Datenschutzbeauftragter Pflicht

Datenschutzbeauftragter Pflicht: ab wann braucht ein Unternehmen einen DSB?

Die Antwort hängt nicht nur von der Zahl der Beschäftigten ab. Wichtig sind auch Art, Umfang und Zweck der Datenverarbeitung. Ich helfe Unternehmen, die Pflicht sauber zu prüfen und das Ergebnis nachvollziehbar festzuhalten.

Deutschland
§ 38 BDSG enthält die wichtige 20-Personen-Regel
Europa
Art. 37 DSGVO greift bei bestimmten Kerntätigkeiten
Praxis
Auch eine Entscheidung gegen die Benennung sollte dokumentiert werden

Kurz gesagt

Es gibt nicht nur eine einzige Schwelle.

Viele Unternehmen fragen zuerst nach der Mitarbeiterzahl. Das ist verständlich. In Deutschland ist die Zahl der Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind, tatsächlich ein wichtiger Punkt.

Aber damit ist die Prüfung nicht erledigt. Die DSGVO schaut zusätzlich darauf, ob Datenschutz im Kern des Geschäftsmodells liegt, ob Personen umfangreich überwacht werden oder ob besondere Daten in großem Umfang verarbeitet werden.

Schnellantwort

Ab wann besteht die Pflicht?

In Deutschland ist die DSB-Pflicht für viele Unternehmen erreicht, wenn in der Regel mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten. Das wird oft als Pflicht „ab 20 Mitarbeitern“ gesucht. Genau ist aber nicht die Kopfzahl allein entscheidend, sondern wer regelmäßig mit personenbezogenen Daten in digitalen Systemen arbeitet.

Unabhängig davon kann die Pflicht auch früher entstehen, etwa bei umfangreicher Überwachung, bei umfangreicher Verarbeitung besonderer Daten oder wenn eine Datenschutz-Folgenabschätzung nötig ist.

Prüfpfad

Diese Fragen führen meist zur richtigen Einordnung.

01

20-Personen-Regel

Beschäftigt das Unternehmen in der Regel mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten?

02

Kerntätigkeit

Ist die Verarbeitung personenbezogener Daten nicht nur Nebensache, sondern ein zentraler Teil des Geschäftsmodells?

03

Überwachung

Geht es um umfangreiche regelmäßige und systematische Überwachung von Personen, etwa bei Plattformen, Tracking oder Scoring?

04

Sensible Daten

Werden Gesundheitsdaten, besondere Kategorien personenbezogener Daten oder Daten über Straftaten in großem Umfang verarbeitet?

§ 38 BDSG

Die deutsche Sonderregel ist für viele Unternehmen entscheidend.

Nach § 38 BDSG kann eine Benennungspflicht schon deshalb entstehen, weil regelmäßig mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten. Gemeint sind zum Beispiel Arbeiten in CRM, HR-Systemen, Buchhaltung, Support, Vertrieb, Praxissoftware oder anderen digitalen Systemen mit personenbezogenen Daten.

Nicht nur IT zählt

Auch HR, Vertrieb, Kundenservice, Lohnbuchhaltung oder Verwaltung können mitzählen, wenn dort ständig personenbezogene Daten verarbeitet werden. Für HR-Themen lohnt sich zusätzlich ein Blick auf den Beschäftigtendatenschutz.

Ständig heißt nicht pausenlos

Es reicht, wenn die Verarbeitung regelmäßig zur Tätigkeit gehört. Es muss nicht die einzige Aufgabe der Person sein.

Automatisiert heißt digital

Typisch sind Software, Tabellen, Datenbanken, Cloud-Dienste, Bewerbertools, Kundensysteme oder digitale Akten.

Ergebnis festhalten

Die Zählung und die Gründe für die Entscheidung sollten kurz dokumentiert werden.

Art. 37 DSGVO

Auch unterhalb von 20 Personen kann eine Pflicht bestehen.

Die DSGVO verlangt einen Datenschutzbeauftragten vor allem dann, wenn bestimmte Datenverarbeitungen den Kern der Tätigkeit ausmachen. Das betrifft nicht jedes Unternehmen. Aber bei datengetriebenen Geschäftsmodellen, sensiblen Daten oder systematischer Überwachung sollte genau hingesehen werden.

Gesundheit und Pflege

Besondere Daten können schnell eine vertiefte Prüfung auslösen, vor allem wenn sie umfangreich verarbeitet werden.

Plattformen und Tracking

Regelmäßige und systematische Überwachung kann relevant sein, wenn sie umfangreich und Teil der Haupttätigkeit ist.

Scoring und Profile

Bewertungen, Profile oder Risikomodelle über Personen können datenschutzrechtlich besonders sensibel sein.

Auftragsverarbeiter

Auch Dienstleister können betroffen sein, wenn ihre Kerntätigkeit in relevanten Verarbeitungsvorgängen liegt.

Unabhängig von der Personenzahl

Manche Fälle brauchen immer besondere Aufmerksamkeit.

§ 38 BDSG nennt weitere Fälle, in denen ein Datenschutzbeauftragter unabhängig von der Zahl der Personen zu benennen sein kann. Dazu gehören insbesondere Verarbeitungen, die eine Datenschutz-Folgenabschätzung erfordern, sowie bestimmte geschäftsmäßige Übermittlungen, anonymisierte Übermittlungen oder Markt- und Meinungsforschung.

Das sind keine Alltagssätze für die Website. Für Unternehmen heißt es einfacher: Wenn Datenverarbeitung ein ernstes Risiko für Betroffene haben kann oder selbst Teil des Geschäfts ist, sollte die DSB-Frage nicht nebenbei beantwortet werden.

Mehr zum externen Datenschutzbeauftragten

Wenn keine Pflicht besteht

Keine Benennungspflicht heißt nicht: kein Datenschutz.

Auch ohne Datenschutzbeauftragten bleiben die Pflichten aus der DSGVO bestehen. Unternehmen brauchen weiterhin eine Rechtsgrundlage, Informationspflichten, AV-Verträge, passende Sicherheit, Löschregeln und einen Umgang mit Betroffenenrechten.

Prüfung dokumentieren

Eine kurze Aktennotiz oder Übersicht hilft, wenn später Fragen kommen.

Zuständigkeit klären

Auch ohne DSB sollte intern feststehen, wer Datenschutzfragen annimmt und koordiniert.

Regelmäßig prüfen

Wachstum, neue Software, neue Geschäftsmodelle oder sensible Daten können die Lage ändern.

Freiwillig benennen

Manchmal ist eine freiwillige externe Lösung sinnvoll, auch wenn keine Pflicht besteht.

Angebot

DSB-Pflicht schnell und sauber klären.

Kurzprüfung

Einmalig

Für Unternehmen, die eine erste klare Einschätzung zur Benennungspflicht brauchen.

  • Kurzes Vorgespräch
  • Prüfung der wichtigsten Kriterien
  • Einordnung nach DSGVO und BDSG
  • Kurzes Ergebnis zur Dokumentation

Prüfung plus Umsetzung

Nach Aufwand

Für Unternehmen, die nach der Prüfung direkt die nächsten Schritte umsetzen möchten.

  • Benennung vorbereiten
  • Meldung und Kontaktdaten klären
  • Rollen und Abläufe ordnen
  • Start der Datenschutzbetreuung

Externer DSB

Monatlich

Für Unternehmen, die die Aufgabe dauerhaft extern besetzen möchten.

  • Benennung als DSB
  • Laufende Beratung
  • Jahresplanung und Bericht
  • Support für Fachbereiche

FAQ

Häufige Fragen zur DSB-Pflicht

Ab wann braucht ein Unternehmen einen Datenschutzbeauftragten?

In Deutschland ist § 38 BDSG wichtig: Eine Pflicht besteht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Daneben können Art. 37 DSGVO und weitere Fälle des § 38 BDSG greifen.

Zählen nur Vollzeitkräfte?

Nein, so einfach ist es nicht. Entscheidend ist, wer regelmäßig und ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt ist. Die konkrete Zählung sollte nachvollziehbar erfolgen.

Gilt die DSB-Pflicht ab 20 Mitarbeitern?

Das ist die gängige Kurzform, aber rechtlich nicht ganz genau. § 38 BDSG spricht von in der Regel mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Muss ein Unternehmen unter 20 Personen nie einen DSB benennen?

Doch, das kann vorkommen. Art. 37 DSGVO und bestimmte Fälle des § 38 BDSG können unabhängig von der 20-Personen-Regel eine Pflicht auslösen.

Was passiert, wenn keine Pflicht besteht?

Dann sollte die Entscheidung dokumentiert werden. Die übrigen Datenschutzpflichten bleiben bestehen.

Kann der Datenschutzbeauftragte extern sein?

Ja. Die DSGVO erlaubt, dass der Datenschutzbeauftragte Beschäftigter ist oder die Aufgabe auf Grundlage eines Dienstleistungsvertrags übernimmt.

Nächster Schritt

Sie möchten wissen, ob Ihr Unternehmen einen DSB braucht?

Schicken Sie eine kurze Nachricht mit Branche, Unternehmensgröße, Zahl der Personen mit Zugriff auf personenbezogene Daten und den wichtigsten Verarbeitungsvorgängen. Dann lässt sich meist schnell einordnen, wie weiter vorzugehen ist.