Nach § 38 BDSG besteht die Verpflichtung, einen betrieblichen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens zehn (künftig: zwanzig) Personen mit der automatisierten Verarbeitung personenbezogener Daten mittels einer Datenverarbeitungsanlage wie etwa einem Computer beschäftigt sind.
Unter Verarbeitung wird jede Nutzung personenbezogener Daten verstanden, insoweit es sich nicht um Verarbeitung handelt – es genügt also z. B. schon das Lesen von Daten natürlicher Personen.
Ferner besteht die Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens in einer umfangreichen Verarbeitung besonderer Kategorien von Daten (wie z.B. Gesundheitsdaten) oder von personenbezogenen Daten über Verurteilungen und Straftaten besteht.
Schließlich besteht die Benennungspflicht für Unternehmen, die einer Datenschutz-Folgenabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig für Zwecke der Markt- oder Meinungsforschung verarbeiten.