Wann muss ein Datenschutzbeauftragter bestellt werden?
Februar 2026
Die Frage, ob Sie einen Datenschutzbeauftragten (DSB) bestellen müssen, beschäftigt viele Unternehmen, gerade Startups. Die Antwort ist klar geregelt, wird aber in der Praxis oft missverstanden. Die Bestellpflicht hängt nicht nur von der Anzahl Ihrer Mitarbeiter ab. Es gibt mehrere Kriterien, die eine Benennungspflicht auslösen können.
Die 20-Personen-Schwelle: Wann greift die Regel?
Die bekannteste Regel zur Bestellpflicht findet sich im deutschen Bundesdatenschutzgesetz. Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Diese Regelung in § 38 Abs. 1 Satz 1 BDSG ist eine deutsche Besonderheit und geht über die Mindestanforderungen der DSGVO hinaus.
Das klingt zunächst überschaubar. Aber Vorsicht: Beim Begriff „Personen" kommt es nicht auf deren arbeitsrechtlichen Status als Arbeitnehmer an. Es sind also Voll- und Teilzeitkräfte, Leiharbeitnehmer, Auszubildende, freie Mitarbeiter und Praktikanten sowie Beschäftigte im Home-Office oder in Tele-Arbeit hinzuzuzählen.
Automatisierte Verarbeitung bedeutet nicht nur, dass Ihre IT-Abteilung betroffen ist. Da als Mitarbeiter auch Teilzeitkräfte sowie Leiharbeiter zählen und eine automatisierte personenbezogene Datenverarbeitung schon dann vorliegt, wenn die Beschäftigten bei ihrer Arbeit zum Beispiel ein E-Mail-Programm, wie Outlook nutzen, ist man bei der Bestellpflicht des Datenschutzbeauftragten überaus schnell dabei.
Jeder Mitarbeiter, der regelmäßig mit Kundendaten in einem CRM-System arbeitet, E-Mails verschickt oder Personalakten digital bearbeitet, fällt unter diese Kategorie. In der Praxis bedeutet das: Fast jeder Büroarbeitsplatz verarbeitet automatisiert Daten.
„Ständig" heißt, dass Personen mitzurechnen sind, die regelmäßig mit entsprechenden Aufgaben betraut sind. Nicht mitzurechnen sind Personen, die nur gelegentlich (z. B. Urlaubsvertretung) beschäftigt sind.
Politische Debatte: Die 20-Personen-Grenze steht auf dem Prüfstand
Die 20-Personen-Schwelle ist seit Jahren Gegenstand politischer Diskussionen. Das Bundesministerium des Innern hat Ende September 2024 einen Referentenentwurf zum Dritten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (3. DSAnpUG-EU) vorgelegt, der unter anderem eine Änderung in § 38 BDSG vorsieht: die Schwelle zur Bestellpflicht eines Datenschutzbeauftragten soll von 20 auf 50 Personen angehoben werden.
Die Anhebung der Schwellenwerte für die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten wird von Wirtschaftsverbänden und der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) kritisch bewertet. Es wird befürchtet, dass eine Erhöhung der Schwellenwerte zu einer Verschlechterung des Datenschutzniveaus führen könnte.
Die Bundesregierung begründet den Vorstoß mit Bürokratieabbau und der Entlastung mittelständischer Unternehmen. Kritiker argumentieren jedoch, dass gerade die 20-Personen-Grenze ein ausgewogener Kompromiss ist, der kleinen Unternehmen Erleichterungen verschafft, ohne den Datenschutz zu gefährden.
Manche Stimmen fordern sogar, die deutsche Sonderregelung komplett zu streichen und nur die EU-weit geltenden Kriterien aus Art. 37 DSGVO anzuwenden. Das würde bedeuten: Die pauschale Personenzahl-Grenze würde entfallen, und nur Unternehmen mit risikoreicheren Datenverarbeitungen müssten einen DSB bestellen.
Aktuell bleibt die 20-Personen-Grenze in Kraft. Unternehmen sollten die politische Entwicklung jedoch aufmerksam verfolgen. Sollte die Schwelle auf 50 Personen angehoben werden, würden viele mittelständische Unternehmen von der formalen Bestellpflicht befreit. Das bedeutet jedoch nicht, dass die sonstigen DSGVO-Pflichten entfallen.
Bestellpflicht unabhängig von der Mitarbeiterzahl: Die anderen Kriterien
Selbst wenn Sie weniger als 20 Personen beschäftigen, oder in anderen EU-Ländern tätig sind, kann eine Bestellpflicht greifen. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Was bedeutet "Kerntätigkeit"? Kerntätigkeiten beziehen sich auf die primären Aktivitäten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Die Kerntätigkeit kann als die Schlüsseloperationen betrachtet werden, die notwendig sind, um die Ziele des Verantwortlichen oder des Auftragsverarbeiters zu erreichen. Kerntätigkeiten sollten jedoch nicht so ausgelegt werden, dass sie Tätigkeiten ausschließen, bei denen die Verarbeitung von Daten einen untrennbaren Bestandteil der Tätigkeit des Verantwortlichen oder des Auftragsverarbeiters bildet.
Ein praktisches Beispiel: Die Kerntätigkeit eines Krankenhauses ist die Gesundheitsversorgung. Aber ein Krankenhaus könnte diese Versorgung nicht sicher und effektiv bereitstellen, ohne Gesundheitsdaten zu verarbeiten. Daher ist die Verarbeitung dieser Daten eine Kerntätigkeit, und Krankenhäuser müssen einen DSB benennen.
Umfangreiche regelmäßige und systematische Überwachung umfasst beispielsweise: Datengesteuerte Marketingaktivitäten wie verhaltensbasierte Werbung, Scoring zu Zwecken der Kreditvergabe oder Versicherungsprämien, Standortverfolgung, künstliche Intelligenz, die Daten in Alltagsgegenständen (z.B. Haushaltsgeräte, Autos) verarbeitet.
Online-Marketing-Unternehmen, die umfangreiches Tracking betreiben, E-Commerce-Unternehmen mit ausgefeilten Analysesystemen oder auch Unternehmen, die Mitarbeiter-Monitoring-Software einsetzen, können unter diese Kategorie fallen.
Weitere Bestellpflichten nach BDSG: Aufpassen bei DSFA und geschäftsmäßiger Datenverarbeitung
Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Das bedeutet: Wenn Ihre Datenverarbeitungen besonders risikoreich sind und eine DSFA erfordern, oder wenn Sie geschäftsmäßig Daten übermitteln oder für Marktforschung nutzen, brauchen Sie einen DSB. Das kann auch ein Startup mit nur fünf Mitarbeitern betreffen.
Die Aufgaben des Datenschutzbeauftragten: Was leistet ein DSB?
Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
Zusammenarbeit mit der Aufsichtsbehörde; Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
In der Praxis geht das Leistungsspektrum oft darüber hinaus: Unterstützung bei der Erstellung und Pflege des Verarbeitungsverzeichnisses, Gestaltung von Datenschutzerklärungen und Einwilligungstexten, Bewertung technischer und organisatorischer Maßnahmen, Schulungen für Mitarbeiter und Beratung bei der Implementierung neuer IT-Systeme.
Keine Bestellpflicht bedeutet nicht weniger Arbeit
Ein häufiges Missverständnis: Wenn Sie knapp unter der 20-Personen-Schwelle liegen, müssen Sie trotzdem alle anderen DSGVO-Pflichten erfüllen. Auch wenn ein Datenschutzbeauftragter erst ab 20 Personen nötig ist, befreit einen das nicht vor der Umsetzung der DSGVO!
Sie müssen weiterhin ein Verarbeitungsverzeichnis führen, technische und organisatorische Maßnahmen implementieren, Betroffenenrechte gewährleisten und Datenschutzerklärungen erstellen.
Freiwillige Bestellung als strategischer Vorteil
Selbst wenn keine gesetzliche Pflicht besteht, kann die freiwillige Bestellung eines Datenschutzbeauftragten sinnvoll sein. Ein kompetenter DSB hilft Ihnen dabei, Datenpannen zu vermeiden, Ihre Prozesse zu optimieren und das Vertrauen Ihrer Kunden zu stärken. In Zeiten, in denen Datenschutzskandale regelmäßig die Schlagzeilen dominieren, kann ein sichtbarer Fokus auf Datenschutz durchaus ein Wettbewerbsvorteil sein.
Viele Auftraggeber verlangen mittlerweile vertraglich die Benennung eines DSB, selbst wenn keine gesetzliche Pflicht besteht. Für Unternehmen, die als Auftragsverarbeiter tätig sind, kann die Bestellung daher geschäftlich notwendig werden.
Praktische Empfehlung: So prüfen Sie Ihre Bestellpflicht
Führen Sie eine systematische Bestandsaufnahme durch:
Schritt 1: Alle Personen, die regelmäßig mit personenbezogenen Daten arbeiten. Berücksichtigen Sie dabei alle Beschäftigungsformen.
Schritt 2: Prüfen Sie, ob Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.
Schritt 3: Analysieren Sie, ob Sie systematische Überwachungen durchführen. Das kann verhaltensbasierte Werbung, umfangreiches Website-Tracking oder Mitarbeiter-Monitoring sein.
Schritt 4: Prüfen Sie, ob Sie Verarbeitungen vornehmen, die eine Datenschutz-Folgenabschätzung erfordern.
Sofern ein Unternehmen nach eingehender Prüfung zu der Einschätzung gelangt, keine Pflicht zur Ernennung eines Datenschutzbeauftragten zu haben, sollten die Grundlagen dieser Entscheidung genau dokumentiert werden. Diese Dokumentation ist Teil Ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Fazit
Die Bestellung eines Datenschutzbeauftragten ist nicht nur eine rechtliche Pflicht, sondern auch eine wichtige Maßnahme zur Risikominimierung. Ein kompetenter DSB hilft Ihnen, Bußgelder zu vermeiden, Ihre Prozesse rechtssicher zu gestalten und das Vertrauen Ihrer Kunden, Mitarbeiter und Geschäftspartner zu stärken.
In der heutigen digitalisierten Geschäftswelt, in der praktisch jedes Unternehmen personenbezogene Daten automatisiert verarbeitet, ist professioneller Datenschutz kein Luxus mehr, sondern eine Grundvoraussetzung für nachhaltigen Geschäftserfolg.
Sie möchten klären, ob Sie einen Datenschutzbeauftragten bestellen müssen? MAINLY unterstützt mittelständische Unternehmen und Startups mit pragmatischen Lösungen: von der Analyse Ihrer Bestellpflicht über die Implementierung rechtssicherer Datenschutzprozesse bis zur vollständigen Begleitung Ihrer Datenschutz-Prozesse.
