Ab wann muss ein Datenschutzbeauftragter bestellt werden?

Nach §38 BDSG und Art. 37 DSGVO muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens 20 Personen im Unternehmen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Darüber hinaus besteht die Pflicht unabhängig von der Mitarbeiterzahl bei risikoreichen Verarbeitungen wie Profiling oder dem Umgang mit besonderen Datenkategorien.

Was sind die Aufgaben eines Datenschutzbeauftragten?

Die Kernaufgaben des DSB sind in Art. 39 DSGVO geregelt: (1) Unterrichtung und Beratung des Verantwortlichen und der Mitarbeiter, (2) Überwachung der Einhaltung der DSGVO, (3) Beratung bei der Datenschutz-Folgenabschätzung (DSFA) nach Art. 35, und (4) Zusammenarbeit mit der Aufsichtsbehörde sowie Anlaufstelle für Betroffene.

Was ist der Unterschied zwischen internem und externem Datenschutzbeauftragten?

Ein interner DSB ist ein Mitarbeiter des Unternehmens, ein externer DSB ist ein selbstständiger Dienstleister oder Anwalt. Der externe DSB bietet mehr Unabhängigkeit und ist oft bei kleineren Unternehmen wirtschaftlicher. Beide müssen die gleichen fachlichen Qualifikationen erfüllen. Der externe DSB haftet zudem selbst für seine Beratungsfehler.

Wie lange dauert die Zertifizierung zum Datenschutzbeauftragten?

Ein klassischer Präsenzkurs zum zertifizierten Datenschutzbeauftragten (TÜV, DEKRA oder GDD) dauert 3 bis 5 Tage und kostet zwischen 900 und 2.000 €. Wer sich autodidaktisch vorbereitet – z. B. mit einer Lernplattform wie dsgvo-quiz.de – kann die Kosten erheblich senken, da nur die Prüfungsgebühr anfällt.

Was verdient ein Datenschutzbeauftragter?

Laut Gehaltsvergleichen (Stand 2025) verdienen interne DSB in Deutschland zwischen 55.000 und 90.000 € brutto im Jahr, je nach Branche, Unternehmensgröße und Erfahrung. Externe DSBs berechnen Tagessätze von 800 bis 1.800 € oder Pauschalbeträge ab 150 € pro Monat für kleine Unternehmen.

Welche Bußgelder drohen bei fehlendem Datenschutzbeauftragten?

Verstöße gegen die Bestellungspflicht des Datenschutzbeauftragten können nach Art. 83 Abs. 4 DSGVO mit Geldbußen von bis zu 10.000.000 € oder 2 % des weltweiten Jahresumsatzes geahndet werden. Entscheidend ist der jeweils höhere Betrag.

Was ist ein Datenschutzbeauftragter? Aufgaben, Pflichten & Zertifizierung

Der Datenschutzbeauftragte (DSB) ist die zentrale Kontrollinstanz für den Datenschutz im Unternehmen — gesetzlich vorgeschrieben ab 20 Personen nach §38 BDSG und Art. 37 DSGVO. Alles über Aufgaben, Zertifizierung (TÜV/DEKRA/GDD), Qualifikation und Gehalt.

48h kostenlos für die DSB-Zertifizierung üben Zu den Aufgaben ↓

Definition: Was macht ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte (DSB, engl. Data Protection Officer, DPO) ist eine von der DSGVO und dem deutschen BDSG vorgeschriebene Funktion. Er überwacht die Einhaltung des Datenschutzrechts im Unternehmen und ist Ansprechpartner für Betroffene und Aufsichtsbehörden. Der DSB ist kein „Datenschutzpolizist", sondern ein interner Berater — er trägt keine persönliche Verantwortung für Datenschutzverstöße des Unternehmens.

Wichtig für die Prüfung: Der DSB ist nicht der „Verantwortliche" im Sinne der DSGVO. Verantwortlicher bleibt immer die Unternehmensleitung (Art. 4 Nr. 7 DSGVO). Der DSB berät und überwacht — entscheiden muss das Unternehmen selbst.

Bestellungspflicht: Wann muss ein DSB bestellt werden?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus zwei Quellen:

Art. 37 DSGVO — EU-Ebene

Pflicht bei: Behörden und öffentlichen Stellen, Kerntätigkeit mit Hochrisikoverarbeitungen (Profiling, besondere Datenkategorien) oder umfangreicher systematischer Überwachung.

§38 BDSG — Deutschland

Pflicht ab: mindestens 20 Personen, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind — unabhängig von der Gesamtmitarbeiterzahl.

Prüfungsfalle: Es heißt „20 Personen, die regelmäßig mit automatisierter Verarbeitung befasst sind" — nicht 20 Gesamtmitarbeiter. Ein Unternehmen mit 50 Mitarbeitern, von denen nur 15 regelmäßig Daten verarbeiten, unterliegt noch nicht der Pflicht nach §38 BDSG (wohl aber ggf. nach Art. 37 DSGVO).

Die 4 Kernaufgaben nach Art. 39 DSGVO

Art. 39 DSGVO listet die Mindestaufgaben des DSB abschließend auf — in der Prüfung werden diese Aufgaben häufig mit konkreten Szenarien abgefragt:

Unterrichtung und Beratung: Der DSB informiert und berät den Verantwortlichen, den Auftragsverarbeiter sowie alle Mitarbeiter über datenschutzrechtliche Pflichten. Er ist internen Schulungen verpflichtet.
Überwachung der Einhaltung: Der DSB überwacht die Einhaltung der DSGVO, anderer Datenschutzvorschriften sowie interner Datenschutzrichtlinien. Er führt dazu Audits und Kontrollen durch.
Beratung bei der DSFA: Der DSB berät bei der Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und überwacht ihre Durchführung — er erstellt sie aber nicht selbst (das ist Aufgabe des Verantwortlichen).
Zusammenarbeit mit Aufsichtsbehörden: Der DSB ist Anlaufstelle (single point of contact) für die Datenschutz-Aufsichtsbehörden und für betroffene Personen bei allen Fragen zur Verarbeitung ihrer Daten.

Interner vs. externer Datenschutzbeauftragter

Interner DSB

Mitarbeiter des Unternehmens
Kennt interne Prozesse gut
Interessenkonflikte möglich (nicht beim Vorgesetzten einsetzen!)
Kündigungsschutz nach §38 Abs. 2 BDSG i.V.m. §6 BDSG
Bei kleinen Unternehmen oft unwirtschaftlich

Externer DSB

Selbstständiger Dienstleister oder Kanzlei
Höhere Unabhängigkeit
Breites Fachwissen durch mehrere Mandate
Eigene Haftung für Beratungsfehler
Flexible Vertragsgestaltung

Merke: Beide Varianten sind rechtlich gleichwertig. Der externe DSB ist kein Auftragsverarbeiter i.S.d. Art. 28 DSGVO, da er als weisungsunabhängiger Berater tätig ist.

Stellung im Unternehmen — Art. 38 DSGVO

Art. 38 DSGVO regelt die besondere Stellung des DSB. Diese Regelungen sind prüfungsrelevant:

Weisungsfreiheit: Der DSB darf bezüglich seiner Aufgaben keine Weisungen entgegennehmen — er ist unabhängig (Art. 38 Abs. 3 DSGVO)
Kein Interessenkonflikt: Dem DSB dürfen keine Aufgaben übertragen werden, die zu einem Interessenkonflikt führen — er darf nicht gleichzeitig IT-Leiter oder Personalchef sein
Direktes Berichtsrecht: Der DSB berichtet direkt an die höchste Managementebene (Vorstand, Geschäftsführung)
Ressourcen: Der Verantwortliche muss dem DSB Zeit, Ressourcen und Zugang zu Verarbeitungsvorgängen bereitstellen
Abberufungsschutz: Der DSB darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden

Qualifikationsanforderungen

Art. 37 Abs. 5 DSGVO fordert „Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis". Konkret bedeutet das:

Kenntnisse der DSGVO, des BDSG und branchenspezifischer Datenschutzgesetze
Verständnis der Verarbeitungsvorgänge im eigenen Unternehmen
IT-Grundkenntnisse (Datensicherheit, TOMs)
Eine anerkannte Zertifizierung (TÜV Rheinland, TÜV SÜD, DEKRA, GDD) gilt als starkes Indiz für ausreichende Qualifikation
Regelmäßige Fortbildung — das Datenschutzrecht ändert sich laufend

Bußgelder nach Art. 83 DSGVO

Verstöße gegen Pflichten rund um den Datenschutzbeauftragten können empfindlich bestraft werden:

Art. 83 Abs. 4 DSGVO — Bis zu 10 Mio. € oder 2 % Jahresumsatz

Gilt für Verstöße gegen Bestellungspflicht (Art. 37), Aufgaben (Art. 39) und Stellung des DSB (Art. 38). Der höhere Betrag ist maßgeblich. Aufsichtsbehörden haben jedoch bei kleinen Unternehmen Ermessen.

Praxis: In Deutschland hat die DSK (Datenschutzkonferenz) Leitlinien veröffentlicht, wann eine DSB-Bestellungspflicht besteht. Im Zweifel sollte eine Aufsichtsbehörde konsultiert werden.

Zertifizierung als Datenschutzbeauftragter — TÜV, DEKRA, GDD

Obwohl Art. 37 Abs. 5 DSGVO keine bestimmte Zertifizierung gesetzlich vorschreibt, verlangen viele Arbeitgeber und Auftraggeber einen anerkannten Abschluss als Nachweis der Qualifikation. Die drei bekanntesten Anbieter in Deutschland sind:

TÜV

TÜV Rheinland / TÜV SÜD / TÜV NORD

3–5 Tage Präsenz- oder Online-Kurs, schriftliche Prüfung, anerkanntes Zertifikat. Ca. 1.200–2.000 €.

DEKRA

DEKRA Certification

5-tägiger Lehrgang + Abschlusskolloquium. Weit verbreitet in der Industrie. Ca. 1.500–1.900 €.

GDD

GDD e.V. (Gesellschaft für Datenschutz)

Berufsverband der Datenschutzfachleute. Seminare und GDD-Datenschutz-Auditor-Zertifikat. Ca. 900–1.400 €.

Tipp: Alle drei Anbieter bieten sowohl Präsenz- als auch Online-Varianten an. Das Zertifikat hat keine gesetzliche Gültigkeitsdauer, aber Aufsichtsbehörden empfehlen eine Auffrischung alle 2–3 Jahre, da sich das Datenschutzrecht stetig weiterentwickelt.

Wie werde ich zertifizierter Datenschutzbeauftragter?

Der Weg zur Zertifizierung ist klar strukturiert — entscheidend ist, wie Sie sich vorbereiten:

Grundlagenwissen aufbauen: Lernen Sie die DSGVO (besonders Art. 4–40), das BDSG und einschlägige nationale Regelungen. Wichtig sind auch technisch-organisatorische Maßnahmen (TOMs), Betroffenenrechte und das Verfahren der Datenschutz-Folgenabschätzung (DSFA).
Anbieter und Kursformat wählen: Entscheiden Sie zwischen Präsenzkurs (teurer, intensiver) oder Online-Kurs (flexibler, günstiger). Manche Anbieter erlauben auch externe Kandidaten, die sich selbst vorbereitet haben.
Prüfung ablegen: In der Regel schriftliche Multiple-Choice-Prüfung oder mündliches Kolloquium. Bestehensquote liegt bei ca. 80 %, wenn man sich gezielt vorbereitet.
Zertifikat erhalten und bestellen lassen: Nach bestandener Prüfung erhalten Sie das Zertifikat. Arbeitgeber oder Kunden können Sie nun offiziell zum DSB bestellen.
Fortbildung: Bleiben Sie aktuell — Fachzeitschriften (ZD, RDV), Aufsichtsbehörden-Newsletter und regelmäßige Prüfungsübungen helfen, das Wissen frisch zu halten.

Günstigerer Weg: Wer die Kursgebühren (900–2.000 €) sparen möchte, kann sich mit einer spezialisierten Lernplattform wie dsgvo-quiz.de vorbereiten und nur die Prüfungsgebühr direkt beim Anbieter zahlen. Mit 380+ Prüfungsfragen trainieren Sie genau das, was in der Abschlussprüfung gefragt wird — für 9,99 €/Monat.

Gehalt und Karrierechancen als Datenschutzbeauftragter

Die Nachfrage nach qualifizierten DSBs ist seit Einführung der DSGVO 2018 stark gestiegen und hält an. Datenschutz wird als strategisches Unternehmensthema immer wichtiger — entsprechend entwickeln sich auch Vergütung und Karriereperspektiven.

Interner DSB — Gehaltsrahmen (2025)

Einstieg (0–2 Jahre Erfahrung): 45.000–60.000 € brutto/Jahr
Mit Berufserfahrung (3–7 Jahre): 60.000–80.000 € brutto/Jahr
Senior / Head of Privacy: 80.000–110.000 € brutto/Jahr
Großkonzerne / Finanzbranche: teilweise > 120.000 €

Externer DSB — Honorare (2025)

KMU-Pauschalmandat: 150–400 €/Monat
Mittlere Unternehmen: 400–1.200 €/Monat
Tagessatz für Projekte: 800–1.800 €
Mehrere Mandate parallel möglich

Besonders gefragte Branchen sind: Gesundheitswesen, Finanzdienstleistungen, Versicherungen, öffentliche Verwaltung und Technologieunternehmen. In diesen Sektoren verarbeiten Unternehmen besonders sensible Daten und unterliegen zusätzlichen Spezialgesetzen (z. B. SGB, KHG, KWG).

Karrierepfad: Viele DSBs starten als IT-Sicherheitsbeauftragte, Juristen oder Compliance-Manager. Die DSGVO-Zertifizierung ist oft ein gezielter Karriereschritt, der den Gehaltssprung oder den Einstieg in die Selbstständigkeit ermöglicht.

Häufige Fragen zur DSB-Zertifizierung

Ist die TÜV-Zertifizierung gesetzlich anerkannt?

Keine Zertifizierung ist gesetzlich vorgeschrieben. TÜV, DEKRA und GDD gelten jedoch als allgemein anerkannte Qualifikationsnachweise und werden von Datenschutz-Aufsichtsbehörden als Indiz für ausreichende Fachkunde akzeptiert. Im Streitfall — etwa bei einer Beschwerde gegen das Unternehmen — stärkt ein anerkanntes Zertifikat die Rechtsposition erheblich.

Wie lange ist das DSB-Zertifikat gültig?

Die meisten Zertifikate haben keine feste Ablaufdauer. Fachverbände wie die GDD empfehlen aber eine Auffrischung alle 2–3 Jahre. Manche Anbieter bieten optionale Rezertifizierungen an. Wer regelmäßig Fortbildungen besucht und die Entwicklungen der Aufsichtsbehörden verfolgt, erfüllt die Anforderungen in der Praxis dauerhaft.

Kann ich mich selbst als DSB bestellen lassen, ohne Kurs?

Ja — Art. 37 Abs. 5 DSGVO nennt keine bestimmte Zertifizierung als Voraussetzung. Wer sich nachweislich eigenständig das nötige Fachwissen angeeignet hat (z. B. durch Selbststudium mit Prüfungsvorbereitung, Literatur und Rechtsprechungsanalyse), kann bestellt werden. Das Risiko liegt beim Verantwortlichen: Stellt eine Aufsichtsbehörde mangelnde Qualifikation fest, drohen Bußgelder nach Art. 83 DSGVO.

Weiterführende Seiten

DSGVO

DSGVO Grundlagen →

Die 7 Grundsätze und Rechtsgrundlagen einfach erklärt

Prüfung

Alle 10 Prüfungskapitel →

DSGVO, BDSG, TOMs, Betroffenenrechte und mehr

Jetzt für die DSB-Zertifizierung üben

380+ Prüfungsfragen zu DSGVO, BDSG, Art. 37–39, TOMs, Betroffenenrechten und mehr — gezielt auf TÜV-, DEKRA- und GDD-Prüfungen ausgerichtet.

48 Stunden kostenlos testen — ohne Kreditkarte, direkt im Browser.

48h kostenlos für die DSB-Zertifizierung üben →