Datenschutzbeauftragter werden: Fachkunde nach Art. 37 DSGVO & § 38 BDSG
Wann eine Benennung Pflicht ist, welches Fachwissen die DSGVO verlangt und welche Stellung und Aufgaben der Datenschutzbeauftragte hat — kompakt und mit Fundstelle belegt.
Der Datenschutzbeauftragte (DSB) ist eine zentrale Figur der Datenschutz-Grundverordnung (DSGVO). Er überwacht die Einhaltung der Datenschutzvorschriften und berät das Unternehmen — muss dafür aber weder eine bestimmte Berufsausbildung noch ein staatliches Examen nachweisen. Dieser Artikel erklärt, wann eine Benennung Pflicht ist, welches Fachwissen verlangt wird und welche Stellung und Aufgaben der DSB hat.
Wann muss ein Datenschutzbeauftragter benannt werden?
Die Benennungspflicht ergibt sich aus zwei Ebenen: aus der DSGVO selbst und ergänzend aus dem deutschen Bundesdatenschutzgesetz (BDSG).
Nach Art. 37 Abs. 1 DSGVO müssen Verantwortliche und Auftragsverarbeiter in drei Fällen einen Datenschutzbeauftragten benennen:
- wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (ausgenommen Gerichte, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln),
- wenn die Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen erforderlich machen,
- wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 oder von Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 besteht.
In Deutschland kommt § 38 Abs. 1 BDSG hinzu. Danach benennen Verantwortlicher und Auftragsverarbeiter eine oder einen Datenschutzbeauftragten, „soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen". Zusätzlich besteht die Pflicht unabhängig von der Personenzahl, wenn Verarbeitungen einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder wenn Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Kurz gesagt: In vielen deutschen Betrieben löst schon die Zahl von 20 Personen, die ständig automatisiert personenbezogene Daten verarbeiten, die Benennungspflicht nach § 38 BDSG aus — unabhängig davon, ob eine der Fallgruppen der DSGVO greift.
Welches Fachwissen verlangt die DSGVO?
Die zentrale Vorschrift ist Art. 37 Abs. 5 DSGVO. Danach wird der Datenschutzbeauftragte „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt". Verlangt wird also sowohl rechtliches Wissen als auch praktische Erfahrung mit der Umsetzung des Datenschutzes.
Wie umfangreich das Fachwissen sein muss, richtet sich nach dem Risiko der Verarbeitungen: Je sensibler und umfangreicher die Datenverarbeitung, desto tiefer muss die Fachkunde reichen. Wer sich strukturiert vorbereiten möchte, findet die Themengebiete auf unseren Seiten DSGVO-Grundlagen und DSB-Zertifizierung.
Intern oder extern — beides ist möglich
Nach Art. 37 Abs. 6 DSGVO kann der Datenschutzbeauftragte Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. Zulässig ist also sowohl ein interner (angestellter) als auch ein externer Datenschutzbeauftragter.
Nach Art. 37 Abs. 7 DSGVO muss das Unternehmen die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und der zuständigen Aufsichtsbehörde mitteilen.
Die Stellung des Datenschutzbeauftragten (Art. 38 DSGVO)
Damit der DSB seine Aufgaben unabhängig wahrnehmen kann, schützt Art. 38 DSGVO seine Stellung:
- Frühzeitige Einbindung (Abs. 1): Der DSB wird ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden.
- Ressourcen (Abs. 2): Das Unternehmen unterstützt ihn mit den erforderlichen Ressourcen, dem Zugang zu Daten und Verarbeitungsvorgängen sowie den Mitteln zur Erhaltung seines Fachwissens.
- Weisungsfreiheit & Kündigungsschutz (Abs. 3): Der DSB erhält bei der Erfüllung seiner Aufgaben keine Weisungen, darf deswegen nicht abberufen oder benachteiligt werden und berichtet unmittelbar der höchsten Managementebene.
- Ansprechbarkeit (Abs. 4): Betroffene Personen können den DSB zu allen Fragen der Verarbeitung und der Wahrnehmung ihrer Rechte zu Rate ziehen.
- Verschwiegenheit (Abs. 5): Der DSB ist bei der Erfüllung seiner Aufgaben zur Wahrung der Geheimhaltung oder Vertraulichkeit verpflichtet.
- Weitere Aufgaben (Abs. 6): Er kann andere Aufgaben wahrnehmen — allerdings nur, soweit dadurch kein Interessenkonflikt entsteht.
Die Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO)
Art. 39 Abs. 1 DSGVO listet die Mindestaufgaben abschließend auf:
- Unterrichtung und Beratung des Verantwortlichen oder Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, über ihre Pflichten,
- Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften und der internen Datenschutzstrategien,
- Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung nach Art. 35,
- Zusammenarbeit mit der Aufsichtsbehörde,
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde, einschließlich der vorherigen Konsultation nach Art. 36.
Eng verbunden mit der Rolle des DSB sind die Betroffenenrechte nach Art. 15–22 DSGVO — denn der Datenschutzbeauftragte ist häufig erste Anlaufstelle, wenn betroffene Personen ihre Rechte geltend machen.
Häufige Fragen
Reicht die Zahl von 20 Personen wirklich aus?
Nach § 38 Abs. 1 BDSG ja: Sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist eine Benennung Pflicht. Gezählt werden alle Personen, die ständig mit solcher Verarbeitung befasst sind — nicht nur die Gesamtzahl der Beschäftigten.
Haftet der Datenschutzbeauftragte für Verstöße?
Die Verantwortung für die Einhaltung der DSGVO trägt der Verantwortliche selbst. Der DSB überwacht und berät (Art. 39 DSGVO), trifft aber nicht die unternehmerischen Entscheidungen über Zwecke und Mittel der Verarbeitung.
Fachwissen für die DSB-Zertifizierung aufbauen
Übungsfragen zu allen Themengebieten der DSGVO und des BDSG — mit Prüfungssimulation zur Vorbereitung auf die Zertifizierung (TÜV / DEKRA).
Kostenlos registrierenRechtsgrundlagen & Quellen
- Art. 37 DSGVO — Benennung eines Datenschutzbeauftragten (dsgvo-gesetz.de)
- Art. 38 DSGVO — Stellung des Datenschutzbeauftragten
- Art. 39 DSGVO — Aufgaben des Datenschutzbeauftragten
- § 38 BDSG — Datenschutzbeauftragte nichtöffentlicher Stellen (gesetze-im-internet.de)
- Verordnung (EU) 2016/679 (DSGVO) — Volltext auf EUR-Lex
Stand: 07/2026 · Alle Angaben nach dem Wortlaut der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) und des Bundesdatenschutzgesetzes (BDSG). Keine Rechtsberatung.