Magazin
Ab wann ist ein Datenschutzbeauftragter Pflicht?

Ab wann ist ein Datenschutzbeauftragter Pflicht?

Letztes Update:
13
.
12
.
2024
Lesezeit:
0
Min
Der Datenschutz ist eine der wichtigsten Aufgaben für Unternehmen, die compliant und sicher mit Daten arbeiten wollen. Ein Datenschutzbeauftragter unterstützt Verantwortliche mit seinem Know-how – doch welche Unternehmen brauchen unbedingt einen Datenschutzbeauftragten und wann sollte man auf externes Fachwissen zurückgreifen?
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die wichtigsten Erkenntnisse
  • Datenschutzbeauftragter ab 20 Mitarbeitern mit automatisierter Datenverarbeitung Pflicht.
  • Unabhängig von Mitarbeiterzahl bei umfangreicher Verarbeitung besonderer Datenkategorien.
  • Hohe Bußgelder bis zu 10 Millionen Euro oder 2% des Jahresumsatzes bei Verstoß.
  • Alte Grenze von 10 Mitarbeitern vor dem 26.11.2019 außer Kraft gesetzt.
  • Teilzeitkräfte, Aushilfen und Praktikanten werden bei Mitarbeiterzählung voll berücksichtigt.

Datenschutzbeauftragte (DSB) sind Schlüsselperson für Unternehmen, die ihre Daten vor Missbrauch und Verlust und sich selbst vor Imageschäden und Bußgeldern schützen möchten. Egal ob Verantwortliche dafür eine Person aus dem Unternehmen oder einen externen Datenschutzbeauftragten bestellen: Ihre wichtigste Aufgabe ist es, die Datenschutzgrundverordnung (DSGVO) sicher umzusetzen.

Grundlagen: Welche Unternehmen müssen laut DSGVO einen Datenschutzbeauftragten bestellen?

Bei der Frage, ob ein Unternehmen einen Datenschutzbeauftragten bestellen muss oder nicht, gibt die DSGVO den rechtlichen Rahmen vor. Gemäß Art. 37 DSGVO muss ein Datenschutzbeauftragter benannt werden, wenn

  • eine Behörde oder eine öffentliche Stelle Daten verarbeitet – eine Ausnahme gilt nur für Gerichte, die bei der Datenverarbeitung in ihrer gerichtlichen Funktion handeln
  • die Kerntätigkeiten des Verantwortlichen oder Auftragsverarbeiters aus Datenverarbeitungsvorgängen bestehen, die eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen ermöglichen
  • der Verantwortliche oder Auftragsverarbeiter hauptsächlich besonders sensible Daten oder strafrechtlich relevante Daten verarbeitet

Was sind Kerntätigkeiten?

Kerntätigkeiten sind Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie maßgebend sind und keine routinemäßigen Verwaltungsaufgaben darstellen. Typischerweise üben Sachbearbeiter, Mitarbeitende im Vertrieb und in der IT-Abteilung sowie Personal- und Finanzabteilungen solche Kerntätigkeiten aus.  

Für Unternehmen wie Marktforschungsunternehmen, die Daten im Rahmen ihres Geschäftsmodells verarbeiten, ist die Benennung eines Datenschutzbeauftragten Pflicht. Außerdem gilt die Bestellungspflicht für Unternehmen, die in großem Umfang personenbezogene Daten verarbeiten, die  

  • besonderen Kategorien nach Art. 9 DSGVO entsprechen, zum Beispiel Gesundheitsdaten oder Daten zur Konfession und politische Meinungen
  • gemäß Art. 10 DSGVO im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten stehen

Keine Kerntätigkeit stellt dagegen in vielen Unternehmen die Verarbeitung von Mitarbeiterdaten vor. Der Grund: In der Regel stellt diese Art der Datenverarbeitung nur einen Unterstützungsprozess dar und gehört in diesem Fall nicht zur Haupttätigkeit eines Unternehmens.

Betrieblicher Datenschutzbeauftragter: Ab wie vielen Mitarbeitern ist er Pflicht?

Neben der DSGVO sind bei der Frage, ab wann man einen Datenschutzbeauftragten braucht, auch die Regelungen des Bundesdatenschutzgesetzes (BDSG) relevant für Unternehmen. Der deutsche Gesetzgeber konkretisiert mit § 38 BDSG die Anforderungen der DSGVO folgendermaßen:  

Ein betrieblicher Datenschutzbeauftragter ist zu bestellen, wenn in dem Betrieb in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.  

Die Datenverarbeitung ist zum Beispiel dann automatisiert, wenn Unternehmen dafür Tools wie Outlook oder Excel nutzen oder wenn Marketing- und Sales-Teams mit Softwarelösungen wie einem CRM-System arbeiten.  

Gut zu wissen: Die alte Fassung des BDSG verpflichtete Unternehmen bereits ab zehn Mitarbeitern dazu, einen Datenschutzbeauftragten zu benennen. Um Selbstständige und KMU bürokratisch zu entlasten, hat der Gesetzgeber die Mitarbeiterzahl auf 20 angehoben.  

Beachten Sie jedoch, dass Teilzeitkräfte, Aushilfen, freie Mitarbeitende, Leiharbeitende oder Praktikumskräfte bei der Bemessung der Anzahl der Personen voll berücksichtigt werden. Entscheidend ist immer, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.

Tipp: Es besteht keine Pflicht dazu, Ihren DSB schriftlich zu benennen. Gemäß Art. 37 DSGVO müssen Unternehmen der zuständigen Aufsichtsbehörde allerdings die Kontaktdaten ihres DSB mitteilen. Je nach Behörde ist die Meldung online möglich. Um die Mitteilung durchzurühren und um nachweisen zu können, dass Sie Ihren DSGVO- und BSDG-Pflichten nachgekommen sind und einen Datenschutzbeauftragten bestellt haben, sollten Sie die Bestellung deshalb dokumentieren. Nutzen Sie dafür unser kostenloses Muster.

Wann müssen Unternehmen mit weniger Beschäftigten einen DSB bestellen?

Unabhängig von der Zahl der Mitarbeiter gilt gemäß § 38 Absatz 1 Satz 2 BDSG die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO notwendig wird. Das ist zum Beispiel der Fall, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Das ist zum Beispiel im Zusammenhang mit Videoüberwachung der Fall.

Alles über die Datenschutzfolgenabschätzung lesen Sie in unserem Magazin.

Außerdem sind Unternehmen zur DSB-Benennung verpflichtet, wenn sie geschäftsmäßig personenbezogene Daten zum Zweck der (anonymisierten) Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Wann brauche ich einen externen Datenschutzbeauftragten?

Ist Ihr Unternehmen verpflichtet, einen Verantwortlichen für den Datenschutz zu benennen, können Sie das Thema intern aufhängen oder sich externe Unterstützung holen.

Wer darf Datenschutzbeauftragter sein laut DSGVO?

Mit dem Datenschutz in Ihrem Unternehmen dürfen Sie jeden Mitarbeiter betrauen, der bestimmte Voraussetzungen erfüllt. Dazu gehört zum Beispiel, dass die Person  

  • fachlich geeignet ist und  
  • über genügend Fachwissen verfügt,  

um ihre Aufgabe korrekt zu erfüllen.  

Erfahren Sie, welche Qualifikation Ihr Datenschutzbeauftragter mitbringen muss.

Intern vs. extern: Was ist besser?

Ein betrieblicher Datenschutzverantwortlicher kennt Ihre Prozesse und Kerntätigkeiten. Allerdings ist viel Weiterbildung notwendig, damit ein interner Datenschutzbeauftragter bei rechtlichen Neuerungen auf dem aktuellen Stand ist. Außerdem sind besteht das Risiko von Interessenkonflikten.

Externe Datenschutzbeauftragte müssen sich zwar mit Ihrem Unternehmen vertraut machen. Dafür bringen sie umfassende Fachkenntnisse im Datenschutz mit und sind mit den Besonderheiten und Herausforderungen Ihrer Branche vertraut.  

Tipp: Die wichtigsten Unterschiede und eine praktische Entscheidungshilfe stellen wir Ihnen in unserer Infografik kostenfrei zur Verfügung  

Das droht bei einem Verstoß gegen die DSB-Pflicht

Ist Ihr Unternehmen nach den Regeln der DSGVO und des BDSG zur Benennung eines Datenschutzbeauftragten verpflichtet, sollten Sie dieser Pflicht unbedingt nachgehen: Bekommt das Thema Datenschutz bei Ihnen nicht die nötige Aufmerksamkeit und passieren Verstöße gegen die DSGVO, drohen Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

Lesen Sie mehr zu den Kosten von Datenschutzverstößen

Braucht Ihr Unternehmen einen Datenschutzbeauftragten?

Wenn in Ihrem Unternehmen mehr als 20 Personen regelmäßig mit sensiblen Daten arbeiten, sollten Sie sich durch einen erfahrenen Datenschutzexperten unterstützen lassen. Wenn Sie das Thema Datenschutz ohne Aufwand und Interessenskonflikte behandeln möchten, begleiten unsere Experten Sie gern bei der Erfüllung der DSGVO-Vorgaben und räumen Ihnen bürokratische Hürden aus dem Weg.

FAQ zur DSB-Pflicht

Die wichtigsten Fragen und Antworten zur Pflicht, einen Datenschutzbeauftragten zu bestellen.

Ab wann muss ein Datenschutzbeauftragter bestellt werden?

Ein DSB muss bestellt werden, wenn in Ihrem Unternehmen mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl brauchen Unternehmen einen DSB, wenn ihre Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten besteht oder sie besonders risikoreiche Verarbeitungen durchführen. Das gilt zum Beispiel für Behörden.

Welche Mitarbeiter muss ich in die 20 Personen einberechnen, die Daten verarbeiten?

Zu den Personen, die laut BDSG relevant für die Pflicht zur Bestellung eines DSB sind, zählen neben festangestellten Vollzeitkräften auch Praktikanten, Teilzeitkräfte oder Freelancer. Voraussetzung ist, dass zu ihren Aufgaben die automatisierte Verarbeitung personenbezogener Daten gehört.

Brauchen Unternehmen mehrere Datenschutzbeauftragte?

Die DSGVO spricht von der Pflicht zur Benennung „eines“ DSB. Es ist zwar nicht ausdrücklich verboten einen zweiten zu benennen. Allerdings sprechen die institutionelle Einordnung sowie die Aufgaben des DSB dagegen. Ein stellvertretender Datenschutzbeauftragter kann sinnvoll sein und dem DSB zuarbeiten. Für öffentliche Stellen ist die Benennung mehrerer Datenschutzbeauftragter dagegen sogar unzulässig.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Datenschutzbeauftragter
Datenschutz im Unternehmen
DSGVO
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von datenschutzexperte.de dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Marcus Geck
Senior Privacy Manager
Seit 2023 berät Marcus bei datenschutzexperte.de in seiner Funktion als Senior Privacy Manager Kunden bei der praktischen Umsetzung der komplexen datenschutzrechtlichen Vorgaben. Durch seine langjährige Tätigkeit als Rechtsanwalt sowie Unternehmensberater im Bereich Datenschutz kennt der Volljurist und Europajurist die Herausforderungen, vor denen insbesondere kleine und mittlere Unternehmen stehen, genau.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

YouTube & Datenschutz: Hält sich die Video-Plattform an die DSGVO?
12
.
04
.
2021
YouTube & Datenschutz: Hält sich die Video-Plattform an die DSGVO?
Videos sind eines der wichtigsten Kommunikationsmittel unserer Zeit und YouTube eine der größten Video-Plattformen. Wie hält es die Streaming-Plattform YouTube mit den Themen Datenschutz und DSGVO?
Muster: Informationspflichten nach DSGVO
14
.
10
.
2024
Muster: Informationspflichten nach DSGVO
Die Datenschutzgrundverordnung (DSGVO) hat die Betroffenenrechte im Datenschutz umfassend gestärkt. So sieht die DSGVO nun umfangreiche Informationspflichten für Unternehmen vor. Das bedeutet, dass Unternehmen grundsätzlich in der Pflicht sind, betroffene Personen umfassend darüber zu informieren, wenn das Unternehmen personenbezogene Daten wie etwa Namen oder Mail-Adressen von dem Betroffenen verarbeitet. Im Besonderen zählen zu den betroffenen Personen Bewerber, Mitarbeiter, Geschäftspartner, Kunden und Interessenten. Reicht also beispielsweise ein Bewerber seine Bewerbungsunterlagen ein, so ist dieser Bewerber über die wesentlichen Rahmenbedingungen, wie seine Daten im Unternehmen verarbeitet werden, zu informieren.
Datenschutz in der Pflege
27
.
03
.
2025
Datenschutz in der Pflege
Ob stationäre oder ambulante Pflege – wir helfen Ihnen bei der Umsetzung der DSGVO in Ihrer Pflegeeinrichtung. Mit dem Fortschreiten der Digitalisierung, neuen gesetzlichen Regelungen wie der elektronischen Patientenakte (ePA) und dem Gesundheitsdatennutzungsgesetz (GDNG) steigen die Anforderungen an Pflegeeinrichtungen. Datenschutz ist integraler Bestandteil einer verantwortungsvollen Pflegepraxis.
Datenschutz-Management-System (DSMS): Warum Sie jetzt handeln sollten
19
.
06
.
2025
Datenschutz-Management-System (DSMS): Warum Sie jetzt handeln sollten
Datenschutzmanagement effizient und skalierbar aufbauen – das gelingt mit einem strukturierten Datenschutz-Management-System (DSMS). Unternehmen stehen heute unter wachsendem Druck: Kundenerwartungen, Prüfpflichten und gesetzliche Anforderungen. Ein DSMS schafft hier nicht nur Klarheit, sondern echte operative Entlastung. In diesem Artikel erfahren Sie, was ein DSMS ist, wie es sich vom allgemeinen Datenschutzmanagement unterscheidet, warum es fester Bestandteil jeder nachhaltigen Datenschutzstrategie sein sollte und wie Sie es in Ihrem Unternehmen implementieren.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

IT-Sicherheitskonzept erstellen: Ein Leitfaden für Unternehmen
01
.
07
.
2025
IT-Sicherheitskonzept erstellen: Ein Leitfaden für Unternehmen
Mit einem IT-Sicherheitskonzept verbessern Unternehmen den Schutz ihrer IT-Systeme und verhindern, dass sensible Daten durch Ausfälle oder Angriffe in falsche Hände geraten. Erfahren Sie alles über die Anforderungen an ein solches Konzept und wie Sie ein IT-Sicherheitskonzept für Ihr Unternehmen erstellen.
Aufbewahrungsfristen & Löschfristen nach DSGVO: Das müssen Unternehmen beachten
01
.
07
.
2025
Aufbewahrungsfristen & Löschfristen nach DSGVO: Das müssen Unternehmen beachten
Welche Aufbewahrungsfristen gelten in Unternehmen für personenbezogene Daten und wann müssen sie gelöscht werden? Den Überblick über verschiedene Anforderungen aus DSGVO, HGB und Co. zu behalten, ist gerade für Unternehmen mit komplexen Datenstrukturen eine Herausforderung. Erfahren Sie, wie Sie gesetzliche Fristen und DSGVO-Vorschriften in Einklang bringen und strategisch managen.
ISO 27001-Checkliste für Unternehmen: Der kompakte Leitfaden zur Zertifizierungsvorbereitung
30
.
06
.
2025
ISO 27001-Checkliste für Unternehmen: Der kompakte Leitfaden zur Zertifizierungsvorbereitung
Informationssicherheit ist heute kein Nice-to-have mehr – sondern Voraussetzung für Vertrauen und Geschäftskontinuität. Die ISO/IEC 27001-Zertifizierung ist der weltweit anerkannte Standard, um genau das systematisch abzusichern. Eine strukturierte Vorbereitung mit einer ISO 27001-Checkliste ist dabei unerlässlich – sie bringt Ordnung, Überblick und Klarheit in ein oft komplexes Vorhaben. In diesem Beitrag erhalten Sie eine verständliche Einführung in die ISO 27001, eine praxisnahe Checkliste für Ihre Zertifizierungsvorbereitung, sowie Zugang zu einer kostenlosen PDF-Checkliste inkl. Fragenkatalog.
Datenschutzverstoß im Unternehmen: Ist jeder Vorfall meldepflichtig?
30
.
06
.
2025
Datenschutzverstoß im Unternehmen: Ist jeder Vorfall meldepflichtig?
Ein Mitarbeiter hat einen USB-Stick in der Bahn vergessen oder ein E-Mail-Account im Unternehmen wurde gehackt? In diesem Artikel klären wir, ob jede Panne meldepflichtig ist und wie die DSGVO zwischen Verstößen und Verletzungen unterscheidet.
datenschutz-Muster

Kostenlose Materialien zum Thema

Verschwiegenheits­erklärung für Mitarbeiter
Stellen Sie mit unserer Verschwiegenheits­erklärung sicher, dass sensible Informationen im Unternehmen bleiben und reduzieren Sie das Risiko von Datenschutzverstößen und Abmahnungen.
Datenschutzerklärung für Kunden
Erfüllen Sie mit unserer Vorlage die DSGVO-Datenschutzinformationspflicht für Ihre Kunden.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell einen Datenschutzexperten mit unserer Bestellurkunde.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!