DSB bestellen: Pflicht, Frist und Bestellurkunde nach § 38 BDSG
Wer einen Datenschutzbeauftragten bestellen muss, hat selten Zeit zu verlieren: Pflicht nach § 38 BDSG, Meldung an die Aufsicht, Bestellurkunde im Audit. Dieser Leitfaden trennt Pflicht von Kür und zeigt den operativen Weg.
Nach § 38 BDSG müssen nicht-öffentliche Stellen einen Datenschutzbeauftragten bestellen, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hinzu kommen die Fälle nach Art. 37 Abs. 1 DSGVO: Kerntätigkeit mit umfangreicher regelmäßiger Überwachung Betroffener oder umfangreiche Verarbeitung besonderer Kategorien nach Art. 9 DSGVO. Wer diese Schwellen reißt, bestellt nicht irgendwann, sondern unverzüglich. Die Aufsichtsbehörde erwartet eine schriftliche Bestellung, einen ordnungsgemäßen Nachweis und eine Meldung der Kontaktdaten nach Art. 37 Abs. 7 DSGVO. Ohne diese drei Elemente ist die DSB-Bestellung im Audit angreifbar, und das in der Regel mit unangenehmen Folgen für die Geschäftsleitung und den Verantwortlichen.
Dieser Beitrag beantwortet vier Fragen präzise: Wann müssen Sie einen DSB bestellen, wie sieht die Bestellurkunde rechtssicher aus, wie melden Sie die Bestellung korrekt, und wie kommen Sie vom Beschluss in zwei Werktagen zum bestellten, gemeldeten und arbeitsfähigen Datenschutzbeauftragten? Wir trennen Pflicht von Kür, benennen die operativen Hebel und zeigen, welcher Nachweis im Audit zählt und welcher nicht. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, in der Bestellurkunde, Berichtslinie und Audit-Vorlagen Hand in Hand laufen. Bestellurkunde, unterschrieben, abgelegt, belegbar.
Auf einen Blick
- Die DSB-Pflicht ergibt sich aus § 38 BDSG (20-Personen-Schwelle) und Art. 37 DSGVO (Kerntätigkeit oder Art.-9-Daten); beide Tatbestände sind unabhängig zu prüfen.
- Die Bestellung muss schriftlich erfolgen, der DSB ist der Aufsicht zu melden und die Kontaktdaten sind in der Datenschutzerklärung zu veröffentlichen.
- Ein externer DSB über Officer-as-a-Service entkoppelt das Mandat vom Personalrisiko, weil Vertretung, Erreichbarkeit und Dokumentation vertraglich abgesichert sind.
Wer einen DSB bestellen muss: Schwellen aus BDSG und DSGVO
Die Pflicht zur Bestellung folgt zwei Spuren, die getrennt zu prüfen sind. § 38 Abs. 1 BDSG verlangt einen Datenschutzbeauftragten, sobald in der Regel mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Geringfügig Beschäftigte, Werkstudenten, Praktikanten und Leiharbeitnehmer zählen mit, sofern sie regelmäßig Zugriff haben. Damit ist die deutsche Schwelle im europäischen Vergleich niedrig. Zusätzlich greift Art. 37 Abs. 1 DSGVO unabhängig von der Personenzahl, sobald die Kerntätigkeit in einer umfangreichen regelmäßigen Überwachung Betroffener besteht oder besondere Kategorien nach Art. 9 DSGVO sowie strafrechtliche Daten nach Art. 10 DSGVO umfangreich verarbeitet werden.
Drei typische Konstellationen aus der Praxis: Ein Online-Shop mit 18 Mitarbeitenden, aber Profiling und Remarketing in großem Umfang, ist nach Art. 37 Abs. 1 lit. b DSGVO pflichtig. Eine Steuerkanzlei mit 22 Mitarbeitenden fällt unter § 38 BDSG, sobald nahezu alle automatisiert mit Mandantendaten arbeiten. Ein Krankenhaus-Dienstleister verarbeitet Gesundheitsdaten umfangreich und ist nach Art. 37 Abs. 1 lit. c DSGVO ebenfalls pflichtig. Wer pflichtig ist und nicht bestellt, riskiert Bußgelder nach Art. 83 Abs. 4 DSGVO bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Eine erste, dokumentierte Schwellenprüfung gehört deshalb in den Bestellprozess für den Datenschutzbeauftragten und in das Verarbeitungsverzeichnis nach Art. 30 DSGVO. Die Prüfung sollte jährlich wiederholt werden, weil Wachstum, Outsourcing-Entscheidungen und neue Produkte die Schwelle in beide Richtungen verschieben können. Ein dokumentierter Negativ-Befund schützt im Audit so verlässlich wie eine Bestellung, sofern die Begründung sauber gefasst ist und die Schwellenprüfung den Stichtag und die zugrundeliegenden Verarbeitungstätigkeiten benennt.
Die Bestellurkunde: Pflichtinhalte und formale Anforderungen
Die Bestellung erfolgt nach Art. 37 Abs. 1 DSGVO in Verbindung mit § 38 BDSG. Eine zwingende Schriftform ist im DSGVO-Text nicht explizit vorgeschrieben, die Aufsichtsbehörden erwarten jedoch eine schriftliche Bestellurkunde als belegbaren Nachweis. In der Praxis gilt: ohne Urkunde kein belegbarer Bestellzeitpunkt, kein nachweisbarer Aufgabenkatalog, kein dokumentiertes Weisungsfreiheits-Versprechen. Die Bestellurkunde muss mindestens Name und Kontaktdaten des Bestellten, das Bestelldatum, den Aufgabenumfang nach Art. 39 DSGVO, die Berichtslinie an die höchste Managementebene nach Art. 38 Abs. 3 DSGVO sowie die Zusicherung der erforderlichen Ressourcen enthalten. Hinzu gehört eine ausdrückliche Klarstellung der Weisungsfreiheit nach Art. 38 Abs. 3 DSGVO und der Verschwiegenheit nach § 6 Abs. 5 BDSG.
Beim internen DSB kommt der besondere Kündigungsschutz aus § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 BDSG hinzu. Dieser Kündigungsschutz endet erst ein Jahr nach Abberufung und bindet das Unternehmen über das eigentliche Mandat hinaus. Bei externen DSB regelt der Dienstleistungsvertrag Vertretungsregelung, Reaktionszeiten, Versicherungssumme und Eskalationspfad. Die Versicherung sollte mindestens fünf Millionen Euro Deckungssumme aufweisen, denn die Schadenersatzansprüche nach Art. 82 DSGVO können erheblich werden, gerade bei umfangreicher Profilbildung oder bei Verarbeitung besonderer Datenkategorien.
CIVAC stellt die Bestellurkunde als versionierte Audit-Vorlage im Workspace bereit und verknüpft sie automatisch mit Berichtslinie, Aufgabenliste und Prüfkalender. Der Prüfer ruft an, der Nachweis liegt bereit. Wer den externen Weg geht, findet im Rollen-Überblick die operative Beschreibung des DSB-Mandats inklusive Schnittstellen zu IT-Sicherheit und Compliance. Audit-fest, dokumentiert, § 38-fest. Die Urkunde wird im Workspace mit Zeitstempel und Unterschrift gespeichert, sodass jeder spätere Audit-Zugriff den Bestellzeitpunkt ohne Suchaufwand belegt.
Meldung an die Aufsichtsbehörde und Veröffentlichung
Mit der Bestellung beginnt die Meldepflicht. Art. 37 Abs. 7 DSGVO verlangt, dass die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitgeteilt werden. Zuständig ist in Deutschland die jeweilige Landesdatenschutzbehörde, etwa das BayLDA in Bayern, der LfDI Baden-Württemberg oder der BlnBDI in Berlin. Die Meldung erfolgt in der Regel über Online-Formulare; einige Behörden verlangen zusätzlich die Bestätigung der Bestellung per Upload der Bestellurkunde. Eine fehlende oder verspätete Meldung gilt als bußgeldbewehrter Verstoß nach Art. 83 Abs. 4 lit. a DSGVO und wird in vielen Bundesländern bei der ersten anlassbezogenen Prüfung sichtbar.
Parallel sind die Kontaktdaten des DSB in der Datenschutzerklärung der Website und in den Informationen nach Art. 13 und 14 DSGVO zu veröffentlichen. Empfehlenswert ist eine generische Mail-Adresse, etwa datenschutz@unternehmen.de, statt einer personengebundenen Adresse, damit Wechsel ohne Änderungsketten gelingen. Wer eine personenbezogene Adresse veröffentlicht, riskiert nach einem Mandatswechsel den Nacherfüllungsaufwand in allen veröffentlichten Datenschutzhinweisen, in Auftragsverarbeitungsverträgen und in der Aufsichtsmeldung. Bei Konzernen mit zahlreichen Webauftritten potenziert sich dieser Aufwand schnell.
Die Veröffentlichung dient den Betroffenenrechten nach Art. 15 bis 22 DSGVO: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch. Wer hier sauber arbeitet, vermeidet Aufsichtsanfragen und schafft die Grundlage für eine geordnete Bearbeitung von Anfragen innerhalb der Monatsfrist nach Art. 12 Abs. 3 DSGVO. CIVAC führt die Meldebestätigung im Workspace und erinnert an Adressänderungen bei Mandatswechseln. Frist läuft ab Kenntnis. Die Vorlage für den Meldebrief liegt vor und wird auf die zuständige Landesbehörde adressiert, sodass die zweite Werktagshälfte für die Aufsichtsmeldung ausreicht und der Bestellprozess am Ende des zweiten Werktags vollständig dokumentiert ist.
Intern, extern oder hybrid: Welches Modell zu welchem Unternehmen passt
Die DSGVO lässt beide Modelle zu, und die Wahl ist eine operative, keine rein juristische. Ein interner DSB kennt die Prozesse, ist aber befangenheitsgefährdet: Geschäftsführer, IT-Leiter, Personalchef und Marketingverantwortliche scheiden nach § 6 Abs. 5 BDSG aus, weil sie zugleich Verantwortliche für datenintensive Verarbeitungen sind. In kleineren Unternehmen ist die Auswahl daher schmal. Hinzu kommt der besondere Kündigungsschutz nach § 6 Abs. 4 BDSG, der eine arbeitsrechtliche Bindung über das Mandat hinaus schafft. Externe DSB bringen Routine, Vertretungsregelung und Versicherungsschutz; sie unterliegen denselben Anforderungen aus Art. 38 DSGVO und müssen ihre Fachkunde regelmäßig nachweisen.
Die Faustregel: Bis 100 Mitarbeitende oder bei stark regulierten Branchen wie Gesundheit, Versicherung, Finanzdienstleistungen überwiegt der externe Pfad. Ab 250 Mitarbeitenden lohnt sich eine hybride Lösung mit internem Koordinator und externer Fachzuständigkeit. Bei international tätigen Konzernen ist zusätzlich eine Sprach- und Zeitzonenabdeckung zu prüfen, denn die 72-Stunden-Frist nach Art. 33 DSGVO läuft auch über Feiertage und Wochenenden. Wer Mandate über die Sommerpause oder über Jahreswechsel nicht abgesichert hat, riskiert eine Meldung im Verzug und damit eine zusätzliche Aufsichtsbefassung.
CIVAC deckt beide Modelle in einem dualen Frame ab: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Bestellurkunde, die Berichtslinie an die Geschäftsführung, die Audit-Vorlagen nach Art. 30 DSGVO und der 72-Stunden-Meldepfad nach Art. 33 DSGVO laufen in beiden Modellen über denselben Workspace. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wer beide Modelle vergleichen möchte, findet in der FAQ-Übersicht die operativen Unterschiede inklusive Kosten- und Eskalationspfaden.
Aufgaben nach Art. 39 DSGVO: Was der DSB ab Tag 1 leisten muss
Art. 39 DSGVO definiert fünf Kernaufgaben, die vom ersten Tag an einzuhalten sind. Erstens: Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten über ihre Pflichten aus DSGVO, BDSG und sonstigen Datenschutzvorschriften. Zweitens: Überwachung der Einhaltung dieser Vorschriften, einschließlich Strategien zur Zuweisung der Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeitenden sowie der diesbezüglichen Audits. Drittens: Beratung bei Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO und Überwachung ihrer Durchführung. Viertens: Zusammenarbeit mit der Aufsichtsbehörde. Fünftens: Anlaufstelle für Betroffenenrechte und für Mitarbeitende.
Diese Pflichten sind nicht symbolisch. Eine fehlende DSFA für ein KI-Bewerbermanagement, ein fehlender Schulungsnachweis oder eine nicht beantwortete Auskunftsanfrage werden in der Prüfung sichtbar und können einzelne Aufsichtsverfahren auslösen. Die operative Antwort lautet: dokumentierter Prüfkalender, dokumentierte Audits, dokumentierte Schulungen, dokumentierte DSFAs. Im CIVAC-Workspace sind die 490 Audit-Vorlagen mit Prüfkalender und Aufgabenliste verknüpft, sodass jeder Aufgabenpunkt aus Art. 39 DSGVO seinen Nachweispfad hat. Die Vorlagen orientieren sich an den Prüfschemata der deutschen Aufsichtsbehörden und werden bei neuen Leitlinien des EDSA aktualisiert.
Wer dies sauber führt, erfüllt zugleich Art. 5 Abs. 2 DSGVO, die Rechenschaftspflicht. Die Rechenschaftspflicht verlangt nicht nur die Einhaltung der Grundsätze aus Art. 5 Abs. 1 DSGVO, sondern auch deren Nachweis. Ein DSB ohne dokumentierte Aufgabenerfüllung ist im Audit ein Risiko, kein Schutz. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer den Aufgabenkatalog des Datenschutzbeauftragten als Mandatsbasis sehen will, findet im DSB-Rollenprofil die operative Beschreibung mit Schnittstellen, Berichtslinie und typischem Jahreszyklus. Die Vorlagen für Schulungen, DSFAs und das Verarbeitungsverzeichnis sind dort als Bausteine hinterlegt und lassen sich pro Mandat anpassen.
Was passiert ohne Bestellung: Bußgelder, Aufsicht, Haftung
Die Nicht-Bestellung ist ein Verstoß gegen Art. 37 DSGVO und nach Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt: bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher Betrag höher ist. Die Aufsichtsbehörden in Deutschland haben mehrfach belegt, dass die fehlende DSB-Bestellung als eigenständiger Verstoß geahndet wird, oft im Zusammenhang mit weiteren Befunden wie unzureichendem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO oder verspäteter Datenpannenmeldung nach Art. 33 DSGVO. Die 72-Stunden-Frist läuft ab Kenntnis, nicht ab Bestellung.
Hinzu kommen zivilrechtliche Risiken: Schadenersatzansprüche Betroffener nach Art. 82 DSGVO, Reputationsrisiken bei Meldepflichten gegenüber Aufsicht und Betroffenen, und im B2B-Kontext der Verlust von Aufträgen, weil Auftraggeber im Sinne des Art. 28 DSGVO die DSB-Bestellung des Auftragsverarbeiters belegen lassen. Ein Auftrag scheitert nicht an Preisen, sondern an fehlenden Nachweisen. Wer die Bestellung verschleppt, vergrößert die Angriffsfläche und verkleinert den Verhandlungsspielraum. Bei Ausschreibungen im öffentlichen Sektor ist die fehlende DSB-Bestellung in vielen Vergaben ein Ausschlusskriterium.
Eine fehlende Bestellung ist nicht heilbar durch nachträgliche Aktivität, denn der Bestellzeitpunkt bleibt dokumentiert. Auch eine rückwirkende Bestellurkunde wäre im Audit als solche erkennbar und würde den ursprünglichen Pflichtenverstoß nicht beseitigen. Aus dem Lesen einen Auftrag machen. Die operativen Konsequenzen lassen sich sämtlich abwenden, wenn Bestellung, Meldung und Nachweis innerhalb weniger Werktage stehen und der DSB ab dem ersten Tag in den Prüfkalender und in die Berichtslinie eingebunden ist. Wer hier zügig handelt, reduziert das Bußgeldrisiko und stellt die Lieferfähigkeit gegenüber B2B-Kunden ohne Übergangsphase wieder her.
Zeitplan: Vom Beschluss zur Bestellung in zwei Werktagen
Klassisch dauert eine DSB-Bestellung zwischen zwei und sechs Wochen: Auswahl der Person oder des Dienstleisters, Vertragsverhandlung, Onboarding, Aufgabenübergabe, Meldung an die Aufsicht. Mit dem CIVAC-Pfad sind zwei Werktage realistisch, weil Bestellurkunde, Berichtslinie, Aufgabenkatalog und Meldebrief als versionierte Audit-Vorlagen vorliegen und im Workspace mit der bestellten Person verknüpft werden. Tag 1: Schwellenprüfung dokumentieren, Modell festlegen (intern, extern, hybrid), Bestellurkunde signieren, Berichtslinie aktivieren. Tag 2: Meldung an die Aufsichtsbehörde, Kontaktdaten in Datenschutzerklärung und Mitarbeiterinformation veröffentlichen, Aufgabenliste freischalten und Schnittstellen zu IT und HR dokumentieren.
Ab Tag 3 laufen die wiederkehrenden Pflichten produktiv: Verzeichnis nach Art. 30 DSGVO pflegen, Auftragsverarbeitungen nach Art. 28 DSGVO inventarisieren, DSFAs nach Art. 35 DSGVO planen, Schulungsplan ausrollen. Der Prüfkalender im Workspace erinnert an quartalsweise Berichte an die Geschäftsführung gemäß Art. 38 Abs. 3 DSGVO und an die jährliche Wirksamkeitsprüfung. Wer einen externen DSB über CIVAC bestellt, erhält im selben Schritt eine schriftliche Vertretungsregelung und eine 24-Stunden-Erreichbarkeit für Datenpannen, abgesichert über eine dokumentierte Eskalationsmatrix.
Das verkürzt die Reaktionszeit innerhalb der 72-Stunden-Frist nach Art. 33 DSGVO und schließt die häufigste Audit-Lücke: dokumentierte Reaktionsfähigkeit. Die SLA von zwei Werktagen ersetzt den klassischen Onboarding-Engpass. In Branchen mit Saison- oder Quartalsabschlusslast ist diese verkürzte Bereitstellung der eigentliche Hebel, denn sie verhindert, dass die DSB-Pflicht zur dauerhaft offenen Position auf der Risikoliste wird. Audit-fest, dokumentiert, § 38-fest. Wer den Bestellpfad einmal eingerichtet hat, kann ihn für weitere Beauftragten-Rollen aus demselben Workspace heraus wiederverwenden, etwa für den Informationssicherheitsbeauftragten oder den Hinweisgeberschutz. Die wiederverwendbaren Audit-Vorlagen machen den Mehrrollenbetrieb wirtschaftlich planbar.
Schnittstellen: DSB, ISB, Compliance und Hinweisgeberschutz
Der DSB arbeitet nie isoliert. Die Schnittstelle zum Informationssicherheitsbeauftragten ist eng: technische und organisatorische Maßnahmen nach Art. 32 DSGVO überlappen mit dem ISMS nach ISO/IEC 27001:2022 und mit den NIS-2-Pflichten für wesentliche und wichtige Einrichtungen, die in Deutschland über das NIS2UmsuCG umzusetzen sind. Eine Datenpanne ist häufig zugleich ein Sicherheitsvorfall, was zwei parallele Meldewege auslöst: 72 Stunden an die Datenschutzaufsicht nach Art. 33 DSGVO und 24 Stunden Frühwarnung plus 72 Stunden Folgemeldung an das BSI nach NIS-2. Wer beide Pfade nicht in einem Workspace führt, verliert Zeit und riskiert widersprüchliche Sachverhaltsdarstellungen gegenüber zwei Aufsichten.
Auch die Schnittstelle zur internen Meldestelle nach HinSchG ist zu berücksichtigen. Hinweise mit Datenschutzbezug sind über die Meldestelle entgegenzunehmen und unter Beachtung der Vertraulichkeit weiterzubearbeiten. Die Meldestellenbeauftragte arbeitet vertraulich, der DSB arbeitet weisungsfrei, beide Rollen müssen sich ohne Rollenkonflikt abstimmen. Compliance, Geldwäscheprävention und LkSG können ebenfalls Datenschutzberührungspunkte haben, etwa bei Sanktionslisten-Screenings, bei Lieferantenaudits und bei der Meldung gegenüber dem BAFA. Auch der Hygienebeauftragte oder der Arbeitsmediziner verarbeiten Gesundheitsdaten und benötigen eine klare datenschutzrechtliche Grundlage.
CIVAC bildet diese Schnittstellen als Rollenübersicht im Workspace ab, sodass DSB, ISB, Compliance-Beauftragter und Meldestellenbeauftragter ihre Aufgaben mit klaren Berichtslinien führen. Ein gemeinsamer Prüfkalender verhindert Doppelarbeit und schließt Audit-Lücken zwischen den Mandaten. Wer mehrere Rollen über denselben Workspace bestellt, profitiert von einheitlichen Vorlagen, einer einheitlichen Berichtslinie und einer einheitlichen Nachweisarchitektur. Das senkt die Gesamtbetriebskosten der Compliance-Organisation messbar und vereinfacht die jährliche Managementbewertung sowie die Berichte an Aufsichtsrat oder Beirat. Konsolidierte Nachweise reduzieren zugleich den Aufwand bei externen Audits.
Von der Bestellung zum belegbaren Mandat: Der CIVAC-Pfad
Die Bestellung ist der Anfang, nicht das Ende. Was über die nächsten Jahre zählt, ist der Nachweis: Bestellurkunde, Berichtslinie, Prüfkalender, Audit-Vorlagen, Schulungsnachweise, DSFAs, Datenpannenprotokolle, Meldebestätigungen. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die diese Nachweise als verbundene Datenobjekte im Workspace führt und über 490 einsatzbereite Audit-Vorlagen, einen 72-Stunden-Meldepfad nach Art. 33 DSGVO und EU-Datenresidenz absichert. Die 25 Beauftragten-Rollen lassen sich aus demselben Workspace heraus bestellen, sodass DSB, ISB, Compliance, Hinweisgeberschutz und Hygiene-Beauftragter in einer einheitlichen Architektur arbeiten. Diese Architektur ist auf die Anforderungen deutscher und europäischer Aufsichten zugeschnitten.
Der duale Frame bleibt: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In beiden Modellen liegt der Bestellzeitpunkt nicht in zwei bis sechs Wochen, sondern in zwei Werktagen. Das Mandat ist nicht abgeschlossen, wenn die Urkunde unterschrieben ist, sondern wenn der Prüfkalender läuft, die Berichtslinie aktiv ist und die ersten DSFAs dokumentiert sind. Erst dann ist die Bestellung im Sinne der Aufsicht vollständig und im Sinne der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO belegbar.
Aus dem Lesen einen Auftrag machen: Senden Sie uns die Schwellenprüfung und die gewünschte Berichtslinie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir erstellen Bestellurkunde, Meldebrief und Aufgabenliste und übergeben den Workspace einsatzbereit. Der Prüfer ruft an, der Nachweis liegt bereit. Wer die operativen Details vorab prüfen möchte, findet in der FAQ die Antworten zu Vertragslaufzeit, Vertretung, Versicherung und Eskalation. So entsteht ein belegbares Mandat statt eines Lippenbekenntnisses, und die DSB-Pflicht nach § 38 BDSG verschwindet von der Risikoliste der Geschäftsleitung.
FAQ
Ab welcher Mitarbeiterzahl müssen Sie einen DSB bestellen?
Nach § 38 Abs. 1 BDSG ab in der Regel 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig davon greift Art. 37 Abs. 1 DSGVO bei umfangreicher regelmäßiger Überwachung Betroffener oder bei umfangreicher Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO. Beide Tatbestände sind getrennt zu prüfen und jährlich zu aktualisieren.
Muss die Bestellung eines DSB schriftlich erfolgen?
Die DSGVO schreibt keine explizite Schriftform vor, die Aufsichtsbehörden erwarten jedoch eine schriftliche Bestellurkunde als belegbaren Nachweis. Ohne Urkunde fehlen Bestellzeitpunkt, Aufgabenkatalog und Weisungsfreiheitsbestätigung im Audit. In der Praxis sollte die Urkunde signiert, versioniert und im Workspace abgelegt sein, damit der Nachweis bei einer Aufsichtsanfrage sofort verfügbar ist. Wer die Urkunde nur als nicht versioniertes Dateidokument vorhält, riskiert Streit über den tatsächlichen Bestellzeitpunkt.
Wie melden Sie den DSB an die Aufsichtsbehörde?
Über das Online-Formular der zuständigen Landesdatenschutzbehörde nach Art. 37 Abs. 7 DSGVO. Einige Behörden verlangen zusätzlich den Upload der Bestellurkunde. Eine fehlende oder verspätete Meldung ist nach Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt. Die Kontaktdaten sind zusätzlich in der Datenschutzerklärung zu veröffentlichen und in den Informationen nach Art. 13 und 14 DSGVO zu nennen.
Welche Bußgelder drohen ohne DSB-Bestellung?
Nach Art. 83 Abs. 4 lit. a DSGVO bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Aufsichtsbehörden ahnden die fehlende Bestellung als eigenständigen Verstoß, oft kombiniert mit Befunden zu Art. 30 DSGVO oder Art. 33 DSGVO. Hinzu kommen zivilrechtliche Schadenersatzansprüche Betroffener nach Art. 82 DSGVO.
Wann ist ein externer DSB sinnvoller als ein interner?
Bei knapper interner Auswahl, bei Befangenheitsrisiken nach § 6 Abs. 5 BDSG oder in stark regulierten Branchen wie Gesundheit, Versicherung und Finanzdienstleistungen ist der externe Pfad regelmäßig sinnvoller. Externe DSB bringen Vertretungsregelung, Versicherungsschutz und Routine im Aufsichtsdialog mit. Auch international tätige Unternehmen profitieren von einer 24-Stunden-Erreichbarkeit für die 72-Stunden-Frist nach Art. 33 DSGVO und für Urlaubs- oder Krankheitszeiten.
Wie schnell kann CIVAC einen DSB bestellen?
Innerhalb von zwei Werktagen, weil Bestellurkunde, Berichtslinie, Aufgabenkatalog und Meldebrief als versionierte Audit-Vorlagen im Workspace vorliegen und nur noch mit den Daten des Mandanten verknüpft werden müssen. Die klassische Dauer von zwei bis sechs Wochen entfällt. Ab Tag 3 laufen die wiederkehrenden Pflichten produktiv, einschließlich Verarbeitungsverzeichnis nach Art. 30 DSGVO, Auftragsverarbeitung nach Art. 28 DSGVO und Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.