Datenschutzbeauftragter bestellen – Ablauf und Checkliste

Inhalt in Kürze

• Einen Datenschutzbeauftragten bestellen müssen Unternehmen ab 20 Mitarbeitenden, die regelmäßig personenbezogene Daten verarbeiten (§ 38 BDSG). Auch unterhalb dieser Schwelle kann eine Pflicht bestehen – etwa bei Verarbeitung besonderer Datenkategorien.
• Der Ablauf umfasst 5 Schritte: Pflichtprüfung, Entscheidung intern vs. extern, Bestellung und Vertrag, Einarbeitung, Meldung an die Aufsichtsbehörde.
• Die Meldung an die Aufsichtsbehörde ist Pflicht nach Art. 37 Abs. 7 DSGVO – und wird häufig vergessen. Die meisten Landesdatenschutzbehörden stellen dafür Online-Formulare bereit.
• Wer den DSB nicht bestellt oder nicht meldet, riskiert Bußgelder nach Art. 83 Abs. 4 DSGVO – bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes.

Sie wissen, dass Sie einen Datenschutzbeauftragten brauchen. Aber wie läuft die Bestellung konkret ab? Viele Geschäftsführer schieben das Thema vor sich her – nicht aus Desinteresse, sondern weil der Ablauf unklar ist. Dieser Artikel gibt Ihnen eine klare Schritt-für-Schritt-Anleitung.

Datenschutzbeauftragter bestellen: Wann besteht die Pflicht?

Bevor Sie bestellen, klären Sie die Grundfrage: Müssen Sie überhaupt?

Die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) ergibt sich aus zwei Rechtsquellen:

Art. 37 DSGVO – Sie müssen einen DSB benennen, wenn:

• Ihre Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht
• Sie umfangreich besondere Kategorien personenbezogener Daten verarbeiten (Gesundheitsdaten, Religionszugehörigkeit, biometrische Daten)

§ 38 BDSG – die deutsche Ergänzung:

• Mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
• Sie führen Verarbeitungen durch, die einer Datenschutz-Folgenabschätzung unterliegen (Art. 35 DSGVO)
• Sie verarbeiten personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder Marktforschung

Intern oder extern – welcher DSB passt zu Ihrem Unternehmen?

Nach der Pflichtprüfung steht die nächste Entscheidung an: interner oder externer Datenschutzbeauftragter?

Für KMU mit 20 bis 300 Mitarbeitenden ist ein externer DSB in den meisten Fällen die wirtschaftlichere und sicherere Lösung. Mehr dazu im Vergleich: Externer vs. interner Datenschutzbeauftragter.

Der Ablauf in 5 Schritten: DSB bestellen und melden

So sieht der Prozess aus – von der Entscheidung bis zur behördlichen Meldung:

1. Pflichtprüfung durchführen: Prüfen Sie anhand von Art. 37 DSGVO und § 38 BDSG, ob Ihr Unternehmen einen DSB benennen muss. Dokumentieren Sie das Ergebnis schriftlich – auch wenn keine Pflicht besteht.
2. Intern oder extern entscheiden: Wägen Sie Kosten, Fachkenntnis und Interessenkonflikte ab. Bei einem externen DSB holen Sie Angebote ein und prüfen die Qualifikation (Zertifizierungen, Referenzen, Branchenkenntnis).
3. Bestellung formalisieren: Erstellen Sie eine schriftliche Bestellungsurkunde. Bei einem externen DSB zusätzlich einen Dienstleistungsvertrag mit klar definierten Aufgaben, Reaktionszeiten und Vergütung. Die Bestellung muss intern kommuniziert werden – alle Mitarbeitenden müssen wissen, wer der DSB ist.
4. Einarbeitung und Bestandsaufnahme: Der neue DSB verschafft sich einen Überblick über Ihre Datenverarbeitungen, prüft vorhandene Dokumentation (Verarbeitungsverzeichnis, TOMs, AVVs) und identifiziert Handlungsbedarf. Ein Kick-off-Meeting mit der Geschäftsleitung und relevanten Abteilungen gehört dazu.
5. Meldung an die Aufsichtsbehörde: Nach Art. 37 Abs. 7 DSGVO müssen Sie die Kontaktdaten des DSB Ihrer zuständigen Landesdatenschutzbehörde mitteilen. Die meisten Behörden bieten dafür ein Online-Formular an. In Hamburg melden Sie an den HmbBfDI.

Aus der Praxis

Viele Mandanten fragen uns: Wie schnell geht das eigentlich? Die Antwort: schneller als gedacht. Die formale Bestellung ist oft in wenigen Tagen erledigt. Entscheidend ist, was danach passiert – die erste Bestandsaufnahme, die Priorisierung offener Punkte, die ersten Antworten auf konkrete Fragen.

Innerhalb von 24 Stunden war der Fall geklärt. Der Mandant wusste: Er kann jetzt datenschutzkonform eine Umfrage an seine Kunden losschicken. Genau so soll Arbeit mit einem Datenschutzbeauftragten stattfinden.

Nils OehmichenDatenschutzberater bei frag.hugo

Genau das unterscheidet einen guten DSB von einem Papiertiger: Er beantwortet Ihre Fragen, bevor sie zum Problem werden.

Checkliste: Datenschutzbeauftragten bestellen

Nutzen Sie diese Checkliste, damit Sie keinen Schritt vergessen:

• Benennungspflicht geprüft (Art. 37 DSGVO + § 38 BDSG) und Ergebnis dokumentiert.
• Entscheidung intern/extern getroffen und begründet.
• Qualifikation des DSB bestätigt – Fachkunde im Datenschutzrecht und in der Datenschutzpraxis (Art. 37 Abs. 5 DSGVO).
• Bestellungsurkunde erstellt – schriftlich, mit Datum und Unterschrift.
• Dienstleistungsvertrag geschlossen (bei externem DSB) – Aufgaben, Vergütung, Laufzeit, Reaktionszeiten.
• Kontaktdaten intern veröffentlicht – Datenschutzerklärung, Intranet, E-Mail-Signatur.
• Meldung an die Aufsichtsbehörde erledigt (Art. 37 Abs. 7 DSGVO).
• Kick-off-Meeting durchgeführt – Bestandsaufnahme und erste Maßnahmen festgelegt.
• Verarbeitungsverzeichnis vorhanden oder Erstellung beauftragt.
• DSB-Kontakt in der Datenschutzerklärung auf der Website ergänzt.

Typische Fehler bei der DSB-Bestellung

Drei Punkte, die wir bei unseren Mandanten regelmäßig sehen:

1. Keine schriftliche Bestellung. Die DSGVO spricht zwar von „Benennung”, aber ohne schriftlichen Nachweis können Sie bei einer Behördenprüfung nicht belegen, seit wann Ihr DSB im Amt ist. Schriftform schützt Sie.

2. Meldung an die Behörde vergessen. Art. 37 Abs. 7 DSGVO ist eindeutig: Die Kontaktdaten des DSB sind der Aufsichtsbehörde mitzuteilen. Klingt banal, wird aber in der Praxis häufig übersehen. Das Bußgeldrisiko liegt bei bis zu 10 Millionen Euro.

3. DSB bestellt, aber nicht eingebunden. Ein DSB, der nie gefragt wird und keinen Zugang zu relevanten Informationen hat, kann seine Aufgaben nach Art. 39 DSGVO nicht erfüllen. Das ist so, als hätten Sie keinen.

Damit es gar nicht erst zu DSGVO-Bußgeldern kommt, sollten Sie den DSB von Anfang an in Entscheidungen einbinden, die personenbezogene Daten betreffen.

Fazit: Ihr nächster Schritt

Einen Datenschutzbeauftragten zu bestellen ist kein bürokratisches Monster. In fünf klaren Schritten kommen Sie von der Pflichtprüfung zur Behördenmeldung. Der Aufwand für die formale Bestellung beträgt wenige Tage. Was danach zählt: ein DSB, der tatsächlich erreichbar ist, Ihre Fragen beantwortet und Ihre Dokumentation auf Stand hält.

Testen Sie vorab, wie es um Ihren Datenschutz steht – mit dem kostenlosen Hugo Check.

Datenschutzbeauftragten bestellen in Hamburg

In Hamburg melden Sie Ihren DSB direkt bei der HmbBfDI — dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Das geht online über das Meldeformular der Behörde und dauert keine fünf Minuten. Trotzdem sehen wir bei Hamburger Mandanten regelmäßig, dass genau dieser Schritt vergessen wird. Besonders in der Hafenwirtschaft und im Großhandel, wo viele Dienstleister mit personenbezogenen Daten arbeiten, fällt ein fehlender DSB bei der nächsten Prüfung sofort auf. Wir unterstützen Sie als DSGVO-Berater in Hamburg — von der Bestellung bis zur Behördenmeldung.

Häufige Fragen (FAQ)

Wie lange dauert es, einen Datenschutzbeauftragten zu bestellen?

Die formale Bestellung dauert wenige Tage. Bei einem externen DSB kommt die Vertragsverhandlung dazu – rechnen Sie mit ein bis zwei Wochen bis alles steht. Die Meldung an die Aufsichtsbehörde erfolgt online und dauert wenige Minuten.

Muss ich den Datenschutzbeauftragten an die Behörde melden?

Ja. Nach Art. 37 Abs. 7 DSGVO sind Sie verpflichtet, die Kontaktdaten Ihres DSB der zuständigen Aufsichtsbehörde mitzuteilen. In den meisten Bundesländern funktioniert das über ein Online-Formular auf der Website der Landesdatenschutzbehörde.

Was kostet ein externer Datenschutzbeauftragter?

Die Kosten variieren je nach Unternehmensgröße und Komplexität der Datenverarbeitungen. Für KMU mit 20 bis 100 Mitarbeitenden liegen die monatlichen Pauschalen typischerweise zwischen 200 und 800 Euro. Bei frag.hugo erhalten Sie im Erstgespräch ein individuelles Angebot.

Kann der Geschäftsführer selbst Datenschutzbeauftragter sein?

Nein. Der DSB muss seine Aufgaben unabhängig und frei von Weisungen ausüben (Art. 38 Abs. 3 DSGVO). Ein Geschäftsführer hat einen Interessenkonflikt, weil er gleichzeitig über die Datenverarbeitung entscheidet und diese kontrollieren müsste. Gleiches gilt für IT-Leiter und Personalverantwortliche.

Was passiert, wenn ich keinen Datenschutzbeauftragten bestelle, obwohl ich muss?

Die Aufsichtsbehörde kann ein Bußgeld nach Art. 83 Abs. 4 DSGVO verhängen – bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. In der Praxis fallen fehlende DSB häufig bei Beschwerden von Betroffenen oder bei anlassbezogenen Prüfungen auf.

Ab wie vielen Mitarbeitern brauche ich einen Datenschutzbeauftragten?

Nach § 38 BDSG liegt die Schwelle bei mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl greift aber Art. 37 DSGVO, wenn Sie besondere Datenkategorien verarbeiten oder systematisch Personen überwachen.