Gesetzliche Grundlagen: DSGVO und BDSG
Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus zwei Rechtsquellen: der europäischen Datenschutz-Grundverordnung (DSGVO) und dem deutschen Bundesdatenschutzgesetz (BDSG). Deutschland nutzt die Öffnungsklausel der DSGVO und stellt strengere nationale Anforderungen.
DSGVO Art. 37 – Europäische Pflicht: Nach der DSGVO müssen Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten benennen, wenn die Kerntätigkeit in der umfangreichen regelmäßigen und systematischen Überwachung von betroffenen Personen besteht oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) oder strafrechtlicher Daten (Art. 10 DSGVO) liegt. Behörden und öffentliche Stellen müssen grundsätzlich immer einen DSB bestellen.
BDSG § 38 – Deutsche Sonderregelung: Das BDSG geht über die DSGVO hinaus und verlangt die Bestellung eines DSB, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Schwelle wurde 2019 von 10 auf 20 Personen angehoben.
Wann ist ein DSB Pflicht? Die konkreten Fälle
Die folgende Übersicht fasst zusammen, in welchen Situationen Ihr Unternehmen einen Datenschutzbeauftragten bestellen muss:
| Rechtsgrundlage | Auslöser | Beispiele |
|---|---|---|
| BDSG § 38 Abs. 1 | 20+ Personen bei automatisierter Datenverarbeitung | Unternehmen mit 20+ Büromitarbeitern, die E-Mail oder CRM nutzen |
| DSGVO Art. 37 Abs. 1 lit. b | Umfangreiche systematische Überwachung | Tracking-Unternehmen, Bewertungsportale, Auskunfteien |
| DSGVO Art. 37 Abs. 1 lit. c | Umfangreiche Verarbeitung besonderer Datenkategorien | Krankenhäuser, Versicherungen, Labore |
| BDSG § 38 Abs. 1 Satz 2 | Datenschutz-Folgenabschätzung erforderlich | Videoüberwachung, Profiling, Scoring |
| BDSG § 38 Abs. 1 Satz 2 | Geschäftsmäßige Datenübermittlung oder Marktforschung | Adresshandel, Marktforschungsinstitute |
| DSGVO Art. 37 Abs. 1 lit. a | Behörde oder öffentliche Stelle | Bundes- und Landesbehörden, Kommunen |
Wichtig: Auch wenn keine gesetzliche Pflicht besteht, kann die freiwillige Bestellung eines DSB sinnvoll sein, um Datenschutz-Compliance sicherzustellen und das Vertrauen von Kunden und Geschäftspartnern zu stärken.
Interner vs. externer Datenschutzbeauftragter
Unternehmen haben die Wahl zwischen einem internen und einem externen DSB. Beide Varianten haben Vor- und Nachteile, die bei der Entscheidung abgewogen werden sollten.
Interner Datenschutzbeauftragter:
- Kennt die internen Prozesse und die Unternehmenskultur
- Ist ständig verfügbar und direkt ansprechbar
- Genießt besonderen Kündigungsschutz nach BDSG § 38 Abs. 2 i.V.m. § 6 Abs. 4
- Muss über ausreichende Zeitressourcen verfügen (keine Interessenkonflikte)
- Erfordert regelmäßige Weiterbildung auf Kosten des Arbeitgebers
Externer Datenschutzbeauftragter:
- Bringt breite Erfahrung aus verschiedenen Branchen mit
- Kein Kündigungsschutz, flexiblere Vertragsgestaltung
- Objektiver Blick von außen, weniger Betriebsblindheit
- Kosten kalkulierbar (Dienstleistungsvertrag)
- Muss ebenfalls alle Qualifikationsanforderungen erfüllen
Qualifikationsanforderungen an den DSB
Gemäß DSGVO Art. 37 Abs. 5 wird der DSB auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benannt. Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) empfiehlt folgende Qualifikationen:
| Qualifikation / Zertifizierung | Anbieter | Schwerpunkt |
|---|---|---|
| Datenschutzbeauftragter (TÜV) | TÜV-Akademien | DSGVO, BDSG, Praxis |
| CIPP/E (Certified Information Privacy Professional/Europe) | IAPP | Europäisches Datenschutzrecht |
| CIPM (Certified Information Privacy Manager) | IAPP | Datenschutzmanagement |
| Datenschutzauditor (DEKRA) | DEKRA | Audit und Kontrolle |
| GDDcert. (GDD-Zertifikat) | GDD e.V. | Betrieblicher Datenschutz |
Neben formalen Qualifikationen muss ein DSB über juristische Grundkenntnisse, technisches Verständnis für IT-Systeme und organisatorische Fähigkeiten verfügen. Die Rolle des DPO im Jahr 2026 hat sich durch die zunehmende Digitalisierung und KI-Regulierung weiter gewandelt.
Aufgaben des Datenschutzbeauftragten
Die Aufgaben des DSB sind in DSGVO Art. 39 klar definiert:
- Unterrichtung und Beratung: Information des Verantwortlichen und der Beschäftigten über datenschutzrechtliche Pflichten
- Überwachung der Einhaltung: Kontrolle der Einhaltung der DSGVO, des BDSG und weiterer Datenschutzvorschriften
- Beratung bei Datenschutz-Folgenabschätzungen: Unterstützung bei der Durchführung von DPIAs nach Art. 35 DSGVO
- Zusammenarbeit mit der Aufsichtsbehörde: Anlaufstelle für die Datenschutzaufsichtsbehörde und den BfDI
- Anlaufstelle für Betroffene: Ansprechpartner für Betroffenenanfragen (Auskunft, Löschung, Berichtigung)
Gehalt und Karriereperspektiven für DSBs
Die Nachfrage nach qualifizierten Datenschutzbeauftragten ist in Deutschland ungebrochen hoch. Aktuelle Gehaltsspannen:
| Position | Brutto-Jahresgehalt | Erfahrung |
|---|---|---|
| Junior DSB / Datenschutzkoordinator | 50.000 - 65.000 Euro | 1-3 Jahre |
| Datenschutzbeauftragter | 65.000 - 90.000 Euro | 3-7 Jahre |
| Senior DSB / Leiter Datenschutz | 90.000 - 120.000 Euro | 7-12 Jahre |
| Head of Privacy / CPO | 120.000 - 160.000 Euro | 12+ Jahre |
Externe DSBs berechnen typischerweise zwischen 800 und 1.500 Euro pro Tag, abhängig von der Komplexität des Mandats und der Unternehmensgröße.
Konsequenzen bei Nichtbestellung
Die Nichtbestellung eines Datenschutzbeauftragten trotz gesetzlicher Pflicht kann erhebliche Folgen haben:
- Bußgelder: Nach DSGVO Art. 83 Abs. 4 können Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes verhängt werden
- Abmahnungen: Wettbewerber und Verbraucherverbände können Verstöße abmahnen
- Aufsichtsbehördliche Maßnahmen: Die zuständige Landesbehörde oder der BfDI kann Anordnungen erlassen
- Reputationsschäden: Datenschutzverstöße können das Vertrauen von Kunden und Partnern nachhaltig beschädigen
Suchen Sie einen qualifizierten Datenschutzbeauftragten?
Durchsuchen Sie unser Angebot an Datenschutz-Positionen in Deutschland. Informieren Sie sich auch über die Entwicklung der DPO-Rolle 2026 für aktuelle Trends und Anforderungen.
Datenschutz-Stellen ansehen