Datenschutzbeauftragter: Pflichten & Anforderungen

In der heutigen Geschäftswelt ist das Thema Datenschutz nicht mehr nur eine Formalität – es ist eine entscheidende Pflicht für jedes Unternehmen, das mit personenbezogenen Daten arbeitet. Die Rolle eines Datenschutzbeauftragten (DSB) spielt hierbei eine Schlüsselrolle. Gerade in Deutschland sind die gesetzlichen Vorgaben durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) besonders streng. Wenn Sie die gesetzlichen Schwellenwerte überschreiten oder in sensiblen Bereichen tätig sind, müssen Sie einen Datenschutzbeauftragten benennen. Diese Pflicht betrifft längst nicht mehr nur Großkonzerne: Auch viele mittelständische und kleinere Firmen sind aufgrund ihrer Datenverarbeitungsprozesse dazu verpflichtet.

Doch was genau macht ein Datenschutzbeauftragter? Warum und ab wann sind Sie gesetzlich dazu angehalten, einen zu bestellen? Wie sieht es mit Haftung, Bußgeldern und international relevanten Entwicklungen aus?  Dieser Artikel beantwortet diese und viele weitere Fragen rund um die Bestellung, Aufgaben und Pflichten eines Datenschutzbeauftragten. In diesem Artikel erhalten Sie nicht nur alle notwendigen Grundlagen, sondern auch wertvolle Hinweise zur praktischen Umsetzung.

Key Takeaways

• Bestellpflicht: In Deutschland müssen Sie ab 20 Mitarbeitenden, die regelmäßig personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten bestellen (§ 38 BDSG). Darüber hinaus besteht eine Pflicht laut Art. 37 DSGVO, wenn beispielsweise sensible Gesundheitsdaten umfangreich verarbeitet werden.
• Hohe Bußgelder: Versäumen Sie die rechtzeitige Benennung, drohen Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO). Ein Fall des Bundesbeauftragten für den Datenschutz zeigt, dass bereits kleinere Unternehmen hohe Strafzahlungen leisten mussten:
• Aufgaben des DSB: Ein DSB berät Ihr Unternehmen, überwacht die Einhaltung der DSGVO und koordiniert die Zusammenarbeit mit den Aufsichtsbehörden. Er ist außerdem in alle datenschutzrelevanten Prozesse frühzeitig einzubinden (Art. 38 DSGVO).
• Haftung: Grundsätzlich haftet das Unternehmen selbst für Datenschutzverstöße. Eine persönliche Haftung des DSB wird in Deutschland zwar diskutiert, wird aber in der Praxis fast nie durchgesetzt. Dennoch kann der DSB für grobe Pflichtverletzungen gegenüber dem eigenen Unternehmen regresspflichtig sein.
• Interner vs. externer DSB: Beide Varianten sind rechtlich zulässig. Ein interner DSB kennt die Unternehmensabläufe besser, ein externer bringt häufig mehr Fachwissen und Unabhängigkeit mit.

Gesetzliche Grundlagen: Wann muss ein Datenschutzbeauftragter bestellt werden?

Ein zentraler Aspekt ist die Frage, für welche Unternehmen ein Datenschutzbeauftragter Pflicht ist. Die DSGVO (Art. 37 Abs. 1) schreibt vor, dass öffentliche Stellen stets einen DSB benennen müssen. Außerdem gilt die Pflicht unabhängig von der Unternehmensgröße, wenn die Kerntätigkeiten in umfangreicher Verarbeitung sensibler Daten oder in der regelmäßigen und systematischen Überwachung von Personen bestehen. Diese Kriterien zielen auf Unternehmen ab, die z.B. besondere Kategorien von Daten (Gesundheitsdaten, strafrechtliche Daten etc.) in großem Umfang verarbeiten oder Personen profilieren.

DSGVO-Bestellpflicht (Art. 37 DSGVO)

Die Datenschutz-Grundverordnung schreibt bestimmten Verantwortlichen zwingend einen Datenschutzbeauftragten vor. Art. 37 Abs. 1 DSGVO nennt drei Fälle, in denen ein DSB in jedem Fall zu benennen ist:

1. Öffentliche Stellen: Alle Behörden und öffentlichen Stellen müssen einen DSB benennen, ausgenommen Gerichte in ihrer justiziellen Tätigkeit.
2. Kerntätigkeit – Überwachung: Wenn die Kerntätigkeit des Unternehmens eine umfangreiche, regelmäßige und systematische Überwachung von Personen erfordert, ist ein DSB Pflicht. Dies betrifft z.B. Unternehmen im Bereich AdTech, Tracking oder Scoring.
3. Kerntätigkeit – sensible Daten: Wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) oder von Daten zu Strafurteilen besteht. Beispiel: Krankenhäuser oder Apotheken verarbeiten in großem Umfang Gesundheitsdaten.

Nationale Erweiterung (§ 38 BDSG)

Deutschland hat zusätzlich § 38 BDSG eingeführt, der die Bestellpflicht erweitert:

• Mitarbeiter-Schwellenwert: Ein Unternehmen muss einen DSB bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese nationale Schwelle wurde 2019 von zuvor 10 auf 20 angehoben, um insbesondere KMU zu entlasten. Teilzeitkräfte, freie Mitarbeiter und Azubis zählen mit – entscheidend ist, dass sie regelmäßig mit personenbezogenen Daten umgehen.
• Besondere Verarbeitungen: Unabhängig von der Mitarbeiterzahl ist ein DSB Pflicht, wenn Verarbeitungen einer Datenschutz-Folgenabschätzung unterliegen oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Marktforschungszwecke verarbeitet werden.

Durch diese Kombination gilt in Deutschland: Fast jedes Unternehmen ab 20 datenverarbeitenden Mitarbeitern muss einen DSB bestellen. Kleinere Unternehmen können dennoch unter die DSB-Pflicht fallen, wenn sie risikoreiche Daten verarbeiten, wie z.B. Apotheken.

Tipp: Die Bestellung zum Datenschutzbeauftragten hat schriftlich zu erfolgen. Beim externen Datenschutzbeauftragten muss eine Meldung an die Aufsichtsbehörde erfolgen (Art. 37 Abs. 7 DSGVO).

Pflichten und Aufgaben des Datenschutzbeauftragten  

Ein Datenschutzbeauftragter hat gemäß DSGVO klar umrissene Aufgabenbereiche, die jedoch in der Praxis oft erweitert interpretiert werden. Laut Art. 39 DSGVOobliegen ihm mindestens die folgenden Kernaufgaben:

1. Unterrichtung und Beratung: Der DSB berät die Geschäftsführung und Mitarbeiter zu Datenschutzpflichten und klärt sie über ihre Verantwortlichkeiten auf.
2. Überwachung der Compliance: Überwachung der Einhaltung der DSGVO, nationaler Datenschutzgesetze und unternehmensinterner Richtlinien. Der DSB führt Prüfungen durch und empfiehlt Maßnahmen.
3. Beratung bei Datenschutz-Folgenabschätzungen: Unterstützung bei der DSFA, die für risikoreichere Verarbeitungsvorgänge erforderlich ist.
4. Zusammenarbeit mit Aufsichtsbehörden: Der DSB fungiert als Kontaktperson zur Datenschutzaufsichtsbehörde.
5. Anlaufstelle für Betroffene: Bearbeitung von Anfragen betroffener Personen zu allen mit der Verarbeitung ihrer Daten zusammenhängenden Fragen.

Zusätzlich legt § 7 BDSG fest, dass ein DSB zur Geheimhaltung verpflichtet ist und die Unternehmen ihm alle notwendigen Ressourcen zur Verfügung stellen müssen. Dazu zählen Zeit, ein Budget für Schulungen sowie ein uneingeschränkter Zugriff auf relevante Informationen und Systeme.

• Beratung der Unternehmensleitung (Art. 39 Abs. 1a DSGVO)
• Sensibilisierung und Schulung der Mitarbeiter (Art. 39 Abs. 1b DSGVO)
• Unterstützung bei internen Audits und Meldung von Datenschutzverletzungen
• Dokumentation und Berichtserstattung an die Geschäftsführung

Zusätzlich übernehmen Datenschutzbeauftragte in vielen Firmen weitere praktische Aufgaben: Häufig wirken sie bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten mit und prüfen Verträge zur Auftragsverarbeitung

Wichtig: Der DSB ist Berater und Kontrolleur – die Verantwortung für die Einhaltung des Datenschutzes liegt weiter in der Verantwortung der Geschäftsführung bzw. der IT-Abteilung.

Stellung und Unabhängigkeit des DSB im Unternehmen

Gemäß Art. 38 DSGVO genießt der DSB eine besondere Stellung:

• Keine Interessenkonflikte: Der DSB darf keine Position innehaben, die seine Unabhängigkeit gefährdet. Ein Geschäftsführer oder IT-Leiter kann daher nicht gleichzeitig DSB sein.
• Weisungsfreiheit: Der DSB unterliegt keinen Weisungen bezüglich seiner Aufgaben und berichtet direkt an die höchste Managementebene.
• Kündigungsschutz: Der DSB darf wegen der Ausübung seiner Tätigkeit nicht benachteiligt oder abberufen werden. Bei internen DSB gilt besonderer Kündigungsschutz.
• Ressourcen: Das Unternehmen muss dem DSB die notwendigen Ressourcen zur Erfüllung seiner Aufgaben bereitstellen (Zeit, Fortbildungen, ggf. Personal).
• Frühzeitige Einbindung: Der DSB muss ordnungsgemäß und frühzeitig in alle Datenschutzfragen eingebunden werden, insbesondere bei neuen Projekten.

Welche Qualifikation muss ein Datenschutzbeauftragter haben?

Nach Art. 37 Abs. 5 DSGVO muss ein DSB die nötige Fachkunde und Zuverlässigkeit besitzen. Er oder sie sollte:

• Umfangreiche Kenntnisse im Datenschutzrecht (DSGVO, BDSG) haben.
• Technisches Verständnis von IT-Sicherheit, Datenverarbeitungsprozessen und Risikomanagement mitbringen.
• Sicherstellen, dass keine Interessenkonflikte auftreten (z. B. Geschäftsführer und Personalleitung scheiden i. d. R. aus).

Viele Personen, die als DSB fungieren, haben Zertifikate oder Weiterbildungen (z. B. TÜV, IHK, GDD), was die Fachkunde belegt. Erforderlich ist aber vor allem praktisches Wissen darüber, wie man Datenschutzprozesse umsetzt und überwacht.

Ein DSB darf nicht in einer Position sein, die erhebliche Interessenkonflikte erzeugt. Beispiel: Wer die IT-Abteilung leitet, würde seine eigenen Entscheidungen kontrollieren. Auch Mitglieder der Geschäftsführung oder Personalleitung kommen meist nicht in Frage. Darauf weisen die Landesdatenschutzbehörden explizit hin, z. B. BayLDA – Informationen zum betrieblichen Datenschutzbeauftragten.

Interner vs. externer Datenschutzbeauftragter

Unternehmen können zwischen internem und externem DSB wählen:

Interner DSB

Vorteile:

• Kennt die Unternehmensstruktur und -prozesse
• Ständig vor Ort und direkt ansprechbar
• Möglicherweise kostengünstiger

Nachteile:

• Eingeschränkte Auswahl durch Vermeidung von Interessenkonflikten
• Oftmals fehlt die rechtliche Sachkunde, benötigt regelmäßige Fortbildungen
• Möglicherweise fehlende Ressourcen bei umfangreichen Aufgaben

Externer DSB

Vorteile:

• Spezialisierte Expertise und Erfahrung aus verschiedenen Unternehmen
• Unabhängigkeit und Objektivität
• Zugriff auf ein Team von Fachleuten
• Flexibles Leistungsangebot je nach Bedarf

Nachteile:

• Höhere direkte Kosten
• Einarbeitungszeit in Unternehmensprozesse nötig
• Weniger spontane Präsenz vor Ort

Die Entscheidung sollte basierend auf Unternehmensgröße, Komplexität der Datenverarbeitung und vorhandener interner Expertise getroffen werden.

‍

‍

Welche Variante? Für KMU ohne internes juristisches Know-how ist ein externer DSB meist sinnvoll, um Fehler und Bußgelder zu vermeiden. Größere Unternehmen setzen häufig auf interne DSB, teils ergänzt durch externe Berater in Spezialfragen. Wichtig ist, dass der DSB – intern wie extern – unabhängig agieren kann und die Geschäftsleitung voll hinter seiner Rolle steht.

Bestellung und Dokumentation: So läuft die Benennung eines DSB ab

Die formal korrekte Bestellung eines DSB umfasst mehrere Schritte:

1. Interne Bestellung: Schriftliche Benennung durch die Geschäftsführung mit Angabe der Aufgaben und Verantwortlichkeiten. Bei einem internen DSB wird oft eine Zusatzvereinbarung zum Arbeitsvertrag geschlossen.
2. Vertrag mit externem DSB: Bei Beauftragung eines externen DSB wird ein Dienstleistungsvertrag geschlossen, der Leistungsumfang, Vergütung, Kündigungsmodalitäten und Vertraulichkeitsverpflichtungen regelt.
3. Meldung an die Aufsichtsbehörde: Gemäß Art. 37 Abs. 7 DSGVO müssen die Kontaktdaten des DSB der zuständigen Aufsichtsbehörde mitgeteilt werden. Viele Behörden bieten dafür Online-Meldeportale an.
4. Veröffentlichung der Kontaktdaten: Die Kontaktdaten des DSB müssen auch öffentlich zugänglich gemacht werden, typischerweise im Impressum oder in der Datenschutzerklärung der Unternehmenswebsite.
5. Dokumentation: Der gesamte Bestellungsprozess sollte dokumentiert werden, um Nachweise bei eventuellen behördlichen Überprüfungen vorlegen zu können.

Haftung des betrieblichen Datenschutzbeauftragten

Grundsätzlich haften Sie als Unternehmen für Datenschutzverstöße. Eine persönliche Haftung von Datenschutzbeauftragten wird zwar diskutiert, ist aber nach vorherrschender Auffassung ausgeschlossen. Die Aufsichtsbehörden verhängen Bußgelder gegen die Verantwortlichen (also das Unternehmen), nicht gegen den DSB. Das betont auch die Artikel-29-Datenschutzgruppe bzw. Europäische Datenschutzausschuss (EDSA).

Regressansprüche innerhalb des Unternehmens

Im Innenverhältnis kann ein DSB jedoch schadensersatzpflichtig sein, wenn er grob fahrlässig oder vorsätzlich falsch berät und dadurch dem Unternehmen ein Schaden entsteht. So kann es zu Regressansprüchen kommen, wenn der DSB es etwa versäumt, auf offensichtliche Verstöße hinzuweisen oder Fristen grob missachtet.

Die Praxis zeigt aber, dass ein Nachweis grober Fahrlässigkeit schwierig ist. Ein gewöhnlicher Beratungsfehler oder eine Fehleinschätzung führt kaum zu einer Haftung. Viele externe DSB regeln das im Dienstleistungsvertrag und besitzen zudem eine Berufshaftpflichtversicherung.

Bußgelder und Konsequenzen bei Verstößen

Die Nichtbestellung eines DSB trotz gesetzlicher Pflicht oder die Behinderung eines bestellten DSB kann empfindliche Konsequenzen haben:

• Bußgelder: Gemäß Art. 83 Abs. 4 DSGVO können Verstöße gegen die DSB-Vorschriften mit Bußgeldern bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes geahndet werden.
• Behördliche Maßnahmen: Aufsichtsbehörden können Anordnungen zur Bestellung eines DSB erlassen oder sogar Datenverarbeitungen untersagen.
• Reputationsschäden: Öffentlich bekannt gewordene Verstöße können das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen.

In der Praxis gab es bereits Fälle mit erheblichen Bußgeldern, wie die Berliner Aufsichtsbehörde, die ein Unternehmen mit einem Bußgeld von ca. 525.000 € belegte, weil der interne DSB gleichzeitig Geschäftsführer einer Tochterfirma war – ein klarer Interessenkonflikt.

Ausblick: Aktuelle Entwicklungen und internationale Einflüsse

EU-US Data Privacy Framework

Für Unternehmen, die Daten in die USA übermitteln, ist das neue EU-U.S. Data Privacy Framework (DPF) relevant, das im Juli 2023 von der EU-Kommission angenommen wurde. Dieses Nachfolgeabkommen des Privacy Shield erleichtert Datentransfers in die USA, wenn der US-Empfänger nach dem DPF zertifiziert ist.

Für Datenschutzbeauftragte bedeutet dies:

• Prüfung, welche US-Dienstleister genutzt werden und ob diese DPF-zertifiziert sind
• Anpassung der Datenschutzdokumentation
• Beobachtung der rechtlichen Entwicklung, da auch dieses Framework gerichtlich angefochten werden könnte

ePrivacy-Verordnung und digitales Rechtsrahmen-Paket

Die lange diskutierte ePrivacy-Verordnung zur Regelung elektronischer Kommunikation wurde Anfang 2025 von der EU-Kommission zurückgezogen. Stattdessen ist ein umfassendes "Digital Package" für Ende 2025 geplant.

Für Datenschutzbeauftragte gilt daher:

• Weiterhin Anwendung nationaler Regelungen (in Deutschland TTDSG und TKG)
• Beobachtung der Entwicklung des EU-Digitalpakets
• Berücksichtigung anderer Regulierungen wie Digital Services Act (DSA) und Digital Markets Act (DMA)

Fazit: So handeln Sie richtig

Ein Datenschutzbeauftragter ist für viele Unternehmen in Deutschland keine Kür, sondern gesetzliche Pflicht. Die Bestellpflicht ergibt sich entweder direkt aus Art. 37 DSGVO oder durch die erweiterten Vorgaben des § 38 BDSG. Versäumnisse können teuer werden und zudem nachhaltige Image-Schäden verursachen. Andererseits bietet ein qualifizierter DSB handfeste Vorteile: Er hilft Ihnen, Prozesse sicherer zu gestalten, Haftungsrisiken zu minimieren und das Vertrauen Ihrer Kunden und Mitarbeitenden zu stärken.

Was sollten Sie jetzt tun?

1. Prüfen Sie, ob Ihr Unternehmen die 20-Personen-Grenze überschreitet oder spezielle Verarbeitungen vornimmt.
2. Entscheiden Sie, ob ein interner DSB (mit entsprechendem Know-how) oder ein externer Spezialist besser passt.
3. Dokumentieren Sie die Bestellung schriftlich, melden Sie den DSB bei der Behörde an und veröffentlichen Sie dessen Kontaktdaten.
4. Achten Sie auf eine frühzeitige Einbindung des DSB bei allen datenschutzrelevanten Projekten.
5. Überprüfen Sie regelmäßig, ob Schulungen, Audits und andere Datenschutzmaßnahmen aktuell bleiben.

Wenn Sie unsicher sind, wie Sie die gesetzlichen Anforderungen an die Bestellung und Einbindung eines DSB optimal umsetzen, lassen Sie sich von ODC Legal beraten. Unsere Rechtsanwältinnen und Rechtsanwälte sind auf Datenschutzrecht spezialisiert und unterstützen Sie dabei, Bußgelder sowie Reputationsrisiken zu vermeiden. Wir freuen uns, Sie auf dem Weg zu einer sicheren und DSGVO-konformen Unternehmenspraxis zu begleiten.

✅ Individuelle Erstberatung mit Fokus auf Ihre Branche
✅ Schnelle Risikoanalyse – ohne Juristendeutsch
✅ Praxistipps statt Paragraphen – konkret umsetzbar

Die Anforderungen steigen, die Bußgelder auch. Vermeiden Sie teure Fehler und prüfen Sie jetzt, ob Ihr Unternehmen DSGVO-sicher aufgestellt ist.

👉 Jetzt Erstgespräch bei ODC Legal vereinbaren

FAQ – Häufige Fragen zum Datenschutzbeauftragten

Was kostet ein Datenschutzbeauftragter im Monat?

Die monatlichen Kosten für einen externen Datenschutzbeauftragten beginnen bei etwa 250 Euro für kleinere Unternehmen, abhängig vom Stand der vorhandenen Unterlagen und Maßnahmen und Leistungsumfang. Für mittelgroße Unternehmen liegen die Kosten typischerweise bei ab 500 Euro pro Monat, während größere Firmen mit monatlichen Ausgaben im mindestens vierstelligen Bereich rechnen müssen. Die Preise variieren je nach Unternehmensgröße, Branche und Umfang der zu verarbeitenden Daten, wobei viele Anbieter Pauschalangebote mit unterschiedlichen Leistungspaketen anbieten, die Schulungen, Software und regelmäßige Beratungstermine beinhalten können. Wichtig ist die anfängliche Bestandsaufnahme mit dem externen Datenschutzbeauftragten, um genau darzulegen, was benötigt wird und wo die konkreten Risiken des Unternehmens liegen. Bloße Templates aus dem Internet helfen hier nicht weiter. Für die "Erstausstattung" eines Unternehmens, z.B. in Form einer Datenschutzrichtlinie, IT-Richtlinie, VVT, Mitarbeiterinformation zum Datenschutz, Einwilligungserklärungen von Mitarbeitenden z.B. für Fotos bieten wir bei ODC Legal Pauschalpakete an.

Ist ein Datenschutzbeauftragter persönlich haftbar?

Der DSB selbst kann nicht für Datenschutzverstöße des Unternehmens zur Rechenschaft gezogen werden, sofern er seine Aufgaben ordnungsgemäß erfüllt. Art. 38 Abs. 3 DSGVO stellt klar, dass die Tätigkeit des DSB keinen Interessenkonflikt verursachen darf und nicht zur persönlichen Haftung führt. Allerdings kann ein DSB intern arbeitsrechtlich belangt werden, wenn er grob fahrlässig oder vorsätzlich seine Pflichten verletzt.

Ab wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Ein Unternehmen braucht dann einen DSB, wenn gesetzlich die Pflicht dazu besteht. In Deutschland ist dies der Fall, sobald mindestens 20 Personen ständig mit personenbezogenen Daten arbeiten. Außerdem unabhängig von der Mitarbeiterzahl, wenn besondere risikoreiche Datenverarbeitungen vorliegen oder die DSGVO einen DSB verlangt, wenn die Geschäftstätigkeit z.B. eine umfangreiche Überwachung von Personen umfasst, oder wenn Gesundheitsdaten verarbeitet werden, wie etwa in Apotheken.

Wer kann Datenschutzbeauftragter sein?

Ein Datenschutzbeauftragter muss fachkundig und zuverlässig sein (Art. 37 Abs. 5 DSGVO). Theoretisch kann jede Person DSB werden, die die nötigen Fachkenntnisse im Datenschutzrecht und der Datenschutzpraxis besitzt. Interne DSB sollten aus einer unabhängigen Stelle kommen und dürfen keine Interessenkonflikte haben. Externe DSB können Anwälte, Berater oder spezialisierte Unternehmen sein. Unser Empfehlung: benenn Sie einen internen Datenschutzkoordinator, der die internen Abläufe kennt und als Schnittstelle dient und holen Sie sich zusätzliche Fachexpertise durch einen externen DSB. ODC Legal findet die maßgeschneiderte Lösung für Sie.