Entgegen einer weitverbreiteten Meinung verlangt die DSGVO nicht, dass jedes Unternehmen einen Datenschutzbeauftragten der Behörde meldet. Gemäß Artikel 37 DSGVO ist ein Datenschutzbeauftragter verpflichtend zu benennen, wenn…
der Verantwortliche / Auftragsverarbeiter eine öffentliche Stelle oder Behörde ist,
die Kerntätigkeit des Verantwortlichen / Auftragsverarbeiters in der umfangreichen Überwachung von Personen besteht,
die Kerntätigkeit des Verantwortlichen / Auftragsverarbeiters in der umfangreichen Verarbeitung von „sensiblen“ Daten besteht.

In allen anderen Fällen ist – laut der der DSGVO – ein Datenschutzbeauftragter nicht verpflichtend. Anders ist bzw. war es jedoch im Nachbarland Deutschland. Dort sieht das nationale Datenschutzrecht im BDSG zusätzlich vor, dass ein Datenschutzbeauftragter jedenfalls zu benennen ist, sobald 10 Personen regelmäßig mit personenbezogenen Daten arbeiten. Da ein „regelmäßiges Arbeiten“ in diesem Sinn bereits bei trivialen Tätigkeiten – wie etwa beim Versand von E-Mails – vorliegt ist diese Grenze sehr schnell erreicht. Dies hat den Effekt, dass sehr viele Unternehmen, aus rein formellen Gründen einen Datenschutzbeauftragten benötigen. Angesichts des Aufwandes, der mit der Nennung und dem vorherigen Finden eines geeigneten Kandidaten einhergeht ist hier oftmals eine unangemessene Belastung für Unternehmen gegeben.

Dies hat der deutsche Gesetzgeber schließlich auch eingesehen und vor Kurzem im sogenannten „Zweiten Gesetz zur Anpassung“ die Grenze zur verpflichtenden Benennung eines Datenschutzbeauftragten von 10 auf 20 Personen angehoben. Ganz wichtig hierbei ist allerdings: nur weil ein Unternehmen jetzt keinen offiziellen Datenschutzbeauftragten benennen muss, ist es natürlich nicht von der Einhaltung der Pflichten durch die DSGVO entbunden. Der Aufbau eines Datenschutz-Management-Systems bzw. die (interne) Benennung eines Datenschutz-Koordinators empfiehlt sich in jedem Fall.