Welche Aufgaben hat ein Datenschutzbeauftragter nach DSGVO?

Die Kernaufgaben nach Art. 39 DSGVO umfassen: Unterrichtung und Beratung des Unternehmens, Überwachung der DSGVO-Einhaltung, Beratung zur Datenschutz-Folgenabschätzung (DSFA), Zusammenarbeit mit der Aufsichtsbehörde und die Funktion als Anlaufstelle für betroffene Personen.

Was macht ein Datenschutzbeauftragter im Tagesgeschäft?

Im Tagesgeschäft kümmert sich ein DSB um Mitarbeiterschulungen, die Pflege des Verarbeitungsverzeichnisses, Prüfung von Auftragsverarbeitungsverträgen, Management von Datenschutzvorfällen, Durchführung von Audits und die Bearbeitung von Betroffenenanfragen.

Was ist der Unterschied zwischen internem und externem DSB?

Die gesetzlichen Aufgaben sind identisch. Ein externer DSB bietet jedoch Vorteile: keine Interessenkonflikte, branchenübergreifende Erfahrung, keine Kündigungsschutz-Problematik, planbare Kosten ab 150 EUR/Monat statt 60.000-80.000 EUR Jahresgehalt und garantierte Vertretungsregelungen.

Haftet der Datenschutzbeauftragte für Verstöße?

Nein, der DSB haftet nicht persönlich für Datenschutzverstöße des Unternehmens. Die Verantwortung liegt beim Verantwortlichen (Geschäftsführung) gemäß Art. 24 DSGVO. Der DSB berät und überwacht, die Entscheidung obliegt dem Unternehmen.

Darf der Datenschutzbeauftragte Weisungen erhalten?

Nein. Gemäß Art. 38 Abs. 3 DSGVO ist der DSB bei der Erfüllung seiner Aufgaben weisungsfrei. Er berichtet direkt an die höchste Managementebene und darf wegen der Ausübung seiner Tätigkeit weder abberufen noch benachteiligt werden.

Datenschutzbeauftragter Aufgaben: Der komplette Leitfaden nach DSGVO

Name: Datenschutzbeauftragter Aufgaben -- Externer DSB Service
Price: 150 EUR

Alle Pflichten und Verantwortlichkeiten des DSB nach Art. 39 DSGVO — verständlich erklärt von DATUREX GmbH, Dresden.

Kostenlose Erstberatung

✓ TÜV-zertifiziert ✓ BSI-zertifiziert ✓ IHK-zertifiziert ✓ Über 500 Mandanten in Sachsen ✓ Seit 2019

Die 5 Kernaufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO

Die Aufgaben eines Datenschutzbeauftragten sind in Artikel 39 der Datenschutz-Grundverordnung (DSGVO) klar definiert. Diese gesetzlichen Pflichten bilden das Fundament jeder DSB-Tätigkeit — unabhängig davon, ob es sich um einen internen oder externen Datenschutzbeauftragten handelt. Unternehmen in ganz Deutschland müssen sicherstellen, dass ihr DSB diese Aufgaben vollständig und gewissenhaft wahrnimmt.

1. Unterrichtung und Beratung (Art. 39 Abs. 1 lit. a DSGVO)

Die zentrale Aufgabe eines Datenschutzbeauftragten ist die Beratung des Verantwortlichen, des Auftragsverarbeiters und aller Beschäftigten, die Verarbeitungen durchführen. Das umfasst:

Strategische Datenschutzberatung der Geschäftsführung bei neuen Projekten, Produkten oder Geschäftsmodellen
Rechtliche Bewertung von Verarbeitungstätigkeiten hinsichtlich DSGVO, BDSG und branchenspezifischer Regelungen
Unterstützung bei der Erstellung von Datenschutzerklärungen, Einwilligungserklärungen und Betriebsvereinbarungen
Beratung bei der Einführung neuer Software, Cloud-Dienste oder digitaler Prozesse
Empfehlungen zu datenschutzfreundlichen Voreinstellungen (Privacy by Design und Privacy by Default)

In der Praxis bedeutet das: Bevor ein Unternehmen ein neues CRM-System einführt, einen Newsletter-Versand startet oder Mitarbeiterdaten an einen externen Dienstleister übergibt, sollte der DSB eingebunden werden.

2. Überwachung der DSGVO-Einhaltung (Art. 39 Abs. 1 lit. b DSGVO)

Der DSB überwacht die Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten sowie der Strategien des Verantwortlichen. Konkret gehören dazu:

Regelmäßige Datenschutz-Audits aller Abteilungen und Verarbeitungsprozesse
Überprüfung der technischen und organisatorischen Maßnahmen (TOM) auf Wirksamkeit und Angemessenheit
Kontrolle der Auftragsverarbeitungsverträge (AVV nach Art. 28 DSGVO) mit Dienstleistern
Prüfung der Datenschutzfolgenabschätzungen auf Vollständigkeit
Zuständigkeitsverteilung im Datenschutz überwachen und dokumentieren

Die Überwachungspflicht ist dabei keine bloße Formalität. Der DSB muss aktiv Schwachstellen identifizieren, dokumentieren und dem Verantwortlichen Empfehlungen zur Beseitigung geben.

3. Beratung zur Datenschutz-Folgenabschätzung (Art. 39 Abs. 1 lit. c DSGVO)

Bei Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen. Der DSB berät hierbei:

Ob eine DSFA erforderlich ist (Schwellwertanalyse)
Welche Methodik für die DSFA geeignet ist
Ob die geplanten Schutzmaßnahmen ausreichend sind
Ob eine vorherige Konsultation der Aufsichtsbehörde notwendig ist (Art. 36 DSGVO)

Typische Fälle für eine DSFA sind: Videoüberwachung am Arbeitsplatz, umfangreiche Gesundheitsdatenverarbeitung, Scoring- und Profilingsysteme oder die Einführung biometrischer Zugangskontrollen.

4. Zusammenarbeit mit der Aufsichtsbehörde (Art. 39 Abs. 1 lit. d DSGVO)

Der DSB fungiert als Anlaufstelle für die zuständige Aufsichtsbehörde — in Sachsen beispielsweise der Sächsische Datenschutz- und Transparenzbeauftragte (SDTB). Die Zusammenarbeit umfasst:

Kommunikation bei Anfragen, Prüfungen oder Beanstandungen der Behörde
Meldung von Datenschutzverletzungen nach Art. 33 DSGVO innerhalb von 72 Stunden
Bereitstellung von Dokumentationen, Verarbeitungsverzeichnissen und Nachweisen
Koordination bei behördlichen Kontrollen vor Ort

Ein erfahrener DSB kennt die Arbeitsweise der Aufsichtsbehörde und kann bei Prüfungen professionell und souverän agieren — das schützt das Unternehmen vor unnötigen Eskalationen.

5. Anlaufstelle für betroffene Personen (Art. 38 Abs. 4 DSGVO)

Betroffene Personen können den DSB zu allen Fragen der Verarbeitung ihrer personenbezogenen Daten und zur Ausübung ihrer Rechte kontaktieren. Das beinhaltet:

Auskunftsersuchen nach Art. 15 DSGVO beantworten
Löschanfragen nach Art. 17 DSGVO prüfen und umsetzen
Widersprüche gegen die Verarbeitung nach Art. 21 DSGVO bearbeiten
Beschwerden entgegennehmen und intern klären
Datenübertragbarkeit nach Art. 20 DSGVO koordinieren

Tägliche Aufgaben eines Datenschutzbeauftragten in der Praxis

Neben den gesetzlich definierten Kernaufgaben fallen im Tagesgeschäft zahlreiche operative Aufgaben an, die ein DSB regelmäßig bewältigen muss:

Datenschutzvorfälle und Datenpannen-Management

Der DSB ist die erste Anlaufstelle, wenn eine Datenschutzverletzung gemeldet wird. Er bewertet den Vorfall, dokumentiert ihn, entscheidet über die Meldepflicht an die Aufsichtsbehörde (72-Stunden-Frist nach Art. 33 DSGVO) und koordiniert gegebenenfalls die Benachrichtigung der Betroffenen nach Art. 34 DSGVO. Typische Vorfälle sind verlorene USB-Sticks, fehlgeleitete E-Mails mit personenbezogenen Daten oder Cyberangriffe.

Mitarbeiterschulungen und Sensibilisierung

Regelmäßige Datenschutzschulungen sind keine freiwillige Kür, sondern Pflicht. Der DSB plant, organisiert und führt Schulungen für alle Mitarbeiter durch — von der Einarbeitung neuer Kollegen bis zur jährlichen Auffrischung. Themen umfassen den sicheren Umgang mit personenbezogenen Daten, Erkennung von Phishing-Angriffen, korrektes Verhalten bei Datenschutzvorfällen und die Nutzung von IT-Systemen.

Verarbeitungsverzeichnis (VVT) erstellen und pflegen

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO muss laufend aktuell gehalten werden. Der DSB unterstützt bei der Erfassung aller Verarbeitungstätigkeiten, dokumentiert Rechtsgrundlagen, Zwecke, Empfängerkategorien, Löschfristen und technische Schutzmaßnahmen. Bei neuen Verarbeitungen oder Änderungen bestehender Prozesse wird das VVT entsprechend aktualisiert.

TOM prüfen und anpassen

Die technischen und organisatorischen Maßnahmen (TOM nach Art. 32 DSGVO) müssen regelmäßig auf ihre Wirksamkeit geprüft werden. Der DSB bewertet, ob Zugangskontrollen, Verschlüsselungsverfahren, Backup-Strategien, Berechtigungskonzepte und physische Sicherheitsmaßnahmen dem aktuellen Stand der Technik entsprechen.

Auftragsverarbeitung kontrollieren

Jede Zusammenarbeit mit externen Dienstleistern, die personenbezogene Daten verarbeiten, erfordert einen Auftragsverarbeitungsvertrag (AVV nach Art. 28 DSGVO). Der DSB prüft bestehende Verträge, identifiziert fehlende AVVs und bewertet die Datenschutzniveaus von Subunternehmern — besonders bei Cloud-Diensten und internationalen Datenübermittlungen.

Datenschutz-Audits durchführen

Mindestens einmal jährlich sollte ein vollständiges Datenschutz-Audit stattfinden. Der DSB prüft dabei systematisch alle datenschutzrelevanten Prozesse, identifiziert Schwachstellen und erstellt einen Maßnahmenkatalog mit Priorisierung. Die Ergebnisse werden der Geschäftsführung in einem Audit-Bericht präsentiert.

Branchenspezifische Aufgaben des DSB

Je nach Branche kommen zum allgemeinen Aufgabenkatalog spezifische Anforderungen hinzu, die der DSB kennen und berücksichtigen muss:

Gesundheitswesen und Arztpraxen

Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO erfordert besonders strenge Schutzmaßnahmen. Der DSB muss die Einhaltung der ärztlichen Schweigepflicht im digitalen Kontext überwachen, Patientenakten-Systeme prüfen und die sichere Kommunikation zwischen Praxen, Laboren und Krankenhäusern gewährleisten. Telemedizin und digitale Gesundheitsanwendungen (DiGA) schaffen zusätzliche Anforderungen.

E-Commerce und Online-Shops

Cookie-Consent-Management, Tracking-Technologien, Zahlungsabwicklung und internationaler Versand — im E-Commerce sind die datenschutzrechtlichen Anforderungen besonders verschieden. Der DSB muss die korrekte Umsetzung von Einwilligungen (Art. 7 DSGVO), die DSGVO-konforme Nutzung von Analyse-Tools und die sichere Verarbeitung von Zahlungsdaten (PCI-DSS-Konformität) überwachen.

Personaldienstleistungen und HR

Bewerbermanagement, Beschäftigtendatenschutz, Arbeitszeiterfassung und betriebliche Gesundheitsförderung — der DSB muss hier die Balance zwischen berechtigten Arbeitgeberinteressen und dem Schutz der Mitarbeiterdaten sicherstellen. Betriebsvereinbarungen, Datenschutz im Home-Office und die Nutzung von Collaboration-Tools sind weitere zentrale Themen.

IT-Dienstleister und Softwareunternehmen

Als Auftragsverarbeiter für ihre Kunden müssen IT-Unternehmen besonders hohe Standards einhalten. Der DSB überwacht die Einhaltung der AVV-Pflichten, prüft Subunternehmer-Ketten und stellt sicher, dass Entwicklungsprozesse den Grundsatz Privacy by Design berücksichtigen.

Interner vs. Externer Datenschutzbeauftragter — Aufgaben im Vergleich

Die gesetzlichen Aufgaben sind identisch — der wichtige Unterschied liegt in der Umsetzung, Qualität und Wirtschaftlichkeit. Für viele Unternehmen bietet ein externer Datenschutzbeauftragter klare Vorteile:

Kriterium	Interner DSB	Externer DSB
Kosten	Gehalt 60.000–80.000 EUR/Jahr + Fortbildung	Ab 150 EUR/Monat Pauschale
Kündigungsschutz	Besonderer Kündigungsschutz (§ 6 Abs. 4 BDSG)	Flexibel kündbar
Fachkunde	Muss fortlaufend geschult werden	Spezialisiert, branchenübergreifende Erfahrung
Interessenkonflikte	Risiko bei Doppelrollen (IT-Leiter, HR etc.)	Keine Interessenkonflikte
Haftung	Beschränkte Arbeitnehmerhaftung	Berufshaftpflicht des Dienstleisters
Verfügbarkeit	Urlaub, Krankheit = kein DSB	Vertretungsregelung garantiert

Ein externer DSB bringt Erfahrung aus verschiedenen Branchen mit und kennt typische Schwachstellen, die ein interner Mitarbeiter möglicherweise übersieht. Zudem entfällt das Risiko von Betriebsblindheit.

Direkt buchen — Externer Datenschutzbeauftragter als Monats-Abo

Transparente Pauschale: ab 250 € / Monat für KMU — ohne Mindestlaufzeit, inkl. DSGVO-Audit, Mitarbeiter-Schulung und VVT-Pflege. Bestellen Sie online und starten Sie noch diese Woche.

→ Jetzt externen DSB bestellen

Qualifikationen eines Datenschutzbeauftragten

Art. 37 Abs. 5 DSGVO fordert, dass der DSB auf Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird. Eine vollständige Übersicht der Voraussetzungen für Datenschutzbeauftragte finden Sie auf unserer dedizierten Seite. Folgende Anforderungen sind dabei wichtig:

Fachkunde

Ein qualifizierter DSB muss über fundierte Kenntnisse im nationalen und europäischen Datenschutzrecht verfügen. Dazu gehören die DSGVO, das BDSG, das TTDSG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) sowie branchenspezifische Regelungen. Zusätzlich sind Kenntnisse in IT-Sicherheit, Informationssicherheitsmanagement und Risikobewertung erforderlich. Anerkannte Zertifizierungen wie TÜV-DSB, DEKRA-DSB oder CIPP/E belegen die Fachkunde nachweisbar.

Zuverlässigkeit

Der DSB muss die ihm übertragenen Aufgaben zuverlässig und gewissenhaft erfüllen können. Das umfasst die Fähigkeit zur vertraulichen Behandlung sensibler Informationen, Sorgfalt in der Dokumentation und die Bereitschaft zur kontinuierlichen Fortbildung. Der DSB unterliegt der Verschwiegenheitspflicht nach Art. 38 Abs. 5 DSGVO.

Keine Interessenkonflikte

Gemäß Art. 38 Abs. 6 DSGVO darf der DSB keine anderen Aufgaben wahrnehmen, die zu einem Interessenkonflikt führen. In der Praxis bedeutet das: Geschäftsführer, IT-Leiter, Personalleiter oder Marketing-Verantwortliche können nicht gleichzeitig DSB sein. Dieses Risiko entfällt bei einem externen Datenschutzbeauftragten vollständig.

Haftung und Weisungsfreiheit des DSB

Weisungsfreiheit (Art. 38 Abs. 3 DSGVO)

Der Datenschutzbeauftragte darf bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung seiner Tätigkeit erhalten. Er berichtet unmittelbar der höchsten Managementebene. Diese Weisungsfreiheit ist zentral für die unabhängige Ausübung der DSB-Aufgaben und schützt den DSB vor unzulässiger Einflussnahme.

Haftung

Wichtig zu verstehen: Der DSB haftet nicht persönlich für Datenschutzverstöße des Unternehmens. Die Verantwortung für die Einhaltung der DSGVO liegt beim Verantwortlichen (Art. 24 DSGVO) — also bei der Geschäftsführung. Der DSB berät und überwacht, die finale Entscheidung und Umsetzung obliegt dem Unternehmen. Allerdings kann ein externer DSB im Rahmen seines Dienstvertrags haftbar gemacht werden, wenn er seine Beratungspflichten nachweislich verletzt — hier greift jedoch die Berufshaftpflichtversicherung.

Abberufungsschutz und Benachteiligungsverbot

Der DSB darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden (Art. 38 Abs. 3 Satz 2 DSGVO). Bei internen DSB gilt zusätzlich ein besonderer Kündigungsschutz nach § 6 Abs. 4 BDSG und § 38 Abs. 2 BDSG. Für Unternehmen kann das ein erhebliches Risiko darstellen — ein weiterer Grund, warum viele Firmen einen externen DSB bevorzugen.

Ab wann braucht Ihr Unternehmen einen Datenschutzbeauftragten?

Die Pflicht zur Benennung eines DSB ergibt sich aus Art. 37 DSGVO und § 38 BDSG. In Deutschland ist ein DSB zu benennen, wenn:

Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG)
Die Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung betroffener Personen besteht (Art. 37 Abs. 1 lit. b DSGVO)
Die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten, biometrische Daten etc.) besteht (Art. 37 Abs. 1 lit. c DSGVO)
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist (§ 38 Abs. 1 Satz 2 BDSG)
Es sich um eine öffentliche Stelle oder Behörde handelt (Art. 37 Abs. 1 lit. a DSGVO)

Tipp: Auch wenn keine Pflicht besteht, kann die freiwillige Benennung eines DSB sinnvoll sein, um Datenschutzrisiken frühzeitig zu erkennen und Bußgelder zu vermeiden.

DATUREX GmbH — Alle DSB-Aufgaben aus einer Hand

Als erfahrener externer Datenschutzbeauftragter bundesweit übernehmen wir sämtliche Aufgaben nach Art. 39 DSGVO für Ihr Unternehmen. Von der Erstberatung über regelmäßige Audits bis zur Zusammenarbeit mit der Aufsichtsbehörde — professionell, zuverlässig und zu planbaren Kosten.

Erstberatung kostenlos | Monatspauschale ab 150 EUR | Keine versteckten Kosten

Jetzt kostenlos beraten lassen

Weiterführende Informationen

Ergänzende Leistungen unserer Schwesterunternehmen

Brauchen Sie einen Datenschutzbeauftragten?

Die DATUREX GmbH übernimmt als externer Datenschutzbeauftragter alle gesetzlich vorgeschriebenen Aufgaben — zuverlässig, kompetent und DSGVO-konform.

Kostenlose Erstberatung anfragen

Oder rufen Sie uns direkt an: 0351 / 795 935 13

Benötigen Sie professionelle Unterstützung? Unser Datenschutzbeauftragter Dresden hilft Ihnen bei allen DSGVO-Fragen — bundesweit und zuverlässig.

TÜV-zertifizierter DSB-Service

Unternehmen ohne internen DSB-Kandidaten nutzen einen externer Datenschutzbeauftragter — TÜV+BSI+IHK-zertifiziert, über 500 Mandanten, ab 250 €/Monat. Jetzt kostenloses Erstgespräch vereinbaren.