Inhaltsverzeichnis
Ein Datenschutzbeauftragter (DSB) ist eine der wichtigsten Funktionen im Datenschutz. Er stellt sicher, dass ein Unternehmen die gesetzlichen Vorgaben der Datenschutzgrundversorgung (DSGVO) einhält, Risiken früh erkennt und datenschutzrechtlich sauber arbeitet. Viele Unternehmen fragen sich jedoch:
- Wann ist ein Datenschutzbeauftragter Pflicht?
- Wer darf diese Rolle übernehmen?
- Was ist der Unterschied zwischen einem internen und externen Datenschutzbeauftragten?
- Wie findet man die richtige Lösung für die eigene Organisation?
Dieser Leitfaden bietet dir den vollständigen Überblick – und verweist an den relevanten Stellen auf vertiefende Fachartikel.
Was macht ein Datenschutzbeauftragter?
Ein Datenschutzbeauftragter überwacht die Einhaltung der DSGVO und berät das Unternehmen zu allen Fragen rund um Datenschutz und Informationssicherheit. Zu seinen Kernaufgaben gehören die Überprüfung von Prozessen, die Unterstützung bei Datenschutz-Folgenabschätzungen, die Schulung von Mitarbeitenden sowie die Kommunikation mit Aufsichtsbehörden.
Alle Aufgaben im Detail findest du hier.
Wann ist ein Datenschutzbeauftragter Pflicht?
Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich aus der DSGVO und dem Bundesdatenschutzgesetz (§ 38 BDSG). Entscheidend ist nicht nur die Unternehmensgröße – sondern vor allem Art, Umfang und Risiko der Datenverarbeitung.
Eine Benennungspflicht besteht insbesondere:
- ab 20 regelmäßig datenverarbeitenden Personen,
- bei Verarbeitung sensibler Daten wie Gesundheits- oder biometrischen Daten,
- wenn die Datenverarbeitung ein Kerngeschäft ist,
- oder wenn in großem Umfang personenbezogene Daten ausgewertet werden.
Wer benötigt einen Datenschutzbeauftragten?
Viele Unternehmen gehen davon aus, dass sie zu klein für diese Rolle sind. In der Praxis ist jedoch häufig schon bei kleinen Teams eine Benennung erforderlich – insbesondere dann, wenn sensible Daten verarbeitet werden oder Prozesse risikoreich sind.
Keine Pflicht besteht meist bei Solo-Selbstständigen oder Kleinstunternehmen, sofern sie keine umfangreichen oder sensiblen Daten verarbeiten. Dennoch gelten die Vorgaben der DSGVO selbstverständlich weiterhin.
Hier findest du weitere Informationen wer einen Datenschutzbeauftragten benötigt.
Interner vs. externer Datenschutzbeauftragter
Rechtlich gibt es nur „den“ Datenschutzbeauftragten – egal ob intern angestellt oder von außen beauftragt. Praktisch unterscheidet man jedoch zwischen beiden Modellen.
Ein interner Datenschutzbeauftragter eignet sich vor allem für größere Unternehmen mit vorhandener Expertise. Ein externer Datenschutzbeauftragter ist dagegen besonders flexibel, sofort einsatzbereit und bringt unabhängiges Spezialwissen mit.
Kurzvergleich:
- Interner Datenschutzbeauftragter: Hoher Kündigungsschutz, Aufbau von Fachwissen notwendig, Risiko von Interessenkonflikten.
- Externer Datenschutzbeauftragter: Sofortige Verfügbarkeit, planbare Kosten, kein Kündigungsschutz, hohe Unabhängigkeit.
Wann ist ein externer Datenschutzbeauftragter sinnvoll?
Externe Datenschutzbeauftragte sind oft die beste Wahl für:
- Kleine und mittelständische Unternehmen (KMU) und Start-Ups
- medizinische Einrichtungen
- soziale Träger und Vereine
- Organisationen ohne internes Datenschutz-Know-how
Sie ermöglichen einen schnellen Einstieg, hohe Flexibilität und reduzieren das Risiko von Fehlbesetzungen.
Kosten eines Datenschutzbeauftragten
Die Kosten hängen davon ab, ob die Rolle intern oder extern besetzt wird.
- Interner Datenschutzbeauftragter: Schulungen, fortlaufende Weiterbildung, Freistellung und Personalkosten
- Externer Datenschutzbeauftragter: Monatliche Pauschalen (typisch 250–800 €), planbare Kosten, kein Schulungsaufwand
Berichtspflichten & Kontrollaufgaben
Ein Datenschutzbeauftragter ist verpflichtet, die Einhaltung der DSGVO im Unternehmen regelmäßig zu prüfen. Dazu gehören die Kontrolle von Verarbeitungsprozessen, technischen Maßnahmen, Auftragsverarbeitungen und Löschkonzepten.
Mindestens einmal jährlich – in der Praxis oft häufiger – berichtet der Datenschutzbeauftragte an die Unternehmensleitung über Risiken, Maßnahmen und den Status der Datenschutz-Compliance.
Haftung, Risiken & Kündigungsschutz
Ein Datenschutzbeauftragter haftet nur in Ausnahmefällen persönlich – etwa bei grober Fahrlässigkeit oder vorsätzlicher Falschberatung. Für das Unternehmen bestehen hingegen erhebliche Risiken, wenn Datenschutzpflichten vernachlässigt werden: Bußgelder, Reputationsschäden und Schadensersatzforderungen.
Interne Datenschutzbeauftragte genießen zudem einen besonders starken Kündigungsschutz. Externe Datenschutzbeauftragte sind dagegen flexibel kündbar und können leichter gewechselt werden.
Bestellung, Abberufung & Wechsel
Die Bestellung erfolgt schriftlich und muss der Aufsichtsbehörde gemeldet werden. Ebenso gilt: Auch ein Wechsel oder eine Abberufung muss unverzüglich angezeigt werden. Die Dokumentation dieser Vorgänge ist Teil der Rechenschaftspflichten.
Ein Wechsel kann sinnvoll sein, wenn:
- die Zusammenarbeit nicht funktioniert
- der Aufwand steigt
- Fachwissen fehlt
- Interessenkonflikte auftreten
Rechtliche Grundlagen
Die wichtigsten Rechtsgrundlagen sind:
- DSGVO, Art. 37–39 – Benennung, Stellung und Aufgaben
- BDSG § 38 – deutsche Schwellenwertregelung
- ergänzende Vorgaben einzelner Landesaufsichtsbehörden
