Die Frage nach dem Datenschutzbeauftragten taucht meist auf, sobald das erste Kontaktformular live geht oder die Newsletter-Liste wächst. Plötzlich steht im Raum, ob Du jemanden benennen musst, der über die Verarbeitung personenbezogener Daten wacht.
Für viele Selbständige und kleine Unternehmen ist die Antwort beruhigend einfach. Eine Pflicht entsteht erst ab klar definierten Schwellen, und unterhalb davon bleibt der Datenschutzbeauftragte eine freie Entscheidung. Hier bekommst Du die Orientierung, ab wann das Thema für Dich relevant wird.
Wichtig vorab, weil es um Rechtspflichten geht. Dieser Beitrag ordnet das Thema allgemein ein und ersetzt keine verbindliche Rechtsberatung. Im Zweifel klärst Du Deinen konkreten Fall mit einer Anwältin oder einem auf Datenschutz spezialisierten Berater.
Was ein Datenschutzbeauftragter tut
Ein Datenschutzbeauftragter, oft als DSB abgekürzt, überwacht im Betrieb die Einhaltung der Datenschutzregeln. Er prüft, ob personenbezogene Daten rechtmäßig erhoben, gespeichert und gelöscht werden, und berät die Geschäftsführung bei neuen Vorhaben.
Diese Rolle ist bewusst unabhängig angelegt. Der DSB berichtet direkt an die Leitung, darf für seine Tätigkeit nicht benachteiligt werden und entscheidet fachlich weisungsfrei. Damit wirkt er weniger als Kontrolleur gegen Dich und mehr als interner Frühwarner, der Bußgelder und Pannen verhindert, bevor sie entstehen.
Wichtig ist die Abgrenzung zur Verantwortung. Den Datenschutz schuldest weiterhin Du als verantwortliche Stelle, der DSB berät und überwacht nur. Er nimmt Dir die Pflichten also nicht ab. Er macht sie planbar und sorgt dafür, dass Du Fristen und Vorgaben im Blick behältst.
Zu seinen typischen Aufgaben zählen mehrere wiederkehrende Punkte:
- Beratung: Er begleitet neue Tools, Verträge und Verfahren, bevor sie scharf geschaltet werden.
- Schulung: Er sensibilisiert Mitarbeitende für den richtigen Umgang mit Daten.
- Kontrolle: Er prüft das Verzeichnis der Verarbeitungstätigkeiten und meldet Lücken.
- Schnittstelle: Er ist Ansprechpartner für die Aufsichtsbehörde und für betroffene Personen.
Den DSB gibt es in zwei Spielarten. Du kannst eine geeignete Person aus dem eigenen Betrieb benennen oder einen externen Dienstleister beauftragen. Beide Wege erfüllen dieselbe Funktion, unterscheiden sich aber in Aufwand und Kosten.
Wann ein Datenschutzbeauftragter Pflicht wird
Die Benennungspflicht richtet sich nach Art und Umfang Deiner Datenverarbeitung, nicht nach Umsatz oder Rechtsform. In Deutschland gilt dafür eine zentrale Schwelle über die Zahl der Personen, die ständig mit personenbezogenen Daten arbeiten.
Sobald in der Regel mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten, brauchst Du einen Datenschutzbeauftragten. Mitgezählt werden alle, die regelmäßig am Rechner mit solchen Daten umgehen, also auch Teilzeitkräfte, freie Mitarbeitende und oft die Inhaberin selbst.
Unabhängig von der Personenzahl greift die Pflicht in zwei weiteren Fällen. Verarbeitest Du als Kerntätigkeit umfangreich besonders sensible Daten, etwa Gesundheits-, Religions- oder biometrische Daten, ist ein DSB nötig. Das Gleiche gilt, wenn Deine Haupttätigkeit in der umfangreichen, systematischen Beobachtung von Personen besteht.
Solche Konstellationen findest Du eher in Arztpraxen, bei Personaldienstleistern oder bei Diensten, die Nutzerverhalten im großen Stil auswerten. Für die meisten kleinen Betriebe mit Webseite, Kontaktformular und Newsletter bleiben diese Schwellen außer Reichweite. Wer zu zweit oder zu fünft arbeitet und keine sensiblen Daten im großen Stil verarbeitet, fällt nicht unter die Benennungspflicht.
Intern benennen oder extern beauftragen
Trifft Dich die Pflicht, stehen zwei Wege offen. Du benennst eine interne Person oder Du beauftragst einen externen DSB. Die Wahl hängt von Betriebsgröße, vorhandenem Know-how und Budget ab.
Eine interne Lösung wirkt günstig, bindet aber Arbeitszeit und verlangt laufende Fortbildung. Die benannte Person braucht echte Fachkunde und darf ihre eigene Datenverarbeitung nicht selbst kontrollieren, weshalb Geschäftsführung und IT-Leitung als DSB ausscheiden. Außerdem genießt sie einen besonderen Kündigungsschutz, den Du als Arbeitgeber einkalkulieren solltest.
Ein externer Datenschutzbeauftragter bringt Erfahrung aus vielen Mandaten mit und haftet über seinen Dienstvertrag. Für kleine Betriebe ist das oft der entspanntere Weg, weil Du Dich nicht selbst in die Materie einarbeiten musst und planbare Kosten statt internem Aufwand hast. Die Beauftragung läuft meist über einen schlanken Vertrag mit fester monatlicher Pauschale.
Egal welchen Weg Du wählst, die benannte Person wird der Aufsichtsbehörde gemeldet und ihre Kontaktdaten gehören in die Datenschutzerklärung Deiner Webseite. Damit ist der DSB für betroffene Personen jederzeit erreichbar.
Was Du ohne Pflicht trotzdem tun solltest
Keine Benennungspflicht bedeutet nicht, dass der Datenschutz für Dich endet. Die Grundpflichten der DSGVO gelten unabhängig von der Betriebsgröße, sobald Du personenbezogene Daten verarbeitest. Den Datenschutzbeauftragten kannst Du Dir sparen, die laufende Sorgfalt nicht.
Drei Bausteine bilden das Fundament, das jeden kleinen Betrieb betrifft:
- Verzeichnis der Verarbeitungstätigkeiten: Eine schlichte Übersicht, welche Daten Du wofür speicherst.
- Auftragsverarbeiter im Blick: Wer in Deinem Namen Daten verarbeitet, braucht einen Vertrag, wie ihn der Beitrag zur Auftragsverarbeitung und zum AVV erklärt.
- Reaktionsplan für Pannen: Bei einer Datenpanne läuft die 72-Stunden-Meldefrist, auf die Du vorbereitet sein solltest.
Diese drei Aufgaben kosten überschaubar Zeit und bewahren Dich im Ernstfall vor teuren Lücken. Sie sind die Basis, auf der ein DSB später aufsetzen würde, und lohnen sich deshalb auch ohne Pflicht.
Du darfst einen Datenschutzbeauftragten auch freiwillig benennen, ohne dazu verpflichtet zu sein. Sobald Du das tust, gelten allerdings dieselben Schutz- und Meldepflichten wie bei einer Pflichtbenennung, weshalb dieser Schritt gut überlegt sein will.
Fazit
Für die meisten Selbständigen und kleinen Unternehmen ist ein Datenschutzbeauftragter keine Pflicht, weil die Schwellen bei Personenzahl und sensiblen Daten selten erreicht werden. Wächst Dein Team über 20 datenverarbeitende Köpfe oder kommen sensible Daten als Kerngeschäft hinzu, wird die Benennung zum Muss.
Prüfe Deinen Fall einmal in Ruhe, dokumentiere das Ergebnis und hol Dir bei Unsicherheit rechtlichen Rat. So weißt Du strategisch, woran Du bist, und investierst Deine Zeit dort, wo der Datenschutz wirklich Wirkung zeigt.