Datenschutz

Datenschutzbeauftragter: Wann Pflicht, was er tut, intern vs. extern

17 Min. Lesezeit
TL;DR
  • Die DSGVO (Art. 37) und das BDSG (§ 38) regeln, wann ein Datenschutzbeauftragter bestellt werden muss. In Deutschland gilt die 20-Personen-Schwelle: Ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten automatisiert verarbeiten, ist ein DSB Pflicht.
  • Die Aufgaben des DSB umfassen Unterrichtung und Beratung, Überwachung der Einhaltung der DSGVO, Beratung bei der DSFA, Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für Betroffene.
  • Der DSB muss fachlich qualifiziert sein (juristische und technische Kenntnisse) und darf keinen Interessenkonflikten unterliegen. Geschäftsführer, IT-Leiter und HR-Leiter scheiden regelmäßig aus.
  • Ein interner DSB genießt besonderen Kündigungsschutz und Abberufungsschutz. Ein externer DSB bietet Flexibilität, Unabhängigkeit und oft breitere Erfahrung.
  • Der DSB ist Berater und Überwacher, nicht Umsetzer. Die Verantwortung für die Einhaltung der DSGVO bleibt bei der Geschäftsführung.

Wann du einen Datenschutzbeauftragten brauchst

Die Bestellpflicht ergibt sich aus zwei Rechtsgrundlagen: Art. 37 DSGVO auf europäischer Ebene und § 38 BDSG als nationale Ergänzung. Beide haben unterschiedliche Auslöser.

Bestellpflicht nach Art. 37 DSGVO

Art. 37 Abs. 1 DSGVO verpflichtet zur Bestellung eines DSB in drei Fällen:

Behörden und öffentliche Stellen. Alle Behörden und öffentlichen Stellen müssen einen DSB bestellen, unabhängig von Art und Umfang der Datenverarbeitung. Ausnahme: Gerichte, soweit sie in ihrer justiziellen Tätigkeit handeln.

Kerntätigkeit: Umfangreiche regelmäßige und systematische Überwachung. Wenn die Kerntätigkeit deines Unternehmens in der umfangreichen regelmäßigen und systematischen Überwachung von betroffenen Personen besteht. Beispiele: Kreditauskunfteien, Detekteien, Bewachungsunternehmen mit Videoüberwachung, Online-Tracking-Dienstleister.

Kerntätigkeit: Umfangreiche Verarbeitung besonderer Kategorien. Wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) oder von Daten über strafrechtliche Verurteilungen (Art. 10) besteht. Beispiele: Krankenhäuser, Labore, Versicherungen im Gesundheitsbereich.

"Kerntätigkeit" bedeutet: Die Datenverarbeitung ist nicht nur eine Begleiterscheinung, sondern ein wesentlicher Bestandteil des Geschäftsmodells. Die Personalverwaltung ist keine Kerntätigkeit im Sinne dieser Norm, auch wenn dabei personenbezogene Daten verarbeitet werden.

Bestellpflicht nach § 38 BDSG

Deutschland hat über die DSGVO hinaus eine eigene Schwelle eingeführt, die in der Praxis für die meisten Unternehmen relevanter ist:

20-Personen-Schwelle: Ein DSB muss bestellt werden, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Was zählt:

  • Jeder Mitarbeiter, der regelmäßig mit personenbezogenen Daten arbeitet: E-Mail, CRM, Personalakte, Kundendatenbank, Buchhaltung
  • Auch Teilzeitkräfte, Praktikanten, Leiharbeitnehmer und freie Mitarbeiter, sofern sie regelmäßig personenbezogene Daten verarbeiten
  • Nicht nur IT-Mitarbeiter, sondern alle, die am Computer mit personenbezogenen Daten umgehen

In der Praxis überschreiten die meisten Unternehmen ab 20 bis 25 Mitarbeitern diese Schwelle, weil heutzutage fast jeder Büroarbeitsplatz die Verarbeitung personenbezogener Daten einschließt.

Unabhängig von der Mitarbeiterzahl muss nach § 38 Abs. 1 Satz 2 BDSG ein DSB bestellt werden, wenn Verarbeitungen durchgeführt werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung oder für Markt- und Meinungsforschung verarbeitet werden.

Aufgaben des Datenschutzbeauftragten

Art. 39 DSGVO definiert die Mindestaufgaben des DSB. In der Praxis geht das Aufgabenspektrum aber deutlich darüber hinaus.

Gesetzliche Mindestaufgaben (Art. 39)

Unterrichtung und Beratung. Der DSB berät die Geschäftsführung, die Fachabteilungen und die Mitarbeiter zu allen datenschutzrechtlichen Fragen. Das umfasst die Beratung bei neuen Projekten, bei der Einführung neuer Software, bei der Gestaltung von Verträgen und bei der Bearbeitung von Betroffenenanfragen.

Überwachung der Einhaltung. Der DSB überwacht, ob die DSGVO, das BDSG und die internen Datenschutzrichtlinien eingehalten werden. Er prüft Verarbeitungstätigkeiten, auditiert Prozesse und macht auf Verstöße aufmerksam. Wichtig: Überwachung bedeutet nicht Umsetzung. Der DSB zeigt Defizite auf und empfiehlt Maßnahmen. Die Umsetzung liegt bei der Geschäftsführung und den Fachabteilungen.

Sensibilisierung und Schulung. Der DSB ist für die Datenschutz-Schulung der Mitarbeiter verantwortlich, zumindest für deren Koordination. Er erstellt Schulungskonzepte, führt Schulungen durch oder organisiert sie und prüft, ob alle Mitarbeiter regelmäßig geschult werden.

Beratung bei der DSFA. Der DSB berät bei der Durchführung von Datenschutz-Folgenabschätzungen und überwacht deren Durchführung. Er wird nicht erst am Ende eingebunden, sondern von Anfang an in den Prozess integriert.

Zusammenarbeit mit der Aufsichtsbehörde. Der DSB ist die Anlaufstelle für die zuständige Aufsichtsbehörde. Er nimmt an Prüfungen teil, beantwortet Anfragen und koordiniert die Kommunikation zwischen Unternehmen und Behörde.

Anlaufstelle für betroffene Personen. Die Kontaktdaten des DSB müssen veröffentlicht und der Aufsichtsbehörde mitgeteilt werden. Betroffene können sich mit datenschutzrechtlichen Anliegen direkt an den DSB wenden.

Erweiterte Aufgaben in der Praxis

Über die gesetzlichen Mindestaufgaben hinaus übernimmt der DSB in vielen Unternehmen weitere Funktionen:

  • Erstellung und Pflege des Verarbeitungsverzeichnisses (in Zusammenarbeit mit den Fachabteilungen)
  • Prüfung von Auftragsverarbeitungsverträgen (AVV)
  • Bewertung von Datenpannen und Beratung zur Meldepflicht
  • Erstellung der Datenschutzerklärungen für Website und Bewerbungsverfahren
  • Prüfung von Marketing-Maßnahmen auf Datenschutzkonformität
  • Durchführung interner Datenschutz-Audits
  • Erstellung des jährlichen Datenschutzberichts für die Geschäftsführung

Qualifikation: Wer eignet sich als DSB?

Art. 37 Abs. 5 DSGVO verlangt, dass der DSB "auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt".

Fachliche Anforderungen

Ein DSB braucht Wissen in drei Bereichen:

Rechtskenntnisse. Kenntnisse der DSGVO, des BDSG und branchenspezifischer Datenschutzvorschriften (z. B. TDDDG für Telemedien, SGB für Sozialversicherung, KDG/DSG-EKD für Kirchen). Er muss die Rechtsprechung der Aufsichtsbehörden und des EuGH kennen und auf dem Laufenden bleiben.

Technische Kenntnisse. Der DSB muss die technischen Systeme verstehen, mit denen personenbezogene Daten verarbeitet werden: Datenbanken, Cloud-Dienste, Verschlüsselungsverfahren, Zugriffskontrollen, Netzwerkarchitekturen. Er muss in der Lage sein, technische und organisatorische Maßnahmen zu bewerten.

Organisatorische und kommunikative Kompetenz. Der DSB arbeitet mit allen Abteilungen zusammen, von der Geschäftsführung bis zum Praktikanten. Er muss komplexe rechtliche Sachverhalte verständlich erklären, Widerstände überwinden und Datenschutz als Teil der Unternehmenskultur verankern können.

Zertifizierungen und Ausbildung

Es gibt keine gesetzlich vorgeschriebene Ausbildung für DSBs. In der Praxis haben sich mehrere Qualifizierungswege etabliert:

  • Zertifizierung nach DEKRA, TÜV oder GDD (Gesellschaft für Datenschutz und Datensicherheit)
  • Universitäre Weiterbildungen und LL.M.-Studiengänge im Datenschutzrecht
  • Praxisausbildung durch erfahrene DSBs in Kombination mit Fachliteratur und Konferenzen

Eine formale Zertifizierung ist keine Pflicht, aber ein starkes Indiz für die erforderliche Fachkunde.

Interessenkonflikte: Wer nicht DSB sein darf

Der DSB muss seine Aufgaben weisungsfrei und ohne Interessenkonflikte ausüben können (Art. 38 Abs. 3 und 6 DSGVO). Daraus folgt, dass bestimmte Personen nicht zum DSB bestellt werden dürfen:

Geschäftsführung. Der Geschäftsführer bestimmt die Zwecke und Mittel der Datenverarbeitung. Er kann sich nicht selbst wirksam überwachen.

IT-Leitung. Der IT-Leiter verantwortet die technischen Systeme, auf denen die Datenverarbeitung basiert. Er müsste seine eigenen Entscheidungen kontrollieren.

HR-Leitung. Die Personalleitung verantwortet umfangreiche Verarbeitungen von Mitarbeiterdaten. Auch hier besteht ein evidenter Interessenkonflikt.

Marketing-Leitung. Marketing-Verantwortliche treiben datengetriebene Verarbeitungen voran (Newsletter, Tracking, Profiling), die der DSB kritisch bewerten müsste.

Die Aufsichtsbehörden haben in mehreren Fällen Bußgelder verhängt, weil Unternehmen Personen mit Interessenkonflikten zum DSB bestellt hatten. Das Belgische Datenschutzaufsicht verhängte 2020 ein Bußgeld von 50.000 Euro gegen ein Unternehmen, das seinen Compliance-, Risiko- und Auditdirektor zugleich als DSB eingesetzt hatte.

Intern vs. extern: Was passt besser?

Der interne DSB

Ein Mitarbeiter wird zum DSB bestellt. Er übernimmt die Aufgabe entweder hauptamtlich (in größeren Unternehmen) oder nebenamtlich neben seiner bisherigen Tätigkeit (in kleineren Unternehmen).

Vorteile:

  • Kennt das Unternehmen, die Prozesse und die Mitarbeiter von innen
  • Ist täglich vor Ort und jederzeit ansprechbar
  • Kann Datenschutz in die laufenden Projekte einbringen, bevor Entscheidungen fallen
  • Baut langfristig unternehmensspezifisches Datenschutz-Wissen auf

Nachteile:

  • Besonderer Kündigungsschutz (dazu gleich mehr)
  • Kosten für Ausbildung und laufende Weiterbildung
  • Risiko der Betriebsblindheit nach einigen Jahren
  • Bei nebenamtlicher Bestellung: Zeitmangel, wenn das Tagesgeschäft drängt
  • Schwierig, die notwendige Unabhängigkeit zu wahren, wenn der DSB hierarchisch dem Vorgesetzten unterstellt ist, dessen Abteilung er kontrollieren soll

Der externe DSB

Ein externer Dienstleister (Anwalt, Beratungsgesellschaft, spezialisierter DSB-Dienstleister) wird als DSB bestellt.

Vorteile:

  • Breite Erfahrung aus verschiedenen Unternehmen und Branchen
  • Kein Kündigungsschutz, flexible Vertragslaufzeiten
  • Natürliche Unabhängigkeit von internen Hierarchien
  • Aktuelle Fachkenntnisse durch Spezialisierung
  • Skalierbar: Bei geringem Bedarf wenige Stunden pro Monat, bei Bedarf schnell aufskalierbar

Nachteile:

  • Weniger Kenntnis der internen Abläufe und Unternehmenskultur
  • Nicht täglich vor Ort (bei Bedarf aber erreichbar)
  • Regelmäßige Kosten für die Dienstleistung
  • Einarbeitungszeit zu Beginn
  • Abhängigkeit vom Dienstleister, Wechsel ist aufwändig

Empfehlung nach Unternehmensgröße

Für Unternehmen mit 20 bis 50 Mitarbeitern ist ein externer DSB in der Regel die bessere Wahl. Der Aufwand reicht nicht für eine Vollzeitstelle, und die Kosten für die Qualifikation eines internen Mitarbeiters stehen in keinem Verhältnis zum Nutzen.

Für Unternehmen mit 50 bis 250 Mitarbeitern kommt es auf die Branche und die Komplexität der Datenverarbeitung an. Unternehmen mit hohem Datenschutzbedarf (Gesundheitswesen, Finanzbranche, E-Commerce) profitieren von einem internen DSB. Unternehmen mit weniger datenschutzintensiver Verarbeitung (produzierendes Gewerbe, Handwerk) kommen mit einem externen DSB gut zurecht.

Ab 250 Mitarbeitern ist ein interner, hauptamtlicher DSB oft die sinnvollere Lösung, gegebenenfalls ergänzt durch externe Beratung für Spezialthemen.

Kündigungs- und Abberufungsschutz

§ 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG gewährt dem internen DSB einen besonderen Kündigungsschutz: Er kann nur aus wichtigem Grund außerordentlich gekündigt werden, nicht ordentlich. Der Kündigungsschutz wirkt ein Jahr nach Abberufung nach.

Die Abberufung des DSB ist ebenfalls nur aus wichtigem Grund möglich. Meinungsverschiedenheiten über Datenschutzfragen sind kein wichtiger Grund. Mangelnde Fachkunde oder grobe Pflichtverletzungen hingegen schon.

Dieser Schutz dient der Unabhängigkeit: Der DSB soll seine Aufgabe ohne Angst vor Repressalien ausüben können. In der Praxis führt er aber dazu, dass manche Unternehmen vor der Bestellung eines internen DSB zurückschrecken, weil sie fürchten, einen schwer kündbaren Mitarbeiter zu schaffen.

Haftung des DSB

Der DSB haftet nicht für die Einhaltung der DSGVO. Die Verantwortung liegt bei der Geschäftsführung (dem Verantwortlichen im Sinne der DSGVO). Der DSB berät und überwacht, aber die Entscheidung, ob und wie seine Empfehlungen umgesetzt werden, liegt bei der Geschäftsführung.

Wenn die Geschäftsführung gegen den ausdrücklichen Rat des DSB handelt und es zu einem Verstoß kommt, haftet die Geschäftsführung, nicht der DSB. Der DSB haftet allerdings nach den allgemeinen arbeitsrechtlichen Grundsätzen, wenn er seine Aufgaben grob fahrlässig oder vorsätzlich schlecht erfüllt, etwa wenn er eine offensichtliche Datenschutzverletzung bemerkt und nicht darauf hinweist.

Meldung an die Aufsichtsbehörde

Art. 37 Abs. 7 DSGVO schreibt vor, dass du die Kontaktdaten des DSB der zuständigen Aufsichtsbehörde mitteilen musst. In Deutschland erfolgt das über die Online-Portale der Landesdatenschutzbehörden. Die Meldung umfasst Name und Kontaktdaten des DSB, nicht aber seine Qualifikation oder seinen Vertrag.

Zusätzlich musst du die Kontaktdaten des DSB veröffentlichen, typischerweise in der Datenschutzerklärung auf deiner Website und in den Datenschutzhinweisen für Mitarbeiter und Bewerber.

Häufige Fehler

Keinen DSB bestellt, obwohl Pflicht besteht. Bußgelder für fehlende DSB-Bestellung sind nicht nur theoretisch: Die Aufsichtsbehörden prüfen aktiv und verhängen Bußgelder, auch bei kleineren Unternehmen.

Person mit Interessenkonflikt bestellt. Der IT-Leiter als DSB ist einer der häufigsten Fehler. Er kann nicht gleichzeitig die IT-Sicherheitsarchitektur verantworten und deren Datenschutzkonformität unabhängig überwachen.

DSB-Aufgaben nicht ermöglicht. Der DSB hat Anspruch auf die für seine Aufgaben erforderlichen Ressourcen: Zeit, Budget für Weiterbildung, Zugang zu Informationen und Systemen. Ein nebenamtlicher DSB, der neben seinem Vollzeitjob ohne Zeitbudget noch den Datenschutz "mitmachen" soll, kann seine Aufgaben nicht wirksam erfüllen. Tools wie ISMS Lite erleichtern dem DSB die Arbeit, indem sie Betroffenenanfragen, DSFA-Dokumentation und Schulungsnachweise an einem Ort bündeln.

DSB zum Umsetzer machen. Wenn du dem DSB die operative Verantwortung für den Datenschutz überträgst (Verarbeitungsverzeichnis führen, AVVs abschließen, Datenschutzerklärungen schreiben), untergräbst du seine Überwachungsfunktion. Er kann nicht wirksam kontrollieren, was er selbst umgesetzt hat. Die operative Arbeit gehört in die Fachabteilungen, der DSB berät und überwacht.

Keine regelmäßige Berichterstattung. Der DSB sollte der Geschäftsführung mindestens einmal jährlich berichten – idealerweise im Rahmen des Management-Reviews: Datenschutzstatus, identifizierte Risiken, offene Maßnahmen, Schulungsstand, Betroffenenanfragen, Datenpannen. Ohne diesen Bericht fehlt der Geschäftsführung die Entscheidungsgrundlage, und der DSB verliert den Kontakt zur Führungsebene.

Weiterführende Artikel

Der Datenschutzbeauftragte ist keine lästige Pflicht, sondern eine wertvolle Funktion, wenn er richtig eingesetzt wird. Er schützt dein Unternehmen vor Bußgeldern, vor Reputationsschäden und vor den Folgen von Datenschutzverletzungen. Voraussetzung ist, dass er die nötige Fachkunde, die nötige Unabhängigkeit und die nötigen Ressourcen hat, um seine Aufgaben wirksam zu erfüllen.

Datenschutzbeauftragter DSB DSGVO Art. 37 Art. 38 Art. 39 Datenschutz Compliance

DSB-Aufgaben strukturiert verwalten

ISMS Lite unterstützt deinen Datenschutzbeauftragten mit strukturierten Workflows für Betroffenenanfragen, DSFA-Dokumentation und Datenschutz-Audits. Alles an einem Ort.

Jetzt installieren