Datenschutzbeauftragter
I. Wann muss ein Datenschutzbeauftragter bestellt werden?
Ein Datenschutzbeauftragter muss ab der Anzahl von zwanzig Mitarbeitern, die im Unternehmen ständig und automatisiert personenbezogene Daten verarbeiten, bestellt werden.
Zu den Mitarbeitern zählen Voll- und Teilzeitkräfte, Leiharbeitnehmer, Auszubildende, freie Mitarbeiter, Praktikanten sowie Beschäftigte im Home-Office oder in Tele-Arbeit.
Beachte: Wichtig ist dabei, dass Mitarbeitende regelmäßig und automatisiert personenbezogene Daten verarbeiten. Das betrifft zum Beispiel Kundenbetreuer, Callcenter-Mitarbeitende oder Beschäftigte in der Personalabteilung, die dafür Computer, Tablets oder Smartphones nutzen.Nicht dazu zählen hingegen Personen, die gar nicht oder nur sehr selten mit personenbezogenen Daten zu tun haben, wie zum Beispiel Lagerarbeiter, Reinigungskräfte oder LKW-Fahrer.
Sinkt die Zahl der Mitarbeitenden kurzzeitig auf eine Anzahl unterhalb der Grenze von zwanzig Mitarbeitern führt dies nicht zum Wegfall der Bestellpflicht. Entscheidend ist der durchschnittliche Personalbestand innerhalb eines Geschäftsjahres.
Auch bei weniger Mitarbeitern muss ein Datenschutzbeauftragter benannt werden, wenn das Unternehmen regelmäßig und systematisch personenbezogene Daten verarbeitet. Dies gilt beispielsweise für datengestütztes Marketing, verhaltensbasierte Werbung, Scoring für Kredite oder Versicherungen, Standortverfolgung, den Einsatz von Künstlicher Intelligenz oder Daten aus vernetzten Geräten wie smarten Haushaltsgeräten und Autos.
Zudem ist unabhängig von der Mitarbeiterzahl ein Datenschutzbeauftragter zu bestellen, wenn besonders sensible Daten verarbeitet werden, wie Gesundheitsdaten, ist stets ein Datenschutzbeauftragter zu bestellen
Im Übrigen kann das Unternehmen jederzeit freiwillig einen Datenschutzbeauftragten bestellen.
Beachte: Auch wenn ein Unternehmen keinen Datenschutzbeauftragen benötigt, muss der Datenschutz im Unternehmen trotzdem eingehalten werden.
II. Wer kann Datenschutzbeauftragter sein?
Die Position des Datenschutzbeauftragten kann innerhalb des Betriebs durch einen eigenen Mitarbeiter besetzt werden, wenn dieser persönlich und fachlich geeignet ist.
Die Alternative ist eine externe Person, zum Beispiel ein Rechtsanwalt, als Datenschutzbeauftragter zu bestellen.
Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter benannt werden. Dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein.
Eine Person, die in einen Interessenkonflikt geraten könnte oder sich am Ende selbst kontrollieren müsste, darf nicht als Datenschutzbeauftragter eingesetzt werden. Dazu zählen vor allem Mitglieder der Geschäftsleitung, die IT- und Personalleiter sowie die IT-Administratoren.
III. Anforderungen an Bestellung, Stellung und Aufgaben
Fachliche Voraussetzungen
Der Datenschutzbeauftragte muss aufgrund der beruflichen Qualifikation und des Fachwissens benannt werden. Zu den Fachkundevoraussetzungen gehört ein Verständnis der daten-schutzrechtlichen Vorschriften, sowie grundsätzliche Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit. Diese Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung vorliegen.
Form
Eine Form und bestimmte Dauer für die Bestellung besteht nicht; die Bestellung sollte aus Nachweisgründen in Textform erfolgen.
Hier finden Sie ein Muster für eine Bestellung. (DOCX-Datei · 13 KB)
Hier finden Sie ein Muster für eine Bestellung. (DOCX-Datei · 13 KB)
Veröffentlichung der Kontaktdaten
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen (zum Beispiel in der Datenschutzerklärung auf der Unternehmenshomepage) und sind der jeweiligen Landesdatenschutzbehörde zu melden. Hierfür gibt es ein elektronisches Formular bei den Aufsichtsbehörden.
Stellung
Der Datenschutzbeauftragte (DSB) muss unabhängig arbeiten und darf wegen seiner Aufgaben nicht abberufen oder benachteiligt werden. Er ist frühzeitig in alle datenschutzrechtlichen Fragen einzubeziehen und erhält die nötige Unterstützung (z.B. Zeit, Fortbildung, Ressourcen). Der DSB hat Zugang zu allen personenbezogenen Daten und muss die Vertraulichkeit wahren. Zudem genießt er besonderen Kündigungsschutz: Eine Kündigung ist während und bis zu einem Jahr nach seiner Tätigkeit nur aus wichtigem Grund möglich.
Aufgaben
Der Datenschutzbeauftragte hat folgende Aufgaben zu erfüllen:
- Beratung bei datenschutzrechtlichen Fragen.
- Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften (DSGVO, BDSG sowie weitere Rechtsvorschriften) sowie der unternehmenseigenen Datenschutzbestimmungen und Schulung von Mitarbeitern.
- Kommunikation mit der Datenschutzaufsichtsbehörde.
- Ansprechpartner für betroffene Personen und Mitarbeiter zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte zusammenhängenden Vorgänge.
- Über diese Aufgaben hinaus nimmt er eine beratende und unterstützende Funktion ein.
Insbesondere sind hier zu nennen:
- Unterstützung des Verantwortlichen bei der Etablierung von Prozessen beziehungsweise Dokumentationen zur Erfüllung datenschutzrechtlicher Pflichten, Unterstützung bei der Meldepflicht- und Benachrichtigungspflicht bei Datenschutzverletzungen sowie Erfüllung der Betroffenenrechte (Recht aus Auskunft, Berichtigung, Einschränkung der Datenverarbeitung, und Löschen von Daten).
- Unterstützung bei der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten.
Bei der Erfüllung seiner Aufgaben entscheidet der Datenschutzbeauftragte selbst, welche Verarbeitungsvorgänge er aufgrund des damit jeweilig verbundenen Risikos vorrangig prüft.
IV. Haftung
Nach den Leitlinien der sogenannten Artikel-29-Datenschutzgruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) vom April 2017 trägt der Datenschutzbeauftragte im Falle der Nichteinhaltung der DSGVO keine persönliche Verantwortung. Es ist Sache des Verantwortlichen sicherzustellen und nachzuweisen, dass die datenschutzrechtlichen Anforderungen eingehalten werden.
Beachte: Wird es versäumt den Datenschutzbeauftragten zu bestellen, kann dies mit einem Bußgeld belegt werden (entsprechend der DSGVO mit bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes).
Stand: Juli 2025
Die Informationen und Auskünfte der IHK Schwaben enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall (z. B. durch einen Rechtsanwalt, Steuerberater, Unternehmensberater etc.) nicht ersetzen.