Datenschutzbeauftragter (DSB) – Wann benötigt, Aufgaben und Pflichten

1. Rechtsgrundlagen für den Datenschutzbeauftragten

Der Datenschutzbeauftragte ist in Art. 37-39 DSGVO (europäisch) und §38-40 BDSG (Deutschland-spezifisch) geregelt. Wichtig: Deutschland hat bei der Umsetzung der DSGVO strengere Regeln eingeführt als die DSGVO selbst!

Unterschied zwischen DSGVO und deutschem BDSG:

Kriterium	DSGVO (Minimum)	Deutsches BDSG (Besonderheit)
Schwellenwert für Private Unternehmen	Systematische, umfangreiche Überwachung ODER Verarbeitung besonderer Daten (Art. 37 Abs. 1 Bst. b, c)	20 oder mehr Personen, die regelmäßig personenbezogene Daten verarbeiten (§38 Abs. 1 BDSG)
Öffentliche Stellen	Immer erforderlich (Art. 37 Abs. 1 a DSGVO)	Immer erforderlich (§38 Abs. 1 BDSG)
Core Activities	Profiling/Überwachung im großen Maßstab (Art. 37 Abs. 1 b)	Nicht relevant – deutsches Recht ist strenger
Besondere Daten	Verarbeitung besonderer Kategorien (Art. 37 Abs. 1 c)	Bereits ab 20 Mitarbeitern erforderlich

2. Wann ist ein Datenschutzbeauftragter Pflicht?

2.1 Private Unternehmen (nach deutschem BDSG)

DSB ist ERFORDERLICH, wenn:

• 20 oder mehr Personen (regelmäßig) personenbezogene Daten verarbeiten (§38 Abs. 1 Satz 1 Nr. 2 BDSG)
• Es ist egal ob Vollzeit, Teilzeit oder freiberuflich – es zählt die Personenanzahl, nicht die Arbeitszeit
• Regelmäßig bedeutet: wiederkehrend, nicht nur einmalig

Beispiele "regelmäßige Verarbeitung":

• Kundendaten in CRM
• Mitarbeiterdaten (HR, Lohn, etc.)
• Website-Besucherdaten (auch über Cookies)
• Bankdaten von Lieferanten
• E-Mail-Adressen für Marketing

DSB ist NICHT erforderlich, wenn:

• Sie haben weniger als 20 Mitarbeiter, die regelmäßig Daten verarbeiten (z.B. nur Geschäftsführer und 1 Mitarbeiter = 2 Personen) → Keine DSB-Pflicht nach BDSG
• Aber: Sie können einen DSB freiwillig benennen (Art. 37 Abs. 4 DSGVO erlaubt dies)
• Und: Sie müssen weiterhin alle anderen DSGVO-Anforderungen erfüllen!

2.2 Öffentliche Stellen und Behörden

Alle öffentlichen Stellen (Behörden, staatliche Unternehmen, etc.) müssen einen DSB benennen, unabhängig von der Größe (Art. 37 Abs. 1 a DSGVO).

2.3 Auftragsverarbeiter (Processor)

Ein Auftragsverarbeiter (z.B. Cloud-Provider, Hosting-Dienst, Payroll-Processor) muss einen DSB benennen, wenn:

• Die Kerntätigkeit darin besteht, Daten im großen Maßstab zu verarbeiten (Art. 37 Abs. 1 b DSGVO)
• Beispiele: Datazentren, E-Mail-Provider, CRM-Anbieter, Banking-Software
• Ein klassischer IT-Support, der nur gelegentlich auf Kundendaten zugreift, braucht keinen DSB

3. Qualifikationen und Anforderungen an einen DSB

Nach Art. 37 Abs. 5 DSGVO und §38 Abs. 2 BDSG muss ein DSB folgende Qualifikationen haben:

3.1 Fachkenntnisse

Der DSB muss "Fachkenntnisse" im Datenschutzrecht UND Datensicherheit haben. Folgende Qualifikationen sind typisch:

Qualifikation	Beispiel	Bewertung
Zertifiziert (IAPP CIPP/E, TÜV, DEKRA)	International zertifizierter Datenschutzer	Gold Standard
Akademischer Abschluss in Datenschutz/IT-Sicherheit	Master in Data Protection Law oder IT-Security	Sehr gut
Juristische Ausbildung + Datenschutz-Training	Jurist mit DSGVO-Kursen	Gut, mit Zusatzschulung
IT-Sicherheit + DSGVO-Kenntnisse	IT-Sicherheitsleiter mit DSGVO-Verständnis	Gut, interdisziplinär
Interne Promotion + spezialisierte Schulung	Mitarbeiter mit DSGVO-Zertifikat	Akzeptabel, wenn ressourciert

3.2 Unabhängigkeit

Der DSB muss unabhängig sein (Art. 38 Abs. 3 DSGVO):

• Der DSB kann nicht gleichzeitig Geschäftsführer, Datenschutz-Manager oder andere operative Funktionen ausüben
• Aber: Ein "Datenschutz-Beauftragte" im HR-Bereich kann in Absprache mit dem DSB seine Rolle erfüllen
• Der DSB muss direkt an die Geschäftsleitung berichten (nicht über eine Zwischeninstanz)
• Wichtig: Der DSB kann nicht der Leiter der Datenverarbeitung sein

3.3 Ressourcen

Nach Art. 38 Abs. 2 DSGVO muss dem DSB zur Erfüllung seiner Aufgaben die notwendigen Ressourcen zur Verfügung stehen:

• Ausreichende Zeit und Mitarbeiter-Unterstützung
• Zugang zu notwendigen Systemen und Dokumentation
• Budget für Schulungen, Zertifikationen und Spezialist-Konsultationen
• Schutz vor Benachteiligung (keine Entlassung für Ausübung der Rolle)

4. Die 7 Hauptaufgaben eines DSB

Nach Art. 39 DSGVO hat der Datenschutzbeauftragte folgende Kernaufgaben:

4.1 Überwachung und Beratung zur DSGVO-Compliance

• Periodische Überprüfung aller Datenverarbeitungen
• Überprüfung der Datenschutzerklärung, des VVT und der AVVs
• Beratung bei DSGVO-Fragen (kostenlos intern, muss bereit sein)
• Prüfung von neuen Prozessen vor Einführung

4.2 Datenschutz-Folgenabschätzung (DPIA) durchführen oder überwachen

• Prüfung ob eine DPIA erforderlich ist (Art. 35)
• Durchführung oder Überwachung der DPIA für hohe-Risiko-Verarbeitungen
• Zusammenarbeit mit dem Risikogebiet-Management

4.3 Kooperation mit der Aufsichtsbehörde

• Kontaktpunkt für die zuständige Datenschutzbehörde
• Beantwortung von Anfragen der Behörde
• Unterstützung bei Inspektionen und Audits
• In Deutschland: Der Name und die Kontaktdaten müssen der Aufsichtsbehörde mitgeteilt werden (bis 2020 war die Benachrichtigung optional, seit BDSG 2018 ist sie Pflicht bei internen DSBs)

4.4 Kontaktpunkt für Betroffene und externe Parteien

• Muss für Betroffene erreichbar sein (E-Mail, Telefon)
• Beantwortung von Auskunfts-Anfragen zum Datenschutz
• Bearbeitung von Beschwerdeanfragen (formal an Aufsichtsbehörde, aber DSB ist erster Ansprechpunkt)

4.5 Beratung zu Betroffenenrechten

• Beratung zur Auskunftspflicht (Art. 15)
• Beratung zur Löschung (Art. 17)
• Beratung zur Datenportabilität (Art. 20)
• Beratung zum Widerspruchsrecht (Art. 21)

4.6 Dokumentation und Bericht

• Führung eines Datenschutz-Audit-Logs
• Jährliche Berichterstattung an die Geschäftsleitung
• Dokumentation von Datenpannen und Compliance-Problemen
• Empfehlungen für Verbesserungen

4.7 Schulung und Sensibilisierung

• Schulungen für Mitarbeiter durchführen oder organisieren
• Datenschutz-Richtlinien entwickeln und kommunizieren
• Sensitisierung zu neuen Datenschutz-Anforderungen

5. Was der DSB NICHT tun darf

Was ist nicht erlaubt?	Grund	Risiko
Gleichzeitig als Datenschutz-Manager/Controller arbeiten	Unabhängigkeit-Verletzung	Rollenkonflikt, Interessenskollision
Datenschutz-Entscheidungen treffen (Genehmigungen)	Beratung, nicht Entscheidung	Der Verantwortliche bleibt verantwortlich
Alleinverantwortung für Compliance übernehmen	Der Verantwortliche/Processor ist verantwortlich	Haftungs-Abwälzung ist nicht möglich
Datenschutz-Audit allein durchführen (ohne Unterstützung)	Unabhängige Audits notwendig	Mangelnde Objektivität
Geheimhaltungspflicht brechen (Whistleblowing)	Besondere Schutzregel (Art. 38 Abs. 5 DSGVO)	Persönliche Haftung bei Verletzung

6. Interne vs. Externe Datenschutzbeauftragte

Kriterium	Interner DSB	Externer DSB (Consultant/Agentur)
Kosten	60-100k EUR/Jahr (Gehalt + Benefits)	10-50k EUR/Jahr (oder Stundensatz)
Verfügbarkeit	Täglich vor Ort, schnelle Reaktion	Zeitbegrenzt, Abhängig von Vertrag
Unabhängigkeit	Schwieriger zu gewährleisten (Angestellter)	Natürlicherweise höher (externer Berater)
Branchenkenntnisse	Tieferes Verständnis der Branche nach Zeit	Breites Wissen über viele Branchen
Ressourcen-Backup	Muss allein alles machen	Agentur hat Backup-Team
Best für	Große Unternehmen (1000+), Konzerne	KMU, spezialisierte Branche

7. Bestellung eines internen DSB – Prozess und Dokumentation

Wenn Sie sich für einen internen DSB entscheiden:

7.1 Formale Bestellung

1. Entscheidung der Geschäftsleitung: Schriftliche Beauftragung des DSB
2. Dokumentation der Qualifikation: CV, Zertifikate, Schulungen
3. Stellenbeschreibung: Klar definieren Sie die DSB-Aufgaben
4. Unabhängigkeitserklärung: DSB bestätigt seine Unabhängigkeit
5. Kontaktdaten öffentlich zugänglich machen: E-Mail, Telefon müssen auf der Website oder in der Datenschutzerklärung stehen

7.2 Mitteilung an die Aufsichtsbehörde (§38 Abs. 4 BDSG)

In Deutschland ist die Mitteilung der Aufsichtsbehörde optional, aber empfohlen:

• Name: Vollständiger Name des DSB
• Kontaktdaten: E-Mail und Telefon
• Zugehörige Organisation: Der Arbeitgeber des DSB
• Mitteilung ist freiwillig: Sie können auch ohne Mitteilung legal einen DSB benennen
• Praktisch: Viele Behörden veröffentlichen Listen mit Datenschutzbeauftragten (z.B. Bayern LDA)

Beispiel-Mitteilung an Aufsichtsbehörde:

An: Bayerisches Landesamt für Datenschutzaufsicht
     Wagmüllerstraße 25, 80538 München
     poststelle@lda.bayern.de

Betreff: Mitteilung Datenschutzbeauftragter nach Art. 37 DSGVO / §38 BDSG

Sehr geehrte Damen und Herren,

hiermit teilen wir mit, dass für unsere Unternehmen ein Datenschutzbeauftragter
benannt worden ist:

Name:                       Max Mustermann
Organisation:               Musterunternehmen GmbH, Berlin
E-Mail:                     datenschutz@musterunternehmen.de
Telefon:                    +49 30 123456789
Besondere Qualifikationen:  CIPP/E zertifiziert, 10 Jahre DSGVO-Erfahrung

Dieser DSB steht der Aufsichtsbehörde für Fragen zur Verfügung.

Mit freundlichen Grüßen,
[Geschäftsführer]
Musterunternehmen GmbH

8. Haftung des DSB

Die Haftung eines DSB ist begrenzt (Art. 38 Abs. 6 DSGVO, §38 Abs. 3 Nr. 5 BDSG):

Der DSB ist NICHT haftbar für:

• Verstöße des Verantwortlichen/Processors, die nicht auf Rat des DSB basieren
• Entscheidungen des Managements, die das DSB-Beratung ignorieren
• Mangelhafte Umsetzung von DSB-Empfehlungen

Der DSB KANN haftbar sein für:

• Schlechte oder mangelnde Beratung (Fahrlässigkeit oder Vorsatz)
• Verletzung der Geheimhaltungspflicht
• Falsche oder unterlassene Benachrichtigungen an die Aufsichtsbehörde (wenn der DSB wusste, dass dies erforderlich war)

9. Datenschutzbeauftragter vs. Datenschutz-Koordinator

Aspekt	Datenschutzbeauftragter (DSB)	Datenschutz-Koordinator
Rechtliche Grundlage	Art. 37 DSGVO, §38 BDSG (Pflicht)	Interne Organisationsrolle (optional)
Hauptaufgabe	Unabhängige Überwachung und Beratung	Operative Umsetzung von Datenschutz
Berichterstattung	An Geschäftsführung und Aufsichtsbehörde	An Datenschutzbeauftragten und Management
Entscheidungsbefugnis	Keine (nur Beratung und Überwachung)	Operative, von Management genehmigt
Unabhängigkeit	Absolut erforderlich	Wünschenswert, aber nicht erforderlich

10. Checkliste: Haben Sie einen DSB benötigt und benannt?

Kontrollfrage	Status	Aktion erforderlich?
Haben Sie 20+ Mitarbeiter regelmäßig Daten verarbeitet? (Deutsches Recht)	☐ Ja ☐ Nein	Wenn Ja → DSB erforderlich
Sind Sie eine öffentliche Stelle?	☐ Ja ☐ Nein	Wenn Ja → DSB immer erforderlich
Ist Ihre Kerntätigkeit die Verarbeitung von Daten im großen Maßstab?	☐ Ja ☐ Nein	Wenn Ja → DSB erforderlich (als Processor)
Verarbeiten Sie besondere Kategorien von Daten (Art. 9)?	☐ Ja ☐ Nein	Wenn Ja + <20 MA → Prüfe DSGVO-Schwelle
Haben Sie einen DSB benannt (intern oder extern)?	☐ Ja ☐ Nein	Wenn Nein und erforderlich → Sofort benenne
Ist der DSB angemessen qualifiziert (Zertifikat/Erfahrung)?	☐ Ja ☐ Nein	Wenn Nein → Schulung/Zertifizierung
Hat der DSB Zugang zu allen notwendigen Systemen und Dokumentationen?	☐ Ja ☐ Nein	Wenn Nein → Zugriff gewähren
Sind die Kontaktdaten des DSB öffentlich zugänglich (Website, Datenschutzerklärung)?	☐ Ja ☐ Nein	Wenn Nein → Veröffentlichen
Haben Sie den DSB der Aufsichtsbehörde mitgeteilt (optional, empfohlen)?	☐ Ja ☐ Nein	Empfohlen → Mitteilung ernsthaft erwägen

11. Verwandte Dokumentationen

• 📖 DSGVO Website-Checkliste 2026
• 📖 DSGVO: Verarbeitungsverzeichnis (VVT) erstellen
• 📖 Datenschutz-Folgenabschätzung (DPIA) Anleitung
• 📖 DSGVO: Auftragsverarbeitervertrag (AVV) erstellen
• 🔧 Enjyn Crawler – Website auf Sicherheit prüfen

---

Zuletzt aktualisiert: April 2026 | Rechtsstand: DSGVO (EU 2016/679), BDSG (2018) | Diese Informationen stellen keine Rechtsberatung dar. Konsultieren Sie bei kritischen Fragen einen Datenschutzanwalt.