Ab 25.05.2018 legt die EU-Datenschutz-Grundverordnung erstmals eine EU-weit geltende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, Art. 35ff. DSGVO. Diese ist gemäß Art. 37 DSGVO bindend, wenn die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlichen machen oder wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht. Eine Kerntätigkeit besteht, wenn die Tätigkeit essentiell für die Erreichung der Ziele des Unternehmens ist. Für eine umfangreiche Bearbeitung ist die Anzahl der betroffenen Personen, die Menge der Daten und die Vielzahl der verschiedenen Datensätze, die Dauer der Datenverarbeitung und die geographische Reichweite der Datenverarbeitung.

Allerdings hat der deutsche Gesetzgeber die nach der EU-Datenschutzgrundverordnung geltende Bestellpflicht durch das neue ebenfalls ab dem 25.05.2018 geltende Bundesdatenschutzgesetz verschärft. Danach ist eine Datenschutzbeauftragte oder eine Datenschutzbeauftragter zu bestellen, soweit das Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.