In der BDSG ist der Begriff „nicht-öffentliche Stellen“ legaldefiniert, und zwar in § 2 Abs. 4 BDSG. Demnach fallen unter Nicht-öffentliche Stellen; juristische und natürliche Personen, Gesellschaften, Personenvereinigungen privaten Rechts, welche nicht unter die öffentlichen Stellen fallen (also unter § 2 Abs. 1 bis 3 BDSG). Sobald jedoch eine nicht-öffentliche Stelle öffentliche Aufgaben der Verwaltung ausübt, gilt sie nicht mehr als eine „nicht-öffentliche Stelle“, sondern als „öffentliche Stelle“, obwohl sie im Kern eigentlich eine „nicht-öffentliche Stelle“ ist. Genauer zusammengefasst für das allgemeine Verständnis sind nicht-öffentliche Stellen, Stellen wie; Vereine, die rechts- und nicht rechtsfähig sind, Unternehmen, alle BGB Gesellschaften (GbR Gesellschaft), selbstständige Berufe (Anwalt, Arzt, Handwerker und Architekten), juristische und natürliche Personen privaten Rechts, die die Datenverarbeitung von personenbezogenen Daten als Verantwortliche oder als Auftragsverarbeiter durchführen. Die nicht-öffentlichen Stellen trifft die Pflicht, einen Datenschutzbeauftragten zu bestellen, gem. § 38 BDSG.