Wer braucht einen DSB? Pflicht-Check 2026
DSB-Pflicht nach Art. 37 DSGVO und § 38 BDSG: wann zwingend, wann intern, wann extern. Praxis-Check für deutsche KMU, mit Quellen und FAQ.
ComplyCheck-Redaktion · Stand: 2026-05-20
Kurz und knapp
Ob du einen Datenschutzbeauftragten (DSB) brauchst, hängt nicht nur an der Mitarbeiterzahl. Maßgeblich sind drei Auslöser nach Art. 37 DSGVO und § 38 BDSG: Kerntätigkeit mit regelmäßiger umfangreicher Beobachtung, Verarbeitung besonderer Datenkategorien als Kerntätigkeit, oder mehr als 20 Personen, die ständig automatisiert personenbezogene Daten verarbeiten. Trifft auch nur einer dieser Auslöser zu, ist die Benennung Pflicht — unabhängig davon, ob extern oder intern. Wer keinen DSB braucht, sollte trotzdem die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) erfüllen.
Rechtsrahmen: Art. 37 DSGVO und § 38 BDSG
Die DSGVO legt den Mindeststandard fest, § 38 BDSG ergänzt für Deutschland. Beide Normen müssen zusammen gelesen werden.
Art. 37 Abs. 1 DSGVO verpflichtet zur Benennung in drei Fällen:
- a) Behörden und öffentliche Stellen (außer Gerichte in Justizfunktion).
- b) Kerntätigkeit besteht in der „regelmäßigen und systematischen Überwachung von betroffenen Personen in großem Umfang" (z. B. Online-Tracking, Videoüberwachung, Standortauswertung).
- c) Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Datenkategorien nach Art. 9 (Gesundheit, Religion, biometrische Daten) oder strafrechtsbezogener Daten nach Art. 10.
§ 38 Abs. 1 BDSG ergänzt eine numerische Schwelle für nicht-öffentliche Stellen: Mehr als 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Vor 2019 lag die Schwelle bei 10 — die Anhebung gilt seit dem Zweiten DSAnpUG-EU.
Zusätzlich Pflicht: jede Stelle, die eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen muss (z. B. großes Profiling, neue Technologie mit hohem Risiko).
Vier Auslöser — die 20-Personen-Schwelle ist nur einer
Art. 37 DSGVO + § 38 BDSG kennen vier unabhängige Pflicht-Auslöser: (1) mehr als 20 ständig automatisiert Verarbeitende, (2) Kerntätigkeit mit regelmäßiger umfangreicher Beobachtung (Tracking/Profiling), (3) Kerntätigkeit mit besonderen Datenkategorien nach Art. 9 (Gesundheit, Religion, Biometrie) oder strafrechtsbezogenen Daten nach Art. 10, (4) DSFA-Pflicht nach Art. 35. Trifft nur einer zu, ist die Benennung Pflicht. Die 20-Personen-Schwelle wurde 2019 von 10 auf 20 angehoben (Zweites DSAnpUG-EU).
Wann ist die Benennung zwingend?
Die folgenden vier Konstellationen lösen die DSB-Pflicht typischerweise aus:
1. Mehr als 20 ständig automatisiert Verarbeitende. Maßstab ist die Person, nicht die Stelle. Auch Teilzeitkräfte, Werkstudenten und Aushilfen zählen, sobald sie regelmäßig im Verarbeitungs-Workflow stehen. Reine Stempel-am-Eingang zählt nicht.
**2.
Detail
Tracking, Profiling, Bewertung als Kerngeschäft.** Web-Analytics-Dienstleister, Performance-Marketing-Agenturen mit eigenem Tag-Stack, Bonitäts-Auskunfteien, Versicherungs-Underwriter mit automatisierten Scoring-Modellen.
3. Gesundheits- oder Sozialdaten als Kerngeschäft. Arzt-Praxen, Apotheken, Pflegedienste, betriebliches Gesundheitsmanagement-Anbieter, Telematik-Dienstleister, Krankenkassen-IT-Dienstleister.
4. Risiko-Verarbeitung mit DSFA-Pflicht. Sobald Art. 35 DSGVO eine Folgenabschätzung verlangt, sieht Art. 39 DSGVO den DSB als Beteiligten vor. Ohne DSB-Funktion ist die DSFA praktisch nicht regelkonform.
Faustregel: Wer eine dieser vier Konstellationen erfüllt, sollte die Benennung dokumentieren — auch wenn die Aufsichtsbehörde nicht ausdrücklich nachfragt. Das Fehlen ist nach Art. 83 Abs. 4 lit. a) DSGVO bußgeldbewehrt (bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes).
Welche Datenarten lösen das aus?
Nicht jede personenbezogene Verarbeitung triggert die DSB-Pflicht. Auslöser sind die in Art. 9 und 10 DSGVO genannten Sonderkategorien, sobald sie umfangreich und als Kerngeschäft verarbeitet werden.
Detail
Art. 9 DSGVO — besondere Kategorien:
- Rassische / ethnische Herkunft
- Politische Meinungen
- Religiöse / weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische Daten
- Biometrische Daten zur eindeutigen Identifizierung
- Gesundheitsdaten
- Daten zum Sexualleben / sexuellen Orientierung
Art. 10 DSGVO: Strafrechtsbezogene Daten und Daten zu strafrechtlichen Verurteilungen.
Wichtig: Es kommt auf die Kerntätigkeit an. Ein Handwerksbetrieb, der zufällig Krankschreibungen seiner Mitarbeiter sammelt, betreibt keine Kerntätigkeit „Gesundheitsdaten". Anders ein Pflegedienst, der Pflegedokumentationen führt.
DSB intern vs. extern
Beide Varianten sind rechtlich gleichwertig. Die Wahl hängt an Pragmatik und Kostenstruktur.
Interner DSB:
- Vorteil: Detailwissen über interne Prozesse, schneller Zugriff auf Mitarbeitende.
- Nachteil: Sonderkündigungsschutz nach § 6 Abs. 4 BDSG, Interessenkonflikt-Risiko bei Doppelrollen (IT-Leitung, Geschäftsführung, HR-Leitung sind ausgeschlossen).
- Aufwand: rund 10–25 % einer Vollzeitstelle, je nach Größe und Verarbeitungstiefe.
Externer DSB:
- Vorteil: kein Sonderkündigungsschutz, klare Fixkosten, oft günstiger als interne Halbzeit-Position, eingebrachte Markterfahrung.
- Nachteil: weniger Inhouse-Kenntnis am Anfang, längere Reaktionswege.
- Marktpreise 2026 (DACH-KMU, Stand recherchierte Anbieter): ca. 150–400 €/Monat für klassisches Auftragsverhältnis, plus Stundensätze für Sonderprojekte (DSFA, Auskunftsanfragen).
In beiden Fällen muss der DSB direkt der obersten Leitungsebene berichten (Art. 38 Abs. 3 DSGVO). Eine Unterordnung unter den IT-Leiter ist unzulässig.
Häufige Stolpersteine bei DSB-Benennung
Interessenkonflikt: Geschäftsführer, IT-Leiter und HR-Leiter können nicht DSB sein — sie tragen die Verarbeitungs-Verantwortung. „Datenschutzkoordinator" ohne formale DSB-Funktion ist kein Ersatz und schützt nicht vor Bußgeld (bis 10 Mio. € oder 2 % Umsatz nach Art. 83 Abs. 4). Pro-forma-Benennung ohne tatsächliche Einbindung verletzt Art. 38 — der DSB muss frühzeitig in alle Datenschutz-Fragen einbezogen werden. Meldung an die Landes-Aufsichtsbehörde nach Art. 37 Abs. 7 ist Pflicht.
Praxis-Tipps
Fünf Sofort-Schritte zur DSB-Compliance
(1) Erstprüfung der vier Auslöser dokumentieren — selbst bei „nein" ein 1-seitiges, datiertes Memo für die Rechenschaftspflicht (Art. 5 Abs. 2). (2) Im Grenzfall lieber benennen: externer DSB 150-400 € pro Monat ist günstiger als ein 5-stelliges Bußgeld. (3) Formal benennen und bei der Aufsichtsbehörde melden (Online-Portal des Landes). (4) Jährliche DSB-Schulung dokumentieren. (5) Schriftliche Vertretungsregelung für Krankheit/Urlaub aufsetzen.
Tipp 1 — Erstprüfung dokumentieren. Selbst wenn die DSB-Pflicht nicht greift: ein 1-seitiges Memo „Warum kein DSB" mit Datum und unterschrieben ist Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Tipp 2 — Bei Grenzfall lieber benennen. Eine spätere Aufdeckung („Sie hätten benennen müssen") ist teurer als eine vorsorgliche Bestellung. Externe DSB können stundenweise eingekauft werden — der Schritt ist reversibel.
Tipp 3 — Trennung von Rolle und Person. Ein „Datenschutzkoordinator" ohne formale DSB-Funktion ist kein Ersatz und schützt nicht vor Bußgeld. Die formale Benennung muss bei der Aufsichtsbehörde gemeldet werden (Art. 37 Abs. 7 DSGVO).
Tipp 4 — Schulungsnachweise pflegen. Aufsichtsbehörden fragen bei Audits nach DSB-Schulungen. Mindestens jährliche Auffrischung dokumentieren.
Tipp 5 — Vertretungsregelung definieren. Krankheit, Urlaub, Kündigung — der DSB muss erreichbar bleiben oder eine schriftliche Vertretungsregelung haben.
FAQ
Brauche ich einen DSB, wenn ich nur 5 Mitarbeiter habe? Nicht zwingend wegen der Mitarbeiterzahl. Aber: wenn deine Kerntätigkeit besondere Datenkategorien oder Tracking-/Profiling betrifft, ja. Die 20-Personen-Schwelle ist nur einer von vier Auslösern.
Zählen Praktikanten und Werkstudenten zur 20-Personen-Schwelle? Ja, sobald sie ständig automatisiert personenbezogene Daten verarbeiten. Ein Praktikant, der drei Wochen CRM-Daten pflegt, zählt mit.
Kann der Geschäftsführer selbst DSB sein? Nein. Aufsichtsbehörden und Gerichte sehen einen Interessenkonflikt, weil der Geschäftsführer die Verantwortung für die Verarbeitung trägt. Auch IT-Leitung und HR-Leitung sind ausgeschlossen.
Was kostet ein externer DSB für ein 30-Personen-Unternehmen? Marktorientierter Korridor 2026: 200–400 € pro Monat als Grundpauschale, plus Stundensätze (typisch 120–180 €/h) für Sonderprojekte wie DSFA oder Auskunftsanfragen.
Muss ich die Benennung melden? Ja. Art. 37 Abs. 7 DSGVO verpflichtet zur Meldung an die zuständige Aufsichtsbehörde. In Deutschland erfolgt die Meldung online über das Portal der jeweiligen Landesaufsichtsbehörde.
Was passiert ohne DSB, wenn die Pflicht greift? Bußgeld nach Art. 83 Abs. 4 lit. a) DSGVO bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes — der höhere Wert gilt. In der Praxis verhängen deutsche Aufsichtsbehörden bei KMU eher Beträge im vier- bis fünfstelligen Bereich, dazu in der Regel die Auflage zur Nachholung der Benennung.
Reicht es, einen externen DSB nur formal zu nennen, ohne ihn einzubinden? Nein. Art. 38 DSGVO verpflichtet die verantwortliche Stelle, den DSB ordnungsgemäß und frühzeitig in alle Datenschutz-relevanten Fragen einzubinden. Eine reine Pro-forma-Benennung erfüllt die Pflicht nicht.
Diese Einordnung beruht auf den oben genannten Quellen mit Stand 2026-05-16. Eine konkrete Einzelfallprüfung ersetzt sie nicht.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 20. Mai 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
HinSchG für KMU: was ist praktisch zu tun?
Hinweisgeberschutzgesetz für KMU: ab wann Pflicht, welche Meldekanäle, welche Fristen, was passiert bei Verstoß. Mit Quellen und Praxis-FAQ.
ISO-27001-Zertifizierung: was kostet das wirklich?
Personal, Beratung, Audit, Tooling — die ehrlichen Kosten einer ISO-27001-Zertifizierung für KMU mit 50-250 MA. Stand: 2026-05-16.
DSGVO 72h-Meldepflicht: Was genau muss in die Meldung?
DSGVO-Meldepflicht 72h nach Art. 33: Pflichtinhalte, BfDI-Meldewege, Praxis-Template für die erste Meldung. Stand 2026-05-16.