Haftet der Datenschutzbeauftragte, wenn im Unternehmen ein Datenschutzverstoß passiert?

Nein, der Datenschutzbeauftragte haftet grundsätzlich nicht für Datenschutzverstöße im Unternehmen. Verantwortlich im Sinne der DSGVO bleibt immer das Unternehmen selbst, also die Geschäftsführung. Der DSB berät, prüft und warnt – die Entscheidung und damit auch die Haftung für ein DSGVO-Bußgeld liegt beim Verantwortlichen.

Darf der Geschäftsführer oder IT-Leiter gleichzeitig interner Datenschutzbeauftragter sein?

Nein, Geschäftsführer und IT-Leiter dürfen nicht zugleich interner Datenschutzbeauftragter sein. Sie bestimmen über Zweck und Mittel der Datenverarbeitung und würden so ihre eigene Arbeit kontrollieren – ein Interessenkonflikt, den die DSGVO ausschließt. Auch Personalleiter sind aus demselben Grund ungeeignet. Ein externer DSB umgeht dieses Problem vollständig.

Wie oft kommt ein externer Datenschutzbeauftragter ins Unternehmen?

Ein fester Rhythmus ist gesetzlich nicht vorgeschrieben, in der Praxis genügt bei kleineren Betrieben oft ein bis zwei Vor-Ort-Termine pro Jahr plus laufende Erreichbarkeit. Wichtiger als die Anwesenheit ist die Begleitung bei Veränderungen wie neuen Tools oder einem Datenpannen-Fall. Die meiste Arbeit läuft per E-Mail und Telefon.

Muss ich den Datenschutzbeauftragten bei der Aufsichtsbehörde melden?

Ja, sobald eine Bestellpflicht besteht, müssen die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitgeteilt werden. In Baden-Württemberg ist das der Landesbeauftragte für den Datenschutz. Zusätzlich sind die Kontaktdaten in der Datenschutzerklärung zu veröffentlichen, damit betroffene Personen den DSB erreichen können.

Was passiert, wenn ich trotz Pflicht keinen Datenschutzbeauftragten bestelle?

Wer trotz Bestellpflicht keinen Datenschutzbeauftragten benennt, riskiert ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. In der Praxis fallen die Beträge bei kleineren Verstößen niedriger aus, das Risiko bleibt aber erheblich. Ob bei Ihnen überhaupt eine Pflicht besteht, klärt der Ratgeber Datenschutzbeauftragter: ab wann Pflicht.

Aufgaben eines Datenschutzbeauftragten nach DSGVO

„Was machen Sie eigentlich den ganzen Tag?“ Diese Frage höre ich öfter, als man denkt. Viele Geschäftsführer stellen sich unter einem Datenschutzbeauftragten jemanden vor, der einmal im Jahr vorbeikommt, ein Formular abhakt und wieder verschwindet. Andere fürchten das Gegenteil: einen Kontrolleur, der jede E-Mail überprüft und den Betrieb lahmlegt. Beides trifft nicht zu.

Die Aufgaben eines Datenschutzbeauftragten (DSB) sind im Kern gesetzlich festgelegt. Artikel 39 der DSGVO listet sie auf, und jede weitere Tätigkeit lässt sich davon ableiten. In diesem Ratgeber erkläre ich, was zu meiner Arbeit gehört, was ausdrücklich nicht – und warum diese Grenze für Ihre Haftung als Unternehmen entscheidend ist.

Die gesetzlichen Mindestaufgaben nach Art. 39 DSGVO

Der Gesetzgeber hat die Rolle des DSB bewusst klar umrissen. Art. 39 Abs. 1 DSGVO nennt fünf Kernaufgaben, die jeder Datenschutzbeauftragte erfüllen muss – ob intern bestellt oder extern beauftragt. Sie bilden das Gerüst der gesamten Tätigkeit.

Aufgabe nach Art. 39 DSGVO	Was das konkret bedeutet
Unterrichtung und Beratung	Geschäftsführung und Mitarbeiter über ihre Pflichten aus DSGVO und BDSG informieren
Überwachung der Einhaltung	Prüfen, ob das Unternehmen die Datenschutzvorgaben tatsächlich umsetzt
Beratung zur Datenschutz-Folgenabschätzung	Bei risikoreichen Verarbeitungen die DSFA begleiten und prüfen
Zusammenarbeit mit der Aufsichtsbehörde	Als Schnittstelle zur zuständigen Behörde fungieren
Anlaufstelle und Kontaktperson	Für Behörde und betroffene Personen erreichbar sein

Diese fünf Punkte sind das Fundament. Alles, was ich darüber hinaus für meine Mandanten tue – Schulungen, Audits, die Pflege des Verarbeitungsverzeichnisses – ordnet sich diesen gesetzlichen Aufgaben unter.

Unterrichtung und Beratung

Der erste und wichtigste Teil meiner Arbeit ist beraten. Ich informiere die Geschäftsführung und die Beschäftigten darüber, welche Pflichten aus der DSGVO und dem Bundesdatenschutzgesetz folgen. Das geschieht nicht abstrakt, sondern an konkreten Fragen aus dem Betrieb: Dürfen wir diese Bewerberdaten so lange aufbewahren? Brauchen wir für das neue CRM eine Einwilligung? Wie gehen wir mit dem Foto auf der Website um?

Beratung heißt für mich, verständlich zu erklären, statt mit Paragrafen zu beeindrucken. Wer mit mir arbeitet, soll am Ende selbst eine Entscheidung treffen können – und genau das ist juristisch auch so vorgesehen.

Überwachung der Einhaltung

Der zweite Block ist die Überwachung. Ich prüfe, ob das Unternehmen die Datenschutzvorgaben tatsächlich einhält, und decke Lücken auf, bevor sie zum Problem werden. Dazu gehört ein regelmäßiger Blick auf die technischen und organisatorischen Maßnahmen, auf Verträge mit Dienstleistern und auf die internen Prozesse. Ein strukturierter Datenschutz-Audit ist hierfür das geeignete Werkzeug.

Wichtig: Überwachen heißt nicht anordnen. Ich kann Mängel feststellen und ihre Beseitigung empfehlen. Umsetzen muss sie der Verantwortliche – also Sie als Unternehmen.

Was ein Datenschutzbeauftragter ausdrücklich nicht tut

Hier liegt das größte Missverständnis. Der DSB ist nicht für die Einhaltung des Datenschutzes verantwortlich. Verantwortlich im Sinne der DSGVO bleibt immer das Unternehmen – die Geschäftsführung. Ich berate, prüfe und warne. Die Entscheidung und die Haftung liegen bei Ihnen.

Das hat einen guten Grund. Würde der DSB selbst entscheiden, was verarbeitet wird, geriete er in einen Interessenkonflikt: Er würde seine eigene Arbeit kontrollieren. Genau deshalb darf ein DSB keine Aufgaben übernehmen, bei denen er über Zweck und Mittel der Datenverarbeitung bestimmt. Ein IT-Leiter oder Geschäftsführer kann aus diesem Grund nicht gleichzeitig interner Datenschutzbeauftragter sein.

Konkret bedeutet das: Ich schreibe keine Software um, ich erteile keine Weisungen an Ihre Mitarbeiter, und ich unterschreibe keine Verträge für Sie. Ich gebe Ihnen die Grundlage, damit Sie das rechtssicher selbst tun. Wer mehr darüber wissen will, ab wann diese Rolle überhaupt verpflichtend ist, findet das im Ratgeber Datenschutzbeauftragter: ab wann Pflicht.

Beratung zur Datenschutz-Folgenabschätzung

Bei bestimmten Verarbeitungen schreibt die DSGVO eine Datenschutz-Folgenabschätzung vor – etwa bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten oder bei systematischer Überwachung. Meine Aufgabe nach Art. 39 Abs. 1 lit. c DSGVO ist es, hier zu beraten und den Prozess zu begleiten.

Ich prüfe, ob eine DSFA überhaupt nötig ist, welche Risiken bestehen und ob die geplanten Schutzmaßnahmen ausreichen. Die DSFA selbst durchführen muss der Verantwortliche – aber ohne fachliche Begleitung wird sie selten belastbar. Details zum Ablauf habe ich im Ratgeber Datenschutz-Folgenabschätzung zusammengetragen.

Zusammenarbeit mit der Aufsichtsbehörde

Ich bin die Schnittstelle zur zuständigen Aufsichtsbehörde – in Baden-Württemberg also zum Landesbeauftragten für den Datenschutz. Kommt es zu einer Beschwerde, einer Prüfung oder einer Rückfrage, läuft die Kommunikation über mich. Das nimmt Druck von der Geschäftsführung und sorgt dafür, dass mit der Behörde sachlich und auf Augenhöhe gesprochen wird.

Besonders relevant wird das bei einer Datenpanne. Hier gilt eine 72-Stunden-Meldefrist, und in dieser Situation ist es Gold wert, einen Ansprechpartner zu haben, der den Vorgang einordnet und die Meldung sauber aufsetzt. Wie das abläuft, beschreibe ich im Ratgeber Datenpanne melden.

Anlaufstelle für Betroffene und Betroffenenanfragen

Jede Person hat das Recht zu erfahren, welche Daten ein Unternehmen über sie speichert. Diese Betroffenenrechte – Auskunft, Berichtigung, Löschung – führen in der Praxis zu Anfragen, die fristgerecht und korrekt beantwortet werden müssen. Als DSB bin ich die Kontaktstelle für betroffene Personen und unterstütze das Unternehmen dabei, solche Anfragen richtig zu bearbeiten.

Eine falsch beantwortete Auskunft oder eine versäumte Frist kann teuer werden – mehr dazu im Ratgeber DSGVO-Bußgeld. In der Praxis kläre ich vorab mit meinen Mandanten einen Standardprozess: Wer nimmt die Anfrage an, wie wird die Identität geprüft, welche Fristen laufen. Das verhindert hektische Einzelfallentscheidungen.

Schulungen, Audits und der laufende Betrieb

Die gesetzlichen Aufgaben lassen sich nur erfüllen, wenn das Wissen im Unternehmen ankommt. Deshalb gehören Datenschutz-Schulungen für mich zum festen Repertoire. Ein gut geschultes Team macht weniger Fehler als jede nachträgliche Kontrolle ausgleichen könnte.

Dazu kommt die laufende Pflege der Dokumentation. Das Verzeichnis von Verarbeitungstätigkeiten muss aktuell bleiben, Verträge zur Auftragsverarbeitung wollen geprüft sein, und neue Tools – gerade im Bereich KI und Datenschutz – werfen ständig neue Fragen auf. Diese kontinuierliche Begleitung unterscheidet einen aktiven DSB von einem, der nur auf dem Papier existiert.

Überwachung im laufenden Betrieb

Überwachung ist kein Einmalereignis. Ich begleite Veränderungen: ein neues Bewerbermanagement, der Wechsel des Cloud-Anbieters, eine Marketingkampagne mit Newsletter. Jede dieser Entscheidungen berührt den Datenschutz, und mein Job ist es, rechtzeitig auf Risiken hinzuweisen – nicht erst, wenn das Kind in den Brunnen gefallen ist.

Pflege des Verarbeitungsverzeichnisses

Das Herzstück der Dokumentation ist das Verzeichnis von Verarbeitungstätigkeiten. Es beschreibt, welche personenbezogenen Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet werden, wie lange sie gespeichert bleiben und wer Zugriff hat. Dieses Verzeichnis ist nicht nur eine lästige Pflicht, sondern die Landkarte, ohne die jede Datenschutzarbeit im Blindflug stattfindet.

Ich halte es aktuell, prüfe bei jedem neuen Tool, ob ein Eintrag fehlt, und sorge dafür, dass die Angaben mit der Realität übereinstimmen. Wer den Aufbau eines solchen Verzeichnisses einmal sauber angeht, spart bei jeder späteren Prüfung Zeit. Wie man dabei vorgeht, beschreibe ich im Ratgeber Datenschutzkonzept.

Umgang mit Datenpannen im Alltag

Eine Datenpanne ist selten der große Hackerangriff. Viel häufiger ist es die E-Mail mit offenem Verteiler statt BCC, der verlorene USB-Stick oder der Brief an den falschen Empfänger. In all diesen Fällen muss schnell bewertet werden, ob eine Meldepflicht besteht. Genau dafür bin ich da: Ich nehme den Vorfall auf, schätze das Risiko für die betroffenen Personen ein und entscheide gemeinsam mit der Geschäftsführung über die nächsten Schritte.

Wichtig ist, dass dieser Prozess vorab definiert ist. Wer im Ernstfall erst überlegt, wen er anrufen soll, verliert wertvolle Zeit innerhalb der 72-Stunden-Frist. Ich richte mit meinen Mandanten deshalb einen klaren Meldeweg ein – inklusive einer kurzen internen Anleitung, die jeder Mitarbeiter versteht.

Der jährliche Tätigkeitsbericht

Einmal im Jahr fasse ich zusammen, was im Datenschutz passiert ist: welche Themen anstanden, welche Risiken bestehen, was umgesetzt wurde und was offen bleibt. Dieser Tätigkeitsbericht ist gesetzlich nicht zwingend in dieser Form vorgeschrieben, aber er ist gelebte Praxis und ein zentraler Bestandteil eines funktionierenden DSGVO-Managements.

Für die Geschäftsführung ist der Bericht doppelt wertvoll. Er dokumentiert, dass das Unternehmen seine Pflichten ernst nimmt – ein wichtiger Baustein der Rechenschaftspflicht. Und er gibt eine klare Liste, woran im kommenden Jahr gearbeitet werden sollte. So wird Datenschutz planbar statt reaktiv.

Intern oder extern – ein kurzer Vergleich

Die Aufgaben sind in beiden Fällen identisch. Der Unterschied liegt in Unabhängigkeit, Fachwissen und Kosten. Ein interner DSB kennt den Betrieb, braucht aber Zeit, Schulung und Vertretung – und darf keine Funktion ausüben, die ihn in einen Interessenkonflikt bringt. Ein externer Datenschutzbeauftragter bringt das Fachwissen mit, steht außerhalb der internen Hierarchie und ist immer erreichbar.

Welche Variante günstiger ist, hängt vom Einzelfall ab. Eine ehrliche Gegenüberstellung der Preise habe ich im Ratgeber externer Datenschutzbeauftragter: Kosten aufgeschrieben. Für viele kleinere und mittlere Unternehmen rechnet sich die externe Lösung schlicht, weil kein eigenes Personal gebunden und keine Software angeschafft werden muss.

Gerade in spezialisierten Branchen ist das relevant. Ein Verein hat selten jemanden im Team, der sich hauptberuflich mit Datenschutz auskennt. Eine Arztpraxis wiederum verarbeitet so sensible Daten, dass Halbwissen riskant wäre. In beiden Fällen ist ein externer DSB die naheliegende Lösung – er bringt das Fachwissen mit, ohne dass intern jemand dafür freigestellt werden muss.

Unabhängigkeit als Vorteil

Ein Punkt, der oft unterschätzt wird: Ein externer DSB steht außerhalb der betrieblichen Politik. Er muss keine Rücksicht auf Vorgesetzte oder Kollegen nehmen und kann Missstände klar benennen. Diese Unabhängigkeit ist kein Beiwerk, sondern eine gesetzliche Anforderung – und sie sorgt dafür, dass die Beratung ehrlich bleibt, auch wenn die Wahrheit unbequem ist. Eine Übersicht über alle Leistungen rund um den Datenschutz finden Sie unter Leistungen.

Wenn Sie unsicher sind, welche Aufgaben in Ihrem Unternehmen tatsächlich anfallen und wie viel Aufwand realistisch dahintersteckt, klären wir das am besten in einem kurzen, kostenlosen Erstgespräch. Ich schaue mir Ihre Ausgangslage an und sage Ihnen ehrlich, was nötig ist und was nicht. Schreiben Sie mir über das Kontaktformular oder informieren Sie sich über meine Datenschutzberatung – ganz ohne Verpflichtung.