Die einschlägigen Regelungen in Artikel 37 bis 39 gelten für Verantwortliche wie für Auftragsverarbeiter. Nach der Verordnung sind Kriterium für die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten keine starren Mitarbeitergrenzen, wie sie das Bundesdatenschutzgesetz kennt. Maßgebend ist stattdessen die Frage, worin die Kerntätigkeit eines Unternehmens liegt. Ein Datenschutzbeauftragter ist zu bestellen, wenn die Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen erfordert oder eine umfangreiche Verarbeitung sensibler Daten erfolgt. Im Bereich des Dialogmarketings ist dies regelmäßig nicht der Fall.

Modifiziert wird die Regelung der Verordnung jedoch dadurch, dass den Mitgliedstaaten in einer Öffnungsklausel des Art. 37 die Möglichkeit eingeräumt wird, die Verpflichtung zur Bestellung auf weitere Fälle zu erweitern. Im deutschen Umsetzungsgesetz wurde von diesem Regelungsspielraum Gebrauch gemacht. Das am 25. Mai 2018 – zeitgleich mit der Verordnung - in Kraft tretende  BDSG-Anpassungsgesetz führt in § 38 Abs. 1 die bisherige  BDSG-Regelung fort: Unternehmen und ihre Auftragsverarbeiter müssen weiterhin dann einen Datenschutzbeauftragten bestellen, wenn sie „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen“. Unabhängig von der Anzahl der Mitarbeiter ist ein Datenschutzbeauftragter insbesondere auch dann zu bestellen, wenn ein Unternehmen geschäftsmäßig personenbezogene oder anonymisierte Daten an Dritte übermittelt oder Markt- und Meinungsforschung durchführt.

In seiner Stellung kann der Datenschutzbeauftragte Beschäftigter des Unternehmens oder Externer sein. Er ist weisungsfrei und vom Verantwortlichen mit den zur Erfüllung seiner Aufgaben notwendigen Ressourcen auszustatten, Art. 38.

Das Aufgabenfeld des Datenschutzbeauftragten umfasst - neben der Beratung des Betroffenen zu allen mit der Verarbeitung seiner Daten im Zusammenhang stehenden Fragen  - insbesondere folgende Aufgaben, Art. 39:

• Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, die Verarbeitungen durchführen,
• Überwachung der Einhaltung der Datenschutzvorschriften und der Strategien des Verantwortlichen, einschließlich Schulungen,
• Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung, und Überwachung ihrer Durchführung gemäß Art. 35,
• Zusammenarbeit mit der Aufsichtsbehörde,
• Funktion als Anlaufstelle für die Aufsichtsbehörde.

Insgesamt sind die Regelungen deutlich an die des geltenden Bundesdatenschutzgesetzes angelehnt.

Zur Vertiefung: DDV-Best Practice Guide Europäische Datenschutz-Grundverordnung, 3. überarbeitete Auflage Juli 2019