Ein einziges Versäumnis in der Verwaltung kann Ihr Unternehmen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes kosten: Die unterlassene Bestellung eines Datenschutzbeauftragten (DSB), obwohl die Datenschutz-Grundverordnung (DSGVO) dies vorschreibt, gilt als schwerwiegender Verstoß. Das ist keine theoretische Hypothese. Die spanische Datenschutzbehörde AEPD hat Unternehmen wie Glovo bereits aus genau diesem Grund mit einer Geldbuße von 25.000 Euro im Jahr 2020 belegt — wegen fehlender Bestellung eines DSB trotz bestehender Verpflichtung.
In einem Umfeld, in dem die DSGVO seit Jahren vollständig in Kraft ist und die neue Europäische KI-Verordnung (AI Act) ihre Pflichten schrittweise entfaltet, hat sich die Funktion des Datenschutzbeauftragten von einer dokumentarischen Formalität zu einem strategischen Element der Daten-Governance entwickelt. Dieser Leitfaden erklärt, was ein DSB ist, wann er Pflicht ist, welches Profil die Vorschriften verlangen, wie Sie zwischen einem internen und einem externen Modell entscheiden und warum seine Rolle mit dem Aufkommen von KI zunehmend an Bedeutung gewinnt.
Was ist der Datenschutzbeauftragte (DSB) und was sagt die DSGVO?
Der Datenschutzbeauftragte — im Englischen Data Protection Officer (DPO) — ist die unabhängig agierende Kontrollinstanz, die sicherstellt, dass eine Organisation personenbezogene Daten gemäß den geltenden Vorschriften verarbeitet. Er ist weder ein bloßer „DSGVO-Zuständiger" noch eine reine Alibifunktion: Die DSGVO weist ihm konkrete Aufgaben in den Bereichen Beratung, Überwachung und Zusammenarbeit mit der Aufsichtsbehörde zu.
Die Rechtsgrundlage findet sich in den Artikeln 37 bis 39 der DSGVO (Verordnung EU 2016/679). Die DSGVO definiert drei Kernaspekte der Funktion:
- Wann zu bestellen (Art. 37): die Fallgruppen der Pflichtbestellung.
- Welche Stellung er einnimmt (Art. 38): Unabhängigkeit, Ressourcen und Freiheit von Interessenkonflikten.
- Was er tut (Art. 39): seine Mindestaufgaben.
Anders als andere Compliance-Rollen genießt der DSB einen besonderen Schutz: Er darf wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden und berichtet direkt an die höchste Führungsebene der Organisation. Diese Unabhängigkeit ist das prägende Merkmal der Funktion.
Der DSB „entscheidet" nicht über Verarbeitungen — er berät, überwacht und kontrolliert. Die letztendliche Verantwortung für die Einhaltung der Vorschriften verbleibt beim Verantwortlichen, das heißt bei der Geschäftsführung des Unternehmens.
Wann ist die Bestellung eines DSB Pflicht? Die drei Fallgruppen des Art. 37 DSGVO
Dies ist die Frage, die in der Praxis am häufigsten zu Unsicherheiten führt, denn die Antwort ergibt sich aus einem Zusammenspiel europäischer und nationaler Regelungen.
Die drei Fallgruppen des Art. 37 Abs. 1 DSGVO
Art. 37 Abs. 1 DSGVO verpflichtet zur Bestellung eines Datenschutzbeauftragten in drei Situationen:
- Öffentliche Stellen und Behörden. Wenn die Verarbeitung von einer Behörde oder einer sonstigen öffentlichen Stelle durchgeführt wird — mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln.
- Umfangreiche, regelmäßige und systematische Überwachung. Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erfordern.
- Umfangreiche Verarbeitung besonderer Datenkategorien. Wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO: Gesundheit, ethnische Herkunft, politische Überzeugungen, biometrische Daten usw.) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10) besteht.
Das praktische Problem: Begriffe wie „umfangreich" oder „regelmäßige und systematische Überwachung" sind unbestimmt. Nationale Regelungen können hier mehr Klarheit schaffen.
Branchenspezifische Pflichtlisten auf nationaler Ebene
Mehrere EU-Mitgliedstaaten — darunter Deutschland — haben im Rahmen der Öffnungsklauseln der DSGVO spezifische Vorschriften erlassen, die den Kreis der zur DSB-Bestellung verpflichteten Stellen präzisieren. In Deutschland folgt die Pflicht zur Bestellung eines Datenschutzbeauftragten neben der DSGVO insbesondere aus § 38 BDSG, der für nicht-öffentliche Stellen gilt, die in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Darüber hinaus enthalten zahlreiche Landesdatenschutzgesetze und Fachgesetze eigene Bestellpflichten.
| Sektor / Einrichtungstyp | Typische Beispiele |
|---|---|
| Gesundheitseinrichtungen | Krankenhäuser, Kliniken, Labore |
| Finanz- und Versicherungsunternehmen | Banken, Versicherungen, Fondsgesellschaften |
| Energie- und Versorgungsunternehmen | Strom- und Gasversorger |
| Private Sicherheitsdienstleister | Bewachungsunternehmen, Alarmsysteme |
| Online-Glücksspielanbieter | Wettanbieter, digitale Casinos |
| Bildungseinrichtungen und Universitäten | Öffentliche und private Träger |
| Werbetreibende und Direktmarketing-Unternehmen | Die Betroffenenprofile erstellen |
Die Konsequenz ist eindeutig: Auch wenn ein Unternehmen unsicher ist, ob es unter die offenen Tatbestände der DSGVO fällt, ist die Bestellung ohne Auslegungsspielraum verpflichtend, sobald es einer der geregelten Branchen angehört.
Die Meldepflicht gegenüber der Aufsichtsbehörde
Die Bestellung des DSB erschöpft die Pflichten nicht. Verantwortliche und Auftragsverarbeiter müssen die Bestellung, Benennung oder Abberufung des DSB der zuständigen Datenschutz-Aufsichtsbehörde mitteilen — in Deutschland sind dies der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für Bundesbehörden sowie die jeweiligen Landesdatenschutzbehörden für die übrigen Stellen. Dies gilt sowohl für Pflichtbenennungen als auch für freiwillige Bestellungen: Ein Unternehmen, das ohne gesetzliche Verpflichtung einen DSB bestellt, muss dies ebenfalls melden.
Diese Meldung schafft ein öffentliches Register der Beauftragten, das der Aufsichtsbehörde erlaubt, auf einen Blick zu prüfen, welche Organisationen compliant sind — und ist damit auch ein Weg, über den Verstöße entdeckt werden.
Aufgaben und Profil des DSB: Unabhängigkeit, Fachkunde und Interessenfreiheit
Die DSGVO schreibt keine bestimmte Ausbildung oder eine Pflichtzertifizierung für die Ausübung der Funktion des Datenschutzbeauftragten vor. Art. 37 Abs. 5 verlangt lediglich, dass der DSB auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgaben benannt wird. Entscheidend ist also die nachweisbare Kompetenz, nicht ein formales Zertifikat.
Fachkunde ohne Pflichtzertifizierung
Der DSB benötigt keine Pflichtzertifizierung, muss jedoch nachweisbare Fachkenntnisse und praktische Erfahrung im Datenschutz besitzen. In Deutschland und auf europäischer Ebene existieren freiwillige Zertifizierungsschemata (z. B. nach Art. 42 DSGVO), die eine zusätzliche Kompetenzgarantie bieten, jedoch keine gesetzliche Voraussetzung sind. Das ideale Profil verbindet:
- Solide rechtliche Grundlage in DSGVO, BDSG und anwendbarem Fachrecht.
- Technisches Verständnis der Informationssysteme, der Sicherheitsarchitektur und der Datenflüsse der Organisation.
- Kommunikationsfähigkeit, um die Geschäftsführung zu beraten und die Belegschaft zu schulen.
Die Mindestaufgaben nach Art. 39 DSGVO
Die DSGVO weist dem DSB mindestens die folgenden Aufgaben zu:
- Unterrichtung und Beratung des Verantwortlichen, des Auftragsverarbeiters und der Beschäftigten über ihre datenschutzrechtlichen Pflichten.
- Überwachung der Einhaltung der DSGVO, des BDSG und interner Richtlinien, einschließlich Zuständigkeitszuweisung und Schulung des Personals.
- Beratung bei der Datenschutz-Folgenabschätzung (DSFA) und Überwachung ihrer Durchführung.
- Zusammenarbeit mit der Aufsichtsbehörde und Funktion als Anlaufstelle für diese.
- Bearbeitung von Anfragen betroffener Personen zur Verarbeitung ihrer Daten und zur Ausübung ihrer Rechte.
Unabhängigkeit und Freiheit von Interessenkonflikten
Art. 38 DSGVO ist unmissverständlich: Der DSB muss seine Aufgaben weisungsfrei erfüllen, über die erforderlichen Ressourcen verfügen und darf keine Interessen verfolgen, die mit seinen Aufgaben unvereinbar sind. Er darf insbesondere keine Stellung bekleiden, die ihn dazu veranlasst, die Zwecke und Mittel der Verarbeitung personenbezogener Daten festzulegen — dies würde zu einem Interessenkonflikt führen. Aus diesem Grund können ein Marketingleiter, ein IT-Leiter oder ein Finanzvorstand in der Regel nicht gleichzeitig DSB ihres eigenen Unternehmens sein: Sie würden sich selbst kontrollieren.
Dieses Unabhängigkeitserfordernis ist eines der stärksten Argumente für das externe Modell, wie im Folgenden erläutert wird. Wenn Ihre Organisation ein umfassendes Compliance-Programm aufbaut, empfiehlt es sich, die Funktion des DSB in eine breitere Strategie des Datenschutzes und der DSGVO-Konformität einzubetten, die Richtlinien, Verarbeitungsverzeichnisse und Verfahren zur Reaktion auf Sicherheitsvorfälle umfasst.
Interner vs. externer DSB: Kosten, Vorteile und die richtige Wahl je nach Unternehmensgröße
Die DSGVO lässt beide Modelle zu: Der DSB kann ein Mitarbeiter der Organisation oder ein externer Dienstleister sein, der die Funktion auf vertraglicher Basis übernimmt. Die Entscheidung ist nicht trivial und hängt in erster Linie von Größe, Komplexität und Branche des Unternehmens ab.
Der Kostenfaktor
Der wirtschaftliche Unterschied ist erheblich. Die Einstellung eines internen DSB kann jährlich zwischen 60.000 und 100.000 Euro kosten (Gehalt, Sozialabgaben, Fortbildung und Werkzeuge). Ein externer DSB ist dagegen drei- bis zehnmal günstiger, sodass ein mittelständisches Unternehmen erhebliche Kosten einsparen kann, ohne auf rechtliche Absicherung verzichten zu müssen.
Modellvergleich
| Kriterium | Interner DSB | Externer DSB |
|---|---|---|
| Jährliche Orientierungskosten | 60.000–100.000 € | 3- bis 10-mal günstiger |
| Unternehmenskenntnis | Sehr hoch, tagesaktuell | Erfordert Einarbeitungsphase |
| Unabhängigkeit | Risiko von Interessenkonflikten | Strukturell unabhängiger |
| Verfügbarkeit | Vollzeitig dediziert | Zwischen mehreren Mandanten geteilt |
| Normative Aktualisierung | Liegt beim Unternehmen | Im Dienst enthalten |
| Vertretung bei Abwesenheit | Anfällig für Unterbrechungen | Durch Anbieter sichergestellt |
| Geeignet für | Große Unternehmen, stark regulierte Sektoren | KMU und mittelständische Unternehmen |
Welches Modell wählen?
Als Faustregel gilt:
- Großunternehmen oder stark regulierte Sektoren (Finanzwesen, Gesundheit, Versicherungen, Energie): Das Volumen und die Sensibilität der Verarbeitungen rechtfertigen in der Regel einen internen DSB oder sogar ein Team unter seiner Leitung.
- KMU und mittelständische Unternehmen: Der externe DSB bietet das beste Gleichgewicht zwischen Kosten, Unabhängigkeit und fachlicher Qualität. Er vermeidet den Interessenkonflikt, der entstünde, wenn ein Mitarbeiter seine eigenen Compliance-Aufgaben überwacht, und gewährleistet Kontinuität bei Urlaub oder Krankheit.
Unabhängig vom gewählten Modell arbeitet der DSB nicht im luftleeren Raum: Er benötigt die Unterstützung eines Informationssicherheits-Managementsystems. Organisationen, die bereits nach einem Rahmenwerk wie der ISO-27001-Zertifizierung arbeiten, haben einen klaren Vorteil, da viele der Sicherheitskontrollen, Register und Verfahren, die der DSB überwachen muss, bereits dokumentiert und auditiert sind.
Die neue Rolle des DSB im Zeitalter des AI Act: KI-Governance und Hochrisikosysteme
Die Funktion des Datenschutzbeauftragten wurde für die Welt personenbezogener Daten konzipiert — doch der Vormarsch der künstlichen Intelligenz erweitert seinen Verantwortungsbereich. Der Grund ist einfach: Die meisten KI-Systeme im Unternehmenseinsatz werden mit personenbezogenen Daten trainiert und betrieben, sodass die KI-Governance genau an der Schnittstelle der DSB-Tätigkeiten liegt.
Der Zeitplan des AI Act
Die Europäische KI-Verordnung — AI Act (Verordnung EU 2024/1689) — wird schrittweise angewendet. Laut dem offiziellen Zeitplan:
- 2. Februar 2025: Kapitel I und II treten in Kraft, einschließlich der Regelungen zu verbotenen KI-Praktiken und der Pflicht zur KI-Kompetenz.
- 2. August 2025: Die Governance-Verpflichtungen und jene für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) beginnen zu gelten.
- Im Laufe des Jahres 2026: Die strengsten Anforderungen, insbesondere für Hochrisiko-KI-Systeme, werden wirksam.
Diese Entwicklung erweitert die Rolle des DSB bei der KI-Risikobewertung direkt, da Hochrisikosysteme ein Risikomanagement, eine Daten-Governance und eine Dokumentation erfordern, die sich mit den klassischen Datenschutzaufgaben überschneiden.
Was ändert sich für den DSB?
Obwohl der AI Act den DSB nicht automatisch zum „KI-Verantwortlichen" macht, übernimmt die Funktion in der Praxis neue Aufgaben, wenn KI personenbezogene Daten verarbeitet:
- Mitwirkung an Folgenabschätzungen, die Datenschutz (DSFA) und KI-Risikobewertung kombinieren.
- Überwachung der Qualität und Rechtsgrundlage der für Training und Inferenz verwendeten Daten.
- Sicherstellung der Transparenz gegenüber Betroffenen, wenn sie mit automatisierten Systemen interagieren.
- Gewährleistung der Nachvollziehbarkeit automatisierter Entscheidungen und Wahrung der Rechte nach Art. 22 DSGVO.
Mehrere europäische Datenschutzbehörden haben diesen Zusammenhang bereits bekräftigt und Leitlinien zur Rolle des DSB bei der Überwachung KI-gestützter Verarbeitungen veröffentlicht. Das regulatorische Signal ist eindeutig: Der DSB der nahen Zukunft wird auch ein zentraler Akteur in der Governance der künstlichen Intelligenz sein.
Sanktionen bei fehlender DSB-Bestellung: Was Ihr Unternehmen riskiert und wie Sie compliant werden
Damit kommen wir zum einleitenden Punkt dieses Leitfadens — nun jedoch mit dem vollständigen Kontext. Die unterlassene Bestellung eines DSB trotz gesetzlicher Pflicht ist kein Kleinigkeit: Es handelt sich um einen Verstoß mit spürbaren wirtschaftlichen und reputationsbezogenen Folgen.
Das Sanktionsregime
Gemäß Art. 83 Abs. 4 DSGVO wird die unterlassene Bestellung eines Datenschutzbeauftragten, wenn diese gesetzlich vorgeschrieben ist, als schwerwiegender Verstoß eingestuft und kann mit Geldbußen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens geahndet werden — je nachdem, welcher Betrag höher ist. Für ein multinationales Unternehmen kann diese 2-Prozent-Schwelle die Festgrenze bei weitem überschreiten.
Das Fallbeispiel: Sanktion wegen fehlenden DSB
Ein häufig zitiertes Beispiel ist die Sanktion der AEPD gegen GlovoApp in Höhe von 25.000 Euro im Jahr 2020 wegen Nichtbestellung eines Datenschutzbeauftragten trotz bestehender Pflicht. Der Fall ist aus zwei Gründen lehrreich: Er belegt, dass die Aufsichtsbehörden diesen konkreten Verstoß aktiv verfolgen — und dass die Sanktion selbst Unternehmen mit etablierten Rechtsabteilungen treffen kann.
Compliance Schritt für Schritt
Um das Risiko zu vermeiden, ist der Weg klar:
- Prüfen Sie, ob Sie verpflichtet sind. Untersuchen Sie die drei Fallgruppen des Art. 37 Abs. 1 DSGVO sowie die nationalen Erweiterungen (z. B. § 38 BDSG).
- Wählen Sie das Modell. Entscheiden Sie sich je nach Unternehmensgröße, Branche und Budget für einen internen oder externen DSB.
- Bestellen Sie ein kompetentes Profil. Weisen Sie nachweisbare Fachkenntnisse und Unabhängigkeit nach; vermeiden Sie Interessenkonflikte.
- Melden Sie die Bestellung der Aufsichtsbehörde. Vergessen Sie diese formale Pflicht nicht — auch bei freiwilliger Bestellung.
- Statten Sie die Funktion angemessen aus. Stellen Sie Zugang zur Geschäftsführung, Budget und geeignete Werkzeuge sicher.
- Integrieren Sie KI-Governance. Bereiten Sie die Rolle des DSB auf die schrittweise wirkenden Pflichten des AI Act vor.
Die Bestellung eines DSB ist nicht das Ende des Weges, sondern der Beginn eines lebendigen Compliance-Programms. Die Funktion entfaltet ihren Wert — und den Schutz vor Sanktionen — nur, wenn sie in die tatsächliche Daten-Governance des Unternehmens eingebettet ist.
Fazit
Der Datenschutzbeauftragte ist längst mehr als ein abzuhakender Compliance-Punkt — er ist eine strategische Funktion, die DSGVO-Konformität, Informationssicherheit und zunehmend die KI-Governance unter dem AI Act verbindet. Für die meisten KMU und mittelständischen Unternehmen bietet das externe Modell das beste Gleichgewicht zwischen Qualität, Unabhängigkeit und Kosten; für große Organisationen in regulierten Sektoren ist ein gut ausgestatteter interner DSB unverzichtbar. In beiden Fällen ahnden die Aufsichtsbehörden nicht den Zweifel, sondern die Untätigkeit.
Sind Sie unsicher, ob Ihr Unternehmen zur Bestellung eines DSB verpflichtet ist, oder wie Sie diese Funktion in Ihre Compliance- und KI-Governance-Strategie integrieren können? Bei Technova Partners unterstützen wir Organisationen bei der Konzeption und Implementierung solider Datenschutzprogramme — von der Bestellung des Beauftragten bis zur vollständigen Konformität mit DSGVO und AI Act. Sprechen Sie mit unserem Compliance-Team und verwandeln Sie eine gesetzliche Pflicht in einen Wettbewerbsvorteil.
