Auf einen Blick: Ein Datenschutzbeauftragter ist in Deutschland ab 20 Personen mit Datenzugriff Pflicht – unabhängig von der Unternehmensgröße gibt es aber weitere Fallstricke. Dieser Artikel klärt, wann du einen brauchst (und wann nicht).
Gesetzliche Grundlage: DSGVO + BDSG
Artikel 37 DSGVO regelt die Benennung auf EU-Ebene. Deutschland hat im § 38 BDSG eine strengere nationale Regelung hinzugefügt – deshalb gelten für deutsche Unternehmen andere Schwellen als in manchen EU-Ländern.
Wann ist ein Datenschutzbeauftragter Pflicht?
Regel 1: Ab 20 Personen mit Datenzugriff (§ 38 BDSG)
Ein betrieblicher DSB ist Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Wer zählt dazu?
- Alle Mitarbeitenden (Voll- und Teilzeit, Minijobber, Praktikanten)
- die regelmäßig mit Kundendaten, CRM, Buchhaltung, E‑Mails arbeiten
- Freie Mitarbeiter (wenn dauerhaft eingebunden und mit Datenzugriff)
⚠️ Achtung: Es geht nicht um die Gesamtzahl der Mitarbeitenden, sondern um die Zahl derjenigen, die dauerhaft Daten verarbeiten.
Regel 2: Risikoreiche Verarbeitungen (unabhängig von der Größe)
Ein DSB ist immer Pflicht bei:
| Verarbeitungsart | Beispiele |
|---|---|
| Umfangreiche systematische Überwachung | Videoüberwachung, Tracking von Nutzern, Profiling |
| Besondere Datenkategorien in großem Umfang | Gesundheitsdaten (Arzt, Apotheke), religiöse Überzeugungen, biometrische Daten |
| Kerntätigkeit ist Datenverarbeitung | Online-Marketing-Agentur, Datenanalyse-Unternehmen |
Typische Beispiele
| Situation | DSB Pflicht? |
|---|---|
| Einzelunternehmer, 0 Mitarbeiter, keine Sonderdaten | Nein |
| Freelancer mit 3 freien Mitarbeitern | Nein |
| Online-Shop mit 25 Mitarbeitenden | Ja (20er-Grenze überschritten) |
| Arztpraxis mit 8 Beschäftigten | Ja (Gesundheitsdaten in großem Umfang) |
| Marketing-Agentur mit 5 Personen, die Profiling betreibt | Ja (risk. Kerntätigkeit) |
Intern oder extern – was ist besser?
Interner DSB
- Vorhandener Mitarbeitender übernimmt die Rolle
- Muss ausreichend qualifiziert sein
- Darf keinen Interessenkonflikt haben (kein IT-Leiter, der seine eigene Arbeit überwacht)
- Braucht Zeit und Weiterbildung
Externer DSB
- Spezialisierter Dienstleister
- Für KMU oft kostengünstiger als interne Lösung
- Monatliche Pauschalen meist: 500–1.500 €/Monat
- Sofort produktiv, regelmäßige Updates, Audit-Unterstützung
💡 Tipp: Für Unternehmen unter 50 Mitarbeitenden ist ein externer DSB fast immer die wirtschaftlich sinnvollere Wahl.
Aufgaben des Datenschutzbeauftragten
Ein DSB muss:
- Verarbeitungsverzeichnis prüfen und pflegen
- Mitarbeitende schulen
- Datenschutzfolgenabschätzungen (DSFA) durchführen
- Als Ansprechpartner für Behörden und Betroffene fungieren
- Datenpannen bewerten und ggf. melden
- Auftragsverarbeitungsverträge prüfen
Was gilt ohne DSB?
Auch ohne Pflicht zur Benennung eines DSB gelten alle DSGVO-Anforderungen:
- Datenschutzerklärung
- Verzeichnis von Verarbeitungstätigkeiten
- AVVs mit Auftragsverarbeitern
- Reaktion auf Betroffenenrechte
- Meldung von Datenpannen
Kleinunternehmer sind zwar nicht zur Benennung verpflichtet, aber vollständig verantwortlich für die Einhaltung.
Datenschutzbeauftragten finden
- BVDSG (Bundesverband der Datenschutzbeauftragten): bvdsg.de
- GDD (Gesellschaft für Datenschutz und Datensicherung): gdd.de/fachkompetenz/dsb-vermittlung
- Regionale IHKs und Handelskammern haben oft Empfehlungslisten
Fazit
Für die meisten Einzelunternehmer und Kleinstunternehmen ist kein formeller Datenschutzbeauftragter nötig – aber ab 20 Personen mit Datenzugriff oder bei risikoreichen Verarbeitungen sollte man nicht zögern. Externe DSBs sind kostengünstig und bringen direkt Fachwissen mit, das intern schwer aufzubauen ist.