Magazin
Ab wann ist ein Datenschutzbeauftragter Pflicht?

Ab wann ist ein Datenschutzbeauftragter Pflicht?

Letztes Update:
13
.
12
.
2024
Lesezeit:
0
Min
Der Datenschutz ist eine der wichtigsten Aufgaben für Unternehmen, die compliant und sicher mit Daten arbeiten wollen. Ein Datenschutzbeauftragter unterstützt Verantwortliche mit seinem Know-how – doch welche Unternehmen brauchen unbedingt einen Datenschutzbeauftragten und wann sollte man auf externes Fachwissen zurückgreifen?
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die wichtigsten Erkenntnisse
  • Datenschutzbeauftragter ab 20 Mitarbeitern mit automatisierter Datenverarbeitung Pflicht.
  • Unabhängig von Mitarbeiterzahl bei umfangreicher Verarbeitung besonderer Datenkategorien.
  • Hohe Bußgelder bis zu 10 Millionen Euro oder 2% des Jahresumsatzes bei Verstoß.
  • Alte Grenze von 10 Mitarbeitern vor dem 26.11.2019 außer Kraft gesetzt.
  • Teilzeitkräfte, Aushilfen und Praktikanten werden bei Mitarbeiterzählung voll berücksichtigt.

Datenschutzbeauftragte (DSB) sind Schlüsselperson für Unternehmen, die ihre Daten vor Missbrauch und Verlust und sich selbst vor Imageschäden und Bußgeldern schützen möchten. Egal ob Verantwortliche dafür eine Person aus dem Unternehmen oder einen externen Datenschutzbeauftragten bestellen: Ihre wichtigste Aufgabe ist es, die Datenschutzgrundverordnung (DSGVO) sicher umzusetzen.

Grundlagen: Welche Unternehmen müssen laut DSGVO einen Datenschutzbeauftragten bestellen?

Bei der Frage, ob ein Unternehmen einen Datenschutzbeauftragten bestellen muss oder nicht, gibt die DSGVO den rechtlichen Rahmen vor. Gemäß Art. 37 DSGVO muss ein Datenschutzbeauftragter benannt werden, wenn

  • eine Behörde oder eine öffentliche Stelle Daten verarbeitet – eine Ausnahme gilt nur für Gerichte, die bei der Datenverarbeitung in ihrer gerichtlichen Funktion handeln
  • die Kerntätigkeiten des Verantwortlichen oder Auftragsverarbeiters aus Datenverarbeitungsvorgängen bestehen, die eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen ermöglichen
  • der Verantwortliche oder Auftragsverarbeiter hauptsächlich besonders sensible Daten oder strafrechtlich relevante Daten verarbeitet

Was sind Kerntätigkeiten?

Kerntätigkeiten sind Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie maßgebend sind und keine routinemäßigen Verwaltungsaufgaben darstellen. Typischerweise üben Sachbearbeiter, Mitarbeitende im Vertrieb und in der IT-Abteilung sowie Personal- und Finanzabteilungen solche Kerntätigkeiten aus.  

Für Unternehmen wie Marktforschungsunternehmen, die Daten im Rahmen ihres Geschäftsmodells verarbeiten, ist die Benennung eines Datenschutzbeauftragten Pflicht. Außerdem gilt die Bestellungspflicht für Unternehmen, die in großem Umfang personenbezogene Daten verarbeiten, die  

  • besonderen Kategorien nach Art. 9 DSGVO entsprechen, zum Beispiel Gesundheitsdaten oder Daten zur Konfession und politische Meinungen
  • gemäß Art. 10 DSGVO im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten stehen

Keine Kerntätigkeit stellt dagegen in vielen Unternehmen die Verarbeitung von Mitarbeiterdaten vor. Der Grund: In der Regel stellt diese Art der Datenverarbeitung nur einen Unterstützungsprozess dar und gehört in diesem Fall nicht zur Haupttätigkeit eines Unternehmens.

Betrieblicher Datenschutzbeauftragter: Ab wie vielen Mitarbeitern ist er Pflicht?

Neben der DSGVO sind bei der Frage, ab wann man einen Datenschutzbeauftragten braucht, auch die Regelungen des Bundesdatenschutzgesetzes (BDSG) relevant für Unternehmen. Der deutsche Gesetzgeber konkretisiert mit § 38 BDSG die Anforderungen der DSGVO folgendermaßen:  

Ein betrieblicher Datenschutzbeauftragter ist zu bestellen, wenn in dem Betrieb in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.  

Die Datenverarbeitung ist zum Beispiel dann automatisiert, wenn Unternehmen dafür Tools wie Outlook oder Excel nutzen oder wenn Marketing- und Sales-Teams mit Softwarelösungen wie einem CRM-System arbeiten.  

Gut zu wissen: Die alte Fassung des BDSG verpflichtete Unternehmen bereits ab zehn Mitarbeitern dazu, einen Datenschutzbeauftragten zu benennen. Um Selbstständige und KMU bürokratisch zu entlasten, hat der Gesetzgeber die Mitarbeiterzahl auf 20 angehoben.  

Beachten Sie jedoch, dass Teilzeitkräfte, Aushilfen, freie Mitarbeitende, Leiharbeitende oder Praktikumskräfte bei der Bemessung der Anzahl der Personen voll berücksichtigt werden. Entscheidend ist immer, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.

Tipp: Es besteht keine Pflicht dazu, Ihren DSB schriftlich zu benennen. Gemäß Art. 37 DSGVO müssen Unternehmen der zuständigen Aufsichtsbehörde allerdings die Kontaktdaten ihres DSB mitteilen. Je nach Behörde ist die Meldung online möglich. Um die Mitteilung durchzurühren und um nachweisen zu können, dass Sie Ihren DSGVO- und BSDG-Pflichten nachgekommen sind und einen Datenschutzbeauftragten bestellt haben, sollten Sie die Bestellung deshalb dokumentieren. Nutzen Sie dafür unser kostenloses Muster.

Wann müssen Unternehmen mit weniger Beschäftigten einen DSB bestellen?

Unabhängig von der Zahl der Mitarbeiter gilt gemäß § 38 Absatz 1 Satz 2 BDSG die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO notwendig wird. Das ist zum Beispiel der Fall, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Das ist zum Beispiel im Zusammenhang mit Videoüberwachung der Fall.

Alles über die Datenschutzfolgenabschätzung lesen Sie in unserem Magazin.

Außerdem sind Unternehmen zur DSB-Benennung verpflichtet, wenn sie geschäftsmäßig personenbezogene Daten zum Zweck der (anonymisierten) Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Wann brauche ich einen externen Datenschutzbeauftragten?

Ist Ihr Unternehmen verpflichtet, einen Verantwortlichen für den Datenschutz zu benennen, können Sie das Thema intern aufhängen oder sich externe Unterstützung holen.

Wer darf Datenschutzbeauftragter sein laut DSGVO?

Mit dem Datenschutz in Ihrem Unternehmen dürfen Sie jeden Mitarbeiter betrauen, der bestimmte Voraussetzungen erfüllt. Dazu gehört zum Beispiel, dass die Person  

  • fachlich geeignet ist und  
  • über genügend Fachwissen verfügt,  

um ihre Aufgabe korrekt zu erfüllen.  

Erfahren Sie, welche Qualifikation Ihr Datenschutzbeauftragter mitbringen muss.

Intern vs. extern: Was ist besser?

Ein betrieblicher Datenschutzverantwortlicher kennt Ihre Prozesse und Kerntätigkeiten. Allerdings ist viel Weiterbildung notwendig, damit ein interner Datenschutzbeauftragter bei rechtlichen Neuerungen auf dem aktuellen Stand ist. Außerdem sind besteht das Risiko von Interessenkonflikten.

Externe Datenschutzbeauftragte müssen sich zwar mit Ihrem Unternehmen vertraut machen. Dafür bringen sie umfassende Fachkenntnisse im Datenschutz mit und sind mit den Besonderheiten und Herausforderungen Ihrer Branche vertraut.  

Tipp: Die wichtigsten Unterschiede und eine praktische Entscheidungshilfe stellen wir Ihnen in unserer Infografik kostenfrei zur Verfügung  

Das droht bei einem Verstoß gegen die DSB-Pflicht

Ist Ihr Unternehmen nach den Regeln der DSGVO und des BDSG zur Benennung eines Datenschutzbeauftragten verpflichtet, sollten Sie dieser Pflicht unbedingt nachgehen: Bekommt das Thema Datenschutz bei Ihnen nicht die nötige Aufmerksamkeit und passieren Verstöße gegen die DSGVO, drohen Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

Lesen Sie mehr zu den Kosten von Datenschutzverstößen

Braucht Ihr Unternehmen einen Datenschutzbeauftragten?

Wenn in Ihrem Unternehmen mehr als 20 Personen regelmäßig mit sensiblen Daten arbeiten, sollten Sie sich durch einen erfahrenen Datenschutzexperten unterstützen lassen. Wenn Sie das Thema Datenschutz ohne Aufwand und Interessenskonflikte behandeln möchten, begleiten unsere Experten Sie gern bei der Erfüllung der DSGVO-Vorgaben und räumen Ihnen bürokratische Hürden aus dem Weg.

FAQ zur DSB-Pflicht

Die wichtigsten Fragen und Antworten zur Pflicht, einen Datenschutzbeauftragten zu bestellen.

Ab wann muss ein Datenschutzbeauftragter bestellt werden?

Ein DSB muss bestellt werden, wenn in Ihrem Unternehmen mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl brauchen Unternehmen einen DSB, wenn ihre Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten besteht oder sie besonders risikoreiche Verarbeitungen durchführen. Das gilt zum Beispiel für Behörden.

Welche Mitarbeiter muss ich in die 20 Personen einberechnen, die Daten verarbeiten?

Zu den Personen, die laut BDSG relevant für die Pflicht zur Bestellung eines DSB sind, zählen neben festangestellten Vollzeitkräften auch Praktikanten, Teilzeitkräfte oder Freelancer. Voraussetzung ist, dass zu ihren Aufgaben die automatisierte Verarbeitung personenbezogener Daten gehört.

Brauchen Unternehmen mehrere Datenschutzbeauftragte?

Die DSGVO spricht von der Pflicht zur Benennung „eines“ DSB. Es ist zwar nicht ausdrücklich verboten einen zweiten zu benennen. Allerdings sprechen die institutionelle Einordnung sowie die Aufgaben des DSB dagegen. Ein stellvertretender Datenschutzbeauftragter kann sinnvoll sein und dem DSB zuarbeiten. Für öffentliche Stellen ist die Benennung mehrerer Datenschutzbeauftragter dagegen sogar unzulässig.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Datenschutzbeauftragter
Datenschutz im Unternehmen
DSGVO
Redaktion
Sabrina Quente
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von datenschutzexperte.de dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Marcus Geck
Senior Privacy Manager
Seit 2023 berät Marcus bei datenschutzexperte.de in seiner Funktion als Senior Privacy Manager Kunden bei der praktischen Umsetzung der komplexen datenschutzrechtlichen Vorgaben. Durch seine langjährige Tätigkeit als Rechtsanwalt sowie Unternehmensberater im Bereich Datenschutz kennt der Volljurist und Europajurist die Herausforderungen, vor denen insbesondere kleine und mittlere Unternehmen stehen, genau.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Integrität von Daten: Bedeutung für Unternehmen erklärt
13
.
12
.
2024
Integrität von Daten: Bedeutung für Unternehmen erklärt
Die Integrität von Daten ist eines von drei Schutzzielen der Informationssicherheit. Erfahren Sie, warum Datenintegrität so wichtig für Unternehmen ist und mit welchen Maßnahmen Sie die Integrität Ihrer Daten gewährleisten können.
Wie Unternehmen KI datenschutzkonform einsetzen können
10
.
12
.
2024
Wie Unternehmen KI datenschutzkonform einsetzen können
Der Einsatz von Künstlicher Intelligenz (KI) bietet Unternehmen immense Chancen: Von der Automatisierung von Geschäftsprozessen über die Analyse großer Datenmengen bis hin zur Optimierung von Kundenerlebnissen. Doch der Einsatz von KI wirft auch Fragen auf, insbesondere im Hinblick auf den Datenschutz und die Einhaltung der Datenschutz-Grundverordnung (DSGVO). Viele Unternehmen fragen sich: Wie können wir KI nutzen, ohne gegen Datenschutzvorschriften zu verstoßen?
Datenschutztrends 2025: Diese Entwicklungen sollten Sie im Blick haben
10
.
12
.
2024
Datenschutztrends 2025: Diese Entwicklungen sollten Sie im Blick haben
Die Aufgabe, personenbezogene Daten und Informationen zu schützen, begleitet Unternehmen das ganze Jahr lang. Doch es gibt Trends, die 2025 besondere Aufmerksamkeit erfordern. Erfahren Sie, welche 5 Datenschutztrends Sie nicht verpassen sollten.
Datensicherung: Ein umfassender Leitfaden für Unternehmen
09
.
12
.
2024
Datensicherung: Ein umfassender Leitfaden für Unternehmen
Unternehmen müssen ihre Daten nicht nur vor ungewolltem Zugriff durch Fremde schützen, sondern auch vor Verlust. Aus diesem Grund sollte die Datensicherung ein fester Bestandteil Ihrer Datenschutz- und Informationssicherheitsstrategie sein. Dieser Leitfaden zeigt, worauf es ankommt.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Bewerber
Erfüllen Sie die DSGVO-Datenschutzpflicht für Bewerber mit unserer Vorlage einfach & sicher.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Vertraulichkeits- und Verschwiegenheits­erklärung Mitarbeiter
Stellen Sie mit unserem Muster sicher, dass Mitarbeiter DSGVO-konform auf Vertraulichkeit verpflichtet sind. So vermeiden Sie Datenschutzverstöße und Abmahnungen.
Datenschutzerklärung Vorlage & Muster
Nutzen Sie unsere kostenlose Datenschutzerklärung Vorlage und setzen Sie die DSGVO sicher um.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!