Ab wann muss ein Datenschutzbeauftragter bestellt werden?

Gemäß §38 BDSG müssen Unternehmen einen Datenschutzbeauftragten (DSB) bestellen, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unabhängig von der Mitarbeiterzahl ist ein DSB erforderlich, wenn Verarbeitungen einer Datenschutz-Folgenabschätzung (DSFA) bedürfen oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder anonymisierten Übermittlung verarbeitet werden.

Welche Qualifikationen braucht ein Datenschutzbeauftragter?

Art. 37 Abs. 5 DSGVO verlangt vom DSB Fachkunde auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie die Fähigkeit zur Erfüllung seiner Aufgaben. In der Praxis empfehlen TÜV, DEKRA und Datenschutzbehörden eine anerkannte Zertifizierung als Datenschutzbeauftragter (z.B. TÜV Rheinland, TÜV SÜD, DEKRA).

Was sind die Hauptaufgaben eines Datenschutzbeauftragten?

Gemäß Art. 39 DSGVO hat der DSB folgende Kernaufgaben: Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, Überwachung der Einhaltung der DSGVO und nationaler Datenschutzvorschriften, Beratung bei der DSFA (Art. 35), Zusammenarbeit mit der Aufsichtsbehörde sowie die Tätigkeit als Anlaufstelle für Betroffene.

Kann ein Datenschutzbeauftragter intern oder extern sein?

Beide Optionen sind nach DSGVO möglich. Ein interner DSB ist Mitarbeiter des Unternehmens, ein externer DSB wird auf Basis eines Dienstleistungsvertrags bestellt (Art. 37 Abs. 6 DSGVO). Externe DSBs sind beliebt für KMUs, da sie Kosten sparen und bereits zertifiziert sind. Der interne DSB darf keine Interessenkonflikte haben (z.B. kein IT-Leiter, kein HR-Leiter).

Startseite › Was ist ein Datenschutzbeauftragter?

Was ist ein Datenschutzbeauftragter?

Aufgaben, Bestellungspflicht (§38 BDSG & Art. 37 DSGVO) und Qualifikationsanforderungen — kompakt und prüfungsrelevant erklärt.

~200k

DSBs in Deutschland

Mitarbeiter-Grenze §38 BDSG

3 J.

Fortbildungsintervall

Art. 37

DSGVO Rechtsgrundlage

Definition: Was ist ein Datenschutzbeauftragter?

Der betriebliche Datenschutzbeauftragte (DSB) ist eine gesetzlich vorgesehene Funktion, die Unternehmen bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) unterstützt. Der DSB überwacht, berät und informiert — er ist jedoch nicht persönlich für Datenschutzverstöße verantwortlich (diese Verantwortung trägt der Verantwortliche nach Art. 4 Nr. 7 DSGVO).

Merksatz: Der DSB kontrolliert — er ist kein Datenschutzvollzugsorgan. Die Verantwortung für die Einhaltung der DSGVO verbleibt beim Verantwortlichen (Unternehmen/Behörde).

Bestellungspflicht: Wann ist ein DSB Pflicht?

Die Bestellungspflicht ergibt sich aus zwei Rechtsquellen:

§38 BDSG — Nationale Pflicht

Ein DSB muss bestellt werden, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Art. 37 DSGVO — Europäische Pflicht (unabhängig von Mitarbeiterzahl)

Die Kerntätigkeit besteht in umfangreicher, regelmäßiger und systematischer Überwachung von Personen (z.B. Online-Tracking, Scoring)
Die Kerntätigkeit besteht in umfangreicher Verarbeitung besonderer Datenkategorien (Art. 9) oder von Straftaten (Art. 10)
Der Verantwortliche ist eine Behörde oder öffentliche Stelle (mit Ausnahme von Gerichten)

Prüfungsfalle: Die 20-Personen-Grenze bezieht sich auf Personen, die ständig mit der automatisierten Verarbeitung beschäftigt sind — nicht auf die Gesamtmitarbeiterzahl des Unternehmens.

Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO)

①

Unterrichtung & Beratung

Verantwortliche, Auftragsverarbeiter und Beschäftigte informieren

②

Überwachung

Einhaltung der DSGVO, BDSG und Datenschutzrichtlinien kontrollieren

③

DSFA-Beratung

Bei Datenschutz-Folgenabschätzungen nach Art. 35 beraten

④

Zusammenarbeit

Kontaktstelle für Aufsichtsbehörde und Betroffene sein

Qualifikationsanforderungen (Art. 37 Abs. 5 DSGVO)

Der DSB wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit zur Erfüllung der Aufgaben benannt.

In der Praxis verlangen Datenschutzbehörden und Auftraggeber eine anerkannte Zertifizierung:

TÜV Rheinland — Datenschutzbeauftragter (TÜV)
TÜV SÜD — Datenschutzbeauftragter (TÜV)
DEKRA — Geprüfter Datenschutzbeauftragter
GDD — Gesellschaft für Datenschutz und Datensicherheit e.V.

Die Zertifizierung muss alle 2–3 Jahre durch Fortbildung erneuert werden (je nach Anbieter). Dieser dauernde Fortbildungsbedarf sichert den langfristigen Markt für DSB-Qualifikationen.

Interner vs. externer DSB

Interner DSB

Mitarbeiter des Unternehmens
Muss weisungsfrei sein (Art. 38 Abs. 3 DSGVO)
Darf nicht abberufen oder benachteiligt werden
Interessenkonflikt verboten: kein IT-Leiter, kein HR-Leiter, kein Geschäftsführer

Externer DSB

Dienstleister auf vertraglicher Basis (Art. 37 Abs. 6 DSGVO)
Beliebt bei KMUs: Kosten sparen, sofortige Expertise
Vertragslaufzeit: mindestens die Bestellungsdauer (§38 BDSG: mind. 2 Jahre)
Haftung liegt weiterhin beim Verantwortlichen

Stellung des DSB im Unternehmen (Art. 38 DSGVO)

Unmittelbare Berichterstattung

Der DSB berichtet direkt an die höchste Managementebene — nicht an IT oder HR
Weisungsfreiheit

Der DSB darf bezüglich seiner Aufgabenerfüllung keine Weisungen entgegennehmen
Ressourcen

Das Unternehmen muss dem DSB ausreichend Ressourcen, Zugang zu Daten und Fortbildung gewähren
Verschwiegenheitspflicht

Der DSB ist zur Verschwiegenheit verpflichtet (Art. 38 Abs. 5 DSGVO)

Bußgelder bei Verstößen

Wird kein DSB bestellt obwohl eine Bestellungspflicht besteht, drohen Bußgelder nach Art. 83 Abs. 4 DSGVO von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt).

Wichtig für die Prüfung: Art. 83 kennt zwei Bußgeldrahmen: bis 10 Mio. € / 2 % (Art. 83 Abs. 4) für Verstöße gegen organisatorische Pflichten (inkl. DSB-Bestellung), und bis 20 Mio. € / 4 % (Art. 83 Abs. 5) für Verstöße gegen Grundprinzipien und Betroffenenrechte.

Jetzt auf die DSB-Prüfung vorbereiten

Über 380 Multiple-Choice-Fragen zu allen 10 Prüfungskapiteln — kostenlos starten

Kostenlos registrieren