16. Januar 2026

Wann benötigt man einen Datenschutzbeauftragten?

Kurzantwort für Entscheider

Ein externer Datenschutzbeauftragter wird benötigt, wenn Unternehmen gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu benennen und keine interne Person diese Rolle übernehmen kann oder soll. Die Pflicht zur Bestellung ergibt sich insbesondere aus Art. 37 DSGVO und § 38 BDSG und hängt unter anderem von der Mitarbeiterzahl, der Art der Datenverarbeitung und der Kerntätigkeit des Unternehmens ab.

Dieser Beitrag zeigt, wann ein externer Datenschutzbeauftragter Pflicht ist, wann er sinnvoll sein kann und wie Unternehmen die richtige Entscheidung treffen.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen
& Kunden überzeugen durch
einen ext. Datenschutzbeauftragten.

Pflicht zur Bestellung eines Datenschutzbeauftragten

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO in Verbindung mit § 38 BDSG.

Eine Benennung ist insbesondere erforderlich, wenn:

Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (z. B. regelmäßige Arbeit am PC)
die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten liegt (z. B. Gesundheitsdaten, biometrische Daten)
die Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung von Personen erfordert (z. B. Videoüberwachung, Tracking)
es sich um eine öffentliche Stelle handelt

Besteht eine dieser Voraussetzungen, muss ein Datenschutzbeauftragter benannt werden. Erfolgt die Bestellung nicht intern, ist ein externer Datenschutzbeauftragter erforderlich.

Unternehmen und Organisationen, die keinen Datenschutzbeauftragten bestellen müssen, sollten dennoch sicherstellen, dass der Datenschutz in ihrer Organisation gewährleistet ist. Denn eine Befreiung von der Bestellpflicht führt nicht dazu, dass sämtliche Anforderungen der DSGVO nicht eingehalten werden müssen. Insoweit sollte auch bei Nichterfüllung der Kriterien darüber nachgedacht werden, einen DSB zu bestellen. Über die Kosten für einen Datenschutzbeauftragten erfahren Sie hier mehr.

Was ist die Bestellung eines Datenschutzbeauftragten?

Eine Bestellung des Datenschutzbeauftragten erfolgt nicht telefonisch oder per Online-Formular, wie viele andere Bestellungen in unserer Gesellschaft. Viele Unternehmen können den Begriff Bestellung eines Datenschutzbeauftragten zunächst nicht zuordnen und stellen deshalb Vermutungen an. Dabei ist die Bestellung im Datenschutz ganz einfach: Die Bestellung kann mit einer Ernennung verglichen werden. Mit der Bestellung geht einher, dass der DSB seine Funktion öffentlich ausübt und dadurch zum Träger von Rechten und Pflichten im Unternehmen wird. Nur wenn der Datenschutzbeauftragte nach den Vorgaben der DSGVO bestellt wird, ist das Unternehmen hinsichtlich der Bestellung ausreichend abgesichert. Zur Einhaltung der Formalitäten wird eine von der Geschäftsleitung unterzeichnete Bestellungsurkunde aufgesetzt. Aus der Bestellurkunde muss genau hervorgehen, welche Person die Tätigkeit des betrieblichen Datenschutzbeauftragten übernimmt und somit in Zukunft den betrieblichen Datenschutz verantwortet.

Muster Bestellung Datenschutzbeauftragter

Sofern Sie keinen externen Datenschutzbeauftragten bestellen, benötigen Sie eine gültige Bestellung des Datenschutzbeauftragten innerhalb Ihres Unternehmens. Wenn Sie einen externen Datenschutzbeauftragten bestellen, dann ist die Bestellung ein Gegenstand des Dienstleistungsvertrages zwischen Ihrem Unternehmen und dem externen Datenschutzbeauftragten. Folgende Formulierung können Sie für die Bestellung eines Datenschutzbeauftragten verwenden:

„Bestellung zum Datenschutzbeauftragten

Hiermit bestellen wir Max Mustermann gemäß Art. 37 DSGVO und § 38 BDSG-neu mit Wirkung zum 01.08.2023 zum Datenschutzbeauftragten für
die Beispiel AG. Zu Ihren Aufgaben gehören gemäß Art. 39 DSGVO u.a. die Unterrichtung und Beratung in Sachen des Datenschutzes, die Kontrolle der Einhaltung der geltenden Datenschutzbestimmungen sowie die Zusammenarbeit mit der Aufsichtsbehörde. In Ihrer Funktion als externer Datenschutzbeauftragter sind Sie weisungsfrei.“

Die Bestellung des Datenschutzbeauftragten muss in der Regel in Schriftform erfolgen als Ergänzung zum Arbeitsvertrag. Lassen Sie sich vorab durch einen Datenschutzexperten beraten hinsichtlich des besonderen Kündigungsschutzes eines internen Datenschutzbeauftragten.

Ist die Bestellung des Datenschutzbeauftragten öffentlich?

In der DSGVO ist festgelegt, dass Unternehmen, die einen Datenschutzbeauftragten bestellen, diese Bestellung den Aufsichtsbehörden mitteilen müssen. Das bedeutet, dass die Aufsichtsbehörde weiß, wer der DSB eines Unternehmens ist. Es ist zudem Pflicht, dass Unternehmen Kontaktdaten ihres DSB (z. B. E-Mail-Adresse) in ihrer Datenschutzerklärung veröffentlichen, damit betroffene Personen bei Datenschutzfragen oder -anliegen direkt Kontakt aufnehmen können. Dies ist aber nicht gleichbedeutend mit einer völligen öffentlichen Bekanntmachung der Bestellung an sich. Die formale Bestellung des DSB kann darüber hinaus von Aufsichtsbehörden oder im Rahmen eines Audits angefragt werden.

Was kostet zuverlässiger Datenschutz?

Erhalten Sie in wenigen Schritten eine passgenaue Kostenübersicht.

Wer kann zum Datenschutzbeauftragten bestellt werden?

Damit eine Person als Datenschutzbeauftragter bestellt werden kann, müssen gewisse Voraussetzungen erfüllt werden, sodass die Bestellung des Datenschutzbeauftragten auch wirksam ist. Grundsätzlich kann ein Datenschutzbeauftragter mittels interner Mitarbeiter oder externer Mitarbeiter (im Rahmen eines Dienstleistungsvertrages) bestellt werden. Wichtig zu beachten ist dabei, dass eine berufliche sowie fachliche Qualifikation vorliegen muss, sodass die ordnungsgemäße Wahrnehmung der normierten Aufgaben aus dem Art. 39 DSGVO gewährleistet wird.
Oftmals entstehen bei einer Bestellung des Datenschutzbeauftragten mittels interner Ressourcen Interessenkonflikte, da Mitarbeiter mit Leitungsfunktionen oder solchen Funktionen, welche als gegensätzlich zum Datenschutz verstanden werden, die Rolle als Datenschutzbeauftragter ausüben sollen. Sollte ein Interessenkonflikt vorliegen, so ist die Bestellung des Datenschutzbeauftragten unwirksam. Hierzu hat es bereits Bußgeldbescheide über 525.000 € gegen Unternehmen gegeben.

Wer darf nicht zum Datenschutzbeauftragten bestellt werden?

Unternehmen müssen sicherstellen, dass die Bestellung eines Datenschutzbeauftragten auch wirksam ist. Daher ist es unabdingbar zu beachten, dass nicht jede Person zum Datenschutzbeauftragten im Unternehmen benannt werden darf. Grundsätzlich dürfen nur Personen die Rolle des Datenschutzbeauftragten ausüben, welche in keinen Interessenskonflikt geraten können. Stehen die betrieblichen Interessen des Unternehmens im Vordergrund des Mitarbeiters, ist die Bestellung nicht wirksam. In der Regel ist das der Fall, wenn Führungspositionen, Abteilungsleiter oder Betriebsratsmitglieder die Rolle des Datenschutzbeauftragten übernehmen. Da das Potenzial einer unwirksamen Bestellung groß ist, bestellen viele Unternehmen ihren Datenschutzbeauftragten extern.

Was passiert, wenn kein Datenschutzbeauftragter bestellt wird?

Unternehmen, die trotz bestehender Pflicht keinen Datenschutzbeauftragten benennen, riskieren:

Bußgelder nach DSGVO
Beanstandungen durch Aufsichtsbehörden
rechtliche Unsicherheiten bei Datenschutzvorfällen
Reputationsschäden

Die ordnungsgemäße Bestellung eines Datenschutzbeauftragten ist daher ein zentraler Bestandteil der Datenschutz-Compliance.

Fazit: Wann benötigt man einen Datenschutzbeauftragten?

Ein externer Datenschutzbeauftragter wird benötigt, wenn eine gesetzliche Benennungspflicht besteht und kein interner Datenschutzbeauftragter bestellt wird, oder wenn Unternehmen Datenschutz fachlich und organisatorisch auslagern möchten.

Ob eine Pflicht besteht, hängt insbesondere von der Mitarbeiterzahl, der Art der Datenverarbeitung und der Kerntätigkeit des Unternehmens ab. Unabhängig von der Pflicht kann ein externer Datenschutzbeauftragter eine sinnvolle Lösung sein, um Datenschutz professionell und rechtssicher umzusetzen.

Hinweis: Unabhängig davon, ob ein interner oder externer Datenschutzbeauftragter bestellt wird, benötigen Unternehmen eine strukturierte Dokumentation ihrer Datenschutzprozesse. Datenschutz-Management-Systeme unterstützen dabei, Pflichten nachvollziehbar und effizient zu erfüllen.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

Herr Möllers ist als ext. Konzerndatenschutzbeauftragter (TISAX, ISO27001, DEKRA und TÜV) tätig. Herr Möllers hat 2017 die Keyed GmbH gegründet und verfügt über langjährige Erfahrung im Datenschutz.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy