Interner Datenschutzbeauftragter werden: Qualifikation, Bestellung und Nachweis nach DSGVO

Ein interner Datenschutzbeauftragter ist nach Art. 37 DSGVO Pflicht, sobald ein Unternehmen in Deutschland mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt nach § 38 Abs. 1 BDSG, oder umfangreiche besondere Datenkategorien nach Art. 9 DSGVO verarbeitet. Wer diese Rolle aus dem eigenen Team heraus übernehmen möchte, steht vor einer doppelten Hürde: Er oder sie muss die nachweisbare Fachkunde nach Art. 37 Abs. 5 DSGVO mitbringen und gleichzeitig frei von Interessenkonflikten nach Art. 38 Abs. 6 DSGVO sein. Beide Anforderungen sind in einer Aufsichtsprüfung lückenlos zu belegen.

Der Weg zum bestellten internen Datenschutzbeauftragten ist kein formloser Akt. Er beginnt mit einer schriftlichen Bestellurkunde nach § 38 Abs. 2 BDSG, durchläuft eine Meldung an die zuständige Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO und endet mit einer Berichtslinie direkt an die Geschäftsleitung nach Art. 38 Abs. 3 DSGVO. Dieser Leitfaden beschreibt die Voraussetzungen, die Schritte, die Stolpersteine und die Werkzeuge, die Sie ab Tag eins der Bestellung benötigen. Er zeigt außerdem, wann die interne Variante sinnvoll ist und wann ein externer DSB oder das hybride Modell der CIVAC Compliance-Plattform die belastbarere Lösung ist.

Die Bestellpflicht ergibt sich aus zwei Normen, die parallel zu prüfen sind. Art. 37 Abs. 1 DSGVO benennt drei Auslöser: Verarbeitung durch eine Behörde, Kerntätigkeit der umfangreichen regelmäßigen und systematischen Überwachung sowie Kerntätigkeit der umfangreichen Verarbeitung besonderer Datenkategorien nach Art. 9 oder strafrechtsrelevanter Daten nach Art. 10 DSGVO. § 38 Abs. 1 BDSG erweitert dies für Deutschland deutlich: Ein DSB ist immer dann zu bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Schwelle hat der Gesetzgeber bewusst niedrig gehalten, weil sie ohne sie für die meisten KMU faktisch nie erreicht würde.

In der Praxis greift die deutsche Schwelle deutlich häufiger als die europäische Generalklausel. Bereits ein mittelständischer Online-Händler mit 25 Mitarbeitenden im Customer Service, Marketing und Vertrieb erreicht die 20-Personen-Grenze regelmäßig. Auch Praxen, Kanzleien und Vereine fallen darunter, sobald Patientendaten oder Mitgliederakten digital geführt werden. Maßgeblich sind nicht Vollzeitäquivalente, sondern Köpfe einschließlich Werkstudierender, Praktikantinnen und befristet Beschäftigter. Geschäftsführer ohne Anstellungsvertrag zählen mit, ehrenamtlich Tätige in Vereinen ebenfalls, sofern sie Zugriff auf personenbezogene Daten haben.

Wer die Schwelle prüft, sollte den Status pro Quartal dokumentieren. Sobald die Pflicht entsteht, läuft eine angemessene Frist zur Bestellung. Die Aufsichtsbehörden gewähren hier in der Regel wenige Wochen, nicht Monate. Eine verspätete Bestellung kann nach Art. 83 Abs. 4 DSGVO mit bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Die Pflicht endet erst, wenn die Schwellenwerte nachweislich und dauerhaft unterschritten sind, was eine Tracking-Pflicht im internen Datenschutzmanagement begründet. Eine fehlende oder verspätete Bestellung führt in der Praxis regelmäßig zu Anordnungen nach Art. 58 Abs. 2 DSGVO und kann zusätzlich als Indiz für strukturelles Compliance-Versagen gewertet werden.

Art. 37 Abs. 5 DSGVO verlangt eine Benennung auf der Grundlage der beruflichen Qualifikation und insbesondere des Fachwissens, das die Person auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Eine bestimmte Zertifizierung schreibt die Verordnung nicht vor. Die Aufsichtsbehörden, etwa der LfDI Baden-Württemberg oder der HmbBfDI, fordern in ihren Orientierungshilfen jedoch ein Niveau, das in vergleichbarer Tiefe nur durch eine strukturierte Ausbildung erreicht wird. Die Behörde des Bundes fasst in ihrer Kurzpapier-Reihe zusammen, dass die Fachkunde sich am Risiko der Verarbeitung orientieren muss.

In der Praxis hat sich ein dreiteiliger Nachweis etabliert. Erstens Rechtskenntnisse zu DSGVO, BDSG, TTDSG sowie zu branchenspezifischen Spezialgesetzen wie SGB X, AO oder GwG. Zweitens technisches Verständnis zu technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, Verschlüsselung, Pseudonymisierung, Protokollierung und Berechtigungskonzepten. Drittens Methodenkompetenz für das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30, die Datenschutz-Folgenabschätzung nach Art. 35 und die Meldung von Datenschutzverletzungen nach Art. 33 binnen 72 Stunden. Diese drei Säulen werden im Audit jeweils einzeln abgefragt.

Etablierte Zertifikate sind TÜV-DSB, udis-DSB oder GDD-Kurse mit jeweils 40 bis 80 Unterrichtsstunden plus Abschlussprüfung. Wer aus der IT, der Revision oder dem Justiziariat kommt, kann Teile durch Berufserfahrung kompensieren, sollte diese aber durch Projektnachweise belegen. Die Fachkunde muss kontinuierlich aktualisiert werden: EuGH-Rechtsprechung, EDSA-Leitlinien und nationale Aufsichtsbeschlüsse verändern den Standard jährlich. Eine jährliche Fortbildungspflicht von mindestens 16 Stunden gilt als anerkannter Industriestandard und sollte in der Bestellurkunde verankert werden. Ohne diese Verankerung verliert der Fachkundenachweis nach drei bis vier Jahren seine Belastbarkeit, weil sich die regulatorische Landschaft schneller bewegt als jede Erstausbildung.

Art. 38 Abs. 6 DSGVO erlaubt dem DSB andere Aufgaben, verbietet aber Interessenkonflikte. Der EuGH hat in der Entscheidung C-453/21 vom 9. Februar 2026 klargestellt, dass ein Konflikt immer dann vorliegt, wenn der DSB Verarbeitungsvorgänge mitbestimmt, die er gleichzeitig kontrollieren soll. Damit sind Geschäftsführer, IT-Leiter, HR-Leiter, Leiter Marketing, Leiter Vertrieb und CFO regelmäßig ausgeschlossen, sofern sie weitreichende Entscheidungsbefugnisse über Personalakten, CRM-Systeme oder Sicherheitsarchitektur haben. Auch Compliance-Verantwortliche können in den Konflikt geraten, sofern sie operativ Maßnahmen anordnen, die der DSB aufsichtlich bewerten müsste.

Geeignet sind hingegen Stabsstellen, Compliance-Funktionen ohne Anordnungsbefugnis, die Revision oder Mitarbeitende in der Rechtsabteilung ohne operative Datenhoheit. Auch Qualitätsmanagement, Datenschutzkoordinatoren auf zweiter Ebene oder spezialisierte Junior-Juristinnen kommen in Betracht. Entscheidend ist die nachweisbare Trennung von operativer Verantwortung und Aufsicht über die Verarbeitung. Eine schriftliche Aufgabenmatrix mit Konfliktanalyse gehört in die Bestellakte und sollte jährlich überprüft werden, weil Rollen sich mit Beförderungen, Umstrukturierungen oder neuen Tools verändern.

Wer den Konflikt übersieht, riskiert eine fehlerhafte Bestellung. Die Folge ist nicht nur eine Anordnung der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO, sondern auch ein Bußgeldrisiko nach Art. 83 Abs. 4 lit. a DSGVO. Bei kleinen Unternehmen ohne geeignete interne Person bleibt nur die externe Bestellung, idealerweise über einen Anbieter, der Bestellurkunde, Berichtslinie und Auditpfad standardmäßig dokumentiert. Eine pragmatische Lösung ist die Doppelbestellung: ein interner Datenschutzkoordinator für operative Themen plus ein externer DSB für die formale Funktion. CIVAC bildet dieses Modell in der Plattform ab, sodass interne und externe Verantwortung in einem Auditpfad zusammenlaufen. Die Berichtslinie zur Geschäftsführung bleibt unverändert, die Trennung der Verantwortungen ist im Workspace nachvollziehbar dokumentiert.

Die Bestellung erfolgt nach § 38 Abs. 2 BDSG i. V. m. § 6 Abs. 1 BDSG schriftlich. Eine mündliche Benennung ist unwirksam. Die Bestellurkunde muss den Namen, die Funktion, das Datum, den Umfang der Aufgaben und die Berichtslinie an die höchste Managementebene nach Art. 38 Abs. 3 DSGVO enthalten. Eine Befristung ist möglich, aber unüblich; sinnvoll ist eine unbefristete Bestellung mit Kündigungsregel parallel zum Sonderkündigungsschutz nach § 6 Abs. 4 BDSG. Zusätzlich ist eine Klausel zur Ressourcenausstattung sinnvoll, die den Stellenanteil, Schulungsbudget und freie Auswahl externer Beratung festschreibt.

Nach erfolgter Bestellung sind die Kontaktdaten des DSB zu veröffentlichen, in Deutschland regelmäßig auf der Website im Datenschutzhinweis. Parallel ist die zuständige Aufsichtsbehörde zu unterrichten, Art. 37 Abs. 7 DSGVO. In Bayern erfolgt dies über das Online-Portal des BayLDA, in Nordrhein-Westfalen über die LDI NRW, im Bund über das Meldeportal des BfDI. Die Meldung umfasst Name, Berufsbezeichnung, postalische Anschrift, Telefonnummer und E-Mail-Adresse des DSB. Eine spätere Änderung ist binnen angemessener Frist anzuzeigen, eine versäumte Meldung gilt als Ordnungswidrigkeit nach § 43 BDSG.

Die Berichtslinie ist mehr als ein Organigramm-Eintrag. Der DSB muss unmittelbar an die Geschäftsführung berichten, ohne Zwischeninstanz, und darf wegen seiner Tätigkeit nach Art. 38 Abs. 3 DSGVO nicht benachteiligt werden. In der Praxis bewährt sich ein monatlicher Jour fixe mit Geschäftsführung, ein Quartalsbericht mit messbaren KPI sowie ein Eskalationspfad für Datenschutzvorfälle binnen 24 Stunden. Eine Bestellurkunde, unterschrieben, abgelegt, belegbar, ist die Grundlage jeder späteren Aufsichtsprüfung und sollte gemeinsam mit dem Verarbeitungsverzeichnis im zentralen Compliance-Workspace liegen. Auf Anforderung muss sie binnen einer Stunde vorliegen, sonst entsteht im Audit der Eindruck einer Ad-hoc-Organisation.

Der interne DSB genießt einen besonderen Kündigungsschutz nach § 6 Abs. 4 BDSG. Eine Abberufung ist nur aus wichtigem Grund in entsprechender Anwendung von § 626 BGB zulässig, und das Arbeitsverhältnis darf binnen eines Jahres nach Ende der Bestellung nur aus wichtigem Grund gekündigt werden. Diese Regelung schützt die Unabhängigkeit der Funktion und ist bei jeder personellen Entscheidung mitzudenken. Aus Arbeitgebersicht bedeutet das: Die Auswahl der Person hat strategische Bedeutung über die Dauer der Bestellung hinaus. Ein voreilig bestellter Mitarbeitender bindet das Unternehmen langfristig, auch wenn er die Erwartungen nicht erfüllt.

Haftungsrechtlich steht der DSB selten allein im Feuer. Verantwortlicher im Sinne der DSGVO bleibt das Unternehmen nach Art. 4 Nr. 7. Der DSB überwacht, berät und schult, trifft aber keine Verarbeitungsentscheidungen. Eine persönliche Haftung kommt nach § 43 BDSG und § 42 BDSG nur bei vorsätzlicher Pflichtverletzung in Betracht, etwa wenn der DSB sehenden Auges einen Verstoß deckt. Zivilrechtlich gilt § 280 BGB im Rahmen des Arbeitsvertrags mit den üblichen Haftungserleichterungen für Arbeitnehmer. Bei grober Fahrlässigkeit bleibt eine anteilige Haftung möglich, in der Praxis ist sie aber selten.

Trotzdem empfiehlt sich eine eigene D&O-Versicherung oder die explizite Aufnahme der DSB-Funktion in die bestehende Manager-Police. Bei externer Bestellung übernimmt der Dienstleister die Berufshaftpflicht, was für viele Mittelständler ein Argument für das Modell externer DSB als Officer-as-a-Service ist. Bei interner Lösung bleibt das Restrisiko beim Unternehmen, was eine sorgfältige Auswahl, eine klare Aufgabenbeschreibung und eine nachweisbare Fortbildung umso wichtiger macht. Eine jährliche Risikoanalyse zur Position des DSB gehört zu einer reifen Compliance-Organisation und schützt sowohl die Person als auch das Unternehmen vor späterer Aufsichtskritik.

Art. 39 Abs. 1 DSGVO definiert fünf Kernaufgaben. Erstens Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten. Zweitens Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften. Drittens Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung. Viertens Zusammenarbeit mit der Aufsichtsbehörde. Fünftens Anlaufstelle für die Aufsichtsbehörde in allen Datenschutzfragen. Diese fünf Punkte sind die Grundlage jeder Stellenbeschreibung und sollten im Bestellungsdokument wörtlich übernommen werden, weil sie im Audit als Referenz dienen.

In der operativen Praxis daraus abgeleitet ergeben sich konkrete Aufgabenpakete: Pflege und Fortschreibung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO, Bewertung neuer Verarbeitungen und Auftragsverarbeitungen nach Art. 28, Begleitung von Datenschutz-Folgenabschätzungen nach Art. 35, Schulung der Mitarbeitenden mindestens jährlich, Bearbeitung von Betroffenenrechten nach Art. 12 bis 22 binnen Monatsfrist sowie Meldung von Datenschutzverletzungen an die Aufsichtsbehörde binnen 72 Stunden nach Art. 33. Hinzu kommen Stellungnahmen zu neuen Tools, Beratung bei Drittlandtransfers nach Art. 44 ff. und die Pflege der internen Datenschutzdokumentation.

Der Zeitaufwand schwankt stark nach Unternehmensgröße und Komplexität. Eine typische Mittelstandsfunktion mit 100 bis 500 Mitarbeitenden bindet einen halben Personentag pro Woche, in regulierten Branchen wie Gesundheitswesen oder Finanzdienstleistung schnell zwei bis drei Tage. Wer als interner DSB realistisch planen will, sollte die Funktion mit mindestens 20 Prozent Stellenanteil hinterlegen und dies in der Bestellurkunde dokumentieren. Eine zu knapp bemessene Zeitzuweisung gilt nach Art. 38 Abs. 2 DSGVO als Verstoß gegen die Pflicht zur Ressourcenausstattung und kann eine Aufsichtsanordnung auslösen. Eine messbare Aufgabenmatrix mit Soll- und Ist-Stunden gehört in jeden monatlichen Bericht an die Geschäftsführung und schützt die Funktion vor schleichender Überlastung.

Der häufigste Fehler bei frisch bestellten internen DSB ist der Start ohne Werkzeugkasten. Eine reine E-Mail-Postfach-Lösung trägt die Funktion nicht durch das erste Audit. Erforderlich sind mindestens sechs Artefakte: ein gepflegtes Verzeichnis von Verarbeitungstätigkeiten, ein Register der Auftragsverarbeitungen, ein Katalog technischer und organisatorischer Maßnahmen nach Art. 32, ein Schulungsnachweis-Register, ein Meldewegprotokoll für Datenpannen nach Art. 33 sowie ein Auditplan mit Jahresterminen. Diese sechs Artefakte bilden zusammen die Grundausstattung, die jede Aufsichtsbehörde regelmäßig anfragt.

Vorlagen für jede dieser Kategorien stellt CIVAC im Workspace bereit. Die Plattform liefert 37 einsatzbereite Audit-Vorlagen, die an deutsches Recht angepasst sind, sowie eine vorkonfigurierte Berichtslinie an die Geschäftsführung. Die Erstellung des Verarbeitungsverzeichnisses dauert mit Vorlagen statt freier Tabelle erfahrungsgemäß zwei bis vier Wochen statt drei bis sechs Monaten. Wer den Workspace lizenziert, arbeitet als interner DSB in derselben Umgebung, in der ein externer Beauftragter den Auditpfad führen würde. Damit ist ein späterer Wechsel zwischen interner und externer Funktion ohne Datenverlust möglich.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Dieses duale Modell ist besonders im Übergang sinnvoll. Ein interner DSB startet mit Workspace, externe Unterstützung springt für Datenschutz-Folgenabschätzungen oder Aufsichtskommunikation ein. Der gemeinsame Datenbestand bleibt im EU-Rechenzentrum, die Berichtslinie unverändert. Eine spätere Verlagerung in eine reine externe Lösung oder zurück zur internen Funktion ist ohne Datenmigration möglich. Damit wird der oft schmerzhafte Übergang von Excel und Outlook zu einer prüfungsfesten Datenschutzorganisation zu einem geordneten Projekt mit klaren Etappen, definierten Verantwortlichen und einem belastbaren Auditpfad in der Plattform.

Die Entscheidung zwischen internem und externem DSB ist selten eine reine Kostenfrage. Sie betrifft Verfügbarkeit, Fachkunde, Unabhängigkeit und Aufsichtsfestigkeit. Ein interner DSB kennt Prozesse, Kollegen und Datenflüsse, hat aber oft weniger als einen Tag pro Woche Zeit und neigt zu blinden Flecken in der eigenen Organisation. Ein externer DSB bringt Spezialisierung, Branchenvergleich und Distanz mit, kostet aber bei seriösen Anbietern zwischen 800 und 3.000 Euro pro Monat je nach Unternehmensgröße. Bei sehr kleinen Unternehmen kann das günstiger als die anteilige interne Stelle sein.

Im Audit-Vergleich punktet der externe DSB durch dokumentierte Fachkunde, definierte Reaktionszeiten und standardisierte Vorlagen. Der interne DSB punktet durch Nähe zum Geschäft und schnellere Entscheidungswege. Das Hybridmodell verbindet beides: Ein interner Datenschutzkoordinator übernimmt operative Aufgaben, ein externer DSB hält die formale Funktion, signiert die Bestellurkunde und tritt gegenüber der Aufsichtsbehörde auf. Die Berichtslinie läuft parallel, der Workspace bündelt Artefakte. Damit lässt sich die Reaktionsgeschwindigkeit eines internen Teams mit der Audit-Festigkeit einer externen Funktion kombinieren.

Aufsichtsbehörden bewerten in der Prüfung nicht das Modell, sondern den Nachweis. Sie fragen nach Bestellurkunde, Fachkundenachweis, Verarbeitungsverzeichnis, Meldewegprotokoll, Schulungsplan und Berichtslinie. Wer diese sechs Artefakte binnen einer Stunde vorlegen kann, hat den ersten Eindruck. Der Prüfer ruft an, der Nachweis liegt bereit. Das gelingt mit interner, externer und hybrider Aufstellung gleichermaßen, sofern die Plattform tragfähig ist. CIVAC ist als Compliance-Plattform und Officer-as-a-Service genau für diesen Audit-Fall gebaut und ersetzt den klassischen SLA von zwei bis sechs Wochen durch eine Antwort binnen zwei Werktagen. Damit reduziert sich das Risiko, dass im Ernstfall Artefakte fehlen oder veraltet sind.

Wer nach diesem Leitfaden den eigenen Status klären will, beginnt mit drei Fragen. Erstens, ist die Bestellpflicht nach § 38 BDSG oder Art. 37 DSGVO gegeben? Zweitens, gibt es eine geeignete interne Person ohne Interessenkonflikt und mit der erforderlichen Fachkunde? Drittens, sind Bestellurkunde, Berichtslinie, Verarbeitungsverzeichnis und Meldepfad audit-fest dokumentiert? Wer eine dieser Fragen mit Nein beantwortet, hat ein konkretes Projekt vor sich, das in der Regel binnen acht bis zwölf Wochen abgeschlossen werden kann, sofern eine tragfähige Plattform verwendet wird.

CIVAC begleitet diesen Schritt in zwei Varianten. Im ersten Modell lizenzieren Sie den Workspace für Ihre internen Beauftragten und nutzen 37 Audit-Vorlagen, eine vorkonfigurierte Bestellurkunde, das Verarbeitungsverzeichnis und den 72-Stunden-Meldepfad nach Art. 33 DSGVO. Im zweiten Modell lassen Sie unsere Beauftragten bestellen: Ein erfahrener externer DSB übernimmt die formale Funktion, Ihre internen Mitarbeitenden bleiben als Koordinatoren im selben Workspace eingebunden. Beide Wege führen zu einer prüfungsfesten Aufstellung mit klarer Berichtslinie an die Geschäftsführung, EU-Datenresidenz und einem Auditpfad in einer Stunde.

Aus dem Lesen einen Auftrag machen. Senden Sie eine kurze Mail an info@civac.de mit Branche, Mitarbeiterzahl und der Frage, ob Sie eine interne, externe oder hybride Bestellung anstreben. Sie erhalten binnen zwei Werktagen eine schriftliche Einschätzung, einen Vorschlag für die Bestellurkunde und eine Übersicht der nächsten 30 Tage. Wer lieber strukturiert startet, findet im CIVAC FAQ eine Checkliste der typischen Fragen aus Aufsichtsprüfungen sowie eine Übersicht der gängigen Bußgeldhöhen nach Art. 83 DSGVO. Eine Bestellurkunde, unterschrieben, abgelegt, belegbar, ist der Anfang einer Compliance, die im Audit trägt und im Tagesgeschäft nicht stört.