https://www.lda.bayern.de/media/info_dsb.pdf
Da stehen die Anforderungen.
Notwendigkeit einer Bestellung, betriebliche Voraussetzungen
Von nicht-öffentlichen Stellen, wie Unternehmen, Gewerbetreibenden, Vereinen oder Freiberuflern, muss ein betrieblicher Datenschutzbeauftragter bestellt werden, wenn mindestens 10 Personen mit der automa- tisierten Verarbeitung personenbezogener Daten oder mindestens 20 Personen mit der nicht- automatisierten Erhebung, Verarbeitung und Nutzung personenbezogener Daten mittels manueller Dateien (Karteien, Formularsammlungen) beschäftigt werden.
Zu diesen Personen zählen auch bei der nicht-öffentlichen Stelle beschäftigte freie Mitarbeiter und Leihar- beitnehmer, ebenso wie Heimarbeitskräfte, Auszubildende und Praktikanten oder ehrenamtlich Beschäftig- te.
Bei der Feststellung der Zahl der beschäftigten Personen stellt das Gesetz nicht auf den Umfang der Be- schäftigung der Einzelnen ab. Maßgebend ist vielmehr die „Kopfzahl“ aller beschäftigten Personen, d. h. nicht nur die Vollzeitbeschäftigten, sondern auch die Teilzeitkräfte werden als jeweils eine Person gezählt.
Die Personen müssen auch nicht das ganze Jahr über beschäftigt sein. Entscheidend ist, dass für die Erhe- bung, Verarbeitung und Nutzung personenbezogener Daten regelmäßig eine entsprechende Zahl von Be- schäftigten ausgewiesen ist. Somit gehören auch Beschäftigte dazu, die z. B. regelmäßig zur Bewältigung von Arbeitsspitzen am jeweiligen Quartalsende tätig sind.
Die Inhaber von Mischarbeitsplätzen sind ebenfalls mitzuzählen. Lediglich dann, wenn bei einem Beschäf- tigten die Datenverarbeitung einen völlig untergeordneten Anteil seiner Tätigkeit einnimmt, ist er nicht zu berücksichtigen.
Bei der Frage, ob ein Datenschutzbeauftragter zu bestellen ist, kommt es auf die nicht-öffentliche Stelle als Ganzes an, d. h. einschließlich seiner Außenstellen und Filialen. Für Letztgenannte ist kein eigener Daten- schutzbeauftragter zu bestellen.
Unabhängig von der Anzahl der beschäftigten Personen ist ein betrieblicher Datenschutzbeauftragter zu bestellen,
wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung (z. B. Adresshandel, Auskunfteien), zum Zweck der anonymisierten Übermittlung oder für Zwecke der Markt- und Mei- nungsforschung automatisiert verarbeitet werden, oder
wenn für bestimmte automatisierte Verarbeitungen eine Vorabkontrolle gemäß § 4d Abs. 5 BDSG durchgeführt werden muss.
Ich glaube ihr versteht da was falsch...
Zitat:Verarbeitung besonderer Kategorien personenbezogener Daten
1. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
2. Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,...
https://www.datenschutz-grundverordnung....-9-ds-gvo/