KIProf. Dr. SchanbacherKI für den Mittelstand
Datenschutz (DSB)

Modul 2 von 4

Wann ist ein DSB Pflicht?

Nicht jedes Unternehmen muss einen DSB benennen – aber sehr viele. Dieses Modul zeigt die Kriterien und warum sie in Deutschland oft schon bei kleinen Teams greifen.

Die gesetzlichen Kriterien

Eine Pflicht zur Benennung eines DSB besteht nach Art. 37 DSGVO und § 38 Bundesdatenschutzgesetz unter anderem, wenn:

  • die Kerntätigkeit in umfangreicher, regelmäßiger und systematischer Überwachung von Personen besteht (z. B. Tracking, Marktforschung), oder
  • die Kerntätigkeit in umfangreicher Verarbeitung besonderer Datenkategorien besteht (z. B. Gesundheitsdaten), oder
  • (deutsche Besonderheit, § 38 BDSG) in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Kerntätigkeit: umfangreiche, systematische Überwachung von Personen? ja DSB-Pflicht nein Kerntätigkeit: umfangreiche Verarbeitung besonderer Daten (z. B. Gesundheit)? ja DSB-Pflicht nein In der Regel ≥ 20 Personen ständig mit automatisierter Datenverarbeitung? (§ 38 BDSG) ja DSB-Pflicht nein Keine gesetzliche Pflicht freiwillige Bestellung dennoch möglich & oft sinnvoll
Entscheidungshilfe: Trifft eine der drei Bedingungen zu, ist ein DSB Pflicht.

Wichtig: Die 20-Personen-Schwelle ist nicht alles

Die § 38-BDSG-Schwelle ist eine ergänzende deutsche Regelung. Auch kleinere Unternehmen können zur Bestellung verpflichtet sein – z. B. eine Arztpraxis mit 8 Mitarbeitenden, die umfangreich Gesundheitsdaten verarbeitet (Art. 37 Abs. 1 lit. c DSGVO). Dort gilt die Pflicht unabhängig von der Personenzahl. Ein Handwerksbetrieb mit 22 Personen, die alle täglich mit Outlook und Kundendatenbank arbeiten, erreicht hingegen die 20-Personen-Schwelle.

Intern oder extern?

Der DSB kann ein eigener Mitarbeiter (intern) oder ein externer Dienstleister sein. Wichtig ist in beiden Fällen Fachkunde, Unabhängigkeit und Freiheit von Interessenkonflikten – ein interner DSB darf z. B. nicht zugleich über Zwecke und Mittel der Verarbeitung entscheiden (etwa als IT-Leiter oder Geschäftsführer).

  • Interner DSB: kennt das Unternehmen gut, braucht aber geschützte Zeit und laufende Fortbildung.
  • Externer DSB: bringt Spezialwissen und Distanz mit, kein Interessenkonflikt, planbare Kosten.
  • In beiden Fällen ist der DSB der Aufsichtsbehörde zu melden und seine Kontaktdaten zu veröffentlichen (z. B. im Impressum / in der Datenschutzerklärung).

Was passiert ohne (pflichtigen) DSB?

Wird ein gesetzlich vorgeschriebener DSB nicht oder nicht ordnungsgemäß benannt, ist das ein eigenständiger Verstoß gegen die DSGVO – unabhängig davon, ob sonst alles korrekt läuft. Schon das Fehlen der Bestellung oder der Meldung an die Aufsichtsbehörde kann mit einem Bußgeld geahndet werden (Bußgeldrahmen bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes).

  • Pflicht prüfen und das Ergebnis dokumentieren – auch ein begründetes „nicht erforderlich“ gehört festgehalten.
  • Bei Pflicht: DSB benennen, der Aufsichtsbehörde melden und Kontaktdaten veröffentlichen.
  • Freiwillige Bestellung: Wird ein DSB freiwillig benannt, gelten für ihn dieselben Schutz- und Pflichtregeln wie für einen Pflicht-DSB.

Das Wichtigste in Kürze

  • Pflicht u. a. bei systematischer Überwachung, umfangreichen Gesundheitsdaten (Art. 37 DSGVO) – unabhängig von der Größe.
  • Zusätzlich in Deutschland (§ 38 BDSG): ≥ 20 Personen ständig mit automatisierter Datenverarbeitung.
  • Maßgeblich sind Art. 37 DSGVO und § 38 BDSG.
  • Schon kleine Betriebe können betroffen sein (20-Personen-Schwelle).
  • DSB intern oder extern – stets mit Fachkunde, Unabhängigkeit und ohne Interessenkonflikt.

?Wissens-Check

Beantworten Sie die Fragen, um Ihr Verständnis zu prüfen. Sie erhalten sofort eine Rückmeldung.

Frage 1.Ab welcher Größe ist (vereinfacht, DE) typischerweise ein DSB zu bestellen, wenn ständig mit personenbezogenen Daten gearbeitet wird?

Frage 2.Welche Rechtsgrundlagen regeln die Bestellpflicht in Deutschland?

Frage 3.Wer darf NICHT zugleich interner DSB sein?

← Vorheriges Modul