Skip to content
DSGVO-Pflichten calendar_today Aktualisiert: 7. April 2026 schedule 5 Min. Lesezeit

DSB: Was ist ein Datenschutzbeauftragter und Brauchen Sie Einen?

Ein DSB (Datenschutzbeauftragter) ist eine Pflichtrolle unter der DSGVO, aber nicht fuer jeden. Dieser Artikel erklaert, wann Sie einen brauchen und wann nicht, und was KMU in der Praxis regeln muessen.

summarize Kernaussagen
  • check_circle Die meisten KMU brauchen keinen DSB, aber Sie sollten jemanden benennen, der fuer die DSGVO verantwortlich ist
  • check_circle Ein DSB ist Pflicht, wenn Sie besondere Datenkategorien in grossem Umfang verarbeiten oder Personen systematisch ueberwachen
  • check_circle Ein DSB kann intern oder extern sein, muss aber unabhaengig arbeiten koennen
  • check_circle Keinen DSB noetig? Dann sorgen Sie mindestens fuer einen DSGVO-Ansprechpartner in Ihrer Organisation

Was ist ein DSB?

Ein DSB (Datenschutzbeauftragter), im Englischen “Data Protection Officer” (DPO) genannt, ist eine Person, die innerhalb einer Organisation die Einhaltung der DSGVO ueberwacht. Der DSB ist Ansprechpartner fuer die Aufsichtsbehoerde und fuer die Personen, deren Daten Sie verarbeiten. Es handelt sich um eine formelle Rolle, die in den Artikeln 37 bis 39 der DSGVO verankert ist.

Wichtig: Der DSB ist nicht verantwortlich fuer die DSGVO-Konformitaet. Diese Verantwortung liegt bei der Organisation selbst. Der DSB beraet, kontrolliert und weist auf Probleme hin, ist aber nicht persoenlich haftbar, wenn etwas schiefgeht.

Wann ist ein DSB Pflicht?

Die DSGVO schreibt einen DSB in drei Situationen vor:

1. Behoerden und oeffentliche Stellen Jede Behoerde, die personenbezogene Daten verarbeitet, muss einen DSB bestellen. Keine Ausnahme.

2. Umfangreiche, systematische Ueberwachung von Personen Dies gilt, wenn Ihre Kerntaetigkeit in der systematischen und umfangreichen Beobachtung von Personen besteht. Denken Sie an:

  • Videoueberwachungsunternehmen, die fuer mehrere Kunden Ueberwachung durchfuehren
  • Unternehmen, die Online-Verhalten in grossem Umfang fuer Werbezwecke verfolgen
  • Sicherheitsunternehmen, die systematisch Personen ueberwachen

3. Umfangreiche Verarbeitung besonderer Datenkategorien Besondere Kategorien umfassen unter anderem: Gesundheitsdaten, biometrische Daten, Daten ueber Rasse oder Ethnie, politische Meinungen, religioese Ueberzeugungen und strafrechtliche Daten. Beispiele:

  • Krankenhaeuser und Pflegeeinrichtungen
  • Labore, die Gentests durchfuehren
  • Versicherer, die Gesundheitsdaten in grossem Umfang verarbeiten

Wann brauchen Sie KEINEN DSB?

Die meisten KMU fallen nicht unter die drei oben genannten Kategorien. Einige Beispiele:

  • Ein Bauunternehmen mit 25 Mitarbeitern verarbeitet Personal- und Kundendaten, aber das ist nicht die Kerntaetigkeit und erfolgt nicht in grossem Umfang. Kein DSB noetig.
  • Ein Onlineshop mit 10.000 Kunden verarbeitet Namen, Adressen und Bestellhistorie. Das sind gewoehnliche personenbezogene Daten, keine besonderen Kategorien, und die Kerntaetigkeit ist Verkauf, nicht Datenverarbeitung. Kein DSB noetig.
  • Eine Steuerberatungskanzlei mit 5 Mitarbeitern verarbeitet Finanzdaten von Mandanten. Obwohl sensibel, handelt es sich nicht um “besondere Kategorien” im Sinne der DSGVO. Kein DSB noetig.
  • Eine kleine Marketingagentur, die Kampagnen fuer Kunden verwaltet. Solange Sie nicht in grossem Umfang profilieren, kein DSB noetig.

Die Schluesselwoerter sind “Kerntaetigkeit” und “grosser Umfang”. Wenn Sie personenbezogene Daten zur Unterstuetzung Ihrer eigentlichen Geschaeftstaetigkeit verarbeiten (und das tun fast alle Unternehmen), ist das nicht Ihre Kerntaetigkeit.

Was macht ein DSB genau?

Wenn Sie einen DSB brauchen (oder freiwillig einen bestellen), sind dies die Aufgaben:

  • Informieren und beraten zu DSGVO-Pflichten gegenueber Organisation und Mitarbeitern
  • Ueberwachen der DSGVO-Einhaltung, einschliesslich Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung
  • Beratung zu DSFAs (Datenschutz-Folgenabschaetzungen)
  • Ansprechpartner fuer die Aufsichtsbehoerde
  • Ansprechpartner fuer Betroffene mit Fragen oder Beschwerden zu ihren Daten

Ein DSB kann intern (ein Mitarbeiter) oder extern (ein beauftragter Spezialist) sein. In beiden Faellen gilt:

  • Der DSB muss unabhaengig arbeiten koennen und darf keine Weisungen erhalten, wie er seine Aufgabe ausfuehrt
  • Der DSB darf keinen Interessenkonflikt haben - der Geschaeftsfuehrer, HR-Leiter oder IT-Leiter kann nicht gleichzeitig DSB sein
  • Der DSB muss ausreichende Ressourcen und Zugang erhalten, um seine Arbeit zu erledigen

Keinen DSB noetig? Das muessen Sie TROTZDEM regeln

Keinen formellen DSB bestellen zu muessen bedeutet nicht, dass Sie nichts tun muessen. Ihre Organisation muss:

  1. Einen DSGVO-Ansprechpartner benennen - jemand intern, der weiss, wie die DSGVO-Dokumentation organisiert ist und Betroffenenanfragen bearbeiten kann
  2. Ein Verarbeitungsverzeichnis fuehren - das ist fuer praktisch jede Organisation Pflicht
  3. Eine Datenschutzerklaerung veroeffentlichen - damit Kunden und Mitarbeiter wissen, wie Sie ihre Daten verarbeiten
  4. Ein Verfahren fuer Datenschutzverletzungen haben - damit Sie innerhalb von 72 Stunden reagieren koennen
  5. Auftragsverarbeitungsvertraege abschliessen - mit jeder Partei, die in Ihrem Auftrag Daten verarbeitet

Der Unterschied ist, dass Sie keinen formell bestellten, unabhaengigen Beauftragten brauchen. Aber jemand muss es tun.

Praktisch: Wie regeln Sie das?

Wenn Sie einen DSB BRAUCHEN:

  • Intern: Benennen Sie einen Mitarbeiter mit Datenschutzrecht-Kenntnissen. Stellen Sie sicher, dass diese Person ausreichend Zeit und Budget erhaelt
  • Extern: Beauftragen Sie einen DSB-as-a-Service. Die Kosten liegen zwischen 500 und 2.000 Euro pro Monat
  • Melden Sie den DSB bei der Aufsichtsbehoerde an

Wenn Sie KEINEN DSB BRAUCHEN:

  • Benennen Sie intern jemanden als DSGVO-Kontaktperson
  • Stellen Sie sicher, dass diese Person DSGVO-Grundkenntnisse hat
  • Dokumentieren Sie, wer es ist und welche Verantwortlichkeiten diese Person hat
  • Nutzen Sie ein Tool wie GDPRWise, um das Verarbeitungsverzeichnis und die Dokumentation zu pflegen
auto_awesome Ihr DSGVO-Dossier automatisieren?

GDPRWise hilft Ihnen, Ihr Verarbeitungsverzeichnis, Ihre Datenschutzerklaerung und Ihre DSGVO-Dokumentation zu erstellen und zu pflegen - ohne einen DSB zu benoetigen.

GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.