Ich bin Einzelunternehmer mit Online-Shop — pflichtig?

Als Einzelunternehmer ohne Beschäftigte sind Sie üblicherweise nicht zur Bestellung verpflichtet — auch nicht bei einem Online-Shop. Eine Pflicht kann aber entstehen, wenn Sie umfangreiches Tracking-basiertes Marketing einsetzen (etwa personalisierte Werbung über mehrere Plattformen koordiniert).

Wir sind ein Verein mit 200 Mitgliedern — pflichtig?

Vereine sind nur dann pflichtig, wenn die 20-Personen-Regel erfüllt ist (Vorstand + ehrenamtliche Funktionsträger mit regelmäßigem Datenzugriff) oder Sie sensible Daten verarbeiten. Ein klassischer Sportverein mit 200 Mitgliedern und kleinem Vorstand ist meist nicht pflichtig — Datenschutz-Grundregeln gelten trotzdem.

Welche Konsequenzen drohen bei Nicht-Bestellung trotz Pflicht?

Bußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes nach Art. 83 Abs. 4 DSGVO. In der Praxis bei reiner DSB-Pflichtverletzung 1.000 bis 20.000 €. Höher, wenn parallel weitere Verstöße vorliegen.

Ratgeber · 6 Min Lesezeit

Ab wann Datenschutzbeauftragter? Schwellenwerte und Beispiele.

Die 20-Personen-Schwelle ist nur die halbe Wahrheit. Drei weitere Auslöser-Kriterien machen die DSB-Bestellung in vielen Branchen zur Pflicht — unabhängig von der Mitarbeiterzahl. Hier kommen die konkreten Fälle.

Direkt-Antwort: vier Schwellen, von denen eine reicht

Sie brauchen einen Datenschutzbeauftragten, sobald eine dieser vier Bedingungen zutrifft:

Mindestens 20 Personen mit automatisierter Datenverarbeitung im Unternehmen
Verarbeitung sensibler Daten (Gesundheit, Bonität, biometrisch, religiös)
Umfangreiche Profilbildung oder regelmäßige Überwachung als Kerntätigkeit
Verkauf oder Kauf von personenbezogenen Daten als Geschäftsmodell

Schwelle 1: Die 20-Personen-Regel (§ 38 BDSG)

Die häufigste Pflicht-Auslöserin. Sie zählt alle Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind. In der Praxis erfüllen praktisch alle Bürotätigkeiten dieses Kriterium — wer E-Mails schreibt, Excel-Tabellen pflegt oder im CRM arbeitet, verarbeitet automatisiert Daten.

Was zählt mit: Festangestellte (Voll- und Teilzeit), Werkstudenten, längere Praktikanten, Geschäftsführer, freie Mitarbeitende mit regelmäßigem Datenzugriff. Was nicht zählt: einmalige Aushilfen, externe Dienstleister mit eigenem Auftragsverarbeitungsvertrag, Produktionsmitarbeitende ohne EDV-Zugriff.

Schwelle 2: Sensible Daten nach Art. 9 DSGVO

Sobald Ihr Unternehmen sensible Daten verarbeitet, gilt die DSB-Pflicht auch bei einem einzelnen Mitarbeitenden. Sensible Datenarten umfassen:

Gesundheitsdaten
Genetische und biometrische Daten
Daten zur rassischen oder ethnischen Herkunft
Politische, religiöse oder weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit
Daten zum Sexualleben oder zur sexuellen Orientierung

Praktische Konsequenz: Arztpraxen, Zahnarztpraxen, Therapeuten, Heilpraktiker, Pflegedienste, Personalvermittler mit Gesundheits-Screening — alle pflichtig ab dem ersten Mitarbeitenden.

Schwelle 3: Profilbildung als Kerntätigkeit

Wenn Sie als Hauptgeschäft Personen tracken, bewerten oder kategorisieren, sind Sie pflichtig. Typische Fälle:

Online-Marketing-Agenturen mit umfangreichem Tracking-Stack
Online-Shops mit personalisierter Werbung über mehrere Plattformen
Personalvermittler und Headhunter
Plattformen mit Bewertungs- oder Reputationssystem
Versicherungsmakler mit Risiko-Scoring
Detektive und Privatermittler

Schwelle 4: Datenhandel

Verkaufen oder kaufen Sie personenbezogene Daten? Dann gilt die DSB-Pflicht automatisch, egal wie klein Ihr Unternehmen ist. Das betrifft Adresshändler, Inkasso-Dienstleister, Bonitätsauskunfteien, aber auch B2B-Lead-Anbieter.

Fünf Branchen-Beispiele aus echten Mandaten

Beispiel 1: Maschinenbau-Mittelstand mit 45 Mitarbeitenden

Familienbetrieb in Ostwestfalen, 45 Beschäftigte in Produktion und Büro. Etwa 30 davon arbeiten täglich am PC mit Kundendaten, CRM, Bestellungen, Buchhaltung. Pflichtig über Schwelle 1.

Beispiel 2: Online-Shop mit 8 Mitarbeitenden

E-Commerce-Boutique mit 8 Beschäftigten in Marketing, Logistik, Support. Sie betreiben personalisierte Werbung über Facebook, Google und TikTok, mit detailliertem Profiling. Pflichtig über Schwelle 3 (Profilbildung als Kerntätigkeit).

Beispiel 3: Zahnarztpraxis Inhaber + 2 Helferinnen

Solo-Zahnarzt mit zwei medizinischen Fachangestellten. Patientendaten sind Gesundheitsdaten nach Art. 9. Pflichtig über Schwelle 2 — schon ab dem ersten Mitarbeitenden.

Beispiel 4: Steuerberatung mit 12 Mitarbeitenden

Steuerkanzlei mit zwölf Beschäftigten. Mandantendaten sind keine sensiblen Daten im Sinne Art. 9, aber das Berufsgeheimnis nach § 203 StGB greift. Bei der 20-Personen-Regel sind sie knapp drunter — nicht pflichtig, aber dringend zu empfehlen.

Beispiel 5: Sportverein mit 350 Mitgliedern

Eingetragener Sportverein, ehrenamtlicher Vorstand aus 5 Personen, 2 angestellte Trainer. Mitgliederverwaltung läuft digital. Nicht pflichtig, weil weniger als 20 Personen mit Datenverarbeitung beschäftigt sind. DSGVO-Pflichten (Datenschutzerklärung, Einwilligungen) gelten trotzdem.

Mein Unternehmen wächst — ab wann sollte ich handeln?

Idealerweise bei 15 Mitarbeitenden. Bei 20 muss der DSB bestellt sein — und das Aufsetzen mit Audit, Verarbeitungsverzeichnis und Bestellung dauert zwei bis vier Wochen. Wer kurz vor der Schwelle steht, vermeidet damit eine Lücke. Außerdem ist es angenehmer, in Ruhe aufzusetzen, als unter Zeitdruck nach einer Behördenanfrage.

Ausführliche Erläuterung der Pflicht-Schwellen mit Bußgeld-Beispielen: DSB-Pflicht im Detail.

Häufige Fragen

In einem klassischen Handwerksbetrieb mit 8 Mitarbeitenden ohne sensible Datenverarbeitung — nein. Wenn diese 8 Personen aber alle täglich am Computer mit Kundendaten arbeiten und Sie umfangreiches Online-Marketing mit Profiling betreiben, kann die Pflicht trotzdem entstehen.