kostenlos starten

Datenschutzbeauftragter Pflicht – Wann ist ein Datenschutzbeauftragter nach DSGVO und BDSG erforderlich?

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet viele Unternehmen und öffentliche Stellen, einen Datenschutzbeauftragten (DSB) zu benennen.
Ergänzt wird diese Vorgabe in Deutschland durch § 38 BDSG, der die europäischen Anforderungen konkretisiert und teilweise verschärft.

In diesem Beitrag erfahren Sie, wann ein Datenschutzbeauftragter Pflicht ist, welche Kriterien dabei eine Rolle spielen – und warum sich eine freiwillige Benennung oft auch wirtschaftlich lohnt.

Europäische Grundlage: Artikel 37 DSGVO

Nach Art. 37 DSGVO müssen Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten benennen, wenn eine der folgenden Bedingungen erfüllt ist:

  1. Behörden und öffentliche Stellen – mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeit.
  2. Kerntätigkeit ist die regelmäßige und systematische Überwachung betroffener Personen in großem Umfang (z. B. Tracking, Scoring, Videoüberwachung).
  3. Kerntätigkeit ist die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO (z. B. Gesundheits-, Biometrie- oder Religionsdaten) oder von Daten über strafrechtliche Verurteilungen nach Art. 10 DSGVO.

Diese Voraussetzungen gelten unmittelbar in allen EU-Mitgliedstaaten.
In der Praxis ist jedoch oft unklar, wann eine Verarbeitung als umfangreich oder regelmäßig gilt.

Auslegungshilfe: Erwägungsgrund 97 DSGVO

Der Erwägungsgrund 97 DSGVO liefert wichtige Orientierung:
Ein Datenschutzbeauftragter ist immer dann erforderlich, wenn die Verarbeitung personenbezogener Daten ein wesentlicher Bestandteil der Geschäftstätigkeit ist – insbesondere bei Überwachungstätigkeiten oder sensiblen Datenarten.

Gleichzeitig definiert der Erwägungsgrund auch die Anforderungen an den DSB:

  • Unabhängigkeit in der Ausübung seiner Aufgaben
  • Fachwissen im Datenschutzrecht und in der Praxis
  • Keine Interessenkonflikte mit anderen Rollen

Damit wird klar: Der Datenschutzbeauftragte ist kein reiner Formalposten, sondern ein zentraler Bestandteil der Unternehmens-Compliance.

Nationale Ergänzung: § 38 BDSG

In Deutschland konkretisiert § 38 BDSG die DSGVO-Pflichten.
Dieser Paragraf erweitert die Benennungspflicht erheblich – besonders für kleine und mittlere Unternehmen (KMU).

Schwellenwert von 20 Personen

Nach § 38 Abs. 1 BDSG muss ein Datenschutzbeauftragter benannt werden, wenn regelmäßig mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – unabhängig von der „Kerntätigkeit“.

Diese deutsche Besonderheit führt dazu, dass viele kleinere Unternehmen einen DSB benötigen, obwohl sie nach der DSGVO allein nicht dazu verpflichtet wären.

Weitere Pflichtfälle nach BDSG

Ein Datenschutzbeauftragter ist außerdem verpflichtend, wenn:

  • eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich ist,
  • oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder Markt- bzw. Meinungsforschung verarbeitet werden.

Damit führt das BDSG zusätzliche risikobasierte Kriterien ein, die über die DSGVO hinausgehen.

Praxis: Was bedeutet „Kerntätigkeit“ oder „umfangreich“?

Begriffe wie regelmäßig, umfangreich oder Kerntätigkeit sind in der Praxis auslegungsbedürftig.
Die Datenschutzaufsichtsbehörden orientieren sich an diesen Kriterien:

KriteriumBedeutung
Zahl der BetroffenenJe größer die Anzahl, desto eher „umfangreich“
Art der DatenBesonders schützenswerte Daten → Pflicht wahrscheinlicher
Dauer & HäufigkeitRegelmäßige, nicht nur gelegentliche Verarbeitung
Zweck & ReichweiteGeschäftszweck oder überregionale Datenverarbeitung

Beispiele aus der Praxis:

  • Eine Gesundheits-App, die Nutzerdaten analysiert → DSB-Pflicht (sensible Daten, systematische Überwachung).
  • Ein Onlinehändler mit Tracking und Profiling → DSB-Pflicht.
  • Eine Steuerberatungskanzlei mit < 20 Mitarbeitenden → meist keine Pflicht, sofern keine DSFA erforderlich ist.

Freiwillige Benennung – strategisch oft sinnvoll

Selbst wenn keine gesetzliche Pflicht besteht, kann die freiwillige Bestellung eines Datenschutzbeauftragten sinnvoll sein:

  • Klare Zuständigkeiten und Verantwortlichkeiten
  • Strukturierte Umsetzung der Datenschutzpflichten
  • Höheres Vertrauen bei Kunden, Partnern und Behörden
  • Bessere Vorbereitung auf künftige Unternehmensvergrößerung

Wichtig: Die Entscheidung gegen eine Benennung sollte dokumentiert und regelmäßig überprüft werden – insbesondere bei organisatorischen Änderungen oder Einführung neuer Technologien.

Haftung und Bußgelder bei Verstößen

Unternehmen, die entgegen der Pflicht keinen Datenschutzbeauftragten bestellen, riskieren Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 lit. a DSGVO, § 43 BDSG).
Diese Haftung trifft immer das Unternehmen, nicht den DSB persönlich.

Fazit: Datenschutzbeauftragter Pflicht – besser prüfen als riskieren

Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich aus:

  • Art. 37 DSGVO (europäische Grundlage),
  • Erwägungsgrund 97 DSGVO (Auslegung)
  • und § 38 BDSG (deutsche Ergänzung)

Unternehmen sollten regelmäßig prüfen, ob sie unter diese Regelungen fallen und die Entscheidung transparent dokumentieren.

Ein bestellter Datenschutzbeauftragter ist kein bürokratisches Übel, sondern ein strategischer Compliance-Baustein, der Rechtssicherheit und Vertrauen schafft.

FAQ: Datenschutzbeauftragter Pflicht

Wann ist ein Datenschutzbeauftragter Pflicht?
Sobald mindestens 20 Personen personenbezogene Daten automatisiert verarbeiten oder sensible Daten in größerem Umfang verarbeitet werden (§ 38 BDSG, Art. 37 DSGVO).

Wer haftet, wenn kein Datenschutzbeauftragter bestellt wird?
Das Unternehmen bzw. der Verantwortliche – Bußgelder bis zu 10 Mio. € oder 2 % des Jahresumsatzes sind möglich.

Gilt die Pflicht auch für kleine Unternehmen?
Ja, wenn 20 oder mehr Beschäftigte regelmäßig Daten verarbeiten oder eine DSFA notwendig ist.

Kann man freiwillig einen Datenschutzbeauftragten bestellen?
Ja – oft sinnvoll zur Stärkung der Compliance und als Signal an Geschäftspartner und Behörden.

Praxistipp

Ob Pflicht oder freiwillig: Eine saubere Datenschutz-Dokumentation ist immer erforderlich.
Mit PLANIT // PRIMA lassen sich gesetzlich vorgeschriebene Nachweise und Verzeichnisse effizient pflegen.

Jetzt 14 Tage kostenlos testen!

Weitere Beiträge

Auftragsverarbeitungsvertrag (AVV)

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, sobald ein Unternehmen personenbezogene Daten

Datenschutzbeauftragter Pflicht – Wann ist ein Datenschutzbeauftragter nach DSGVO und BDSG erforderlich?

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet viele Unternehmen und öffentliche Stellen, einen Datenschutzbeauftragten (DSB) zu benennen.Ergänzt

Kosten Datenschutzbeauftragter – Interner vs. Externer DSB im transparenten Kostenvergleich

Wann ist ein Datenschutzbeauftragter verpflichtend? Ein DSB ist erforderlich, wenn u. a.: Er kann

Interner Datenschutzbeauftragter – Aufgaben, Haftung und Herausforderungen nach DSGVO

Mit Art. 37 Abs. 6 DSGVO steht Unternehmen frei, einen internen oder externen Datenschutzbeauftragten

Externer Datenschutzbeauftragter – Rechte, Pflichten und Vorteile im Überblick

Wer personenbezogene Daten verarbeitet, steht früher oder später vor der Frage:Soll der Datenschutzbeauftragte intern

Datenschutz im Unternehmen: Pflichten, Aufgaben & häufige Fehler nach DSGVO

In Zeiten zunehmender Digitalisierung und verschärfter Datenschutzgesetze ist Datenschutz im Unternehmen längst mehr als

Datenschutzbeauftragter Schulung – Inhalte, Anbieter & Fördermöglichkeiten im Überblick

Datenschutz Schulung, Fortbildung und Lehrgänge für betriebliche Datenschutzbeauftragte sind zentrale Bausteine für eine rechtskonforme

Kündigung eines Datenschutzbeauftragten: Rechte, Fristen und Stolperfallen

Die Kündigung eines Datenschutzbeauftragten (DSB) ist rechtlich komplex und für viele Unternehmen ein sensibles

Aufgaben eines Datenschutzbeauftragten – Diese Pflichten schreibt die DSGVO vor

Die Bestellung eines Datenschutzbeauftragten (DSB) ist für viele Unternehmen Pflicht. Welche Aufgaben ein Datenschutzbeauftragter

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024