Laut Art.37 Abs.1 lit. b) und c) DSGVO ist in einem Betrieb, Stiftung und Verein

immer dann ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihres Zweckes eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht. Unabhängig von der Mitarbeiteranzahl muss bei der Verarbeitung  sensibler Daten gemäß Art. 9 DSGVO immer ein Datenschutzbeauftragter bestellt werden. 

Es drohen Bußgelder bis zu 4% des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bzw. bis zu 20 Millionen Euro.

Die Bestellung eines Datenschutzbeauftragten ist deshalb ernst zu nehmen.

Der Mitarbeiter muss entsprechend ausgebildet und fortgebildet  sein, um die Aufgaben zum Zeitpunkt der Bestellung übernehmen zu können. Von anderen Aufgaben muss er befreit sein, so dass ein angemessenes Zeitbudget für die Datenschutztätigkeit sichergestellt ist.

Es darf keine Interessenkollision vorliegen, d.h. der Datenschutzbeauftragte darf sich nicht selbst  kontrollieren.

Eine Kündigung des bestellten internen Datenschutzbeauftragten ist nur in bestimmten Fällen zulässig.

Der Beauftragte unterliegt nicht dem Diskriminierungsverbot, d.h. dass die Vereinbarungen zwischen dem Unternehmen, Stiftung oder Verein und dem externen Datenschutzbeauftragten regelmäßige Kündigungsfristen vorsehen. Der  externer Datenschutzbeauftragter obliegt es  selbst sich zu qualifizieren und regelmäßig fortzubilden. Da er persönlich im Unternehmen, Stiftung oder Verein keiner anderen Arbeit nachgeht, sind Interessenskonflikte unwahrscheinlich.