Sowohl in Art. 37 DSGVO als auch in § 38 BDSG befinden sich Regelungen über die Pflicht zur Bestellung eines Datenschutzbeauftragten. So ist ein Datenschutzbeauftragter beispielsweise in jedem Fall zu bestellen, soweit die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b DSGVO), z.B. Versicherungsunternehmen; die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht (Art. 37 Abs. 1 lit. c DSGVO), z.B. Kliniken; soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 Satz 1 BDSG-neu).
Doch selbst, wenn keiner der in den genannten Artikeln geregelten Tatbestände vorliegt, sollte sich jedes Unternehmen, welches mit der Verarbeitung personenbezogener Daten in Berührung kommt, mit der Frage der Benennung eines Datenschutzbeauftragten auseinandersetzen, da die Nichteinhaltung der datenschutzrechtlichen Regelungen, die für jedes Unternehmen gelten, weitreichende Konsequenzen nach sich ziehen könnte.