Laut § 4f BDSG (Bundesdatenschutzgesetz) müssen Unternehmen, die personenbezogene Daten mit mehr als neun Mitarbeitern elektronisch verarbeiten, einen Datenschutzbeauftragten schriftlich bestellen.
Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren, natürlichen Person.
Unter elektronische Verarbeitung personenbezogener Daten versteht der Gesetzgeber z.B. die E-Mail-Kommunikation, elektronische Korrespondenz, Verwendung von TK-Anlagen, Einsatz von ERP- und CRM-Software, Adressdatenverwaltung, etc.
Gezählt werden alle Mitarbeiter unabhängig ihrer vertraglich vereinbarten Arbeitszeit, wie Praktikanten, Auszubildende, freie Mitarbeiter und die Geschäftsleitung, sofern sie mit der elektronischen Verarbeitung, Nutzung, Erhebung und Speicherung von personenbezogenen Daten befasst sind.
Verantwortlich im Sinne des BDSG ist die Geschäftsleitung persönlich.