Zählen Werkstudenten und Praktikanten zur 20-Personen-Schwelle?

Ja, wenn sie ständig mit automatisierter Datenverarbeitung beschäftigt sind. Auch geringfügig Beschäftigte, freie Mitarbeitende mit regelmäßigem Zugriff auf Daten und der Geschäftsführer selbst zählen mit. Saisonale Aushilfen, die einmalig drei Wochen tätig sind, zählen typischerweise nicht.

Was passiert, wenn ich keinen DSB bestelle, obwohl Pflicht?

Die Aufsichtsbehörde kann ein Bußgeld bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängen (Art. 83 Abs. 4 DSGVO). In der Praxis sind die Bußgelder bei reiner DSB-Verletzung niedriger — typischerweise zwischen 1.000 und 20.000 €. Das Risiko steigt erheblich, wenn parallel auch andere DSGVO-Verstöße vorliegen.

Muss der externe DSB Anwalt sein?

Nein. Die DSGVO verlangt &bdquo;Fachwissen und berufliche Eignung“ (Art. 37 Abs. 5) — kein Jurastudium. Üblich sind TÜV-Zertifizierungen oder IHK-Lehrgänge. Wichtig ist die praktische Erfahrung mit IT, Recht und Unternehmensorganisation in Kombination.

Wie lange dauert die Bestellung eines externen DSB?

Bei uns typischerweise zwei Wochen vom Erstgespräch bis zur Meldung an die Aufsichtsbehörde. Im Eilfall — z. B. weil schon ein Behördenanschreiben da ist — können wir die Bestellung innerhalb von 48 Stunden machen und die Bestandsaufnahme nachholen.

Kann ich den DSB jederzeit wechseln?

Ja. Externe DSBs können Sie monatlich kündigen — vorausgesetzt, Ihr Anbieter hat keine Mindestlaufzeit (bei uns nicht der Fall). Ein interner DSB hat dagegen besonderen Kündigungsschutz, der eine Trennung deutlich erschwert.

Ratgeber · 8 Min Lesezeit

Datenschutzbeauftragter Pflicht: Wann brauchen Sie einen?

Drei Schwellenwerte entscheiden, ob Sie einen Datenschutzbeauftragten bestellen müssen — Mitarbeiterzahl, Datenart und Verarbeitungszweck. Wer eine davon erfüllt, ist verpflichtet. Hier kommt die konkrete Entscheidungshilfe.

Die direkte Antwort vorab

Ein Datenschutzbeauftragter ist in Deutschland Pflicht, wenn eine der folgenden drei Bedingungen zutrifft:

Sie beschäftigen mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben.
Sie verarbeiten sensible Datenarten nach Art. 9 DSGVO — Gesundheitsdaten, biometrische Daten, Daten zu religiösen, weltanschaulichen oder politischen Überzeugungen oder Bonitätsdaten.
Ihre Kerntätigkeit besteht in umfangreicher und regelmäßiger Überwachung von Personen — also Profilbildung, Marketing-Automation mit Tracking, Personalvermittlung oder Datenhandel.

Die 20-Personen-Regel im Detail

Die Schwelle aus § 38 BDSG ist die häufigste Pflicht-Auslöserin. Sie wirft drei Fragen auf, die immer wieder zu Missverständnissen führen:

Wer zählt mit?

Alle Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind. Das umfasst Festangestellte, Werkstudenten, Praktikanten mit längerer Dauer, freie Mitarbeitende mit regelmäßigem Datenzugriff und die Geschäftsführung selbst. Nicht mit zählen einmalige Aushilfen, externe Dienstleister mit eigenem AVV oder Rentner, die unentgeltlich aushelfen.

Was bedeutet „ständig“?

Wer den E-Mail-Account verwendet, ist ständig mit automatisierter Verarbeitung beschäftigt. Wer im CRM-System Kundendaten pflegt, auch. Wer Bewerbungen sichtet, ebenfalls. In der Praxis erfüllen praktisch alle Bürotätigkeiten das Kriterium „ständig“. Reine Produktionsmitarbeitende ohne EDV-Zugriff zählen typischerweise nicht.

Was ist automatisierte Verarbeitung?

Alles, was nicht händisch auf Papier stattfindet. E-Mail, Word-Dokumente, Excel, ERP, CRM, HR-Software, Newsletter-Tools, Buchhaltung — alles automatisierte Verarbeitung. Nicht-automatisiert wäre nur noch die handschriftliche Karteikarte.

Sonderfälle: Pflicht auch unter 20 Personen

Folgende Branchen unterliegen der DSB-Pflicht unabhängig von der Mitarbeiterzahl — schon bei einem oder zwei Beschäftigten:

Arzt- und Zahnarztpraxen — Gesundheitsdaten sind sensible Daten nach Art. 9 DSGVO. Selbst eine Solopraxis mit zwei Helferinnen ist pflichtig.
Psychotherapeuten und Heilpraktiker — gleicher Grund.
Personalvermittler und Headhunter — Kerntätigkeit ist die umfangreiche Verarbeitung von Bewerberdaten.
Inkasso- und Bonitätsdienstleister — Schufa-relevante Daten gehören zu den sensibel verarbeiteten Kategorien.
Online-Shops mit Profiling — wer Verhalten trackt, um darauf Marketing-Entscheidungen zu treffen, kann pflichtig sein.
Versicherungsmakler — Verarbeitung von Gesundheits- und Vermögensdaten.

Bußgeld-Risiko bei Verstoß

Die DSGVO sieht zwei Bußgeld-Stufen vor. Die fehlende DSB-Bestellung fällt in die niedrigere Stufe: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO). In der Praxis bei reiner DSB-Verletzung liegen die verhängten Bußgelder zwischen 1.000 und 20.000 €.

Gefährlicher wird es, wenn parallel andere DSGVO-Verstöße auftreten. Bekannte Fälle:

Vodafone 2025 — 9,55 Mio. € Bußgeld wegen Datenschutzverstößen im Vertriebspartner-Netzwerk.
Notebooksbilliger 2020 — 10,4 Mio. € Bußgeld wegen Videoüberwachung von Mitarbeitenden.
1&1 Telecom 2019 — 9,55 Mio. € wegen unzureichender Identitätsprüfung am Kunden-Support.

Wichtiger als die Höhe ist die Wahrscheinlichkeit. Behörden prüfen anlassbezogen — also nach einer Beschwerde. Mit ordentlich bestelltem DSB sinkt die Wahrscheinlichkeit deutlich, weil die Anlaufstelle für Beschwerden bei Ihnen statt bei der Behörde liegt.

Interner oder externer DSB — welcher passt zu Ihnen?

Ein interner DSB ist ein Mitarbeiter Ihres Unternehmens, der zusätzlich die Rolle des DSB übernimmt. Vorteil: er kennt das Unternehmen. Nachteile: Interessenkonflikte mit seiner sonstigen Funktion, fehlende Spezialisierung, hoher Schulungsaufwand und — besonders relevant — Kündigungsschutz nach Bestellung.

Ein externer DSB wie wir bringt Unabhängigkeit, Branchenerfahrung und sofortige Einsatzbereitschaft. Vergleichen Sie die Optionen detailliert in unserem Ratgeber Externer vs. interner DSB.

So bestellen Sie einen DSB in vier Schritten

Erstgespräch. 20 Minuten am Telefon. Wir prüfen, ob Sie überhaupt pflichtig sind, und schlagen das passende Paket vor.
Audit. Bestandsaufnahme aller Datenverarbeitungen in Ihrem Unternehmen — halber Tag.
Bestellung. Schriftliche DSB-Bestellung, Aufnahme der Tätigkeit.
Behördenmeldung. Wir melden uns als Ihr DSB an die zuständige Landesdatenschutzaufsicht — das ist Pflicht nach Art. 37 Abs. 7 DSGVO.

Nach diesen vier Schritten gelten Sie als ordnungsgemäß aufgestellt. Im Eilfall geht das innerhalb von 48 Stunden, regulär in zwei Wochen.

Bin ich pflichtig oder nicht?

Im 20-Minuten-Erstgespräch klären wir das eindeutig — kostenlos, ohne Verpflichtung. Wenn Sie nicht pflichtig sind, sagen wir es auch.

Erstgespräch buchen →

Häufige Fragen zur DSB-Pflicht

Nein, bei klassischer KMU-Tätigkeit ohne sensible Datenverarbeitung sind Sie unterhalb der 20-Personen-Schwelle nicht zur Bestellung verpflichtet. Achten Sie aber auf die Sonderfälle: Wenn Sie eine Arztpraxis betreiben, Bonitätsauskünfte verarbeiten oder als Personalvermittler arbeiten, gilt die Pflicht auch unter 20 Beschäftigten.