Datenschutzbeauftragter

AID24 Datenschutz­beauftragter - RA Christoph Scholze

Anwaltschaft ruht
Fachanwalt für IT-Recht
Anwaltschaft ruht
TÜV zert. Datenschutz­beauftragter (DSB)
IHK zert. IT-Sicherheits­beauftragter (ISB)
‌IT-Sicherheit, Datenschutz

Datenschutzbeauftragter und seine Aufgaben

Gesetzliche Benennungspflicht und Bestellung des DSB

Sobald ein Unternehmen die gesetzlichen Schwellenwerte der DSGVO und/oder des ergänzenden BDSG erreicht, führt an der offiziellen Bestellung eines Datenschutzbeauftragten (DSB) kein Weg mehr vorbei. In der Praxis ist dieser Schritt immer dann zwingend, wenn die Verarbeitung personenbezogener Daten zum eigentlichen Kern der Geschäftstätigkeit gehört. Unabhängig vom Fokus des Unternehmens greift die Pflicht aber spätestens dann, wenn mindestens 20 Mitarbeiter regelmäßig und automatisiert mit solchen Daten arbeiten oder wenn eine Datenschutzfolgenabschätzung DSFA nach der Liste der DSK vom Verantwortlichen durchzuführen ist oder bei einer überdurchschnittlich umfangreichen Verarbeitung von Gesundheitsdaten.

Für die Geschäftsführung stellt sich dabei oft die strategische Frage: interne Lösung oder externer Dienstleister als Datenschutzbeauftragter? Das Gesetz lässt hier beiden Varianten freien Lauf. Erfüllt ein Betrieb die Kriterien, muss die Bestellung innerhalb eines Monats nach Aufnahme der Tätigkeit unter Dach und Fach sein. Dabei ist die Schriftform zwingend vorgeschrieben; zudem muss die Benennung der zuständigen Aufsichtsbehörde gemeldet werden.

Die Aufsichtsbehörden greifen bei einer versäumten Benennung hart durch. Unternehmen, die keinen Datenschutzbeauftragten bestellen, riskieren Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Die Basis: Grundsätze der Datenschutz-Grundverordnung Art. 5 DSGVO

Damit der DSB die Einhaltung der Regeln überwachen kann, bildet Art. 5 DSGVO das fachliche Fundament seiner Tätigkeit. Jede Verarbeitung im Unternehmen muss folgende Prinzipien wahren:

  • Rechtmäßigkeit und Transparenz: Daten dürfen nur dann angefasst werden, wenn es dafür eine gesetzliche Erlaubnis gibt. Jeder sollte nachvollziehen können, was mit seinen Daten/Informationen passiert und warum sie benötigt werden.
  • Zweckbindung: Die Erhebung erfolgt nur für festgelegte Zwecke.
  • Datenminimierung: Es werden nur so viele Daten erhoben, wie für den Zweck unbedingt notwendig sind.
  • Speicherbegrenzung und Löschung: Sobald personenbezogene Daten für ihren Zweck nicht mehr erforderlich sind, müssen sie entfernt werden.
  • Rechenschaftspflicht (Accountability): Das Unternehmen muss die Einhaltung dieser Datenschutzbestimmungen jederzeit nachweisen können – eine Kernaufgabe bei der Dokumentation durch den Verantwortlichen.

Qualifikationsprofil und Fachkunde des DSB

Die Wahl des passenden DSB ist für ein Unternehmen weit mehr als das bloße Abhaken einer gesetzlichen Liste – es ist eine Weichenstellung, die über die digitale Sicherheit des gesamten Betriebs entscheidet. Laut Art. 37 Abs. 5 DSGVO gibt die fachliche Eignung den Ausschlag bei der Bestellung. Wer diese Rolle ausfüllt, darf sich heute nicht mehr darauf beschränken, Paragrafen auswendig zu lernen. Ein moderner Datenschutzbeauftragter muss die Theorie in die Praxis übersetzen können.

Natürlich bildet die juristische Präzision im Datenschutzrecht – insbesondere die Datenschutz-Grundverordnung und das BDSG – das unverzichtbare Fundament. Doch in einer Welt, in der die Datenverarbeitung fast ausnahmslos digital stattfindet, bleibt reines Paragrafenwissen ohne tiefes Verständnis für IT-Sicherheit und moderne Systeme wirkungslos. Nur wer wirklich durchschaut, wie Daten innerhalb der Organisation fließen, kann die Wirksamkeit technischer Schutzmaßnahmen seriös bewerten.

Neben der fachlichen Qualifikation spielt die menschliche Seite eine oft unterschätzte Rolle. Die Datenschutzbeauftragte agiert als zentrale Schnittstelle zwischen der Führungsebene und der Belegschaft. Hier ist Fingerspitzengefühl gefragt, um sperrige Datenschutzfragen so zu vermitteln, dass sie im Arbeitsalltag auch akzeptiert werden. Da sich Regelungen der EU und Bescheide der Landes-Behörden in einem rasanten Tempo wandeln, darf die Fachkunde niemals zum Stillstand kommen.

Datenschutzexperten sind daher gefordert, sich konsequent fortzubilden, um bei der Erfüllung ihrer Aufgaben stets auf der sicheren Seite zu stehen. Qualifizierte Ausbildungs-Angebote, etwa beim TÜV, schließen nach bestandener Prüfung mit einem offiziellen Zertifikat ab.

Beratung und Information § 39 I a, c DSGVO

Die zentrale Funktion des DSB besteht darin, den rechtskonformen Datenschutz im Unternehmen zu gewährleisten. Seine konkreten Aufgaben sind dabei im Artikel 39 DSGVO und im § 7 BDSG (neu) bestimmt. Dafür soll er an erster Stelle die Verantwortlichen und Beschäftigten hinsichtlich ihrer datenrechtlichen Pflichten beraten. Diese Aufklärung ist eine Daueraufgabe: Der Datenschutzbeauftragte sollte stets auf dem aktuellsten Stand der Gerichtsentscheidungen sein und die Datenschutzgesetze ausführlich kennen, um über jede neue Rechtsprechung aufzuklären zu können. 

Damit dies gelingt, muss der DSB die betrieblichen Prozesse genau kennen, um zu identifizieren, an welchen Stellen im Unternehmen oder Verein überhaupt mit sensiblen Daten gearbeitet wird. Gleichzeitig dient er Betroffenen jederzeit als Ansprechpartner (Art. 38 IV DSGVO). Praktisch nutzt er hierfür oft softwaregestützte Managementsysteme sowie Online-Schulungen. 

Überwachung der Einhaltung und IT-Sicherheit § 39 I b DSGVO

Mit der bloßen Erteilung von Hinweisen zum Datenschutz ist dem Recht in der Regel allerdings noch nicht genüge getan. Daher fungiert der DSB gleichzeitig als Wächter, der firmenintern die Einhaltung der datenrechtlichen Grundsätze überwacht und ständig kontrolliert. Diese Überwachung sollte sich konsequenterweise auch umstrittene oder geplante Ansätze bzw. Strategien der Firma zum Datenschutz erstrecken.

Der DSB ist als datenrechtliche Kompetenzperson sogar dafür verantwortlich, dass alle notwendigen Datenschutzmaßnahmen im Unternehmen umgesetzt werden. Es obliegt ihm daher selbst die notwendigen Datenschutzrichtlinien und -konzepte zu erstellen und zu aktualisieren, damit der Datenschutz jederzeit gewährleistet wird.

Damit hat sich der DSB zumindest an den Hinweisen, Schulungen und der Sensibilisierung der Mitarbeiter zu beteiligen.

Wahlmöglichkeit: Interner vs. Externer Datenschutzbeauftragter

Die Bestellung eines Datenschutzbeauftragten ist für Unternehmen verbindlich, die regelmäßig besonders sensible Daten verarbeiten. Dabei hat die Firmenleitung gemäß Art. 37 Abs. 6 DSGVO die Wahl, wie sie die Position des DSB besetzt. Die Anforderungen an die Qualifikation und die Erfüllung seiner Aufgaben bleiben in beiden Fällen identisch, da die Stellung und die Befugnisse unmittelbar aus Art. 39 DSGVO resultieren. Diese Entscheidung hat jedoch weitreichende Auswirkungen auf die Organisation und die Kosten: 

Der interne Datenschutzbeauftragte

Ein interner DSB ist ein fest angestellter Mitarbeiter des Unternehmens.

  • Vorteile: Er verfügt über tiefe Einblicke in die betrieblichen Abläufe und ist vor Ort als direkter Ansprechpartner präsent.
  • Nachteile: Er genießt in Deutschland einen besonderen Kündigungsschutz (§ 38 Abs. 2 BDSG). Zudem besteht oft das Risiko eines Interessenskonflikts, wenn der Mitarbeiter gleichzeitig Leitungsfunktionen (z. B. in der IT oder Personalabteilung) innehat. Die Kosten für die notwendige Ausbildung und laufende Fortbildung (z. B. beim TÜV) trägt das Unternehmen.

Der externe Datenschutzbeauftragte

Hierbei wird ein spezialisierter Dienstleister auf vertraglicher Basis beauftragt.

  • Vorteile: Hohe fachliche Qualifikation und Routine durch die Betreuung verschiedener Mandate. Die Haftung für Beratungsfehler liegt beim Dienstleister, und es besteht kein arbeitsrechtlicher Sonderschutz. Die Kosten sind durch Pauschalhonorare oft besser planbar.
  • Nachteile: Der Externe benötigt eine gewisse Einarbeitungszeit, um die spezifische Datenverarbeitung des Betriebs zu durchdringen, und ist physisch seltener im Haus präsent (Kommunikation erfolgt primär via E-Mail oder Videocall).

Kosten des Datenschutzbeauftragten

In der Praxis zeigt sich immer wieder, dass die externe Lösung oft die wirtschaftlich klügere Wahl ist. Das liegt vor allem an der Planbarkeit: Externe Dienstleister arbeiten meist mit Pauschalhonoraren, die böse Überraschungen im Budget ggf. verhindern können. Die Höhe dieser Pauschale richtet manchmal danach, wie viele Köpfe im Betrieb tatsächlich mit personenbezogenen Daten hantieren.

Ein kleine Arztpraxis mit etwa zehn Mitarbeitern kommt so oft schon mit rund 100,00 € im Monat davon. Bei einem mittelständischen Dienstleister mit komplexeren Prozessen sollte man eher mit monatlichen Kosten ab 390,00 € rechnen.

Wer sich hingegen für einen internen Datenschutzbeauftragten entscheidet, muss mit einer deutlich dynamischeren Kostenentwicklung kalkulieren. Das Gehalt ist dabei nur ein Bestandteil der gesamten Kostenstruktur. Schon die Grundausbildung schlägt mit etwa 3.254,65 € inklusive Prüfungsgebühren zu Buche. Dazu kommen laufende Ausgaben für Seminare, Fachliteratur und Reisen und das Gehalt des DSB, die der Betrieb voll tragen muss.

Oft unterschätzt werden zudem die indirekten Kosten: Die Zeit, die der Mitarbeiter für Datenschutzanfragen und Dokumentation aufwendet, fehlt eins zu eins im eigentlichen Kerngeschäft. Ein externer DSB bringt hier nicht nur eine branchenübergreifende Routine mit, die Prozesse beschleunigt, sondern er schont auch die internen Personalressourcen für die produktive Arbeit.

Unterstützung bei der Datenschutz-Folgenabschätzung

Sofern eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte natürlicher Personen zur Folge hat, ist der DSB zwingend einzubinden wie sich aus § 38 I 2 BDSG ergibt. Er berät den Verantwortlichen über die Notwendigkeit, Durchführung und Ergebnisse dieser Prüfung. Auf Grundlage seiner Expertise bewertet er, ob die getroffenen Maßnahmen ausreichen, um die gesetzlichen Vorgaben zu erfüllen.

Zusammenarbeit mit Aufsichtsbehörden § 39 I d, e DSGVO

Ein Datenschutzbeauftragter ist weit mehr als nur ein interner Berater; er ist das offizielle Gesicht des Unternehmens gegenüber den Aufsichtsbehörden. Wenn die Behörde anklopft, Fragen stellt oder eine Vor-Ort-Kontrolle ankündigt, ist der DSB die erste und wichtigste Anlaufstelle. Er moderiert den Dialog und sorgt dafür, dass die Kommunikation fachlich fundiert und soweit möglich reibungslos verläuft.

In der Praxis ist es jedoch das Ziel jedes guten Datenschutzmanagements, Probleme bereits intern zu lösen, bevor die Behörde überhaupt einschreiten muss. Prävention ist hier das entscheidende Stichwort. Dass der Fokus so stark auf der Vorbeugung liegt, hat einen handfesten Grund: Die massiven Sanktionen nach Artikel 83 DSGVO. Wer seine Prozesse rechtzeitig an neue Vorschriften anpasst, schützt das Unternehmen effektiv vor kostspieligen Bußgeldern.

Damit diese Kontrollfunktion funktioniert, räumt der Gesetzgeber dem DSB eine besondere Stellung ein: Er agiert weisungsfrei und unabhängig. Das bedeutet konkret, ein Datenschutzbeauftragter zwar keine Weisungsbefugnis gegenüber der Geschäftsführung hat, aber umgekehrt auch nicht von dieser wie ein normaler Mitarbeiter angewiesen werden kann, sofern dies im Widerspruch zu seiner gesetzlichen Rolle stünde.

Fazit: Datenschutz als strategische Notwendigkeit

Die Bestellung eines Datenschutzbeauftragten ist für Betriebe mit mindestens 20 Personen, die regelmäßig Daten verarbeiten, eine unverzichtbare Rechtspflicht. oder wenn eine Datenschutzfolgenabschätzung DSFA nach der Liste der DSK vom Verantwortlichen durchzuführen ist oder bei einer überdurchschnittlich umfangreichen Verarbeitung von Gesundheitsdaten.

Ob man hierbei auf einen internen Angestellten oder einen externen Experten ohne Kündigungsschutz setzt, ist insbesondere eine Abwägung zwischen Betriebsnähe und Kosten. Entscheidend bleibt die Qualifikation: Ein DSB muss sich fortlaufend weiterbilden, um rechtlich sicher zu beraten. Ein offizielles Zertifikat dient dabei als notwendiger Nachweis gegenüber den Behörden. Wer diese Struktur vernachlässigt, riskiert massive Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes. Letztlich sichert ein gut informierter DSB durch die stetige Prüfung der Schutzstrategien nicht nur die Daten der Betroffenen, sondern auch die finanzielle Stabilität und Sicherheit des gesamten Unternehmens.

Datenschutzbeauftragter Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
Anwaltschaft ruht
AID24 Datenschutz | RA Scholze

TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Datenschutz
in Erfurt, Wiesbaden und Frankfurt am Main