Laut der Datenschutz-Grundverordnung (DSGVO) der EU müssen alle Unternehmen einen Datenschutzbeauftragten benennen, deren Kerntätigkeiten die Verarbeitung sensibler Daten in großem Umfang oder die regelmäßige systematische Überwachung von Personen oder die Verarbeitung von Daten zu Straftaten oder Verurteilungen umfassen. Diese allgemeinen Bestimmungen können in den nationalen Datenschutzgesetzen der EU-Mitgliedsstaaten konkretisiert werden. Außerdem kann ein DSB immer auch freiwillig benannt werden.

Laut dem neuen Bundesdatenschutzgesetz (BDSG) wird ein Datenschutzbeauftragter (DSB) unter folgenden Umständen benannt:

• Sie beschäftigen in der Regel mindestens 10 Personen mit der automatisierten Datenverarbeitung personenbezogener Daten.

Bei weniger als 10 Personen muss auch unter folgenden Umständen ein DSB benannt werden:

• Sie führen Verarbeitungen durch, die einer Datenschutz-Folgenabschätzung (DSFA) unterliegen. (Zum Beispiel umfangreiche Verarbeitung von Gesundheitsdaten oder Verarbeitung von Angaben zu Verurteilungen oder Straftaten u. ä.) - oder -
• Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Bei der 10-Personen-Regel müssen auch Teilzeitkräfte, freie Mitarbeiter oder Praktikanten berücksichtigt werden.

Die Rolle des DSB kann sowohl ein externer Dienstleister als auch ein Mitarbeiter des Unternehmens ausfüllen. Jedoch muss der DSB in beiden Fällen angemessen qualifiziert sein. Er muss der nationalen Aufsichtsbehörde gemeldet und seine Kontaktdaten öffentlich gemacht werden.