Unternehmen verarbeiten täglich eine Vielzahl personenbezogener Daten – von Kundendaten über Mitarbeiterinformationen bis hin zu sensiblen Gesundheits- oder Finanzdaten. Die Bestellung eines Datenschutzbeauftragten (DSB) ist dabei nicht nur gute Praxis, sondern in vielen Fällen gesetzlich vorgeschrieben.
Doch wann genau muss ein Datenschutzbeauftragter bestellt werden? Wer darf diese Rolle übernehmen – und wie läuft der Bestellungsprozess rechtssicher ab?
In diesem Beitrag erfahren Sie Schritt für Schritt, wie Sie die gesetzlichen Vorgaben aus § 38 BDSG und Art. 37 DSGVO erfüllen – und worauf es bei Auswahl und Bestellung wirklich ankommt.
1. Wann muss ein Datenschutzbeauftragter bestellt werden?
Die Pflicht zur Bestellung ergibt sich für Unternehmen insbesondere dann, wenn:
- mehr als 20 Personen (nach Köpfen, nicht nach Stellenanteilen) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – unabhängig vom Beschäftigungsverhältnis (z. B. Angestellte, freie Mitarbeitende).
- → Rechtsgrundlage: § 38 Abs. 1 S. 1 BDSG
- eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist, z. B. bei umfangreicher Verarbeitung sensibler Daten,
- oder besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) bzw. Daten zu Straftaten (Art. 10 DSGVO) verarbeitet werden – etwa im Gesundheitswesen, in der Forschung oder in Sicherheitsunternehmen.
Der Datenschutzbeauftragte muss spätestens einen Monat nach Aufnahme der Tätigkeit oder nach Eintritt der Bestellvoraussetzungen benannt werden.
Achtung: Formfehler oder eine verspätete Bestellung gelten als Nicht-Bestellung – und können nach Art. 83 Abs. 4 lit. a DSGVO Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes nach sich ziehen.
2. Wer darf Datenschutzbeauftragter werden?
Nach Art. 37 Abs. 5 DSGVO darf nur bestellt werden, wer:
- über ausreichende Fachkunde verfügt – insbesondere im Datenschutzrecht, in der IT-Sicherheit und in den organisatorischen Abläufen des Unternehmens,
- sowie Zuverlässigkeit und Unabhängigkeit mitbringt.
Praxistipp: Mitarbeitende aus der IT-Administration eignen sich in der Regel nicht als Datenschutzbeauftragte, da sie eigene Systeme überwachen würden – ein klarer Interessenkonflikt.
Der DSB sollte außerdem über genügend Autorität, Zeit und Ressourcen verfügen, um seine Aufgaben wirksam erfüllen zu können.
3. Interner oder externer Datenschutzbeauftragter?
Unternehmen haben die Wahl zwischen:
- einem internen Datenschutzbeauftragten – z. B. einer juristisch oder technisch versierten Person aus dem eigenen Haus,
- oder einem externen Datenschutzbeauftragten nach Art. 37 Abs. 6 DSGVO – in der Regel ein spezialisierter Dienstleister mit Fachkenntnis und Erfahrung.
Beide Varianten sind zulässig. Entscheidend ist, dass Eignung, Unabhängigkeit und organisatorische Einbindung gewährleistet sind.
Hinweis: Bei interner Bestellung greift ein besonderer Kündigungsschutz (§ 6 Abs. 4 BDSG).
In Konzernen oder Unternehmensgruppen muss jede rechtlich eigenständige Gesellschaft ihren DSB separat bestellen – mit jeweils eigener Bestellungsurkunde.
4. Der Bestellungsprozess im Überblick
Ein strukturierter Ablauf stellt sicher, dass die Bestellung rechtskonform erfolgt:
Schritt 1: Prüfen, ob eine Pflicht besteht
Analysieren Sie anhand von § 38 BDSG und Art. 37 DSGVO, ob Ihr Unternehmen zur Bestellung verpflichtet ist.
Schritt 2: Geeignete Person auswählen
Fachkunde und Zuverlässigkeit müssen geprüft und dokumentiert werden.
Achten Sie auf mögliche Interessenkonflikte.
Schritt 3: Schriftliche Bestellung erstellen
Die DS-GVO schreibt keine Form vor – rechtssicher ist jedoch nur die schriftliche Bestellung auf Papier mit eigenhändiger Unterschrift der vertretungsberechtigten Person.
Die Unterschrift muss unter dem Bestelltext stehen.
Eine Gegenzeichnung durch den DSB ist nicht zwingend, aber empfehlenswert.
Schritt 4: Meldung an die Aufsichtsbehörde
Die Bestellung ist innerhalb eines Monats an die zuständige Datenschutzaufsichtsbehörde zu melden – meist über ein Onlineformular.
Schritt 5: Kommunikation im Unternehmen
Alle Mitarbeitenden sollten wissen, wer Datenschutzbeauftragter ist und wie sie ihn erreichen können.
Schritt 6: Ausstattung mit Ressourcen
Der DSB benötigt Zeit, Fortbildungsmöglichkeiten (z. B. drei Tage pro Jahr), Zugang zu Systemen und ggf. ein Beratungsbudget.
5. Checkliste: Haben Sie an alles gedacht?
| Frage | Erfüllt? |
| Wurde die Bestellung schriftlich auf Papier erstellt? | ☑ |
| Ist sie eigenhändig von der vertretungsberechtigten Person unterschrieben? | ☑ |
| Befindet sich die Unterschrift unter dem Bestelltext? | ☑ |
| Wurde der Datenschutzbeauftragte über seine Aufgaben informiert? | ☑ |
| Hat der DSB die Bestellung gegengezeichnet? (empfohlen) | ☑ |
| Wurde die Bestellung der Aufsichtsbehörde gemeldet? | ☑ |
| Wurde die Bestellung intern kommuniziert? | ☑ |
Datenschutz als Bestandteil moderner Unternehmensführung
Die Bestellung eines Datenschutzbeauftragten ist mehr als eine gesetzliche Pflicht – sie ist ein Zeichen professioneller Unternehmensführung.
Wer den Prozess strukturiert angeht, sorgfältig dokumentiert und die Rolle aktiv mit Leben füllt, schafft eine starke Grundlage für Vertrauen, Compliance und Sicherheit.
Der Datenschutzbeauftragte ist kein interner Kritiker, sondern ein Lotse im Nebel komplexer Datenverarbeitung – vorausgesetzt, er erhält die Verantwortung und Unterstützung, die er braucht.
