Datenschutzbeauftragter ab wann?

Die Frage „Datenschutzbeauftragter ab wann?“ stellt sich für jedes Unternehmen, das personenbezogene Daten verarbeitet. Die Antwort ergibt sich aus dem Zusammenspiel von DSGVO (Art. 37–39) und BDSG (§ 38). Auf dieser Seite erfahren Sie, welche Kriterien eine Bestellpflicht auslösen, welche Branchen besonders betroffen sind und welche Konsequenzen drohen, wenn kein Datenschutzbeauftragter benannt wird.

Gesetzliche Bestellpflicht nach § 38 BDSG

Das Bundesdatenschutzgesetz konkretisiert die europäische DSGVO für Deutschland. Nach § 38 Abs. 1 BDSG müssen Unternehmen einen Datenschutzbeauftragten bestellen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Dabei zählen alle Beschäftigten, die regelmäßig mit personenbezogenen Daten arbeiten – unabhängig davon, ob sie in Vollzeit, Teilzeit, als Auszubildende oder als freie Mitarbeiter tätig sind. Auch Geschäftsführer und Praktikanten können mitzählen, sofern sie tatsächlich personenbezogene Daten verarbeiten.

Was bedeutet „ständig“ und „automatisiert“?

„Ständig“ bedeutet nicht dauerhaft, sondern regelmäßig und wiederkehrend. Bereits die tägliche Nutzung von E-Mail, CRM-Systemen oder Personalverwaltungssoftware gilt als automatisierte Verarbeitung. In der Praxis erreichen viele mittelständische Unternehmen diese Schwelle schneller, als sie vermuten.

Bestellpflicht nach Art. 37 DSGVO

Unabhängig von der Mitarbeiterzahl schreibt Art. 37 Abs. 1 DSGVO die Benennung eines Datenschutzbeauftragten vor, wenn:

• Die Kerntätigkeit des Unternehmens in der umfangreichen, regelmäßigen und systematischen Überwachung von betroffenen Personen besteht (z. B. Tracking, Scoring, Profiling).
• Die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO liegt (z. B. Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen).
• Die Kerntätigkeit in der umfangreichen Verarbeitung von Daten über strafrechtliche Verurteilungen nach Art. 10 DSGVO besteht.

Zusätzlich gilt nach § 38 Abs. 1 Satz 2 BDSG: Unternehmen, die Datenschutz-Folgenabschätzungen (DSFA) nach Art. 35 DSGVO durchführen müssen oder personenbezogene Daten geschäftsmäßig übermitteln, anonymisieren oder zu Zwecken der Markt- und Meinungsforschung verarbeiten, benötigen ebenfalls einen Datenschutzbeauftragten – unabhängig von der Mitarbeiterzahl.

Art. 38 und Art. 39 DSGVO – Stellung und Aufgaben

Die DSGVO regelt in Art. 38 die Stellung des Datenschutzbeauftragten: Er muss frühzeitig in alle datenschutzrelevanten Fragen einbezogen werden, darf keine Weisungen erhalten und genießt besonderen Kündigungsschutz. Art. 39 definiert seine Aufgaben des Datenschutzbeauftragten, darunter Beratung, Überwachung der Einhaltung der DSGVO und Zusammenarbeit mit der Aufsichtsbehörde. Die gesetzlichen Voraussetzungen für Datenschutzbeauftragte nach Art. 37 Abs. 5 DSGVO sind dabei laufend zu beachten.

Branchenspezifische Bestellpflicht

In bestimmten Branchen ist die Bestellung eines Datenschutzbeauftragten praktisch immer erforderlich – oft schon ab dem ersten Mitarbeiter:

Gesundheitswesen

Arztpraxen, Kliniken, Pflegeeinrichtungen und Apotheken verarbeiten regelmäßig Gesundheitsdaten nach Art. 9 DSGVO. Da es sich um besondere Kategorien personenbezogener Daten handelt, greift Art. 37 Abs. 1 lit. c DSGVO. Ein Datenschutzbeauftragter ist Pflicht.

Finanzdienstleistungen

Banken, Versicherungen und Finanzberater verarbeiten umfangreiche personenbezogene Daten, häufig auch Bonitätsdaten und Scoring-Informationen. Hier besteht die DSB-Pflicht regelmäßig sowohl über Art. 37 DSGVO als auch über § 38 BDSG.

Öffentliche Stellen

Behörden und öffentliche Einrichtungen müssen nach Art. 37 Abs. 1 lit. a DSGVO immer einen Datenschutzbeauftragten bestellen – ohne Ausnahme und ohne Schwellenwert.

Weitere betroffene Branchen

Auch Personaldienstleister, IT-Unternehmen, Online-Shops mit Kundenprofilen, Inkassounternehmen, Detekteien und Marktforschungsinstitute unterliegen in der Regel der Bestellpflicht.

Typische Fälle im Überblick

Situation	DSB Pflicht?	Rechtsgrundlage
20+ Mitarbeiter in der Datenverarbeitung	Ja	§ 38 Abs. 1 BDSG
Arztpraxis / Klinik	Ja	Art. 37 Abs. 1 lit. c DSGVO
Online-Shop mit Kundenprofilen	Oft ja	Art. 37 Abs. 1 lit. b DSGVO
Behörde / öffentliche Stelle	Immer	Art. 37 Abs. 1 lit. a DSGVO
Personalvermittlung / Zeitarbeit	Ja	§ 38 BDSG + Art. 9 DSGVO
Inkassounternehmen	Ja	§ 38 Abs. 1 S. 2 BDSG
Handwerksbetrieb mit 5 Mitarbeitern	Eher nein	Schwelle nicht erreicht
Videoüberwachung (umfangreich)	Ja	Art. 37 Abs. 1 lit. b DSGVO

Interner vs. externer Datenschutzbeauftragter

Unternehmen haben die Wahl zwischen einem internen und einem externen Datenschutzbeauftragten. Beide Varianten sind rechtlich gleichwertig, unterscheiden sich jedoch in der Praxis erheblich:

• Interner DSB: Ein eigener Mitarbeiter wird zum DSB ernannt. Vorteil: kennt das Unternehmen. Nachteil: genießt besonderen Kündigungsschutz (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG), benötigt regelmäßige Fortbildung und kann in Interessenkonflikte geraten.
• Externer DSB: Ein spezialisierter Dienstleister übernimmt die Funktion. Vorteil: sofort verfügbare Expertise, kein Kündigungsschutz-Risiko, planbare Kosten für den externen Datenschutzbeauftragten. Nachteil: muss sich in interne Prozesse einarbeiten.

Gerade für kleine und mittelständische Unternehmen ist ein externer Datenschutzbeauftragter häufig die wirtschaftlichere Lösung, da die Kosten transparent und kalkulierbar bleiben.

Konsequenzen bei Nichtbestellung

Wer trotz bestehender Pflicht keinen Datenschutzbeauftragten bestellt, riskiert empfindliche Sanktionen:

• Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 lit. a DSGVO.
• Anordnungen der Aufsichtsbehörde: Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) kann die Bestellung eines DSB anordnen und bei Nichtbefolgung Zwangsgelder verhängen.
• Haftungsrisiken: Ohne DSB fehlt die interne Kontrollinstanz. Datenschutzverstöße bleiben unentdeckt und können zu Schadensersatzansprüchen Betroffener nach Art. 82 DSGVO führen.
• Reputationsschäden: Öffentliche Verfahren und Bußgeldbescheide beschädigen das Vertrauen von Kunden und Geschäftspartnern nachhaltig.

Die Aufsichtsbehörden prüfen die Einhaltung der DSB-Pflicht aktiv – insbesondere bei Beschwerden von Betroffenen oder nach Datenpannen.

Kosten eines Datenschutzbeauftragten

Die Kosten variieren je nach Unternehmensart und Umfang der Datenverarbeitung. Während ein interner DSB durch Schulungen, Arbeitszeit und Kündigungsschutz langfristig teurer werden kann, bieten externe DSB-Dienstleister planbare Monatspauschalen – häufig schon ab wenigen hundert Euro pro Monat. Einen detaillierten Überblick finden Sie auf unserer Seite zu den Kosten eines externen Datenschutzbeauftragten.

Zusammenspiel mit der Auftragsverarbeitung

Wenn Sie personenbezogene Daten durch Dritte verarbeiten lassen, benötigen Sie nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV). Der Datenschutzbeauftragte überwacht die Einhaltung dieser Verträge und prüft, ob Auftragsverarbeiter ausreichende Garantien bieten. Gerade bei Cloud-Diensten und IT-Dienstleistern ist diese Kontrolle unverzichtbar.

Häufig gestellte Fragen (FAQ)

Ab wie vielen Mitarbeitern braucht man einen Datenschutzbeauftragten?

Nach § 38 BDSG ist ein Datenschutzbeauftragter Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig davon kann die Pflicht auch bei weniger Mitarbeitern bestehen, wenn besondere Kategorien personenbezogener Daten verarbeitet werden.

Brauchen kleine Unternehmen einen Datenschutzbeauftragten?

Auch Unternehmen mit weniger als 20 Mitarbeitern können verpflichtet sein – etwa Arztpraxen, Personalvermittlungen oder Unternehmen mit umfangreicher Videoüberwachung. Wichtig ist nicht nur die Größe, sondern die Art der Datenverarbeitung.

Was passiert, wenn ich keinen Datenschutzbeauftragten bestelle?

Die Nichtbestellung trotz Pflicht ist ein Verstoß gegen Art. 37 DSGVO bzw. § 38 BDSG. Es drohen Bußgelder bis zu 10 Mio. Euro sowie Anordnungen der Aufsichtsbehörde.

Was kostet ein externer Datenschutzbeauftragter?

Die Kosten hängen von Unternehmensgröße und Verarbeitungsumfang ab. Externe DSB bieten häufig Monatspauschalen ab wenigen hundert Euro an. Details finden Sie auf unserer Kostenseite.

Kann ich den Datenschutzbeauftragten selbst übernehmen?

Grundsätzlich ja – allerdings darf der DSB nicht in Interessenkonflikte geraten. Geschäftsführer, IT-Leiter oder Personalverantwortliche scheiden daher in der Regel als DSB aus. Ein externer DSB vermeidet diese Problematik.

DATUREX GmbH – Ihr bundesweiter externer Datenschutzbeauftragter

Die DATUREX GmbH aus Dresden unterstützt Unternehmen bundesweit als externer Datenschutzbeauftragter. Unsere TÜV- und BSI-zertifizierten Experten übernehmen alle Aufgaben eines Datenschutzbeauftragten – von der Erstberatung über die laufende Betreuung bis zur Zusammenarbeit mit der Aufsichtsbehörde.

Ihre Vorteile mit DATUREX:

• Sofort einsatzbereite, zertifizierte Datenschutzexperten
• Transparente Monatspauschalen ohne versteckte Kosten
• Persönliche Betreuung bundesweit vor Ort oder remote
• Rechtssichere Umsetzung von DSGVO und BDSG

Kontaktieren Sie uns für ein unverbindliches Erstgespräch: Jetzt Kontakt aufnehmen oder rufen Sie uns an unter 0351 200 697 80.

Ganzheitlicher Schutz: Datenschutz, Informationssicherheit & IT

Die DATUREX GmbH bietet Ihnen alle Leistungen aus einer Hand:

• Informationssicherheit: Externer Informationssicherheitsbeauftragter | ISO 27001 Zertifizierung
• IT-Lösungen: Software-Entwicklung | IT-Consulting