Unternehmen verarbeiten täglich eine Vielzahl personenbezogener Daten – von Kundendaten über Mitarbeiterinformationen bis hin zu sensiblen Gesundheits- oder Finanzdaten. Deshalb müssen viele Organisationen einen Datenschutzbeauftragter bestellen, um die Anforderungen der DSGVO zu erfüllen. Die Bestellung eines Datenschutzbeauftragten (DSB) ist dabei nicht nur gute Praxis, sondern in vielen Fällen gesetzlich vorgeschrieben.
Doch wann genau muss ein Datenschutzbeauftragter bestellt werden? Wer darf diese Rolle übernehmen und wie läuft der Bestellungsprozess rechtssicher ab?
In diesem Beitrag erfahren Sie Schritt für Schritt, wie Sie die gesetzlichen Vorgaben aus § 38 BDSG und Art. 37 DSGVO erfüllen – und worauf es bei Auswahl und Bestellung wirklich ankommt.
1. Wann muss ein Datenschutzbeauftragter bestellt werden?
Die Pflicht zur Bestellung ergibt sich für Unternehmen insbesondere dann, wenn:
- mehr als 20 Personen (nach Köpfen, nicht nach Stellenanteilen) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – unabhängig vom Beschäftigungsverhältnis (z. B. Angestellte, freie Mitarbeitende).
- → Rechtsgrundlage: § 38 Abs. 1 S. 1 BDSG
- eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist, z. B. bei umfangreicher Verarbeitung sensibler Daten,
- oder besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) bzw. Daten zu Straftaten (Art. 10 DSGVO) verarbeitet werden – etwa im Gesundheitswesen, in der Forschung oder in Sicherheitsunternehmen.
Der Datenschutzbeauftragte muss spätestens einen Monat nach Aufnahme der Tätigkeit oder nach Eintritt der Bestellvoraussetzungen benannt werden.
Achtung: Formfehler oder eine verspätete Bestellung gelten als Nicht-Bestellung – und können nach Art. 83 Abs. 4 lit. a DSGVO Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes nach sich ziehen.
2. Wer darf einen Datenschutzbeauftragter bestellen oder diese Rolle übernehmen?
Nach Art. 37 Abs. 5 DSGVO darf nur bestellt werden, wer:
- über ausreichende Fachkunde verfügt – insbesondere im Datenschutzrecht, in der IT-Sicherheit und in den organisatorischen Abläufen des Unternehmens,
- sowie Zuverlässigkeit und Unabhängigkeit mitbringt.
Praxistipp: Mitarbeitende aus der IT-Administration eignen sich in der Regel nicht als Datenschutzbeauftragte, da sie eigene Systeme überwachen würden – ein klarer Interessenkonflikt.
Der DSB sollte außerdem über genügend Autorität, Zeit und Ressourcen verfügen, um seine Aufgaben wirksam erfüllen zu können.
3. Interner oder externer Datenschutzbeauftragter – wen sollten Unternehmen bestellen?
Unternehmen haben die Wahl zwischen:
- einem internen Datenschutzbeauftragten – z. B. einer juristisch oder technisch versierten Person aus dem eigenen Haus,
- oder einem externen Datenschutzbeauftragten nach Art. 37 Abs. 6 DSGVO – in der Regel ein spezialisierter Dienstleister mit Fachkenntnis und Erfahrung.
Beide Varianten sind zulässig. Entscheidend ist, dass Eignung, Unabhängigkeit und organisatorische Einbindung gewährleistet sind.
Hinweis: Bei interner Bestellung greift ein besonderer Kündigungsschutz (§ 6 Abs. 4 BDSG).
In Konzernen oder Unternehmensgruppen muss jede rechtlich eigenständige Gesellschaft ihren DSB separat bestellen – mit jeweils eigener Bestellungsurkunde.
4. Datenschutzbeauftragter bestellen – der Bestellungsprozess im Überblick
Ein strukturierter Ablauf stellt sicher, dass die Bestellung rechtskonform erfolgt:
Schritt 1: Prüfen, ob eine Pflicht besteht
Analysieren Sie anhand von § 38 BDSG und Art. 37 DSGVO, ob Ihr Unternehmen zur Bestellung verpflichtet ist.
Schritt 2: Geeignete Person auswählen
Fachkunde und Zuverlässigkeit müssen geprüft und dokumentiert werden.
Achten Sie auf mögliche Interessenkonflikte.
Schritt 3: Schriftliche Bestellung erstellen
Die DS-GVO schreibt keine Form vor – rechtssicher ist jedoch nur die schriftliche Bestellung auf Papier mit eigenhändiger Unterschrift der vertretungsberechtigten Person.
Die Unterschrift muss unter dem Bestelltext stehen.
Eine Gegenzeichnung durch den DSB ist nicht zwingend, aber empfehlenswert.
Schritt 4: Meldung an die Aufsichtsbehörde
Die Bestellung ist innerhalb eines Monats an die zuständige Datenschutzaufsichtsbehörde zu melden – meist über ein Onlineformular.
Schritt 5: Kommunikation im Unternehmen
Alle Mitarbeitenden sollten wissen, wer Datenschutzbeauftragter ist und wie sie ihn erreichen können.
Schritt 6: Ausstattung mit Ressourcen
Der DSB benötigt Zeit, Fortbildungsmöglichkeiten (z. B. drei Tage pro Jahr), Zugang zu Systemen und ggf. ein Beratungsbudget.
5. Checkliste: Haben Sie an alles gedacht?
| Frage | Erfüllt? |
| Wurde die Bestellung schriftlich auf Papier erstellt? | ☑ |
| Ist sie eigenhändig von der vertretungsberechtigten Person unterschrieben? | ☑ |
| Befindet sich die Unterschrift unter dem Bestelltext? | ☑ |
| Wurde der Datenschutzbeauftragte über seine Aufgaben informiert? | ☑ |
| Hat der DSB die Bestellung gegengezeichnet? (empfohlen) | ☑ |
| Wurde die Bestellung der Aufsichtsbehörde gemeldet? | ☑ |
| Wurde die Bestellung intern kommuniziert? | ☑ |
Datenschutz als Bestandteil moderner Unternehmensführung
Einen Datenschutzbeauftragter bestellen bedeutet weit mehr, als nur eine gesetzliche Pflicht zu erfüllen – es ist ein klares Zeichen professioneller Unternehmensführung.
Wer die Bestellung strukturiert plant, sorgfältig dokumentiert und den Datenschutzbeauftragten aktiv in Prozesse einbindet, schafft eine starke Grundlage für Vertrauen, Compliance und Sicherheit.
Der Datenschutzbeauftragte ist dabei kein interner Kritiker, sondern ein Lotse im Nebel komplexer Datenverarbeitung – vorausgesetzt, er erhält die Verantwortung und Unterstützung, die er braucht.
Datenschutzbeauftragten bestellen: Schritt-für-Schritt-Anleitung
Die Benennung eines Datenschutzbeauftragten erfolgt in drei Schritten:
- Kandidaten auswählen: Interne Fachkraft mit nachweisbaren Datenschutzkenntnissen identifizieren oder externen DSB-Dienstleister auswählen. Art. 37 Abs. 5 DSGVO verlangt berufliche Qualifikation und Fachwissen im Datenschutzrecht.
- Formelle Benennung: Die Benennung sollte schriftlich erfolgen und die Aufgaben, Ressourcen und den Zugang zu Verarbeitungsvorgängen regeln. Für externe DSB: Dienstleistungsvertrag mit klaren Leistungspflichten.
- Meldung an die Aufsichtsbehörde: Nach Art. 37 Abs. 7 DSGVO sind Verantwortliche verpflichtet, die Kontaktdaten des DSB zu veröffentlichen und der Aufsichtsbehörde zu melden. In Deutschland: Meldung an die zuständige Landesdatenschutzbehörde.
Gemäß Art. 37 Abs. 1 DSGVO sind drei Fallgruppen für die Benennungspflicht maßgeblich: (1) Behörden und öffentliche Stellen, (2) Kerntätigkeit erfordert systematische und umfangreiche Überwachung, (3) Kerntätigkeit beinhaltet umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 oder strafrechtlicher Daten nach Art. 10. § 38 BDSG präzisiert dies für Deutschland: In der Regel mindestens 20 Personen mit automatisierter Datenverarbeitung beschäftigt.
Das Oberverwaltungsgericht Lüneburg hat in einem Urteil vom 26.04.2022 (Az. 14 LA 258/21) klargestellt, dass die Benennung eines Datenschutzbeauftragten zeitnah erfolgen muss, sobald die Voraussetzungen des Art. 37 DSGVO erfüllt sind — eine rückwirkende Benennung mildert die Pflichtverletzung, hebt sie aber nicht auf.
Benennungspflicht nach Art. 37 DSGVO: Die drei Kriterien im Detail
Die Benennungspflicht ergibt sich aus drei alternativen Kriterien nach Art. 37 Abs. 1 DSGVO:
- Behörden und öffentliche Stellen (Art. 37 Abs. 1 lit. a DSGVO): Ausnahme nur für Gerichte in richterlicher Tätigkeit
- Kerntätigkeit = systematische Überwachung (Art. 37 Abs. 1 lit. b DSGVO): z.B. Kreditauskunfteien, Versicherungen, Bonitätsprüfungen in großem Maßstab
- Kerntätigkeit = besondere Datenkategorien (Art. 37 Abs. 1 lit. c DSGVO): z.B. Arztpraxen, Krankenkassen, Beratungsstellen für Drogenabhängige
Ergänzend gilt nach § 38 Abs. 1 BDSG: Wenn in der Regel mindestens 20 Personen automatisiert personenbezogene Daten verarbeiten, ist ebenfalls ein DSB zu benennen. Alle Informationen zur Pflicht-Schwelle: Datenschutzbeauftragter — wann Pflicht?. Alle Aufgaben des DSB nach der Bestellung: Datenschutzbeauftragter Aufgaben im Überblick. Was ein DSB kostet: Datenschutzbeauftragter Kosten.
Häufige Fragen
Wie bestelle ich einen Datenschutzbeauftragten?
Die Bestellung erfolgt durch formelle Benennung: Kandidaten auswählen (intern oder extern), Benennung schriftlich dokumentieren, Kontaktdaten auf der Website veröffentlichen und der zuständigen Aufsichtsbehörde melden (Art. 37 Abs. 7 DSGVO). Für externe DSB: Dienstleistungsvertrag abschließen.
Muss die Benennung des Datenschutzbeauftragten schriftlich erfolgen?
Art. 37 DSGVO schreibt keine Schriftform vor, aber aus Nachweisgründen (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO) ist eine schriftliche Bestellungsurkunde dringend empfohlen. Sie regelt Aufgaben, Ressourcen, Weisungsfreiheit und Kündigungsschutz nach Art. 38 Abs. 3 DSGVO.
Wann muss ich einen Datenschutzbeauftragten benennen?
Sobald eine der Voraussetzungen aus Art. 37 Abs. 1 DSGVO oder § 38 BDSG erfüllt ist (insbesondere: ab 20 Personen mit automatisierter Datenverarbeitung), ist die Benennung unverzüglich vorzunehmen. Spätestens bei Aufnahme der Verarbeitungstätigkeit, die die Pflicht auslöst.
PLANIT PRIMA unterstützt Unternehmen bei der vollständigen Datenschutz-Compliance — von der Auswahl des DSB bis zur laufenden Dokumentation. Mit unserer Software automatisieren Sie Routineaufgaben und stellen sicher, dass der DSB mehr Zeit für seine Kernaufgaben nach Art. 39 DSGVO hat. Erfahren Sie mehr unter planitprima.com.
Die Schulung Ihrer Mitarbeiter nach der DSB-Bestellung ist ebenfalls eine gesetzliche Pflicht — mehr dazu in unserem Artikel: Datenschutz-Schulungen: Inhalte, Pflichten und Anbieter.
