Gesetzliche Grundlagen: DSGVO und BDSG
Die Anforderungen an die Bestellung eines Datenschutzbeauftragten ergeben sich sowohl aus der EU-Datenschutz-Grundverordnung (DSGVO) als auch dem deutschen Bundesdatenschutzgesetz (BDSG). Während die DSGVO eher risikobasiert an die Pflicht zur Benennung herangeht, konkretisiert das BDSG diese Schwelle mit einer festen Zahl.
Artikel 37 DSGVO
Nach Art. 37 DSGVO ist ein Datenschutzbeauftragter zu bestellen, wenn:
- die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO besteht,
- eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen erfolgt.
§ 38 BDSG: Die 20-Mitarbeiter-Regel
Zusätzlich schreibt das BDSG vor: Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Das gilt auch, wenn es sich nicht um besonders sensible Daten handelt.
Wichtig: Auch bei weniger als 20 Mitarbeitern kann eine Bestellpflicht bestehen
Die oft zitierte „20-Mitarbeiter-Grenze“ darf nicht isoliert betrachtet werden. Denn auch wenn weniger als 20 Personen personenbezogene Daten verarbeiten, entsteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn z. B. folgende Kriterien erfüllt sind:
- Verarbeitung besonderer personenbezogener Daten (z. B. Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen – Art. 9 DSGVO),
- systematische Überwachung (z. B. Videoüberwachung am Arbeitsplatz),
- Verarbeitung von Daten im Auftrag erheblichen Umfangs (z. B. als externer Dienstleister im IT-Sektor).
Auch kleinste Unternehmen im medizinischen Bereich oder FinTech-Sektor sind oft sehr früh zur Bestellung verpflichtet.
Externer DSB für Ihr Unternehmen
Sichern Sie sich zuverlässige Unterstützung im Datenschutz – individuell, skalierbar und rechtssicher.
Pflicht ja – aber intern oder extern?
Wenn ein Datenschutzbeauftragter bestellt werden muss, stellt sich die Frage: intern oder extern? Gerade für kleine und mittelständische Unternehmen ist oft ein externer Datenschutzbeauftragter die bessere Wahl. Warum?
- Kein besonderer Kündigungsschutz wie beim internen DSB
- Kostentransparenz durch klare Pakete
- Zugriff auf spezialisierte Expertise (z. B. Fachanwälte für Datenschutzrecht)
- Weniger Reibung im Team – interne Strukturen bleiben unbelastet
Interne Datenschutzbeauftragte benötigen oft selbst externe Hilfe bei komplexeren Fragestellungen, was zusätzliche Kosten verursacht. Hinzu kommt der Aufwand für Schulungen und Fortbildung sowie die zeitliche Bindung interner Ressourcen für Datenschutzthemen.
Übersicht: Wann muss ein Datenschutzbeauftragter bestellt werden?
- Regelmäßig ≥ 20 Personen, die automatisiert personenbezogene Daten verarbeiten
- Besondere personenbezogene Daten werden verarbeitet (anders als gewöhnliche Kontaktdaten)
- Kerntätigkeit im Bereich Datenüberwachung (z. B. Tracking, Profilbildung)
Als Faustregel gilt: Wer umfassend personenbezogene Daten verarbeitet, sollte seine Bestellungspflicht sorgfältig prüfen – unabhängig von der Mitarbeiterzahl.
Fazit: Bestellung nicht optional – besser rechtzeitig handeln
Wenn ein Unternehmen die Schwelle zur Bestellpflicht überschreitet, muss die Bestellung offiziell erfolgen – auch formal mit schriftlicher Benennung und Meldung bei der Aufsichtsbehörde. Sie sollte keinesfalls aufgeschoben werden, um Bußgelder und Reputationsschäden zu vermeiden.Für viele Unternehmen ist es ratsam, frühzeitig die Kosten für einen externen Datenschutzbeauftragten zu prüfen und in Relation zum Risiko und Aufwand einer internen Lösung zu setzen. In den meisten Fällen zeigt sich: externe Expertise ist nicht nur rechtssicher, sondern auch wirtschaftlich sinnvoll.
