---
title: Datenschutzbeauftragter – wann ist die Benennung verpflichtend?
slug: datenschutzbeauftragter-pflicht
topic: datenschutz
legal_status: in_force
authority_level: A
valid_from: 2018-05-25
valid_to: null
last_reviewed: 2026-05-28
status: aktuell
license: CC-BY-4.0
url: https://nexvyra.de/fakten/datenschutzbeauftragter-pflicht.md
wikidata_subjects: [Q1172506, Q729649, Q30682903]
factcheck_status: ok
---

# Datenschutzbeauftragter – wann ist die Benennung verpflichtend?

## Kurzantwort

Die Pflicht zur Benennung einer oder eines Datenschutzbeauftragten (DSB) ergibt sich aus **Art. 37 Abs. 1 DSGVO** und – speziell für Deutschland – aus **§ 38 Abs. 1 BDSG**. Verantwortliche und Auftragsverarbeiter müssen einen DSB benennen, wenn sie eine Behörde sind, ihre Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung Betroffener oder eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten umfasst. In Deutschland gilt zusätzlich die **20-Personen-Schwelle**: sobald **in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt** sind. Unabhängig von der Personenzahl ist ein DSB zu benennen, wenn Verarbeitungen einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder personenbezogene Daten geschäftsmäßig zur Übermittlung, anonymisierten Übermittlung oder für Markt- und Meinungsforschung verarbeitet werden (§ 38 Abs. 1 Satz 2 BDSG).

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsgrundlage EU | Verordnung (EU) 2016/679, Artikel 37 [DSGVO Art. 37] |
| Rechtsgrundlage Deutschland | § 38 BDSG (nichtöffentliche Stellen), § 5 BDSG (öffentliche Stellen) |
| Pflicht für Behörden | Art. 37 Abs. 1 lit. a DSGVO – mit Ausnahme von Gerichten in ihrer justiziellen Tätigkeit |
| Pflicht bei Kerntätigkeit Überwachung | Art. 37 Abs. 1 lit. b DSGVO – umfangreiche, regelmäßige und systematische Überwachung Betroffener |
| Pflicht bei besonderen Datenkategorien | Art. 37 Abs. 1 lit. c DSGVO – umfangreiche Verarbeitung von Daten nach Art. 9 oder Art. 10 |
| Deutsche 20-Personen-Schwelle | § 38 Abs. 1 Satz 1 BDSG – mind. 20 Personen ständig mit automatisierter Verarbeitung [BDSG § 38 Abs. 1 S. 1] |
| Sondertatbestände unabhängig von Personenzahl | § 38 Abs. 1 Satz 2 BDSG – DSFA-pflichtige Verarbeitung, geschäftsmäßige Übermittlung, Markt-/Meinungsforschung |
| Stellung (Unabhängigkeit, Weisungsfreiheit) | Art. 38 DSGVO; § 6 Abs. 3 BDSG (öffentliche Stellen); § 38 Abs. 2 BDSG verweist auf § 6 Abs. 4–6 |
| Aufgaben | Art. 39 DSGVO – Information, Beratung, Überwachung, Schulungen, Anlaufstelle für Aufsichtsbehörde |
| Qualifikation | Art. 37 Abs. 5 DSGVO – berufliche Qualifikation, Fachwissen Datenschutzrecht und -praxis |
| Anstellungsverhältnis | Art. 37 Abs. 6 DSGVO – Beschäftigter oder externer Dienstleister möglich |
| Veröffentlichungspflicht | Art. 37 Abs. 7 DSGVO – Kontaktdaten veröffentlichen und Aufsichtsbehörde mitteilen |
| Kündigungs-/Abberufungsschutz (nicht-öffentlich) | § 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG – Abberufung nur bei wichtigem Grund analog § 626 BGB |
| Bußgeldrahmen bei Verstoß | Art. 83 Abs. 4 lit. a DSGVO – bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes |

## Geltungsbereich

Die Pflicht zur Benennung trifft sowohl **Verantwortliche** als auch **Auftragsverarbeiter** (Art. 37 Abs. 1 DSGVO). Sie gilt für öffentliche Stellen unmittelbar nach Art. 37 Abs. 1 lit. a DSGVO sowie ergänzend für die deutschen öffentlichen Stellen nach § 5 BDSG. Für nicht-öffentliche Stellen wird sie durch die deutsche Sonderregelung in § 38 BDSG erweitert: die 20-Personen-Schwelle nach § 38 Abs. 1 Satz 1 BDSG ist eine **„Öffnungsklausel"-Regelung** auf Basis der DSGVO und gilt zusätzlich zu Art. 37 Abs. 1 lit. b und c.

Eine Unternehmensgruppe darf nach Art. 37 Abs. 2 DSGVO einen gemeinsamen DSB benennen, sofern dieser von jeder Niederlassung aus leicht erreichbar ist.

## Pflichtfälle nach Art. 37 Abs. 1 DSGVO

Die DSGVO sieht drei Pflichtfälle vor:

- **lit. a** – die Verarbeitung wird von einer **Behörde oder öffentlichen Stelle** durchgeführt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln;
- **lit. b** – die **Kerntätigkeit** des Verantwortlichen oder Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine **umfangreiche regelmäßige und systematische Überwachung** von betroffenen Personen erforderlich machen;
- **lit. c** – die Kerntätigkeit besteht in der umfangreichen Verarbeitung **besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO** (z. B. Gesundheits-, Religions-, Gewerkschaftsdaten) oder von Daten zu **strafrechtlichen Verurteilungen und Straftaten nach Art. 10 DSGVO**.

Nach Art. 37 Abs. 4 DSGVO können Mitgliedstaaten weitere Pflichtfälle vorschreiben – diese Öffnungsklausel hat Deutschland in § 38 BDSG genutzt.

## Pflichtfälle nach § 38 Abs. 1 BDSG (Deutschland)

Ergänzend zu Art. 37 Abs. 1 lit. b und c DSGVO bestimmt § 38 Abs. 1 Satz 1 BDSG, dass nicht-öffentliche Stellen einen Datenschutzbeauftragten benennen müssen, sobald sie **„in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen"**.

Maßgeblich ist die **Personenzahl, die regelmäßig** mit automatisierter Datenverarbeitung befasst ist – nicht die Gesamtzahl der Beschäftigten. Vollzeit, Teilzeit, Auszubildende, Leiharbeiter und Geschäftsführer werden mitgezählt, sofern sie regelmäßig automatisiert personenbezogene Daten verarbeiten. Eine reine Computernutzung für E-Mail oder Office-Anwendungen reicht regelmäßig aus.

Nach § 38 Abs. 1 Satz 2 BDSG ist ein DSB **unabhängig von der Personenzahl** zu benennen, wenn der Verantwortliche oder Auftragsverarbeiter

- Verarbeitungen vornimmt, die einer **Datenschutz-Folgenabschätzung nach Art. 35 DSGVO** unterliegen, oder
- personenbezogene Daten **geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung** verarbeitet.

## Stellung des Datenschutzbeauftragten (Art. 38 DSGVO, § 6 BDSG)

Der Datenschutzbeauftragte ist **ordnungsgemäß und frühzeitig in alle Datenschutzfragen einzubinden** (Art. 38 Abs. 1 DSGVO). Der Verantwortliche und der Auftragsverarbeiter müssen ihm die für die Erfüllung seiner Aufgaben erforderlichen **Ressourcen, Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie Mittel zur Erhaltung des Fachwissens** zur Verfügung stellen (Art. 38 Abs. 2 DSGVO).

Nach Art. 38 Abs. 3 DSGVO erhält der DSB **keine Anweisungen bezüglich der Ausübung seiner Aufgaben**, darf wegen der Erfüllung seiner Aufgaben **nicht abberufen oder benachteiligt** werden und berichtet **unmittelbar der höchsten Managementebene**. Für nicht-öffentliche Stellen verweist § 38 Abs. 2 BDSG ergänzend auf § 6 Abs. 4 BDSG: Die **Abberufung ist nur in entsprechender Anwendung von § 626 BGB** zulässig (wichtiger Grund) – allerdings nur, soweit die Benennung verpflichtend ist. Die ordentliche Kündigung des Arbeitsverhältnisses während der Bestellung und bis ein Jahr danach ist unzulässig, soweit nicht Tatsachen vorliegen, die zur außerordentlichen Kündigung berechtigen.

Der DSB ist nach § 6 Abs. 5 Satz 2 BDSG zur **Verschwiegenheit über die Identität betroffener Personen** sowie über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet.

## Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO)

Art. 39 Abs. 1 DSGVO benennt insbesondere folgende Aufgaben:

- **lit. a** – Unterrichtung und Beratung des Verantwortlichen oder Auftragsverarbeiters und der Beschäftigten über ihre Pflichten nach der DSGVO und sonstigen Datenschutzvorschriften;
- **lit. b** – Überwachung der Einhaltung der DSGVO, sonstiger Datenschutzvorschriften und der Strategien des Verantwortlichen oder Auftragsverarbeiters einschließlich Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter sowie der diesbezüglichen Überprüfungen;
- **lit. c** – Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung nach Art. 35 DSGVO;
- **lit. d** – Zusammenarbeit mit der Aufsichtsbehörde;
- **lit. e** – **Anlaufstelle für die Aufsichtsbehörde** in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation nach Art. 36 DSGVO.

Nach Art. 39 Abs. 2 DSGVO trägt der DSB seiner Aufgabenwahrnehmung dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung.

## Qualifikation und Anstellungsverhältnis

Nach Art. 37 Abs. 5 DSGVO wird der DSB **auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt**, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der Aufgaben nach Art. 39.

Nach Art. 37 Abs. 6 DSGVO kann der DSB **Beschäftigter** des Verantwortlichen oder Auftragsverarbeiters sein oder seine Aufgaben **auf Grundlage eines Dienstleistungsvertrags** (externer DSB) erfüllen. Beide Modelle sind gleichwertig zulässig.

## Veröffentlichungs- und Meldepflicht

Nach Art. 37 Abs. 7 DSGVO **veröffentlicht** der Verantwortliche oder Auftragsverarbeiter die **Kontaktdaten** des DSB und teilt diese der **Aufsichtsbehörde mit**. Die Meldung erfolgt in Deutschland je nach Zuständigkeit beim Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) oder bei der jeweils zuständigen Landesdatenschutzbehörde – jeweils über ein eigenes Online-Meldeverfahren.

## Häufige Missverständnisse

- **Personenzahl ≠ Mitarbeiterzahl**: Die 20-Personen-Schwelle bezieht sich ausschließlich auf Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind – nicht auf die Gesamtbelegschaft. Wer ausschließlich rein handwerklich oder körperlich tätig ist und nie selbst Daten am Bildschirm verarbeitet, zählt nicht mit.
- **Auch unterhalb der 20-Personen-Schwelle pflichtig**: DSFA-pflichtige Verarbeitungen sowie geschäftsmäßige Übermittlung oder Markt-/Meinungsforschung lösen die Pflicht unabhängig von der Personenzahl aus (§ 38 Abs. 1 Satz 2 BDSG).
- **Externer DSB ist gleichwertig**: Es besteht **keine Pflicht zur Anstellung eines internen DSB**; ein externer Dienstleister ist nach Art. 37 Abs. 6 DSGVO ausdrücklich zulässig.
- **DSB-Pflicht ≠ DSGVO-Pflicht**: Auch wer keinen DSB benennen muss, bleibt vollumfänglich an die DSGVO gebunden (Rechenschaftspflicht, TOM, Betroffenenrechte, Verarbeitungsverzeichnis etc.).

## Sanktionen bei Verstoß

Verstöße gegen die Pflichten aus Art. 37 bis 39 DSGVO – also nicht vorgenommene Benennung, fehlerhafte Stellung oder unzureichende Ausstattung des DSB – sind nach **Art. 83 Abs. 4 lit. a DSGVO** mit Geldbußen von **bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes** bewehrt – je nachdem, welcher Betrag höher ist.

## Ausnahmen

<!-- AGENT_TODO:Ausnahmen – Fälle, in denen die Regel nicht greift oder eine Schutzklausel gilt. -->
_Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt._

## Häufige Fehler

<!-- AGENT_TODO:Häufige Fehler – Typische Fehlannahmen oder Stolperfallen, die in der Praxis auftauchen. -->
_Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt._

## Beispiel

<!-- AGENT_TODO:Beispiel – Konkretes Fallbeispiel, das zeigt, wie die Regel in einer typischen Situation angewendet wird. -->
_Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt._

## Quellen

- Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Volltext (EUR-Lex, CELEX:32016R0679):
  https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
- § 38 BDSG – Datenschutzbeauftragte nichtöffentlicher Stellen (gesetze-im-internet.de):
  https://www.gesetze-im-internet.de/bdsg_2018/__38.html
- § 6 BDSG – Stellung der oder des Datenschutzbeauftragten (gesetze-im-internet.de):
  https://www.gesetze-im-internet.de/bdsg_2018/__6.html
- BDSG – Bundesdatenschutzgesetz, Inhaltsübersicht (gesetze-im-internet.de):
  https://www.gesetze-im-internet.de/bdsg_2018/BJNR209710017.html
- BfDI – Braucht mein Unternehmen einen Datenschutzbeauftragten? (Flyer):
  https://www.bfdi.bund.de/DE/Service/Inhalte/Flyer/Postdienstleister/4-Datenschutzbeauftragte.html
- BfDI – Rolle der Datenschutzbeauftragten und Meldeprozess nach Art. 37 DSGVO:
  https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Themen/Rolle-DSB-Meldeweg.html
- Datenschutzkonferenz (DSK) – Kurzpapier Nr. 12: Datenschutzbeauftragte (PDF):
  https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_12.pdf

## Änderungsverlauf

- 2026-05-28: Erstveröffentlichung, alle Quellen-URLs gegen amtliche Stellen mit GET geprüft (HTTP 200), Frontmatter-Felder (legal_status, authority_level, wikidata_subjects) gesetzt.

## Stand

- Stand: 2026-05-28
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Status: aktuell
- Quellenautorität: A (EUR-Lex, gesetze-im-internet.de, BfDI, DSK)
- Lizenz: CC BY 4.0