Datenschutzbeauftragter (DSB): Rolle, Anforderungen und wann Sie einen brauchen
Wann ist ein DSB unter der DSGVO verpflichtend? Was macht ein Datenschutzbeauftragter eigentlich? Dieser Leitfaden behandelt DSB-Anforderungen, Qualifikationen, Unabhängigkeitsregeln und ob Sie intern oder extern einstellen sollten.
GRCTrail Team
Der Datenschutzbeauftragte ist eines der markantesten Elemente des DSGVO-Rahmens. Im Gegensatz zu Compliance-Rollen in anderen regulatorischen Systemen hat der DSB eine rechtlich definierte Position mit spezifischen Schutzbestimmungen — Unabhängigkeitsgarantien, Kündigungsschutzregeln und direkte Berichtslinien an die höchste Managementebene. Es ist nicht nur ein Titel, den man jemandem gibt; es ist eine Rolle mit echtem rechtlichem Gewicht.
Für SaaS-Unternehmen taucht die DSB-Frage früh auf. Manchmal ist es ein Kunde, der während der Beschaffung fragt: „Wer ist Ihr Datenschutzbeauftragter?” Manchmal ist es eine regulatorische Anforderung, die Sie überrascht. Und manchmal ist es die wachsende Erkenntnis, dass jemand den Datenschutz in der gesamten Organisation verantworten muss, unabhängig davon, ob das Gesetz es vorschreibt.
Dieser Leitfaden behandelt, wann ein DSB erforderlich ist, was die Rolle beinhaltet, welche Qualifikationen benötigt werden und wie die Rolle strukturiert werden kann — ob Sie intern einstellen, ein bestehendes Teammitglied ernennen oder einen externen DSB-Dienst beauftragen.
Wann ist ein DSB verpflichtend?
Artikel 37 macht einen DSB in drei Situationen verpflichtend:
1. Öffentliche Stelle oder Behörde
Wenn Ihre Organisation eine öffentliche Stelle oder Behörde ist (außer Gerichte, die in ihrer gerichtlichen Funktion handeln), müssen Sie einen DSB ernennen. Dies ist unkompliziert und trifft selten auf SaaS-Unternehmen zu — es sei denn, Sie sind von einer Regierung mit dem Betrieb eines öffentlich zugänglichen Dienstes beauftragt.
2. Kerntätigkeiten erfordern umfangreiche, regelmäßige und systematische Überwachung
Sie müssen einen DSB ernennen, wenn Ihre Kerntätigkeiten in Verarbeitungsvorgängen bestehen, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine regelmäßige und systematische Überwachung betroffener Personen in großem Umfang erfordern.
Lassen Sie uns die Schlüsselbegriffe aufschlüsseln:
Kerntätigkeiten: Die primären Geschäftstätigkeiten der Organisation — keine unterstützenden Funktionen wie HR oder IT. Für ein SaaS-Unternehmen ist Ihre Kerntätigkeit der Dienst, den Sie Kunden erbringen.
Regelmäßige und systematische Überwachung: Verarbeitung, die fortlaufend stattfindet, einem strukturierten Ansatz folgt und die Verfolgung oder das Profiling von Personen beinhaltet. Beispiele umfassen Verhaltenswerbung, Standortverfolgung, Fitness-/Gesundheitsmonitoring, Videoüberwachung, Treueprogramme mit Profiling und Content-Empfehlungssysteme.
Großer Umfang: Es gibt keine magische Zahl, aber der EDSA berücksichtigt: die Anzahl betroffener Personen (entweder eine bestimmte Zahl oder einen Anteil einer Bevölkerung), das Datenvolumen, die geografische Ausdehnung und die Dauer der Verarbeitung.
SaaS-Relevanz: Wenn die Kernfunktion Ihres Produkts das systematische Verfolgen von Nutzerverhalten beinhaltet (denken Sie an Analyseplattformen, Ad-Tech, Mitarbeiterüberwachungstools, Social-Media-Management oder Sicherheitsüberwachungsprodukte), ist ein DSB wahrscheinlich verpflichtend. Wenn Ihr Produkt Daten speichert und verwaltet, aber Personen nicht als Kernfunktion systematisch überwacht (denken Sie an Projektmanagement, CRM, Buchhaltungssoftware), ist die Anforderung weniger klar — kann aber je nach Umfang dennoch gelten.
3. Kerntätigkeiten beinhalten umfangreiche Verarbeitung besonderer Datenkategorien
Sie müssen einen DSB ernennen, wenn Ihre Kerntätigkeiten die Verarbeitung besonderer Datenkategorien (Artikel 9) oder Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10) in großem Umfang beinhalten.
Besondere Datenkategorien umfassen: rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifizierung, Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung.
SaaS-Relevanz: Wenn Ihr SaaS-Produkt speziell Gesundheitsdaten (Health-Tech-Plattformen), biometrische Daten (Identitätsverifizierungsdienste) oder andere besondere Datenkategorien als Hauptfunktion verarbeitet, ist ein DSB verpflichtend.
Nationale Anforderungen
Mehrere EU-Mitgliedstaaten haben die DSB-Anforderung über das Basisniveau der DSGVO hinaus erweitert:
Deutschland — Nach § 38 des BDSG (Bundesdatenschutzgesetz) ist ein DSB verpflichtend, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies ist eine niedrige Schwelle, die die meisten SaaS-Unternehmen mit einer deutschen Niederlassung oder einer bedeutenden deutschen Nutzerbasis erfasst.
Frankreich, Österreich und andere — Haben zusätzliche Leitlinien oder Anforderungen, die die Schwelle senken können. Prüfen Sie das spezifische nationale Recht, das auf Ihre Situation anwendbar ist.
Auch wenn nicht verpflichtend
Viele SaaS-Unternehmen ernennen freiwillig einen DSB, weil:
- Enterprise-Kunden bei der Beschaffung danach fragen
- Es klare interne Verantwortung für den Datenschutz schafft
- Es ein Bekenntnis zum Datenschutz demonstriert (ein Marktvorteil)
- Es einfacher ist, als darüber zu debattieren, ob die gesetzliche Anforderung auf Sie zutrifft
Wenn Sie freiwillig einen DSB ernennen, gelten alle DSGVO-Anforderungen an den DSB (Unabhängigkeit, Fachkunde, Ressourcen) vollständig. Ein freiwilliger DSB hat dasselbe rechtliche Gewicht wie ein verpflichtender.
Was macht ein DSB?
Artikel 39 definiert die Mindestaufgaben des DSB:
Informieren und Beraten
Der DSB berät die Organisation — den Verantwortlichen oder Auftragsverarbeiter und alle Mitarbeiter, die Datenverarbeitung durchführen — über ihre Pflichten nach der DSGVO und anderen anwendbaren Datenschutzgesetzen. Dies ist eine beratende Rolle, keine ausführende. Der DSB empfiehlt; das Management entscheidet.
In der Praxis bedeutet das:
- Überprüfung neuer Features und Projekte auf Datenschutzauswirkungen
- Beratung bei Datenschutz-Folgenabschätzungen
- Anleitung bei der Wahl der Rechtsgrundlage
- Überprüfung von Datenschutzhinweisen und AVVs
- Beratung bei der Reaktion auf Datenpannen und Meldungsentscheidungen
- Empfehlung von Richtlinien und Verfahren
Compliance überwachen
Der DSB überwacht die Einhaltung der DSGVO durch die Organisation, einschließlich Mitarbeiterschulungen, Sensibilisierungskampagnen und Audits. Dies umfasst:
- Überprüfung des VVT auf Genauigkeit und Vollständigkeit
- Kontrolle, ob Datenschutzrichtlinien in der Praxis eingehalten werden
- Bewertung, ob Schulungsprogramme wirksam sind
- Identifizierung von Compliance-Lücken und Empfehlung von Abhilfemaßnahmen
- Verfolgung regulatorischer Entwicklungen und ihrer Auswirkungen
Mit der Aufsichtsbehörde zusammenarbeiten
Der DSB dient als Kontaktstelle für die Aufsichtsbehörde (die nationale Datenschutzbehörde). Wenn ein Regulator Fragen hat, eine Beschwerde untersucht oder ein Audit durchführt, ist der DSB die primäre Schnittstelle.
Anfragen betroffener Personen bearbeiten
Der DSB ist für betroffene Personen erreichbar, die Fragen oder Bedenken bezüglich der Verarbeitung ihrer Daten haben. Die Kontaktdaten des DSB müssen in Ihrem Datenschutzhinweis angegeben und der Aufsichtsbehörde mitgeteilt werden.
Bei DSFAs beraten
Wenn eine DSFA erforderlich ist, muss der DSB konsultiert werden. Der DSB berät, ob eine DSFA notwendig ist, welche Methodik zu verwenden ist und ob die vorgeschlagenen Schutzmaßnahmen angemessen sind.
Qualifikationen des DSB
Fachliche Qualitäten
Artikel 37(5) besagt, dass der DSB „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.”
Es gibt keine verpflichtende Zertifizierung oder einen bestimmten Abschluss. Was zählt, ist nachweisbare Fachkompetenz:
- Rechtskenntnisse: Verständnis der DSGVO, nationaler Datenschutzgesetze und relevanter branchenspezifischer Vorschriften
- Technisches Verständnis: Fähigkeit, Datenverarbeitungsvorgänge, IT-Sicherheit und verfügbare technische Maßnahmen zum Datenschutz zu verstehen
- Organisatorische Fähigkeiten: Fähigkeit, Audits durchzuführen, Compliance-Programme zu verwalten und effektiv mit allen Ebenen der Organisation zu kommunizieren
- Branchenkenntnisse: Verständnis der spezifischen Datenschutzherausforderungen in Ihrer Branche (SaaS, Tech, Health-Tech, Fin-Tech)
Gängige Qualifikationen
Obwohl nicht erforderlich, sind folgende Qualifikationen bei DSBs häufig:
- CIPP/E (Certified Information Privacy Professional/Europe)
- CIPM (Certified Information Privacy Manager)
- CIPT (Certified Information Privacy Technologist)
- Juristischer Abschluss mit Datenschutz-Spezialisierung
- ISO 27001 Lead Auditor/Implementer-Zertifizierung
- Jahre praktischer Erfahrung in Datenschutzrollen
Die Expertise-Skala
Das erforderliche Expertise-Niveau skaliert mit der Komplexität und Sensitivität Ihrer Verarbeitung. Ein SaaS-Startup, das grundlegende Kontodaten verarbeitet, braucht einen DSB mit solidem DSGVO-Wissen. Ein Health-Tech-Unternehmen, das medizinische Aufzeichnungen verarbeitet, braucht einen DSB mit tiefgreifender Expertise in besonderen Datenkategorien, Gesundheitsdatenvorschriften und den spezifischen Compliance-Herausforderungen des Gesundheitssektors.
Unabhängigkeit und Schutz des DSB
Keine Weisungen bezüglich der Aufgaben
Artikel 38(3) ist eindeutig: Der Verantwortliche oder Auftragsverarbeiter stellt sicher, dass der DSB „bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.” Der DSB entscheidet, wie er seine Arbeit priorisiert, was er untersucht und welchen Rat er gibt. Das Management kann dem DSB nicht anweisen, ein Projekt zu genehmigen oder ein Compliance-Problem zu übersehen.
Kein Nachteil durch Aufgabenerfüllung
Der DSB darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Wenn der DSB von einem Produktfeature abrät, weil es DSGVO-Bedenken gibt, und das Management diesen Rat übergeht, darf der DSB nicht für den erteilten Rat entlassen werden. Dieser Schutz ist essenziell für die Glaubwürdigkeit und Wirksamkeit des DSB.
Direkter Bericht an die höchste Managementebene
Der DSB berichtet direkt an die höchste Managementebene der Organisation — den CEO, den Vorstand oder die Geschäftsführung. Dies stellt sicher, dass der DSB den Zugang und die Autorität hat, Themen auf der angemessenen Ebene anzusprechen. Der DSB sollte nicht über Rechts-, IT- oder Compliance-Hierarchien berichten, die seine Bedenken filtern oder verwässern könnten.
Kein Interessenkonflikt
Der DSB kann andere Aufgaben und Pflichten haben, aber diese dürfen nicht zu einem Interessenkonflikt mit der DSB-Rolle führen. Positionen, die typischerweise mit DSB-Aufgaben kollidieren:
- CEO, COO, CFO — Diese Rollen treffen Verarbeitungsentscheidungen, zu denen der DSB unabhängig beraten sollte
- Leiter IT oder CISO — Diese Rollen implementieren die technischen Maßnahmen, die der DSB unabhängig überwachen sollte
- Leiter HR — Diese Rolle verwaltet die Verarbeitung von Mitarbeiterdaten, die der DSB unabhängig beaufsichtigen sollte
- Leiter Marketing — Marketingverarbeitungsentscheidungen sollten der DSB-Prüfung unterliegen
- Rechtsberater — Obwohl ein juristischer Hintergrund für einen DSB wertvoll ist, kann der Leiter der Rechtsabteilung Konflikte haben, wenn Unternehmensinteressen mit Datenschutzpflichten kollidieren
Interner vs. Externer DSB
Interner DSB
Vorteile:
- Tiefes Verständnis der Unternehmenskultur, Produkte und Prozesse
- Jederzeit für Beratung verfügbar
- In interne Kommunikation und Entscheidungsfindung eingebunden
- Kann Beziehungen über Teams hinweg aufbauen
Herausforderungen:
- Erfordert Investition in eine erfahrene Einstellung oder umfangreiche Schulung
- Risiko von Interessenkonflikten bei Kombination mit anderen Aufgaben
- Kann trotz Unabhängigkeitsschutz internem Druck ausgesetzt sein
- Braucht laufende berufliche Weiterentwicklung, um aktuell zu bleiben
Am besten geeignet für: Mittelgroße bis große SaaS-Unternehmen (50+ Mitarbeiter) mit komplexer oder sensibler Datenverarbeitung, bei denen der Umfang der Datenschutzarbeit eine dedizierte Rolle rechtfertigt.
Externer DSB
Vorteile:
- Zugang zu spezialisierter, aktueller Expertise
- Größere tatsächliche Unabhängigkeit (kein arbeitsverhältnisbezogener Druck)
- Kosteneffektiv für kleinere Organisationen (Teilzeit-DSB-Modell)
- Bringt oft branchenübergreifende Erfahrung mit
- Einfacher, Interessenkonflikte auszuschließen
Herausforderungen:
- Weniger in den täglichen Betrieb der Organisation eingebettet
- Möglicherweise begrenzte Verfügbarkeit oder Reaktionszeit
- Erfordert eine starke Dienstleistungsvereinbarung zur Definition von Umfang und Verantwortlichkeiten
- Braucht gute interne Kontaktpersonen, um wirksam zu sein
Am besten geeignet für: Startups und kleine SaaS-Unternehmen (unter 50 Mitarbeitern), bei denen ein Vollzeit-DSB nicht gerechtfertigt ist, oder bei denen die DSGVO-Anforderung neu ausgelöst wurde und interne Expertise noch nicht aufgebaut ist.
Das hybride Modell
Einige Organisationen ernennen einen internen „Privacy Lead” oder „Datenschutzkoordinator”, der die täglichen Datenschutzaufgaben bearbeitet, unterstützt von einem externen DSB, der die formelle Expertise, Unabhängigkeit und regulatorische Schnittstelle bietet. Dies kann für SaaS-Unternehmen im Bereich von 20–100 Mitarbeitern gut funktionieren.
Wie GRCTrail DSBs unterstützt
Ob Sie einen internen oder externen DSB haben, GRCTrail bietet die operative Plattform, die er braucht:
Zentrales Compliance-Dashboard. Der DSB kann den Compliance-Status der Organisation auf einen Blick sehen — VVT-Status, AVV-Abdeckung, offene DSARs, ausstehende Überprüfungen und Compliance-Lücken.
Audit-Trail. Jede Compliance-Aktion wird protokolliert und gibt dem DSB eine Nachweisbasis für die Überwachung der Compliance und die Berichterstattung an das Management.
DSFA-Management. Führen Sie Datenschutz-Folgenabschätzungen durch und verfolgen Sie sie, wobei der Input des DSB aufgezeichnet und dokumentiert wird.
Berichterstattung. Erstellen Sie Compliance-Berichte für das Management, Aufsichtsbehörden oder Kundensorgfaltsprüfungen. Der DSB muss keine Berichte manuell aus verstreuten Dokumenten zusammenstellen.
Statten Sie Ihren DSB mit den richtigen Werkzeugen aus →
Verwandte Leitfäden
- DSGVO-Compliance-Checkliste — Das vollständige Compliance-Framework
- Datenschutz-Folgenabschätzung (DSFA) — Eine Kernverantwortung des DSB
- Anforderungen an Datenschutzhinweise — DSB-Kontaktdaten aufnehmen
- DSGVO-Bußgelder und Sanktionen — Die Kosten der Nicht-Compliance
Verwandte Artikel
DSGVO-Compliance-Checkliste für SaaS-Unternehmen
Eine schrittweise DSGVO-Compliance-Checkliste für SaaS-Teams. Umfasst Dokumentation, Betroffenenrechte, Auftragnehmer-Management und laufende Überwachung, damit nichts übersehen wird.
DSGVO-Meldung von Datenpannen: Zeitplan und Schritte
Wie Sie DSGVO-Meldungen von Datenpannen handhaben. Behandelt die 72-Stunden-Frist, wann die Aufsichtsbehörde vs. betroffene Personen benachrichtigt werden müssen, Planung der Reaktion auf Datenpannen und Dokumentationsanforderungen.
DSGVO-Datenaufbewahrung: Richtlinien, Zeitpläne und Best Practices
Wie Sie DSGVO-konforme Aufbewahrungsfristen festlegen, einen Aufbewahrungszeitplan erstellen und automatisierte Löschung implementieren. Praktischer Leitfaden mit einer SaaS-spezifischen Aufbewahrungsvorlage.