Datenschutz HubEinzelthemenDatenschutzbeauftragter

Benennung des Datenschutzbeauftragten

Wann ein Datenschutzbeauftragter zu benennen ist: Pflicht nach Art. 37 Abs. 1 DSGVO und nach § 38 BDSG, freiwillige Benennung, Qualifikation, Modalitäten, Erlaubnispflicht externer Datenschutzbeauftragter nach dem RDG, Beendigung sowie Gestaltungshinweise und Checkliste für den Vertrag.

Die DSGVO kennt keine allgemeine Pflicht, einen Datenschutzbeauftragten zu benennen. Ob eine Benennung erforderlich ist, richtet sich nach Art. 37 Abs. 1 DSGVO und, ergänzend für Deutschland, nach § 38 BDSG. Daneben steht es jedem Verantwortlichen und Auftragsverarbeiter frei, freiwillig einen Datenschutzbeauftragten zu benennen.

Das Wichtigste in Kürze

  • Eine Benennungspflicht besteht nur, wenn ein Tatbestand des Art. 37 Abs. 1 DSGVO oder des § 38 BDSG erfüllt ist; beide gelten nebeneinander.
  • Für nicht-öffentliche Stellen greift die Pflicht vor allem über § 38 Abs. 1 BDSG: ab in der Regel 20 Personen, die ständig automatisiert Daten verarbeiten, sowie bei Verarbeitungen mit Pflicht zur Datenschutz-Folgenabschätzung oder bei geschäftsmäßiger Verarbeitung zur Übermittlung oder für Markt- und Meinungsforschung.
  • Der Datenschutzbeauftragte wird nach Fachwissen, Eignung und Zuverlässigkeit benannt (Art. 37 Abs. 5 DSGVO); ein starres Anforderungsprofil gibt es nicht.
  • Die Benennung kann intern (Beschäftigter) oder extern (Dienstvertrag) erfolgen; die Kontaktdaten sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen, der Name aber nicht.
  • Beim externen Datenschutzbeauftragten sind die gesetzliche Benennung und der zugrunde liegende Dienstvertrag zu trennen (Trennungsprinzip); die Tätigkeit kann eine Erlaubnis nach dem RDG erfordern.

1. Überblick

1.1 Drei Wege zur Benennung

Die DSGVO unterscheidet drei Konstellationen, in denen ein Datenschutzbeauftragter benannt wird:

  • die unionsweit verpflichtende Benennung in den Fällen des Art. 37 Abs. 1 lit. a bis c DSGVO,
  • die nach mitgliedstaatlichem Recht verpflichtende Benennung über die Öffnungsklausel des Art. 37 Abs. 4 S. 1 Hs. 2 DSGVO, in Deutschland durch § 38 BDSG ausgefüllt,
  • die freiwillige Benennung nach Art. 37 Abs. 4 S. 1 Hs. 1 DSGVO.

Für Stellung und Aufgaben des Datenschutzbeauftragten ist es ohne Bedeutung, auf welchem dieser Wege die Benennung erfolgt. Entscheidend ist allein, dass benannt wurde: Ab der Benennung gelten einheitlich die Regeln der Art. 38 und 39 DSGVO. Von „drei Formen" des Datenschutzbeauftragten zu sprechen, ist deshalb missverständlich.

1.2 Rechtsfolge und Prüfungsreihenfolge

Liegt ein Pflichttatbestand vor und wird kein Datenschutzbeauftragter benannt, ist das bußgeldbewehrt (dazu Abschnitt 9). Die Prüfung verläuft zweistufig: Zuerst ist zu klären, ob nach Art. 37 Abs. 1 DSGVO eine unionsweite Pflicht besteht; greift diese nicht, ist die nationale Schwelle des § 38 BDSG zu prüfen. Erst wenn beide verneint werden, bleibt es bei der bloßen Möglichkeit einer freiwilligen Benennung.

2. Pflicht nach Unionsrecht (Art. 37 Abs. 1 DSGVO)

Eine unionsrechtliche Benennungspflicht besteht nur unter den engen Voraussetzungen des Art. 37 Abs. 1 DSGVO. Die Vorschrift nennt drei Fallgruppen.

2.1 Behörden und öffentliche Stellen (lit. a)

Behörden und öffentliche Stellen müssen stets einen Datenschutzbeauftragten benennen, ausgenommen Gerichte im Rahmen ihrer justiziellen Tätigkeit. Den Begriff der Behörde oder öffentlichen Stelle definiert die DSGVO nicht; er bestimmt sich nach nationalem Recht und umfasst neben staatlichen Stellen auch sonstige dem öffentlichen Recht unterliegende Einrichtungen (WP29-Leitlinien zu Datenschutzbeauftragten, WP 243 rev.01).

Für den nicht-öffentlichen Bereich, auf den dieser Hub ausgerichtet ist, hat diese Fallgruppe in der Regel keine Bedeutung; maßgeblich sind dort lit. b und c sowie § 38 BDSG. Eine Ausnahme bilden private Stellen, die öffentliche Aufgaben wahrnehmen oder öffentliche Gewalt ausüben, etwa im öffentlichen Personennahverkehr, in der Wasser- und Energieversorgung, im öffentlich-rechtlichen Rundfunk oder im sozialen Wohnungsbau. Für sie besteht zwar keine Pflicht nach lit. a, die Benennung eines Datenschutzbeauftragten ist aber als bewährtes Verfahren zu empfehlen, weil sich die Betroffenen in einer den öffentlichen Stellen vergleichbaren Lage befinden (WP 243 rev.01).

2.2 Umfangreiche Überwachung als Kerntätigkeit (lit. b)

Nach Art. 37 Abs. 1 lit. b DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in Verarbeitungen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen erfordern.

Kerntätigkeit. Erfasst ist nur die Haupttätigkeit, nicht eine bloße Hilfs- oder Nebentätigkeit (Erwägungsgrund 97 DSGVO). Maßgeblich ist, ob die Datenverarbeitung untrennbarer Bestandteil des eigentlichen Geschäftszwecks ist oder ob sie eine diesem völlig untergeordnete Unterstützungsaufgabe darstellt, etwa die allgemeine IT-Administration oder die Gehaltsabrechnung (WP29-Leitlinien zu Datenschutzbeauftragten, WP 243 rev.01). So ist die medizinische Versorgung ohne die Verarbeitung von Patientendaten nicht möglich, weshalb diese Verarbeitung zur Kerntätigkeit eines Krankenhauses zählt; ebenso ist die Überwachung die Kerntätigkeit eines Bewachungsunternehmens. Kerntätigkeit und Umfang stehen dabei in Wechselwirkung: Eine an sich nur unterstützende Tätigkeit, etwa die Auswertung von Kundendaten, kann durch ihren schieren Umfang zur Kerntätigkeit werden. Musterbeispiele sind Auskunfteien, Detekteien, Bewachungsunternehmen, Personal- und Partnervermittlungen sowie auf Profilbildung gestützte Online-Werbevermarkter.

Personaldatenverarbeitung. Die Verarbeitung von Beschäftigtendaten ist nicht schon deshalb Kerntätigkeit, weil jedes Unternehmen Personaldaten verarbeitet; sonst wäre nahezu jeder Arbeitgeber verpflichtet. Regelmäßig handelt es sich um einen bloßen Unterstützungsprozess. Erst ein erheblicher Umfang, etwa eine eigene Personalabteilung, in der zahlreiche Beschäftigte einen wesentlichen Teil ihrer Arbeitszeit auf die Personaldatenverarbeitung verwenden, kann die Schwelle zur Kerntätigkeit überschreiten. Die bloße Entgeltabrechnung und Personalverwaltung für rund 80 Beschäftigte genügt dafür nicht (LAG Hamm, Urt. v. 06.10.2022, 18 Sa 271/22).

Umfangreich, regelmäßig, systematisch. Keines der drei Merkmale ist durch eine feste Zahl bestimmt. Umfangreich beurteilt sich nach Zahl der betroffenen Personen, Menge und Bandbreite der Daten, Dauer der Verarbeitung und ihrer geografischen Ausdehnung (Erwägungsgrund 91 DSGVO). Regelmäßig meint eine fortlaufende oder in bestimmten Abständen wiederkehrende Beobachtung. Systematisch ist eine Beobachtung, die nach einem System, einem Datenerfassungsplan oder einer Strategie erfolgt; die Überwachung ist dabei nicht auf das Internet beschränkt, auch wenn Verfolgung und Profilbildung im Netz typische Anwendungsfälle sind (WP29-Leitlinien zu Datenschutzbeauftragten, WP 243 rev.01).

Typische Fälle einer umfangreichen, regelmäßigen und systematischen Überwachung sind:

  • Profiling und Scoring,
  • großflächige Videoüberwachung, etwa in Einkaufszentren,
  • dauerhafte Überwachung von Beschäftigten durch Video oder elektronische Leistungskontrolle,
  • Flottenmanagement mit GPS-Ortung,
  • Verarbeitung von Standort- und Bewegungsdaten über Apps,
  • individualisiertes, verhaltensbasiertes Marketing und Treueprogramme,
  • vernetzte Geräte und Wearables, die laufend Nutzungsdaten erheben.

2.3 Umfangreiche Verarbeitung sensibler Daten (lit. c)

Nach Art. 37 Abs. 1 lit. c DSGVO besteht die Pflicht, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO liegt. Es genügt, dass entweder Art. 9 oder Art. 10 betroffen ist.

Auch hier kommt es auf Kerntätigkeit und Umfang an. Bei Ärzten liegt die Kerntätigkeit in der Verarbeitung von Gesundheitsdaten, weil die medizinische Versorgung ohne sie nicht möglich ist; entscheidend ist deshalb der Umfang. Nach Erwägungsgrund 91 DSGVO gilt die Verarbeitung durch einen einzelnen Arzt nicht als umfangreich, sodass Einzelpraxen nicht allein wegen lit. c verpflichtet sind; Gleiches gilt für einen einzelnen Rechtsanwalt, der Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet (WP29-Leitlinien zu Datenschutzbeauftragten, WP 243 rev.01). Demgegenüber müssen größere Arztpraxen und medizinische Labore, Krankenhäuser, Krankenversicherungen sowie Beratungsstellen mit sensibler Ausrichtung einen Datenschutzbeauftragten benennen.

Die bloße Personalverwaltung, die zu Abrechnungszwecken vereinzelt Religionszugehörigkeit oder Arbeitsunfähigkeit erfasst, ist keine umfangreiche Verarbeitung sensibler Daten und löst die Pflicht nach lit. c nicht aus.

2.4 Auftragsverarbeiter

Die Fallgruppen lit. b und c gelten gleichermaßen für Verantwortliche und Auftragsverarbeiter. Ein Auftragsverarbeiter ist allerdings nur dann verpflichtet, wenn er die beschriebene Kerntätigkeit selbst ausführt, nicht schon, wenn er lediglich technische Rahmenbedingungen wie Cloud-Dienste bereitstellt. Eine eigene Pflicht des Auftragsverarbeiters kann auch dann bestehen, wenn der Verantwortliche selbst nicht verpflichtet ist, etwa bei einem Dienstleister, der für viele Kleinunternehmen umfangreiches Tracking betreibt. Umgekehrt muss ein Einzelarzt nicht schon deshalb benennen, weil ein von ihm eingeschalteter Dienstleister Gesundheitsdaten verarbeitet.

3. Pflicht nach nationalem Recht (§ 38 BDSG)

Der deutsche Gesetzgeber hat die Öffnungsklausel des Art. 37 Abs. 4 S. 1 Hs. 2 DSGVO genutzt und in § 38 BDSG zwei weitere Pflichttatbestände geschaffen. Sie greifen unabhängig davon, ob bereits Art. 37 Abs. 1 DSGVO einschlägig ist.

3.1 Schwelle von 20 Personen

Nach § 38 Abs. 1 S. 1 BDSG ist ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (bis zum 20.11.2019 lag die Grenze bei zehn Personen). Erfasst ist jede Person, die regelmäßig mit automatisierter Verarbeitung befasst ist, unabhängig von Anstellungsform und Umfang der Tätigkeit.

3.2 Risikoabhängige Tatbestände

Unabhängig von der Personenzahl ist nach § 38 Abs. 1 S. 2 BDSG zu benennen, wenn der Verantwortliche oder Auftragsverarbeiter

  • Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Auch wenn § 38 BDSG nationales Recht ist, sind die verwendeten Begriffe im Einklang mit der DSGVO einheitlich auszulegen. Eine vom Unionsrecht abweichende „Parallel-Auslegung" derselben Begriffe widerspräche dem Ziel eines einheitlichen Datenschutzrechts und der Rechtssicherheit.

4. Freiwillige Benennung

Verantwortliche und Auftragsverarbeiter können nach Art. 37 Abs. 4 S. 1 Hs. 1 DSGVO jederzeit freiwillig einen Datenschutzbeauftragten benennen. Für den freiwillig benannten Datenschutzbeauftragten gelten dieselben Regeln der Art. 38 und 39 DSGVO wie für den pflichtgemäß benannten. Der besondere Kündigungsschutz nach § 6 Abs. 4 BDSG muss allerdings nicht in gleichem Maße ausgestaltet sein wie bei einer Pflichtbenennung.

Die Benennung bringt keine unmittelbaren rechtlichen Vorteile; insbesondere entfällt dadurch keine Pflicht, denn sämtliche Pflichten des Verantwortlichen und des Auftragsverarbeiters bestehen unabhängig von der Benennung. Eine freiwillige Benennung kann jedoch bei der Bemessung einer Geldbuße mildernd berücksichtigt werden (Art. 83 Abs. 2 lit. k DSGVO).

Abgrenzung zum Chief Data Officer. Wer Mitarbeiter oder externe Dritte mit Datenschutzaufgaben betraut, muss klarstellen, ob er sie als Datenschutzbeauftragten oder in anderer Funktion einsetzt. Für den Datenschutzbeauftragten sind Stellung, Pflichten und Aufgaben durch Art. 38 und 39 DSGVO zwingend festgelegt und nicht frei gestaltbar. Ein Chief Data Officer kann operative Umsetzungsaufgaben übernehmen, die mit der Rolle des Datenschutzbeauftragten gerade unvereinbar wären.

5. Qualifikation, Zuverlässigkeit und Person

5.1 Anforderungsprofil

Der Datenschutzbeauftragte wird nach Art. 37 Abs. 5 DSGVO auf der Grundlage seiner beruflichen Qualifikation benannt, insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit, die Aufgaben nach Art. 39 DSGVO zu erfüllen. Ein abstrakt festgelegtes Anforderungsprofil gibt es nicht: Je größer der Umfang der Datenverarbeitung und je höher Risiko und Schutzbedarf sind, desto höhere Anforderungen sind an das Fachwissen zu stellen.

Das Fachwissen muss sich auf das Datenschutzrecht und auf die Datenschutzpraxis beziehen. Kenntnisse der DSGVO und des BDSG sind stets erforderlich; je nach Tätigkeit treten weitere Rechtsgebiete hinzu. Sinnvoll sind zudem technisches Verständnis, um Risiken aus IT-Systemen zu erkennen, sowie betriebswirtschaftliche und organisatorische Grundkenntnisse. Neben der Qualifikation ist die Zuverlässigkeit eine ungeschriebene, aber dem Art. 37 Abs. 5 DSGVO immanente Voraussetzung.

Der Datenschutzbeauftragte muss nicht in jedem Teilbereich über eigene Spezialkenntnisse verfügen; er darf auf fachkundige Mitarbeiter und auf externen Rat zurückgreifen. Nicht auslagerungsfähig ist allerdings eine Grundkompetenz, die ihn in die Lage versetzt, das Gesamtbild selbst zu beurteilen. Dazu gehören Grundkenntnisse aller für seinen Zuständigkeitsbereich einschlägigen Rechtsordnungen und der dort gesprochenen Sprachen, soweit die benennende Stelle in mehreren Staaten tätig ist.

5.2 Zeitpunkt der Qualifikation

Die Benennungspflicht gilt sofort. Der Datenschutzbeauftragte muss die volle Qualifikation nicht zwingend bereits im Zeitpunkt der Benennung besitzen; ausreichend kann sein, dass er die Bereitschaft und Fähigkeit hat, sich das erforderliche Fachwissen kurzfristig anzueignen. Maßstab ist der risikobasierte Ansatz des Art. 39 Abs. 2 DSGVO. Das Fachwissen ist fortlaufend zu erhalten; der Verantwortliche muss dem internen Datenschutzbeauftragten dafür Fort- und Weiterbildung auf eigene Kosten ermöglichen (Art. 38 Abs. 2 DSGVO).

5.3 Juristische Person als Datenschutzbeauftragter

Die DSGVO regelt nicht ausdrücklich, ob auch eine juristische Person zum Datenschutzbeauftragten benannt werden kann. Da die Verordnung dies weder fordert noch ausschließt, ist von der Zulässigkeit auszugehen; das geforderte Anforderungsprofil lässt sich durch arbeitsteilige Wahrnehmung in einem Unternehmen häufig sogar besser erfüllen. Auch der Europäische Datenschutzausschuss hält die Benennung einer juristischen Person für möglich. In der Praxis besteht ohnehin kaum ein Unterschied, weil der zugrunde liegende Dienstvertrag jedenfalls mit einer juristischen Person geschlossen werden kann.

6. Modalitäten der Benennung

6.1 Form, Zeitpunkt und Inhalt der Benennung

Die Benennung hat unmittelbar zu erfolgen; eine Übergangsfrist sieht Art. 37 DSGVO nicht vor. Ändert sich die Datenverarbeitung, ist erneut zu prüfen, ob eine Pflicht zur Benennung entsteht. Ein Formerfordernis besteht nicht; aus Beweis- und Dokumentationsgründen sollte die Benennung jedoch schriftlich festgehalten werden. Auch die Prüfung, ob eine Benennungspflicht besteht, sollte im Sinne der Rechenschaftspflicht dokumentiert werden.

Die Benennung überträgt der benannten Person sämtliche mit der Funktion verbundenen Aufgaben und Rechte nach den Art. 37 bis 39 DSGVO; die Übertragung nur einzelner Aufgaben genügt nicht. Sie muss durch den Verantwortlichen oder eine bevollmächtigte Stelle erfolgen. Die bloße Buchung einer Datenschutzschulung oder eine interne Rundmail über eine geänderte Zuständigkeit ist noch keine Benennung. Davon zu trennen sind das zugrunde liegende Grundverhältnis (Arbeits- oder Dienstvertrag) und die Mitteilung der Kontaktdaten an die Aufsichtsbehörde; beides ist für die Wirksamkeit der Benennung ohne Bedeutung. Die Benennung kann befristet oder unbefristet erfolgen.

6.2 Interner oder externer Datenschutzbeauftragter

Nach Art. 37 Abs. 6 DSGVO kann sowohl ein Beschäftigter (interner Datenschutzbeauftragter) als auch eine unternehmensfremde Person auf der Grundlage eines Dienstvertrags (externer Datenschutzbeauftragter) benannt werden. Die Wahl steht dem Verantwortlichen frei.

KriteriumInterner DatenschutzbeauftragterExterner Datenschutzbeauftragter
RechtsverhältnisArbeitsverhältnis, zusätzliche Funktionselbständiger Dienstvertrag
KündigungsschutzSonderkündigungsschutz nach § 6 Abs. 4 BDSG (bei Pflichtbenennung)kein Sonderkündigungsschutz; Beendigung nach Dienstvertrag
InteressenkonfliktRisiko bei Doppelrollen (z.B. IT-, Personalleitung)Risiko bei Tätigkeit für konkurrierende oder mandatsverbundene Stellen
AufwandAufbau und Pflege des Fachwissens im HausFachwissen wird eingekauft, oft mehrere Mandate

In einer Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter (Konzerndatenschutzbeauftragter) benannt werden, sofern er von jeder Niederlassung aus leicht erreichbar ist (Art. 37 Abs. 2 DSGVO). Leichte Erreichbarkeit hat eine räumliche, eine sprachliche und eine zeitliche Komponente: Ein persönlicher Kontakt muss mit zumutbarem Aufwand möglich sein, der Datenschutzbeauftragte muss sich mit Beschäftigten, Betroffenen und Aufsichtsbehörden verständigen können, und er muss tatsächlich kurzfristig erreichbar sein. Mehrere Behörden und öffentliche Stellen können in Anbetracht ihrer Organisationsstruktur und Größe ebenfalls einen gemeinsamen Datenschutzbeauftragten benennen (Art. 37 Abs. 3 DSGVO). Ein einziger Benennungsakt genügt für die ganze Gruppe; er ersetzt aber nicht die je gesonderte Mitteilung der Kontaktdaten an die zuständige Aufsichtsbehörde, die jede meldepflichtige Gesellschaft für sich vornehmen muss.

Um die effektive Erreichbarkeit zu sichern, sollte der Datenschutzbeauftragte seinen Sitz in der Europäischen Union haben, und zwar unabhängig davon, ob der Verantwortliche oder Auftragsverarbeiter selbst in der Union niedergelassen ist. Nur wenn der Verantwortliche oder Auftragsverarbeiter nicht in der Union niedergelassen ist, kann ausnahmsweise ein außerhalb der Union ansässiger Datenschutzbeauftragter seine Aufgaben wirksamer erfüllen (WP29-Leitlinien zu Datenschutzbeauftragten, WP 243 rev.01).

6.3 Veröffentlichung und Mitteilung der Kontaktdaten

Der Verantwortliche und der Auftragsverarbeiter haben die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen (Art. 37 Abs. 7 DSGVO). Die Veröffentlichung muss nach außen wirken, etwa an gut auffindbarer Stelle auf einer frei zugänglichen Internetseite, üblicherweise im Impressum und in der Datenschutzerklärung; eine nur intern zugängliche Angabe genügt nicht. Damit eine Kontaktaufnahme auch in eiligen Fällen möglich ist, sollte mindestens eine E-Mail-Adresse oder ein Kontaktformular angegeben werden.

Der Name des Datenschutzbeauftragten gehört nicht zu den nach Art. 37 Abs. 7 DSGVO zu veröffentlichenden Kontaktdaten; seine Veröffentlichung ist gleichwohl als vertrauensbildende Maßnahme sinnvoll. Gegenüber der Aufsichtsbehörde ist die Mitteilung des Namens dagegen erforderlich, weil der Datenschutzbeauftragte deren Anlaufstelle ist (Art. 39 Abs. 1 lit. e DSGVO); in der Meldung einer Datenschutzverletzung ist der Name ausdrücklich anzugeben (Art. 33 Abs. 3 lit. b DSGVO), ebenso im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) und bei der vorherigen Konsultation (Art. 36 DSGVO). Intern sollten Name und Kontaktdaten des Datenschutzbeauftragten allen Beschäftigten bekannt gemacht werden, etwa im Intranet oder Telefonverzeichnis (WP29-Leitlinien zu Datenschutzbeauftragten, WP 243 rev.01).

Die Vertraulichkeit der Kommunikation mit dem Datenschutzbeauftragten ist zu sichern. Es darf deshalb kein gemeinsames Kontaktformular und keine gemeinsame E-Mail-Adresse für den Datenschutzbeauftragten und das allgemeine Datenschutz-Team genutzt werden; an den Datenschutzbeauftragten gerichtete Post darf in der Poststelle nicht geöffnet werden.

7. Externer Datenschutzbeauftragter und das Rechtsdienstleistungsgesetz

Zum Aufgabenkreis des Datenschutzbeauftragten gehört in prägendem Umfang die rechtliche Beratung (Art. 39 Abs. 1 DSGVO). Das wirft für externe Datenschutzbeauftragte die Frage auf, ob sie eine Erlaubnis nach dem Rechtsdienstleistungsgesetz benötigen.

Ein interner Datenschutzbeauftragter ist unproblematisch: Er wird in eigenen, nicht in fremden Angelegenheiten tätig, sodass schon der Begriff der Rechtsdienstleistung nicht erfüllt ist (§ 2 Abs. 1 RDG).

Beim externen Datenschutzbeauftragten ist die Erlaubnispflicht umstritten. Ein Anwaltsgerichtshof hat entschieden, dass die rechtsberatenden Aufgaben, die das Gesetz dem Datenschutzbeauftragten in Art. 39 DSGVO zuweist, durch diese Norm als Befugnis im Sinne des § 1 Abs. 3 RDG gedeckt sind und deshalb keine gesonderte Registrierung erfordern (AGH NRW, Urt. v. 12.03.2021, 1 AGH 9/19). Nach der Gegenauffassung überschreitet die Tätigkeit des externen Datenschutzbeauftragten die Schwelle der erlaubnisfreien Nebenleistung (§ 5 Abs. 1 RDG), sobald im Einzelfall komplexe Rechtsfragen, auch außerhalb des Datenschutzrechts, zu beantworten sind; dann sei eine Erlaubnis nach § 3 RDG erforderlich. Eine höchstrichterliche Klärung steht aus.

Praxis. Rechtsanwälte und registrierte Personen sind auf der sicheren Seite. Reine Datenschutz-Dienstleister sollten das Risiko einer Erlaubnispflicht im Blick behalten und ihren Tätigkeitszuschnitt sowie den Vertrag darauf ausrichten.

Zwei Sonderfälle sind zu beachten. Ein Konzerndatenschutzbeauftragter, der bei einem Unternehmen der Gruppe angestellt ist, benötigt regelmäßig keine Erlaubnis, weil die Erledigung von Rechtsangelegenheiten innerhalb verbundener Unternehmen vom Begriff der Rechtsdienstleistung ausgenommen ist (§ 2 Abs. 3 Nr. 6 RDG in Verbindung mit § 15 AktG). Wird ein Angestellter eines Dienstleisters als externer Datenschutzbeauftragter benannt, ist durch die Vertragsgestaltung eine unzulässige Arbeitnehmerüberlassung (§ 1 AÜG) zu vermeiden.

8. Beendigung der Benennung

Das Amt des Datenschutzbeauftragten kann auf mehreren Wegen enden:

  • Niederlegung durch den Datenschutzbeauftragten. Er kann das Amt niederlegen; die Kündigung des Grundverhältnisses schließt regelmäßig die Niederlegung ein. Er sollte dem Verantwortlichen genügend Zeit lassen, einen Nachfolger zu benennen, sofern nicht ein wichtiger Grund die sofortige Beendigung rechtfertigt.
  • Ablauf einer Befristung. Ist die Benennung zulässig befristet, endet das Amt mit Fristablauf. Besteht die Benennungspflicht fort, muss rechtzeitig ein Nachfolger benannt werden, da andernfalls der Bußgeldtatbestand erfüllt ist.
  • Einvernehmliche Beendigung. Verantwortlicher und Datenschutzbeauftragter können die Benennung jederzeit einvernehmlich aufheben.
  • Wegfall der Benennungspflicht. Entfällt die gesetzliche Pflicht, etwa weil keine sensiblen Daten mehr umfangreich verarbeitet werden, endet das Amt nicht automatisch; der Datenschutzbeauftragte bleibt dann freiwillig benannt mit unveränderten Rechten und Pflichten. Der Wegfall der Pflicht kann allenfalls ein sachlicher Grund für eine Abberufung sein.
  • Betriebliche Änderungen. Geht die benennende Stelle unter, etwa durch Verschmelzung, entfällt das Amt automatisch. Der aufnehmende Rechtsträger muss bei eigener Benennungspflicht selbst benennen, ist aber nicht gezwungen, den bisherigen Datenschutzbeauftragten zu übernehmen.

Abberufung durch den Verantwortlichen. Die Abberufung ist nur eingeschränkt zulässig: Wegen der Erfüllung seiner Aufgaben darf der Datenschutzbeauftragte nicht abberufen werden, und bei befristeter Benennung ist eine vorzeitige Abberufung nur aus wichtigem Grund möglich (näher zum Benachteiligungs- und Abberufungsverbot).

Abberufungsverlangen der Aufsichtsbehörde. Die Aufsichtsbehörde kann von einer nicht-öffentlichen Stelle die Abberufung des Datenschutzbeauftragten verlangen, wenn diesem die erforderliche Fachkunde fehlt oder ein schwerwiegender Interessenkonflikt vorliegt (§ 40 Abs. 6 S. 2 BDSG). Ein solches Verlangen stellt einen wichtigen Grund für die Abberufung dar.

9. Sanktion der Nichtbenennung

Ein Verstoß gegen die Pflichten der Art. 37 bis 39 DSGVO kann nach Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße bis zu 10 Mio. EUR oder, bei Unternehmen, bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Erfasst ist die gesamte Bandbreite der in Art. 37 DSGVO geregelten Pflichten, also auch die unterbliebene Veröffentlichung oder Mitteilung der Kontaktdaten.

Die Aufsichtsbehörden ahnden eine unterbliebene Benennung auch tatsächlich. So verhängte die zuständige Aufsichtsbehörde gegen ein Telekommunikations-Kleinstunternehmen eine Geldbuße von 10.000 EUR, weil es trotz mehrfacher Aufforderung keinen Datenschutzbeauftragten benannt hatte; die Einordnung als Kleinstunternehmen wirkte sich dabei bußgeldmindernd aus (BfDI, Pressemitteilung v. 09.12.2019).

10. Vertrag mit einem externen Datenschutzbeauftragten

Wird ein externer Datenschutzbeauftragter benannt, liegt der Benennung ein Dienstvertrag zugrunde. Dieser Abschnitt gibt Gestaltungshinweise und eine Checkliste; er ersetzt keine individuelle Vertragsgestaltung.

10.1 Trennungsprinzip

Rechtlich sind zwei Ebenen zu unterscheiden: das vertragliche Grundverhältnis (der Dienstvertrag) und die gesetzlich geforderte Benennung. Der Dienstvertrag regelt das Verhältnis zwischen Auftraggeber und Dienstleister; die Benennung ist der Akt, durch den die Person die gesetzliche Funktion nach Art. 37 bis 39 DSGVO übernimmt. Üblich und praktikabel ist, die Benennungsurkunde dem Vertrag als Anlage beizufügen, weil sie gegenüber Dritten und der Aufsichtsbehörde nachgewiesen werden muss. Ebenso sollten die Nachweise des Fachwissens nach Art. 37 Abs. 5 DSGVO als Anlage genommen werden, da die ordnungsgemäße Auswahl im Streitfall darzulegen ist.

10.2 Regelungsbereiche

Ein tragfähiger Vertrag konkretisiert die gesetzlichen Vorgaben, ohne die zwingenden Vorgaben der Art. 38 und 39 DSGVO zu unterlaufen. Die folgenden Bereiche sollten geregelt werden:

  • Vertragsgegenstand: Übernahme der Aufgaben als Datenschutzbeauftragter im Sinne der Art. 37 bis 39 DSGVO und des § 38 BDSG, mit Benennungsurkunde und Qualifikationsnachweisen als Anlagen.
  • Stellung und Einbindung: Klarstellung der Weisungsfreiheit (Art. 38 Abs. 3 DSGVO), Benennung fester Ansprechpartner beim Auftraggeber, Pflicht zur frühzeitigen Einbindung, Zugang zu Unterlagen, Räumen und IT-Systemen sowie Veröffentlichung und Mitteilung der Kontaktdaten.
  • Organisation der Leistung: Bestimmung von Ort und Zeit durch den Datenschutzbeauftragten nach eigenem Ermessen, angemessene Reaktionsfristen und Erreichbarkeit in dringenden Fällen, Regelung zum Einsatz eigenen Personals und von Subunternehmern.
  • Leistungsumfang: Konkretisierung der Aufgaben nach Art. 39 DSGVO, etwa Bestandsaufnahme, Beratung bei der Auswahl von IT-Anwendungen, Mitwirkung am Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, Beratung zur Datenschutz-Folgenabschätzung, Schulungen, Prüfung der Auftragsverarbeitung nach Art. 28 DSGVO sowie ein jährlicher Tätigkeitsbericht an die Leitung.
  • Vergütung: Festlegung als Pauschalhonorar oder zeitabhängig nach Stundensätzen, Regelung von Aufwendungsersatz und Umsatzsteuer.
  • Haftung: Regelung der Haftung im Innenverhältnis; bei einer summenmäßigen Begrenzung muss die Höchstsumme die vertragstypischen vorhersehbaren Schäden abdecken, sonst ist die Beschränkung unwirksam.
  • Geheimhaltung und Vertraulichkeit: Verpflichtung zur Verschwiegenheit, gegebenenfalls mit Nachwirkung nach Vertragsende; die besondere Verschwiegenheit zugunsten betroffener Personen bleibt unberührt.
  • Laufzeit und Beendigung: Mindestlaufzeit und Verlängerung, außerordentliche Kündigung aus wichtigem Grund (etwa grobe Pflichtverletzung oder Verlangen der Aufsichtsbehörde nach Abberufung), Kopplung von Vertragsende und Amtsenthebung.
  • Schlussbestimmungen: Schriftform, salvatorische Klausel und Rechtswahl.

Haftung trennen. Der Vertrag regelt nur die Haftung im Innenverhältnis gegenüber dem Auftraggeber. Davon zu unterscheiden ist die Haftung des Datenschutzbeauftragten im Außenverhältnis gegenüber betroffenen Personen, die sich nach den allgemeinen Vorschriften richtet und vertraglich nicht zulasten Dritter beschränkt werden kann.

10.3 Checkliste Vertragspunkte

  • Vertragsgegenstand: Aufgaben nach Art. 37 bis 39 DSGVO und § 38 BDSG benannt
  • Benennungsurkunde und Qualifikationsnachweise als Anlagen beigefügt
  • Weisungsfreiheit und feste Ansprechpartner geregelt
  • Pflicht zur frühzeitigen Einbindung und Zugang zu Unterlagen und Systemen
  • Veröffentlichung und Mitteilung der Kontaktdaten an die Aufsichtsbehörde
  • Leistungsumfang konkretisiert (Bestandsaufnahme, Verzeichnis, Schulungen, Audits, Tätigkeitsbericht)
  • Einsatz eigenen Personals und von Subunternehmern geregelt
  • Vergütung (Pauschale oder Stundensatz), Aufwendungsersatz und Umsatzsteuer
  • Haftung mit wirksamer Höchstsumme; Innen- und Außenverhältnis getrennt
  • Geheimhaltung mit Nachwirkung; Verschwiegenheit zugunsten Betroffener gewahrt
  • Laufzeit, außerordentliche Kündigung und Kopplung an die Amtsenthebung
  • Schriftform und Rechtswahl

Nach der Benennung folgen die Pflichten zur Stellung und zu den Aufgaben des Datenschutzbeauftragten, die unabhängig davon gelten, ob die Benennung verpflichtend oder freiwillig erfolgt ist.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Datenschutzbeauftragter (Art. 37-39 DSGVO)

Überblick über den Datenschutzbeauftragten nach Art. 37-39 DSGVO und § 38 BDSG: Benennung, Stellung und Aufgaben sowie der Vertrag mit einem externen Datenschutzbeauftragten.

Stellung des Datenschutzbeauftragten

Stellung des Datenschutzbeauftragten nach Art. 38 DSGVO: frühzeitige Einbindung, Unterstützung mit Ressourcen, Weisungsfreiheit, Benachteiligungs- und Abberufungsverbot, Berichtslinie, Anrufungsrecht der Betroffenen, Geheimhaltung und Verbot der Interessenkollision.

On this page

1. Überblick1.1 Drei Wege zur Benennung1.2 Rechtsfolge und Prüfungsreihenfolge2. Pflicht nach Unionsrecht (Art. 37 Abs. 1 DSGVO)2.1 Behörden und öffentliche Stellen (lit. a)2.2 Umfangreiche Überwachung als Kerntätigkeit (lit. b)2.3 Umfangreiche Verarbeitung sensibler Daten (lit. c)2.4 Auftragsverarbeiter3. Pflicht nach nationalem Recht (§ 38 BDSG)3.1 Schwelle von 20 Personen3.2 Risikoabhängige Tatbestände4. Freiwillige Benennung5. Qualifikation, Zuverlässigkeit und Person5.1 Anforderungsprofil5.2 Zeitpunkt der Qualifikation5.3 Juristische Person als Datenschutzbeauftragter6. Modalitäten der Benennung6.1 Form, Zeitpunkt und Inhalt der Benennung6.2 Interner oder externer Datenschutzbeauftragter6.3 Veröffentlichung und Mitteilung der Kontaktdaten7. Externer Datenschutzbeauftragter und das Rechtsdienstleistungsgesetz8. Beendigung der Benennung9. Sanktion der Nichtbenennung10. Vertrag mit einem externen Datenschutzbeauftragten10.1 Trennungsprinzip10.2 Regelungsbereiche10.3 Checkliste Vertragspunkte