Fünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022490 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-VerordnungFünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022490 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Jetzt starten
Alle Beauftragten-Rollen
DPO / DSB

Datenschutzbeauftragter

Datenpannen, DSFA, AV-Prüfungen, Verarbeitungsverzeichnisse, Datenschutzerklärungen. Extern bestellt oder im eigenen Team geführt, die 72-Stunden-Frist läuft immer.

Schwerpunkte
DSFADatenpanne <72hVVTAV-Prüfung
Rechtsgrundlage

Art. 37 DSGVO · § 38 BDSG

Schnellkontakt

Datenschutzbeauftragter: Mit uns sprechen

Drei Zeilen und Sie sind in unserem Posteingang. Antwort innerhalb eines Werktags.

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Wir verwenden Ihre Daten nur für die Rückantwort.

Was macht ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte (DSB) überwacht die Einhaltung der DSGVO und des BDSG im Unternehmen. Er ist die Schnittstelle zwischen Geschäftsleitung, Betroffenen und der Aufsichtsbehörde. Nach Art. 39 DSGVO umfasst sein Aufgabenkatalog die Unterrichtung und Beratung der Verantwortlichen, die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften, die Beratung bei Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO sowie die Zusammenarbeit mit der Aufsichtsbehörde.

Der DSB ist keine entscheidende Instanz, sondern eine beratende und kontrollierende Funktion. Die datenschutzrechtliche Verantwortung verbleibt bei der Geschäftsleitung als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Trotzdem ist die Position weisungsfrei: Art. 38 Abs. 3 DSGVO untersagt es dem Arbeitgeber ausdrücklich, dem DSB Anweisungen zur Erfüllung seiner Aufgaben zu erteilen.

In der Praxis erledigt der Datenschutzbeauftragte konkrete Aufgaben: Pflege des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO, Prüfung von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO, Erstellung und Aktualisierung von Datenschutzerklärungen, Schulung der Mitarbeiter, Bearbeitung von Datenpannen innerhalb der 72-Stunden-Frist nach Art. 33 DSGVO und Begleitung von Betroffenenanfragen nach Art. 15 bis 22 DSGVO. Bei größeren Unternehmen kommen Audits von Dienstleistern, Tool-Bewertungen und die Mitwirkung an Datenschutz-Folgenabschätzungen hinzu.

Aufgaben des Datenschutzbeauftragten

  • Unterrichtung und Beratung der Verantwortlichen sowie aller datenverarbeitenden Beschäftigten (Art. 39 Abs. 1 lit. a DSGVO).
  • Überwachung der Einhaltung von DSGVO, BDSG und internen Datenschutzrichtlinien.
  • Führung und kontinuierliche Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
  • Prüfung und Freigabe von Auftragsverarbeitungsverträgen (AVV) nach Art. 28 DSGVO.
  • Beratung bei Datenschutz-Folgenabschätzungen (DSFA) für risikobehaftete Verarbeitungen nach Art. 35 DSGVO.
  • Bearbeitung von Datenpannen, einschließlich der Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Art. 33 DSGVO.
  • Sicherstellung der Betroffenenrechte nach Art. 15 bis 22 DSGVO (Auskunft, Berichtigung, Löschung, Widerspruch).
  • Durchführung regelmäßiger Datenschutz-Schulungen für alle Mitarbeiter mit Zugriff auf personenbezogene Daten.
  • Anlaufstelle für die zuständige Aufsichtsbehörde und Begleitung behördlicher Prüfungen.
  • Jährlicher Tätigkeitsbericht an die Geschäftsleitung mit Risikolage und Verbesserungsempfehlungen.

Bestellung und Voraussetzungen

Die Bestellung eines Datenschutzbeauftragten ergibt sich aus zwei parallelen Normen. Art. 37 Abs. 1 DSGVO verpflichtet zur Bestellung, wenn die Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht oder umfangreich besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet werden. § 38 Abs. 1 BDSG erweitert die Pflicht: Sobald in einem Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung verpflichtend.

Die Bestellung muss schriftlich erfolgen, Position und Aufgabenbereich klar definieren und der Aufsichtsbehörde gemeldet werden. Der DSB kann intern aus dem eigenen Personal benannt werden oder extern auf Basis eines Dienstleistungsvertrags. Art. 37 Abs. 6 DSGVO lässt beide Modelle ausdrücklich zu. Die berufliche Qualifikation muss dem Risiko der Verarbeitung angemessen sein: nachweisbare Fachkenntnisse im Datenschutzrecht und in IT-Sicherheit sind zwingend, Zertifikate wie der TÜV-DSB oder GDDcert sind branchenüblich, aber keine gesetzliche Voraussetzung.

  • Ab 20 Mitarbeitern mit automatisierter Verarbeitung personenbezogener Daten (§ 38 Abs. 1 BDSG).
  • Bei Kerntätigkeit umfangreiche regelmäßige Überwachung von Betroffenen (Art. 37 Abs. 1 lit. b DSGVO).
  • Bei umfangreicher Verarbeitung besonderer Kategorien nach Art. 9 oder strafrechtlicher Daten nach Art. 10 DSGVO.
  • Bei öffentlichen Stellen unabhängig von Größe (Art. 37 Abs. 1 lit. a DSGVO).
  • Bei Auftragsverarbeitern, die typischerweise dieselben Schwellen erfüllen wie ihre Kunden.
  • Auf freiwilliger Basis sinnvoll für jedes Unternehmen mit substanziellem Datenschutzrisiko.

Typische Branchen mit DSB-Pflicht

  • Gesundheitswesen (Praxen, Krankenhäuser, Pflege)
  • Banken, Versicherungen, Finanzdienstleister
  • Personalvermittlung, HR-Tech, Recruiting
  • Online-Marketing, AdTech, Marktforschung
  • Telekommunikation und Internetdienste
  • E-Commerce und Online-Plattformen
  • Mittelstand mit zentraler IT (Industrie, Handel, Logistik)
  • Öffentliche Verwaltung und kommunale Betriebe
  • Bildungseinrichtungen ab Schulträger-Ebene
  • SaaS- und Cloud-Anbieter (typischerweise als Auftragsverarbeiter)
CIVAC

Wie CIVAC den Datenschutzbeauftragten unterstützt

CIVAC bietet beide Modelle in einer Plattform: externe DSB-Bestellung oder Lizenzierung des Workspaces für Ihren internen Datenschutzbeauftragten. Innerhalb von 48 Stunden ist Ihr Mandat aufgenommen, die schriftliche Bestellung dokumentiert und der Workspace produktiv.

Der Workspace deckt jede Pflichtaufgabe ab: Verzeichnis von Verarbeitungstätigkeiten mit Versionierung, AVV-Vorlagen nach Art. 28 DSGVO, geführte DSFA nach Art. 35 DSGVO, Datenpannen-Workflow mit der 72-Stunden-Frist und automatischen Meldepfaden, Schulungs-Bibliothek mit Nachweisführung sowie ein Append-Only-Audit-Trail, der jedem Inspektor standhält.

Häufige Fragen zum Datenschutzbeauftragten

Diese Rolle für Ihr Unternehmen besetzen?

Bestellen Sie unsere Experten als externe Beauftragten oder lizenzieren Sie CIVAC für Ihr eigenes Team. Wir besprechen mit Ihnen, was zu Ihrem Aufbau passt.

Mit CIVAC sprechenAlle 25 Rollen ansehen
Weitere Beauftragten-Rollen