Zum Hauptinhalt springen
Datenschutz / DSGVO

Datenschutzbeauftragter (DSB)

Die gem. Art. 37 DSGVO und § 38 BDSG unter bestimmten Voraussetzungen zu benennende Person zur Überwachung der Datenschutz-Compliance.

Der Datenschutzbeauftragte (DSB) ist eine Schlüsselfigur im betrieblichen Datenschutz. Gemäß Art. 37 DSGVO müssen öffentliche Stellen sowie Unternehmen, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien oder in der systematischen Überwachung von Personen besteht, einen DSB benennen. Das deutsche Recht geht in § 38 BDSG darüber hinaus: Unternehmen mit in der Regel mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen ebenfalls einen DSB benennen.

Der DSB kann ein interner Mitarbeiter oder ein externer Dienstleister sein. Er muss über ausreichende Fachkenntnisse auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen. Die Aufgaben des DSB sind in Art. 39 DSGVO definiert: Unterrichtung und Beratung des Verantwortlichen, Überwachung der DSGVO-Compliance, Zusammenarbeit mit der Aufsichtsbehörde, Beratung bei der DSFA sowie Anlaufstelle für betroffene Personen und die Aufsichtsbehörde. Der DSB ist bei seiner Tätigkeit weisungsfrei und darf nicht wegen der Erfüllung seiner Aufgaben benachteiligt werden.

Auch wenn keine gesetzliche Benennungspflicht besteht, empfiehlt sich die freiwillige Benennung eines DSB für viele Unternehmen aus strategischen Gründen: Ein DSB signalisiert Vertrauenswürdigkeit gegenüber Kunden und Geschäftspartnern, hilft Risiken frühzeitig zu identifizieren und erleichtert die Kommunikation mit der Aufsichtsbehörde. Die Benennung muss der zuständigen Datenschutz-Aufsichtsbehörde mitgeteilt werden.

Rechtliche Grundlage

Art. 37 DSGVO, § 38 BDSG

Praxisbeispiel

Ein Softwareunternehmen mit 35 Mitarbeitern, von denen 22 regelmäßig Kundendaten in CRM und Ticketsystem verarbeiten, fragt sich, ob die Benennung eines DSB gesetzlich erforderlich ist. Als Compliance-Verantwortlicher prüfen Sie die Voraussetzungen des § 38 BDSG und stellen fest, dass die Schwelle von 20 automatisiert verarbeitenden Personen überschritten ist. Sie empfehlen die Benennung eines externen DSBs, der über einschlägige Zertifizierungen verfügt, und leiten die Benennung sowie die Meldung an die Aufsichtsbehörde ein. Mit dem DSB wird ein Betreuungsvertrag abgeschlossen, der regelmäßige Audits, die Bearbeitung von Betroffenenanfragen und die Beratung bei neuen Projekten umfasst.

Häufige Fragen

Nach DSGVO bei öffentlichen Stellen und Unternehmen mit umfangreicher Verarbeitung besonderer Datenkategorien oder systematischer Überwachung. In Deutschland verlangt § 38 BDSG zusätzlich eine Benennung, wenn mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind.
Ja, ein externer Datenschutzbeauftragter ist ausdrücklich zulässig und in der Praxis weit verbreitet. Der externe DSB muss die gleichen Fachkenntnisse und die gleiche Unabhängigkeit wie ein interner DSB aufweisen. Der Vorteil liegt in der fachlichen Spezialisierung und der einfacheren Sicherstellung der Weisungsfreiheit.
Der DSB überwacht die Einhaltung der DSGVO, berät den Verantwortlichen, ist an der DSFA zu beteiligen, schult Mitarbeiter und dient als Anlaufstelle für Betroffene und die Aufsichtsbehörde. Er ist weisungsfrei und darf nicht wegen seiner Aufgabenerfüllung benachteiligt werden.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Verarbeitungsverzeichnis (VVT) Datenschutz-Folgenabschätzung (DSFA) Betroffenenrechte Rechenschaftspflicht (Accountability) Datenschutz-Compliance
Zurück zum Glossar