Ab wann braucht man einen Datenschutzbeauftragten: Schwellenwerte, Pflichten, Fristen

Nach § 38 Abs. 1 BDSG müssen Unternehmen in Deutschland einen Datenschutzbeauftragten benennen, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig davon greifen die Pflichten aus Art. 37 Abs. 1 DSGVO immer dann, wenn die Kerntätigkeit in umfangreicher regelmäßiger Beobachtung oder in der Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO besteht. Beide Schwellen wirken nebeneinander.

Die Praxis zeigt: Viele Mittelständler entdecken die Pflicht erst durch eine Aufsichtsanfrage oder eine Datenpanne. Dann läuft die 72-Stunden-Frist aus Art. 33 DSGVO bereits, während die interne Zuständigkeit ungeklärt ist. Dieser Beitrag erläutert die Trigger, die Höhe möglicher Bußgelder, den Unterschied zwischen interner und externer Bestellung sowie die formalen Schritte bis zur Bestellurkunde, mit denen Sie die Pflicht erfüllen und die Aufsicht rechtssicher informieren.

Die Frage, ab wann ein Datenschutzbeauftragter Pflicht wird, beantwortet sich aus zwei parallelen Normen. Art. 37 Abs. 1 DSGVO verpflichtet jeden Verantwortlichen und jeden Auftragsverarbeiter, dessen Kerntätigkeit in einer umfangreichen regelmäßigen und systematischen Überwachung betroffener Personen besteht oder in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO oder strafrechtlicher Daten nach Art. 10 DSGVO. Diese Schwelle kennt keine Personenuntergrenze.

§ 38 Abs. 1 BDSG ergänzt für Deutschland: Sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu benennen. Gezählt werden Mitarbeitende mit Zugriff auf Personaldaten, Kundendaten, Bewerberprofile, Buchhaltungssysteme oder CRM-Tools. Teilzeitkräfte, Auszubildende und Werkstudenten zählen mit. Eine zweite Schwelle nach § 38 Abs. 1 Satz 2 BDSG greift unabhängig von der Personenzahl, wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist oder personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung verarbeitet werden, etwa bei Markt- oder Meinungsforschung. Wer die Rolle des externen Datenschutzbeauftragten auslagert, erfüllt die Pflicht ebenso, sofern die Bestellung schriftlich erfolgt und die Aufsicht informiert wird.

Der Wortlaut des § 38 BDSG sorgt regelmäßig für Auslegungsfragen. "In der Regel" meint den Normalzustand des Betriebs über mehrere Monate, nicht eine Momentaufnahme. Saisonale Schwankungen oder einzelne Krankheitstage führen nicht zum Wegfall der Pflicht. "Ständig" bedeutet, dass die betreffenden Personen wiederkehrend mit personenbezogenen Daten arbeiten, nicht nur gelegentlich.

Zur automatisierten Verarbeitung zählt jeder Vorgang in IT-Systemen: Versand einer E-Mail mit Kundendaten, Pflege eines CRM-Eintrags, Buchung im ERP, Bewerbermanagement, Newsletter-Versand, Zeiterfassung. Bereits eine Sachbearbeiterin, die mit Outlook personenbezogene Korrespondenz führt, zählt zur Schwelle. In einem typischen mittelständischen Betrieb wird die 20er-Grenze daher meist deutlich vor der Marke von 50 Gesamtmitarbeitenden erreicht. Geschäftsführungen, die annehmen, nur Mitarbeitende in der Personalabteilung oder im Vertrieb seien relevant, unterschätzen die Pflicht systematisch.

Wer die Zählung sauber dokumentieren möchte, führt eine kurze Liste der Rollen mit Datenzugriff. Diese Liste wird Teil des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO und gehört in den Audit-Ordner. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer hier transparent dokumentiert, erspart sich Diskussionen mit der Aufsicht im Prüfungsfall.

Neben der 20-Personen-Schwelle gelten Trigger, die unabhängig von der Mitarbeiterzahl wirken. Erstens: Wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist, etwa bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, bei umfangreicher Verarbeitung sensibler Daten oder bei systematischer Überwachung öffentlich zugänglicher Bereiche, greift die DSB-Pflicht nach § 38 Abs. 1 Satz 2 BDSG.

Zweitens: Werden besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO umfangreich verarbeitet, fällt das Unternehmen direkt unter Art. 37 Abs. 1 lit. c DSGVO. Dazu zählen Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft, religiösen oder weltanschaulichen Überzeugungen sowie zur sexuellen Orientierung. Praxen, Kliniken, Pflegedienste, Personaldienstleister mit Bewerber-Profilen und Marktforschungsinstitute fallen typischerweise hierunter.

Drittens: Öffentliche Stellen müssen nach Art. 37 Abs. 1 lit. a DSGVO und § 5 BDSG einen Datenschutzbeauftragten benennen, unabhängig von Größe und Mitarbeiterzahl. Das gilt auch für kommunale Eigenbetriebe und beliehene Unternehmer. Vereine und Stiftungen können bereits unterhalb der 20er-Schwelle erfasst sein, sobald sie systematisch Mitgliederdaten auswerten oder Spenderprofile bilden. Eine sauber dokumentierte Schwellenprüfung gehört daher zur Erstaufstellung jedes wachsenden Mittelständlers.

Verstöße gegen die Benennungspflicht werden über Art. 83 Abs. 4 lit. a DSGVO sanktioniert. Die Bußgeldhöhe reicht bis zu 10 Mio. Euro oder 2 Prozent des weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist. Hinzu treten persönliche Risiken der Geschäftsleitung nach § 130 OWiG wegen Verletzung der Aufsichtspflicht, wenn aus der fehlenden DSB-Bestellung weitere Verstöße resultieren.

Praktisch relevanter ist häufig die Eskalationsdynamik nach einer Datenpanne. Tritt ein meldepflichtiges Ereignis nach Art. 33 DSGVO ein, läuft die 72-Stunden-Frist ab Kenntnis. Wer in diesem Moment weder DSB noch Meldepfad etabliert hat, riskiert eine zweite Pflichtverletzung. Aufsichten dokumentieren diese Kombination, und sie wirkt bußgelderhöhend. Die Landesdatenschutzbeauftragten veröffentlichen jährlich Tätigkeitsberichte, in denen die Mehrfachverstöße als typischer Bußgeld-Treiber genannt werden.

Hinzu kommen zivilrechtliche Schadensersatzansprüche Betroffener nach Art. 82 DSGVO, Abmahnungen durch Wettbewerber und Reputationsschäden im B2B-Vertrieb. Großkunden verlangen in Auftragsverarbeitungsverträgen die Benennung eines Datenschutzbeauftragten und prüfen diese in Lieferantenaudits. Wer die Pflicht ignoriert, verliert Ausschreibungen. Der Prüfer ruft an, der Nachweis liegt bereit. Diese Regel gilt für die Bestellurkunde ebenso wie für das Verzeichnis von Verarbeitungstätigkeiten.

Die DSGVO lässt die Wahl zwischen einem internen und einem externen Datenschutzbeauftragten offen. Beide Varianten setzen Fachkunde, Zuverlässigkeit und Unabhängigkeit voraus, geregelt in Art. 38 und Art. 39 DSGVO. Die Wahl hängt von vier Faktoren ab: Verfügbarkeit qualifizierten Personals, Interessenkonflikten, Risikoprofil und Budget.

Ein interner DSB kennt das Unternehmen, ist im Tagesgeschäft präsent und kann kurze Wege nutzen. Hürden: Der Sonderkündigungsschutz nach § 6 Abs. 4 BDSG bindet die Person für mindestens ein Jahr nach Abberufung an das Unternehmen. Interessenkonflikte schließen IT-Leiter, HR-Leiter und Geschäftsführende von der Rolle aus, weil sie über Verarbeitungen mitentscheiden, die sie selbst kontrollieren müssten. Hinzu kommt der laufende Fortbildungsaufwand. ISO/IEC 27701, BSI-Grundschutz und aktuelle Aufsichtspraxis verändern sich kontinuierlich.

Ein externer DSB bringt Routine aus parallel betreuten Mandanten, ist haftungsversichert und arbeitet unabhängig. Klassische Vorlaufzeit bis zur Bestellung: zwei bis sechs Wochen. CIVAC verkürzt diesen Weg auf zwei Werktage, indem Bestellurkunde, Berichtslinie, Vertraulichkeitsregelung und Aufsichtsmeldung über den Workspace vorbereitet werden. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Wege erfüllen Art. 37 DSGVO, beide sind audit-fest dokumentiert.

Die Bestellung eines Datenschutzbeauftragten erfolgt schriftlich. Eine reine E-Mail-Notiz genügt nicht. Erforderlich sind: Bestellurkunde mit Unterschrift der Geschäftsleitung und der bestellten Person, Beschreibung der Aufgaben nach Art. 39 DSGVO, Regelung zur Berichtslinie an die höchste Leitungsebene, Vertraulichkeitsvereinbarung sowie eine Klarstellung zur Weisungsfreiheit nach Art. 38 Abs. 3 DSGVO.

Anschließend erfolgt die Meldung an die zuständige Landesdatenschutzbehörde. Die meisten Behörden bieten Online-Formulare oder verschlüsselte Postfächer. Gemeldet werden Name und Kontaktdaten des DSB, in der Regel eine funktionale E-Mail-Adresse und eine Telefonnummer. Eine Privatadresse wird nicht verlangt, da die Veröffentlichung im Impressum nur die Funktionsadresse erfordert.

Im Impressum oder einer dedizierten Datenschutzerklärung wird der DSB benannt, mit Kontaktmöglichkeit für Betroffene. Art. 13 Abs. 1 lit. b DSGVO verpflichtet zur Information über die Kontaktdaten des Datenschutzbeauftragten bei der Datenerhebung. Wer die Bestellurkunde, die Aufsichtsmeldung und die Veröffentlichung sauber dokumentiert, hat den ersten Audit-Baustein erledigt. Audit-fest, dokumentiert, § 38-fest. Die Bestellurkunde gehört in den unveränderlichen Compliance-Ordner, nicht in eine Outlook-Mail.

Der Aufgabenkatalog des Datenschutzbeauftragten ist in Art. 39 Abs. 1 DSGVO abschließend geregelt. Erstens: Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten hinsichtlich ihrer Pflichten aus DSGVO und nationalem Recht. Zweitens: Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften und der Strategien des Verantwortlichen. Drittens: Beratung bei Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO und Überwachung ihrer Durchführung. Viertens: Zusammenarbeit mit der Aufsichtsbehörde. Fünftens: Funktion als Anlaufstelle für die Aufsichtsbehörde nach Art. 39 Abs. 1 lit. e DSGVO.

Operativ ergibt sich daraus ein typischer Jahreszyklus: laufende Pflege des Verzeichnisses von Verarbeitungstätigkeiten, Schulungen für Mitarbeitende, Begleitung neuer Verarbeitungen, Reaktion auf Betroffenenanfragen nach Art. 15 bis 22 DSGVO, Begleitung von Auftragsverarbeitungsverträgen, Begleitung von Datenschutzvorfällen und Meldung an die Aufsicht innerhalb von 72 Stunden.

Der DSB ist Berater, nicht Entscheider. Verantwortlich für die Einhaltung der DSGVO bleibt nach Art. 24 DSGVO der Verantwortliche, in der Regel die Geschäftsführung. Diese Trennung gibt dem DSB Unabhängigkeit, entlastet die Geschäftsführung aber nicht von ihrer Pflicht zur Aufsicht und Steuerung der Datenverarbeitung im Unternehmen.

Der Datenschutzbeauftragte muss nach Art. 37 Abs. 5 DSGVO über die erforderliche Fachkunde verfügen. Eine konkrete Stundenzahl nennt das Gesetz nicht, die Aufsichten erwarten in der Praxis jährliche Fortbildungen im Umfang von 20 bis 40 Stunden. Der Nachweis erfolgt über Schulungsbescheinigungen und Teilnahmelisten. Die Fortbildung ist Pflicht des Unternehmens, nicht der Privatperson.

Der Sonderkündigungsschutz nach § 6 Abs. 4 BDSG schützt interne Datenschutzbeauftragte vor Kündigung wegen der Aufgabenerfüllung. Er gilt während der Bestellung und ein Jahr darüber hinaus. Bei externen DSB greift der Schutz nicht, weil das Vertragsverhältnis ein Dienstvertrag ist. Eine Abberufung ist nach Art. 38 Abs. 3 DSGVO nur möglich, wenn die Person ihre Aufgaben nicht mehr erfüllt, etwa bei längerer Krankheit oder Wegfall der Fachkunde.

Die Haftung des DSB ist beschränkt. Da er nicht Verantwortlicher im Sinne der DSGVO ist, treffen ihn die Bußgelder aus Art. 83 DSGVO nicht direkt. Persönliche Haftungsrisiken bestehen bei grober Fahrlässigkeit oder Vorsatz im arbeitsrechtlichen Kontext sowie bei Verletzung der Verschwiegenheitspflicht. Externe DSB sichern diese Risiken über eine Vermögensschadenhaftpflichtversicherung ab, was Standard im Markt ist und in Auftragsverarbeitungsverträgen meist verlangt wird.

Wer feststellt, dass die DSB-Pflicht greift, hat in der Regel zwei Wochen Vorlauf bis zum nächsten Lieferantenaudit, zum nächsten Bewerbergespräch oder zum nächsten Datenvorfall. Die formale Erfüllung umfasst sechs Bausteine: Schwellenprüfung dokumentiert, Person ausgewählt, Bestellurkunde unterzeichnet, Aufsicht gemeldet, Impressum aktualisiert, Berichtslinie etabliert. Mit dem ersten Tagesgeschäft folgen Verzeichnis von Verarbeitungstätigkeiten, Schulungsplan und Reaktionsleitfaden für Datenpannen.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service für genau diesen Weg. Im Workspace liegen Bestellurkunde, Aufsichtsmeldung, Verfahrensverzeichnis-Vorlage und 37 Audit-Vorlagen abrufbar bereit. Das ISMS nach ISO/IEC 27001:2022 mit 93 Controls sichert die EU-Datenresidenz und den Audit-Trail. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Varianten verkürzen die Vorlaufzeit von klassischen zwei bis sechs Wochen auf zwei Werktage.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Ein erstes Gespräch klärt Schwellenprüfung, Variante und Bestellweg, und Sie haben innerhalb weniger Tage eine unterschriebene Bestellurkunde im Audit-Ordner.