SITTIG LAW Kanzlei Blog

Externer Datenschutzbeauftragter ab wann Pflicht: Die vollständige Übersicht

Ab 20 Personen in der automatisierten Datenverarbeitung schreibt § 38 BDSG einen Datenschutzbeauftragten vor — doch auch kleinere Unternehmen können bereits verpflichtet sein. Der Beitrag zeigt, welche Schwellen gelten, wer mitgezählt wird und warum ein externer DSB für viele KMU die rechtssicherere Wahl ist.
Inhaltsverzeichnis

Das Wichtigste in Kürze

Was sagen Art. 37 DSGVO und § 38 BDSG zur Bestellpflicht?

Die Frage nach dem richtigen Zeitpunkt für die Bestellung eines Datenschutzbeauftragten beschäftigt viele Unternehmen – oft erst dann, wenn eine Prüfung durch die Behörde droht oder ein Datenschutzvorfall eingetreten ist. Dabei lässt sich der Einstiegspunkt klar bestimmen. Wer als externer Datenschutzbeauftragter tätig wird, muss sowohl die europäische Datenschutz-Grundverordnung (DSGVO) als auch das deutsche Bundesdatenschutzgesetz (BDSG) beherrschen – denn beide Regelwerke greifen parallel. Wir unterstützen Unternehmen bundesweit als externer Datenschutzbeauftragter für Ihr Unternehmen und prüfen individuell, ob und ab wann für Sie die Bestellpflicht gilt.

Die Pflicht zur Benennung eines Datenschutzbeauftragten folgt aus zwei Regelungsebenen. Art. 37 Abs. 1 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter unmittelbar, wenn ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien nach Art. 9 und 10 DSGVO besteht, eine systematische und weiträumige Überwachung von Personen umfasst oder – soweit es sich um Behörden handelt – generell hoheitlich ausgeübt wird. Diese Pflicht greift unabhängig von der Unternehmensgröße oder Mitarbeiterzahl.

Ergänzend dazu verpflichtet § 38 BDSG nicht-öffentliche Stellen, einen Datenschutzbeauftragten zu benennen, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Entscheidend ist das Wort „ständig“: Es meint keine Vollzeittätigkeit ausschließlich in der Datenverarbeitung, sondern dass die automatisierte Verarbeitung personenbezogener Daten einen wesentlichen und regelmäßigen Bestandteil der jeweiligen Tätigkeit darstellt. Wer täglich Kundenanfragen per E-Mail bearbeitet, ein CRM-System nutzt oder Personaldaten pflegt, erfüllt dieses Merkmal in der Regel. Entscheidend ist dabei die Kopfzahl, nicht die Vollzeitäquivalente: Teilzeitkräfte, Minijobber, Auszubildende, Praktikanten und funktional eingegliederte freie Mitarbeiter werden mitgezählt.

Wer zählt zu den 20 Personen – und wer nicht?

Die korrekte Zählung der maßgeblichen Personen wird in der Praxis häufig unterschätzt. Mitgezählt werden alle natürlichen Personen, die tatsächlich und regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind – unabhängig von ihrer arbeitsrechtlichen Einordnung. Dazu gehören Festangestellte, Teilzeitkräfte, Minijobber, Werkstudenten, Auszubildende, Praktikanten und auch funktional eingegliederte Freelancer oder Leiharbeitnehmer, sofern sie regelmäßig mit Personendaten umgehen. Die Faustregel lautet: Wer regelmäßig an einem PC-Arbeitsplatz tätig ist und dabei Personendaten bearbeitet, zählt. Dies schließt typischerweise alle Mitarbeitenden aus Administration, Buchhaltung, Vertrieb, Marketing, HR und Kundenservice ein. Prüfungsmaßstab ist eine ex-ante-Betrachtung der betrieblichen Regel-Konstellation, nicht eine Momentaufnahme.

Gilt die 20-Personen-Grenze immer – oder gibt es Ausnahmen?

Die Antwort ist klar: Nein. § 38 BDSG regelt Sonder-Tatbestände, bei denen die Bestellpflicht unabhängig von der Mitarbeiterzahl gilt. Betroffen sind Unternehmen, die (1) Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO unterliegen, (2) personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder anonymisierten Übermittlung verarbeiten oder (3) Daten für Zwecke der Markt- oder Meinungsforschung verarbeiten. In all diesen Fällen besteht eine Bestellpflicht auch dann, wenn das Unternehmen nur fünf Mitarbeiter beschäftigt. Für viele KMU und Start-ups ist diese Regelung eine Überraschung – besonders dann, wenn ihre Kerntätigkeit risikoreiche Verarbeitungen umfasst, ohne dass ihnen der DSFA-Bezug bewusst ist.

Was unterscheidet internen und externen Datenschutzbeauftragten?

Unternehmen können die Aufgabe des Datenschutzbeauftragten sowohl intern als auch extern vergeben. Beim internen DSB wird ein bestehender Mitarbeiter neben seiner eigentlichen Tätigkeit mit der Funktion betraut – das ist rechtlich zulässig, sofern kein Interessenkonflikt besteht. Die Praxis zeigt jedoch, dass viele Unternehmen mit dieser Lösung an Grenzen stoßen: Der interne DSB ist häufig nicht ausreichend qualifiziert, hat kein zeitliches Budget für die Aufgabe oder steht aufgrund seiner Doppelrolle in einem Interessenkonflikt, der seine Weisungsfreiheit gefährdet. Der externe Datenschutzbeauftragte bietet demgegenüber klare Vorteile: Er bringt spezifisches Fachwissen mit, ist unabhängig, unterliegt keiner Interessenbindung im Unternehmen und muss nach Beendigung des Mandats nicht den besonderen Kündigungsschutz des § 6 BDSG in Anspruch nehmen, der für verpflichtend bestellte interne DSB gilt. Für viele KMU ist der externe DSB daher nicht nur die einfachere, sondern auch die rechtssichere Lösung.

Welche Aufgaben hat ein externer Datenschutzbeauftragter konkret?

Art. 39 DSGVO legt den Aufgabenkatalog des Datenschutzbeauftragten verbindlich fest. Dazu gehören die Unterrichtung und Beratung des Verantwortlichen und seiner Mitarbeiter über datenschutzrechtliche Pflichten, die Überwachung der Einhaltung der DSGVO, des BDSG und sonstiger Datenschutzvorschriften sowie interner Strategien, die Beratung bei der Durchführung von Datenschutz-Folgenabschätzungen und die Zusammenarbeit mit der zuständigen Aufsichtsbehörde. Der DSB ist zudem die erste Anlaufstelle für betroffene Personen, die von ihren Auskunfts-, Löschungs- oder Berichtigungsrechten Gebrauch machen möchten. Ein qualifizierter externer DSB geht darüber hinaus auch proaktiv vor: Er begleitet neue IT-Projekte datenschutzrechtlich, prüft Auftragsverarbeitungsverträge, schult Mitarbeitende und erstellt das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Diese Breite der Aufgabe macht deutlich, warum die Anforderungen an Fachkenntnisse im Datenschutzrecht und in der Datenschutzpraxis hoch sind.

Was droht, wenn kein Datenschutzbeauftragter bestellt wird?

Die Nichtbestellung eines verpflichtend zu benennenden Datenschutzbeauftragten stellt einen Verstoß gegen Art. 37 DSGVO und § 38 BDSG dar. Gemäß Art. 83 DSGVO kann die zuständige Aufsichtsbehörde dafür Bußgelder verhängen. Neben dem finanziellen Risiko droht ein Reputationsschaden, der bei Unternehmen mit Kundenkontakt erhebliche Konsequenzen haben kann.

Viele Unternehmen unterschätzen die Komplexität der Bestellpflicht-Prüfung. Die Frage, ob die 20-Personen-Grenze erreicht ist, klingt einfach – aber die richtige Zählung und die Beurteilung, ob bestimmte Tätigkeiten als „ständige automatisierte Verarbeitung“ einzustufen sind, erfordert datenschutzrechtliche Expertise. Noch anspruchsvoller ist die Prüfung der Sonder-Tatbestände: Ob für eine konkrete Verarbeitung eine DSFA-Pflicht besteht, ist eine Einzelfallbeurteilung auf Basis von Art. 35 DSGVO und den Positivlisten der deutschen Datenschutzbehörden. Wir prüfen für Sie, ob und ab wann Ihr Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet ist – und übernehmen bei Bedarf die Funktion des externen Datenschutzbeauftragten. Sprechen Sie uns an.

Häufig gestellte Fragen
Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich aus zwei Regelungsebenen. Art. 37 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter unmittelbar, wenn ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien oder der systematischen Überwachung von Personen besteht. Ergänzend konkretisiert § 38 BDSG für den deutschen Rechtsraum eine weitere Schwelle: Beschäftigen sich in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten, besteht die Benennungspflicht unabhängig von den europäischen Vorgaben. Daneben sieht das Gesetz tätigkeitsbezogene Ausnahmen vor, bei denen die Schwelle unabhängig von der Mitarbeiterzahl greift – namentlich beim Einsatz von Scoring-Verfahren, bei DSFA-pflichtigen Verarbeitungen sowie bei der geschäftsmäßigen Datenweitergabe.
Ja. Die Grenze richtet sich nach Köpfen, nicht nach Vollzeitäquivalenten. Teilzeitkräfte, Minijobber, Auszubildende, Praktikanten und auch funktional eingegliederte Freelancer werden mitgezählt, sofern sie regelmäßig personenbezogene Daten automatisiert verarbeiten.
Nicht, dass Datenverarbeitung die alleinige Tätigkeit ist. Ausreichend ist, dass die automatisierte Verarbeitung personenbezogener Daten einen wesentlichen und regelmäßigen Bestandteil der Tätigkeit darstellt – zum Beispiel durch täglich genutzte CRM-Systeme, E-Mail-Kommunikation mit Kundendaten oder Personalverwaltungssoftware.
Ja, wenn entweder Art. 37 DSGVO oder § 38 Abs. 1 Satz 2 BDSG greift: bei DSFA-pflichtigen Verarbeitungen, geschäftsmäßiger Datenübermittlung oder Markt- und Meinungsforschung.
Eine DSFA ist eine systematische Vorab-Risikoabschätzung nach Art. 35 DSGVO. Sie ist u.a. bei Profiling und Scoring, bei umfangreicher Verarbeitung besonderer Datenkategorien (z.B. Gesundheitsdaten) und bei weiträumiger Videoüberwachung verpflichtend. Löst die DSFA-Pflicht aus, muss auch ein DSB bestellt werden.
Scoring bezeichnet automatisierte Verfahren, mit denen bestimmte Merkmale natürlicher Personen bewertet werden – zum Beispiel Kreditwürdigkeit, Zahlungswahrscheinlichkeit oder Versicherungsrisiko. Nach Art. 35 Abs. 3 lit. a DSGVO unterliegen solche Verarbeitungen der DSFA-Pflicht. In deren Folge besteht nach § 38 Abs. 1 Satz 2 BDSG die Pflicht zur DSB-Bestellung – unabhängig von der Mitarbeiterzahl.
Ja, das ist rechtlich zulässig. Der interne DSB darf jedoch nicht in einem Interessenkonflikt stehen – zum Beispiel darf ein IT-Leiter, der selbst über datenschutzrelevante Systeme entscheidet, nicht gleichzeitig als DSB fungieren. In solchen Fällen ist ein externer DSB die rechtssicherere Wahl.
Unabhängigkeit, spezifisches Fachwissen und kein Interessenkonflikt mit der eigenen Betriebsrolle. Zudem entfällt bei einem externen DSB der besondere Kündigungsschutz, der für intern verpflichtend bestellte DSB gilt.
Standort Hamburg
Hauptsitz
Martinistraße 11
20251 Hamburg
Tel.: +49 (0) 40 808 125 550
Fax: +49 (0) 40 808 125 559​
Standort Kassel
Zweigstelle
Motzstraße 1
34117 Kassel
Tel.: +49 (0) 561 510 053 80
Fax: +49 (0) 561 510 053 99
Standort Frankfurt
Zweigstelle
Oeder Weg 11
60318 Frankfurt am Main
Tel.: +49 (0) 69 710 471 070
Fax: +49 (0) 69 710 471 079
SITTIG LAW
Rechtsanwalt.
Fachanwalt für Strafrecht.
Fachanwalt für IT-Recht.

[email protected]
Standort Hamburg
Hauptsitz
Martinistr. 11
20251 Hamburg
Tel.: +49 (0) 40 808 125 550
Fax: +49 (0) 40 808 125 559​

Kontaktformular