Datenschutz & Compliance

Datenschutzbeauftragter: intern oder extern bestellen – was passt für Ihr Unternehmen?

8 Min. Lesezeit
Kurze Antwort

Wer mindestens 20 Personen regelmäßig mit automatisierter Datenverarbeitung beschäftigt oder im Kerngeschäft sensible Daten verarbeitet, braucht einen Datenschutzbeauftragten – intern oder extern.

Ein Datenschutzbeauftragter ist kein Feind der Effizienz – er ist der Anwalt Ihrer Kunden und Ihr Schutzschild vor Bußgeldern.

Wer braucht einen Datenschutzbeauftragten?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) ergibt sich in Deutschland aus Art. 37 DSGVO und § 38 BDSG. Die Regelungen greifen in drei Konstellationen: Erstens, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zweitens, wenn das Kerngeschäft in der Verarbeitung besonderer Kategorien personenbezogener Daten besteht (Gesundheit, biometrische Daten, politische Meinungen, religiöse Überzeugungen etc.). Drittens, wenn das Kerngeschäft die umfangreiche, systematische Überwachung von Personen beinhaltet.

Die 20-Personen-Schwelle gilt nicht für alle Mitarbeiter im Unternehmen, sondern nur für jene, die tatsächlich mit der automatisierten Datenverarbeitung befasst sind. Auch Teilzeitkräfte und externe Dienstleister zählen dazu, wenn sie regelmäßig mit Kundendaten, Personalakten oder ähnlichen Informationen arbeiten.

Selbst wenn keine gesetzliche Pflicht besteht, kann eine freiwillige Bestellung sinnvoll sein – sie signalisiert Kunden und Geschäftspartnern Datenschutzreife und kann bei Ausschreibungen und Audits entscheidend sein.

Aufgaben des Datenschutzbeauftragten

Der DSB ist kein Kontrolleur, der die Arbeit blockiert, sondern ein interner Berater, der Verarbeitungstätigkeiten datenschutzkonform gestaltet. Seine Kernaufgaben nach Art. 39 DSGVO umfassen die Unterrichtung und Beratung der Verantwortlichen und der Mitarbeiter über ihre Datenschutzpflichten, die Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften, die Beratung bei Datenschutz-Folgenabschätzungen (DSFA) sowie die Zusammenarbeit mit der Aufsichtsbehörde.

Darüber hinaus ist der DSB Anlaufstelle für Betroffene, also für Kunden, Mitarbeiter oder andere Personen, deren Daten verarbeitet werden. Er beantwortet Auskunftsersuchen, begleitet Löschanfragen und vermittelt bei Beschwerden. Eine zentrale, gut zugängliche Kontaktmöglichkeit für den DSB ist nicht nur gesetzlich vorgeschrieben, sondern auch aus Sicht des Kundenvertrauens wertvoll.

Der DSB muss außerdem Schulungen planen und durchführen, um das Datenschutzbewusstsein im gesamten Unternehmen auf einem aktuellen Stand zu halten. Gerade bei der Einführung neuer Software, Prozesse oder Dienstleister ist seine frühzeitige Einbindung entscheidend, um teure Nachbesserungen zu vermeiden.

Interner DSB – Vorteile und Risiken

  • Vorteil: Kenntnis der internen Abläufe und Unternehmenskultur
  • Vorteil: Unmittelbare Verfügbarkeit und kurze Kommunikationswege
  • Vorteil: Geringere laufende Kosten bei guter interner Kapazität
  • Risiko: Interessenkonflikt bei unvereinbaren Funktionen (z.B. IT-Leiter als DSB)
  • Risiko: Haftung des Unternehmens bei Fehlern des internen DSB
  • Risiko: Kapazitätsprobleme bei Haupttätigkeit – Datenschutz als Nebenbei-Aufgabe
  • Risiko: Kündigungsschutz des DSB gilt auch intern und kann problematisch sein

Externer DSB – Vorteile und Nachteile

  • Vorteil: Vollständige Unabhängigkeit – kein Interessenkonflikt möglich
  • Vorteil: Spezialisiertes Fachwissen und aktuelle Rechtskenntnisse
  • Vorteil: Haftungsversicherung des DSB schützt das Unternehmen
  • Vorteil: Skalierbar – Leistungsumfang flexibel anpassbar
  • Nachteil: Höhere laufende Kosten als ein nebenbei tätiger interner DSB
  • Nachteil: Anfangs weniger Kenntnis der spezifischen Unternehmensabläufe
  • Nachteil: Abstrakte Kommunikation erfordert klare Prozesse und Erreichbarkeit

Wie wählt man den richtigen externen DSB aus?

Die Wahl des externen DSB ist eine Entscheidung mit langfristiger Wirkung. Wichtigste Kriterien: Der DSB muss die notwendige Fachkunde besitzen (Art. 37 Abs. 5 DSGVO) – das umfasst juristisches Datenschutzwissen ebenso wie Kenntnisse der eingesetzten Technologien und der Branche. Ein Zertifikat allein ist kein Qualitätsmerkmal; entscheidend ist nachweisliche Praxiserfahrung.

Der Vertrag mit dem externen DSB sollte die konkreten Leistungspflichten (Beratungsstunden, Reaktionszeiten, regelmäßige Audits, Schulungsangebote), die Haftungsregelung, die Verschwiegenheitspflicht, die Vergütung und die Kündigungsmodalitäten präzise regeln. Ein pauschaler Dienstleistungsvertrag ohne messbare Leistungsindikatoren ist erfahrungsgemäß eine schlechte Basis.

Fragen Sie bei der Auswahl: Wie viele Mandate betreut der DSB gleichzeitig? Wie schnell reagiert er auf dringende Anfragen? Hat er Erfahrung in Ihrer Branche? Kann er Referenzen vorweisen? Bietet er auch Mitarbeiterschulungen an? Ein guter externer DSB ist kein Briefkasten für Datenschutzfragen, sondern ein aktiver Partner.

Bestellung des DSB – was rechtlich zu beachten ist

  1. Schriftliche Bestellungsurkunde

    Die Bestellung des DSB muss schriftlich erfolgen und die Aufgaben klar definieren. Bei einem externen DSB ist dies Teil des Dienstleistungsvertrags. Eine formlose E-Mail reicht nicht aus.

  2. Meldung an die Aufsichtsbehörde

    Der DSB muss der zuständigen Datenschutzaufsichtsbehörde (in NRW: LDI NRW) gemeldet werden – Name, Kontaktdaten und Funktion. Die Meldung erfolgt in der Regel online und ist kostenlos.

  3. Kontaktdaten veröffentlichen

    Die Kontaktdaten des DSB müssen im Impressum und in der Datenschutzerklärung der Website veröffentlicht werden (Art. 37 Abs. 7 DSGVO). Betroffene müssen den DSB direkt erreichen können.

  4. Abberufungsschutz beachten

    Ein bestellter DSB darf nicht wegen der Ausübung seiner Aufgaben abberufen oder benachteiligt werden. Die Abberufung ist nur aus wichtigem Grund möglich. Das gilt sowohl für interne als auch externe DSB.

INREMA-Empfehlung für KMU

Für die meisten KMU mit 20–100 Mitarbeitern ist ein externer DSB die wirtschaftlich und rechtlich sicherere Wahl. Der Kostenvorteil eines internen DSB verpufft schnell, wenn der Interessenkonflikt zu einem Bußgeldverfahren führt oder der interne DSB schlicht keine Zeit für seine Datenschutzaufgaben findet. Ein guter externer DSB kostet zwischen 150 und 400 Euro monatlich – angesichts der Bußgeldrisiken ein überschaubarer Betrag.

Zusammenfassung

Zusammenfassung
  • DSB-Pflicht bei 20+ Personen in automatisierter Verarbeitung oder sensiblen Kerndaten
  • Interner DSB: günstiger, aber anfällig für Interessenkonflikte und Kapazitätsprobleme
  • Externer DSB: unabhängiger, fachkundiger, haftungsversichert – empfohlen für die meisten KMU
  • Bestellung muss schriftlich erfolgen, an Aufsichtsbehörde gemeldet und auf der Website veröffentlicht werden

Jetzt beraten lassen

INREMA berät Sie bei der Wahl und Bestellung des richtigen Datenschutzbeauftragten. Sprechen Sie uns an – wir kennen die Anforderungen in OWL und NRW.

Beratung anfragen

Häufige Fragen

Kann der Geschäftsführer selbst als DSB fungieren?
Nein. Der Geschäftsführer (oder andere Leitungspersonen) kann nicht gleichzeitig der verantwortliche Unternehmensleiter und der kontrollierende DSB sein – das wäre ein klassischer Interessenkonflikt. Art. 38 Abs. 6 DSGVO schließt Positionen aus, die Datenschutzziele mit den eigenen Aufgaben unvereinbar machen.
Was kostet ein externer Datenschutzbeauftragter?
Je nach Leistungsumfang und Unternehmensgröße zwischen 150 und 400 Euro pro Monat für KMU. Dabei sind in der Regel eine Grundbetreuung, eine festgelegte Anzahl an Beratungsstunden, Schulungen und die Reaktion auf Datenpannen enthalten. Einzelne DSFA-Projekte oder aufwändige Audits können zusätzlich abgerechnet werden.
Was passiert, wenn kein DSB bestellt wird, obwohl er Pflicht wäre?
Die Aufsichtsbehörde kann ein Bußgeld verhängen – bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Darüber hinaus kann die Behörde die Bestellung anordnen. In der Praxis werden zunächst Verwarnungen ausgesprochen, aber das Risiko sollte nicht unterschätzt werden.
Muss der DSB in Vollzeit tätig sein?
Nein. Es gibt keine gesetzliche Mindeststundenzahl. Entscheidend ist, dass der DSB seine Aufgaben effektiv erfüllen kann. Bei einem KMU mit überschaubarer Datenmenge reicht oft eine Teilzeitbetreuung. Wichtig ist, dass ausreichend Zeit für die tatsächlichen Datenschutzaufgaben vorhanden ist – ein DSB, der sich 2 Stunden im Monat kümmert, wird in der Praxis seinen Pflichten kaum nachkommen können.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Auftragsverarbeitung: Welche Verträge Unternehmen mit ihren Dienstleistern brauchen
6 Min. Lesezeit
Datenschutz & Compliance
AVV-Checkliste: Mit welchen Dienstleistern Sie einen Vertrag brauchen
8 Min. Lesezeit
Datenschutz & Compliance
Betroffenenanfrage korrekt beantworten: Fristen und Inhalt
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen