Datenschutzbeauftragte müssen bestellt werden, wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht, oder
d) wenn nationale Gesetze dies vorschreiben (z.B. § 38 BDSG-Deutschland, soweit aa) Im Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (hierzu genügt z.B., dass ein Mitarbeiter über ein E-Mail-Postfach verfügt), oder unabhängig von der Zahl der Beschäftigten bb) Verantwortliche Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen, oder cc) sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten).
Datenschutzbeauftragte müssen über die nötige Fachkunde verfügen (rechtlich und technisch), zuverlässig sein und frei von Interessenskonflikten (Inhaber, Geschäftsführer und leitende Angestellte scheiden daher als Datenschutzbeauftragte aus). Ferner ist zu beachten, dass Datenschutzbeauftragte bei der zuständigen Datenschutzaufsichtsbehörde anzumelden sind (Artikel 37 Abs. 7 DSGVO). Es dürfen auch externe Datenschutzbeauftragte bestellt werden.