Datenschutzbeauftragter: Pflicht, Aufgaben und Bestellung nach Art. 37 DSGVO

Der Datenschutzbeauftragte (DSB) ist die zentrale Compliance-Figur im europäischen Datenschutzrecht. Art. 37 DSGVO und § 38 Bundesdatenschutzgesetz (BDSG) regeln abschließend, wann seine Bestellung zwingend ist, welche Anforderungen er erfüllen muss und wie er in der Organisation zu positionieren ist. Wer die Bestellung versäumt oder einen formal unzureichenden DSB benennt, riskiert ein Bußgeld von bis zu 10 Millionen Euro nach Art. 83 Abs. 4 lit. a DSGVO.

Dieser Artikel beschreibt den gesetzlichen Rahmen der DSB-Bestellpflicht, die Kernaufgaben des DSB im Unternehmensalltag, die Abwägung zwischen internem und externem DSB sowie die formalen Anforderungen an die Bestellurkunde. Am Ende erfahren Sie, wie CIVAC als Compliance-Plattform und Officer-as-a-Service die externe DSB-Bestellung mit vollständiger Workspace-Einbindung ermöglicht.

Art. 37 Abs. 1 DSGVO begründet die Bestellpflicht in drei Fällen: wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (lit. a); wenn die Kerntätigkeit des Verantwortlichen in der regelmäßigen und systematischen umfangreichen Überwachung von Personen besteht (lit. b); oder wenn die Kerntätigkeit die umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 oder Daten über strafrechtliche Verurteilungen umfasst (lit. c).

Für deutsche Unternehmen ergänzt § 38 Abs. 1 BDSG einen nationalen Schwellenwert: mindestens 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Diese Zahl ist bewusst niedrig angesetzt. In einem Mittelständler mit 100 Mitarbeitern, von denen 30 im Vertrieb ein CRM nutzen, 10 in der HR Personalstammdaten pflegen und 5 in der IT Systemadministration durchführen, ist die Schwelle mehr als doppelt überschritten.

Daneben kann die Bestellung auch freiwillig erfolgen – sie wird dann aber mit den gleichen gesetzlichen Anforderungen behandelt wie eine Pflichtbestellung (Art. 37 Abs. 4 DSGVO). Wer freiwillig einen DSB bestellt, muss ihn nach den gleichen Regeln schützen und kann ihn nicht formlos wieder abberufen.

Die Bestellpflicht gilt unabhängig davon, ob der DSB intern oder extern besetzt wird. Beide Varianten sind nach Art. 37 Abs. 6 DSGVO ausdrücklich zulässig. Für einen externen Datenschutzbeauftragten wird statt einer Bestellurkunde ein Dienstleistungsvertrag geschlossen, der die gleichen Inhalte abdecken muss.

Art. 37 Abs. 5 DSGVO verlangt, dass der DSB auf der Grundlage seiner beruflichen Qualifikation und seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit zur Erfüllung der Aufgaben nach Art. 39 DSGVO bestellt wird. Die Norm nennt keine konkreten Abschlüsse oder Zertifizierungen – der Standard richtet sich nach dem Risiko der Verarbeitung.

Für ein Unternehmen, das in großem Umfang besondere Datenkategorien verarbeitet (z. B. Krankenhaus, Pharmaunternehmen), sind tiefgreifende datenschutzrechtliche Kenntnisse und idealerweise eine anerkannte Zertifizierung (TÜV, DEKRA, CIPP/E) erforderlich. Für einen Mittelständler mit standardisierten Verarbeitungen sind solide Kenntnisse des DSGVO-Textes, der Orientierungshilfen der Datenschutzkonferenz (DSK) und der BDSG-Ergänzungen ausreichend.

Art. 38 Abs. 3 DSGVO schützt den DSB vor Weisungen in Bezug auf die Ausübung seiner Aufgaben. Er berichtet an die höchste Managementebene (Art. 38 Abs. 3 S. 3), darf wegen seiner DSB-Tätigkeit nicht benachteiligt oder abberufen werden und muss zur Erfüllung seiner Aufgaben über ausreichend Zeit und Ressourcen verfügen. Ein DSB, der drei Tage pro Woche andere Aufgaben erfüllt und nur nebenbei Datenschutzfragen bearbeitet, erfüllt diese Anforderung strukturell nicht.

Art. 39 Abs. 1 DSGVO definiert fünf Kernaufgaben des DSB: Unterrichtung und Beratung des Verantwortlichen und der Mitarbeiter (lit. a); Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften und der Datenschutzpolitik des Unternehmens einschließlich Sensibilisierung und Schulung (lit. b); Beratung bei der Datenschutz-Folgenabschätzung nach Art. 35 (lit. c); Zusammenarbeit mit der Aufsichtsbehörde (lit. d); Anlaufstelle für die Aufsichtsbehörde in datenschutzbezogenen Fragen (lit. e).

Im operativen Alltag bedeutet das konkret: Der DSB führt oder überwacht das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), prüft Auftragsverarbeitungsverträge (Art. 28), bewertet neue Verarbeitungen auf DSFA-Pflicht, koordiniert die Meldung von Datenpannen binnen 72 Stunden (Art. 33), bearbeitet Betroffenenanfragen (Art. 15-22) und dokumentiert alle Maßnahmen revisionssicher.

Besonders wichtig: Der DSB ist kein Entscheider in datenschutzrechtlichen Fragen des Unternehmens – er berät, die Verantwortung liegt beim Verantwortlichen (Art. 24 DSGVO). Im CIVAC-Workspace werden alle DSB-Aufgaben als wiederkehrende Kadenzen abgebildet: monatliche VVT-Prüfung, quartalsweise Schulungsüberwachung, jährliche TOM-Überprüfung. Jede Aufgabe erzeugt einen Audit-Trail.

Die Entscheidung zwischen internem und externem DSB hängt von Unternehmensgröße, Datenverarbeitungsrisiken und verfügbarer interner Expertise ab. Ein interner DSB hat den Vorteil der tiefen Unternehmenskenntnis – er kennt Systeme, Prozesse und Ansprechpartner. Nachteilig ist, dass er in Interessenkonflikte geraten kann, wenn sein Hauptaufgabenfeld in die DSB-Zuständigkeit fällt: Der IT-Leiter als DSB überwacht sich in datenschutzrelevanten IT-Projekten faktisch selbst.

Art. 38 Abs. 6 DSGVO erlaubt dem internen DSB zwar andere Aufgaben, verbietet aber Interessenkonflikte. Die Datenschutzaufsichtsbehörden haben wiederholt klargestellt, dass der IT-Leiter, HR-Leiter oder der Justiziar als DSB in vielen Unternehmen strukturell konfliktbehaftet ist.

Ein externer DSB nach Art. 37 Abs. 6 DSGVO bringt dagegen: Interessenfreiheit, aktuelle Marktkenntnis durch parallele Mandate, sofortige Verfügbarkeit ohne Personalaufwand und kalkulierbare Kosten (Pauschalhonorar statt Personalkosten). Für Mittelständler zwischen 50 und 500 Mitarbeitern ist der externe DSB fast immer die kosteneffizientere Lösung. CIVAC stellt zertifizierte externe Datenschutzbeauftragte bereit – mit vollständiger Workspace-Einbindung und dokumentierter Berichtsstruktur.

Die Bestellung des DSB muss dokumentiert sein – die DSGVO schreibt zwar keine bestimmte Form vor, aber die Prüfpraxis der Aufsichtsbehörden erwartet eine schriftliche Bestellurkunde (intern) oder einen schriftlichen Dienstleistungsvertrag (extern), der dem Auftragsverarbeitungsvertrag nach Art. 28 DSGVO entspricht oder mit ihm kombiniert wird.

Eine Bestellurkunde für den internen DSB enthält: Name der bestellten Person, Beginn der Bestellung, Aufgabenbeschreibung nach Art. 39 DSGVO, Zusicherung der erforderlichen Ressourcen (Zeit, Budget, Zugang zu Systemen), Vertraulichkeitsverpflichtung nach Art. 38 Abs. 5 DSGVO sowie Unterschrift der Geschäftsleitung. Für den externen DSB ersetzt der Dienstleistungsvertrag die Urkunde – er muss zusätzlich Regelungen zu Verfügbarkeit, Reaktionszeiten und Datenzugangsrechten enthalten.

Nach Art. 37 Abs. 7 DSGVO muss der DSB der Aufsichtsbehörde gemeldet werden – in Deutschland erfolgt dies über das Meldeportal der zuständigen Landesdatenschutzbehörde. Diese Meldung ist keine bloße Formalität: Fehlt sie, kann die Behörde im Prüffall nicht überprüfen, ob ein DSB ordnungsgemäß bestellt ist. Bestellurkunde, unterschrieben, abgelegt, belegbar – das ist der Standard der CIVAC-Bestellprozesse für alle 25 Beauftragten-Rollen.

Häufig werden Datenschutzbeauftragter (DSB) und Informationssicherheitsbeauftragter (ISB) miteinander verwechselt oder als eine Funktion behandelt. Beide Rollen sind jedoch inhaltlich distinct. Der DSB ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zuständig – er prüft Rechtsgrundlagen, Betroffenenrechte, Transparenzpflichten und Verarbeitungsverzeichnisse. Der ISB dagegen steuert das technische Informationssicherheitssystem, typischerweise nach ISO/IEC 27001:2022 oder BSI IT-Grundschutz.

Die Schnittstelle liegt bei den technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO: Der DSB bewertet, ob die IT-Sicherheitsmaßnahmen datenschutzrechtlich ausreichend sind; der ISB setzt sie technisch um. Bei Datenpannen arbeiten beide zusammen: Der ISB koordiniert die technische Eindämmung, der DSB steuert die Meldung nach Art. 33 DSGVO und die Benachrichtigung nach Art. 34.

Eine Personalunion – eine Person, die sowohl DSB als auch ISB ist – ist nicht per se unzulässig. Sie setzt jedoch voraus, dass beide Funktionen tatsächlich zeitlich und inhaltlich erfüllt werden können, was bei größeren Unternehmen ab ca. 200 Mitarbeitern selten möglich ist. CIVAC ermöglicht das Mischmodell: interner DSB mit externer ISB-Unterstützung – oder beide Rollen als externer ISB und externer DSB über einen gemeinsamen Workspace.

Art. 39 Abs. 1 lit. b DSGVO verpflichtet den DSB zur Sensibilisierung und Schulung der Mitarbeiter, die Verarbeitungstätigkeiten durchführen. Diese Pflicht hat eine doppelte Funktion: Sie dient dem präventiven Schutz personenbezogener Daten und sie schützt das Unternehmen im Prüffall, weil nachgewiesene Schulungen als Beleg für Compliance gelten.

Regelmäßige Datenschutzschulungen – mindestens einmal jährlich empfiehlt die DSK – sollten folgende Themenbereiche abdecken: Grundprinzipien der DSGVO, Erkennen und Melden von Datenpannen, Umgang mit Betroffenenanfragen, sichere Nutzung von IT-Systemen und Kommunikationsmitteln sowie branchenspezifische Besonderheiten (z. B. Patientendaten in der Pflege, Kundendaten im Einzelhandel).

Im CIVAC-Workspace sind Schulungsmodule zum Datenschutz als vorkonfigurierte Pflichtschulungen mit Wissenstest und Abschlusszertifikat verfügbar. Der DSB überwacht den Schulungsfortschritt aller Mitarbeiter über das Schulungsmodul, das automatisch Erinnerungen bei auslaufenden Zertifikaten versendet. Jeder Abschluss wird revisionssicher mit Datum und Testergebnis gespeichert – der Nachweis gegenüber der Aufsichtsbehörde ist damit jederzeit abrufbar.

Die Bestellpflicht für den DSB trifft den Verantwortlichen nach Art. 24 DSGVO – das ist in einer GmbH der Geschäftsführer, in einer AG der Vorstand. Wird die Pflicht nicht erfüllt oder wird ein formal unzureichender DSB bestellt, haftet die Geschäftsleitung persönlich. Art. 83 Abs. 4 lit. a DSGVO sieht Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes für die Verletzung der Bestellpflicht vor.

Darüber hinaus besteht ein Regressrisiko gegenüber dem Unternehmen, wenn der fehlende DSB dazu beigetragen hat, dass datenschutzrechtliche Pflichtverletzungen nicht erkannt oder nicht abgestellt wurden. Die Aufsichtsbehörden berücksichtigen das Vorhandensein eines wirksam bestellten DSB als Milderungsgrund bei der Bußgeldbemessung – seine Abwesenheit dagegen als Erschwerungsgrund.

Neben dem Bußgeldrisiko drohen zivilrechtliche Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO, wenn durch fehlendes Datenschutzmanagement ein Schaden eingetreten ist. Deutsche Gerichte haben diese Norm in den letzten Jahren zunehmend angewendet – auch für immateriellen Schaden, wenn auch die Bemessung noch uneinheitlich ist. Wer in einem haftungsrechtlichen Kontext operiert, kann sich einen defizitären DSB schlicht nicht leisten.

Die Bestellung eines Datenschutzbeauftragten ist keine Formalität – sie ist die organisatorische Grundlage für ein funktionierendes Datenschutzmanagementsystem. Ein DSB ohne ausreichende Ressourcen, ohne Workspace und ohne strukturierte Aufgabenkadenz kann seine gesetzliche Funktion nicht erfüllen.

CIVAC kombiniert die externe DSB-Bestellung mit einem vollständig eingerichteten Workspace: Verarbeitungsverzeichnis, DSFA-Projektvorlagen, Incident-Response-Workflows, Schulungsmodule und Dokumentation laufen auf einer Plattform zusammen. Lizenzieren Sie den Workspace für Ihren internen DSB – oder lassen Sie unsere zertifizierten Datenschutzbeauftragten die Funktion extern übernehmen. Beides ist innerhalb von zwei Werktagen einsatzbereit.

Audit-fest, dokumentiert, DSGVO-fest. Aus dem Lesen einen Auftrag machen. Schreiben Sie uns unter info@civac.de – wir klären den Qualifikationsbedarf, den Umfang der Betreuung und die Einbindung in Ihren bestehenden Compliance-Prozess.