom sonstigen Bestand eines Arbeitsvertrages widerrufen werden.