Für die Beantwortung dieser Fragen sieht die DSGVO für Unternehmen nur in zwei Fällen eine Pflichtbestellung vor (vgl. Art. 37). Für die Praxis relevant ist folgender:
Der Verantwortliche und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten, wenn
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
In diese Gruppe fallen Auskunfteien und Detekteien. Wenn ein Unternehmen z. B. nur über Google Analytics Daten über das Kundenverhalten erhebt, zählt dies noch nicht zu den Kernaktivitäten eines Unternehmens
ACHTUNG
Die DSGVO erlaubt es den EU Mitgliedstaaten, auch in weiteren Fällen Unternehmen die Benennung eines Datenschutzbeauftragten vorzuschreiben. Deutschland hat in seinem neuen Bundesdatenschutzgesetz (BDSG) von dieser Möglichkeit Gebrauch gemacht. Verantwortliche und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Mitarbeitern ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.