Die neuen Verordnungen und Gesetze stellen Unternehmen vor eine Rechenschaftspflicht. Ein Datenschutzbeauftragter bzw. Verantwortlicher muss nun jederzeit nachweisen können, dass personenbezogene Daten gemäß den Bestimmungen verarbeitet werden. Fortan muss ein Datenschutzbeauftragter also noch genauer darauf achten, dass ein Unternehmen sich an die Regeln hält. Das setzt auch eine tadellos funktionierende IT Sicherheit voraus. Der Datenschutzbeauftragte bzw. der Verantwortliche müssen technische und organisatorische Maßnahmen ergreifen, um dies sicherzustellen. Außerdem soll ein Datenschutzbeauftragter auch die eigenen Mitarbeiter auf den relevanten Gebieten schulen. Die Stelle eines Datenschutzbeauftragten müssen laut der Verordnung alle Unternehmen haben, die personenbezogene Daten automatisiert verarbeiten. Ausnahmen gibt es für kleine Unternehmen, wenn weniger als zehn Mitarbeiter regelmäßig mit personenbezogenen Daten umgehen. Doch Vorsicht, diese Schwelle ist leicht erreicht, denn nahezu jeder Mitarbeiter, der an einem Computer arbeitet, kommt in Kontakt mit gespeicherten E-Mail-Adressen, Telefonnummern oder Kontodaten. In einem solchen Fall könnten Arbeitsabläufe durch geeignete technische und organisatorische Maßnahmen so umstrukturiert werden, dass weniger Mitarbeiter die Daten tatsächlich nutzen müssen. Auch für große Unternehmen gibt es eine Ausnahme. Nicht in jeder Niederlassung oder Filiale muss ein eigener Datenschutzbeauftragter vorhanden sein. Es reicht ein Datenschutzbeauftragter, der für alle Mitarbeiter leicht erreichbar ist und die Einhaltung des Datenschutzes sowie der IT Sicherheit für das gesamte Unternehmen prüfen kann.

Auch im Bereich der Datenschutzbeauftragten hat das bisherige Gesetz schon viel Vorarbeit geleistet. Experten gehen davon aus, dass ein Datenschutzbeauftragter nicht in wesentlich mehr Unternehmen erforderlich ist als bislang. Dabei muss ein Datenschutzbeauftragter nicht unbedingt der eigenen Firma angehören. Gerade für kleinere Firmen, die in diesem Gebiet keine große Expertise haben, könnte eine externe Kraft sinnvoll erscheinen. Ein Datenschutzbeauftragter muss nicht zwangsläufig von anderen Aufgaben freigestellt werden. Wichtig ist nur, dass sie in keinem Konflikt zu seiner Tätigkeit als Datenschutzbeauftragter stehen. In jedem Fall gilt aber, dass ein Datenschutzbeauftragter den Mitarbeitern inklusive seiner Kontaktdaten genannt werden muss. Verarbeitet das Unternehmen auch Daten von Kunden oder sonstiger externer Personen muss ein Datenschutzbeauftragter auch öffentlich genannt werden. Denn in diesen Fällen muss ein Datenschutzbeauftragter auch den Klienten als Ansprechpartner zur Verfügung stehen. Das ist besonders deswegen wichtig, weil Verordnung vorsieht, dass Kunden oder Nutzer ihr informationelles Selbstbestimmungsrecht intensiver durchsetzen können. So kann ein Datenschutzbeauftragter jederzeit von einem Verbraucher kontaktiert werden, um z.B. die Löschung, Sperrung oder Veränderung seiner personenbezogenen Daten zu veranlassen. Grundsätzlich hat der Datenschutzbeauftragte bei Verletzungen gegen die Datenschutzbestimmungen eine Mitteilungspflicht gegenüber den Betroffenen und den gesetzlichen Aufsichtsbehörden