Unternehmen sind in bestimmten Fällen nach verpflichtet, einen Datenschutzbeauftragten zu benennen, beispielsweise bei umfassender Überwachung von Personen oder wenn eine bestimmte Anzahl von dauerhaft mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigten Personen vorhanden ist. Die entsprechenden Vorgaben finden sich in Art.37 DSGVO und werden durch landesspezifische Vorgaben wie z.B. § 38 des Bundesdatenschutzgesetzes (BDSG) ergänzt.
Der Datenschutzbeauftragte muss in seinem Aufgabenbereich weisungsfrei tätig sein können und unmittelbar der höchsten Managementebene berichten (Art.38 Abs.3 DSGVO). Insofern nimmt der Datenschutzbeauftragte eine Sonderrolle ein, weil er meist aus den in Unternehmen sonst üblichen Organisationsstrukturen und Hirarchieebenen herausfällt.
Verantwortliche im Sinne der DSGVO müssen zudem ein Verzeichnis der Verarbeitungstätigkeiten führen, wenn keine Ausnahme vorliegt (Art.30 DSGVO). Dort müssen insbesondere die Zwecke der Verarbeitung, die betroffenen Personen und auch die Datenkategorien erfasst werden. Bei einer besonders risikoreichen Verarbeitung muss nach Art.35 DSGVO vor Beginn der Verarbeitung eine Bewertung der Folgen für die betroffenen Personen erfolgen (sog. „Datenschutzfolgenabschätzung“).
Die Durchführung von Profiling mit Rechtsfolgen für die Betroffenen stellt nach Art.35 Abs.3 a) DSGVO sogar einen typischen Fall dar, in dem eine Datenschutzfolgenabschätzung erforderlich sein kann. Zur Überprüfung der der Vorgaben der DSGVO können die Aufsichtsbehörden, wie hier geschehen, Kontrollen vor Ort im Unternehmen durchführen und ggf. auch Einsicht in entsprechende Unterlagen nehmen.