Ein Datenschutzbeauftragter ist erforderlich, wenn eine der nachfolgenden Kriterien erfüllt ist:
- im Kerngeschäft eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen erfolgt (z.B. GPS Tracking bei Speditionsflotte)
- oder in großem Umfang persönliche Daten von besonderer Kategorie (z.B. Gesundheitsdaten, Daten zur Konfession) sowie strafrechtlich relevante Daten verarbeitet werden.
- oder eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO notwendig wird
- oder geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden (z.B. Auskunfteien etc.)
- oder mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (dazu zählen nicht nur Vollzeitbeschäftigte sondern auch Studenten, Praktikanten etc.)
- immer für Behörden oder öffentliche Stellen (Ausnahmen bei Gerichten/Justiz)
Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der Aufsichtsbehörde seine Benennung mitgeteilt werden.