Ein Datenschutzbeauftragter ist zu benennen, wenn im Unternehmen mindestens 20 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Werden Verarbeitungen durchgeführt, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet, muss unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter benannt werden.