Die gesetzliche Vorgabe der EU-Datenschutzgrundverordnung besagt, dass jedes Unternehmen, unabhängig von seiner Größe, bestimmte Maßnahmen zum Schutz personenbezogener Daten treffen muss.
Werden mehr als neunzehn Mitarbeiter beschäftigt, die mit solchen personenbezogenen Daten arbeiten, muss darüber hinaus ein Datenschutzbeauftragter bestellt werden.
Werden im Unternehmen besonders sensible Daten verarbeitet, so ist für die Verarbeitung eine Datenschutzfolgenabschätzung (DFA) erforderlich. Der Datenschutzbeauftragte unterstützt bei der Risikobewertung solcher Verfahren.
In Unternehmen, die keine besonders sensiblen Daten verarbeiten, ist erst ab zwanzig Personen, die mit personenbezogenen Daten in Kontakt kommen, ein Datenschutzbeauftragter zu bestellen. Sind es weniger, trägt der Verantwortliche das gesamte Risiko.
Das bedeutet, dass ein solches Unternehmen zwar nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, aber dennoch die einschlägigen Vorschriften des Datenschutzgesetzes umsetzen muss.
Tut es das nicht, drohen empfindliche Geldbußen. Eine noch schlimmere Folge ist jedoch der erhebliche Imageverlust, den das Unternehmen damit zwangsläufig erleidet.