Ab wann ist in Deutschland ein Datenschutzbeauftragter gesetzlich vorgeschrieben?

In Deutschland ist nach §38 Abs. 1 Bundesdatenschutzgesetz (BDSG) ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Maßgeblich ist dabei nicht die Gesamtzahl der Mitarbeiter, sondern die Zahl der Personen, die ständig mit automatisierter Datenverarbeitung befasst sind. Da in modernen Bürobetrieben nahezu alle Mitarbeiter personenbezogene Daten per Computer verarbeiten (E-Mail, CRM, Zeiterfassung), ist die Schwelle oft bereits ab 20 Mitarbeitern insgesamt erreicht. Zusätzlich schreibt Art. 37 Abs. 1 DSGVO eine Benennungspflicht für Verantwortliche und Auftragsverarbeiter vor, wenn (a) es sich um eine Behörde handelt, (b) die Kerntätigkeit umfangreiche regelmäßige und systematische Überwachung von Personen erfordert (z.B. Telekommunikation, Banken, Versicherungen), oder (c) die Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien nach Art. 9 DSGVO umfasst (Gesundheitsdaten, genetische Daten, biometrische Daten, religiöse Überzeugungen etc.). Empfehlung: Auch unterhalb der 20-Personen-Schwelle ist die freiwillige Benennung eines DSB nach Art. 37 Abs. 4 DSGVO sinnvoll — Aufsichtsbehörden sehen dies positiv.

Welche fachlichen Anforderungen muss ein Datenschutzbeauftragter erfüllen?

Art. 37 Abs. 5 DSGVO schreibt vor, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation benannt wird, insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Konkret müssen DSBs über folgende Kenntnisse verfügen: fundierte Kenntnisse des Datenschutzrechts — DSGVO, BDSG, sektorspezifische Datenschutzregelungen (z.B. §203 StGB für Berufsgeheimnisträger, §80 SGB X für Sozialdaten); technische Kenntnisse im Bereich IT-Sicherheit und Datenschutztechnik (Pseudonymisierung, Verschlüsselung, Zugriffskontrollen); und Praxiserfahrung in der Implementierung von Datenschutzmaßnahmen. Eine formale Zertifizierung ist gesetzlich nicht vorgeschrieben, wird aber von Aufsichtsbehörden und Berufsverbänden wie der Gesellschaft für Datenschutz und Datensicherheit (GDD) empfohlen — anerkannte Zertifizierungen sind z.B. GDD-Datenschutzfachmann/-frau, CIPP/E (International Association of Privacy Professionals), TÜV-zertifizierter Datenschutzbeauftragter, und ISO 17024-zertifizierte DSBs. Die zuständigen Aufsichtsbehörden (BayLDA, LDI NRW, LfDI Baden-Württemberg) prüfen bei Beschwerden und Prüfungen, ob die Qualifikation des benannten DSBs den Anforderungen des Art. 37 Abs. 5 DSGVO entspricht.

Muss der Datenschutzbeauftragte der Aufsichtsbehörde gemeldet werden?

Ja — Art. 37 Abs. 7 DSGVO schreibt zwingend vor, dass der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde melden und diese Kontaktdaten veröffentlichen muss. Die Meldung erfolgt in Deutschland an die zuständige Landesdatenschutzbehörde: Bayern: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA, Ansbach); Baden-Württemberg: Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI); NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW); Berlin: Berliner Beauftragter für Datenschutz und Informationsfreiheit; und entsprechend für jedes Bundesland. Die meisten Aufsichtsbehörden bieten ein Online-Meldeportal an. Für bundesweit tätige öffentliche Bundesbehörden ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig. Zusätzlich müssen die Kontaktdaten des DSBs auf der Website (Impressum, Datenschutzerklärung) und in schriftlichen Mitteilungen veröffentlicht werden. Die Nicht-Meldung stellt einen eigenständigen DSGVO-Verstoß dar.

Wie hoch sind die Bußgelder bei fehlendem oder nicht geeignetem Datenschutzbeauftragten?

Verstöße gegen die Bestimmungen zu Benennung, Stellung und Aufgaben des Datenschutzbeauftragten (Art. 37–39 DSGVO) können nach Art. 83 Abs. 4 DSGVO mit Geldbußen von bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden — je nachdem, welcher der Beträge höher ist. Die deutschen Landesdatenschutzbehörden haben in den vergangenen Jahren bereits Bußgelder für das Fehlen eines gesetzlich vorgeschriebenen DSBs und für die Bestellung ungeeigneter Personen verhängt, wenn auch in unterschiedlicher Höhe. In der Praxis variieren die Bußgelder stark je nach Schwere des Verstoßes, Kooperationsbereitschaft des Unternehmens, ergriffenen Abhilfemaßnahmen und Unternehmensgröße. Neben Bußgeldern kann die Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO Warnungen aussprechen, die Verarbeitung beschränken oder untersagen, den für die Verarbeitung Verantwortlichen anweisen, die Benennung eines geeigneten DSBs nachzuholen, und Abhilfemaßnahmen anordnen.

Kann ein Datenschutzbeauftragter jederzeit abberufen werden?

Nein — für interne Datenschutzbeauftragte gilt ein besonderer Abberufungsschutz nach Art. 38 Abs. 3 Satz 2 DSGVO i.V.m. §6 Abs. 4 BDSG: Eine Abberufung oder Kündigung wegen der Erfüllung der DSB-Aufgaben ist ausdrücklich unzulässig. Kündigung und Abberufung sind nur aus wichtigem Grund im Sinne des §626 BGB zulässig — also bei schwerwiegenden Pflichtverletzungen, die eine Fortsetzung der Zusammenarbeit unzumutbar machen. Nach §6 Abs. 4 Satz 2 BDSG besteht der Kündigungsschutz nach Abberufung als DSB für weitere ein Jahr fort. Die Abberufung muss außerdem in Betrieben mit Betriebsrat nach §87 Abs. 1 Nr. 1 BetrVG mit diesem abgestimmt werden, wenn die Abberufung mit einer Änderung der Arbeitsbedingungen verbunden ist. Für externe Datenschutzbeauftragte, die auf Basis eines Dienstvertrags tätig sind, gilt der besondere BDSG-Kündigungsschutz nicht; die Abberufung richtet sich nach den vertraglichen Vereinbarungen und §620 BGB (ordentliche Kündigung des Dienstvertrags). Praxis-Empfehlung: Regeln Sie Abberufungsmodalitäten bereits in der Bestellungsvereinbarung.

Was sind die Aufgaben des Datenschutzbeauftragten nach DSGVO Art. 39?

Art. 39 DSGVO definiert die Mindestaufgaben des Datenschutzbeauftragten abschließend, wobei der Verantwortliche dem DSB weitere Aufgaben übertragen kann, die keine Interessenkonflikte begründen. Gesetzliche Pflichtaufgaben nach Art. 39 Abs. 1 DSGVO: Unterrichtung und Beratung des Verantwortlichen oder Auftragsverarbeiters und der mit der Verarbeitung beschäftigten Mitarbeiter über die Datenschutzpflichten aus DSGVO und anderen EU- und nationalen Datenschutzvorschriften; Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften sowie der Datenschutzrichtlinien des Verantwortlichen einschließlich Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an der Verarbeitung beteiligten Mitarbeiter (Datenschutzschulungen); Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und Überwachung ihrer Durchführung; Zusammenarbeit mit der Aufsichtsbehörde; Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in allen mit der Verarbeitung zusammenhängenden Fragen einschließlich der vorherigen Konsultation nach Art. 36 DSGVO; und Bearbeitung von Betroffenenanfragen (Art. 15–22 DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Gemäß Art. 39 Abs. 2 trägt der DSB bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung.

Unterschied: Datenschutzbeauftragter intern versus extern — was ist besser?

Die Entscheidung zwischen einem internen und einem externen Datenschutzbeauftragten hängt von der Unternehmensgröße, dem Datenschutzrisikoprofil und den verfügbaren Ressourcen ab. Interner DSB: Vorteile — Kenntnis der Betriebsstruktur, Systeme und Verarbeitungsvorgänge; direkte Verfügbarkeit; Identifikation mit dem Unternehmen. Nachteile — Risiko von Interessenkonflikten (Art. 38 Abs. 6 DSGVO); besonderer Kündigungsschutz nach §6 Abs. 4 BDSG schränkt Personalflexibilität ein; regelmäßige Fortbildungskosten. Geeignet für: mittelgroße und größere Unternehmen mit hohem Datenschutzbedarf und ausreichend Ressourcen. Externer DSB: Vorteile — spezialisierte Fachexpertise; keine Interessenkonflikte; keine besonderen kündigungsschutzrechtlichen Risiken; flexibler Ressourceneinsatz. Nachteile — weniger Betriebskenntnis; höhere laufende Kosten (Honorar); geringere Verfügbarkeit. Geeignet für: kleinere Unternehmen, die die 20-Personen-Schwelle leicht überschreiten; Unternehmen ohne geeignete interne Kandidaten; Konzerne, die DSB-Expertise zentralisieren. Gemäß Art. 37 Abs. 6 DSGVO ist ein Dienstleistungsvertrag über die externe DSB-Tätigkeit zu schließen. Dieser Vertrag gilt nach Art. 28 DSGVO als Auftragsverarbeitungsvertrag, wenn der externe DSB Zugang zu personenbezogenen Daten hat.

Datenschutzbeauftragter Bestellung Deutschland

Q: Kann ein interner Mitarbeiter als Datenschutzbeauftragter bestellt werden?

Ja — Art. 37 Abs. 6 DSGVO erlaubt ausdrücklich sowohl die Bestellung interner Mitarbeiter als auch externer Fachkräfte als DSB. Bei internen DSBs müssen jedoch besondere Anforderungen beachtet werden: Interessenkonflikte nach Art. 38 Abs. 6 DSGVO müssen ausgeschlossen sein — der interne DSB darf keine anderen Aufgaben oder Pflichten ausüben, die mit seiner DSB-Funktion in Konflikt geraten könnten. Typische unzulässige Doppelfunktionen: IT-Leiter als DSB (überwacht eigene Systeme); Personalleiter als DSB (überwacht eigene Mitarbeiterdatenverarbeitung); Geschäftsführer als DSB (mangelnde Unabhängigkeit). Der interne DSB genießt nach Art. 38 Abs. 3 DSGVO i.V.m. §6 Abs. 4 BDSG besonderen Kündigungsschutz — Kündigung oder Abberufung nur aus wichtigem Grund (§626 BGB). Wichtige Vorteile interner DSBs: Kenntnis der Betriebsstruktur, direkte Verfügbarkeit, keine externen Honorarkosten. Wichtige Vorteile externer DSBs: unabhängige Fachexpertise, kein Kündigungsschutzrisiko, einfachere Abberufung.

BESTELLUNG ZUM DATENSCHUTZBEAUFTRAGTEN

gemäß Art. 37 DSGVO (EU 2016/679) | §38 BDSG | EDSA-Leitlinien WP 243 rev. 01

1. VERANTWORTLICHER (UNTERNEHMEN)

Unternehmen: [Unternehmen Name]

Anschrift: [Unternehmen Adresse]

Handelsregisternummer: [Handelsregister Nummer]

Vertreten durch: [Geschaeftsfuehrer]

Zuständige Datenschutz-Aufsichtsbehörde: [Aufsichtsbehoerde]

2. BESTELLUNG DES DATENSCHUTZBEAUFTRAGTEN

Der Verantwortliche bestellt hiermit gemäß Art. 37 DSGVO und §38 BDSG folgende Person zum Datenschutzbeauftragten:

Name des DSB: [Dsb Name]

Art der Bestellung: [Dsb Art]

Unternehmen / Kanzlei (externer DSB): [Dsb Unternehmen]

Kontaktdaten des DSB (nach Art. 37 Abs. 7 DSGVO zu veröffentlichen):

E-Mail: [Dsb Email]

Telefon: [Dsb Telefon]

Postanschrift: [Dsb Post Adresse]

3. FACHLICHE QUALIFIKATION (Art. 37 Abs. 5 DSGVO)

Qualifikation: [Qualifikation Beschreibung]

Zertifizierungen: [Zertifizierungen]

4. AUFGABEN DES DSB (Art. 39 DSGVO)

Der DSB nimmt folgende gesetzliche Aufgaben wahr:

• Unterrichtung und Beratung des Verantwortlichen und der Mitarbeiter (Art. 39 Abs. 1 lit. a DSGVO)

• Überwachung der Einhaltung der DSGVO, BDSG und interner Datenschutzrichtlinien (Art. 39 Abs. 1 lit. b)

• Beratung bei Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO (Art. 39 Abs. 1 lit. c)

• Zusammenarbeit mit der Aufsichtsbehörde (Art. 39 Abs. 1 lit. d DSGVO)

• Anlaufstelle für Aufsichtsbehörde und Betroffene (Art. 39 Abs. 1 lit. e DSGVO)

Ressourcen und Unabhängigkeit (Art. 38 Abs. 2–3 DSGVO):

Zeitbudget: [Zeitbudget]

Systemzugang: [System Zugang]

Interessenkonfliktprüfung: [Interessen Konflikt Pruefung]

Der DSB ist bei der Ausübung seiner Aufgaben weisungsfrei und unterliegt keinen Anweisungen Dritter (Art. 38 Abs. 3 Satz 1 DSGVO). Eine Kündigung oder Abberufung wegen der Erfüllung seiner Aufgaben ist unzulässig (Art. 38 Abs. 3 Satz 2 DSGVO; §6 Abs. 4 BDSG).

5. MELDUNG UND VERÖFFENTLICHUNG (Art. 37 Abs. 7 DSGVO)

Die Kontaktdaten des DSB werden der zuständigen Aufsichtsbehörde ([Aufsichtsbehoerde]) gemeldet am: [Meldung Datum]

Veröffentlicht auf der Website: [Veroeffentlichungs Nachweis]

6. UNTERSCHRIFTEN

[Bestellungs Ort], den [Bestellungs Datum]

Bestellung gültig bis: [Gueltig Bis]

Verantwortlicher (Arbeitgeber):

[Unternehmen Name], vertreten durch [Geschaeftsfuehrer]

Unterschrift: _________________________ Datum: _________________________

Annahme durch den Datenschutzbeauftragten:

[Dsb Name] bestätigt die Annahme der Bestellung und die Übernahme der Aufgaben nach Art. 39 DSGVO.

Unterschrift: _________________________ Datum: _________________________

Beide Parteien erhalten eine Ausfertigung. Der Nachweis der fachlichen Qualifikation ist als Anlage beizufügen.

Verantwortlicher / Geschäftsführer

________________

Signature

Datenschutzbeauftragter

________________

Signature

Betreut von Vladislav Sergienko, Gründer·Vorlage zuletzt geändert: 2026-06-23·Fehler melden

Was ist Datenschutzbeauftragter Bestellung Deutschland?

Die Bestellung eines Datenschutzbeauftragten in Deutschland ist in DSGVO Art. 37 (Benennung eines Datenschutzbeauftragten) und BDSG § 38 geregelt. Der Datenschutzbeauftragte ist keine Kontrollinstanz für die Einhaltung der DSGVO (diese Aufgabe obliegt den Aufsichtsbehörden), sondern ein interner Berater und Anlaufstelle. Nach Art. 39 DSGVO umfassen die Aufgaben des DSB: Unterrichtung und Beratung des Verantwortlichen und seiner Mitarbeiter über die Datenschutzpflichten; Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften sowie der internen Datenschutzrichtlinien; Beratung bei der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO; Zusammenarbeit mit der Aufsichtsbehörde (zuständige Landesdatenschutzbehörde, LfDI oder LDA); Anlaufstelle für die Aufsichtsbehörde in allen datenschutzbezogenen Fragen; und Anlaufstelle für Betroffene, die ihre Rechte nach Art. 15–22 DSGVO wahrnehmen möchten. Der DSB ist der Aufsichtsbehörde zu melden (Art. 37 Abs. 7 DSGVO) und seine Kontaktdaten sind zu veröffentlichen.

Das Bundesverwaltungsgericht (BVerwG) und die Datenschutzaufsichtsbehörden der Länder — in Bayern: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), in NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW), auf Bundesebene: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) — haben in Leitlinien und Entscheidungen die Anforderungen an die Bestellung präzisiert. Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien WP 243 rev. 01 (2017) und späteren Updates umfangreiche Empfehlungen zu Benennung, Stellung und Aufgaben des DSB veröffentlicht.

Der DSB kann ein Mitarbeiter des Unternehmens (interner DSB) oder eine externe Fachkraft (externer DSB) sein. Art. 37 Abs. 5 DSGVO verlangt, dass der DSB auf der Grundlage seiner beruflichen Qualifikation, insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis, sowie seiner Fähigkeit zur Erfüllung seiner Aufgaben benannt wird. Eine formale Zertifizierung ist gesetzlich nicht vorgeschrieben, wird aber von Aufsichtsbehörden und Berufsverbänden (z.B. GDD — Gesellschaft für Datenschutz und Datensicherheit) empfohlen. Der DSB muss nach Art. 38 Abs. 3 DSGVO frühzeitig in alle datenschutzrelevanten Fragen eingebunden werden und genießt besonderen Kündigungsschutz nach Art. 38 Abs. 3 Satz 2 DSGVO i.V.m. §6 BDSG.

Wann brauchen Sie Datenschutzbeauftragter Bestellung Deutschland?

Eine Datenschutzbeauftragter-Bestellung nach DSGVO Art. 37 und BDSG §38 ist in Deutschland in folgenden Situationen gesetzlich vorgeschrieben oder dringend empfohlen.

Gesetzliche Pflicht nach BDSG §38 (20-Personen-Schwelle): §38 Abs. 1 BDSG verpflichtet nichtöffentliche Stellen in Deutschland, einen DSB zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Maßgeblich ist die Zahl der ständig mit automatisierter Verarbeitung beschäftigten Personen — nicht die Gesamtzahl der Mitarbeiter. In der Praxis verarbeiten heute fast alle Mitarbeiter in Büros und Dienstleistungsunternehmen personenbezogene Daten automatisiert (E-Mail, CRM-Systeme, Zeiterfassung), sodass die 20-Personen-Schwelle rasch erreicht ist.

Gesetzliche Pflicht nach DSGVO Art. 37 Abs. 1 (drei Fallgruppen): Unabhängig von der Mitarbeiterzahl sind Verantwortliche und Auftragsverarbeiter nach Art. 37 Abs. 1 DSGVO zur DSB-Benennung verpflichtet, wenn (a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird; (b) die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von Personen erfordern (z.B. Telekommunikationsunternehmen, Banken, Versicherungen); oder (c) die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO (Gesundheitsdaten, Rassedaten, religiöse Überzeugungen etc.) oder von Daten über strafrechtliche Verurteilungen nach Art. 10 DSGVO besteht.

Pflicht für Auftragsverarbeiter nach DSGVO Art. 37 Abs. 1: Auch Auftragsverarbeiter (z.B. Cloud-Anbieter, IT-Dienstleister, Marketingagenturen, die personenbezogene Daten im Auftrag verarbeiten) können zur DSB-Benennung nach Art. 37 DSGVO verpflichtet sein, wenn die genannten Voraussetzungen vorliegen.

Freiwillige Benennung nach Art. 37 Abs. 4 DSGVO: Verantwortliche und Auftragsverarbeiter, die gesetzlich nicht zur Benennung verpflichtet sind, können freiwillig einen DSB benennen. Diese Praxis wird von Aufsichtsbehörden ausdrücklich empfohlen, da ein DSB das Datenschutz-Compliance-Niveau erhöht und das Risiko von Bußgeldern nach Art. 83 DSGVO reduziert.

Nach Fusionen, Unternehmensumstrukturierungen oder Aufnahme neuer Geschäftstätigkeiten: Wenn ein Unternehmen durch Wachstum, Fusion oder Akquisition die 20-Personen-Schwelle des §38 BDSG überschreitet oder neue datenschutzintensive Tätigkeiten aufnimmt (z.B. Einführung eines CRM-Systems, Direktmarketing, Personalanalytik), ist unverzüglich ein DSB zu benennen. Die Bestellung ist der zuständigen Landesdatenschutzbehörde zu melden.

Was gehört in Ihr Datenschutzbeauftragter Bestellung Deutschland?

Eine rechtswirksame Datenschutzbeauftragter-Bestellung nach DSGVO Art. 37 und BDSG §38 muss folgende Kernelemente enthalten, die der Europäische Datenschutzausschuss (EDSA) in seinen Leitlinien WP 243 rev. 01 präzisiert hat.

Angaben zum Verantwortlichen (Unternehmen): Die Bestellung beginnt mit vollständigen Angaben zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO: vollständige Firmierung (wie im Handelsregister des Amtsgerichts eingetragen, z.B. Müller Software GmbH, HRB 12345, AG München), Unternehmenssitz, vertretungsberechtigte Personen (Geschäftsführer) und ggf. Umsatzsteuer-Identifikationsnummer (USt-IdNr). Der Verantwortliche ist nach Art. 37 Abs. 7 DSGVO verpflichtet, die Kontaktdaten des DSB der zuständigen Aufsichtsbehörde zu melden und zu veröffentlichen.

Angaben zum bestellten DSB: Vollständiger Name und Titel, Geburtsdatum, Kontaktdaten (dienstliche Anschrift, E-Mail-Adresse, Telefonnummer — die Kontaktdaten des DSB müssen nach Art. 37 Abs. 7 DSGVO veröffentlicht werden), Art der Bestellung (intern / extern), und — bei externem DSB — Name und Anschrift des beauftragten Unternehmens oder der beauftragten Kanzlei.

Fachliche Qualifikation des DSB: Art. 37 Abs. 5 DSGVO schreibt vor, dass der DSB auf der Grundlage seiner beruflichen Qualifikation benannt wird. Das Dokument sollte die Qualifikationsgrundlage festhalten: einschlägige rechtliche Ausbildung (Jurist, Datenschutzrecht), technische Ausbildung (Informatik, Informationssicherheit), Datenschutzzertifizierungen (z.B. GDD-Datenschutzfachmann, CIPP/E, TÜV-Datenschutzauditor), Berufserfahrung im Datenschutz und Fortbildungen. Das Portal forms-legal.com stellt Felder für alle qualifikationsrelevanten Angaben bereit. Verwandte Dokumente: Auftragsverarbeitungsvertrag nach DSGVO Art. 28 und Datenschutzerklärung nach DSGVO Art. 13.

Aufgaben des DSB nach Art. 39 DSGVO: Die Bestellung sollte die gesetzlichen Aufgaben des DSB nach Art. 39 DSGVO ausdrücklich benennen: Beratung und Unterrichtung des Verantwortlichen und der Mitarbeiter; Überwachung der DSGVO-Einhaltung; Beratung bei Datenschutz-Folgenabschätzungen (DSFA, Art. 35 DSGVO); Zusammenarbeit mit der Aufsichtsbehörde; Anlaufstelle für Aufsichtsbehörde und Betroffene. Ohne klare Aufgabenzuweisung besteht die Gefahr, dass der DSB seine Funktion nicht wirksam ausüben kann.

Unabhängigkeit und Ressourcen: Art. 38 DSGVO garantiert dem DSB: Einbindung in alle datenschutzrelevanten Entscheidungen; ausreichende Ressourcen (Zeit, Budget, Zugang zu Informationen); keine Interessenkonflikte (der DSB darf keine anderen Aufgaben übernehmen, die mit seiner DSB-Funktion kollidieren — Art. 38 Abs. 6 DSGVO); und besonderen Kündigungsschutz (§6 BDSG i.V.m. Art. 38 Abs. 3 Satz 2 DSGVO: Kündigung nur aus wichtigem Grund).

Meldepflicht an die Aufsichtsbehörde: Nach Art. 37 Abs. 7 DSGVO sind die Kontaktdaten des DSB der zuständigen Aufsichtsbehörde zu melden (in den meisten Bundesländern über ein Online-Portal). Das Datum der Meldung und die Bestätigung durch die Behörde sollten in der Bestellungsakte vermerkt werden.

So füllen Sie Ihr Datenschutzbeauftragter Bestellung Deutschland aus

Das korrekte Ausfüllen der Datenschutzbeauftragter-Bestellung nach DSGVO Art. 37 und BDSG §38 sichert die rechtliche Wirksamkeit der Bestellung und erfüllt die Meldepflicht gegenüber der zuständigen Landesdatenschutzbehörde.

Schritt 1 — Unternehmensangaben: Tragen Sie die vollständige Firmenbezeichnung wie im Handelsregister eingetragen, den Unternehmenssitz, die Handelsregisternummer (z.B. HRB 12345, AG München) und die Namen der Geschäftsführer ein. Diese Angaben sind auch für die Meldung des DSB an die Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO erforderlich.

Schritt 2 — DSB-Angaben: Tragen Sie den vollständigen Namen (ggf. mit akademischem Titel), die Kontaktdaten des DSB in seiner DSB-Funktion (dienstliche E-Mail-Adresse, Telefonnummer, Postanschrift) ein. Beachten Sie: Die Kontaktdaten müssen nach Art. 37 Abs. 7 DSGVO veröffentlicht werden — z.B. im Impressum der Website und in der Datenschutzerklärung. Wenn ein externer DSB bestellt wird, tragen Sie auch das externe Unternehmen oder die Kanzlei ein.

Schritt 3 — Qualifikationsnachweis: Beschreiben Sie die fachliche Qualifikation des DSB nach Art. 37 Abs. 5 DSGVO: rechtliche Ausbildung, technische Kenntnisse, Datenschutzzertifizierungen (z.B. GDD-Datenschutzfachmann/frau, CIPP/E, TÜV-zertifizierter Datenschutzbeauftragter), relevante Berufserfahrung. Bei externen DSBs fügen Sie Lebensläufe und Zertifikate als Anlage bei.

Schritt 4 — Aufgaben und Weisungsfreiheit: Bestätigen Sie in der Bestellung die Weisungsfreiheit des DSB nach Art. 38 Abs. 3 DSGVO und die Pflicht, ihn in alle datenschutzrelevanten Entscheidungen frühzeitig einzubeziehen. Legen Sie fest, welche Ressourcen (Stunden pro Woche, Budget, Zugriffsrechte auf Systeme) dem DSB zur Verfügung stehen.

Schritt 5 — Interessenkonflikte ausschließen: Prüfen Sie, ob der bestellte DSB andere Funktionen im Unternehmen hat, die zu Interessenkonflikten führen könnten. Art. 38 Abs. 6 DSGVO verbietet Interessenkonflikte; ein interner DSB darf keine Aufgaben übernehmen, die er als DSB überwachen müsste (z.B. darf der IT-Leiter nicht gleichzeitig DSB sein, wenn er über Verarbeitungssysteme entscheidet). Die Aufsichtsbehörden kontrollieren dies.

Schritt 6 — Unterschriften beider Parteien: Die Bestellung wird vom Verantwortlichen (Geschäftsführer oder Vorstand) unterzeichnet. Der DSB bestätigt durch seine Unterschrift die Annahme der Bestellung und seiner Aufgaben. Ohne Annahme fehlt der Bestellung die personalrechtliche Verbindlichkeit.

Schritt 7 — Meldung an die Aufsichtsbehörde: Nach Art. 37 Abs. 7 DSGVO sind die Kontaktdaten des DSB der zuständigen Landesdatenschutzbehörde zu melden. In den meisten Bundesländern erfolgt die Meldung digital über das Online-Portal der jeweiligen Aufsichtsbehörde. Notieren Sie Datum der Meldung und Bestätigungsnummer. Die Kontaktdaten sind zusätzlich im Impressum und in der Datenschutzerklärung der Website zu veröffentlichen.

Rechtliche Anforderungen für Datenschutzbeauftragter Bestellung Deutschland

Die gesetzlichen Anforderungen an die Datenschutzbeauftragter-Bestellung in Deutschland sind durch die DSGVO, das BDSG und ergänzende Leitlinien des Europäischen Datenschutzausschusses (EDSA) geregelt.

DSGVO Art. 37 (Benennung): Art. 37 Abs. 1 DSGVO definiert drei Fallgruppen, in denen eine Benennung zwingend ist: öffentliche Stellen, Kerntätigkeit mit umfangreicher regelmäßiger und systematischer Überwachung von Personen, Kerntätigkeit mit umfangreicher Verarbeitung besonderer Kategorien nach Art. 9 oder Art. 10. Art. 37 Abs. 5 verlangt Benennung auf Grundlage beruflicher Qualifikation. Art. 37 Abs. 7 schreibt Meldung an die Aufsichtsbehörde und Veröffentlichung der Kontaktdaten vor.

BDSG §38 (Nichtöffentliche Stellen): §38 Abs. 1 BDSG senkt die Benennungsschwelle für deutsche Unternehmen auf 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. §38 Abs. 2 erstreckt die Benennungspflicht auf nichtöffentliche Stellen, die Datenverarbeitung nach Art. 9 Abs. 1 DSGVO (besondere Kategorien) vornehmen oder Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder im Rahmen eines Bestellungs- oder Kundenverhältnisses für Daten Dritter verarbeiten (Marktforschung, Adresshandel, Scoring).

DSGVO Art. 38 (Stellung des DSB): Art. 38 Abs. 3 sichert dem DSB Weisungsfreiheit bei der Aufgabenerfüllung und besonderen Kündigungsschutz — Kündigung oder Abberufung sind nur aus wichtigem Grund zulässig (i.V.m. §6 BDSG und §626 BGB). Kündigung wegen der Erfüllung der DSB-Aufgaben ist ausdrücklich verboten. Der Arbeitgeber darf den DSB nicht sanktionieren, weil er seine Aufgaben erfüllt. Art. 38 Abs. 6 verbietet Interessenkonflikte.

DSGVO Art. 83 (Bußgelder): Verstöße gegen Art. 37–39 DSGVO — insbesondere das Fehlen eines pflichtgemäßen DSB oder die Bestellung einer ungeeigneten Person — können nach Art. 83 Abs. 4 DSGVO mit Bußgeldern bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes geahndet werden (je nachdem, welcher Betrag höher ist). Die deutschen Landesdatenschutzbehörden haben bereits Bußgelder für das Fehlen eines DSB verhängt.

Meldepflicht nach Art. 37 Abs. 7 DSGVO: Die Kontaktdaten des DSB sind der zuständigen Aufsichtsbehörde zu melden und zu veröffentlichen. Für Bayern ist die Aufsichtsbehörde das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), für NRW die LDI NRW, auf Bundesebene der BfDI für öffentliche Bundesbehörden. Die Nicht-Meldung stellt einen eigenständigen Verstoß dar und kann separat sanktioniert werden.

Besonderer Kündigungsschutz des DSB: §6 Abs. 4 BDSG i.V.m. Art. 38 Abs. 3 Satz 2 DSGVO schützt interne DSBs vor Kündigung und sonstigen Benachteiligungen wegen ihrer DSB-Tätigkeit. Nach Abberufung als DSB besteht der Kündigungsschutz nach §6 Abs. 4 BDSG für weitere ein Jahr fort. Die Bestellung als DSB begründet keinen eigenständigen Beschäftigungsanspruch; bei Wegfall des Arbeitsvertrags kann auch die DSB-Funktion enden.

Häufige Fehler bei Ihrem Datenschutzbeauftragter Bestellung Deutschland

Bei der Bestellung des Datenschutzbeauftragten in Deutschland werden regelmäßig Fehler gemacht, die die Wirksamkeit der Bestellung gefährden und zu Bußgeldern nach Art. 83 DSGVO führen können.

Bestellung einer ungeeigneten Person ohne ausreichende Fachkenntnisse: Art. 37 Abs. 5 DSGVO schreibt vor, dass der DSB auf der Grundlage seiner beruflichen Qualifikation benannt wird. Die Benennung des Inhabers, des Buchhalters oder eines IT-Mitarbeiters ohne datenschutzrechtliche Kenntnisse allein aufgrund ihrer Betriebszugehörigkeit ist unzulässig. Aufsichtsbehörden prüfen die Qualifikation bei Beschwerden und Prüfungen; eine fehlqualifizierte Bestellung kann als Verstoß gegen Art. 37 Abs. 5 DSGVO mit Bußgeldern nach Art. 83 DSGVO geahndet werden.

Interessenkonflikt durch Doppelfunktion des internen DSB: Art. 38 Abs. 6 DSGVO verbietet Interessenkonflikte. Ein interner DSB darf keine anderen Funktionen ausüben, die mit seiner Überwachungsaufgabe unvereinbar sind. In der Praxis häufige Fehler: IT-Leiter als DSB (überwacht eigene Systeme); Personalleiter als DSB (überwacht eigene Verarbeitungen von Mitarbeiterdaten nach BDSG §26); Geschäftsführer als DSB (kontrolliert sich selbst). Die Aufsichtsbehörden (z.B. BayLDA, LDI NRW) haben in Entscheidungen Doppelfunktionen von GmbH-Geschäftsführern als DSBs für unzulässig erklärt.

Nicht-Meldung an die Aufsichtsbehörde: Art. 37 Abs. 7 DSGVO verpflichtet zur Meldung der DSB-Kontaktdaten an die zuständige Landesdatenschutzbehörde. Viele Unternehmen benennen einen DSB, vergessen jedoch die Meldung. Die Nicht-Meldung stellt einen eigenständigen Verstoß gegen Art. 37 Abs. 7 DSGVO dar und kann separat sanktioniert werden.

Nicht-Veröffentlichung der DSB-Kontaktdaten: Art. 37 Abs. 7 DSGVO verlangt nicht nur die Meldung an die Aufsichtsbehörde, sondern auch die Veröffentlichung der DSB-Kontaktdaten — üblicherweise im Impressum der Website und in der Datenschutzerklärung (Art. 13 Abs. 1 lit. b DSGVO). Fehlen diese Angaben, sind gleichzeitig Art. 13 und Art. 37 DSGVO verletzt; Betroffene können keine Anfragen an den DSB stellen.

Abberufung des internen DSB ohne wichtigen Grund: §6 Abs. 4 BDSG i.V.m. Art. 38 Abs. 3 DSGVO schützt interne DSBs vor Kündigung und Abberufung ohne wichtigen Grund. Unternehmen, die einen internen DSB aus Unzufriedenheit oder wegen Umstrukturierungen abberufen, ohne einen wichtigen Grund nach §626 BGB vorweisen zu können, riskieren arbeitsrechtliche Klagen und Schadensersatzansprüche. Die Abberufung muss ordnungsgemäß begründet und mit dem Betriebsrat (§87 Abs. 1 Nr. 1 BetrVG) abgestimmt werden.

Uzureichende Ressourcenausstattung des DSB: Art. 38 Abs. 2 DSGVO verpflichtet Verantwortliche, dem DSB ausreichend Ressourcen zur Verfügung zu stellen — Zeit, finanzielle Mittel, Zugang zu Daten und Verarbeitungsvorgängen, und Zugang zu Fortbildungen. Aufsichtsbehörden haben Fälle beanstandet, in denen DSBs nur wenige Stunden pro Monat für ihre Aufgaben aufwenden konnten oder keinen Zugang zu wichtigen Systemen hatten. Ein DSB ohne ausreichende Ressourcen kann seine gesetzliche Aufgabe nicht erfüllen, was die Wirksamkeit der gesamten DSGVO-Compliance des Unternehmens untergräbt.

Quellen und Zitate

Gesetzliche Zitate verlinken auf offizielle Regierungsquellen.

§626 BGBDE official

Diese Seite zitieren

Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:

APA

Forms Legal. (2026). Datenschutzbeauftragter Bestellung Deutschland (Deutschland) [Legal document template]. Forms Legal. https://forms-legal.com/de/deutschland/employment/health-safety/datenschutzbeauftragter-bestellung-muster-deutschland

MLA

"Datenschutzbeauftragter Bestellung Deutschland (Deutschland)." Forms Legal, 2026, https://forms-legal.com/de/deutschland/employment/health-safety/datenschutzbeauftragter-bestellung-muster-deutschland.

BibTeX

@misc{formslegal-datenschutzbeauftragter-bestellung-muster-deutschland,
  author       = {{Forms Legal}},
  title        = {Datenschutzbeauftragter Bestellung Deutschland (Deutschland)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/de/deutschland/employment/health-safety/datenschutzbeauftragter-bestellung-muster-deutschland}},
  note         = {Free legal document template}
}

Häufig gestellte Fragen

Gesetzesreferenzierte Vorlage — Vorlage zuletzt geändert Juni 2026

Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss

Fehler gefunden? Sagen Sie uns Bescheid