Zum Inhalt springen

Datenschutzbeauftragter: Ab wann Unternehmen einen DSB brauchen

Provimedia 4 Min. Lesezeit 11. Juli 2026
Unternehmerpflichten
Datenschutzbeauftragter: Ab wann Unternehmen einen DSB brauchen

Ab 20 Beschäftigten, die regelmäßig mit automatisierter Verarbeitung personenbezogener Daten befasst sind, müssen Unternehmen einen Datenschutzbeauftragten benennen und diese Benennung der zuständigen Aufsichtsbehörde melden.

Kurz erklärt: Ein Datenschutzbeauftragter (DSB) überwacht die Einhaltung der DSGVO im Unternehmen. Pflicht wird die Benennung, sobald in der Regel mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind, oder unabhängig davon bei bestimmten Datenschutz-Folgenabschätzungs- oder Übermittlungsfällen. Fehlt der DSB trotz Pflicht, drohen Bußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes.

Wer ist von der Pflicht zum Datenschutzbeauftragten betroffen?

Betroffen sind Unternehmen, in denen nach § 38 BDSG in Verbindung mit Art. 37 DSGVO in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Maßgeblich ist ausschließlich diese Beschäftigtenzahl mit Datenverarbeitungsbezug – nicht die Gesamtmitarbeiterzahl und nicht der Umsatz des Unternehmens. Ein kleines Unternehmen mit vielen Beschäftigten im Kundenservice oder in der Buchhaltung, die täglich mit Datenbanken oder CRM-Systemen arbeiten, kann die Schwelle daher schneller erreichen als gedacht. Unabhängig von dieser Zahl besteht die Pflicht außerdem, wenn im Betrieb bestimmte Datenschutz-Folgenabschätzungen erforderlich sind oder bestimmte Datenübermittlungsfälle vorliegen. Wer nicht sicher ist, ob sein Unternehmen zu dieser Gruppe zählt, sollte die interne Datenverarbeitung systematisch erfassen und die Beschäftigtenzahl mit Datenbezug dokumentieren.

Welche Aufgaben übernimmt der Datenschutzbeauftragte?

Der Datenschutzbeauftragte ist die zentrale Ansprechperson für Datenschutzfragen im Unternehmen: Er überwacht, ob personenbezogene Daten rechtmäßig verarbeitet werden, berät Geschäftsführung und Mitarbeitende bei neuen Verarbeitungsvorgängen und ist zugleich Kontaktstelle für Betroffene und für die Aufsichtsbehörde. Diese doppelte Funktion – intern beraten, extern ansprechbar sein – ist der Grund, warum die Kontaktdaten veröffentlicht und die Benennung gemeldet werden müssen.

Was müssen Sie konkret tun?

Steht fest, dass die Pflicht greift, führt der Weg zum Datenschutzbeauftragten über folgende Schritte:

  1. Prüfen, ob die Schwelle von 20 Personen mit automatisierter Datenverarbeitung erreicht ist.
  2. Entscheiden: interner oder externer Datenschutzbeauftragter.
  3. DSB fachlich qualifizieren bzw. Dienstleister mit nachgewiesener Expertise beauftragen.
  4. Kontaktdaten des DSB auf der Website veröffentlichen.
  5. Benennung der zuständigen Aufsichtsbehörde melden.

Bei der Entscheidung zwischen interner und externer Lösung lohnt sich ein genauer Blick auf mögliche Interessenkonflikte: Ein externer Datenschutzbeauftragter steht außerhalb der betrieblichen Hierarchie und vermeidet dadurch Haftungsfragen, die bei einer internen Bestellung im eigenen Betrieb entstehen können. Bereits bei der Auswahl lohnt sich ein Blick auf einschlägige Fortbildungen oder Zertifizierungen, damit die fachliche Qualifikation im Streitfall nachweisbar ist.

Bis wann und wie oft gilt die Pflicht?

Die Benennungspflicht entsteht, sobald eine der genannten Voraussetzungen erstmals erfüllt ist. Es handelt sich nicht um einen einmaligen Stichtag, den man einmal abhakt: Solange die Schwelle von 20 Personen mit automatisierter Datenverarbeitung erreicht ist oder ein entsprechender Datenschutz-Folgenabschätzungs- oder Übermittlungsfall vorliegt, muss durchgehend ein benannter Datenschutzbeauftragter zur Verfügung stehen. Das gilt auch dann, wenn die Position zwischenzeitlich neu besetzt werden muss, etwa weil ein interner DSB das Unternehmen verlässt. Unternehmen sollten die relevante Beschäftigtenzahl deshalb regelmäßig überprüfen, um eine neu entstehende Pflicht rechtzeitig zu erkennen – gerade in Wachstumsphasen kann die Schwelle unbemerkt überschritten werden.

Was droht bei Verstoß gegen die Benennungspflicht?

Wird ein Datenschutzbeauftragter trotz bestehender Pflicht nicht benannt, drohen Bußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes. Diese Größenordnung macht deutlich, dass die Benennung keine Formalie ist, sondern von Aufsichtsbehörden ernst genommen wird. Welche Pflichten konkret für Ihr Unternehmen gelten, zeigt ein Werkzeug wie Company Audit im Überblick.

Die wichtigsten Eckpunkte im Überblick:

AspektRegelung
Schwellenwertin der Regel mind. 20 Personen mit automatisierter Datenverarbeitung
Sonderfällebestimmte Datenschutz-Folgenabschätzungs- oder Übermittlungsfälle
Rechtsgrundlage§ 38 BDSG · Art. 37 DSGVO
Bußgeldrahmen bei Verstoßbis 10 Mio. € oder 2 % des Jahresumsatzes

Häufige Fragen

Die folgenden Antworten vertiefen die wichtigsten Einzelfragen rund um die Benennungspflicht.

Muss jedes Unternehmen einen Datenschutzbeauftragten benennen?

Nein. Die Pflicht entsteht erst, wenn in der Regel mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn unabhängig davon bestimmte Datenschutz-Folgenabschätzungs- oder Übermittlungsfälle vorliegen.

Ist ein interner oder externer Datenschutzbeauftragter sinnvoller?

Beides ist zulässig. Ein externer Datenschutzbeauftragter vermeidet Interessenkonflikte und Haftungsfragen, die bei einer internen Bestellung im eigenen Betrieb entstehen können.

Gilt die Pflicht auch unterhalb von 20 Beschäftigten?

Formal nicht zwingend, doch auch unterhalb dieser Schwelle kann ein Datenschutzbeauftragter sinnvoll sein, wenn im Unternehmen besonders sensible Daten verarbeitet werden.

Wo müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden?

Die Kontaktdaten sind auf der Website des Unternehmens zu veröffentlichen, damit Betroffene und die Aufsichtsbehörde den Datenschutzbeauftragten erreichen können.

Wem muss die Benennung des Datenschutzbeauftragten gemeldet werden?

Die Benennung ist der zuständigen Aufsichtsbehörde zu melden – zusätzlich zur Veröffentlichung der Kontaktdaten auf der eigenen Website.

Quelle: § 38 BDSG · Art. 37 DSGVO. Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.

Beitrag teilen

Bleiben Sie auf dem Laufenden

Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.

Bereit für Ihr KI-Kompetenz-Zertifikat?

Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.