77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
Ab wann ist ein Datenschutzbeauftragter Pflicht? Die Schwellen nach BDSG und DSGVO im Klartext
Datenschutz & Privacy

Ab wann ist ein Datenschutzbeauftragter Pflicht? Die Schwellen nach BDSG und DSGVO im Klartext

7. Juli 202612 Min. LesezeitVon Lena Vogt
CIVAC

20 Beschäftigte mit automatisierter Datenverarbeitung, Kerntätigkeit Profiling oder besondere Datenkategorien: drei Pflicht-Schwellen nach § 38 BDSG und Art. 37 DSGVO. Wir erklären die Stolperfallen und zeigen, wann ein externer Datenschutzbeauftragter günstiger und sicherer ist als die interne Lösung.

Die Bestellpflicht für einen Datenschutzbeauftragten ergibt sich in Deutschland aus zwei Rechtsquellen: Art. 37 DSGVO regelt EU-weit drei Kerntatbestände, § 38 BDSG ergänzt die nationale Mitarbeiter-Schwelle von 20 Personen. Verantwortliche, die diese Schwellen verkennen, riskieren ein Bußgeld von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 lit. a DSGVO. Hinzu kommt die persönliche Haftung der Geschäftsführung nach § 43 GmbHG, denn die Bestellpflicht ist eine originäre Compliance-Pflicht der Leitungsorgane. Aufsichtsbehörden prüfen die Bestellung regelmäßig anlassbezogen, nach Datenpannen oder im Rahmen von Schwerpunktprüfungen mehrerer Landesdatenschutzbehörden, die seit 2024 verstärkt koordinieren.

Dieser Beitrag erklärt die drei Schwellen, benennt die häufigen Fehlinterpretationen und zeigt, wie Sie die Bestellung audit-fest dokumentieren. Wir nennen konkrete Zahlen, Paragraphen und Fristen statt Marketing-Floskeln. Am Ende wissen Sie, ob Ihr Unternehmen einen Datenschutzbeauftragten bestellen muss, ob ein interner oder externer DSB sinnvoller ist und welche Nachweise bei einer Prüfung der Landesdatenschutzbehörde innerhalb von 24 Stunden vorliegen müssen. Wir betrachten zusätzlich Sonderfälle wie Konzernstrukturen, Vereine, Auftragsverarbeiter und öffentliche Stellen, in denen die Schwellen-Logik abweicht oder zusätzliche Pflichten greifen. Abschließend zeigen wir die wirtschaftliche Gegenüberstellung interner und externer Bestellung sowie die typischen Stolperfallen bei der Bestellurkunde, die in Aufsichtsprüfungen regelmäßig zu Beanstandungen führen.

Auf einen Blick

  • Ab 20 Beschäftigten, die ständig automatisiert personenbezogene Daten verarbeiten, ist nach § 38 Abs. 1 BDSG ein Datenschutzbeauftragter zwingend zu bestellen.
  • Unabhängig von der Mitarbeiterzahl gilt die DSB-Pflicht bei Kerntätigkeit Profiling, Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO oder einer Pflicht zur Datenschutz-Folgenabschätzung.
  • Die Bestellung muss schriftlich erfolgen, mit Bestellurkunde, klarer Berichtslinie an die Geschäftsführung und Meldung der Kontaktdaten an die Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO.

Die drei Schwellen der DSB-Pflicht im Überblick

Die Pflicht zur Bestellung eines Datenschutzbeauftragten folgt drei voneinander unabhängigen Schwellen. Erfüllt ein Unternehmen auch nur eine davon, greift die Bestellpflicht unmittelbar. Erstens: Art. 37 Abs. 1 lit. b DSGVO verpflichtet Verantwortliche, deren Kerntätigkeit in einer umfangreichen, regelmäßigen und systematischen Überwachung von betroffenen Personen besteht. Typische Beispiele sind Werbenetzwerke, Tracking-Anbieter, Sicherheitsdienste mit Videoüberwachung im großen Stil, Plattformen mit Verhaltensanalyse, Telematik-Versicherer oder Adtech-Anbieter.

Zweitens: Wer als Kerntätigkeit besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO oder Daten über strafrechtliche Verurteilungen nach Art. 10 DSGVO verarbeitet, fällt unabhängig von der Mitarbeiterzahl unter die Pflicht. Das betrifft Arztpraxen, Krankenhäuser, Pflegedienste, Rechtsanwaltskanzleien, Personaldienstleister mit Background-Checks und genetische Labore. Drittens: § 38 Abs. 1 BDSG ergänzt die nationale Schwelle von 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Mit der Reform durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz wurde die Grenze 2019 von zehn auf zwanzig angehoben.

Praxis-Hinweis: Die Schwelle zählt Köpfe, nicht Vollzeitäquivalente. Teilzeitkräfte, Werkstudenten und Mini-Jobber mit Bildschirmarbeit zählen mit. Wer regelmäßig E-Mails schreibt, ein CRM nutzt oder im Personalwesen tätig ist, ist eine "mit der Verarbeitung beschäftigte Person" im Sinne der Norm. Aufsichtsbehörden legen den Begriff weit aus, weil die Reform den Mittelstand entlasten sollte, nicht den Datenschutz schwächen. Ein externer Datenschutzbeauftragter übernimmt die Pflicht ab dem Tag der Bestellung, ohne interne Personalkosten und ohne Kündigungsschutz-Lock-In. Das ist gerade für wachsende Unternehmen attraktiv, deren Personalplanung sich monatlich verschiebt. Auch bei Reorganisationen, Carve-outs oder M&A-Transaktionen bleibt die Bestellung stabil, ohne dass interne Stellen neu besetzt werden müssen. Damit reduziert sich das Risiko einer Pflichtverletzung durch personelle Lücken erheblich.

Die 20-Personen-Schwelle nach § 38 BDSG im Detail

Die nationale Schwelle aus § 38 Abs. 1 Satz 1 BDSG ist die in der Praxis häufigste Auslösebedingung. Sie greift, wenn ein Verantwortlicher oder Auftragsverarbeiter in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Drei Tatbestandsmerkmale sind entscheidend: "in der Regel", "mindestens 20 Personen" und "ständig automatisiert". Jedes Merkmal wirft eigene Auslegungsfragen auf, die in der Aufsichtspraxis seit 2019 mehrfach präzisiert wurden.

"In der Regel" meint den Durchschnitt über einen längeren Zeitraum, nicht den exakten Stand zum Stichtag. Wer regelmäßig zwischen 18 und 22 Mitarbeitenden schwankt, sollte die Schwelle als überschritten behandeln und bestellen. "Personen" meint Köpfe, nicht Vollzeitäquivalente. Eingerechnet werden auch Geschäftsführer, freie Mitarbeiter mit dauerhaftem Datenzugriff und Leiharbeitnehmer, sofern sie organisatorisch eingebunden sind. "Ständig automatisiert" liegt vor, sobald die Bearbeitung mit IT-Mitteln Teil der wiederkehrenden Aufgabe ist. Schon der CRM-Zugriff einmal pro Woche reicht. Auch HR-Software, Buchhaltung, ERP-Systeme und Mail-Clients fallen darunter.

Nicht eingerechnet werden Personen, die ausschließlich mit Papierakten arbeiten oder reine Produktions- oder Lagertätigkeiten ohne Datenkontakt verrichten. In der Praxis erreichen Dienstleister, Agenturen und Beratungsfirmen die Schwelle deutlich früher, als sie selbst annehmen. Eine 18-köpfige Steuerkanzlei mit zwei zusätzlichen Werkstudenten ist bestellpflichtig. Auch Handwerksbetriebe mit modernem Auftragsmanagement und Online-Terminvergabe erreichen die Grenze, sobald sie über 20 datenberührende Köpfe wachsen. CIVAC dokumentiert die Schwellenprüfung im Workspace audit-fest: Bestellurkunde, unterschrieben, abgelegt, belegbar. Damit liegt die Nachweisführung gegenüber der Aufsichtsbehörde dauerhaft bereit, einschließlich der quartalsweisen Re-Validierung der Personenzahl. Wer die Schwelle erstmals erreicht, hat keine ausdrückliche gesetzliche Frist zur Bestellung, in der Aufsichtspraxis gilt jedoch "unverzüglich" als angemessen, also innerhalb weniger Wochen. Wer die Bestellung mehr als drei Monate verzögert, gerät bei einer Prüfung schnell unter Rechtfertigungsdruck und sollte die Verzögerung dokumentiert begründen können.

DSB-Pflicht unabhängig von der Mitarbeiterzahl

Drei Konstellationen erzwingen die Bestellung selbst bei kleinen Teams. Erstens Kerntätigkeit Profiling: Wer Scoring, Tracking, Verhaltensanalyse oder personalisierte Werbung als Geschäftsmodell betreibt, ist unabhängig von der Personenzahl bestellpflichtig. Eine Marketingagentur mit fünf Mitarbeitenden, die Customer-Journey-Tracking als Kernleistung verkauft, fällt darunter. Auch SaaS-Anbieter mit Nutzerverhaltens-Analyse, Newsletter-Plattformen mit Click-Tracking oder E-Commerce-Anbieter mit dynamischer Preisbildung erfüllen das Merkmal.

Zweitens besondere Datenkategorien: Gesundheitsdaten, biometrische Daten, Daten über rassische oder ethnische Herkunft, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung und genetische Daten lösen die Pflicht aus, sobald die Verarbeitung Kerntätigkeit ist. Arztpraxen, Physiotherapie, Hebammen, Pflegedienste und psychologische Praxen sind betroffen, oft schon ab dem ersten Mitarbeiter. Auch Personaldienstleister mit Drogenscreening, Versicherungen mit Gesundheitsfragen oder Forschungseinrichtungen mit ethischen Studien fallen darunter.

Drittens die DSFA-Pflicht: Wo Art. 35 DSGVO eine Datenschutz-Folgenabschätzung verlangt, ist nach Auffassung der meisten Aufsichtsbehörden faktisch ein DSB erforderlich. Die Behörden veröffentlichen Muss-Listen mit Verarbeitungen, die zwingend eine DSFA auslösen. Dazu zählen biometrische Zugangssysteme, KI-gestützte Bewerberauswahl, Telematik-Tarife und großflächige Videoüberwachung. Wichtig: Die drei Schwellen sind kumulativ unabhängig. Wer beides erfüllt, eine Mitarbeiter-Schwelle und eine sachliche Schwelle, schuldet trotzdem nur einen DSB, aber er muss ihn schneller und mit höherer Qualifikation bestellen. Der CIVAC-Workspace prüft die Schwellen über einen Rollen-Check und liefert die Bestellurkunde innerhalb von zwei Werktagen, einschließlich der individuellen Begründung für die jeweilige Schwellenkategorie. Diese Begründung ist insbesondere bei späteren Prüfungen entscheidend, weil sie die Auslegung der Schwelle dokumentiert. Aufsichtsbehörden akzeptieren in der Praxis jede sachlich tragfähige Begründung, nicht aber eine pauschale Annahme oder einen reinen Verweis auf Größenklassen.

Interner oder externer Datenschutzbeauftragter? Die Kostenrechnung

Ein interner DSB muss benannt, geschult und für die Aufgabe freigestellt werden. Marktüblich sind 0,3 bis 0,5 Vollzeitstellen, abhängig von Branche und Risiko. Bei einem Bruttojahresgehalt von 70.000 Euro für eine geeignete Fachkraft entstehen kalkulatorisch 21.000 bis 35.000 Euro reine Personalkosten pro Jahr. Hinzu kommen Schulungsbudget (Fortbildung mindestens 24 Stunden im Jahr), Fachliteratur, Software-Lizenzen für Verarbeitungsverzeichnis und Risiko-Analyse, Mitgliedschaft in Berufsverbänden, Reisekosten für Aufsichtsbehörden-Workshops sowie das Kündigungsschutz-Privileg nach § 6 Abs. 4 BDSG, das den internen DSB faktisch unkündbar macht. Ein Wechsel ist mühsam und teuer.

Ein externer DSB wird über einen Dienstvertrag bestellt. Marktüblich sind in Deutschland 6.000 bis 24.000 Euro im Jahr, abhängig von Mitarbeiterzahl, Branche und Verarbeitungsumfang. Vorteile: keine Personalkosten, kein Kündigungsschutz-Lock-In, unmittelbare Fachexpertise, Haftpflichtversicherung des Dienstleisters mit typisch 1 bis 5 Mio. Euro Deckung, klare Berichtslinie und ein berufsständischer Austausch über aktuelle Aufsichtspraxis. Nachteile: weniger physische Präsenz, Bedarf an strukturierter Schnittstelle, höhere Anforderungen an interne Prozesse zur Informationsweitergabe.

Faustregel: Bis etwa 100 Mitarbeitende ist der externe DSB nahezu immer wirtschaftlicher. Zwischen 100 und 250 Mitarbeitenden lohnt eine Kosten-Nutzen-Analyse, ab 250 Mitarbeitenden empfiehlt sich zunehmend eine Mischlösung mit internem Koordinator und externer fachlicher Leitung. CIVAC bietet beide Modelle: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Der Workspace ersetzt fragmentierte Excel-Listen durch ein audit-festes ISMS-Cockpit nach ISO/IEC 27001:2022 mit 93 Controls. Beide Modelle teilen dieselbe technische Basis, sodass ein späterer Wechsel zwischen intern und extern ohne Datenmigration möglich ist. Die Datenresidenz liegt in der EU, alle Mandantendaten verbleiben auf Servern in Deutschland und Irland.

Bestellung, Bestellurkunde und Meldung an die Aufsichtsbehörde

Die Bestellung muss schriftlich erfolgen, idealerweise als Bestellurkunde mit klaren Inhalten. Notwendig sind: vollständiger Name, ladungsfähige Anschrift, Aufgabenkatalog nach Art. 39 DSGVO, Berichtslinie an die Geschäftsführung, Beginn und Dauer der Bestellung, Schutzrechte nach Art. 38 DSGVO sowie Regelungen zur Beendigung. Bei externer Bestellung wird der Vertrag mit dem Dienstleister abgeschlossen, die Bestellurkunde benennt die natürliche Person, die die Aufgabe wahrnimmt. Die rechtlichen Anforderungen an die Bestellurkunde sind zwar nicht in einer einzelnen Norm geregelt, ergeben sich aber aus dem Zusammenspiel von Art. 37 und 38 DSGVO sowie § 6 BDSG.

Innerhalb der Behörde muss die Kontaktstelle benannt werden, üblich ist die direkte Mailadresse des DSB plus eine separate Sammelmailbox. Nach Art. 37 Abs. 7 DSGVO sind die Kontaktdaten der Aufsichtsbehörde mitzuteilen. In Bayern erfolgt die Meldung über das Online-Formular des BayLDA, in NRW über die LDI NRW, in Baden-Württemberg über den LfDI, in Berlin über die BlnBDI. Die Meldung muss unverzüglich nach Bestellung erfolgen, eine Frist von wenigen Werktagen ist angemessen, Verzögerungen über vier Wochen werden in der Aufsichtspraxis kritisch bewertet.

Die Kontaktdaten des DSB sind außerdem auf der Website zu veröffentlichen, üblicherweise in der Datenschutzerklärung mit klarem Hinweis: "Sie erreichen unseren Datenschutzbeauftragten unter dsb@unternehmen.de". Die Veröffentlichung der natürlichen Person ist nicht zwingend, eine Funktionsadresse genügt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software: Der CIVAC-Workspace generiert Bestellurkunde, Meldung und Datenschutzerklärungs-Baustein in einem Vorgang, jeweils versioniert mit Zeitstempel und Signaturnachweis. Der Audit-Trail genügt den Anforderungen der ISO/IEC 27001:2022 an die Nachweisführung.

Aufgaben und Schutzrechte des DSB nach Art. 38 und 39 DSGVO

Art. 39 DSGVO listet die fünf Kernaufgaben: Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, Überwachung der Einhaltung der DSGVO und des nationalen Datenschutzrechts, Beratung bei Datenschutz-Folgenabschätzungen, Zusammenarbeit mit der Aufsichtsbehörde und Funktion als Anlaufstelle für Betroffene und Behörde. Die Liste ist nicht abschließend, Erweiterungen müssen aber mit der Unabhängigkeit des DSB vereinbar sein. In der Praxis kommen Schulungstätigkeit, Vertretung gegenüber Auftragsverarbeitern und Mitwirkung an internen Audits hinzu.

Art. 38 DSGVO schützt diese Unabhängigkeit: Der DSB darf keine Weisungen bezüglich der Ausübung seiner Aufgaben erhalten, er berichtet unmittelbar der höchsten Leitungsebene, er darf nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden, er ist zur Geheimhaltung verpflichtet. Aufgabenkonflikte sind unzulässig: Wer als IT-Leiter, HR-Chef oder Geschäftsführer entscheidet, was verarbeitet wird, darf sich nicht selbst überwachen. Diese Inkompatibilität führt regelmäßig zu Bußgeldern, das BayLDA hat in einem bekannten Fall 50.000 Euro verhängt, weil der DSB zugleich IT-Leiter war. Auch der Vertriebsleiter und der Marketingleiter sind in der Regel inkompatibel.

Die Ressourcenausstattung muss tragfähig sein: Zeit, Budget, Zugang zu Verarbeitungstätigkeiten, Schulungsbudget, technische Ausstattung. Diese Pflicht zur Ressourcenausstattung trifft die Geschäftsführung, ihre Verletzung wird in Prüfungen regelmäßig geahndet. Ein interner DSB ohne Freistellung wird in der Aufsichtspraxis als Indiz für eine nicht ernst gemeinte Bestellung gewertet. Der CIVAC-Workspace dokumentiert die Ressourcenzuweisung, die Berichtslinie und die jährlichen Tätigkeitsnachweise an einem Ort, geprüft nach 93 Controls der ISO/IEC 27001:2022. Damit liegt der formale Nachweis der Funktionsfähigkeit jederzeit vor. Audit-fest, dokumentiert, § 38-fest. Auch die jährliche Berichtspflicht an die Geschäftsführung wird im System abgebildet, mit Vorlagen für Tätigkeitsberichte, Risikoeinschätzungen und Schulungsstatus.

Bußgelder, Haftung und behördliche Prüfungen

Wer trotz Pflicht keinen DSB bestellt, riskiert nach Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld bis 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes des Vorjahres, je nachdem, welcher Betrag höher ist. Die Aufsichtsbehörden in Deutschland verhängen die Bußgelder pragmatisch: 20.000 bis 200.000 Euro sind bei mittelständischen Unternehmen üblich, sieben- und achtstellige Beträge bei Konzernen. Hinzu kommen Auflagen, Untersagungen und Anordnungen. In Einzelfällen wurden Verarbeitungen vorübergehend untersagt, was den Geschäftsbetrieb empfindlich stört.

Persönlich haftet die Geschäftsführung nach § 43 Abs. 2 GmbHG für Schäden, die durch Pflichtverletzung der Compliance-Organisation entstehen. § 130 OWiG sanktioniert die Verletzung der Aufsichtspflicht mit Geldbuße bis 1 Mio. Euro pro Verstoß. In Konzernen ergibt sich daraus eine Kettenhaftung von der Tochtergesellschaft über deren Geschäftsführung bis zum Konzern-Vorstand. D-O-Versicherungen decken in der Regel nur Fahrlässigkeit, nicht den vorsätzlichen Verzicht auf eine DSB-Bestellung trotz erkennbarer Pflicht.

Behördliche Prüfungen erfolgen anlassbezogen, nach Beschwerden, Datenpannen oder Hinweisgeber-Meldungen, oder branchenbezogen im Rahmen von Schwerpunktprüfungen der Landesdatenschutzbehörden. Die Behörde verlangt typischerweise Bestellurkunde, Tätigkeitsnachweise, Verarbeitungsverzeichnis nach Art. 30 DSGVO, technisch-organisatorische Maßnahmen nach Art. 32 DSGVO und die letzten Schulungsnachweise. Der Prüfer ruft an, der Nachweis liegt bereit. Das ist der Standard, den die ISO/IEC 27001:2022 Übergang für Informationssicherheit verlangt und der für Datenschutz analog gilt. Die Frist zur Vorlage liegt üblicherweise bei zwei Wochen, in dringenden Fällen bei 24 Stunden. Bei Datenpannen-Prüfungen verlangt die Behörde regelmäßig den vollständigen Vorgang nach Art. 33 DSGVO innerhalb von 72 Stunden, einschließlich Risikobewertung, Maßnahmenplan und Betroffenen-Information. Wer hier keine systematische Dokumentation vorhält, verliert die Auseinandersetzung mit der Behörde regelmäßig bereits in der Vorprüfung.

Sonderfälle: Konzern, Vereine, Auftragsverarbeiter, öffentliche Stellen

Konzernstrukturen: Nach Art. 37 Abs. 2 DSGVO darf eine Unternehmensgruppe einen gemeinsamen DSB benennen, sofern dieser von jeder Niederlassung leicht erreichbar ist. Praktisch bedeutet das: gleiche Sprache, gleiche Zeitzone, kurze Reaktionszeit. Für deutsche Mittelstandsgruppen ist die Lösung in der Regel praktikabel, in internationalen Strukturen mit mehreren Aufsichtsbehörden empfiehlt sich ein Lead-DSB plus lokale Kontaktstellen. Die Federführung der jeweiligen Aufsichtsbehörde richtet sich nach Art. 56 DSGVO und ist im Konzernkontext sorgfältig zu klären.

Vereine: Die DSB-Pflicht trifft auch eingetragene Vereine, sobald die 20-Personen-Schwelle bei ehrenamtlichen oder hauptamtlichen Personen erreicht wird, die Mitgliederdaten automatisiert verarbeiten. Sportvereine, Kirchengemeinden und Wohlfahrtsverbände unterschätzen das regelmäßig. Bei kirchlichen Stellen gelten DSG-EKD und KDG, die strukturell parallel zur DSGVO sind, aber eigene Aufsichtsbehörden und Bußgeldsysteme haben. Diakonie, Caritas und freikirchliche Träger müssen ihre Bestellung an diesen Rahmen anpassen.

Auftragsverarbeiter: § 38 BDSG gilt auch für Auftragsverarbeiter. Wer als Cloud-Anbieter, Hosting-Provider oder Lohnbüro Daten für Dritte verarbeitet und intern mehr als 20 Personen mit der Verarbeitung beschäftigt, ist bestellpflichtig. Öffentliche Stellen: Behörden sind nach Art. 37 Abs. 1 lit. a DSGVO unabhängig von der Größe immer bestellpflichtig, mit Ausnahme der Gerichte im Rahmen ihrer justiziellen Tätigkeit. Auch Eigenbetriebe, kommunale Gesellschaften und Anstalten des öffentlichen Rechts fallen darunter, ebenso öffentlich-rechtliche Rundfunkanstalten. Wer in einem dieser Sonderfälle agiert, prüft die Schwellen am besten mit dem FAQ-Service und holt eine formale Einschätzung ein, idealerweise vor dem nächsten Jahresabschluss. Bei grenzüberschreitenden Aktivitäten sollte zusätzlich geklärt werden, welche Aufsichtsbehörde federführend ist und ob ein Vertreter nach Art. 27 DSGVO erforderlich ist. Auch für Joint-Controller-Konstellationen nach Art. 26 DSGVO ist eine klare Zuordnung des DSB sinnvoll.

Vom Schwellen-Check zur belastbaren Bestellung

Die DSB-Pflicht ist keine Auslegungsfrage, sie ist ein Schwellen-Check mit klarer Rechtsfolge. Wer die 20-Personen-Schwelle erreicht, Kerntätigkeit Profiling betreibt, besondere Datenkategorien verarbeitet oder eine DSFA-pflichtige Tätigkeit ausführt, hat keine Wahl. Die einzig sinnvolle Frage ist: intern oder extern, mit welcher Berichtslinie und welcher Dokumentationstiefe. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die genau diese Frage löst, mit 25 Beauftragten-Rollen, 490 einsatzbereiten Audit-Vorlagen und EU-Datenresidenz für sämtliche Mandantendaten.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Der Workspace liefert Schwellenprüfung, Bestellurkunde, Meldung an die Aufsichtsbehörde, Verarbeitungsverzeichnis und Tätigkeitsnachweis als integrierten Vorgang. Die Bestellurkunde steht innerhalb von zwei Werktagen, statt der branchenüblichen zwei bis sechs Wochen. 490 einsatzbereite Audit-Vorlagen decken die häufigsten Prüfsituationen ab, von DSFA über TOMs bis zur Auftragsverarbeitungsvereinbarung. Die Berichtslinie an die Geschäftsführung ist im System abgebildet, ebenso die Eskalationspfade zur Aufsichtsbehörde.

Wenn Sie unsicher sind, ob Ihr Unternehmen die Schwelle erreicht, prüfen wir das im Erstgespräch. Wenn Sie bereits bestellt sind, übernehmen wir den laufenden Betrieb oder das audit-feste Cockpit. Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir melden uns innerhalb eines Werktags mit einer konkreten Einschätzung Ihrer Pflichtlage, inklusive Bestellurkunden-Entwurf und einer Schätzung der jährlichen Betriebskosten. Diese Erstanalyse ist verbindlich und ohne Kostenrisiko für Sie. Frist läuft ab Kenntnis: Wer heute prüft, schließt das Risiko heute. Wer aufschiebt, riskiert, dass die nächste Aufsichtsbehörden-Prüfung schneller eintrifft als die interne Klärung. Die Wahl zwischen interner Bestellung und Officer-as-a-Service treffen wir gemeinsam, transparent und ohne Überredung.

FAQ

Ab wie vielen Mitarbeitern brauche ich einen Datenschutzbeauftragten?

Nach § 38 Abs. 1 BDSG sind Sie bestellpflichtig, sobald Sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Köpfe zählen, nicht Vollzeitäquivalente. Unabhängig davon greift die Pflicht aus Art. 37 DSGVO bei Kerntätigkeit Profiling, Verarbeitung besonderer Datenkategorien oder DSFA-Pflicht, dort schon ab dem ersten Mitarbeitenden.

Zählen Werkstudenten und Teilzeitkräfte zur 20-Personen-Schwelle?

Ja. § 38 BDSG zählt Personen, nicht Vollzeitäquivalente. Werkstudenten, Teilzeitkräfte, Geschäftsführer und freie Mitarbeiter mit regelmäßigem Datenzugriff zählen mit, ebenso Leiharbeitnehmer mit organisatorischer Einbindung. Entscheidend ist, dass die Person ständig mit automatisierter Datenverarbeitung beschäftigt ist, also etwa CRM, E-Mail oder ERP nutzt. Auch der wöchentliche Zugriff genügt regelmäßig für das Merkmal "ständig".

Muss eine Arztpraxis mit fünf Mitarbeitern einen DSB bestellen?

Ja. Arztpraxen verarbeiten Gesundheitsdaten nach Art. 9 DSGVO als Kerntätigkeit. Damit greift Art. 37 Abs. 1 lit. c DSGVO unabhängig von der Mitarbeiterzahl. Schon der Solo-Mediziner mit einer Helferin ist bestellpflichtig, sobald die elektronische Patientenakte oder ein Praxisverwaltungssystem genutzt wird. Das gilt analog für Zahnärzte, Physiotherapeuten, Heilpraktiker und auch für betriebsärztliche Dienste.

Was kostet ein externer Datenschutzbeauftragter pro Jahr?

Marktüblich in Deutschland sind 6.000 bis 24.000 Euro netto im Jahr, abhängig von Mitarbeiterzahl, Branche und Verarbeitungsumfang. Mittelständler zahlen meist 9.000 bis 15.000 Euro. Im Vergleich zum internen DSB mit 21.000 bis 35.000 Euro reinen Personalkosten ist die externe Lösung bis etwa 100 Mitarbeitende fast immer wirtschaftlicher. Hinzu kommt die Haftpflichtversicherung des Dienstleisters.

Welche Bußgelder drohen, wenn ich keinen DSB bestelle?

Nach Art. 83 Abs. 4 lit. a DSGVO bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. In der deutschen Aufsichtspraxis liegen typische Bußgelder bei mittelständischen Unternehmen zwischen 20.000 und 200.000 Euro. Hinzu kommt die persönliche Haftung der Geschäftsführung nach § 43 GmbHG und § 130 OWiG mit bis zu 1 Mio. Euro pro Verstoß.

Wie schnell kann CIVAC einen externen DSB bestellen?

Die Bestellurkunde steht innerhalb von zwei Werktagen, einschließlich Schwellenprüfung, Vertragsentwurf, Meldung an die Aufsichtsbehörde und Datenschutzerklärungs-Baustein. Klassische Dienstleister benötigen zwei bis sechs Wochen. Die SLA gilt für Standardfälle ohne besondere Konzernstrukturen oder regulierte Branchen, dort sprechen wir Fristen individuell ab. Schreiben Sie an info@civac.de für eine konkrete Einschätzung Ihrer Pflichtlage.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge