Wann ist ein interner oder externer Datenschutzbeauftragter erforderlich?

Nach der Datenschutz-Grundverordnung (DSGVO) ist ein interner oder externer Datenschutzbeauftragter unter bestimmten Voraussetzungen zu benennen. 

Dies ist insbesondere der Fall: 

• bei öffentlichen Stellen (vgl. Art. 37 Abs. 1 lit. a DSGVO, § 5 BDSG), 
• oder wenn bei nicht-öffentlichen Stellen die Verarbeitung personenbezogener Daten zu den Haupttätigkeiten gehört und dabei eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) erfolgt (Art. 37 Abs. 1 lit. b–c DSGVO). 

Darüber hinaus gilt in Deutschland eine nationale Regelung nach § 38 Abs. 1 BDSG: Jede nicht-öffentliche Stelle muss einen Datenschutzbeauftragten benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind – dazu zählt bereits der regelmäßige Zugriff auf ein E-Mail-System.