Anforderungen an den Datenschutzbeauftragten nach Ländern (2026)
Ein Datenschutzbeauftragter (DSB) ist eine benannte Compliance-Fachkraft, die in Dutzenden Rechtsordnungen weltweit gesetzlich vorgeschrieben ist. Nach der EU-Datenschutz-Grundverordnung (DSGVO) legen die Artikel 37 bis 39 die grundlegenden Regeln fest, die die meisten nationalen Rahmenwerke seither übernommen oder angepasst haben. Dieser Leitfaden erklärt, wer einen Datenschutzbeauftragten bestellen muss, was die Rolle erfordert und wie sich die Pflicht in den wichtigsten globalen Regelwerken mit Stand Mai 2026 unterscheidet.
Informationen zuletzt überprüft am 2026-05-19. Dieser Artikel wurde noch nicht von einem zugelassenen Rechtsanwalt geprüft.
Umfang der Rechtsordnungen: Dieser Artikel behandelt die Anforderungen an Datenschutzbeauftragte und vergleichbare Funktionen nach der EU-DSGVO, der UK-DSGVO sowie ausgewählten nationalen Datenschutzgesetzen in Brasilien, China, Indien, Südkorea, Singapur, Malaysia, Thailand, Südafrika, den VAE (Bundes-PDPL, DIFC, ADGM), Indonesien und Vietnam. Die Gesetze werden mit Stand vom 2026-05-19 zitiert.
Was ist ein Datenschutzbeauftragter?
Ein Datenschutzbeauftragter ist eine von einer Organisation benannte Person, die als interne Autorität für die Einhaltung des Datenschutzes fungiert. Artikel 39 der DSGVO definiert die Kernaufgaben des Datenschutzbeauftragten: Unterrichtung und Beratung des Verantwortlichen und des Auftragsverarbeiters (sowie ihrer Beschäftigten) über ihre Datenschutzpflichten; Überwachung der Einhaltung der DSGVO und der eigenen Richtlinien des Verantwortlichen; Beratung zu Datenschutz-Folgenabschätzungen (DSFA); Zusammenarbeit mit der Aufsichtsbehörde; und Fungieren als Anlaufstelle für betroffene Personen und die Aufsichtsbehörde.
Das Konzept gewann nach Inkrafttreten der DSGVO am 25. Mai 2018 weltweit an Bedeutung. Aufsichtsbehörden in Südamerika, Asien und Afrika haben seitdem DPO-äquivalente Anforderungen in nationale Datenschutzgesetze aufgenommen, wobei sich die konkreten Bestellungsvoraussetzungen, Qualifikationen und Berichtslinien je nach Rechtsordnung erheblich unterscheiden.
Nicht jede Organisation benötigt einen Datenschutzbeauftragten. Die Pflicht richtet sich in der Regel nach der Art der verarbeiteten Daten, dem Umfang der Verarbeitungstätigkeiten und danach, ob es sich um eine öffentliche Stelle handelt. Bei multinationalen Organisationen können sich überlappende Pflichten aus zwei oder mehr Regelwerken gleichzeitig ergeben.
Die DSGVO-Regeln zum Datenschutzbeauftragten: Artikel 37, 38 und 39
Die DSGVO legt den grundlegenden Rahmen für den Datenschutzbeauftragten fest, an dem sich die meisten anderen Rechtsordnungen orientiert haben. Die Artikel 37 bis 39 der Verordnung (EU) 2016/679 regeln die Bestellungsvoraussetzungen, Qualifikationen, betrieblichen Anforderungen und Aufgaben.
Die drei verpflichtenden Bestellungsvoraussetzungen (Artikel 37)
Nach Art. 37 Abs. 1 DSGVO muss ein Verantwortlicher oder Auftragsverarbeiter einen Datenschutzbeauftragten benennen, wenn eine der drei folgenden Bedingungen erfüllt ist:
Voraussetzung 1: Öffentliche Stelle. Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, die in Ausübung ihrer justiziellen Tätigkeit handeln. Dies erfasst Regierungsstellen, Kommunen, öffentliche Universitäten, staatliche Unternehmen und vergleichbare Einrichtungen in der gesamten EU und dem EWR.
Voraussetzung 2: Umfangreiche, regelmäßige und systematische Überwachung. Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordern. Die WP29-Leitlinien (WP243rev.01, vom EDSA gebilligt) nennen als Beispiele die Standortverfolgung über mobile Anwendungen und die systematische Videoüberwachung öffentlicher Räume. Die DSGVO definiert "umfangreich" nicht anhand einer festen Zahl; die WP29-Leitlinien weisen Verantwortliche an, die Zahl der betroffenen Personen, das Datenvolumen, die geografische Reichweite, die Dauer und die Art der Verarbeitung zu berücksichtigen. Ein einzelnes Krankenhaus, das Gesundheitsdaten für seine Patientenpopulation verarbeitet, erfüllt diese Voraussetzung; ein Einzelarzt, der individuelle Patienten behandelt, hingegen nicht.
Voraussetzung 3: Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder strafrechtlicher Daten. Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 (einschließlich rassischer oder ethnischer Herkunft, Gesundheitsdaten, biometrischer Daten und Daten zur sexuellen Orientierung) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10.
Der Begriff "Kerntätigkeit" ist entscheidend. Der EDSA stellt klar, dass er sich auf die primären Geschäftstätigkeiten bezieht, nicht auf unterstützende Nebenfunktionen. Ein Versicherer, der Gesundheitsdaten zur Risikobewertung verarbeitet, übt eine Kerntätigkeit aus; eine Anwaltskanzlei, die Gehaltsdaten ihrer Mitarbeiter verarbeitet, tut dies nicht, obwohl auch die Gehaltsabrechnung personenbezogene Daten betrifft.
"Der Begriff der 'Kerntätigkeiten' kann als die wesentlichen Vorgänge verstanden werden, die zur Erreichung der Ziele des Verantwortlichen oder Auftragsverarbeiters erforderlich sind. Ein Krankenhaus kann beispielsweise keine Gesundheitsversorgung anbieten, ohne die Gesundheitsdaten seiner Patienten zu verarbeiten, sodass die Verarbeitung dieser Daten eine Kerntätigkeit darstellt." -- WP29, Leitlinien zu Datenschutzbeauftragten (WP243rev.01), 5. April 2017
Qualifikationen des Datenschutzbeauftragten (Art. 37 Abs. 5)
Art. 37 Abs. 5 DSGVO verlangt, dass der Datenschutzbeauftragte "auf Grund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis" bestellt wird. Auf EU-Ebene ist kein bestimmter akademischer Abschluss oder eine bestimmte Berufszertifizierung vorgeschrieben. Das erforderliche Maß an Fachwissen richtet sich nach der Komplexität der Verarbeitungstätigkeiten der Organisation. Bei einem großen Verarbeiter sensibler Daten wird ein hohes Maß an Fachwissen erwartet. Bei einer kleineren öffentlichen Stelle mit unkomplizierter Verarbeitung genügt ein angemessenes Maß an Kenntnissen.
In der Praxis gelten Zertifizierungen wie CIPP/E (Certified Information Privacy Professional/Europe) und CIPM (Certified Information Privacy Manager) der International Association of Privacy Professionals (IAPP) weithin als Nachweis des erforderlichen Fachwissens, obwohl sie nach EU-Recht freiwillig bleiben.
Stellung und Unabhängigkeit (Art. 38)
Art. 38 legt die betrieblichen Anforderungen fest, die die Unabhängigkeit des Datenschutzbeauftragten schützen:
- Der Datenschutzbeauftragte muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden.
- Der Verantwortliche und der Auftragsverarbeiter müssen den Datenschutzbeauftragten unterstützen, indem sie die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen, den Zugang zum Fachwissen sowie den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen bereitstellen.
- Der Datenschutzbeauftragte muss unmittelbar der höchsten Managementebene des Verantwortlichen oder Auftragsverarbeiters berichten.
- Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
- Der Datenschutzbeauftragte kann weitere Aufgaben wahrnehmen, sofern kein Interessenkonflikt besteht.
Die Anforderung zur Vermeidung von Interessenkonflikten war Gegenstand bedeutender Durchsetzungsmaßnahmen. Der EDSA bestätigt, dass Funktionen, die über die Zwecke und Mittel der Datenverarbeitung entscheiden, grundsätzlich im Konflikt mit der Position des Datenschutzbeauftragten stehen. Dazu zählen: Geschäftsführer (CEO), Chief Operating Officer, Chief Technology Officer, Leiter IT, Leiter Personalwesen, Leiter Marketing und in den meisten Fällen der Leiter Recht (wenn die Rechtsabteilung zu genau den Verarbeitungsentscheidungen berät, die der Datenschutzbeauftragte unabhängig überwachen soll).
2025 verhängte die polnische Datenschutzbehörde (UODO) ein Bußgeld von 132.000 Euro gegen eine Organisation wegen fehlerhafter Positionierung des Datenschutzbeauftragten, unter anderem wegen eines Interessenkonflikts durch die gleichzeitige Wahrnehmung von Compliance-, Audit- und Risikomanagementfunktionen durch den Datenschutzbeauftragten (UODO-Entscheidung, 2025). Der Berliner Beauftragte für Datenschutz verhängte separat ein Bußgeld von 525.000 Euro gegen einen Handelskonzern wegen eines vergleichbaren Verstoßes gegen Art. 38 Abs. 6.
Die Aufgaben des Datenschutzbeauftragten (Art. 39)
Art. 39 definiert fünf Kategorien verpflichtender Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen, des Auftragsverarbeiters und ihrer Beschäftigten über ihre Datenschutzpflichten nach der DSGVO und anderem EU- oder mitgliedstaatlichem Datenschutzrecht.
- Überwachung der Einhaltung der Vorschriften, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter sowie der diesbezüglichen Überprüfungen.
- Beratung auf Anfrage zu Datenschutz-Folgenabschätzungen und Überwachung von deren Durchführung gemäß Art. 35.
- Zusammenarbeit mit der Aufsichtsbehörde.
- Fungieren als Anlaufstelle für die Aufsichtsbehörde in Fragen der Verarbeitung und gegebenenfalls Konsultation der Aufsichtsbehörde.
Sanktionen bei Nichteinhaltung der DPO-Pflicht (Art. 83 Abs. 4)
Die Nichtbestellung eines erforderlichen Datenschutzbeauftragten, die Beeinträchtigung seiner Unabhängigkeit oder die unterlassene Veröffentlichung seiner Kontaktdaten fällt unter Art. 83 Abs. 4 Buchst. a, der Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht, je nachdem, welcher Betrag höher ist.
Die Leitlinien des EDSA zum Datenschutzbeauftragten und die koordinierte Durchsetzungsmaßnahme 2024
Die WP29-Leitlinien zu Datenschutzbeauftragten (WP243rev.01), im Dezember 2016 angenommen und im April 2017 überarbeitet, bleiben die maßgebliche Auslegungsgrundlage zu den Artikeln 37 bis 39. Der EDSA billigte diese Leitlinien auf seiner ersten Plenarsitzung im Mai 2018.
Im Januar 2024 veröffentlichte der EDSA den Bericht seiner koordinierten Durchsetzungsmaßnahme 2023 (CEF 2023) zur Benennung und Stellung von Datenschutzbeauftragten. An der Untersuchung waren 25 Aufsichtsbehörden im EWR beteiligt, die über 17.000 Antworten von Organisationen und Datenschutzbeauftragten aus dem privaten und öffentlichen Sektor auswerteten. Zu den zentralen Feststellungen zählten:
- Eine erhebliche Zahl von Organisationen, die zur Bestellung eines Datenschutzbeauftragten verpflichtet waren, hatte dies unterlassen.
- Viele benannte Datenschutzbeauftragte verfügten nicht über ausreichendes Fachwissen für die Komplexität der von ihnen überwachten Verarbeitung.
- Datenschutzbeauftragte meldeten häufig unzureichende Ressourcen: unzureichende Zeit, unzureichendes Budget und Personal.
- Unzureichende Unabhängigkeit war weit verbreitet; einige Datenschutzbeauftragte berichteten von Druck seitens der Geschäftsleitung, Compliance-Bewertungen zu ändern.
- Datenschutzbeauftragte wurden nicht immer von Beginn an in neue Datenverarbeitungsprojekte eingebunden.
Der EDSA empfahl den Aufsichtsbehörden, verstärkt Sensibilisierungsmaßnahmen und gezielte Durchsetzungsaktivitäten durchzuführen. Der vollständige Bericht ist unter edpb.europa.eu verfügbar.
Abweichungen zwischen EU-Mitgliedstaaten
Während die DSGVO einen Mindeststandard vorgibt, können Mitgliedstaaten über nationale Umsetzungsgesetze zusätzliche Anforderungen einführen.
Deutschland. Das Bundesdatenschutzgesetz (BDSG), § 38, verlangt die Bestellung eines Datenschutzbeauftragten für jede Organisation, die in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Dieser Schwellenwert liegt deutlich unter dem DSGVO-Standard der umfangreichen Verarbeitung und erfasst damit viele kleine und mittlere Unternehmen.
Frankreich. Die CNIL empfiehlt eine breite Einführung des Datenschutzbeauftragten, führt jedoch keine über die DSGVO hinausgehenden verpflichtenden Bestellungsvoraussetzungen ein. Frankreich registrierte bis 2024 mehr als 80.000 Datenschutzbeauftragte bei der CNIL, was die starke institutionelle Verbreitung der Rolle widerspiegelt.
Rumänien. Die nationale Aufsichtsbehörde (ANSPDCP) verlangt, dass Datenschutzbeauftragte über formale, von der Behörde anerkannte Qualifikationen verfügen, und ist damit einer der wenigen EU-Mitgliedstaaten mit einer faktischen Zertifizierungspflicht.
Polen. Die polnische Datenschutzbehörde (UODO) verlangt eine Meldung der Bestellung des Datenschutzbeauftragten innerhalb von 14 Tagen und führt ein öffentliches Register. 2025 verhängte die UODO ein Bußgeld von 5.814 Euro wegen unterlassener Bestellung eines Datenschutzbeauftragten und unterlassener Veröffentlichung seiner Kontaktdaten (UODO-Entscheidung, 2025).
Vereinigtes Königreich (UK-DSGVO und DPA 2018)
Seit dem Brexit gilt im Vereinigten Königreich die UK-DSGVO zusammen mit dem Data Protection Act 2018 (DPA 2018). Die Bestellungsvoraussetzungen für den Datenschutzbeauftragten entsprechen der dreiteiligen Struktur von Art. 37 der EU-DSGVO. Das Information Commissioner's Office (ICO) stellt Orientierungshilfen unter ico.org.uk bereit.
Der 2023 eingebrachte Data Protection and Digital Information Bill sah vor, die verpflichtende DPO-Bestellung durch ein flexibleres Modell einer "Senior Responsible Individual" (SRI) zu ersetzen. Stand Mai 2026 wurde der Gesetzentwurf nicht verabschiedet, und die Pflicht zum Datenschutzbeauftragten nach der UK-DSGVO bleibt in Kraft.
DPO-äquivalente Anforderungen in anderen Rechtsordnungen
Brasilien (LGPD) -- Encarregado
Brasiliens Lei Geral de Proteção de Dados (LGPD), Gesetz 13.709/2018, in Kraft seit September 2020, verlangt nach Art. 41 von jedem Verantwortlichen die Bestellung eines Encarregado. Anders als bei der DSGVO gilt die brasilianische Pflicht unabhängig von Größe oder Art der Verarbeitung für alle Verantwortlichen. Der Encarregado nimmt Beschwerden betroffener Personen entgegen, stellt betroffenen Personen und der ANPD Informationen bereit, arbeitet mit der ANPD zusammen und leitet interne Compliance-Bemühungen.
Die Resolution CD/ANPD Nr. 2 der ANPD vom Januar 2022 lockerte die Pflicht für Kleinunternehmen und Kleinstunternehmen im Sinne des brasilianischen Rechts und erlaubte eine freiwillige statt verpflichtende Benennung. Es sind keine spezifischen Qualifikationen vorgeschrieben. Die Funktion kann von einer natürlichen Person oder einer externen Organisation wahrgenommen werden; es besteht keine Pflicht zur lokalen Präsenz.
China (PIPL) -- Verantwortlicher für den Schutz personenbezogener Informationen
Chinas Gesetz zum Schutz personenbezogener Informationen (PIPL), in Kraft seit 1. November 2021, verlangt nach Art. 52 von Organisationen, die personenbezogene Informationen von mehr als 1 Million Personen verarbeiten, die Benennung eines Verantwortlichen für den Schutz personenbezogener Informationen. Dieser Verantwortliche muss in China ansässig sein, oder die Organisation muss eine eigene Einrichtung gründen oder einen Vertreter innerhalb Chinas benennen. Name und Kontaktdaten des Verantwortlichen müssen öffentlich bekannt gegeben und der zuständigen Stelle der Cyberspace Administration of China (CAC) gemeldet werden.
Bußgelder bei Verstößen, einschließlich der Nichtbenennung eines Verantwortlichen, können bis zu 50 Millionen CNY (rund 7 Millionen USD) oder 5 % des Umsatzes des Vorjahres erreichen, je nachdem, welcher Betrag höher ist.
Indien (DPDPA 2023) -- Datenschutzbeauftragter für Significant Data Fiduciaries
Indiens Digital Personal Data Protection Act, 2023 (DPDPA), erlassen am 11. August 2023, verlangt nach Section 10(2)(a) von "Significant Data Fiduciaries" (SDFs) die Bestellung eines in Indien ansässigen Datenschutzbeauftragten. Die von MeitY am 13. November 2025 bekannt gemachten und schrittweise bis 2026-2027 in Kraft tretenden DPDP Rules definieren die SDF-Kriterien und die Aufgaben des Datenschutzbeauftragten.
SDFs werden von der Regierung anhand des Umfangs der verarbeiteten personenbezogenen Daten, der Sensibilität der Daten, des Risikos für die betroffenen Personen, Erwägungen der nationalen Sicherheit und der möglichen Auswirkungen auf die Rechte der betroffenen Personen eingestuft. Der Datenschutzbeauftragte muss eine leitende, in Indien ansässige Führungskraft des SDF sein, dem Vorstand berichten und als Anlaufstelle für das Data Protection Board of India fungieren. SDFs müssen zudem regelmäßig Datenschutz-Folgenabschätzungen durchführen und einen unabhängigen Datenprüfer bestellen. Das Höchstbußgeld bei Nichteinhaltung beträgt 250 Crore INR (rund 30 Millionen USD).
Singapur (PDPA) -- Universelle verpflichtende Bestellung
Singapurs Personal Data Protection Act 2012 (PDPA), verwaltet von der Personal Data Protection Commission (PDPC), verlangt nach Section 11(3) von jeder dem PDPA unterliegenden Organisation die Benennung mindestens eines Datenschutzbeauftragten. Es besteht keine Mindestschwelle für den Verarbeitungsumfang. Die Pflicht gilt auch für Holdinggesellschaften, ruhende Gesellschaften und Organisationen, die ihre Geschäftstätigkeit einstellen, aber weiterhin personenbezogene Daten verarbeiten.
Seit dem 1. Juni 2025 verlangt die PDPC von Organisationen, ihr die Kontaktdaten ihres Datenschutzbeauftragten zu melden. Gesetzlich sind keine spezifischen Qualifikationen vorgeschrieben, doch der Datenschutzbeauftragte muss über ausreichende Kenntnisse des PDPA verfügen, um die Organisation wirksam zu beraten.
Malaysia (PDPA in der 2024 geänderten Fassung)
Malaysias Personal Data Protection Act 2010 (PDPA) wurde durch den Personal Data Protection (Amendment) Act 2024 wesentlich geändert. Die Änderung macht die Bestellung eines Datenschutzbeauftragten verpflichtend für Verantwortliche und Auftragsverarbeiter, die große Mengen personenbezogener Daten verarbeiten, sensible personenbezogene Daten verarbeiten oder eine regelmäßige und systematische Überwachung von Personen durchführen. Die Änderung trat zwischen Januar und Juni 2025 stufenweise in Kraft.
Wesentliche Anforderungen: Der Datenschutzbeauftragte muss mindestens 180 Tage im Jahr in Malaysia ansässig sein; der Commissioner muss über die Bestellung des Datenschutzbeauftragten informiert werden; der Datenschutzbeauftragte berät zu den PDPA-Pflichten, überwacht die Einhaltung, führt Folgenabschätzungen durch und fungiert als Anlaufstelle gegenüber dem Commissioner. Ausgelagerte Datenschutzbeauftragte-Dienste sind zulässig, sofern die Residenzpflicht erfüllt ist.
Südkorea (PIPA) -- CPO und die CEO-Verantwortlichkeitsänderung 2026
Südkoreas Personal Information Protection Act (PIPA), 2023 wesentlich geändert, verlangt nach Art. 31 von allen Verantwortlichen und Auftragsverarbeitern für personenbezogene Informationen die Benennung eines Chief Privacy Officer (CPO). Der CPO muss über Entscheidungsbefugnis innerhalb der Organisation verfügen. Öffentliche Einrichtungen müssen den CPO auf Ebene einer leitenden Führungskraft benennen. Name, Abteilung und Kontaktdaten des CPO müssen öffentlich bekannt gegeben werden.
Am 12. Februar 2026 verabschiedete die Nationalversammlung eine weitere Änderung des PIPA, verkündet am 10. März 2026 und in Kraft ab dem 11. September 2026. Die Änderung von 2026: bestimmt den CEO oder Geschäftsführer als "letztlich für den Datenschutz Verantwortlichen"; verlangt für Organisationen oberhalb eines Größenschwellenwerts die Bestellung, Neuzuweisung oder Abberufung des CPO durch förmlichen Vorstandsbeschluss mit Meldung an die Personal Information Protection Commission (PIPC); verlangt, dass der CPO unmittelbar sowohl an den CEO als auch an den Vorstand berichtet; und führt eine verschärfte Bußgeldobergrenze von 10 % des Gesamtumsatzes für wiederholte oder schwerwiegende Verstöße ein.
Thailand (PDPA)
Thailands Personal Data Protection Act B.E. 2562 (2019), vollständig in Kraft seit 1. Juni 2022, verlangt die Bestellung eines Datenschutzbeauftragten für öffentliche Stellen, Organisationen mit umfangreicher regelmäßiger und systematischer Überwachung sowie Organisationen, deren Haupttätigkeit die Verarbeitung sensibler personenbezogener Daten umfasst (Sections 41-42 PDPA). Die Notification on Appointment of Data Protection Officers der PDPC, in Kraft seit 13. Dezember 2023, bietet detaillierte Umsetzungshinweise.
Eine Bekanntmachung im Amtsblatt vom 9. Oktober 2025 dehnte die verpflichtende DPO-Bestellung auf alle staatlichen Stellen aus. Der Datenschutzbeauftragte kann ein Angestellter oder ein externer Dienstleister sein. Die Kontaktdaten des Datenschutzbeauftragten müssen der PDPC mitgeteilt werden. Im März 2026 eröffnete die PDPC eine öffentliche Konsultation zu aktualisierten PDPA-Leitlinien, in der die Pflichten des Datenschutzbeauftragten zu den vorrangigen Themen zählen.
Südafrika (POPIA) -- Information Officer
Südafrikas Protection of Personal Information Act 4 von 2013 (POPIA), vollständig in Kraft seit 1. Juli 2021, verlangt nach Section 56 von jedem Verantwortlichen die Registrierung eines Information Officer beim Information Regulator. Bei privaten Organisationen ist standardmäßig die Leitung der Organisation der Information Officer. Für die laufenden Compliance-Aufgaben kann ein Deputy Information Officer benannt werden. Alle Information Officers und Deputy Information Officers müssen im öffentlichen Register des Information Regulator eingetragen sein. Bei Nichteinhaltung drohen Bußgelder von bis zu 10 Millionen ZAR (rund 550.000 USD) und Freiheitsstrafen von bis zu 10 Jahren.
VAE (Bundes-PDPL, DIFC, ADGM)
Die Vereinigten Arabischen Emirate verfügen über drei sich überschneidende, aber eigenständige Datenschutzrahmen mit unterschiedlichen Anforderungen an den Datenschutzbeauftragten:
Bundes-PDPL. Das Bundesgesetzesdekret Nr. 45 von 2021 der VAE (PDPL) verlangt von Verantwortlichen die Bestellung eines Datenschutzbeauftragten, wenn: die Verarbeitung eine systematische, umfangreiche Handhabung sensibler personenbezogener Daten umfasst; die Verarbeitung ein hohes Risiko für den Schutz und die Vertraulichkeit personenbezogener Daten birgt; oder die Verarbeitung eine umfangreiche, sensible oder systematisch automatisierte Profilbildung umfasst. Nach der Bestellung muss der Verantwortliche oder Auftragsverarbeiter das UAE Data Office über die Kontaktdaten des Datenschutzbeauftragten informieren. Der Datenschutzbeauftragte kann ein interner Mitarbeiter oder ein externer Dienstleister sein.
DIFC. Das Dubai International Financial Centre unterliegt dem DIFC Law No. 5 of 2020 (Data Protection Law). Die Bestellung eines Datenschutzbeauftragten ist verpflichtend für DIFC-Einrichtungen sowie für jeden Verantwortlichen oder Auftragsverarbeiter, der systematisch oder regelmäßig High Risk Processing Activities durchführt. Der Datenschutzbeauftragte muss in den VAE ansässig sein, es sei denn, die Person ist innerhalb der Unternehmensgruppe beschäftigt und übt eine gleichwertige Funktion international aus. Die Organisation muss die Kontaktdaten des Datenschutzbeauftragten veröffentlichen. Im September 2023 erlassene geänderte Datenschutzvorschriften haben den Rahmen weiter an internationale Standards angeglichen.
ADGM. Der Abu Dhabi Global Market unterliegt den ADGM Data Protection Regulations 2021. Ein Datenschutzbeauftragter muss für Unternehmen bestellt werden, deren Kerntätigkeit eine regelmäßige und systematische Verarbeitung personenbezogener Daten in großem Umfang oder die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten umfasst. Der Verantwortliche oder Auftragsverarbeiter muss den ADGM Commissioner of Data Protection innerhalb eines Monats nach der Bestellung über die Benennung des Datenschutzbeauftragten informieren.
Indonesien (PDP-Gesetz 2022)
Indonesiens Gesetz Nr. 27 von 2022 über den Schutz personenbezogener Daten trat am 17. Oktober 2024 vollständig in Kraft. Art. 53 verlangt die Bestellung eines Datenschutzbeauftragten, wenn die Verarbeitung im Interesse öffentlicher Dienstleistungen erfolgt, die Kerntätigkeit eine regelmäßige und systematische Überwachung personenbezogener Daten in großem Umfang erfordert oder die Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten umfasst.
Im Juli 2025 erweiterte das indonesische Verfassungsgericht (Entscheidung Nr. 151/PUU-XXII/2024) den Anwendungsbereich der verpflichtenden DPO-Bestellung über die ursprünglichen gesetzlichen Schwellenwerte hinaus, wobei die Durchführungsverordnungen zur Festlegung der überarbeiteten Kriterien mit Stand Mai 2026 noch ausstehen.
Vietnam (PDPL 2025)
Vietnams Gesetz Nr. 91/2025/QH15 zum Schutz personenbezogener Daten, erlassen am 26. Juni 2025 und in Kraft seit 1. Januar 2026, verlangt von Verantwortlichen und Auftragsverarbeitern die Bestellung einer internen Datenschutzabteilung oder entsprechenden Personals oder die Beauftragung externer Datenschutzdienstleister. Start-ups, Kleinunternehmen, Gewerbebetriebe von Haushalten und Kleinstunternehmen sind von dieser Pflicht sowie von den Pflichten zur Datenschutz-Folgenabschätzung ausgenommen.
Globale DPO-Anforderungen: Vergleichstabelle
| Rechtsordnung | Gesetz | Rollenbezeichnung | Wer muss bestellen | Lokale Präsenz erforderlich | Auslagerung zulässig | Höchststrafe |
|---|---|---|---|---|---|---|
| EU/EWR | DSGVO Art. 37 | Datenschutzbeauftragter | Öffentliche Stellen; umfangreiche systematische Überwachung; umfangreiche Verarbeitung besonderer Daten | Nein (muss erreichbar sein) | Ja | 10 Mio. Euro / 2 % Umsatz |
| Deutschland | BDSG § 38 | Datenschutzbeauftragter | 20+ Personen in automatisierter Verarbeitung (zusätzlich zu DSGVO-Voraussetzungen) | Nein | Ja | 10 Mio. Euro / 2 % Umsatz |
| Vereinigtes Königreich | UK-DSGVO / DPA 2018 | Datenschutzbeauftragter | Wie DSGVO (SRI-Modell vorgeschlagen, nicht verabschiedet) | Nein | Ja | 17,5 Mio. GBP / 4 % Umsatz |
| Brasilien | LGPD Art. 41 | Encarregado | Alle Verantwortlichen (KMU-Ausnahme über ANPD-Resolution 2/2022) | Nein | Ja | 2 % Umsatz (max. 50 Mio. BRL/Verstoß) |
| China | PIPL Art. 52 | Verantwortlicher für den Schutz personenbezogener Informationen | Verantwortliche mit Verarbeitung von 1 Mio.+ Personen | Ja | Nein (interne Person erwartet) | 50 Mio. CNY / 5 % Umsatz |
| Indien | DPDPA § 10 / DPDP Rules 2025 | Datenschutzbeauftragter | Significant Data Fiduciaries (Schwellenwerte in den Rules) | Ja (in Indien ansässig) | Nein (leitende Führungskraft des SDF) | 250 Crore INR (~30 Mio. USD) |
| Singapur | PDPA § 11(3) | Datenschutzbeauftragter | Alle Organisationen, die personenbezogene Daten verarbeiten | Nein | Ja | 1 Mio. SGD |
| Malaysia | PDPA (geändert 2024) | Datenschutzbeauftragter | Verantwortliche und Auftragsverarbeiter mit großem Volumen/sensiblen Daten/systematischer Überwachung | Ja (180 Tage/Jahr ansässig) | Ja (bei Erfüllung der Residenzpflicht) | 1 Mio. MYR / mögliche Freiheitsstrafe |
| Südkorea | PIPA Art. 31 (Änderungen 2023 + 2026) | Chief Privacy Officer | Alle Verantwortlichen und Auftragsverarbeiter für personenbezogene Informationen | Nein | Nein (intern, mit Entscheidungsbefugnis) | 10 % Gesamtumsatz (Änderung 2026) |
| Thailand | PDPA §§ 41-42 / Notification Dez. 2023 | Datenschutzbeauftragter | Öffentliche Stellen; umfangreiche Überwachung; Verarbeitung sensibler Daten | Nein | Ja | 5 Mio. THB (~140.000 USD) |
| Südafrika | POPIA § 56 | Information Officer | Alle Verantwortlichen | Nein | Deputy Information Officer möglich | 10 Mio. ZAR / 10 Jahre Freiheitsstrafe |
| VAE (Bund) | PDPL / Durchführungsverordnungen | Datenschutzbeauftragter | Risikoreiche oder sensible umfangreiche Verarbeitung | Nein | Ja | Ausstehende Sekundärvorschriften |
| DIFC | DIFC DPL Nr. 5/2020 | Datenschutzbeauftragter | DIFC-Einrichtungen; High-Risk-Processing-Unternehmen | Ja (VAE-ansässig, Konzernausnahme) | Vorbehaltlich des DPL | Aufsichtsmaßnahme des DIFC Commissioner |
| ADGM | ADGM DP Regs 2021 | Datenschutzbeauftragter | Umfangreiche systematische oder besondere Datenverarbeitung | Nein | Vorbehaltlich der Regs | Aufsichtsmaßnahme des ADGM Commissioner |
| Indonesien | PDP-Gesetz Nr. 27/2022 Art. 53 | Datenschutzbeauftragter | Öffentliche Dienstleistungen; umfangreiche Überwachung; umfangreiche Verarbeitung besonderer Daten | Nein | Ausstehende Verordnungen | 60 Mrd. IDR (~3,7 Mio. USD) / 6 Jahre Freiheitsstrafe |
| Vietnam | PDPL Nr. 91/2025 | Datenschutzpersonal/-abteilung | Alle Verantwortlichen/Auftragsverarbeiter (KMU-Ausnahme) | Nein | Ja (externe Anbieter) | Ausstehende Sekundärvorschriften |
| Japan | APPI | Kein formeller Datenschutzbeauftragter vorgeschrieben | Entfällt (freiwillige bewährte Praxis) | Entfällt | Entfällt | 100 Mio. JPY (~670.000 USD) |
| Australien | Privacy Act 1988 | Kein formeller Datenschutzbeauftragter vorgeschrieben | Entfällt (freiwillig; Reformvorschläge laufend) | Entfällt | Entfällt | 50 Mio. AUD |
| Kanada | PIPEDA / Bill C-27 | Privacy Officer (verpflichtend nach geplantem CPPA) | Alle Organisationen (CPPA noch nicht verabschiedet) | Nein | Entfällt | 25 Mio. CAD / 5 % Umsatz (vorgeschlagen) |
Interner versus externer Datenschutzbeauftragter
Die meisten großen Datenschutzrahmen erlauben, dass die Rolle des Datenschutzbeauftragten von einem externen Dienstleister oder einem gemeinsam genutzten Datenschutzbeauftragten wahrgenommen wird, sofern die Anforderungen an Unabhängigkeit und Fachwissen erfüllt sind. Art. 37 Abs. 2 DSGVO erlaubt es einer Unternehmensgruppe ausdrücklich, einen einzigen Datenschutzbeauftragten zu benennen, sofern diese Person "von jeder Niederlassung aus leicht erreicht werden kann".
Externe DPO-Dienstleistungen sind in den meisten Rechtsordnungen kommerziell verfügbar und bei kleinen und mittleren Unternehmen beliebt. Nach der DSGVO, der LGPD und dem thailändischen PDPA muss ein externer Datenschutzbeauftragter dieselben Unabhängigkeitsanforderungen erfüllen wie ein interner: Er darf nicht gleichzeitig zu den Verarbeitungsentscheidungen beraten, die er eigentlich überwachen soll, und die Organisation bleibt vollumfänglich für die Compliance verantwortlich.
Zu den Rechtsordnungen, die eine interne Bestellung verlangen, zählen: China (der Verantwortliche muss eine interne Person mit Befugnis innerhalb der Organisation sein), Südkorea (der CPO muss über interne Entscheidungsbefugnis verfügen) und Indien (der Datenschutzbeauftragte muss eine leitende Führungskraft des SDF selbst sein).
Zu beachten: Die Nutzung einer Anwaltskanzlei oder eines Beraters für Datenschutzrecht als Datenschutzbeauftragter erfüllt nicht automatisch die Unabhängigkeitsanforderungen. Der EDSA hat darauf hingewiesen, dass ein Rechtsberater, der demselben Mandanten auch Empfehlungen zur Verarbeitung gibt, einen Interessenkonflikt aufweisen kann. Bei der Nutzung externer Dienstleister sollte eine klare Trennung zwischen Beratungsleistungen und den Aufsichtsfunktionen des Datenschutzbeauftragten aufrechterhalten werden.
Wie ein Datenschutzbeauftragter wirksam bestellt und positioniert wird
Basierend auf den WP243rev.01-Leitlinien des EDSA und den Feststellungen des CEF-Berichts vom Januar 2024 verringern die folgenden Schritte das Compliance-Risiko:
Schritt 1: Feststellen, ob die Bestellung verpflichtend ist. Erfassen Sie alle Rechtsordnungen, in denen Ihre Organisation niedergelassen ist oder personenbezogene Daten verarbeitet. Wenden Sie die jeweiligen Voraussetzungen jeder Rechtsordnung an. Dokumentieren Sie die Analyse und überprüfen Sie sie jährlich oder bei wesentlichen betrieblichen Änderungen.
Schritt 2: Eine qualifizierte Person auswählen. Das erforderliche Maß an "Fachwissen" richtet sich nach der Komplexität der Verarbeitungstätigkeiten der Organisation. Ein Datenschutzbeauftragter für ein Krankenhaus benötigt tieferes Fachwissen als der einer kleinen Gemeinde. Zertifizierungen (CIPP/E, CIPM, CDPSE) sind gängige Nachweise für Fachwissen, jedoch nach EU-Recht nicht vorgeschrieben.
Schritt 3: Eine Prüfung auf Interessenkonflikte durchführen. Ermitteln Sie jede Funktion, die der Kandidat innehat oder innehaben wird und die die Festlegung der Zwecke oder Mittel der Datenverarbeitung betrifft. Nach der südkoreanischen PIPA-Änderung von 2026 erfordert die Bestellung, Neuzuweisung oder Abberufung des CPO einen förmlichen Vorstandsbeschluss. Vergleichbare Governance-Mechanismen sollten als bewährte Praxis auch in anderen Rechtsordnungen erwogen werden.
Schritt 4: Angemessene Ressourcen bereitstellen. Der CEF-2023-Bericht identifizierte unzureichende Ressourcen als das häufigste betriebliche Defizit. Der Datenschutzbeauftragte muss über geschützte Zeit, Budget sowie Zugang zu Verarbeitungsvorgängen und relevantem Personal verfügen. Teilzeit-Datenschutzbeauftragte sind zulässig, müssen jedoch über ausreichend Zeit für die Rolle verfügen.
Schritt 5: Direkte Berichtslinien einrichten. Der Datenschutzbeauftragte muss nach Art. 38 Abs. 3 DSGVO an die höchste Managementebene berichten. Indiens DPDP Rules und die südkoreanische PIPA-Änderung von 2026 verlangen gesetzlich eine Berichtspflicht auf Vorstandsebene.
Schritt 6: Registrieren und melden, wo erforderlich. Meldepflichten bestehen unter anderem in: Singapur (PDPC, seit Juni 2025), Malaysia (PDPA Commissioner), Polen (UODO, innerhalb von 14 Tagen), Südafrika (Information Regulator), ADGM (Commissioner, innerhalb eines Monats) und auf VAE-Bundesebene (UAE Data Office). Veröffentlichen Sie die Kontaktdaten des Datenschutzbeauftragten in der Datenschutzerklärung und auf der Website der Organisation.
Aktuelle Entwicklungen (2024-2026)
EDSA-Bericht zur CEF 2023 (Januar 2024). Die koordinierte Durchsetzungsmaßnahme des EDSA untersuchte über 17.000 Antworten von Datenschutzbeauftragten und Organisationen aus 25 EWR-Aufsichtsbehörden. Sie identifizierte systemische Defizite bei der Ausstattung und Unabhängigkeit von Datenschutzbeauftragten. Den nationalen Behörden wurde empfohlen, in den Jahren 2025-2026 mit gezielten Untersuchungen und Durchsetzungsmaßnahmen nachzufassen.
Erweiterung der DPO-Arbeitslast durch den EU AI Act. Der EU AI Act (Verordnung (EU) 2024/1689) enthält Pflichten für Hochrisiko-KI-Systeme, die am 2. August 2026 vollständig anwendbar werden. Viele Organisationen weisen die KI-Compliance-Aufsicht bestehenden Datenschutzbeauftragten zu, insbesondere für Hochrisiko-KI-Systeme, die auch personenbezogene Daten verarbeiten und daher Datenschutz-Folgenabschätzungen nach der DSGVO erfordern.
Verpflichtender Datenschutzbeauftragter in Malaysia (Juni 2025). Der Personal Data Protection (Amendment) Act 2024 trat bis Juni 2025 vollständig in Kraft und führte für qualifizierende Verantwortliche und Auftragsverarbeiter verpflichtende DPO-Anforderungen mit Residenz- und Meldepflichten ein.
Indiens DPDP Rules (November 2025). MeitY machte die DPDP Rules am 13. November 2025 bekannt und setzte damit den SDF-Klassifizierungsrahmen sowie die DPO-Pflicht für benannte Einrichtungen in Kraft. Gleichzeitig wurde das Data Protection Board of India eingerichtet.
Südkoreanische PIPA-Änderung 2026 (in Kraft ab September 2026). Verabschiedet am 12. Februar 2026, verkündet am 10. März 2026. Führt den CEO als letztlich Verantwortlichen ein, verlangt einen Vorstandsbeschluss für Änderungen beim CPO, führt eine Bußgeldobergrenze von 10 % des Umsatzes für schwere Verstöße ein und macht ab 1. Juli 2027 eine ISMS-P-Zertifizierung für große Verantwortliche verpflichtend.
Vietnamesisches PDPL (Januar 2026). Vietnams erstes eigenständiges Datenschutzgesetz trat in Kraft und verlangt für die meisten Organisationen Datenschutzpersonal oder -abteilungen, mit Ausnahmen für Start-ups und Kleinstunternehmen.
Entscheidung des indonesischen Verfassungsgerichts (Juli 2025). Die Entscheidung Nr. 151/PUU-XXII/2024 erweiterte die verpflichtenden DPO-Schwellenwerte nach dem PDP-Gesetz von 2022; die Durchführungsverordnungen zur Festlegung der überarbeiteten Kriterien stehen noch aus.
Meldepflicht für Datenschutzbeauftragte in Singapur (Juni 2025). Die PDPC führte eine Meldepflicht ein, wonach Organisationen die Kontaktdaten ihres Datenschutzbeauftragten registrieren müssen, was die Rechenschaftspflicht erhöht und eine gezielte behördliche Aufsicht ermöglicht.
Wo Sie mehr erfahren
Für Organisationen, die der DSGVO unterliegen, ist die grundlegende Referenz die vom EDSA gebilligten WP29-Leitlinien zu Datenschutzbeauftragten (WP243rev.01), verfügbar unter edpb.europa.eu. Für den umfassenderen DSGVO-Compliance-Rahmen, in den sich die DPO-Pflicht einfügt, siehe die DSGVO-Compliance-Checkliste und den Hub zu den EU-Datenschutzgesetzen auf dieser Website.
Organisationen, die in mehreren Rechtsordnungen tätig sind, sollten sich vor der endgültigen Festlegung ihrer DPO-Struktur von qualifizierten Datenschutzanwälten in jeder relevanten Rechtsordnung beraten lassen.
Haftungsausschluss
Dieser Artikel enthält allgemeine rechtliche Informationen über die Anforderungen an Datenschutzbeauftragte in mehreren Rechtsordnungen mit Stand vom 2026-05-19. Es handelt sich nicht um Rechtsberatung. Die beschriebenen Gesetze und Vorschriften ändern sich häufig und wurden möglicherweise nach dem Datum der Überprüfung geändert. Leser sollten sich bei diesem Artikel nicht auf eine Beratung durch einen in den jeweils relevanten Rechtsordnungen zugelassenen und qualifizierten Rechtsanwalt verlassen. Durch das Lesen dieses Artikels entsteht kein Mandatsverhältnis.
Zitierte Rechtsquellen
- Verordnung (EU) 2016/679 (DSGVO), Art. 37-39, 83 Abs. 4. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- WP29, Leitlinien zu Datenschutzbeauftragten (WP243rev.01), 5. April 2017 (vom EDSA gebilligt). https://ec.europa.eu/newsroom/article29/items/612048
- EDSA, CEF-2023-Bericht zur Benennung und Stellung von Datenschutzbeauftragten, 16. Januar 2024. https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en
- Bundesdatenschutzgesetz (BDSG) 2018, § 38. https://www.gesetze-im-internet.de/bdsg_2018/__38.html
- ICO (UK), Guide to Accountability and Governance: Data Protection Officers. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/guide-to-accountability-and-governance/accountability-and-governance/data-protection-officers/
- Brasilien LGPD, Gesetz 13.709/2018, Art. 41. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- ANPD-Resolution CD/ANPD Nr. 2, 27. Januar 2022. https://www.gov.br/anpd/pt-br
- China PIPL, in Kraft seit 1. November 2021, Art. 52. http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
- Indien DPDPA 2023, Section 10. https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf
- Indien DPDP Rules 2025, bekannt gemacht am 13. November 2025. https://www.meity.gov.in
- Singapur PDPA 2012 (rev. 2021), Section 11(3). https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
- Malaysia Personal Data Protection (Amendment) Act 2024. https://www.pdp.gov.my/ppdpv1/en/akta/personal-data-protection-amendment-act-2024/
- Südkorea PIPA, Art. 31 (Änderung 2023). https://www.law.go.kr/LSW/eng/engLsSc.do?menuId=2§ion=lawNm&query=personal+information+protection&x=0&y=0
- Südkorea PIPA-Änderung (verkündet 10. März 2026, in Kraft ab 11. September 2026). https://iapp.org/news/a/south-korea-overhauls-pipa-and-ties-fines-to-ceo-accountability
- Thailand PDPA B.E. 2562 (2019), Sections 41-42; PDPC Notification zur Bestellung von Datenschutzbeauftragten (in Kraft seit 13. Dezember 2023). https://www.mdes.go.th/law
- Südafrika POPIA, Act 4 von 2013, Section 56. https://www.gov.za/documents/protection-personal-information-act
- VAE Bundesgesetzesdekret Nr. 45 von 2021 (PDPL), Art. 10. https://uaepdpl.com/article-10/
- DIFC Data Protection Law No. 5 of 2020. https://www.difc.ae/business/laws-regulations/legal-database/data-protection-law-difc-law-no-5-2020/
- ADGM Data Protection Regulations 2021. https://www.adgm.com/operating-in-adgm/office-of-data-protection/guidance
- Indonesien Gesetz Nr. 27 von 2022 über den Schutz personenbezogener Daten, Art. 53. https://jdih.kominfo.go.id
- Vietnam Gesetz Nr. 91/2025/QH15 zum Schutz personenbezogener Daten (in Kraft seit 1. Januar 2026). https://www.ey.com/en_vn/technical/tax/tax-and-law-updates/legal-alert-july-2025-personal-data-protection-law
- Polnische UODO, Bußgeld von 132.000 Euro wegen fehlerhafter Positionierung des Datenschutzbeauftragten (2025). https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-132-000-eu-improper-positioning-dpo-and_en
- Polnische UODO, Bußgeld von 5.814 Euro wegen unterlassener Bestellung eines Datenschutzbeauftragten (2025). https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-5-814-eu-failure-designate-data-protection_en
- BlnBDI (Berlin), Bußgeld von 525.000 Euro wegen Interessenkonflikts des Datenschutzbeauftragten (Art. 38 Abs. 6 DSGVO). https://gdprhub.eu/index.php?title=BlnBDI_(Berlin)_-_Berlin_DPO_Conflict_of_Interest
Zuletzt aktualisiert: 2026-05-19. Die zitierten Gesetze spiegeln ihre am 2026-05-19 geltende Fassung wider.
Frequently Asked Questions
Welche drei Voraussetzungen machen die Bestellung eines Datenschutzbeauftragten nach der DSGVO verpflichtend?
Art. 37 Abs. 1 DSGVO verlangt die Bestellung eines Datenschutzbeauftragten für: (1) Behörden oder öffentliche Stellen (mit Ausnahme von Gerichten in ihrer justiziellen Tätigkeit); (2) Verantwortliche oder Auftragsverarbeiter, deren Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen erfordert; und (3) Verantwortliche oder Auftragsverarbeiter, deren Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) oder strafrechtlicher Daten (Art. 10) umfasst. Die Erfüllung nur einer dieser Voraussetzungen macht die Bestellung verpflichtend.
Braucht jedes Unternehmen einen Datenschutzbeauftragten?
Nein, nicht generell. Nach der DSGVO müssen nur Organisationen, die mindestens eine der drei Voraussetzungen des Art. 37 erfüllen, einen Datenschutzbeauftragten bestellen. Singapurs PDPA gilt hingegen für jede Organisation, die personenbezogene Daten verarbeitet, unabhängig von der Größe. Südkoreas PIPA verlangt die Bestellung eines CPO durch alle Verantwortlichen und Auftragsverarbeiter für personenbezogene Informationen. Südafrikas POPIA verlangt von allen Verantwortlichen die Registrierung eines Information Officer. Brasiliens LGPD verlangt von allen Verantwortlichen die Bestellung eines Encarregado, vorbehaltlich Ausnahmen für Kleinunternehmen.
Welche Qualifikationen benötigt ein Datenschutzbeauftragter nach der DSGVO?
Art. 37 Abs. 5 verlangt 'Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis'. Ein bestimmter Abschluss oder eine bestimmte Zertifizierung ist nicht vorgeschrieben. Das erforderliche Niveau richtet sich nach der Komplexität der Verarbeitung. CIPP/E- und CIPM-Zertifizierungen der IAPP gelten weithin als Indikator für das erforderliche Fachwissen, bleiben jedoch freiwillig. Rumänien ist derzeit der einzige EU-Mitgliedstaat, der über nationales Recht eine formale Qualifikationspflicht vorschreibt.
Kann ein Datenschutzbeauftragter wegen der Erfüllung seiner Aufgaben abberufen werden?
Nein. Art. 38 Abs. 3 DSGVO sieht vor, dass der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf. Dieser Schutz stellt sicher, dass der Datenschutzbeauftragte Compliance-Bedenken ohne Vergeltungsmaßnahmen äußern kann. Vergleichbare Bestimmungen zum Kündigungsschutz finden sich in der brasilianischen LGPD und dem thailändischen PDPA. Ein Datenschutzbeauftragter kann aus Gründen abberufen werden, die in keinem Zusammenhang mit seinen DPO-Aufgaben stehen, sofern diese Gründe nachweislich unabhängig von der Compliance-Tätigkeit sind.
Kann ein Datenschutzbeauftragter für mehrere Konzernunternehmen tätig sein?
Ja. Nach Art. 37 Abs. 2 DSGVO kann eine Unternehmensgruppe einen einzigen Datenschutzbeauftragten benennen, sofern dieser 'von jeder Niederlassung aus leicht erreicht werden kann'. Dies wird von multinationalen Konzernen für ihre EU-Tätigkeiten häufig genutzt. Chinas PIPL und Indiens DPDPA verlangen jedoch eine lokal ansässige Person, sodass ein europabasierter Konzern-Datenschutzbeauftragter diese Pflichten nicht erfüllen kann. Südkorea verlangt einen CPO mit interner Entscheidungsbefugnis, was die Nutzung konzernweiter oder externer Datenschutzbeauftragter einschränkt.
Welche Strafe droht bei Nichtbestellung eines erforderlichen Datenschutzbeauftragten nach der DSGVO?
Nach Art. 83 Abs. 4 Buchst. a kann die Nichtbestellung eines erforderlichen Datenschutzbeauftragten Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes zur Folge haben. 2025 verhängte die polnische UODO ein Bußgeld von 5.814 Euro gegen eine öffentliche Stelle, die keinen Datenschutzbeauftragten bestellt hatte, sowie ein Bußgeld von 132.000 Euro wegen fehlerhafter Positionierung des Datenschutzbeauftragten. Strafen in anderen Rechtsordnungen: Chinas PIPL bis zu 50 Millionen CNY oder 5 % des Umsatzes; Südkoreas PIPA (Änderung 2026) bis zu 10 % des Gesamtumsatzes.
Haftet ein Datenschutzbeauftragter persönlich für Datenschutzverstöße der Organisation?
Nein. Die DSGVO und die meisten anderen Regelwerke legen die rechtliche Verantwortung beim Verantwortlichen oder Auftragsverarbeiter, nicht beim Datenschutzbeauftragten. Der Datenschutzbeauftragte berät, überwacht und arbeitet zusammen, trifft jedoch keine eigenen Verarbeitungsentscheidungen. Der Verantwortliche bleibt dafür zuständig, sicherzustellen, dass der Rat des Datenschutzbeauftragten befolgt wird. Eine Haftung des Datenschutzbeauftragten wegen Vertraulichkeitsverletzung oder persönlicher Interessenkonflikte ist eine gesonderte Frage, die dem nationalen Arbeits- und Vertragsrecht unterliegt.
Welche Funktionen führen zu einem Interessenkonflikt, der eine Bestellung als Datenschutzbeauftragter ausschließt?
Die WP243rev.01-Leitlinien des EDSA nennen jede Funktion, die über Zwecke und Mittel der Datenverarbeitung entscheidet, als mit der Position des Datenschutzbeauftragten unvereinbar. Dazu zählen typischerweise: Geschäftsführer (CEO), COO, CTO, Leiter IT, Leiter Personalwesen, Leiter Marketing und Leiter Recht. 2025 verhängte die Berliner Datenschutzbehörde ein Bußgeld von 525.000 Euro und die polnische UODO ein Bußgeld von 132.000 Euro wegen Interessenkonflikten des Datenschutzbeauftragten nach Art. 38 Abs. 6 DSGVO.
Kann ein externer Berater oder eine Anwaltskanzlei als Datenschutzbeauftragter tätig sein?
Ja, nach der DSGVO, der brasilianischen LGPD und dem thailändischen PDPA kann die Funktion des Datenschutzbeauftragten an einen externen Dienstleister ausgelagert werden, sofern dieser dieselben Anforderungen an Unabhängigkeit und Fachwissen erfüllt wie ein interner Datenschutzbeauftragter. Malaysia erlaubt eine Auslagerung vorbehaltlich der 180-Tage-Residenzpflicht. Chinas PIPL und Südkoreas PIPA erwarten eine interne, mit organisatorischer Befugnis ausgestattete Person. Eine Anwaltskanzlei, die denselben Mandanten auch zu Verarbeitungsentscheidungen berät, sollte eine strikte Trennung der Aufgabenbereiche einhalten, um Interessenkonflikte zu vermeiden.
Was verlangt Malaysias PDPA-Änderung von 2024 für Datenschutzbeauftragte?
Der seit Juni 2025 in Kraft befindliche Personal Data Protection (Amendment) Act 2024 verlangt von Verantwortlichen und Auftragsverarbeitern, die große Mengen personenbezogener Daten verarbeiten, sensible personenbezogene Daten verarbeiten oder eine regelmäßige und systematische Überwachung durchführen, die Bestellung eines Datenschutzbeauftragten. Dieser muss mindestens 180 Tage im Jahr in Malaysia ansässig sein. Die Bestellung muss dem Personal Data Protection Commissioner gemeldet werden. Ausgelagerte Datenschutzbeauftragte sind zulässig, sofern die Residenzpflicht erfüllt ist.
Was ändert Südkoreas PIPA-Änderung von 2026 für Datenschutzbeauftragte?
Die am 12. Februar 2026 verabschiedete und ab 11. September 2026 in Kraft tretende Änderung bestimmt den CEO oder Geschäftsführer als letztlich für den Datenschutz Verantwortlichen. Die Bestellung, Neuzuweisung oder Abberufung des CPO erfordert nun einen förmlichen Vorstandsbeschluss und muss für qualifizierende Organisationen der PIPC gemeldet werden. Der CPO muss unmittelbar sowohl an den CEO als auch an den Vorstand berichten. Die Strafen für wiederholte oder schwerwiegende Verstöße steigen auf 10 % des Gesamtumsatzes.
Sources and References
- DSGVO Verordnung (EU) 2016/679, Art. 37-39, 83 Abs. 4(eur-lex.europa.eu).gov
- WP29-Leitlinien zu Datenschutzbeauftragten (WP243rev.01)(ec.europa.eu).gov
- EDSA CEF-2023-Bericht zu Datenschutzbeauftragten, Januar 2024(edpb.europa.eu).gov
- Deutschland BDSG § 38 – Datenschutzbeauftragte(gesetze-im-internet.de).gov
- UK ICO – Leitfaden zu Datenschutzbeauftragten(ico.org.uk).gov
- Brasilien LGPD Artikel 41(planalto.gov.br).gov
- China PIPL Artikel 52(npc.gov.cn).gov
- Indien DPDPA 2023 Section 10(meity.gov.in).gov
- Malaysia Personal Data Protection (Amendment) Act 2024(pdp.gov.my).gov
- Südkorea PIPA Artikel 31(law.go.kr).gov
- Südkorea PIPA-Änderung 2026(iapp.org)
- Thailand PDPA Sections 41-42(mdes.go.th).gov
- Südafrika POPIA Section 56(gov.za).gov
- VAE PDPL Artikel 10(uaepdpl.com)
- DIFC Data Protection Law No. 5 of 2020(difc.ae).gov
- ADGM Office of Data Protection – Leitfaden(adgm.com).gov
- Singapur PDPA Section 11(3)(pdpc.gov.sg).gov
- Polnische UODO – Bußgeld von 132.000 Euro wegen fehlerhafter DPO-Positionierung (2025)(edpb.europa.eu).gov
- Polnische UODO – Bußgeld von 5.814 Euro wegen unterlassener DPO-Bestellung (2025)(edpb.europa.eu).gov
- Berliner Datenschutzbehörde – Bußgeld von 525.000 Euro wegen Interessenkonflikts des Datenschutzbeauftragten(gdprhub.eu)