Compliance-Lexikon · DSGVO
Datenschutzbeauftragter
auch: DSB, Data Protection Officer (DPO)
Der Datenschutzbeauftragte ist eine nach Art. 37 DSGVO und § 38 BDSG zu bestellende, unabhaengige und weisungsfreie Funktion, die die Einhaltung der Datenschutzvorschriften ueberwacht, beraet und als Ansprechpartner fuer Aufsichtsbehoerden und Betroffene fungiert - Pflicht ab 20 staendig mit Datenverarbeitung befassten Personen.
Warum die korrekte Bestellung des DSB entscheidend ist
Ein Datenschutzbeauftragter ohne ordnungsgemaesse Bestellung, ohne Unabhaengigkeitsgarantie oder ohne ausreichende Ressourcen erfuellt die DSGVO-Anforderungen nur formal. Aufsichtsbehoerden pruefen explizit, ob der DSB tatsaechlich unabhaengig agieren kann - ein DSB, der gleichzeitig IT-Leiter ist und seine eigene Arbeit kontrollieren muesste, erfuellt die Unabhaengigkeitsanforderung typischerweise nicht.
Wo die DSB-Bestellung gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DSGVO | Art. 37-39 | Benennung, Stellung und Aufgaben des Datenschutzbeauftragten als unionsweite Mindestanforderung. |
| BDSG | § 38 | Deutsche Bestellungspflicht ab 20 Personen mit staendiger Datenverarbeitungstaetigkeit. |
| DSGVO | Art. 38 Abs. 3 | Weisungsfreiheit: Der DSB darf wegen seiner Taetigkeit nicht abberufen oder benachteiligt werden. |
| DSGVO | Art. 39 | Aufgabenkatalog: Beratung, Ueberwachung, Schulung, Zusammenarbeit mit Aufsichtsbehoerde. |
| GDDcert / TUEV | vollstaendig | Anerkannte Zertifizierungen zum Nachweis der Fachkunde externer und interner DSB. |
Haeufige Fehler
- Interessenkonflikt durch Doppelrolle (z.B. IT-Leiter als DSB)
- Bestellung nicht formal dokumentiert oder der Aufsichtsbehoerde nicht gemeldet
- Unzureichende Ressourcenausstattung (Zeit, Budget, Zugang zu Informationen)
- Externe DSB ohne nachgewiesene Fachkunde beauftragt
Interner vs. externer Datenschutzbeauftragter
Ein interner DSB kennt die Organisation besser, riskiert aber eher Interessenkonflikte und Rollenvermischung. Ein externer DSB bringt Unabhaengigkeit und spezialisierte Expertise mit, erfordert jedoch klare Kommunikationswege und Zugang zu allen relevanten Informationen. Die Wahl haengt von Unternehmensgroesse, Komplexitaet der Datenverarbeitung und verfuegbaren internen Ressourcen ab.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur DSGVO-Bereitschaft.