Wer sensible, d.h. personenbezogene Daten automatisiert verarbeitet, unabhängig ob die der eigenen Mitarbeiter oder die von Kunden und Dritten, muss dafür sorgen, dass die Daten ordnungsgemäß geschützt werden.
Bei öffentlichen Stellen (Ämtern, Behörden, Gerichten) muss ein Datenschutzbeauftragter bestellt werden, bei nicht-öffentlichen Stellen (z.B. privaten Unternehmen, Vereinen oder Genossenschaften) in der Regel dann, wenn mehr als 9 Personen mit der automatisierten Datenverarbeitung beschäftigt oder mindestens 20 Personen mit der sonstigen Datenverarbeitung befasst sind. Dabei kommt es nicht darauf an, ob es Arbeitnehmer des Unternehmens sind, auch freie Mitarbeiter, Leiharbeiter, Praktikanten usw. werden mitgezählt.
Unabhängig von der Zahl der Mitarbeiter muss immer dann ein Datenschutzbeauftragter bestellt werden, wenn die nicht-öffentliche Stelle besonders sensible Daten, wie z.B. die Religionszugehörigkeit, die sexuelle Orientierung, Herkunft oder politische Meinungen verarbeitet werden. Gleiches gilt, wenn die Daten geeignet sind, in ein Scoring einzufließen, das dann zur Beurteilung der finanziellen oder arbeitstechnischen Leistungsfähigkeit des Betroffen geeignet ist. Werden geschäftsmäßig Daten erhoben, die der Marktanalyse oder Meinungsforschung dienen sollen, muss ebenfalls ein Datenschutzbeauftragter bestellt werden.
Datenschutzbeauftragter kann nur sein, wer die entsprechende Fachkunde besitzt und zuverlässig ist. Die notwendige Fachkunde ist abhängig von der Art der Daten, die das Unternehmen erhebt und davon, in welcher Weise diese Daten verarbeitet werden. Der Datenschutzbeauftragte sollte selbstverständlich die Vorschriften des BDSG kennen, muss auch über ausreichende Kenntnisse im IT-Bereich verfügen, muss sich im Betrieb auskennen, z.B. um Datenschutzlücken erkennen zu können und muss in der Lage sein, der Geschäftsführung die Beseitigung vorhandener Lücken sowie die Vermeidung möglicher Lücken zu vermitteln.
Der Datenschutzbeauftragte ist während seiner Tätigkeit nur aus einem wichtigen Grund kündbar, die Bestellung ist nur aus einem solchen Grund widerrufbar. Der Kündigungsschutz erstreckt sich für die Dauer eines Jahres über die Beendigung seiner Tätigkeit hinaus. Nur so kann der Datenschutzbeauftragte seinen Aufgaben gerecht werden und entsprechend auf die Geschäftsführung des Unternehmens (und damit auf seinen Arbeitgeber) einwirken.
Es können auch externe Datenschutzbeauftragte bestellt werden, die dann zwar wirklich unabhängig von der Leitung eines Unternehmens sind. Sie müssen jedoch detailliert in die Arbeitsabläufe des Unternehmens eingewiesen werden, um ihre Aufgaben wahrnehmen zu können. Welche Möglichkeit für ein Unternehmen wirtschaftlich günstiger und betriebstechnisch sinnvoller ist, muss sorgfältig geprüft werden.
