Datenschutzbeauftragter Pflicht – Ab wann braucht Ihr Unternehmen einen?

Inhalt in Kürze

• Die Datenschutzbeauftragter Pflicht greift in Deutschland ab 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG).
• Auch unter 20 Mitarbeitenden kann die Pflicht bestehen – etwa bei Verarbeitung besonderer Datenkategorien oder wenn eine Datenschutz-Folgenabschätzung nötig ist (Art. 37 DSGVO).
• Intern oder extern: Der Datenschutzbeauftragte kann ein eigener Mitarbeiter sein oder als externer Datenschutzbeauftragter über einen Dienstleistungsvertrag bestellt werden.
• Ohne DSB drohen Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes.
• Mit dem frag.hugo Datenschutz-Check finden Sie in wenigen Minuten heraus, wo Ihr Unternehmen steht.

---

Die Frage klingt einfach: Brauche ich einen Datenschutzbeauftragten? Die Antwort ist es nicht. Denn in Deutschland greifen zwei Gesetze gleichzeitig – die DSGVO und das BDSG. Beide regeln die Datenschutzbeauftragter Pflicht, aber mit unterschiedlichen Schwellen und Kriterien.

Dieser Artikel zeigt Ihnen, wann die Pflicht greift, welche Ausnahmen es gibt und was passiert, wenn Sie keinen DSB bestellen, obwohl Sie müssten.

Datenschutzbeauftragter Pflicht nach BDSG § 38: Die 20-Personen-Grenze

Das Bundesdatenschutzgesetz macht es für deutsche Unternehmen konkret. Seit November 2019 gilt: Sie müssen einen Datenschutzbeauftragten bestellen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG).

Vorher lag die Grenze bei 10 Personen. Der Gesetzgeber hat sie angehoben, um kleine und mittlere Unternehmen zu entlasten.

Was zählt als „automatisierte Verarbeitung”?

Jede Tätigkeit, bei der personenbezogene Daten mit IT-Systemen verarbeitet werden. Das umfasst:

• Arbeit am PC mit Kundendaten, Mitarbeiterdaten oder Lieferantendaten
• Nutzung von CRM-Systemen, Buchhaltungssoftware oder Personalverwaltung
• E-Mail-Kommunikation mit personenbezogenen Inhalten
• Zugriff auf Datenbanken über Tablets oder Smartphones

Wen müssen Sie mitzählen?

Alle Personen, die regelmäßig personenbezogene Daten am Computer verarbeiten. Dabei zählt jede Person als eine – unabhängig vom Umfang. Ausdrücklich eingeschlossen sind:

• Teilzeitkräfte
• Minijobber
• Aushilfen und Praktikanten
• Freie Mitarbeiter und Leiharbeitnehmer
• Auszubildende

Beispiel: Ein Handwerksbetrieb mit 25 Mitarbeitenden. Davon arbeiten 18 auf der Baustelle ohne IT-Zugang. Nur 7 Personen im Büro nutzen PCs mit Kundendaten. Ergebnis: Keine Datenschutzbeauftragter Pflicht nach § 38 BDSG.

Datenschutzbeauftragter Pflicht nach DSGVO Art. 37: Die drei europäischen Pflichtfälle

Unabhängig von der Mitarbeiterzahl verlangt Art. 37 DSGVO einen Datenschutzbeauftragten in drei Fällen:

1. Behörden und öffentliche Stellen – immer, mit Ausnahme von Gerichten.

2. Kerntätigkeit erfordert umfangreiche Überwachung – wenn Ihr Geschäftsmodell auf der regelmäßigen und systematischen Überwachung von Personen basiert. Beispiele: Kreditauskunfteien, Sicherheitsunternehmen mit Videoüberwachung, Tracking-Dienstleister.

3. Kerntätigkeit ist die Verarbeitung besonderer Datenkategorien – Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft, politische Meinungen, religiöse Überzeugungen oder Daten über strafrechtliche Verurteilungen. Beispiele: Arztpraxen, Labore, Krankenhäuser, Rechtsanwaltskanzleien mit Strafrechtsschwerpunkt.

Weitere Pflichtfälle nach BDSG § 38

Neben der 20-Personen-Grenze nennt das BDSG zwei weitere Fälle, in denen die Datenschutzbeauftragter Pflicht greift – unabhängig von der Mitarbeiterzahl:

• Datenschutz-Folgenabschätzung nötig: Wenn Ihr Unternehmen Verarbeitungen durchführt, die einer DSFA nach Art. 35 DSGVO unterliegen (z. B. umfangreiche Videoüberwachung, Scoring, Profiling).
• Geschäftsmäßige Datenverarbeitung zum Zweck der Übermittlung: Wenn Sie personenbezogene Daten geschäftsmäßig zur Übermittlung, anonymisierten Übermittlung oder für Markt- und Meinungsforschung verarbeiten.

Checkliste: Brauche ich einen Datenschutzbeauftragten?

Gehen Sie diese Punkte durch. Wenn Sie eine Frage mit Ja beantworten, besteht die Datenschutzbeauftragter Pflicht:

• Beschäftigen Sie in der Regel mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten?
• Ist Ihre Kerntätigkeit die umfangreiche, regelmäßige und systematische Überwachung von Personen?
• Verarbeiten Sie im Kern besondere Kategorien personenbezogener Daten (Gesundheit, Biometrie, Religion, Ethnie, Strafrecht)?
• Müssen Sie für eine Ihrer Verarbeitungen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen?
• Verarbeiten Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder Marktforschung?
• Sind Sie eine Behörde oder öffentliche Stelle?

Keine Frage mit Ja beantwortet? Dann besteht keine gesetzliche Pflicht. Aber: Ein freiwilliger Datenschutzbeauftragter kann sinnvoll sein – etwa wenn Ihre Kunden Datenschutz-Nachweise verlangen oder Sie Ihr Datenschutzkonzept professionell aufbauen wollen.

Aus der Praxis: Warum Größe nicht alles ist

Wir sehen das regelmäßig: Ein IT-Dienstleister mit 8 Mitarbeitenden hat keine DSB-Pflicht nach der 20-Personen-Grenze. Dann gewinnt er einen Auftrag bei einem Konzern. Der Konzern verlangt im Lieferantenaudit: Datenschutzbeauftragten benennen, Datenschutzkonzept vorlegen, AVVs unterschreiben.

Die gesetzliche Pflicht ist das eine. Die wirtschaftliche Notwendigkeit das andere. Wer ohne DSB in ein Lieferantenaudit geht, verliert den Auftrag – nicht wegen des Gesetzes, sondern wegen des Kunden.

Was passiert, wenn Sie keinen DSB bestellen, obwohl Pflicht besteht?

Die Konsequenzen sind klar geregelt:

Bußgelder: Die Nichtbenennung eines Datenschutzbeauftragten ist ein Verstoß gegen Art. 37 DSGVO. Es drohen Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 DSGVO). In der Praxis liegen die verhängten Bußgelder bei KMU deutlich niedriger, aber fünfstellige Beträge sind keine Seltenheit.

Haftung der Geschäftsführung: Die Pflicht zur Bestellung trifft den Verantwortlichen – also die Geschäftsführung. Bei Verstößen kann eine persönliche Haftung entstehen. Mehr dazu in unserem Artikel DSGVO-Bußgeld vermeiden.

Prüfungen der Aufsichtsbehörde: Fehlt der DSB, ist das oft der Einstieg in eine vertiefte Prüfung. Die Behörde schaut dann genauer hin – und findet fast immer weitere Mängel.

Interner oder externer Datenschutzbeauftragter?

Steht fest, dass die Datenschutzbeauftragter Pflicht greift, stellt sich die nächste Frage: intern oder extern?

Kriterium	Interner DSB	Externer DSB
Kosten	Schulung, Freistellung, Fortbildung	Monatliche Pauschale
Kündigungsschutz	Besonderer Kündigungsschutz (§ 6 Abs. 4 BDSG)	Kein Kündigungsschutz
Know-how	Muss aufgebaut werden	Sofort verfügbar
Unabhängigkeit	Kann in Interessenskonflikte geraten	Organisatorisch unabhängig
Eignung für KMU	Ab ca. 100 Mitarbeitenden sinnvoll	Ideal für KMU unter 100 Mitarbeitenden

Für die meisten kleinen und mittleren Unternehmen ist ein externer Datenschutzbeauftragter die pragmatische Lösung. Kein Kündigungsschutz-Risiko, kein Schulungsaufwand, sofort einsatzbereit.

Fazit: Klären Sie die Datenschutzbeauftragter Pflicht jetzt

Die Pflicht zur Benennung eines Datenschutzbeauftragten ist kein Thema, das Sie aussitzen sollten. Die Regeln sind klar, die Bußgelder real und die Aufsichtsbehörden aktiver denn je. Mit der Checkliste oben wissen Sie in fünf Minuten, ob Ihr Unternehmen betroffen ist.

Falls Sie unsicher sind oder einen externen DSB suchen: Sprechen Sie mit uns. In einem kostenlosen 15-Minuten-Gespräch klären wir gemeinsam, ob und welche Lösung für Sie passt.

DSB-Pflicht in Hamburg: Regionale Besonderheiten

Hamburg ist Deutschlands zweitgrößter Wirtschaftsstandort — und die HmbBfDI macht keinen Unterschied zwischen Konzern und 25-Personen-Betrieb. Speditionen rund um den Hafen, E-Commerce-Unternehmen in der HafenCity oder Agenturen in Altona: Sobald die 20-Personen-Grenze erreicht ist, prüft die Hamburger Aufsichtsbehörde bei Beschwerden konsequent, ob ein DSB benannt wurde. Wer die Pflicht klären und gleich den passenden Datenschutzbeauftragten finden will, findet bei unserem externen Datenschutzbeauftragten in Hamburg einen festen Ansprechpartner vor Ort.

Häufige Fragen zur Datenschutzbeauftragter Pflicht

Ab wie vielen Mitarbeitern ist ein Datenschutzbeauftragter Pflicht?

Nach § 38 BDSG ab 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei zählen Teilzeitkräfte, Aushilfen und freie Mitarbeiter jeweils als eine Person. Zusätzlich kann die Pflicht unabhängig von der Mitarbeiterzahl nach Art. 37 DSGVO greifen.

Braucht jede Arztpraxis einen Datenschutzbeauftragten?

In den meisten Fällen ja. Arztpraxen verarbeiten Gesundheitsdaten – das sind besondere Kategorien nach Art. 9 DSGVO. Sobald die Verarbeitung „umfangreich” ist, greift Art. 37 Abs. 1 lit. c DSGVO. Einzelpraxen mit sehr geringem Patientenaufkommen können unter Umständen ausgenommen sein, aber die Schwelle ist niedrig.

Was kostet ein externer Datenschutzbeauftragter?

Für KMU liegen die monatlichen Kosten in der Regel zwischen 250 und 800 Euro – abhängig von Branche, Unternehmensgröße und Komplexität der Datenverarbeitung. Im Vergleich zu einem internen DSB (Schulung, Freistellung, Fortbildung, Kündigungsschutz) ist das oft die günstigere Lösung.

Kann der Geschäftsführer selbst Datenschutzbeauftragter sein?

Nein. Der DSB muss unabhängig und weisungsfrei arbeiten können (Art. 38 Abs. 3 DSGVO). Ein Geschäftsführer hat Interessenskonflikte – er kann nicht gleichzeitig über die Datenverarbeitung entscheiden und sie kontrollieren. Gleiches gilt für IT-Leiter und Personalverantwortliche.

Was passiert, wenn die Grenze auf 50 Mitarbeitende angehoben wird?

Es gibt politische Diskussionen, die Grenze von 20 auf 50 Personen anzuheben. Bisher ist das nicht beschlossen. Selbst bei einer Anhebung bleiben die Pflichtfälle nach Art. 37 DSGVO bestehen. Wir empfehlen, sich an der aktuellen Rechtslage zu orientieren und nicht auf mögliche Erleichterungen zu warten.