Alle Unternehmen, unabhängig von deren Größe, müssen die Datenschutzvorgaben beachten. Firmen, die zwanzig oder mehr Mitarbeiter beschäftigen, die personenbezogene Daten verarbeiten, sind zudem verpflichtet einen Datenschutzbeauftragten zu bestellen. Zudem besteht eine Bestellungspflicht, wenn die sogenannte "Wahrscheinlichkeit eines hohen Eintrittsrisikos" gegeben ist.

Fast alle privaten Unternehmen (bis auf Telekommunikation und Post) unterliegen der Aufsicht der Datenschutzaufsichtsbehörden für den nichtöffentlichen Bereich. Diese sind beim jeweiligen Landesdatenschutzbeauftragten oder bei den Landesbehörden (z. B. Innenministerium) angesiedelt. Die Kontrollgremien sind hierbei verpflichtet, allen Meldungen nachzugehen, diese zu bewerten und wenn nötig mit einem Bußgeld zu ahnden.

Seit 2009 wurden die Datenschutzanforderungen deutlich verschärft und von allen Unternehmen mehr Transparenz in Bezug auf Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten eingefordert. Eine ganz neue Dimension hat der Datenschutz dann in 2018, mit der Einführung der Datenschutzgrundverordnung (DSGVO), bekommen. Seit dem haben Aufsichtsbehörden deutlich mehr Möglichkeiten um ggf. Kontrollen durchzuführen.

Egal, ob Kleinunternehmer oder Großkonzern –
eine Prüfung kann jederzeit unangekündigt ins Haus stehen.

So werden bereits seit Jahren in allen Bundesländern stichprobenartige Prüfungen durchgeführt. Hierbei wird unter anderem abgefragt, wer als Datenschutzbeauftragter bestellt ist und seit wann, ob die Tätigkeit hauptberuflich durchgeführt wird, weiteres Personal zur Umsetzung der Vorgaben zur Verfügung steht und wie die nötige Fachkunde erworben wurde, bzw. kontinuierlich ausgebaut wird.

Haftung, Strafen und Imageschäden bei Datenschutzverstößen