Compliance Officer und Datenschutzbeauftragter: Rollen, Pflichten, Trennung

Die Rolle des Datenschutzbeauftragten ist in Art. 37 bis 39 DSGVO geregelt, die des Compliance Officers ergibt sich aus § 130 OWiG, § 91 Abs. 2 AktG und branchenspezifischen Vorgaben wie § 25a KWG oder § 25h KWG. Beide Funktionen tragen Verantwortung für Rechtstreue im Unternehmen, doch ihr Auftrag, ihre Berichtslinie und ihr Haftungsmaßstab unterscheiden sich grundlegend.

Dieser Beitrag ordnet die Aufgaben sauber ein. Sie erfahren, welche Rechtsgrundlagen tragen, wo der Interessenkonflikt zwischen den Rollen entsteht, wie ein audit-fester Nachweis aussieht und wann eine Personalunion zulässig bleibt. Am Ende steht ein praxistauglicher Entscheidungspfad für Geschäftsführungen, die beide Funktionen besetzen müssen, ohne in Doppelstrukturen zu verfallen.

Der Datenschutzbeauftragte (DSB) ist eine europarechtlich definierte Funktion. Art. 37 Abs. 1 DSGVO benennt die Bestellpflicht für Behörden, für Unternehmen mit Kerntätigkeit in regelmäßiger und systematischer Überwachung sowie für Verarbeitungen besonderer Kategorien personenbezogener Daten. § 38 BDSG verschärft die Schwelle in Deutschland auf in der Regel 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Der Compliance Officer (CO) hat keine eigene zentrale Rechtsgrundlage. Er leitet sich aus der Garantenstellung der Geschäftsleitung nach § 43 GmbHG, § 93 AktG sowie aus § 130 OWiG ab, der Aufsichtspflichtverletzungen sanktioniert. Branchenspezifisch ergänzen § 25a KWG für Banken, § 80 WpHG für Wertpapierdienstleister und der MaRisk-Rundschreibenkatalog der BaFin die Pflichtenstruktur. In regulierten Sektoren ist die Funktion damit faktisch verpflichtend, in anderen Branchen folgt sie aus dem Prinzip ordnungsgemäßer Geschäftsleitung.

Der Unterschied prägt alles, was danach kommt: Der DSB ist gesetzlich verankerte Aufsichtsfunktion mit Weisungsfreiheit. Der CO ist operative Steuerungsfunktion mit Weisungsbefugnis innerhalb seines Mandats. Wer beide Rollen in einer Person bündelt, muss diese Unterscheidung schriftlich nachvollziehbar machen. Eine Übersicht zu allen Bestellpflichten finden Sie auf der Rollenseite Compliance-Beauftragter.

Der DSB hat einen abschließend definierten Aufgabenkatalog. Art. 39 Abs. 1 DSGVO nennt Unterrichtung und Beratung des Verantwortlichen, Überwachung der Einhaltung der Verordnung, Sensibilisierung und Schulung der Mitarbeitenden, Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung sowie die Zusammenarbeit mit der Aufsichtsbehörde. Der DSB führt nicht selbst Verarbeitungstätigkeiten durch, er entscheidet nicht über Zwecke und Mittel. Diese Distanz ist Schutz und Pflicht zugleich.

Der CO trägt einen breiteren, weniger trennscharfen Auftrag. Er erstellt das Compliance-Management-System nach IDW PS 980, verantwortet Risikoanalyse, Richtlinien, Schulungen, Hinweisgeberkanal nach HinSchG und die Aufklärung von Verdachtsfällen. Er ist in der Regel weisungsbefugt gegenüber Fachbereichen, wenn es um die Implementierung von Kontrollen geht. In Unternehmen mit MaRisk-Bindung entwickelt der CO zudem die Risikokultur und berichtet an Geschäftsleitung und Aufsichtsrat.

In der Praxis überschneiden sich beide Felder bei Themen wie Auftragsverarbeitung, internationale Datentransfers, KI-Governance nach EU AI Act oder Lieferantenrisiken nach LkSG. Hier braucht es eine klare Schnittstellenmatrix, sonst entstehen blinde Flecken oder Doppelarbeit. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Art. 38 Abs. 3 DSGVO verlangt, dass der DSB keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält. Er berichtet unmittelbar an die höchste Leitungsebene und darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Diese Weisungsfreiheit ist der Kern der Funktion. Sie unterscheidet den DSB strukturell von operativen Funktionen.

Der CO ist nicht in vergleichbarer Weise gesetzlich geschützt. Seine Stellung ergibt sich aus dem internen Bestellakt, dem Anstellungsvertrag und gegebenenfalls aus regulatorischen Vorgaben. In Banken sieht § 25a KWG eine Berichtslinie an die Geschäftsleitung vor, in anderen Branchen ist sie organisatorisch zu regeln. Wesentlich ist: Der CO darf nicht in eine Position geraten, in der er eigene Entscheidungen kontrolliert. Andernfalls scheitert die Aufsichtspflicht nach § 130 OWiG am Prinzip der Trennung von Ausführung und Kontrolle.

Für Geschäftsleitungen heißt das: Berichtsweg, Eskalationspfad und Dokumentationspflichten müssen für beide Rollen sauber getrennt definiert sein. Die NIS-2-Umsetzung in Deutschland verschärft diese Anforderungen für betroffene Unternehmen zusätzlich, weil dort die Geschäftsleitung persönlich für die Umsetzung haftet. Der Prüfer ruft an, der Nachweis liegt bereit.

Der DSB haftet primär arbeitsvertraglich. Eine persönliche bußgeldbewehrte Außenhaftung gegenüber Betroffenen sieht die DSGVO nicht vor. Bußgelder nach Art. 83 DSGVO richten sich gegen den Verantwortlichen oder Auftragsverarbeiter, also gegen das Unternehmen. Der DSB kann jedoch innerbetrieblich in Regress genommen werden, wenn er Beratungspflichten grob fahrlässig verletzt.

Der CO trägt ein deutlich breiteres Haftungsrisiko. Der Bundesgerichtshof hat in seiner Entscheidung vom 17.07.2009 (5 StR 394/08) klargestellt, dass den Compliance Officer eine strafrechtliche Garantenstellung treffen kann. Verletzt er seine Aufsichtspflicht, drohen Geldbußen nach § 130 OWiG bis zu 1 Mio. Euro sowie strafrechtliche Konsequenzen bei Beihilfe durch Unterlassen. In regulierten Branchen kommen aufsichtsrechtliche Sanktionen hinzu.

Beide Funktionen sind grundsätzlich über eine D&O-Versicherung absicherbar, der Markt unterscheidet jedoch zwischen Organhaftung und Sonderfunktionshaftung. Die Bußgelder nach Art. 83 DSGVO bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes treffen das Unternehmen, mindern aber die Bereitschaft der Versicherer, hohe Selbstbehalte zu reduzieren. Eine saubere Bestellurkunde mit Ressourcenzusage, Berichtsweg und Aufgabenbeschreibung ist die Grundlage jeder Deckung.

Die Frage nach der Personalunion stellt sich besonders im Mittelstand. Rechtlich verbietet die DSGVO eine Doppelrolle nicht ausdrücklich. Art. 38 Abs. 6 DSGVO erlaubt dem DSB sogar andere Aufgaben und Pflichten, sofern daraus kein Interessenkonflikt entsteht. Der Europäische Datenschutzausschuss hat in WP 243 rev. 01 präzisiert, dass leitende Positionen mit Entscheidungsbefugnis über Zwecke und Mittel der Verarbeitung mit der DSB-Rolle unvereinbar sind. Typisch ausgeschlossen sind Geschäftsführer, IT-Leitung, HR-Leitung und Marketingleitung.

Der CO darf hingegen operative Verantwortung tragen, denn das ist Teil seiner Funktion. Vereinigt eine Person CO und DSB, muss sie als DSB die Compliance-Entscheidungen des CO überwachen können, ohne sich selbst zu prüfen. In kleineren Unternehmen mit übersichtlicher Datenverarbeitung ist das möglich, ab einer gewissen Komplexität nicht mehr. Die Aufsichtsbehörden in Bayern, Baden-Württemberg und Nordrhein-Westfalen haben in mehreren Bußgeldverfahren Personalunionen als Indiz für strukturelle Mängel gewertet.

Eine pragmatische Lösung ist die Trennung über externe Mandate. Über den externen Datenschutzbeauftragten wird die DSB-Funktion ausgelagert, während der CO intern verbleibt. Das schafft strukturelle Unabhängigkeit, ohne Personalkosten zu verdoppeln. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service und stellt beide Funktionen mit Bestellurkunde innerhalb von 2 Werktagen.

An vier Punkten begegnen sich CO und DSB regelmäßig. Erstens bei Auftragsverarbeitungsverträgen nach Art. 28 DSGVO. Der DSB prüft die datenschutzrechtliche Tragfähigkeit, der CO bewertet die vertragliche Risikoverteilung und die Lieferantenrisiken. Zweitens bei KI-Systemen: Der EU AI Act, in Kraft seit 1. August 2024, verlangt für Hochrisiko-Systeme ein Risikomanagement nach Art. 9 und Datenqualitätsanforderungen nach Art. 10. Hier laufen Datenschutz-Folgenabschätzung und KI-Risikoanalyse parallel.

Drittens beim Hinweisgeberschutz nach HinSchG. Die interne Meldestelle nach § 12 HinSchG fällt klassisch in den CO-Verantwortungsbereich, doch personenbezogene Daten der Hinweisgebenden unterliegen der DSGVO. Hier benötigt die Stelle ein abgestimmtes Verarbeitungsverzeichnis, eine TOM-Beschreibung und eine klare Rollendefinition. Viertens bei der Lieferkettensorgfaltspflicht nach LkSG: Hier verbinden sich Compliance-Risikoanalyse und Datenschutz bei Beschwerdeverfahren, Audits und Lieferantenüberwachung.

Eine saubere Schnittstellenmatrix definiert für jede Verarbeitungssituation, wer entscheidet, wer berät und wer dokumentiert. Sie liegt idealerweise in derselben Plattform, in der auch die Bestellurkunden, Meldepfade und Audit-Vorlagen verwaltet werden. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Beide Rollen unterliegen einer Rechenschaftspflicht. Art. 5 Abs. 2 DSGVO verlangt vom Verantwortlichen den Nachweis der Einhaltung. Für den CO ergibt sich die Nachweispflicht aus § 130 OWiG, IDW PS 980 sowie aus branchenspezifischen Aufsichtsstandards. In Audits, Aufsichtsverfahren und nach Vorfällen wird genau geprüft, ob die Funktion organisatorisch eingebettet, fachlich qualifiziert und nachweisbar tätig war.

Mindestbestandteile eines audit-festen Nachweispfads sind: Bestellurkunde mit Datum, Aufgabenbeschreibung und Ressourcenzusage; Berichtslinie an die Geschäftsleitung mit dokumentierten Sitzungen; Schulungen mit Teilnahmenachweis; Risikoanalyse mit Aktualisierungsturnus; Maßnahmenplan mit Fristen und Verantwortlichen; sowie Vorfallprotokolle mit Reaktionszeiten. Für den DSB tritt der Tätigkeitsbericht hinzu, für den CO der jährliche Compliance-Bericht an Geschäftsleitung und gegebenenfalls Aufsichtsrat.

Im Streitfall entscheidet nicht die Existenz einzelner Dokumente, sondern ihre Konsistenz. Eine Bestellurkunde ohne Berichtslinie wirkt formal. Eine Risikoanalyse ohne Maßnahmen wirkt symbolisch. Aufsichtsbehörden und Staatsanwaltschaften werten in der Praxis das Zusammenspiel der Elemente. Audit-fest, dokumentiert, § 130-fest. Die ISO 27001:2022-Anforderungen liefern für IT-bezogene Compliance einen anerkannten Rahmen.

Die Marktpreise für interne Stellen liegen je nach Branche und Region zwischen 70.000 und 130.000 Euro Jahresgehalt für einen Compliance Officer und 60.000 bis 110.000 Euro für einen Datenschutzbeauftragten. Hinzu kommen Schulungen, Tooling, Versicherung und Reisekosten. Für mittelständische Unternehmen ist die Doppelbesetzung oft schwer darstellbar, gerade wenn nur Teilauslastung besteht.

Externe Bestellungen liegen je nach Umfang zwischen 800 und 4.500 Euro im Monat pro Rolle. Sie haben den Vorteil struktureller Unabhängigkeit und sind bei kleineren bis mittleren Datenverarbeitungen häufig auch fachlich überlegen, weil mehrere Mandate Routine erzeugen. Bei sensiblen Branchen wie Gesundheit, Finanzdienstleistung oder kritischer Infrastruktur empfiehlt sich ein hybrides Modell: interner Ansprechpartner plus externe Fachfunktion.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Die CIVAC-Plattform deckt 25 Beauftragten-Rollen ab, hält 37 einsatzbereite Audit-Vorlagen vor und bündelt Bestellurkunde, Berichtslinie und Maßnahmenplan in einer EU-Datenresidenz. Der dual-model frame erlaubt es, im Wachstum schrittweise zwischen externem Mandat und interner Funktion zu wechseln, ohne die Dokumentationskette zu verlieren.

Die Trennung von Compliance Officer und Datenschutzbeauftragter ist keine bürokratische Übung, sondern strukturelle Voraussetzung für haftungsfeste Aufsicht. Wer beide Rollen sauber aufstellt, gewinnt einen klaren Eskalationspfad, eine prüfbare Berichtslinie und eine belastbare Verteidigungsposition gegenüber Aufsichtsbehörden, Versicherern und Staatsanwaltschaften. Wer sie verwischt, riskiert Befangenheit, Bußgelder und im Ernstfall persönliche Strafbarkeit von Geschäftsleitung und Funktionsträger.

Wenn Sie beide Rollen besetzen, neu strukturieren oder professionalisieren möchten, prüfen wir mit Ihnen Bestellpflicht, Schnittstellenmatrix und Nachweispfad. Die CIVAC-Plattform stellt Bestellurkunde, Audit-Vorlagen und den 24/72-Meldepfad nach NIS-2 zentral bereit, mit EU-Datenresidenz und ISO 27001:2022-konformem ISMS. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir melden uns innerhalb von 2 Werktagen mit einem konkreten Vorschlag zur Rollenarchitektur, einer Bestellurkunde im Entwurf und einem Maßnahmenpfad für die ersten 90 Tage.