Datenschutzbeauftragter: Wann ist er Pflicht?
Wann muss ein Datenschutzbeauftragter bestellt werden? Art. 37 DSGVO, 38 BDSG, interner vs. externer DSB, Kosten, Aufgaben und Haftung im Überblick.
Die Frage, ob ein Datenschutzbeauftragter (DSB) bestellt werden muss, gehört zu den häufigsten im Datenschutzrecht. Die Antwort hängt von mehreren Faktoren ab: der Unternehmensgröße, der Art der Datenverarbeitung und der Branche. In Deutschland gelten durch das BDSG sogar strengere Regeln als in den meisten anderen EU-Ländern. Dieser Artikel erklärt alle Pflichten, Ausnahmen und Kosten rund um den Datenschutzbeauftragten.
Wann ist ein DSB Pflicht?
Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus zwei Rechtsquellen: der DSGVO (europaweit) und dem BDSG (zusätzlich in Deutschland).
Art. 37 DSGVO: Europäische Pflicht
Nach Art. 37 Abs. 1 DSGVO muss ein DSB bestellt werden, wenn:
-
Die Kerntätigkeit in der umfangreichen regelmäßigen und systematischen Überwachung von Personen besteht. Das betrifft z.B. Unternehmen, die Scoring, Profiling, Standortverfolgung oder verhaltensbasierte Werbung als Hauptgeschäft betreiben.
-
Die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht. Besondere Kategorien nach Art. 9 DSGVO sind: Gesundheitsdaten, genetische/biometrische Daten, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Daten zum Sexualleben oder zur sexuellen Orientierung.
-
Die Kerntätigkeit in der umfangreichen Verarbeitung von Daten über strafrechtliche Verurteilungen besteht (Art. 10 DSGVO).
-
Es sich um eine Behörde oder öffentliche Stelle handelt (mit Ausnahme von Gerichten in ihrer justiziellen Tätigkeit).
Paragraph 38 BDSG: Deutsche Zusatzregel
Deutschland hat die DSGVO durch das BDSG ergänzt. Paragraph 38 Abs. 1 BDSG senkt die Schwelle deutlich:
Ein DSB muss bestellt werden, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Wichtig: Es zählen alle Personen, die regelmäßig auf personenbezogene Daten zugreifen — nicht nur Vollzeit-Angestellte. Dazu gehören:
- Festangestellte Mitarbeiter
- Teilzeitkräfte
- Freie Mitarbeiter und Freelancer
- Leiharbeitnehmer
- Praktikanten und Auszubildende
Die 20-Personen-Grenze wurde 2019 von ursprünglich 10 auf 20 angehoben, um kleine Unternehmen zu entlasten.
Sonderfälle: Immer DSB-Pflicht
Unabhängig von der Mitarbeiterzahl ist ein DSB nach Paragraph 38 Abs. 1 Satz 2 BDSG immer Pflicht, wenn:
- Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist
- Personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Markt- und Meinungsforschung verarbeitet werden
Übersicht: Wann du einen DSB brauchst
| Kriterium | DSB-Pflicht? | Rechtsgrundlage |
|---|---|---|
| 20+ Personen verarbeiten regelmäßig personenbezogene Daten | Ja | Paragraph 38 Abs. 1 BDSG |
| Kerntätigkeit: systematische Überwachung von Personen | Ja | Art. 37 Abs. 1 lit. b DSGVO |
| Kerntätigkeit: Verarbeitung besonderer Datenkategorien (Gesundheit, etc.) | Ja | Art. 37 Abs. 1 lit. c DSGVO |
| Behörde oder öffentliche Stelle | Ja | Art. 37 Abs. 1 lit. a DSGVO |
| Datenschutz-Folgenabschätzung erforderlich | Ja | Paragraph 38 Abs. 1 S. 2 BDSG |
| Geschäftsmäßige Datenübermittlung / Marktforschung | Ja | Paragraph 38 Abs. 1 S. 2 BDSG |
| Unter 20 Personen, keine Sonderfälle | Nein (freiwillig) | — |
Praxisbeispiele:
- Online-Shop mit 5 Mitarbeitern: In der Regel kein DSB nötig (unter 20 Personen, keine besonderen Datenkategorien)
- Arztpraxis mit 8 Angestellten: DSB Pflicht, da Gesundheitsdaten (besondere Kategorie) als Kerntätigkeit verarbeitet werden
- Marketing-Agentur mit 25 Mitarbeitern: DSB Pflicht, da mehr als 20 Personen Daten verarbeiten
- Einzelunternehmer mit Website: In der Regel kein DSB nötig
- Personalvermittlung mit 15 Mitarbeitern: Möglicherweise DSB-Pflicht, wenn systematisches Profiling betrieben wird
Interner vs. externer Datenschutzbeauftragter
Wenn ein DSB bestellt werden muss, stellt sich die Frage: intern oder extern? Beide Varianten haben Vor- und Nachteile.
Interner DSB
Ein interner DSB ist ein Mitarbeiter des Unternehmens, der die Funktion zusätzlich zu seinen regulären Aufgaben oder hauptberuflich ausübt.
Vorteile:
- Kennt die internen Prozesse und Systeme
- Jederzeit ansprechbar
- Kann Datenschutz im Tagesgeschäft integrieren
Nachteile:
- Besonderer Kündigungsschutz: Der interne DSB genießt nach Paragraph 38 Abs. 2 i.V.m. Paragraph 6 Abs. 4 BDSG einen erweiterten Kündigungsschutz (wie ein Betriebsrat). Eine ordentliche Kündigung ist während der Tätigkeit und ein Jahr danach nur aus wichtigem Grund möglich.
- Weiterbildungskosten: Der Arbeitgeber muss die fachliche Weiterbildung finanzieren (Paragraph 38 Abs. 2 BDSG)
- Interessenkonflikte: Der DSB darf keine Tätigkeit ausüben, die zu Interessenkonflikten führt. Geschäftsführer, IT-Leiter, Personalleiter und Marketingleiter sind als DSB ungeeignet.
Externer DSB
Ein externer DSB wird per Dienstvertrag beauftragt. Das ist die häufigste Lösung für KMU.
Vorteile:
- Kein Kündigungsschutz-Risiko
- Spezialisiertes Fachwissen
- Objektiver Blick von außen
- Haftung liegt beim externen Dienstleister
- Planbare Kosten
Nachteile:
- Weniger Einblick in interne Prozesse
- Verfügbarkeit nicht immer sofort
- Laufende Kosten
Kostenvergleich
| Kostenart | Interner DSB | Externer DSB |
|---|---|---|
| Monatliche Kosten (KMU) | Anteiliges Gehalt + Weiterbildung: 500 - 2.000 EUR/Mo | 300 - 1.500 EUR/Mo |
| Monatliche Kosten (Mittelstand) | 1.500 - 3.500 EUR/Mo | 800 - 3.000 EUR/Mo |
| Ersteinrichtung | Schulung: 2.000 - 5.000 EUR | Audit + Setup: 2.000 - 8.000 EUR |
| Weiterbildung (jährlich) | 1.000 - 3.000 EUR | Im Vertrag enthalten |
| Kündigungsrisiko | Hoch (erweiterter Kündigungsschutz) | Gering (Vertragslaufzeit) |
| Haftung bei Fehlern | Unternehmen haftet | Dienstleister haftet (Berufshaftpflicht) |
Faustregel: Für Unternehmen unter 100 Mitarbeitern ist ein externer DSB fast immer die wirtschaftlichere Lösung.
Aufgaben des Datenschutzbeauftragten
Die Aufgaben des DSB sind in Art. 39 DSGVO definiert:
Pflichtaufgaben
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten über ihre Datenschutzpflichten
- Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften und der Strategien des Verantwortlichen
- Beratung bei der Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und Überwachung ihrer Durchführung
- Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese
- Anlaufstelle für betroffene Personen bei Fragen zur Datenverarbeitung und Ausübung ihrer Rechte
Typische Praxisaufgaben
- Verarbeitungsverzeichnis erstellen und pflegen
- Datenschutzerklärungen und Einwilligungstexte prüfen
- Neue Tools und Dienste datenschutzrechtlich bewerten
- Datenpannen-Management unterstützen
- Mitarbeiterschulungen durchführen
- Auskunfts- und Löschanfragen koordinieren
- Regelmäßige Audits der Website und IT-Systeme
Was der DSB NICHT tun muss
Der DSB ist Berater und Kontrolleur, nicht der Umsetzer. Die Verantwortung für die Einhaltung der DSGVO liegt immer beim Verantwortlichen (Geschäftsführung). Der DSB:
- Muss keine Datenschutzerklärungen selbst schreiben
- Muss keine technischen Maßnahmen implementieren
- Haftet nicht persönlich für DSGVO-Verstöße des Unternehmens (außer bei grober Pflichtverletzung)
- Ist nicht weisungsgebunden bezüglich der Ausübung seiner Aufgaben
Meldung an die Aufsichtsbehörde
Die Bestellung des DSB muss der zuständigen Datenschutzaufsichtsbehörde mitgeteilt werden (Art. 37 Abs. 7 DSGVO). Die Kontaktdaten des DSB (Name, E-Mail, ggf. Telefon) müssen veröffentlicht werden:
- In der Datenschutzerklärung der Website
- Im Verarbeitungsverzeichnis
- Gegenüber der Aufsichtsbehörde (die meisten Behörden bieten Online-Formulare an)
Die Nichtmeldung ist ein Verstoß gegen Art. 37 Abs. 7 und kann mit einem Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO geahndet werden (bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes).
Wann braucht eine Website einen DSB?
Eine häufige Frage von Website-Betreibern: Brauche ich allein wegen meiner Website einen DSB?
Die kurze Antwort: In der Regel nein — die Website allein löst keine DSB-Pflicht aus. Die Pflicht hängt von der gesamten Datenverarbeitung des Unternehmens ab, nicht nur von der Website.
Aber: Auch ohne DSB-Pflicht musst du die DSGVO vollständig einhalten. Das bedeutet:
- Vollständige Datenschutzerklärung
- Korrekter Cookie-Banner mit Consent-Management
- Verarbeitungsverzeichnis (auch ohne DSB Pflicht nach Art. 30 DSGVO)
- Technische und organisatorische Maßnahmen (TOM)
Freiwillige Bestellung
Auch ohne Pflicht kann es sinnvoll sein, einen DSB freiwillig zu bestellen:
- Signalwirkung: Zeigt Kunden und Partnern, dass Datenschutz ernst genommen wird
- Fachliche Unterstützung: Hilft bei der Umsetzung der DSGVO
- Vorbereitung: Wenn das Unternehmen wächst, ist der DSB bereits etabliert
Achtung: Auch ein freiwillig bestellter DSB unterliegt den gleichen Anforderungen wie ein Pflicht-DSB (Fachwissen, Unabhängigkeit, Meldepflicht). Es empfiehlt sich daher, bei freiwilliger Bestellung einen externen DSB zu wählen, um den Kündigungsschutz bei internen Mitarbeitern zu vermeiden.
Haftung: Wer zahlt bei Verstößen?
Haftung des Unternehmens
Das Unternehmen (der Verantwortliche) haftet immer für DSGVO-Verstöße — unabhängig davon, ob ein DSB bestellt wurde oder nicht. Ein DSB schützt nicht vor Bußgeldern, sondern reduziert das Risiko durch fachkundige Beratung.
Haftung des DSB
- Interner DSB: Haftet nur bei Vorsatz oder grober Fahrlässigkeit gegenüber dem Arbeitgeber (normales Arbeitnehmer-Haftungsrecht)
- Externer DSB: Haftet nach dem Dienstvertrag, in der Regel mit Berufshaftpflichtversicherung
- Kein DSB bestellt obwohl Pflicht: Das Unternehmen haftet zusätzlich für den Verstoß gegen Art. 37 DSGVO
Bußgelder bei Nicht-Bestellung
Die Nicht-Bestellung eines DSB trotz Pflicht ist ein eigenständiger Verstoß:
| Verstoß | Mögliches Bußgeld |
|---|---|
| DSB nicht bestellt trotz Pflicht | Bis zu 10 Mio. EUR / 2 % des Jahresumsatzes |
| DSB nicht gemeldet bei Aufsichtsbehörde | Bis zu 10 Mio. EUR / 2 % des Jahresumsatzes |
| DSB nicht in Datenschutzerklärung genannt | Verwarnungs-/Bußgeldverfahren |
| DSB ohne ausreichende Qualifikation bestellt | Verwarnungs-/Bußgeldverfahren |
In der Praxis liegen die Bußgelder für KMU deutlich niedriger (typisch: 5.000 - 25.000 EUR), aber die Aufsichtsbehörden prüfen die DSB-Pflicht zunehmend proaktiv.
Praxis-Checkliste: Datenschutzbeauftragter
- Geprüft, ob DSB-Pflicht besteht (20+ Personen mit Datenverarbeitung)?
- Geprüft, ob besondere Datenkategorien verarbeitet werden (Gesundheit, etc.)?
- Entscheidung interner vs. externer DSB getroffen?
- DSB mit ausreichender Fachkunde ausgewählt?
- Interessenkonflikte ausgeschlossen (kein IT-Leiter, GF, Personalleiter als DSB)?
- DSB-Bestellung schriftlich dokumentiert?
- DSB bei Aufsichtsbehörde gemeldet?
- Kontaktdaten des DSB in Datenschutzerklärung veröffentlicht?
- DSB hat Zugang zu allen relevanten Verarbeitungstätigkeiten?
- Budget für Weiterbildung des DSB eingeplant?
Datenschutzerklärung automatisch erstellen
Ob mit oder ohne Datenschutzbeauftragten: Eine vollständige, aktuelle Datenschutzerklärung ist Pflicht. Der Compliso Content-Generator erstellt deine Datenschutzerklärung auf Basis eines Fragebogens — angepasst an die Dienste, die der Compliso Scanner auf deiner Website erkennt. So stellst du sicher, dass alle eingesetzten Tracker, Cookies und Drittdienste korrekt dokumentiert sind.
Jetzt Datenschutzerklärung erstellen oder Website kostenlos scannen, um zu sehen, welche Dienste du in deiner Datenschutzerklärung aufführen musst.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.