Zuletzt aktualisiert am 1. Juni 2026

Die Bestellung eines Datenschutzbeauftragten ist für viele Unternehmen verpflichtend. Doch wie steht dieser nach seiner Benennung eigentlich in der betrieblichen Praxis? Dies ist unter anderem auch Inhalt einer aktuellen Prüfung der europäischen Datenschutzaufsichtsbehörde, an der auch das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) beteiligt ist.

Erfahren Sie hier alles Wissenswerte zur Prüfaktion!

Erster Ansprechpartner in Sachen Datenschutz

Datenschutzbeauftragte sind in Sachen Datenschutz nicht nur erste Ansprechpartner für die Aufsichtsbehörden. Vielmehr bezeichnet das BayLDA sie gerade für kleine und mittlere Unternehmen als „Garanten des Datenschutzes im Alltag“. Sie behalten im Unternehmen den Überblick über datenschutzrechtliche Zielsetzungen und leisten auch einen zentralen Beitrag für das Gelingen datenschutzgerechter Digitalisierung.

DSB als zentrale Neuerung in der DSGVO

Als die DSGVO vor etwa fünf Jahren in Kraft getreten ist, war das Erfordernis des Datenschutzbeauftragten eine zentrale und viel diskutierte Änderung. Heute hat sich der Posten des Datenschutzbeauftragten bereits in allen Mitgliedsstaaten gut etabliert und der Datenschutzbeauftragte ist zu einem der Eckpfeiler des Datenschutzes geworden.

Betriebliche Praxis

Wie die Stellung des Datenschutzbeauftragten genau in der betrieblichen Praxis aussieht, will die Prüfaktion der Aufsichtsbehörden nun genauer untersuchen. Dabei sollen vor allen Fragen zur Qualifikation und Ressourcenausstattung gestellt werden. Außerdem sollen mögliche Beeinträchtigungen der unabhängigen und effektiven Aufgabenwahrnehmung beleuchtet werden.

Fraglich ist auch noch, inwieweit der Einfluss durch die Ausübung von Zusatzfunktionen als Doppelrolle des Datenschutzbeauftragten zu Interessenskonflikten beitragen kann.

Genauso hat es sich die Prüfaktion zum Ziel gesetzt, zu untersuchen, wie mit der Anforderung der Berichterstattung des Datenschutzbeauftragten auf Managementebene umgegangen werden muss.

Prüfbogen

Wenn Sie daran interessiert sind, welche Fragen konkret gestellt sind oder diese einmal selbst durchgehen wollen, finden Sie hier den Prüfbogen, den die Prüfaktion verwendet.

Bis zur vollständigen Auswertung bleibt es spannend, welche Rückschlüsse über die Stellung des Datenschutzbeauftragten gezogen werden.

Wenn Sie mehr zum Thema Datenschutzbeauftragter wissen wollen, lesen Sie gerne hier alle unsere Blogartikel zu diesem Thema.

Anforderungen an die Qualifikation des Datenschutzbeauftragten

Die DSGVO stellt in Art. 37 Abs. 5 klare Anforderungen an die Qualifikation des Datenschutzbeauftragten. Dieser muss über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen. Das erforderliche Niveau an Fachwissen richtet sich dabei nach den durchgeführten Datenverarbeitungsvorgängen und dem Schutzbedarf der verarbeiteten personenbezogenen Daten.

In der Praxis bedeutet dies, dass ein Datenschutzbeauftragter eines Krankenhauses über weitreichendere Kenntnisse verfügen muss als der eines kleinen Handwerksbetriebs. Die Qualifikation umfasst dabei nicht nur juristische Kenntnisse, sondern auch technisches Verständnis für IT-Sicherheit, organisatorische Abläufe und branchenspezifische Besonderheiten. Regelmäßige Fortbildungen sind nötig, um mit den sich ständig verändernden rechtlichen und technischen Anforderungen Schritt zu halten.

Ressourcenausstattung und Unabhängigkeit

Ein zentraler Prüfpunkt der Aufsichtsbehörden betrifft die Ressourcenausstattung des Datenschutzbeauftragten. Gemäß Art. 38 Abs. 2 DSGVO muss der Verantwortliche dem Datenschutzbeauftragten die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen zur Verfügung stellen. Dazu gehören ausreichend Zeit für die Wahrnehmung seiner Aufgaben, Zugang zu allen relevanten Datenverarbeitungsvorgängen, Budget für Fortbildungen und gegebenenfalls technische Hilfsmittel.

In der Praxis zeigt sich häufig, dass Datenschutzbeauftragte mit unzureichenden Ressourcen ausgestattet sind. Besonders bei internen Datenschutzbeauftragten, die diese Funktion neben ihren eigentlichen Aufgaben wahrnehmen, kommt es regelmäßig zu Kapazitätsengpässen. Die Prüfaktion des BayLDA dürfte gerade in diesem Bereich aufschlussreiche Ergebnisse liefern.

Ebenso wichtig ist die Unabhängigkeit des Datenschutzbeauftragten. Art. 38 Abs. 3 DSGVO schreibt vor, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen erhalten darf. Er darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Diese Unabhängigkeit ist in der betrieblichen Praxis nicht immer selbstverständlich — insbesondere dann, wenn der Datenschutzbeauftragte unbequeme Empfehlungen ausspricht, die mit wirtschaftlichen Interessen kollidieren.

Das Problem der Interessenkonflikte

Ein besonders kritischer Aspekt, den die Prüfaktion der Aufsichtsbehörden untersucht, sind mögliche Interessenkonflikte. Art. 38 Abs. 6 DSGVO erlaubt dem Datenschutzbeauftragten zwar die Wahrnehmung anderer Aufgaben und Pflichten, stellt jedoch klar, dass diese nicht zu einem Interessenkonflikt führen dürfen.

In der betrieblichen Praxis sind solche Konflikte keine Seltenheit. Wenn beispielsweise der IT-Leiter gleichzeitig als Datenschutzbeauftragter fungiert, muss er seine eigenen IT-Entscheidungen datenschutzrechtlich bewerten — eine Situation, die zwangsläufig zu Interessenkonflikten führt. Ähnlich problematisch ist es, wenn der Personalleiter, der Geschäftsführer oder der Leiter der Rechtsabteilung diese Funktion übernimmt.

Die europäische Datenschutzrechtsprechung hat in mehreren Urteilen klargestellt, dass solche Doppelrollen unzulässig sein können. Der EuGH hat in seiner Rechtsprechung betont, dass die Unabhängigkeit des Datenschutzbeauftragten nicht nur formal, sondern auch materiell gewährleistet sein muss.

Interner vs. externer Datenschutzbeauftragter

Die beschriebenen Herausforderungen — Qualifikation, Ressourcen, Unabhängigkeit und Interessenkonflikte — lassen sich durch die Bestellung eines externen Datenschutzbeauftragten in vielen Fällen besser lösen. Ein externer Datenschutzbeauftragter bringt bereits die erforderliche Fachqualifikation mit, verfügt über Erfahrung aus verschiedenen Branchen und Unternehmensgrößen und ist per Definition frei von internen Interessenkonflikten.

Zudem entfällt bei einem externen Datenschutzbeauftragten das Problem der Ressourcenausstattung, da dieser seine eigene Infrastruktur mitbringt. Unternehmen profitieren von einem professionellen Datenschutzmanagement, ohne eigene Personalkapazitäten binden zu müssen. Die DATUREX GmbH aus Dresden bietet diese Dienstleistung für Unternehmen in ganz Sachsen und bundesweit an.

Berichterstattung an die Geschäftsleitung

Ein weiterer Prüfungsgegenstand ist die Frage, wie der Datenschutzbeauftragte an die höchste Managementebene berichtet. Art. 38 Abs. 3 DSGVO schreibt vor, dass der Datenschutzbeauftragte unmittelbar der höchsten Managementebene berichtet. In der Praxis bedeutet dies, dass der Datenschutzbeauftragte einen direkten Berichtsweg zur Geschäftsführung oder zum Vorstand haben muss.

Eine regelmäßige schriftliche Berichterstattung — idealerweise mindestens einmal jährlich — dokumentiert die Datenschutzaktivitäten und stellt sicher, dass die Geschäftsleitung über den aktuellen Stand der Datenschutz-Compliance informiert ist. Dieser Bericht sollte den Status der umgesetzten technischen und organisatorischen Maßnahmen, erkannte Risiken, durchgeführte Schulungen und Empfehlungen für Verbesserungen umfassen.

Fazit und Empfehlungen

Die Prüfaktion der europäischen Datenschutzaufsichtsbehörden macht deutlich, dass die bloße Bestellung eines Datenschutzbeauftragten nicht ausreicht. Unternehmen müssen sicherstellen, dass dieser seine Aufgaben tatsächlich effektiv und unabhängig wahrnehmen kann. Dies erfordert ausreichende Ressourcen, eine angemessene Qualifikation, die Vermeidung von Interessenkonflikten und einen direkten Berichtsweg zur Geschäftsleitung.

Unternehmen, die unsicher sind, ob ihre aktuelle Datenschutzorganisation den Anforderungen der DSGVO entspricht, sollten eine professionelle Überprüfung in Betracht ziehen. Die DATUREX GmbH berät Sie gerne zu allen Fragen rund um die optimale Aufstellung Ihres Datenschutzmanagements.

Sanktionen bei mangelhafter Umsetzung

Unternehmen, die gegen die Pflichten zur ordnungsgemäßen Bestellung und Einbindung des Datenschutzbeauftragten verstoßen, riskieren empfindliche Bußgelder. Art. 83 Abs. 4 lit. a DSGVO sieht für Verstöße gegen die Pflichten des Verantwortlichen nach Art. 37 bis 39 DSGVO Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes vor. Dazu zählen insbesondere die Nichtbestellung eines Datenschutzbeauftragten trotz bestehender Pflicht, die unzureichende Einbindung in datenschutzrelevante Prozesse und die Behinderung seiner Tätigkeit.

In Deutschland haben die Aufsichtsbehörden bereits mehrfach Bußgelder wegen unzureichender Einbindung des Datenschutzbeauftragten verhängt. Das Bayerische Landesamt für Datenschutzaufsicht hat beispielsweise Unternehmen sanktioniert, die ihren Datenschutzbeauftragten nicht rechtzeitig in die Planungen neuer Datenverarbeitungen einbezogen hatten. Diese Fälle zeigen, dass die Aufsichtsbehörden die Rolle des Datenschutzbeauftragten ernst nehmen und deren ordnungsgemäße Einbindung aktiv überprüfen.

Checkliste: Ist Ihr Datenschutzbeauftragter korrekt eingebunden?

Folgende Fragen sollte jedes Unternehmen regelmäßig prüfen, um sicherzustellen, dass der Datenschutzbeauftragte gemäß DSGVO korrekt in die betrieblichen Abläufe eingebunden ist:

Wird der Datenschutzbeauftragte frühzeitig bei neuen Projekten und Datenverarbeitungen einbezogen? Hat er Zugang zu allen relevanten Informationen über Datenverarbeitungsvorgänge? Verfügt er über ausreichend Zeit und Budget für seine Aufgaben? Berichtet er direkt an die Geschäftsleitung? Bestehen keine Interessenkonflikte durch Doppelrollen? Wird er regelmäßig fortgebildet? Kann er seine Aufgaben ohne Anweisungen und ohne Benachteiligung erfüllen?

Wenn Sie eine oder mehrere dieser Fragen mit „Nein“ beantworten müssen, besteht Handlungsbedarf. Die DATUREX GmbH unterstützt Sie dabei, die datenschutzrechtlichen Anforderungen vollständig zu erfüllen — sei es durch die Übernahme der Funktion als externer Datenschutzbeauftragter oder durch gezielte DSGVO-Beratung.

Haben Sie Fragen zum Thema Datenschutzbeauftragter oder Datenschutz im Allgemeinen? Unser Theam an Experten berät Sie gerne. Auch können wir Ihnen anbieten, einen professionell geschulten Externen Datenschutzbeauftragten zu stellen, sodass Sie sich um nichts mehr kümmern müssen. Kontaktieren Sie uns zu allen Themenbereichen gerne unverbindlich hier!