Aufgaben des Datenschutzbeauftragten
Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO: Unterrichtung und Beratung, Überwachung der Einhaltung, Beratung zur Datenschutz-Folgenabschätzung, Zusammenarbeit mit der Aufsichtsbehörde und risikobasierter Ansatz; keine eigene Verantwortung für den Datenschutz.
Art. 39 DSGVO legt die Aufgaben fest, die dem Datenschutzbeauftragten kraft Gesetzes obliegen. Die Aufzählung ist ein Mindestinhalt: Weitere Aufgaben können übertragen werden, solange sie keinen Interessenkonflikt auslösen. Wird der Datenschutzbeauftragte ohne nähere Aufgabenbeschreibung benannt, hat er ausschließlich die Aufgaben nach Art. 39 DSGVO.
Das Wichtigste in Kürze
- Der Datenschutzbeauftragte unterrichtet und berät den Verantwortlichen, den Auftragsverarbeiter und die Beschäftigten (Art. 39 Abs. 1 lit. a DSGVO).
- Er überwacht die Einhaltung des Datenschutzrechts (lit. b), stellt sie aber nicht selbst sicher: Die Verantwortung trägt der Verantwortliche.
- Er berät zur Datenschutz-Folgenabschätzung und überwacht ihre Durchführung (lit. c), leitet sie aber nicht.
- Er ist Anlaufstelle für die Aufsichtsbehörde und arbeitet mit ihr zusammen (lit. d, e); eine Pflicht zur Selbstmeldung von Verstößen besteht nicht.
- Er richtet seine Tätigkeit am Risiko der Verarbeitung aus (Abs. 2).
- Er hat keine Weisungs- oder Durchsetzungsbefugnis und ist kein Garant für die Einhaltung des Datenschutzes.
1. Überblick
1.1 Aufgaben und Verantwortung
Art. 39 DSGVO weist dem Datenschutzbeauftragten Aufgaben zu, gewährt ihm aber keine Weisungs- oder Durchsetzungsbefugnisse. Bei der Durchsetzung der DSGVO ist er auf Beratung und Bericht beschränkt; sein Einwirken erfolgt über die direkte Berichtslinie nach Art. 38 Abs. 3 S. 3 DSGVO. Die Aufgaben des Datenschutzbeauftragten und die des Verantwortlichen sind nicht deckungsgleich: Verantwortlich für die Einhaltung der Verordnung bleibt der Verantwortliche.
Das Mandat ist proaktiv angelegt: Der Datenschutzbeauftragte darf sich nicht auf eine reaktive Rolle zurückziehen, sondern muss seine Einbeziehung von sich aus einfordern und seine Aufgaben auch ungefragt wahrnehmen. Bei der Bewertung von Verarbeitungstätigkeiten hat er die Mitbestimmungsrechte des Betriebsrats und bestehende Kollektivvereinbarungen zu berücksichtigen (§ 87 BetrVG, Art. 88 DSGVO), etwa bei Verarbeitungen zu Arbeitszeit, Entgelt oder Verhaltens- und Leistungskontrolle.
| lit. | Aufgabe | Kern |
|---|---|---|
| a | Unterrichtung und Beratung | Information über Pflichten, proaktiv und auf Anfrage |
| b | Überwachung der Einhaltung | Kontrolle und Hinweis, keine eigene Verantwortung |
| c | Beratung zur Datenschutz-Folgenabschätzung | Rat geben und Durchführung überwachen, nicht leiten |
| d | Zusammenarbeit mit der Aufsichtsbehörde | reaktive Kooperation |
| e | Anlaufstelle für die Aufsichtsbehörde | zentrale Kontaktstelle, auch zur vorherigen Konsultation |
1.2 Weitere Aufgaben in derselben Funktion
Art. 39 Abs. 1 S. 1 DSGVO erlaubt, dem Datenschutzbeauftragten in seiner Eigenschaft als Datenschutzbeauftragter weitere Aufgaben zu übertragen. Diese unterliegen dann ebenfalls den Regeln der Art. 37 bis 39 DSGVO. Davon zu unterscheiden ist die Übertragung anderer, außerhalb der Funktion liegender Aufgaben nach Art. 38 Abs. 6 DSGVO (zum Interessenkonflikt).
2. Unterrichtung und Beratung (Art. 39 Abs. 1 lit. a DSGVO)
Der Datenschutzbeauftragte unterrichtet und berät den Verantwortlichen, den Auftragsverarbeiter und die mit der Verarbeitung befassten Beschäftigten über deren Pflichten nach der DSGVO und nach sonstigen Datenschutzvorschriften.
Die Unterrichtung ist die allgemeine Information über die datenschutzrechtlichen Rechte und Pflichten; bei den Beschäftigten liegt hier der Schwerpunkt, weil nur ein informierter Beschäftigter die Grenzen der Verarbeitung einhalten kann. Beraten meint das Darstellen und Bewerten von Entscheidungsalternativen; die Entscheidung selbst trifft der beratene Verantwortliche, nicht der Datenschutzbeauftragte. Die Beratung erfasst sowohl die proaktive als auch die auf Nachfrage erfolgende Erteilung von Ratschlägen. Sie bezieht sich auf die Vorgänge, von denen der Datenschutzbeauftragte durch Einbindung (Art. 38 Abs. 1 DSGVO), durch Anrufung einer betroffenen Person (Art. 38 Abs. 4 DSGVO) oder auf anderem Weg Kenntnis erlangt. Sie kann sich nach Erwägungsgrund 77 DSGVO auch in Hinweisen zu geeigneten Maßnahmen und zur Risikobewertung niederschlagen. Eine Pflicht zur Dokumentation der Aufgabenerfüllung sieht Art. 39 DSGVO nicht vor.
Das operative Durchführen von Sensibilisierungs- und Schulungsmaßnahmen darf der Datenschutzbeauftragte übernehmen. Eine Grenze besteht aber dort, wo er zugleich die Konzeption dieser Maßnahmen verantwortet und sie nach lit. b überwachen müsste: Insoweit droht ein Interessenkonflikt durch Selbstkontrolle (zum Interessenkonflikt).
3. Überwachung der Einhaltung (Art. 39 Abs. 1 lit. b DSGVO)
3.1 Inhalt der Aufgabe
Dem Datenschutzbeauftragten obliegt die Überwachung der Einhaltung der DSGVO, sonstiger Datenschutzvorschriften und der Datenschutzstrategien des Verantwortlichen, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der Beschäftigten und der zugehörigen Überprüfungen. Dazu darf er insbesondere Informationen zur Ermittlung der Verarbeitungstätigkeiten sammeln, deren Rechtmäßigkeit analysieren und kontrollieren sowie den Verantwortlichen und den Auftragsverarbeiter unterrichten, beraten und ihnen Empfehlungen geben (WP29-Leitlinien zu Datenschutzbeauftragten, WP 243 rev.01).
Überwachen bedeutet, Abweichungen zwischen dem beobachteten Ist-Zustand und dem vorgegebenen Soll-Zustand festzustellen und zu bewerten. In der Praxis verläuft das zweistufig: Zunächst prüft der Datenschutzbeauftragte, ob die Datenschutzstrategien des Verantwortlichen (Richtlinien, Betriebsvereinbarungen, Prozessvorgaben) mit dem Gesetz vereinbar sind; danach gleicht er die tatsächlichen Verarbeitungstätigkeiten mit diesen Vorgaben und dem Gesetz ab. Weil sich die Verarbeitungslandschaft laufend ändert, ist die Kontrolle eine Daueraufgabe; bei aktuellem Anlass kann sie auch unangekündigt erfolgen. Als methodischer Maßstab kann das von den Aufsichtsbehörden entwickelte Standard-Datenschutzmodell herangezogen werden.
Der Datenschutzbeauftragte darf grundsätzlich auf den Wahrheitsgehalt der ihm zugänglichen Informationen vertrauen und die Angaben der zuständigen Stellen zur Grundlage seiner Bewertung machen; er sollte sie dokumentieren und sich bestätigen lassen. Eine Prüfung auf Prozess-, Anwendungs- und Infrastrukturebene ist nicht zwingend, aber meist sinnvoll. Bestehen begründete Zweifel oder geht es um Verarbeitungen mit hohem Risiko, muss er den Angaben nachgehen und zumindest stichprobenartig prüfen. Seine Überwachung erstreckt sich auch auf die Verarbeitung personenbezogener Daten durch den Betriebsrat, für die der Arbeitgeber Verantwortlicher ist; dabei wahrt der Datenschutzbeauftragte die Vertraulichkeit gegenüber dem Arbeitgeber (§ 79a BetrVG).
3.2 Überwachen ist nicht Sicherstellen
Die Formulierung „Überwachung der Einhaltung" legt nahe, der Datenschutzbeauftragte habe die Einhaltung zu gewährleisten. Das trifft nicht zu. Zentrale Figur der Einhaltung ist der Verantwortliche: Er ist nach Art. 5 Abs. 2 DSGVO für die Einhaltung der Grundsätze verantwortlich und muss sie nachweisen (Rechenschaftspflicht); Art. 24 und Art. 35 DSGVO bestätigen diese Rolle. Der Datenschutzbeauftragte überwacht nur, ob der Verantwortliche seinen Pflichten nachkommt; er nimmt die Einhaltung weder vor noch stellt er sie sicher.
Daraus folgt, dass der Datenschutzbeauftragte keine eigene Verantwortung für die Einhaltung des Datenschutzes trägt. Seine Aufgabe erschöpft sich darin, festgestellte Abweichungen über die Berichtslinie zu melden. Er muss auch keine Prozesse einrichten, um von allen Verarbeitungsvorgängen Kenntnis zu erlangen; die DSGVO geht davon aus, dass er durch den Verantwortlichen frühzeitig einbezogen wird.
Keine Garantenstellung. Der Datenschutzbeauftragte ist kein Überwachungsgarant im zivil-, arbeits- oder strafrechtlichen Sinn und haftet nicht für die Einhaltung des Datenschutzes durch den Verantwortlichen. Für die Verletzung seiner eigenen Aufgaben nach Art. 39 DSGVO haftet er aber wie jeder andere Beschäftigte oder Dienstleister (näher zur Haftung).
3.3 Sensibilisierung und Schulung
Zur Überwachungsaufgabe gehört nach Art. 39 Abs. 1 lit. b DSGVO auch, die an der Verarbeitung beteiligten Beschäftigten zu sensibilisieren und zu schulen.
4. Beratung zur Datenschutz-Folgenabschätzung (Art. 39 Abs. 1 lit. c DSGVO)
Art. 39 Abs. 1 lit. c DSGVO ist das Gegenstück zur Pflicht des Verantwortlichen, nach Art. 35 Abs. 2 DSGVO den Rat des Datenschutzbeauftragten einzuholen. Über das bloße Beraten hinaus hat der Datenschutzbeauftragte die Durchführung der Datenschutz-Folgenabschätzung zu überwachen. Er leitet die Folgenabschätzung jedoch nicht federführend, weil das mit seiner Beratungs- und Überwachungsfunktion in Konflikt stünde.
Sinnvollerweise wird der Rat des Datenschutzbeauftragten dazu eingeholt, ob überhaupt eine Folgenabschätzung erforderlich ist, nach welcher Methodik sie durchzuführen ist, ob sie intern oder mit externer Unterstützung erfolgt und ob sie ordnungsgemäß durchgeführt wurde. Weicht der Verantwortliche vom Rat des Datenschutzbeauftragten ab, sollte er die Gründe schriftlich festhalten, um seiner Rechenschaftspflicht nach Art. 24 DSGVO zu genügen.
5. Zusammenarbeit mit und Anlaufstelle für die Aufsichtsbehörde (Art. 39 Abs. 1 lit. d, e DSGVO)
Die Zusammenarbeit mit der Aufsichtsbehörde nach lit. d ist vor dem Hintergrund der Geheimhaltungspflicht des Art. 38 Abs. 5 DSGVO als reaktive Zusammenarbeit zu verstehen, soweit es um konkrete Vorgänge geht. Der Datenschutzbeauftragte muss sich nicht von sich aus an die Aufsichtsbehörde wenden; er ist insbesondere nicht verpflichtet, Datenschutzverstöße selbst zu melden, auch nicht bei schweren Verstößen.
Nach lit. e ist der Datenschutzbeauftragte Anlaufstelle für die Aufsichtsbehörde in allen mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation nach Art. 36 DSGVO. Die Pflicht zur Mitteilung seiner Kontaktdaten nach Art. 37 Abs. 7 DSGVO unterstreicht diese Funktion als zentrale Kontaktstelle.
Der Datenschutzbeauftragte wirkt dabei als Mittler, nicht als verlängerter Arm der Aufsichtsbehörde: Er bleibt Organ der Selbstkontrolle der verantwortlichen Stelle. Mangels Entscheidungsbefugnis und wegen seiner Geheimhaltungspflicht (Art. 38 Abs. 5 DSGVO) entscheidet nicht er über die Herausgabe von Dokumenten und Informationen; auch seine eigene Tätigkeitsdokumentation darf er nur mit Genehmigung des Verantwortlichen an die Aufsichtsbehörde weitergeben. Die Meldung von Datenschutzverletzungen ist in Art. 33 DSGVO abschließend dem Verantwortlichen zugewiesen; ein zweiter Meldeweg über den Datenschutzbeauftragten besteht nicht. Umgekehrt darf der Datenschutzbeauftragte die unentgeltliche Beratung der Aufsichtsbehörde in Anspruch nehmen (Art. 39 Abs. 1 lit. e, Art. 57 Abs. 3 DSGVO), ohne dass dies seine Verschwiegenheitspflicht aufhebt.
6. Risikobasierter Ansatz (Art. 39 Abs. 2 DSGVO)
Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit der Verarbeitung verbundenen Risiko Rechnung und berücksichtigt dabei Art, Umfang, Umstände und Zwecke der Verarbeitung. Darin kommt der risikobasierte Ansatz der DSGVO auch für seine Tätigkeit zum Ausdruck: Er darf und muss seine Aufmerksamkeit an der Höhe des Risikos für die Rechte und Freiheiten der betroffenen Personen ausrichten und die Erfüllung seiner Aufgaben danach gewichten.
Das ist eine Priorisierungsregel, keine Freistellung: Der Datenschutzbeauftragte konzentriert sich vorrangig auf die risikoreicheren Verarbeitungen, darf aber die Überwachung der weniger risikobehafteten nicht vernachlässigen. Der Ansatz hilft ihm zugleich bei der Entscheidung, welche Methodik er für eine Datenschutz-Folgenabschätzung empfiehlt, welche Bereiche er prüft, welche Schulungen er anstößt und welchen Verarbeitungen er mehr Zeit und Ressourcen widmet (WP29-Leitlinien zu Datenschutzbeauftragten, WP 243 rev.01).
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Stellung des Datenschutzbeauftragten
Stellung des Datenschutzbeauftragten nach Art. 38 DSGVO: frühzeitige Einbindung, Unterstützung mit Ressourcen, Weisungsfreiheit, Benachteiligungs- und Abberufungsverbot, Berichtslinie, Anrufungsrecht der Betroffenen, Geheimhaltung und Verbot der Interessenkollision.
Haftung des Datenschutzbeauftragten
Haftung des Datenschutzbeauftragten: kein Schadensersatz nach Art. 82 DSGVO, deliktische Haftung gegenüber Betroffenen, Innenhaftung des internen und externen Datenschutzbeauftragten, straf- und bußgeldrechtliche Verantwortung sowie Haftungsbegrenzung und Dokumentation.