Die Anwendbarkeit der DS-GVO ab 25. Mai 2018 bringt eine europaweite Verpflichtung zur Bestellung eines bDSB mit sich. Der bDSB ist zwingend zu bestellen, wenn die Kerntätigkeit des Verantwortlichen in Verarbeitungsvorgängen besteht, welche aufgrund Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen. Unter ''Kerntätigkeit'' fallen hierbei Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie erforderlich sind (insbesondere, aber nicht abschließend: Kundenservice, Marketing, Produktdesign Auskunfteien oder Adresshandel). ''Art, Umfang und Zweck'' ist anhand objektiver Merkmale zu beurteilen (insb. die Anzahl der Betroffenen, die Menge der betroffenen Daten und/oder Vielzahl der verschiedenen Datensätze, die Dauer oder geographische Reichweite der Datenverarbeitung). Die DS-GVO lässt den Mitgliedstaaten die Befugnis, weitere Bestellpflichten zu regeln, solange der nationale Gesetzgeber nicht von den oben beschriebenen Rechten und Aufgaben abweicht. Hiervon hat der deutsche Gesetzgeber im Rahmen der Änderung des Bundesdatenschutzgesetzes (BDSG) Gebrauch gemacht. Die Bestellpflicht des bDSB wird abweichend zur DS-GVO erweitert und behält die Regelungen des bisherigen BDSG weitgehend bei: das heißt, ein bDSB muss bestellt werden, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Eine freiwillige Bestellung von Datenschutzbeauftragten ist möglich. Die Position des bDSB kann innerhalb des Betriebs durch einen eigenen Mitarbeiter besetzt werden (auch als ''Teilzeit''-Tätigkeit neben seinen eigentlichen Aufgaben), wenn er die persönlichen und fachlichen Voraussetzungen dafür besitzt. Es kann auch ein externer Datenschutzbeauftragter bestellt werden. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragte benannt werden. Dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein. Im Folgenden werden die Pflicht zur Bestellung eines bDSB, die persönlichen und sachlichen Anforderungen sowie seine Rechte und Pflichten beschrieben. Nicht bestellt werden darf eine Person, die in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht (insb. Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT- Administratoren). Der bDSB muss aufgrund der beruflichen Qualifikation und des Fachwissens benannt werden, um die Aufgaben aus Art. 39 DS-GVO übernehmen zu können. Zu den Fachkundevoraussetzungen gehört ein Verständnis der allgemein datenschutzrechtlichen und spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das eigene Unternehmen relevant sind, sowie technisch-organisatorische Kenntnisse, insbesondere Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit. Diese Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung zum bDSB vorliegen. Eine Form und bestimmte Dauer für die Bestellung besteht nicht, die Bestellung sollte aus Nachweisgründen in Textform erfolgen (s. unten stehendes Muster). Die Kontaktdaten des dDSB sind zu veröffentlichen (z.B. auf der Unternehmenshomepage) und sind der jeweiligen Landesdatenschutzbehörde zu melden (Hierfür soll es ein elektronisches Formular bei den Aufsichtsbehörden geben). Der bDSB ist weisungsunabhängig bzgl. seiner Aufgabenerfüllung,und er berichtet unmittelbar der höchsten Managementebene des Verantwortlichen. Er darf wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden. Es besteht ein Anspruch auf ordnungsgemäße und frühzeitige Einbindung in alle datenschutzrechtlichen Fragen. Dem bDSB sind zur Aufgabenerfüllung das notwendige Zeitbudget sowie die nötige Unterstützung (Fortbildung, finanzielle, materielle und personelle Ausstattung) zu gewähren. Dem bDSG ist Zugang zu allen personenbezogenen Daten und damit zusammenhängenden Verarbeitungsvorgängen zu geben. Der bDSB ist zur Wahrung der Geheimhaltung und Vertraulichkeit bei der Erfüllung seiner Aufgaben verpflichtet. Dies gilt insbesondere in Bezug auf die Identität von betroffenen Personen, die sich an den bDSB gewandt haben. Ein gesetzliches Zeugnisverweigerungsrecht steht ihm zu, soweit der Leitung oder einer bestimmten Person des Verantwortlichen ein solches Recht zusteht. Akten oder Schriftstücke des bDSB unterliegen soweit einem Beschlagnahmeverbot
