DSGVO-Datenschutzbeauftragter: Brauchen Sie einen DSB? (2026)

Die Artikel 37 bis 39 der DSGVO verlangen von bestimmten Verantwortlichen und Auftragsverarbeitern die Bestellung eines Datenschutzbeauftragten (DSB). Die Pflicht besteht verbindlich in drei Fällen: Sie sind eine Behörde oder öffentliche Stelle; Ihre Kerntätigkeit erfordert eine umfangreiche regelmäßige und systematische Überwachung von Personen; oder Ihre Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder strafrechtlicher Daten.
Wann ist ein Datenschutzbeauftragter verpflichtend? Die drei Auslöser aus Artikel 37 Absatz 1
Artikel 37 Absatz 1 der Verordnung (EU) 2016/679 nennt drei Voraussetzungen, von denen jede einzelne eine verpflichtende Bestellungspflicht für einen Datenschutzbeauftragten auslöst. Die Erfüllung eines einzigen Auslösers genügt.
| Auslöser | Artikel | Typisches Beispiel |
|---|---|---|
| Behörde oder öffentliche Stelle (außer Gerichten in ihrer justiziellen Tätigkeit) | Art. 37 Abs. 1 Buchst. a | Eine nationale Steuerbehörde, eine Kommunalverwaltung, eine öffentliche Universität, ein staatliches Krankenhaus |
| Die Kerntätigkeit erfordert eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen | Art. 37 Abs. 1 Buchst. b | Ein Werbenetzwerk im Internet, ein Telekommunikationsanbieter, der Anrufdaten erfasst, eine Bank, die Bonitätsbewertungen durchführt |
| Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) oder strafrechtlicher Daten (Art. 10) | Art. 37 Abs. 1 Buchst. c | Eine Krankenhauskette, die Patientenakten verarbeitet, ein privates Sicherheitsunternehmen, das in großem Umfang Führungszeugnisse prüft |
Erwägungsgrund 97 bestätigt diesen Rahmen und ergänzt, dass das erforderliche Fachwissen des Datenschutzbeauftragten der Komplexität der Verarbeitungsvorgänge entsprechen sollte.
Auslöser eins: Behörde oder öffentliche Stelle (Artikel 37 Absatz 1 Buchstabe a)
Jede Behörde oder öffentliche Stelle muss einen Datenschutzbeauftragten bestellen, unabhängig vom Umfang oder der Sensibilität ihrer Verarbeitung. Der Auslöser gilt unbedingt: Es ist kein Mengenschwellenwert, keine bestimmte Datenkategorie und keine spezifische Tätigkeitsart erforderlich.
Die ausdrückliche Ausnahme betrifft Gerichte, die in ihrer justiziellen Tätigkeit handeln. Erwägungsgrund 20 erläutert, dass die richterliche Unabhängigkeit verlangt, dass Aufsichtsbehörden die Fallbearbeitung der Gerichte nicht unmittelbar überprüfen. Andere Verwaltungsfunktionen der Gerichte (Gehaltsabrechnung, Personalverwaltung, Gebäudemanagement) unterliegen weiterhin der DSGVO; diese Tätigkeiten fallen nicht unter die Ausnahme für die justizielle Tätigkeit.
Was als öffentliche Stelle gilt, richtet sich nach dem nationalen Recht des jeweiligen EU-Mitgliedstaats. Zentrale Regierungsbehörden, regionale und lokale Gebietskörperschaften, Regulierungsbehörden, staatlich finanzierte öffentliche Rundfunkanstalten, öffentlich finanzierte Universitäten und öffentliche Krankenhäuser sind die typischen Fälle. Gemischt öffentlich-private Stellen und staatseigene Unternehmen können je nach Verfassungs- und Verwaltungsrecht des jeweiligen Mitgliedstaats erfasst sein oder nicht.
Auslöser zwei: Umfangreiche regelmäßige und systematische Überwachung (Artikel 37 Absatz 1 Buchstabe b)
Auslöser zwei gilt für Verantwortliche und Auftragsverarbeiter, deren Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen erfordert. Beide Elemente bedürfen einer genauen Prüfung: "regelmäßige und systematische Überwachung" und "umfangreich" sind eigenständige Voraussetzungen.
Was "regelmäßige und systematische Überwachung" bedeutet
Die ehemalige Artikel-29-Datenschutzgruppe (WP29), deren Leitlinien am 25. Mai 2018 vom Europäischen Datenschutzausschuss (EDSA) gebilligt wurden, behandelte dies in WP243rev.01. "Regelmäßig" bedeutet fortlaufend, in festen Abständen wiederkehrend oder ständig beziehungsweise periodisch stattfindend. "Systematisch" bedeutet, dass die Überwachung nach einem System erfolgt, vorab geplant oder methodisch ist oder Teil eines allgemeinen Datenerhebungsplans darstellt.
Beispiele der WP29 für eine regelmäßige und systematische Überwachung: der Betrieb eines Telekommunikationsnetzes; das Anbieten von Internetdiensten; die Erfassung von Standortdaten mobiler Anwendungen; Kundenbindungsprogramme mit Verhaltensanalyse; die Verarbeitung biometrischer Daten zur Zugangskontrolle; Videoüberwachung von Personen im öffentlichen Raum; verhaltensbasierte Werbung; sowie die Verfolgung über vernetzte Geräte.
Was "umfangreich" bedeutet
Die DSGVO definiert "umfangreich" nicht anhand einer festen Zahl. Erwägungsgrund 91 besagt, dass eine umfangreiche Verarbeitung darauf abzielt, eine beträchtliche Menge personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten und eine große Zahl betroffener Personen betreffen könnte. Als Gegenbeispiel führt Erwägungsgrund 91 an, dass ein einzelner Arzt oder Rechtsanwalt, der Patienten- oder Mandantendaten verarbeitet, keine umfangreiche Verarbeitung darstellt.
Die WP29 nannte vier Bewertungsfaktoren: die Zahl der betroffenen Personen (absolut oder als Anteil der jeweiligen Bevölkerung); den Umfang beziehungsweise die Bandbreite der verarbeiteten Daten; die Dauer beziehungsweise Beständigkeit der Tätigkeit; sowie die geografische Ausdehnung.
Der EDSA behandelt Folgendes als umfangreich: ein Krankenhaus, das im normalen Betrieb Patientendaten verarbeitet; ein Verkehrsunternehmen, das Fahrgastdaten im öffentlichen Nahverkehr einer Stadt verarbeitet; ein Anbieter, der ein nationales Straßennetz in Echtzeit geolokalisiert; eine Suchmaschine, die weltweit Daten für verhaltensbasierte Werbung verarbeitet. Nicht umfangreich: ein einzelner Arzt oder Facharzt, der Patientenakten verarbeitet; ein einzelner Rechtsanwalt, der Mandantendaten verarbeitet.
Auslöser drei: Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder strafrechtlicher Daten (Artikel 37 Absatz 1 Buchstabe c)
Auslöser drei stellt auf die Sensibilität der Daten ab und nicht auf die Art der Überwachung. Er gilt, wenn die Kerntätigkeit in der umfangreichen Verarbeitung der in Artikel 9 Absatz 1 genannten besonderen Kategorien oder strafrechtlicher Daten nach Artikel 10 besteht.
Artikel 9 Absatz 1 nennt acht besondere Kategorien: rassische und ethnische Herkunft; politische Meinungen; religiöse oder weltanschauliche Überzeugungen; Gewerkschaftszugehörigkeit; genetische Daten; biometrische Daten, die zur eindeutigen Identifizierung verarbeitet werden; Gesundheitsdaten; sowie Daten zum Sexualleben oder zur sexuellen Orientierung.
Daten nach Artikel 10 betreffen strafrechtliche Verurteilungen und Straftaten. Die meisten Organisationen, die Artikel-10-Daten im Rahmen ihrer Kerntätigkeit verarbeiten, tun dies auf Grundlage einer besonderen gesetzlichen Öffnungsklausel. Das Erfordernis der Umfangreichheit bleibt bestehen; eine kleine gemeinnützige Organisation, die eine einzelne Prüfung eines Führungszeugnisses für eine ehrenamtliche Person durchführt, löst diesen Auslöser nicht aus.
Organisationen, die Auslöser drei wahrscheinlich erfüllen: ein privater Krankenversicherer, der medizinische Risikoprüfungsdaten für seinen gesamten Kundenstamm verarbeitet; eine Personalvermittlung, die in großem Umfang Führungszeugnisse prüft; ein Anbieter genetischer Tests, der DNA-Daten von Hunderttausenden Verbrauchern verarbeitet; ein Anbieter biometrischer Zugangskontrolle für eine große Belegschaft.
Der Begriff der "Kerntätigkeit"
Auslöser zwei und drei setzen jeweils voraus, dass die betreffende Verarbeitung Teil der "Kerntätigkeiten" der Organisation ist. Nebensächliche oder unterstützende Verarbeitungen lösen die Pflicht zur Bestellung eines Datenschutzbeauftragten nicht aus.
Die WP29 zog die Grenze zwischen primären Geschäftsfunktionen und Unterstützungsfunktionen wie Gehaltsabrechnung, IT-Verwaltung und Personalwesen. Ein Krankenhaus verarbeitet Gesundheitsdaten als Kerntätigkeit, weil die Gesundheitsversorgung sein primärer Zweck ist. Seine Gehaltsabrechnung, obwohl sie personenbezogene Daten betrifft, ist nebensächlich und löst Auslöser drei nicht aus.
Ein Sicherheitsunternehmen, das Einkaufszentren und öffentliche Räume per Videoüberwachung überwacht, betreibt eine regelmäßige und systematische Überwachung als Kerntätigkeit, weil die Überwachung die primäre Dienstleistung ist, die es verkauft. Ein Supermarkt, der zur Diebstahlprävention Videoüberwachung einsetzt, nutzt die Überwachung als sekundäres Hilfsmittel, nicht als primäres Angebot.
Viele mittelständische Unternehmen verarbeiten umfangreich personenbezogene Daten in HR-Systemen, CRM-Plattformen und Buchhaltungssoftware, doch keine dieser Tätigkeiten ist im Sinne der DSGVO eine Kerntätigkeit. Ein Hersteller, dessen primäre Tätigkeit die Produktion von Waren ist, verarbeitet Mitarbeiter- und Kundendaten als Unterstützungsfunktion. Umfasst seine Kerntätigkeit keine umfangreiche Überwachung oder umfangreiche Verarbeitung besonderer Kategorien, entsteht keine verpflichtende Bestellungspflicht nach Auslöser zwei oder drei.
Freiwillige Bestellung eines Datenschutzbeauftragten
Artikel 37 Absatz 4 bestätigt, dass Organisationen, bei denen die Bestellung nicht verpflichtend ist, einen Datenschutzbeauftragten "bestellen können oder müssen". Die Formulierung "müssen" bezieht sich auf Möglichkeiten des mitgliedstaatlichen oder Unionsrechts, die eine Bestellung über die Grundregel des Artikels 37 Absatz 1 hinaus vorschreiben können; Organisationen sollten das nationale Umsetzungsrecht prüfen.
Der EDSA empfiehlt die freiwillige Bestellung für jede Organisation, die erhebliche Mengen personenbezogener Daten verarbeitet, unabhängig davon, ob die verpflichtenden Schwellenwerte erfüllt sind. Ein freiwillig bestellter Datenschutzbeauftragter kann Rechenschaftspflicht nachweisen, aufsichtsrechtliches Vertrauen aufbauen und das Risiko unentdeckter Verstöße senken.
Entscheidend ist, dass die Artikel 38 und 39 vollständig auf einen freiwillig bestellten Datenschutzbeauftragten anzuwenden sind. Eine Organisation kann keinen nominellen Datenschutzbeauftragten ohne Unabhängigkeit oder ohne den Schutz durch die Interessenkonfliktregeln bestellen.
Wer kann als Datenschutzbeauftragter tätig sein?
Erforderliche Qualifikationen
Artikel 37 Absatz 5 verlangt eine Bestellung auf der Grundlage der beruflichen Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Praxis sowie der Fähigkeit, die Aufgaben nach Artikel 39 zu erfüllen. Eine vorgeschriebene Qualifikation oder Prüfung existiert nicht. Das erforderliche Fachwissen ist der Sensibilität der Daten und der Komplexität der Verarbeitung angemessen.
Die WP29 nannte relevante Fachgebiete: nationales und europäisches Datenschutzrecht; die Branche und den Gegenstand der Organisation; die Geschäfts- und IT-Infrastruktur der Organisation; das Management der Compliance-Funktion; sowie internationale Übermittlungsrahmen.
Für eine kleine Organisation, die lediglich grundlegende Kontaktdaten für einen Newsletter erhebt, kann eine kompetente Mitarbeiterin oder ein kompetenter Mitarbeiter mit angemessenem DSGVO-Verständnis genügen. Für einen großen multinationalen Konzern, der biometrische Daten verarbeitet, verhaltensbasierte Werbung betreibt und Daten über Rechtsordnungen hinweg übermittelt, ist spezialisiertes rechtliches und technisches Fachwissen angemessen.
Mitarbeiterin oder externer Dienstleister
Artikel 37 Absatz 6 erlaubt ausdrücklich, dass der Datenschutzbeauftragte eine Mitarbeiterin beziehungsweise ein Mitarbeiter ist oder die Rolle auf der Grundlage eines Dienstleistungsvertrags wahrnimmt. Das Modell des externen Datenschutzbeauftragten hat seit Inkrafttreten der DSGVO erheblich an Bedeutung gewonnen. Anwaltskanzleien, Beratungsunternehmen und spezialisierte Datenschutzdienstleister bieten gemeinsam genutzte oder anteilige Dienste als Datenschutzbeauftragter an.
Ist der Datenschutzbeauftragte extern, muss der Dienstleistungsvertrag so gestaltet sein, dass die Artikel 38 und 39 eingehalten werden. Der externe Datenschutzbeauftragte muss echten Zugang zu den Verarbeitungsvorgängen und der Geschäftsleitung der Organisation haben und darf nicht lediglich als nomineller Compliance-Ansprechpartner fungieren.
Konzernweiter Datenschutzbeauftragter und Datenschutzbeauftragter für mehrere Behörden
Artikel 37 Absatz 2 erlaubt es einer Unternehmensgruppe, einen einzigen Datenschutzbeauftragten zu bestellen, sofern dieser von jeder Niederlassung aus leicht erreichbar ist. Artikel 37 Absatz 3 erlaubt in ähnlicher Weise einen einzigen Datenschutzbeauftragten für mehrere Behörden oder öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und Größe.
"Leicht erreichbar" ist eine funktionale Anforderung. Der Datenschutzbeauftragte muss für Beschäftigte, betroffene Personen und Aufsichtsbehörden ohne unangemessene Schwierigkeiten erreichbar sein. Die WP29 nannte unterstützende Faktoren: klare Kommunikation der Kontaktdaten des Datenschutzbeauftragten im gesamten Konzern; Verfügbarkeit für Rückfragen zu Datenschutzthemen; sowie physische Präsenz, wo komplexe oder sensible Verarbeitungen stattfinden.
Artikel 37 Absatz 7 verlangt, dass Verantwortliche und Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und der Aufsichtsbehörde mitteilen. Die vollständige Identität muss nicht veröffentlicht werden, wohl aber eine für betroffene Personen zugängliche Kontaktadresse.
Die Aufgaben des Datenschutzbeauftragten nach Artikel 39
Artikel 39 Absatz 1 nennt fünf Mindestaufgaben. Die Formulierung "zumindest" macht deutlich, dass das mitgliedstaatliche Recht, die Vertragsbedingungen des Datenschutzbeauftragten oder die eigene Governance der Organisation zusätzliche Zuständigkeiten zuweisen können.
Aufgabe eins: Unterrichtung und Beratung (Artikel 39 Absatz 1 Buchstabe a)
Der Datenschutzbeauftragte muss den Verantwortlichen, den Auftragsverarbeiter und die Beschäftigten über DSGVO-Pflichten und andere anwendbare Datenschutzvorschriften unterrichten und beraten. Dies umfasst Hinweise zu rechtmäßigen Verarbeitungsgrundlagen, Einwilligungsmechanismen, Verfahren zu den Rechten betroffener Personen, Mitarbeiterschulungen und Datenschutzstrategie.
Der Datenschutzbeauftragte unterrichtet und berät; er entscheidet nicht. Nach Artikel 38 Absatz 3 darf der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Weisungen entgegennehmen, doch der Verantwortliche oder Auftragsverarbeiter behält die Entscheidungsbefugnis darüber, wie personenbezogene Daten verarbeitet werden. Die Rolle des Datenschutzbeauftragten besteht darin, sicherzustellen, dass Entscheidungsträger die Rechtslage verstehen, und nicht konforme Vorgaben zu kennzeichnen.
Aufgabe zwei: Überwachung der Einhaltung (Artikel 39 Absatz 1 Buchstabe b)
Der Datenschutzbeauftragte muss die Einhaltung der DSGVO, anderer anwendbarer Datenschutzvorschriften und der eigenen Datenschutzrichtlinien der Organisation überwachen. Die Überwachung umfasst: die Zuweisung von Datenschutzzuständigkeiten; die Durchführung interner Prüfungen; die Überprüfung von Verarbeitungsverträgen und Datenaustauschvereinbarungen; die Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten; die Überwachung von Anfragen zu den Rechten betroffener Personen; sowie die Nachverfolgung technischer und organisatorischer Sicherheitsmaßnahmen.
Artikel 39 Absatz 1 Buchstabe b nennt zudem die Sensibilisierung und Schulung der Beschäftigten. Der Datenschutzbeauftragte hat daher die fortlaufende Pflicht, die Belegschaft über die DSGVO-Anforderungen auf dem Laufenden zu halten, während sich der rechtliche Rahmen und die Verarbeitungsvorgänge der Organisation weiterentwickeln.
Aufgabe drei: Beratung zu DSFAs (Artikel 39 Absatz 1 Buchstabe c)
Bringt eine neue Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für betroffene Personen mit sich, verlangt Artikel 35 eine Datenschutz-Folgenabschätzung (DSFA) vor Beginn der Verarbeitung. Der Datenschutzbeauftragte berät zur DSFA und überwacht deren Durchführung.
Nach Artikel 38 Absatz 1 muss der Datenschutzbeauftragte "ordnungsgemäß und frühzeitig" eingebunden werden und sollte bereits zu Beginn jedes Projekts konsultiert werden, das voraussichtlich eine DSFA erfordert. Der Rat des Datenschutzbeauftragten und die Reaktion des Verantwortlichen sollten zusammen mit der DSFA dokumentiert werden. Erwägungsgrund 97 weist darauf hin, dass der Datenschutzbeauftragte bei der Beurteilung mitwirken sollte, ob eine DSFA erforderlich ist und wie sie durchzuführen ist.
Setzt ein Verantwortlicher eine Verarbeitung mit hohem Risiko trotz dokumentiertem Einwand des Datenschutzbeauftragten fort, sollten sowohl der Rat des Datenschutzbeauftragten als auch die Entscheidung des Verantwortlichen schriftlich festgehalten werden. Diese Dokumentation belegt die Unabhängigkeit des Datenschutzbeauftragten und die Rechenschaftspflicht des Verantwortlichen nach Artikel 5 Absatz 2.
Aufgabe vier: Zusammenarbeit mit der Aufsichtsbehörde (Artikel 39 Absatz 1 Buchstabe d)
Der Datenschutzbeauftragte muss mit der Aufsichtsbehörde zusammenarbeiten. Die Zusammenarbeit umfasst die Erleichterung von Prüfungen und Untersuchungen; die Bereitstellung von Informationen im Rahmen der Untersuchungsbefugnisse der Behörde nach Artikel 58; die Teilnahme an Besprechungen oder Anhörungen; sowie die Verwaltung von Meldungen von Datenschutzverletzungen an die Aufsichtsbehörde nach Artikel 33.
Aufgabe fünf: Anlaufstelle für die Aufsichtsbehörde (Artikel 39 Absatz 1 Buchstabe e)
Der Datenschutzbeauftragte fungiert als Anlaufstelle für die Aufsichtsbehörde in Fragen der Verarbeitung und führt gegebenenfalls die vorherige Konsultation nach Artikel 36 durch. Die vorherige Konsultation ist das Verfahren, durch das ein Verantwortlicher, der von der DSFA festgestellte Risiken nicht auf ein vertretbares Maß senken kann, vor Beginn der Verarbeitung die Aufsichtsbehörde konsultiert.
Die Funktion als Anlaufstelle bedeutet auch, dass betroffene Personen über eine veröffentlichte Adresse zur Ausübung ihrer DSGVO-Rechte verfügen. Artikel 37 Absatz 7 stellt sicher, dass die Kontaktdaten des Datenschutzbeauftragten öffentlich zugänglich sind, und Artikel 38 Absatz 4 bestätigt, dass betroffene Personen den Datenschutzbeauftragten zu allen Fragen der Verarbeitung und ihrer Rechte kontaktieren können.
Der risikobasierte Ansatz in der Praxis
Artikel 39 Absatz 2 verlangt, dass der Datenschutzbeauftragte bei allen fünf Aufgaben das mit den Verarbeitungsvorgängen verbundene Risiko unter Berücksichtigung von Art, Umfang, Umständen und Zwecken berücksichtigt. Ein verhältnismäßiger, risikobasierter Ansatz lenkt die Aufmerksamkeit auf jene Tätigkeiten, die am ehesten hohe Risiken schaffen: Profiling, automatisierte Entscheidungsfindung, umfangreiche Verarbeitung besonderer Kategorien und grenzüberschreitende Übermittlungen ohne angemessene Garantien.
Unabhängigkeit und Kündigungsschutz des Datenschutzbeauftragten (Artikel 38)
Weisungsfreiheit
Artikel 38 Absatz 3 bestimmt, dass der Datenschutzbeauftragte "bei der Erfüllung seiner Aufgaben keine Weisungen entgegennehmen" darf. Dieses Verbot gilt auf allen Führungsebenen. Der Datenschutzbeauftragte berichtet unmittelbar an die höchste Managementebene, was in den meisten Unternehmensstrukturen den Vorstand oder ein gleichwertiges Leitungsorgan bedeutet.
Ein Datenschutzbeauftragter, der feststellt, dass eine Verarbeitungstätigkeit rechtswidrig ist, kann nicht angewiesen werden, sie zu genehmigen. Ein Datenschutzbeauftragter, der der Auffassung ist, dass die Organisation Datenschutzverletzungen unzureichend meldet, kann nicht zum Schweigen gebracht werden. Der Datenschutzbeauftragte muss frei sein, Bedenken nach Artikel 39 Absatz 1 Buchstabe d ohne interne Genehmigung an die Aufsichtsbehörde zu eskalieren.
Schutz vor Abberufung und Benachteiligung
Artikel 38 Absatz 3 verbietet die Abberufung oder Benachteiligung des Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben. Ein Datenschutzbeauftragter, der wegen seiner Funktion abberufen, herabgestuft, in der Vergütung gekürzt oder anderweitig benachteiligt wird, hat einen unmittelbaren Anspruch nach der DSGVO, und die Aufsichtsbehörde kann den Verantwortlichen oder Auftragsverarbeiter untersuchen und sanktionieren.
Der Schutz gilt sowohl für angestellte als auch für als externe Dienstleister tätige Datenschutzbeauftragte. Ein Verantwortlicher kann den Dienstleistungsvertrag des Datenschutzbeauftragten nicht als Vergeltung dafür beenden, dass der Datenschutzbeauftragte Compliance-Bedenken geäußert hat. Vertragsklauseln, die dem Verantwortlichen ein uneingeschränktes Kündigungsrecht ohne Grund einräumen, können das Unabhängigkeitserfordernis untergraben, wenn sie genutzt werden, um rechtmäßiges Handeln des Datenschutzbeauftragten zu unterdrücken.
Ressourcen und Zugang
Artikel 38 Absatz 2 verpflichtet den Verantwortlichen und den Auftragsverarbeiter, die zur Erfüllung der Aufgaben nach Artikel 39 und zum Erhalt des Fachwissens erforderlichen Ressourcen sowie den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen bereitzustellen. Zu den Ressourcen zählen Zeit, Mittel für Schulung und berufliche Weiterentwicklung sowie administrative Unterstützung. Bei einem Teilzeit- oder externen Datenschutzbeauftragten umfasst dies einen echten Zugang zu Systemen, Dokumentation und Personal.
Ein Datenschutzbeauftragter, der keine Verzeichnisse von Verarbeitungstätigkeiten erhalten, an Besprechungen zu Verarbeitungsentscheidungen teilnehmen oder Beschaffungsverträge mit Bezug zu personenbezogenen Daten prüfen kann, verfügt nicht über den für die Überwachung nach Artikel 39 Absatz 1 Buchstabe b erforderlichen Zugang.
Interessenkonflikt
Artikel 38 Absatz 6 erlaubt es dem Datenschutzbeauftragten, weitere Aufgaben und Pflichten wahrzunehmen, doch der Verantwortliche oder Auftragsverarbeiter muss sicherstellen, dass diese Aufgaben keinen Interessenkonflikt mit der Aufsichtsfunktion des Datenschutzbeauftragten begründen.
Die Leitlinien der WP29 (WP243rev.01) nannten Funktionen, die grundsätzlich mit der Rolle des Datenschutzbeauftragten unvereinbar sind: Geschäftsführung (CEO), Chief Operating Officer, Chief Financial Officer, Chief Marketing Officer, Personalleitung, Chief Information Officer sowie Leitung der IT- oder Sicherheitsabteilung. In kleineren Organisationen, in denen eine Person mehrere Rollen innehat, muss die Funktion des Datenschutzbeauftragten von Rollen abgeschirmt bleiben, die Verarbeitungsziele festlegen.
Der Maßstab ist funktional, nicht nominell. Die Änderung einer Berufsbezeichnung von "IT-Leiter" in "Datenschutzbeauftragter" bei unveränderten inhaltlichen Zuständigkeiten behebt den Konflikt nicht. Ein Konflikt besteht immer dann, wenn die Rolle die Festlegung der Zwecke und Mittel der Verarbeitung personenbezogener Daten umfasst.
Externe Datenschutzbeauftragte tragen eigene Risiken: Eine Anwaltskanzlei, die einen Mandanten zur Rechtmäßigkeit einer Verarbeitungsstrategie berät und gleichzeitig als Datenschutzbeauftragter tätig ist, kann in einen Konflikt geraten, wenn die Funktion des Datenschutzbeauftragten verlangt, von dieser Strategie abzuraten. Organisationen, die externe DSB-Dienste nutzen, sollten sicherstellen, dass der Anbieter über Governance-Maßnahmen zur Steuerung dieser Konflikte verfügt.
Folgen der Nichteinhaltung
Bußgelder nach Artikel 83 Absatz 4
Verstöße gegen die Artikel 37, 38 und 39 fallen unter die niedrigere Bußgeldstufe der DSGVO nach Artikel 83 Absatz 4, die Pflichten gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43 erfasst. Das Höchstmaß beträgt 10 Millionen Euro oder 2 % des weltweiten Gesamtjahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist.
Häufig sanktionierte Verstöße im Zusammenhang mit dem Datenschutzbeauftragten: die Nichtbestellung eines erforderlichen Datenschutzbeauftragten; die Bestellung eines Datenschutzbeauftragten ohne die erforderliche Qualifikation oder Unabhängigkeit; die Zuweisung einer im Konflikt stehenden Rolle an den Datenschutzbeauftragten; die unzureichende Bereitstellung von Ressourcen oder Zugang; sowie die unterlassene Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten.
Durchsetzung in der Praxis
Aufsichtsbehörden in der gesamten EU haben Organisationen wegen Verstößen im Zusammenhang mit dem Datenschutzbeauftragten untersucht und mit Bußgeldern belegt. Deutsche Datenschutzbehörden waren dabei besonders aktiv, da die Pflicht zum Datenschutzbeauftragten ihre Wurzeln im deutschen Bundesdatenschutzrecht hat, das der DSGVO vorausging. Mehrere Aufsichtsbehörden haben nominell bestellte Datenschutzbeauftragte ohne echte Befugnis, ohne angemessene Ressourcen und ohne Schutz vor Einflussnahme durch die Geschäftsleitung so behandelt, als läge überhaupt kein Datenschutzbeauftragter vor.
Die unterlassene Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten gehört zu den einfachsten Verstößen, die eine Aufsichtsbehörde feststellen kann: Sie ist unmittelbar aus der Datenschutzerklärung ersichtlich. Aufsichtsbehörden, die Überprüfungen von Datenschutzhinweisen auf Websites durchführen, stellen fehlende Kontaktdaten des Datenschutzbeauftragten regelmäßig fest.
Folgen jenseits von Bußgeldern
Die Nichteinhaltung der Anforderungen an den Datenschutzbeauftragten untergräbt die Rechenschaftspflicht nach Artikel 5 Absatz 2. Ein Verantwortlicher, dem ein erforderlicher Datenschutzbeauftragter fehlt, weist ein strukturelles Rechenschaftsdefizit auf, das die Sanktion für jeden im Rahmen derselben Untersuchung festgestellten DSGVO-Verstoß verschärfen kann.
Bei B2B-Geschäften verlangen Beschaffungsteams, die eine DSGVO-Sorgfaltsprüfung von Lieferanten und Unterauftragsverarbeitern durchführen, zunehmend Nachweise über die Bestellung eines Datenschutzbeauftragten, dessen Kontaktdaten sowie Verzeichnisse von Verarbeitungstätigkeiten. Das Fehlen eines erforderlichen Datenschutzbeauftragten ist ein wesentlicher Befund bei Risikobewertungen von Lieferanten in Unternehmen.
UK-DSGVO und die Pflicht zum Datenschutzbeauftragten
Das Vereinigte Königreich hat die DSGVO durch den European Union (Withdrawal) Act 2018 und den Data Protection Act 2018 als innerstaatliches Recht beibehalten. Die UK-DSGVO übernimmt den EU-Text mit geringfügigen Änderungen. Die Artikel 37, 38 und 39 der UK-DSGVO geben die EU-Vorschriften nahezu wortgleich wieder, und die drei verpflichtenden Auslöser bleiben unverändert.
Das Information Commissioner's Office (ICO) ist die Aufsichtsbehörde für die UK-DSGVO. Das ICO folgt dem Ansatz der WP29 eng und wendet dieselben Analysekriterien für "umfangreich" und "Kerntätigkeiten" an wie die EU-Aufsichtsbehörden. Organisationen, die beiden Regelwerken unterliegen, können getrennte Datenschutzbeauftragte oder einen einzigen Datenschutzbeauftragten für beide bestellen, sofern dieser für beide Aufsichtsbehörden, Beschäftigte und betroffene Personen erreichbar ist.
Das Bußgeldregime der UK-DSGVO ist in Pfund Sterling angegeben: Die untere Stufe beträgt bis zu 8,7 Millionen GBP oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Wie Sie beurteilen, ob Ihre Organisation einen Datenschutzbeauftragten benötigt
Beginnen Sie mit Auslöser eins: Ist die Organisation nach dem nationalen Recht des betreffenden EU-Mitgliedstaats eine Behörde oder öffentliche Stelle? Wenn ja, ist ein Datenschutzbeauftragter verpflichtend. Ist die Organisation in mehreren Mitgliedstaaten tätig, prüfen Sie, ob einer von ihnen die Stelle als öffentliche Einrichtung einstuft.
Handelt es sich nicht um eine öffentliche Stelle, ermitteln Sie die Kerngeschäftstätigkeiten. Fragen Sie für jede Kerntätigkeit: Erfordert diese Tätigkeit eine regelmäßige und systematische Überwachung von Personen? Wenn ja, erfolgt diese Überwachung in umfangreichem Ausmaß? Sind beide Antworten ja, gilt Auslöser zwei.
Fragen Sie anschließend für jede Kerntätigkeit: Umfasst diese Tätigkeit die Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 oder strafrechtlicher Daten nach Artikel 10? Wenn ja, erfolgt diese Verarbeitung in umfangreichem Ausmaß? Sind beide Antworten ja, gilt Auslöser drei.
Dokumentieren Sie die Analyse. Auch wenn kein verpflichtender Datenschutzbeauftragter erforderlich ist, weist eine dokumentierte Bewertung Rechenschaftspflicht nach Artikel 5 Absatz 2 nach und schützt die Organisation, falls eine Aufsichtsbehörde die Entscheidung später in Frage stellt. Aktualisieren Sie die Bewertung, wann immer sich Verarbeitungstätigkeiten wesentlich ändern, etwa durch Übernahmen, neue Produktlinien oder geänderte Vereinbarungen zum Datenaustausch.
Wie sich die Pflichten zum Datenschutzbeauftragten in das umfassendere DSGVO-Compliance-Programm einfügen, erläutert die DSGVO-Compliance-Checkliste. Organisationen außerhalb der EU, die prüfen möchten, ob die DSGVO überhaupt anwendbar ist, können mit dem Leitfaden DSGVO für kleine Unternehmen beginnen. Eine vollständige Einführung in die Verordnung bietet Was ist die DSGVO.
Haftungsausschluss: Dieser Artikel enthält allgemeine rechtliche Informationen zu den Anforderungen der DSGVO an den Datenschutzbeauftragten und stellt keine Rechtsberatung dar. Die DSGVO-Compliance ist einzelfallabhängig, und die Anwendung der Artikel 37 bis 39 auf eine bestimmte Organisation hängt von ihren konkreten Verarbeitungstätigkeiten, ihrem Rechtsstatus und dem nationalen Recht des jeweiligen Mitgliedstaats ab. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Datenschutzfachkraft oder einen Rechtsanwalt.
Frequently Asked Questions
Brauchen kleine Unternehmen nach der DSGVO einen Datenschutzbeauftragten?
Kleine Unternehmen sind von der Pflicht zum Datenschutzbeauftragten nach Artikel 37 nicht automatisch ausgenommen. Erwägungsgrund 13 erlaubt es den Mitgliedstaaten, Vorschriften für Kleinst-, kleine und mittlere Unternehmen in einigen wenigen Bereichen anzupassen, doch Artikel 37 enthält keine KMU-Ausnahme. Ein kleines Unternehmen, das einen der drei verpflichtenden Auslöser aus Artikel 37 Absatz 1 erfüllt, muss einen Datenschutzbeauftragten bestellen. In der Praxis betreiben die meisten kleinen Unternehmen keine umfangreiche Verarbeitung als Kerntätigkeit und sind keine öffentlichen Stellen, sodass die Auslöser wahrscheinlich nicht greifen. Die Pflicht hängt jedoch von der Art und dem Umfang der Verarbeitung ab, nicht von der Belegschaftsgröße oder dem Umsatz. Ein Start-up, das eine Gesundheits-App mit Hunderttausenden Nutzern betreibt, könnte Artikel 37 Absatz 1 Buchstabe c auslösen, selbst wenn es weniger als 20 Beschäftigte hat.
Kann ein Datenschutzbeauftragter ein externer Berater oder Dienstleister sein?
Ja. Artikel 37 Absatz 6 bestimmt ausdrücklich, dass der Datenschutzbeauftragte die Rolle auf der Grundlage eines Dienstleistungsvertrags mit einem externen Anbieter wahrnehmen kann. Das Modell des externen Datenschutzbeauftragten ist bei Organisationen üblich, die keine vollzeitige interne Stelle rechtfertigen können. Die Artikel 38 und 39 müssen unabhängig vom Beschäftigungsverhältnis erfüllt werden: Der externe Datenschutzbeauftragte muss über echte Unabhängigkeit verfügen, darf keinen Weisungen unterliegen, muss Zugang zu den Verarbeitungstätigkeiten und der Geschäftsleitung der Organisation haben und muss vor Abberufung oder Benachteiligung wegen der Erfüllung seiner Aufgaben geschützt sein. Der Dienstleistungsvertrag sollte diese Anforderungen ausdrücklich abbilden.
Muss ein US-Unternehmen mit EU-Kunden einen DSGVO-Datenschutzbeauftragten bestellen?
Ein US-Unternehmen, das nach Artikel 3 Absatz 2 der DSGVO unterliegt, muss prüfen, ob es die Auslöser aus Artikel 37 Absatz 1 erfüllt. Erfordert seine Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung von EU-betroffenen Personen, wie es bei Werbetechnologieunternehmen, Datenhändlern und großen Analyseplattformen üblich ist, greift Auslöser zwei, und ein Datenschutzbeauftragter muss bestellt werden. Sind die EU-bezogenen Tätigkeiten des US-Unternehmens begrenzt und umfassen weder eine umfangreiche systematische Überwachung noch eine umfangreiche Verarbeitung besonderer Kategorien, ist kein Datenschutzbeauftragter erforderlich, wobei jedoch ein gesonderter EU-Vertreter nach Artikel 27 weiterhin verpflichtend sein kann. US-Unternehmen sollten die Prüfung nach Artikel 37 als Teil ihres gesamten DSGVO-Compliance-Programms durchführen und dokumentieren.
Kann der Unternehmensinhaber oder Geschäftsführer als Datenschutzbeauftragter tätig sein?
Der Geschäftsführer kann wegen des Interessenkonfliktverbots in Artikel 38 Absatz 6 nicht als Datenschutzbeauftragter tätig sein. Die Leitlinien der WP29 (WP243rev.01) stuften die Rolle des Geschäftsführers ausdrücklich als mit der Funktion des Datenschutzbeauftragten unvereinbar ein, weil der Geschäftsführer die Zwecke und Mittel der Datenverarbeitung der Organisation festlegt und die Aufsichtsfunktion des Datenschutzbeauftragten Unabhängigkeit von dieser Entscheidungsbefugnis erfordert. Dieselbe Überlegung gilt für Chief Operating Officer, Chief Information Officer, Chief Marketing Officer, Chief Financial Officer und die Leitung der Informationstechnologie. Ein Unternehmensinhaber, der zugleich Geschäftsführer ist, kann diesen Konflikt nicht dadurch beheben, dass er sich selbst zum Datenschutzbeauftragten bestellt, auch nicht in einer kleinen Organisation. Die typische Lösung für sehr kleine Organisationen ist ein externer DSB-Dienst.
Welche Sanktionen drohen bei Nichtbestellung eines erforderlichen Datenschutzbeauftragten?
Die Nichtbestellung eines erforderlichen Datenschutzbeauftragten ist ein Verstoß, der nach Artikel 83 Absatz 4 mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden kann, je nachdem, welcher Betrag höher ist; diese Vorschrift erfasst die Pflichten der Artikel 25 bis 39. Die unterlassene Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten nach Artikel 37 Absatz 7 ist eigenständig sanktionsbewehrt. Aufsichtsbehörden bemessen Bußgelder anhand der Art, Schwere und Dauer des Verstoßes, des vorsätzlichen oder fahrlässigen Charakters der Pflichtverletzung sowie des Grads der Zusammenarbeit. Die UK-DSGVO übernimmt diese Struktur, wobei die untere Bußgeldstufe bei 8,7 Millionen GBP oder 2 % des weltweiten Jahresumsatzes liegt.
Was macht ein Datenschutzbeauftragter im Tagesgeschäft konkret?
Die täglichen Tätigkeiten eines Datenschutzbeauftragten ergeben sich aus den fünf Aufgaben in Artikel 39 Absatz 1. Er berät Teams dazu, ob ein neues Produktmerkmal eine DSFA erfordert, und überprüft die Abschätzung nach ihrer Erstellung. Er prüft das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30. Er prüft Auftragsverarbeitungsverträge und Standardvertragsklauseln vor deren Abschluss. Er untersucht Anfragen zu den Rechten betroffener Personen und stellt sicher, dass Antworten fristgerecht erfolgen. Er koordiniert sich nach einer Datenschutzverletzung mit IT und Sicherheit, um zu ermitteln, ob eine Meldung nach Artikel 33 an die Aufsichtsbehörde innerhalb von 72 Stunden erforderlich ist. Er konzipiert und führt Mitarbeiterschulungen durch. Er fungiert als einzige Anlaufstelle für die Aufsichtsbehörde und stellt sicher, dass behördliche Korrespondenz zeitnah und zutreffend beantwortet wird.
Verlangt die DSGVO einen Datenschutzbeauftragten auch für Auftragsverarbeiter, nicht nur für Verantwortliche?
Ja. Artikel 37 Absatz 1 gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter. Ein Auftragsverarbeiter wie ein Cloud-Dienstleister, ein Unternehmen für ausgelagerte Gehaltsabrechnung oder eine Marketingtechnologie-Plattform muss einen Datenschutzbeauftragten bestellen, wenn seine Kerntätigkeit als Auftragsverarbeiter die Auslöser der umfangreichen Überwachung oder der umfangreichen Verarbeitung besonderer Kategorien erfüllt. Die Bewertung des Auftragsverarbeiters richtet sich nach dessen eigenen Kerntätigkeiten, nicht nach den Tätigkeiten der von ihm bedienten Verantwortlichen. Ein Cloud-Infrastrukturanbieter, der Daten im Auftrag Tausender Verantwortlicher hostet und Netzwerknutzungsmuster in großem Umfang überwacht, kann Artikel 37 Absatz 1 Buchstabe b unabhängig davon auslösen, was seine Kunden als Verantwortliche mit den Daten tun.
Kann ein Datenschutzbeauftragter mehrere Unternehmen abdecken?
Ja, in zwei Fällen. Artikel 37 Absatz 2 erlaubt es einer Unternehmensgruppe, einen einzigen Datenschutzbeauftragten zu bestellen, sofern dieser von jeder Niederlassung aus leicht erreichbar ist. Artikel 37 Absatz 3 erlaubt es mehreren Behörden oder öffentlichen Stellen, einen gemeinsamen Datenschutzbeauftragten unter Berücksichtigung ihrer Organisationsstruktur und Größe zu bestellen. Das Erfordernis der leichten Erreichbarkeit bedeutet, dass der Datenschutzbeauftragte für Beschäftigte, betroffene Personen und Aufsichtsbehörden jeder Einrichtung ohne unangemessene Schwierigkeiten erreichbar sein muss. Die Kontaktdaten des gemeinsamen Datenschutzbeauftragten müssen von jeder Einrichtung nach Artikel 37 Absatz 7 veröffentlicht werden, und der Datenschutzbeauftragte muss über ausreichende Kapazität verfügen, um die DSB-Aufgaben für alle Einrichtungen abzudecken.
Ist ein Datenschutzbeauftragter dasselbe wie ein Datenschutzverantwortlicher oder Compliance-Beauftragter im umgangssprachlichen Sinn?
Nicht zwingend. Ein Datenschutzbeauftragter im Sinne der DSGVO ist eine spezifische gesetzliche Rolle mit festgelegten Aufgaben nach Artikel 39, einer gesetzlichen Unabhängigkeitsgarantie nach Artikel 38 und Kündigungsschutz. Viele Organisationen haben Datenschutz- oder Compliance-Beauftragte, deren Aufgabenbeschreibung sich mit Funktionen des Datenschutzbeauftragten überschneidet, doch diese Rollen entsprechen keinem gesetzlichen Datenschutzbeauftragten, sofern die Person nicht förmlich bestellt und ihre Kontaktdaten nach Artikel 37 Absatz 7 veröffentlicht wurden. Eine Organisation, die sich auf eine interne Compliance-Fachkraft ohne förmliche Bestellung verlässt, hat ihre Pflicht nach Artikel 37 nicht erfüllt. Ebenso genügt eine förmliche Bestellung allein nicht: Der bestellte Datenschutzbeauftragte muss über die Qualifikationen, Ressourcen, Unabhängigkeit und den Zugang verfügen, die die Artikel 37 und 38 verlangen.
Welche Rolle spielt der Datenschutzbeauftragte bei einer Datenschutzverletzung?
Artikel 39 nennt das Management von Datenschutzverletzungen nicht als eigenständige Aufgabe, doch die Rolle des Datenschutzbeauftragten ergibt sich aus den Überwachungs- und Kooperationsaufgaben in Artikel 39 Absatz 1 Buchstaben b, d und e. In der Praxis bewertet der Datenschutzbeauftragte, ob ein Sicherheitsvorfall eine Datenschutzverletzung im Sinne von Artikel 4 Nummer 12 darstellt, stellt fest, ob dieser voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt, berät dazu, ob eine Meldung nach Artikel 33 an die Aufsichtsbehörde innerhalb von 72 Stunden erforderlich ist, berät dazu, ob eine Benachrichtigung betroffener Personen nach Artikel 34 erforderlich ist, und fungiert während der gesamten Untersuchung als Ansprechpartner der Aufsichtsbehörde. Der Datenschutzbeauftragte sollte ab dem Zeitpunkt eingebunden werden, an dem eine mögliche Verletzung festgestellt wird, und nicht erst, nachdem die Geschäftsleitung bereits über die Meldung entschieden hat.
Sources and References
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DSGVO), Artikel 37: Benennung eines Datenschutzbeauftragten(eur-lex.europa.eu)
- Verordnung (EU) 2016/679, Artikel 38: Stellung des Datenschutzbeauftragten(eur-lex.europa.eu)
- Verordnung (EU) 2016/679, Artikel 39: Aufgaben des Datenschutzbeauftragten(eur-lex.europa.eu)
- Verordnung (EU) 2016/679, Erwägungsgrund 97 (Datenschutzbeauftragter)(eur-lex.europa.eu)
- Verordnung (EU) 2016/679, Erwägungsgrund 91 (Datenschutz-Folgenabschätzung und umfangreiche Verarbeitung)(eur-lex.europa.eu)
- WP29-Leitlinien zu Datenschutzbeauftragten (WP243rev.01), vom EDSA gebilligt(ec.europa.eu)
- Europäischer Datenschutzausschuss, Archiv der Dokumente der Artikel-29-Datenschutzgruppe(edpb.europa.eu)
- Verordnung (EU) 2016/679, Artikel 83: Allgemeine Bedingungen für die Verhängung von Geldbußen(eur-lex.europa.eu)
- Verordnung (EU) 2016/679, Artikel 35: Datenschutz-Folgenabschätzung(eur-lex.europa.eu)
- Data Protection Act 2018 (Vereinigtes Königreich), Teil 2 und Anhang 6, Umsetzung der UK-DSGVO(legislation.gov.uk)
- ICO-Leitfaden zur UK-DSGVO, Datenschutzbeauftragte(ico.org.uk)
- Verordnung (EU) 2016/679, Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten(eur-lex.europa.eu)
- Verordnung (EU) 2016/679, Artikel 10: Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten(eur-lex.europa.eu)