Der DSB fungiert in seiner unabhängigen Stellung als Bindeglied zwischen Unternehmen und Aufsichtsbehörden. So kann die Position von einer internen oder externen Arbeitskraft belegt werden. Einstellungskriterien sind Fachwissen und Unbefangenheit; der DSB darf sich nicht in Zielkonflikte verwickeln oder der Selbstkontrolle unterliegen. Zielkonflikte können insbesondere dann entstehen, wenn der Datenschutzbeauftragte noch einer anderen Tätigkeit nachgeht. Dies wird vor allem bei Mitarbeitern angenommen, die gleichzeitig in der Personalabteilung oder Geschäftsführung tätig sind. Ein Datenschutzbeauftragter ist beruflich qualifiziert, wenn er über Kenntnisse des Datenschutzes und der Datenschutzpraxis verfügt. Ferner ist eine stetige Weiterbildung in den Bereichen IT und Datenschutzrecht unumgänglich.
Wann ein Betrieb einen Datenschutzbeauftragten einberufen muss, wird nicht vom Bund geregelt, sondern ist Ländersache. Somit variieren die Gesetze je nach Bundesland. Alas Grundlage dient das bundesweit geltende Bundesdatenschutzgesetz (BDSG). Ab dem 25. Mai 2018 wird ein von der EU beschlossenes Einheitsgesetz in Kraft treten. Die EU-Datenschutz-Grundverordnung (EU-DSGVO) wird den Schutz personenbezogener Daten dadurch angleichen. So soll ein freier und reibungsloser EU-Binnenmarkt gestärkt werden. Gemäß Art. 37 EU-DSGVO ist ein Datenschutzbeauftragter nötig, wenn das Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf:
„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn […]
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen(Auskunfteien oder Adresshändler), oder
c) die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“
Als Kerntätigkeit sind hier jene Tätigkeiten gemeint, welche essentiell für die Erreichung eines unternehmerischen Ziels sind. Zum Beispiel: das Verarbeiten von Gesundheitsdaten in einem Krankenhaus. Bis zum Inkrafttreten der EU-DSGVO regelt das BDSG, wann ein Datenschutzbeauftragter eingestellt werden muss. Dies ist der Fall, wenn mehr als neun Personen (§ 4f Abs. 1 Satz 1 und 4 BDSG) mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei der nicht-automatisierten Verarbeitung greift die Vorschrift erst ab 20 Mitarbeitern.
