Die direkte Antwort vorab
Ein Datenschutzbeauftragter ist in Deutschland Pflicht, wenn eine der folgenden drei Bedingungen zutrifft:
- Sie beschäftigen mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben.
- Sie verarbeiten sensible Datenarten nach Art. 9 DSGVO — Gesundheitsdaten, biometrische Daten, Daten zu religiösen, weltanschaulichen oder politischen Überzeugungen oder Bonitätsdaten.
- Ihre Kerntätigkeit besteht in umfangreicher und regelmäßiger Überwachung von Personen — also Profilbildung, Marketing-Automation mit Tracking, Personalvermittlung oder Datenhandel.
Die 20-Personen-Regel im Detail
Die Schwelle aus § 38 BDSG ist die häufigste Pflicht-Auslöserin. Sie wirft drei Fragen auf, die immer wieder zu Missverständnissen führen:
Wer zählt mit?
Alle Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind. Das umfasst Festangestellte, Werkstudenten, Praktikanten mit längerer Dauer, freie Mitarbeitende mit regelmäßigem Datenzugriff und die Geschäftsführung selbst. Nicht mit zählen einmalige Aushilfen, externe Dienstleister mit eigenem AVV oder Rentner, die unentgeltlich aushelfen.
Was bedeutet „ständig“?
Wer den E-Mail-Account verwendet, ist ständig mit automatisierter Verarbeitung beschäftigt. Wer im CRM-System Kundendaten pflegt, auch. Wer Bewerbungen sichtet, ebenfalls. In der Praxis erfüllen praktisch alle Bürotätigkeiten das Kriterium „ständig“. Reine Produktionsmitarbeitende ohne EDV-Zugriff zählen typischerweise nicht.
Was ist automatisierte Verarbeitung?
Alles, was nicht händisch auf Papier stattfindet. E-Mail, Word-Dokumente, Excel, ERP, CRM, HR-Software, Newsletter-Tools, Buchhaltung — alles automatisierte Verarbeitung. Nicht-automatisiert wäre nur noch die handschriftliche Karteikarte.
Erfüllt nur eine der drei Schwellen, sind Sie verpflichtet — die Mitarbeiterzahl ist nur eine von mehreren Türen in die Pflicht.
Sonderfälle: Pflicht auch unter 20 Personen
Folgende Branchen unterliegen der DSB-Pflicht unabhängig von der Mitarbeiterzahl — schon bei einem oder zwei Beschäftigten:
- Arzt- und Zahnarztpraxen — Gesundheitsdaten sind sensible Daten nach Art. 9 DSGVO. Selbst eine Solopraxis mit zwei Helferinnen ist pflichtig.
- Psychotherapeuten und Heilpraktiker — gleicher Grund.
- Personalvermittler und Headhunter — Kerntätigkeit ist die umfangreiche Verarbeitung von Bewerberdaten.
- Inkasso- und Bonitätsdienstleister — Schufa-relevante Daten gehören zu den sensibel verarbeiteten Kategorien.
- Online-Shops mit Profiling — wer Verhalten trackt, um darauf Marketing-Entscheidungen zu treffen, kann pflichtig sein.
- Versicherungsmakler — Verarbeitung von Gesundheits- und Vermögensdaten.
Bußgeld-Risiko bei Verstoß
Die DSGVO sieht zwei Bußgeld-Stufen vor. Die fehlende DSB-Bestellung fällt in die niedrigere Stufe: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO). In der Praxis bei reiner DSB-Verletzung liegen die verhängten Bußgelder zwischen 1.000 und 20.000 €.
Gefährlicher wird es, wenn parallel andere DSGVO-Verstöße auftreten. Bekannte Fälle:
- Vodafone 2025 — 9,55 Mio. € Bußgeld wegen Datenschutzverstößen im Vertriebspartner-Netzwerk.
- Notebooksbilliger 2020 — 10,4 Mio. € Bußgeld wegen Videoüberwachung von Mitarbeitenden.
- 1&1 Telecom 2019 — 9,55 Mio. € wegen unzureichender Identitätsprüfung am Kunden-Support.
Wichtiger als die Höhe ist die Wahrscheinlichkeit. Behörden prüfen anlassbezogen — also nach einer Beschwerde. Mit ordentlich bestelltem DSB sinkt die Wahrscheinlichkeit deutlich, weil die Anlaufstelle für Beschwerden bei Ihnen statt bei der Behörde liegt.
Interner oder externer DSB — welcher passt zu Ihnen?
Ein interner DSB ist ein Mitarbeiter Ihres Unternehmens, der zusätzlich die Rolle des DSB übernimmt. Vorteil: er kennt das Unternehmen. Nachteile: Interessenkonflikte mit seiner sonstigen Funktion, fehlende Spezialisierung, hoher Schulungsaufwand und — besonders relevant — Kündigungsschutz nach Bestellung.
Ein externer DSB wie wir bringt Unabhängigkeit, Branchenerfahrung und sofortige Einsatzbereitschaft. Vergleichen Sie die Optionen detailliert in unserem Ratgeber Externer vs. interner DSB.
So bestellen Sie einen DSB in vier Schritten
- Erstgespräch. 20 Minuten am Telefon. Wir prüfen, ob Sie überhaupt pflichtig sind, und schlagen das passende Paket vor.
- Audit. Bestandsaufnahme aller Datenverarbeitungen in Ihrem Unternehmen — halber Tag.
- Bestellung. Schriftliche DSB-Bestellung, Aufnahme der Tätigkeit.
- Behördenmeldung. Wir melden uns als Ihr DSB an die zuständige Landesdatenschutzaufsicht — das ist Pflicht nach Art. 37 Abs. 7 DSGVO.
Nach diesen vier Schritten gelten Sie als ordnungsgemäß aufgestellt. Im Eilfall geht das innerhalb von 48 Stunden, regulär in zwei Wochen.
Häufige Fragen zur DSB-Pflicht
Malte Martens ist Ihr persönlicher externer Datenschutzbeauftragter bei dataschild. Er betreut Unternehmen, Praxen und Vereine bundesweit — pragmatisch, im transparenten Festpreis, mit direkter Durchwahl statt Hotline.
Mehr über dataschild →