Jetzt anfragen
DSB

Datenschutzbeauftragter: Ab wann ist er Pflicht?

Ab wann braucht ein Unternehmen einen Datenschutzbeauftragten? Die 20-Personen-Grenze, Sonderfälle und was bei Verstößen droht – verständlich erklärt.

Thomas Kowoll Von Thomas Kowoll · 12. Mai 2026
Datenschutzbeauftragter prüft die Bestellpflicht eines Unternehmens

Die Frage taucht in fast jedem Erstgespräch auf: „Brauche ich überhaupt einen Datenschutzbeauftragten?“ Die ehrliche Antwort lautet: Es kommt darauf an – aber nicht so kompliziert, wie viele befürchten. Die Pflicht zur Benennung folgt klaren Kriterien. Wer sie kennt, weiß schnell, ob er einen bestellen muss und welches Risiko er eingeht, wenn er es versäumt.

Dieser Ratgeber erklärt, ab wann ein Datenschutzbeauftragter (DSB) Pflicht ist, welche Sonderfälle die bekannte 20-Personen-Grenze aushebeln und warum die Benennungspflicht nicht mit der DSGVO-Pflicht zu verwechseln ist. Denn das ist der häufigste Irrtum überhaupt.

Benennungspflicht ist nicht gleich DSGVO-Pflicht

Bevor es um Schwellenwerte geht, ein entscheidender Punkt: Die Pflicht, einen Datenschutzbeauftragten zu benennen, ist etwas völlig anderes als die Pflicht, die DSGVO einzuhalten. Die Datenschutz-Grundverordnung gilt für jeden, der personenbezogene Daten verarbeitet – vom Ein-Personen-Betrieb über den Verein bis zum Konzern. Ob Sie eine Kundenliste führen, einen Newsletter versenden oder Bewerbungen entgegennehmen: Sie verarbeiten personenbezogene Daten und müssen die DSGVO beachten.

Ein Datenschutzbeauftragter ist dagegen eine zusätzliche Rolle, die nur ein Teil der Verantwortlichen besetzen muss. Wer keinen DSB benennen muss, ist also keineswegs „vom Datenschutz befreit“ – er muss lediglich keine eigene Aufsichtsperson dafür bestellen. Diese Unterscheidung ist wichtig, weil viele kleinere Betriebe und Vereine fälschlich glauben, ohne DSB-Pflicht müssten sie sich um Datenschutz gar nicht kümmern. Das Gegenteil ist der Fall.

Die 20-Personen-Grenze im deutschen Recht

In Deutschland regelt § 38 BDSG den häufigsten Fall: Ein Unternehmen muss einen Datenschutzbeauftragten benennen, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Zahl wird oft falsch verstanden, deshalb im Detail:

  • „Personen“, nicht „Mitarbeiter im Vollzeitäquivalent“: Gezählt wird jeder Kopf, der regelmäßig mit der Datenverarbeitung am Computer zu tun hat – auch Teilzeitkräfte, Minijobber, Auszubildende und tätige Gesellschafter oder Geschäftsführer.
  • „Automatisierte Verarbeitung“: Gemeint ist die Verarbeitung mit IT – also alle, die am PC E-Mails schreiben, ins CRM tippen, Rechnungen erstellen oder Tabellen pflegen. Wer ausschließlich körperlich arbeitet und nie Daten am Rechner verarbeitet, zählt nicht mit.
  • „In der Regel ständig“: Es geht um die dauerhafte, nicht die einmalige Beschäftigung. Eine Aushilfe für ein Wochenende verschiebt die Schwelle nicht.

Die folgende Tabelle zeigt, wie unterschiedlich die Schwelle in der Praxis greift:

BetriebPersonen an der DatenverarbeitungDSB-Pflicht nach 20er-Grenze?
Handwerksbetrieb, 8 Personen, davon 3 im Büro3Nein
Steuerkanzlei, 14 Personen, alle am PC14Nein (aber Sonderfälle prüfen)
Online-Händler, 22 Personen, alle mit IT22Ja
Verein, 5 ehrenamtliche Vorständeunter 20Nein
Pflegedienst, 25 Personen mit Patientendaten25Ja

Wichtig: Die 20er-Grenze ist nur der häufigste Auslöser. Es gibt Konstellationen, in denen die Pflicht unabhängig von der Personenzahl greift – auch beim Drei-Personen-Betrieb.

Die Sonderfälle: DSB-Pflicht trotz weniger als 20 Personen

Unabhängig von der Mitarbeiterzahl muss ein Datenschutzbeauftragter benannt werden, wenn einer der folgenden Fälle vorliegt (Art. 37 DSGVO und § 38 BDSG):

Umfangreiche Verarbeitung besonderer Datenkategorien

Wer in großem Umfang besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet – etwa Gesundheitsdaten, Daten zur ethnischen Herkunft, religiösen Überzeugung oder Gewerkschaftszugehörigkeit –, muss einen DSB benennen, selbst wenn nur eine Handvoll Personen im Betrieb arbeiten. Das betrifft typischerweise Arztpraxen, Pflegedienste, psychotherapeutische Praxen und Labore. Eine Praxis mit fünf Beschäftigten kann also DSB-pflichtig sein, während der Handwerksbetrieb nebenan mit 18 Leuten es nicht ist.

Erforderliche Datenschutz-Folgenabschätzung

Ist für eine Verarbeitung eine Datenschutz-Folgenabschätzung erforderlich – weil sie voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt –, spricht das ebenfalls für eine Benennungspflicht. Das kann etwa bei umfangreichem Tracking, Profiling oder dem Einsatz neuer Technologien der Fall sein.

Kerntätigkeit ist die Überwachung von Personen

Besteht die Kerntätigkeit aus der umfangreichen, regelmäßigen und systematischen Überwachung von Personen – etwa bei Detekteien, Sicherheitsdiensten mit Videoüberwachung oder bestimmten Tracking-Geschäftsmodellen –, ist ein DSB Pflicht.

Intern oder extern – wer darf Datenschutzbeauftragter sein?

Steht fest, dass ein DSB benannt werden muss, folgt die nächste Frage: interne Person oder externer Dienstleister? Beides ist erlaubt. Entscheidend ist die nötige Fachkunde und die Unabhängigkeit. Ein interner DSB darf keine Aufgaben wahrnehmen, bei denen er sich selbst kontrollieren müsste – Geschäftsführer, IT-Leiter oder Personalleiter scheiden als interne DSB deshalb in der Regel aus, weil hier ein Interessenkonflikt entsteht.

Für viele kleine und mittlere Unternehmen ist ein externer Datenschutzbeauftragter die pragmatischere Wahl: Es entstehen keine Schulungs- und Vertretungskosten, die Fachkunde ist von Tag eins vorhanden und der Interessenkonflikt ist ausgeschlossen. Was das kostet, lesen Sie im Ratgeber Externer Datenschutzbeauftragter: Kosten. Welche Aufgaben ein DSB übernimmt, erkläre ich in einem eigenen Beitrag.

Was passiert, wenn man die Benennung versäumt?

Die Benennungspflicht ist kein unverbindlicher Vorschlag. Wer trotz Pflicht keinen Datenschutzbeauftragten benennt, begeht eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden kann. In der Praxis fallen die Bußgelder gegen KMU deutlich niedriger aus, aber sie sind real – und sie kommen selten allein, weil eine fehlende DSB-Benennung meist nur das erste sichtbare Symptom eines insgesamt vernachlässigten Datenschutzes ist.

Hinzu kommt: Sobald ein DSB benannt ist, müssen seine Kontaktdaten der zuständigen Aufsichtsbehörde gemeldet und in der Datenschutzerklärung veröffentlicht werden. Wer das versäumt, riskiert auch hier ein Bußgeld.

Im Zweifel: Status sauber klären lassen

Die Kriterien klingen eindeutig, doch in der Praxis liegen viele Betriebe im Graubereich: Zählt der Lagerist mit, der zweimal täglich Lieferscheine im System abhakt? Ist die Verarbeitung von Gesundheitsdaten beim Betriebsarzt schon „umfangreich“? Solche Fragen entscheiden über die Pflicht – und über das Bußgeldrisiko.

Genau hier setze ich an. In einem kostenlosen Erstgespräch klären wir, ob Sie einen Datenschutzbeauftragten benennen müssen, und wenn ja, wie Sie das ohne internen Aufwand lösen. Sind Sie nicht pflichtig, sagen ich Ihnen das ehrlich – und zeige, welche DSGVO-Pflichten trotzdem für Sie gelten. So zahlen Sie nicht für eine Rolle, die Sie nicht brauchen, übersehen aber auch keine, die Sie schützt.

FAQ

Häufige Fragen zu diesem Thema

Zählen Teilzeitkräfte und Minijobber bei der 20-Personen-Grenze mit?
Ja, bei der 20-Personen-Grenze nach § 38 BDSG zählt jeder Kopf, der regelmäßig personenbezogene Daten am Computer verarbeitet – unabhängig vom Stundenumfang. Teilzeitkräfte, Minijobber, Auszubildende sowie tätige Gesellschafter und Geschäftsführer werden voll mitgezählt. Es geht um Personen, nicht um Vollzeitäquivalente. Wer nie am Rechner Daten verarbeitet, zählt dagegen nicht mit.
Braucht eine Arztpraxis mit nur fünf Mitarbeitern einen Datenschutzbeauftragten?
Ja, eine Arztpraxis ist in der Regel auch unter 20 Personen DSB-pflichtig, weil sie umfangreich Gesundheitsdaten – also besondere Kategorien nach Art. 9 DSGVO – verarbeitet. Die 20-Personen-Grenze wird hier durch den Sonderfall ausgehebelt. Details zur Konstellation finden Sie unter Datenschutzbeauftragter Arztpraxis. Auch Pflegedienste und Labore fallen typischerweise darunter.
Was kostet es, wenn ich die Benennung eines Datenschutzbeauftragten versäume?
Wer trotz Pflicht keinen Datenschutzbeauftragten benennt, riskiert ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. In der Praxis fallen die Bußgelder gegen KMU deutlich niedriger aus, kommen aber selten allein, weil eine fehlende Benennung meist auf weitere Datenschutzmängel hindeutet, die die Aufsichtsbehörde mitprüft.
Darf der Geschäftsführer selbst der interne Datenschutzbeauftragte sein?
Nein, der Geschäftsführer darf in der Regel nicht selbst interner Datenschutzbeauftragter sein, weil ein Interessenkonflikt entsteht – er müsste sich selbst kontrollieren. Das Gleiche gilt für IT-Leiter und Personalleiter. Erlaubt sind eine unabhängige interne Person mit Fachkunde oder ein externer Datenschutzbeauftragter, der diesen Konflikt von vornherein ausschließt.
Muss ich die DSGVO einhalten, wenn ich keinen Datenschutzbeauftragten benennen muss?
Ja, die DSGVO gilt unabhängig von der DSB-Pflicht für jeden, der personenbezogene Daten verarbeitet – vom Ein-Personen-Betrieb bis zum Verein. Keinen Datenschutzbeauftragten benennen zu müssen bedeutet nicht, vom Datenschutz befreit zu sein. Pflichten wie Auskunft, Löschung, technische Maßnahmen und Datenschutzerklärung gelten weiter; lediglich die zusätzliche Aufsichtsrolle entfällt.

Weitere Artikel

KI

ChatGPT im Unternehmen: Was der Datenschutz verlangt

ChatGPT datenschutzkonform im Unternehmen nutzen: Welche Daten in den Prompt dürfen, welche Version Sie brauchen und warum eine KI-Richtlinie unverzichtbar ist.

 DSB

Externer Datenschutzbeauftragter: Kosten im Überblick

Was kostet ein externer Datenschutzbeauftragter? Ehrliche Einordnung der Preismodelle, Kostentreiber und der Vergleich extern gegen intern – ohne Fantasiepreise.

 DSB

Aufgaben eines Datenschutzbeauftragten nach DSGVO

Welche Aufgaben hat ein Datenschutzbeauftragter? Die gesetzlichen Pflichten nach Art. 39 DSGVO, was ein DSB nicht tut und der Unterschied intern und extern.

Datenschutz, der zu Ihrem Betrieb passt?

Verständlich erklärt ist die halbe Miete – umgesetzt wird der Rest. Ich unterstütze Sie als externer Datenschutzbeauftragter.

Kostenloses Erstgespräch
Anrufen E-Mail Anfrage Erstgespräch anfragen