Datenschutzbeauftragter Pflicht: Wann Ihr Unternehmen einen DSB bestellen muss

Die Frage “Brauchen wir einen Datenschutzbeauftragten?” gehört zu den häufigsten und zugleich nervenaufreibendsten Themen für Geschäftsführer im Mittelstand. Gerade im Jahr 2026, in dem regulatorische Anforderungen wie NIS2 zusätzlich Druck auf die IT-Compliance ausüben, ist rechtliche Unsicherheit ein Risiko, das sich kein Unternehmen leisten sollte. Viele Unternehmenslenker wiegen sich in falscher Sicherheit, weil sie glauben, ihr Betrieb sei “zu klein” für strenge Datenschutzvorgaben.

Doch Vorsicht: Die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) hängt nicht allein von der Mitarbeiterzahl ab. Zudem entbindet Sie eine fehlende Bestellungspflicht keineswegs von der Einhaltung der Datenschutzgrundverordnung (DSGVO). In diesem Ratgeber klären wir faktenbasiert und praxisnah, ab wann die Datenschutzbeauftragter Pflicht greift, wie Sie die berüchtigte 20-Mitarbeiter-Regel korrekt zählen und warum die Rechenschaftspflicht oft das eigentliche Problem ist.

Die rechtlichen Grundlagen: Wann wird es ernst?

Die Verpflichtung zur Benennung eines DSB ergibt sich aus einem Zusammenspiel der europäischen DSGVO (Art. 37) und dem deutschen Bundesdatenschutzgesetz (BDSG § 38). Für Unternehmen in Deutschland ist diese Kombination entscheidend, da der deutsche Gesetzgeber von einer Öffnungsklausel Gebrauch gemacht hat, um konkrete Zahlenwerte für die Bestellpflicht festzulegen.

Die 20-Mitarbeiter-Regel im Detail

Der wohl bekannteste Grenzwert in Deutschland ist die Zahl 20. Gemäß § 38 BDSG müssen nicht-öffentliche Stellen (also private Unternehmen) einen Datenschutzbeauftragten benennen, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Hier geschehen in der Praxis die meisten Fehler. Es geht nicht um die reine Lohnliste, sondern um die tatsächliche Zugriffsmöglichkeit auf Daten. Das Wort “Personen” umfasst:

• Vollzeit- und Teilzeitkräfte
• Auszubildende und Praktikanten (sofern sie Daten verarbeiten)
• Leiharbeitnehmer
• Freie Mitarbeiter, die in die Betriebsorganisation eingebunden sind

Nicht dazu zählen das Reinigungspersonal oder Handwerker, die keinen Zugang zu PCs oder Kundendaten haben. Entscheidend ist die “ständige” Beschäftigung mit der Verarbeitung. Wer also fast täglich E-Mails an Kunden schreibt, Buchhaltungssoftware nutzt oder im CRM arbeitet, zählt zu diesen 20 Personen dazu. Teilzeitkräfte werden hierbei übrigens voll als “ein Kopf” gezählt, nicht anteilig.

Pflicht unabhängig von der Mitarbeiterzahl

Viele Unternehmen tappen in die Falle, nur die Köpfe zu zählen. Es gibt Szenarien, in denen Sie sofort einen DSB benötigen, selbst wenn Sie nur zu zweit im Büro sitzen:

Erstens, wenn Ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b DSGVO). Beispiele hierfür sind Detekteien, Sicherheitsfirmen mit Videoüberwachung oder Tracking-Anbieter.

Zweitens, wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht (Art. 37 Abs. 1 lit. c DSGVO). Dazu gehören Gesundheitsdaten, rassische Herkunft, religiöse Überzeugungen oder biometrische Daten. Ein Startup im Health-Tech-Bereich oder eine größere Arztpraxis kommt um die Bestellung oft nicht herum.

Drittens schreibt das Gesetz einen DSB vor, wenn eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss. Dies ist immer dann der Fall, wenn neue Technologien eingesetzt werden, die ein hohes Risiko für die Rechte und Freiheiten der Personen bergen (z. B. KI-gestützte Auswertung von Mitarbeiterleistung).

Das Missverständnis der “Rechenschaftspflicht”

Ein gefährlicher Trugschluss lautet: “Wir sind nur 15 Mitarbeiter, also müssen wir nichts machen.” Das ist falsch. Die Befreiung von der Bestellpflicht eines DSB bedeutet keine Befreiung von der DSGVO.

Sie unterliegen als Geschäftsführer der sogenannten Rechenschaftspflicht (Accountability) nach Art. 5 Abs. 2 DSGVO. Das bedeutet, Sie müssen jederzeit nachweisen können, dass Sie personbezogene Daten gesetzeskonform verarbeiten. Dazu gehören:

• Ein aktuelles Verzeichnis von Verarbeitungstätigkeiten (VVT).
• Verträge zur Auftragsverarbeitung (AVV) mit Dienstleistern.
• Technische und organisatorische Maßnahmen (TOMs) zur Datensicherheit.
• Nachweise über Mitarbeiterschulungen im Datenschutz.

Ohne einen Experten an Ihrer Seite ist dieser Dokumentationsberg kaum zu bewältigen. Genau hier positioniert sich TrustSpace. Wir verstehen Compliance nicht nur als Software, sondern als ganzheitliche Lösung für Informationssicherheit und Compliance. Unser Ansatz hilft Unternehmen, diese Nachweise stressfrei zu erbringen, indem wir Prozesse wie Mitarbeiterschulungen und Berichte automatisieren.

Interner vs. Externer Datenschutzbeauftragter: Was lohnt sich?

Wenn die Pflicht besteht (oder Sie sich freiwillig dafür entscheiden), stehen Sie vor der Wahl: Bauen Sie intern Kompetenz auf oder holen Sie sich Hilfe von außen?

Der interne Datenschutzbeauftragte

Ein Mitarbeiter übernimmt die Rolle zusätzlich zu seinen normalen Aufgaben. Der Vorteil scheint auf der Hand zu liegen: Die Person kennt das Unternehmen.

Die Nachteile und Risiken:

• Kündigungsschutz: Nach deutschem Recht genießen interne DSB einen besonderen Kündigungsschutz.
• Interessenskonflikte: Ein Geschäftsführer, IT-Leiter oder HR-Manager darf niemals DSB sein, da er sich sonst selbst kontrollieren würde. Dies ist gesetzlich verboten.
• Fortbildungskosten: Der Mitarbeiter muss ständig geschult werden, was Zeit und Geld kostet.

Der externe Datenschutzbeauftragte (Service)

Hierbei bestellen Sie einen externen Dienstleister. Dies ist das Modell, das TrustSpace für viele Mittelständler anbietet.

Die Vorteile:

• Kein Kündigungsschutzrisiko: Der Vertrag ist dienstlich kündbar.
• Haftungsübernahme: Ein externer Profi haftet für seine fehlerhafte Beratung.
• Fachwissen: Sie profitieren von Experten, die nichts anderes machen als Datenschutz und Informationssicherheit.
• Kalkulierbare Kosten: Bei TrustSpace bieten wir beispielsweise Pakete ab 200€ / Monat an, die weit günstiger sind als die Ausbildung und Arbeitszeit einer internen Kraft.

Wichtig zu verstehen: Wir sind keine Anwaltskanzlei. Wir führen keine abstrakte Rechtsberatung durch. Aber wenn wir als Ihr externer Datenschutzbeauftragter bestellt sind, dürfen und müssen wir Sie konkret zur Einhaltung der DSGVO in Ihrem Betrieb beraten und überwachen. Das ist Teil unseres “Sorglos-Pakets”.

Häufige Fehler vermeiden und Schritt für Schritt zur Compliance

Damit Sie nicht ins offene Messer laufen, haben wir eine Anleitung erstellt, wie Sie das Thema Datenschutzbeauftragter pragmatisch lösen.

Schritt 1: Bestandsaufnahme der Mitarbeiter

Zählen Sie alle Personen, die Zugriff auf personenbezogene Daten haben (Computerarbeitsplätze, Zugriff auf E-Mail, CRM, HR-Daten etc.). Liegen Sie bei 20 oder darüber? Dann besteht Handlungsbedarf.

Schritt 2: Analyse der Kerntätigkeit

Verarbeiten Sie Gesundheitsdaten, Daten von Minderjährigen oder tracken Sie Nutzerverhalten im großen Stil? Wenn ja, ist die Mitarbeiterzahl irrelevant -> Pflicht zur Bestellung.

Schritt 3: Entscheidung Intern vs. Extern

Wägen Sie ab: Haben Sie jemanden, der fachkundig ist und keinen Interessenskonflikt hat? Falls nein, ist die externe Lösung der einzig sichere Weg. Nutzen Sie hierfür gerne unsere Expertise im Bereich ISMS Software und Management, um zu sehen, wie wir Prozesse vereinfachen.

Schritt 4: Offizielle Benennung und Meldung

Der DSB muss schriftlich benannt und anschließend der zuständigen Landesdatenschutzbehörde gemeldet werden. TrustSpace übernimmt diesen bürokratischen Akt für seine Mandanten standardmäßig.

Schritt 5: Laufende Betreuung sicherstellen

Ein DSB ist kein “Einmal-Projekt”. Es geht um kontinuierliche Überwachung. TrustSpace kümmert sich um:

• Die Durchführung jährlicher Mitarbeiterschulungen (pflichtgemäß).
• Die Prüfung von Auftragsverarbeitungsverträgen (AVV) und TOMs.
• Den jährlichen Datenschutzbericht für die Geschäftsführung (Art. 39 DSGVO).
• Die Zusammenarbeit mit der Aufsichtsbehörde bei Anfragen.

Einordnung in die IT-Sicherheit (ISO 27001, NIS2)

Datenschutz ist heute untrennbar mit Informationssicherheit verbunden. Ein Unternehmen, das DSGVO-compliant ist, hat oft schon wichtige Grundsteine für weitere Zertifizierungen gelegt. Unsere ISO 27001 Beratung baut oft auf den Strukturen auf, die wir im Datenschutz etablieren. Ebenso wird für viele Unternehmen ab 2025/2026 die EU-Richtlinie NIS2 relevant. Wer hier bereits einen sauberen Datenschutzprozess und Asset-Management etabliert hat, spart massiv Zeit bei der NIS2-Umsetzung.

FAQ: Fragen und Antworten zum Datenschutzbeauftragten