Ab wann ist für ein Unternehmen ein Datenschutzbeauftragter Pflicht? Ist die Mitarbeiterzahl entscheidend? Oder reicht die Art der Datenverarbeitung allein aus, um eine Benennung notwendig zu machen? Sobald ein Unternehmen mit der Verarbeitung personenbezogener Daten betreut ist, sind die Fragen nach der Notwendigkeit und der Verpflichtung eines Datenschutzbeauftragten. Diese Fragen stellen sich viele Unternehmen und die Antwort ist komplexer als erwartet. Denn die Regelungen der DSGVO und des BDSG geben zwar eine Orientierung, doch in der Praxis ist oft mehr zu prüfen als nur die Mitarbeiterzahl.
In diesem Artikel erfahren Sie alles über die Voraussetzungen, die ein Datenschutzbeauftragter erfüllen muss, ab wann dieser notwendig ist und welche Sanktionen Unternehmen zu erwarten haben, sofern diese gegen die Bestimmungen verstoßen.
Das Wichtigste in Kürze
- Ein Datenschutzbeauftragter ist in Deutschland gesetzlich vorgeschrieben, wenn regelmäßig mindestens 20 Personen personenbezogene Daten automatisiert verarbeiten.
- Die Pflicht kann aber auch unabhängig von der Anzahl der Mitarbeitenden bestehen.
- Teilzeitkräfte, Praktikanten und Leiharbeitende zählen bei der Schwelle mit, wenn sie Daten verarbeiten.
- Ein externer Datenschutzbeauftragter bietet Fachwissen, Unabhängigkeit und Rechtssicherheit.
- Erforderlich wird ein Datenschutzbeauftragter, wenn eine Datenschutz-Folgenabschätzung notwendig ist.
- Bei Verstößen drohen hohe Bußgelder, in der Regel bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes.
Gesetzliche Grundlagen: DSGVO und BDSG
Die Datenschutz-Grundverordnung (DSGVO) regelt europaweit die Anforderungen an den Datenschutz. In Art. 37 DSGVO wird festgelegt, wann ein Datenschutzbeauftragter notwendig ist, dabei ist die Art und das Ausmaß der Datenverarbeitung entscheidend.
In Deutschland ergänzt § 38 des Bundesdatenschutzgesetzes (BDSG) diese Regelung und nennt erstmals eine konkrete Zahl: Ab 20 Mitarbeitenden, die regelmäßig automatisiert personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter gesetzlich vorgeschrieben.
Diese Schwelle wurde 2019 von 10 auf 20 Mitarbeitende angehoben, um kleinen Unternehmen administrative Erleichterung zu verschaffen. Doch diese scheinbare Lockerung birgt Risiken – denn die Regelung greift nicht in allen Fällen.
Die 20-Personen-Regel – aber nicht nur!
Die Grenze von 20 Personen ist nur einer der möglichen Auslöser für die Benennungspflicht. Viel wichtiger ist die Art der Tätigkeit und der Umfang der Datenverarbeitung. In folgenden Fällen muss ein Datenschutzbeauftragter bestellt werden, unabhängig von der Mitarbeiteranzahl:
1. Datenschutz-Folgenabschätzung (DSFA) erforderlich
Wenn die geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO Pflicht und damit automatisch auch die Benennung eines Datenschutzbeauftragten.
Typische Beispiele:
- Systematische Videoüberwachung öffentlicher Räume
- Verarbeitung großer Mengen sensibler Daten
- Profiling oder Scoring mit erheblichen Auswirkungen auf Betroffene
2. Verarbeitung besonderer Kategorien personenbezogener Daten
Gesundheitsdaten, biometrische Merkmale oder genetische Informationen zählen zu den besonders schützenswerten Datenarten. Die Verarbeitung dieser Daten bedingt oft das Vorliegen eines besonders hohen Risikos, auch hier ist eine DSFA erforderlich, was wiederum die Benennung eines DSB nach sich zieht.
3. Kerntätigkeit des Unternehmens: Datenverarbeitung oder Überwachung
Unternehmen, deren Geschäftstätigkeit sich auf die umfangreiche Verarbeitung personenbezogener Daten oder auf die Überwachung von Personen konzentriert, sind ebenfalls verpflichtet, einen Datenschutzbeauftragten zu benennen.
Datenschutz und Teilzeitkräfte – was zählt zur Mitarbeiterzahl?
Oft herrscht Unsicherheit darüber, welche Mitarbeitenden in die 20-Personen-Schwelle nach § 38 BDSG einbezogen werden müssen. Dabei gilt: Alle Personen, die regelmäßig mit automatisierter Verarbeitung personenbezogener Daten befasst sind, zählen voll mit – unabhängig vom Beschäftigungsgrad.
Berücksichtigt werden unter anderem:
- Inhaber
- Geschäftsführer
- Teilzeitkräfte
- Aushilfen
- Werkstudierende
- Praktikanten
- Leiharbeiter
- Freelancer (sofern in den Betriebsablauf integriert)
Nicht relevant ist, ob sie fest angestellt sind – ausschlaggebend ist allein ihre Tätigkeit mit personenbezogenen Daten.
Wer darf Datenschutzbeauftragter sein?
Unternehmen dürfen jeden Mitarbeitenden mit dem Datenschutz beauftragen, sofern dieser bestimmte Voraussetzungen erfüllt. Zu den grundlegenden Anforderungen zählen:
- Fachliche Eignung
- Ausreichendes Datenschutz-Fachwissen
- Fähigkeit zur selbstständigen und unabhängigen Aufgabenerfüllung
- Keine Interessenkonflikte (z. B. keine Doppelfunktion als Geschäftsleitung oder IT-Leitung)
Die Person muss nicht zwingend Jurist:in sein, sollte aber die DSGVO und das BDSG sicher anwenden können. Eine regelmäßige Weiterbildung ist unerlässlich, da sich Datenschutzanforderungen dynamisch entwickeln.
Wann ist ein externer Datenschutzbeauftragter die bessere Wahl?
Ein interner Datenschutzbeauftragter kennt zwar die unternehmensinternen Abläufe gut, doch dieser Vorteil kann schnell relativiert werden, wenn umfangreiche Schulungen, zeitliche Ressourcen und die Wahrung der Unabhängigkeit nicht gewährleistet sind. In vielen Fällen entstehen Interessenkonflikte, insbesondere in kleineren Unternehmen, wo Schlüsselrollen mehrfach vergeben sind.
Externe Datenschutzbeauftragte bringen dagegen:
- sofort nutzbare Expertise
- Branchenkenntnis
- Skalierbarkeit
- neutrale Position ohne betriebliche Bindung
- Sicherheit bei Audits und Behördenkontakt
Tipp: In unserer kostenfreien Infografik vergleichen wir intern vs. extern im Detail – praxisnah und übersichtlich.
Dokumentation & Mitteilungspflicht: Das müssen Sie beachten
Auch wenn es keine Formvorgabe für die Benennung eines Datenschutzbeauftragten gibt, sind Unternehmen gemäß Art. 37 DSGVO verpflichtet, die Kontaktdaten ihres DSB an die zuständige Datenschutzaufsichtsbehörde zu übermitteln. Dies geschieht meist online und ist abhängig vom jeweiligen Bundesland. Zusätzlich sollten Sie die Benennung intern dokumentieren, um im Falle einer Prüfung nachweisen zu können, dass Sie Ihren Pflichten nachgekommen sind.
Was passiert bei Verstößen gegen die DSB-Pflicht?
Ein Verstoß gegen die Pflicht zur Benennung eines Datenschutzbeauftragten stellt eine Ordnungswidrigkeit im Sinne der DSGVO dar und kann für Unternehmen erhebliche rechtliche und wirtschaftliche Folgen haben. Wird die Bestellung eines Datenschutzbeauftragten trotz gesetzlicher Verpflichtung unterlassen oder nicht korrekt umgesetzt, drohen Sanktionen.
Sanktionen laut DSGVO
Die Datenschutzaufsichtsbehörden der Bundesländer sind befugt, Verstöße gegen die DSGVO mit Bußgeldern zu ahnden. Innerhalb der DSGVO selbst wird in Artikel 83 zwischen zwei Stufen von Sanktionen unterschieden. Die fehlende Bestellung eines Datenschutzbeauftragten fällt dabei in die mittelschwere Stufe (Art. 83 Abs. 4 DSGVO):
Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
In besonders schweren Fällen, etwa bei wiederholter Nichtbeachtung von Anordnungen der Aufsichtsbehörde, kann auch ein Bußgeld der höheren Kategorie (bis zu 20 Mio. Euro oder 4 % des Umsatzes) verhängt werden, insbesondere wenn mit der unterlassenen DSB-Benennung weitere Datenschutzverstöße verbunden sind.
Reputationsrisiken und Kundenvertrauen
Neben den finanziellen Konsequenzen drohen erhebliche Reputationsschäden. Datenschutzverstöße, vor allem wenn sie mit der fehlenden Ernennung eines Datenschutzbeauftragten einhergehen, können schnell öffentlich bekannt werden. Betroffene, Geschäftspartner und potenzielle Kunden werten dies oft als:
- mangelndes Verantwortungsbewusstsein
- fehlende Professionalität
- Sicherheitslücken im Unternehmen
Gerade in stark regulierten oder kundenorientierten Branchen (z. B. Medizin, Finanzen, E‑Commerce) ist das Thema Datenschutz ein Wettbewerbsfaktor. Die öffentliche Bekanntmachung eines Datenschutzverstoßes kann dauerhafte Vertrauensverluste zur Folge haben, die weit über die behördliche Strafe hinaus gehen.
Jetzt handeln: Externen Datenschutzbeauftragten bestellen
Gerade kleinere und mittlere Unternehmen sind oft unsicher, ob sie einen Datenschutzbeauftragten benötigen oder nicht. Eine falsche Einschätzung kann jedoch gravierende Folgen haben.
Tipp: Unternehmen sollten ihre Datenverarbeitungsprozesse regelmäßig prüfen und dokumentieren, um mögliche Pflichten frühzeitig zu erkennen und rechtzeitig zu handeln. Ziehen Sie daher frühzeitig einen externen Datenschutzbeauftragten hinzu, um Risiken zu vermeiden und Datenschutz professionell umzusetzen.
Ihre Vorteile:
- Rechtskonforme Umsetzung der DSGVO und des BDSG
- Kosteneffizienz durch bedarfsorientierte Betreuung
- Kein Schulungsaufwand für interne Mitarbeitende
- Unabhängige Prüfung und Beratung
Gehen Sie auf Nummer sicher und fordern Sie jetzt eine Beratung an!
Fazit
Auch wenn die „20-Personen-Regel“ auf den ersten Blick einfach erscheint, in der Praxis ist der Bedarf für einen Datenschutzbeauftragten von mehreren Faktoren abhängig. Ob sensible Daten verarbeitet werden, eine DSFA notwendig ist oder die Kerntätigkeit datengetrieben ist: In all diesen Fällen kann die Pflicht unabhängig von der Mitarbeiterzahl bestehen. Daher sollten Unternehmen regelmäßig prüfen, ob eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht und im Zweifel professionelle Hilfe einholen.
