Nach § 38 BDSG besteht die Verpflichtung, einen Datenschutzbeauftragten zu benennen, wenn in der
Regel mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten
beschäftigt sind. Die Verarbeitung ist dann automatisiert, wenn sie unter Einsatz von z.B. einem
Computer / Tablet im Unternehmen erfolgt.
Auch muss ein Datenschutzbeauftragter benannt werden, wenn eine Verarbeitung vorgenommen wird,
für die eine Datenschutz-Folgenabschätzung durchgeführt werden muss.
Weiterhin muss ein Datenschutzbeauftragter benannt werden, wenn die Kerntätigkeit des
Unternehmens in einer umfangreichen Verarbeitung besonderer Daten (z.B. Gesundheitsdaten) oder
von personenbezogenen Daten über Verurteilungen und Straftaten besteht.
Auch wenn keine Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, sind alle
datenschutzrechtlichen Verpflichtungen einzuhalten. Deshalb sollten Sie zumindest den Rat eines
Datenschutzbeauftragten einholen.