Datenschutzbeauftragter ab 20 Mitarbeiter — Pflicht & Lösung

Ab wann ist ein Datenschutzbeauftragter Pflicht? Die 20-Personen-Schwelle nach § 38 BDSG

Die Frage „Datenschutzbeauftragter ab 20 Mitarbeiter — brauche ich einen?“ gehört zu den häufigsten im deutschen Datenschutzrecht. Die Antwort steht im § 38 Abs. 1 BDSG (Bundesdatenschutzgesetz) und ist klar geregelt:

Sobald in Ihrem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Sie einen Datenschutzbeauftragten (DSB) benennen.

Diese Regelung gilt seit dem 26. November 2019, als die Schwelle von zuvor 10 auf 20 Personen angehoben wurde. Viele Unternehmer kennen noch die alte 10-Personen-Grenze — diese ist nicht mehr aktuell. Dennoch bleibt die 20-Personen-Schwelle für tausende kleine und mittlere Unternehmen (KMU) in Sachsen und bundesweit relevant.

Wichtig: Die DSGVO (Datenschutz-Grundverordnung) selbst schreibt in Art. 37 einen DSB nur für bestimmte Organisationen vor (Behörden, Kerntätigkeit Überwachung, besondere Datenkategorien). Der § 38 BDSG erweitert diese EU-Vorgabe für Deutschland um die 20-Personen-Regel. Beide Rechtsgrundlagen bestehen nebeneinander.

Das bedeutet: Selbst wenn Sie weniger als 20 Personen mit Datenverarbeitung beschäftigen, kann eine DSB-Pflicht nach Art. 37 DSGVO bestehen — etwa wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien liegt (z. B. Arztpraxen, Detekteien, Marktforschungsinstitute).

Wie zählt man die 20 Personen richtig?

Die korrekte Zählung der 20-Personen-Schwelle ist wichtig und wird von vielen Unternehmen falsch angewendet. Die Datenschutzbehörden haben hierzu klare Vorgaben formuliert:

Wer zählt mit?

• Festangestellte Mitarbeiter (Voll- und Teilzeit), die regelmäßig personenbezogene Daten verarbeiten
• Auszubildende, sofern sie Zugang zu personenbezogenen Daten haben
• Minijobber und Aushilfen, die ständig mit Datenverarbeitung betraut sind
• Leiharbeitnehmer, die im Betrieb Daten verarbeiten
• Freie Mitarbeiter und Praktikanten, soweit sie regelmäßig personenbezogene Daten nutzen
• Geschäftsführer und Inhaber, die selbst Daten verarbeiten
• Ehrenamtliche Mitarbeiter, z. B. in Vereinen

Wer zählt nicht mit?

• Personen, die keinen Zugang zu personenbezogenen Daten haben (z. B. Reinigungspersonal ohne Datenzugriff)
• Mitarbeiter, die nur gelegentlich und nicht ständig mit Daten arbeiten
• Externe Dienstleister, die als Auftragsverarbeiter (Art. 28 DSGVO) eigene DSB-Pflichten haben

Was bedeutet „ständig“?

Der Begriff „ständig“ meint nach herrschender Meinung, dass die Datenverarbeitung zur regulären Aufgabe der Person gehört. Es reicht aus, dass sie regelmäßig — nicht permanent — personenbezogene Daten verarbeitet. Typische Beispiele sind Sachbearbeiter, die täglich Kundendaten in ein CRM-System eingeben, oder Personalmitarbeiter, die regelmäßig Bewerbungsunterlagen sichten.

Kopfzahl, nicht Vollzeitäquivalente

Ein häufiger Irrtum: Die 20-Personen-Schwelle bezieht sich auf die Kopfzahl, nicht auf Vollzeitäquivalente (VZÄ). Zwei Teilzeitkräfte mit je 20 Wochenstunden zählen als zwei Personen, nicht als eine. Auch ein Minijobber mit 5 Stunden pro Woche zählt als eine volle Person, sofern er ständig mit automatisierter Datenverarbeitung befasst ist.

Automatisierte Verarbeitung

Die 20-Personen-Schwelle bezieht sich explizit auf die automatisierte Verarbeitung personenbezogener Daten. In der Praxis bedeutet das: Jeder, der am Computer, Tablet oder Smartphone mit personenbezogenen Daten arbeitet. Da heute nahezu jeder Büroarbeitsplatz computergestützt ist, fallen fast alle Büroangestellten unter diese Zählung. Rein manuelle Datenverarbeitung (z. B. handschriftliche Karteikarten) zählt dagegen nicht.

Ausnahmen und Sonderfälle: DSB-Pflicht auch unter 20 Personen

Die 20-Personen-Schwelle ist nur eine von mehreren Rechtsgrundlagen für die DSB-Pflicht. In folgenden Fällen müssen Sie auch mit weniger als 20 Personen einen Datenschutzbeauftragten bestellen:

1. Kerntätigkeit ist umfangreiche Überwachung (Art. 37 Abs. 1 lit. b DSGVO)

Wenn Ihre Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht. Typische Beispiele: Detekteien, Bewachungsunternehmen mit Videoüberwachung, Auskunfteien, Unternehmen mit umfangreichem Tracking oder Profiling.

2. Verarbeitung besonderer Datenkategorien (Art. 37 Abs. 1 lit. c DSGVO)

Wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO besteht — also Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen, politische Meinungen, Gewerkschaftszugehörigkeit oder Daten zur sexuellen Orientierung. Betroffen sind unter anderem: Arztpraxen, Krankenhäuser, Apotheken, Labore, psychotherapeutische Praxen, Physiotherapeuten.

3. Pflicht zur Datenschutz-Folgenabschätzung (§ 38 Abs. 1 Satz 2 BDSG)

Wenn Ihr Unternehmen Verarbeitungen durchführt, die einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO unterliegen, ist ebenfalls ein DSB zu bestellen — unabhängig von der Personenzahl. Die Aufsichtsbehörden veröffentlichen sogenannte „Blacklists“ mit Verarbeitungstätigkeiten, die eine DSFA erfordern.

4. Geschäftsmäßige Datenübermittlung oder Marktforschung (§ 38 Abs. 1 Satz 2 BDSG)

Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, brauchen immer einen DSB.

Tipp: Sicherheitshalber prüfen lassen

Viele Unternehmen mit 15–25 Mitarbeitern sind sich unsicher, ob die Schwelle greift. Wir empfehlen eine kostenlose Erstberatung, um Klarheit zu schaffen. Unser Team prüft Ihre individuelle Situation in wenigen Minuten — fordern Sie jetzt Ihr kostenloses Erstgespräch an.

Interner vs. Externer Datenschutzbeauftragter für KMU

Sobald die DSB-Pflicht feststeht, müssen Unternehmen entscheiden: Einen internen Mitarbeiter zum DSB bestellen oder einen externen Datenschutzbeauftragten beauftragen? Beide Varianten sind nach Art. 37 Abs. 6 DSGVO zulässig. Für Unternehmen mit 20 bis 50 Mitarbeitern gibt es jedoch klare Vorteile für die externe Lösung.

Interner Datenschutzbeauftragter

Vorteil	Nachteil
Kennt interne Abläufe	Muss umfangreich geschult werden (Kosten: 2.000–5.000 € pro Schulung)
Sofort vor Ort verfügbar	Besonderer Kündigungsschutz (§ 6 Abs. 4 BDSG, § 38 Abs. 2 BDSG)
Keine monatlichen Zusatzkosten	Kann nicht zugleich Geschäftsführer, IT-Leiter oder Personalchef sein (Interessenkonflikte!)
—	Arbeitszeit für DSB-Aufgaben geht vom Kerngeschäft ab
—	Haftungsrisiko verbleibt im Unternehmen
—	Regelmäßige Fortbildungspflicht auf Kosten des Arbeitgebers

Externer Datenschutzbeauftragter (DATUREX GmbH)

Vorteil	Nachteil
Sofort einsatzbereit, kein Schulungsaufwand	Monatliche Kosten (ab 250 €/Monat)
TÜV-zertifiziert, laufend aktuelles Fachwissen	Nicht physisch vor Ort (bei Bedarf aber möglich)
Kein Kündigungsschutz-Problem	—
Keine Interessenkonflikte	—
Haftpflichtversicherung inklusive	—
Vertrag monatlich oder jährlich kündbar	—
Erfahrung aus 200+ Mandaten	—

Für Unternehmen mit 20 bis 50 Mitarbeitern empfehlen wir klar die externe Lösung: Sie ist kostengünstiger, risikofrei und sofort verfügbar. Erfahren Sie mehr über die konkreten Kosten eines externen Datenschutzbeauftragten.

Kosten für Unternehmen mit 20 bis 50 Mitarbeitern

Die Kosten eines Datenschutzbeauftragten ab 20 Mitarbeiter hängen von mehreren Faktoren ab: Branche, Komplexität der Datenverarbeitung, bestehende Datenschutz-Infrastruktur und gewünschter Leistungsumfang.

Kostenvergleich: Intern vs. Extern

Kostenfaktor	Interner DSB	Externer DSB (DATUREX)
Grundschulung	2.000–5.000 € einmalig	0 € (bereits qualifiziert)
Jährliche Fortbildung	500–1.500 € pro Jahr	0 € (im Service enthalten)
Fachliteratur & Tools	500–1.000 € pro Jahr	0 € (im Service enthalten)
Arbeitszeit (ca. 5–10 h/Monat)	1.500–3.000 €/Monat (Opportunitätskosten)	0 € (keine interne Zeit nötig)
Monatliche Pauschale	—	ab 250 €/Monat
Gesamtkosten 1. Jahr	21.000–41.000 €	3.000–4.800 €

Wie die Tabelle zeigt, ist ein externer Datenschutzbeauftragter für Unternehmen mit 20 bis 50 Mitarbeitern in der Regel 5- bis 10-mal günstiger als ein interner DSB — und das bei gleichzeitig höherer Qualität und Rechtssicherheit.

Unsere Pakete für KMU

Für Unternehmen an der 20-Personen-Schwelle bieten wir maßgeschneiderte Pakete:

• Starter (ab 250 €/Monat): Ideal für 20–30 Personen. Benennung als ext. DSB, Verarbeitungsverzeichnis, TOM-Beratung, Mitarbeiterschulung, Behördenkontakt
• Business (ab 350 €/Monat): Für 30–50 Personen oder komplexere Verarbeitungen. Zusätzlich: DSFA-Unterstützung, AV-Vertragsprüfung, Website-Datenschutzaudit
• Premium (ab 500 €/Monat): Für Unternehmen mit besonderen Datenkategorien oder erhöhtem Beratungsbedarf. Inkl. aller Business-Leistungen plus Vor-Ort-Termine und Audit-Begleitung

Alle Pakete sind monatlich kündbar. Detaillierte Informationen finden Sie auf unserer Kostenseite.

Bußgelder bei Nichtbestellung eines Datenschutzbeauftragten

Die Nichtbestellung eines Datenschutzbeauftragten trotz bestehender Pflicht ist kein Kavaliersdelikt. Die Datenschutz-Aufsichtsbehörden verhängen zunehmend Bußgelder — auch gegen kleinere Unternehmen.

Rechtliche Grundlage

Die Nichtbestellung eines DSB verstößt gegen Art. 37 DSGVO in Verbindung mit § 38 BDSG. Nach Art. 83 Abs. 4 lit. a DSGVO können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden — je nachdem, welcher Betrag höher ist.

Praxisbeispiele

• Sächsische Datenschutzbehörde (SächsDSB): Hat in den letzten Jahren mehrfach Unternehmen in Sachsen wegen fehlender DSB-Bestellung mit Bußgeldern zwischen 5.000 und 25.000 € belegt
• Hamburger Datenschutzbeauftragter: 10.000 € Bußgeld gegen ein mittelständisches Unternehmen wegen fehlender DSB-Bestellung (2023)
• Berliner Beauftragte für Datenschutz: 14.500 € gegen ein Unternehmen mit 35 Mitarbeitern, das keinen DSB benannt hatte (2024)

Weitere Risiken neben dem Bußgeld

• Anordnungen der Aufsichtsbehörde: Zwangsgeld und behördliche Auflagen
• Schadensersatzansprüche Betroffener nach Art. 82 DSGVO
• Reputationsschaden: Veröffentlichung von Bußgeldbescheiden
• Wettbewerbsrechtliche Abmahnungen: Konkurrenten können fehlenden DSB als Wettbewerbsverstoß abmahnen
• Vertrauensverlust bei Kunden und Geschäftspartnern

Der Vergleich liegt auf der Hand: Ab 250 €/Monat für einen externen DSB statt 5.000–25.000 € Bußgeld. Handeln Sie jetzt, bevor die Aufsichtsbehörde auf Sie zukommt.

Ablauf der Bestellung bei DATUREX GmbH

Die Bestellung eines externen Datenschutzbeauftragten über DATUREX ist unkompliziert und in wenigen Schritten erledigt:

Schritt 1: Kostenloses Erstgespräch (15 Min.)

Sie kontaktieren uns über unser Anfrageformular oder rufen uns an. In einem kurzen Gespräch klären wir Ihre Unternehmensgröße, Branche und den aktuellen Stand Ihres Datenschutzes. Sie erhalten sofort eine Einschätzung, ob und welche DSB-Pflicht für Sie gilt.

Schritt 2: Individuelles Angebot (1–2 Werktage)

Basierend auf Ihrer Situation erstellen wir ein maßgeschneidertes Angebot. Sie wissen vorab exakt, welche Leistungen enthalten sind und was es kostet — keine versteckten Gebühren.

Schritt 3: Vertrag & Benennung (sofort)

Nach Auftragserteilung schließen wir den DSB-Vertrag und die Auftragsverarbeitungsvereinbarung. Wir übernehmen die formale Benennung als Ihr Datenschutzbeauftragter und melden uns bei der zuständigen Aufsichtsbehörde.

Schritt 4: Bestandsaufnahme (erste 2 Wochen)

Wir führen eine Bestandsaufnahme Ihres aktuellen Datenschutzniveaus durch: Verarbeitungsverzeichnis, technische und organisatorische Maßnahmen (TOM), Auftragsverarbeitungsverträge, Datenschutzerklärung und Mitarbeiterschulungsbedarf. Erfahren Sie mehr über die Pflichten und Fristen, die für Ihr Unternehmen gelten.

Schritt 5: Laufende Betreuung

Ab sofort stehen wir Ihnen als Datenschutzbeauftragter zur Verfügung: Beratung bei neuen Projekten, Mitarbeiterschulungen, Bearbeitung von Betroffenenanfragen, Zusammenarbeit mit der Aufsichtsbehörde und regelmäßige Datenschutzaudits. Mehr zur Zusammenarbeit für kleine Unternehmen.

Häufig gestellte Fragen (FAQ)

Gilt die 20-Personen-Grenze pro Standort oder pro Unternehmen?

Die 20-Personen-Schwelle gilt pro Unternehmen (juristische Person), nicht pro Standort oder Niederlassung. Hat ein Unternehmen drei Standorte mit jeweils 8 Personen in der Datenverarbeitung, sind das insgesamt 24 Personen — und damit besteht DSB-Pflicht. Bei verbundenen Unternehmen (Konzerne) wird dagegen jede Gesellschaft einzeln betrachtet.

Zählen Teilzeitkräfte und Minijobber bei der 20-Personen-Schwelle mit?

Ja, jede Person zählt als eine volle Person — unabhängig vom Stundenumfang. Es kommt nicht auf Vollzeitäquivalente an, sondern auf die Kopfzahl der Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Ein Minijobber mit 10 Wochenstunden zählt genauso wie ein Vollzeitangestellter mit 40 Stunden.

Was passiert, wenn die Mitarbeiterzahl unter 20 fällt?

Wenn die Zahl der Personen in der Datenverarbeitung dauerhaft unter 20 fällt, entfällt die DSB-Pflicht nach § 38 BDSG. Allerdings sollten Sie prüfen, ob nicht andere Pflichten nach Art. 37 DSGVO bestehen bleiben (z. B. wegen besonderer Datenkategorien). Eine vorschnelle Abbestellung kann riskant sein — lassen Sie sich beraten.

Kann der Geschäftsführer Datenschutzbeauftragter sein?

Nein. Der Geschäftsführer darf nicht gleichzeitig Datenschutzbeauftragter sein. Es besteht ein unauflösbarer Interessenkonflikt: Der DSB soll die Datenverarbeitung überwachen — der Geschäftsführer entscheidet über sie. Gleiches gilt für IT-Leiter, Personalchefs, Marketingleiter und Vertriebsleiter. Auch dies spricht für einen externen betrieblichen Datenschutzbeauftragten.

Wie schnell muss ich einen DSB bestellen, wenn die Schwelle überschritten wird?

Die DSB-Bestellung muss unverzüglich erfolgen, sobald die Voraussetzungen erfüllt sind. Die DSGVO kennt keine Übergangsfrist. In der Praxis gewähren Aufsichtsbehörden bei erkennbarem guten Willen oft einige Wochen — aber verlassen Sie sich nicht darauf. Bei DATUREX können wir die Benennung innerhalb weniger Tage abschließen.