# Datenschutzbeauftragter (Art. 37-39 DSGVO)

Überblick über den Datenschutzbeauftragten nach Art. 37-39 DSGVO und § 38 BDSG: Benennung, Stellung und Aufgaben sowie der Vertrag mit einem externen Datenschutzbeauftragten.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/datenschutzbeauftragter
> Sprache: en



Der Datenschutzbeauftragte ist ein Instrument der Selbstkontrolle im Datenschutzrecht. Er überwacht im Unternehmen die Einhaltung der Datenschutzvorschriften und berät den Verantwortlichen, ohne selbst die Verantwortung für den Datenschutz zu tragen. Die Art. 37 bis 39 DSGVO regeln seine Benennung, seine Stellung und seine Aufgaben; § 38 BDSG ergänzt die Benennungspflicht für nicht-öffentliche Stellen.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Es gibt **keine allgemeine Pflicht** zur Benennung; sie besteht nur unter Art. 37 Abs. 1 DSGVO oder § 38 BDSG, daneben ist die freiwillige Benennung möglich.
  * Der Datenschutzbeauftragte ist **weisungsfrei**, unmittelbar der Leitung berichtspflichtig und vor Benachteiligung und Abberufung geschützt.
  * Er **überwacht und berät**, hat aber keine Weisungs- oder Durchsetzungsbefugnis und trägt keine eigene Verantwortung für die Einhaltung.
  * Die Benennung kann **intern oder extern** erfolgen; beim externen Datenschutzbeauftragten liegt ein Dienstvertrag zugrunde.
  * Er ist **nicht Verantwortlicher** und haftet nicht nach Art. 82 DSGVO; eine Haftung kommt nur für die Verletzung seiner eigenen Aufgaben in Betracht.
</Callout>

## 1. Funktion und Einordnung [#1-funktion-und-einordnung]

Die DSGVO versteht den Datenschutzbeauftragten als wirksames Instrument des Datenschutzes innerhalb der verantwortlichen Stelle. Seine Stellung (Art. 38 DSGVO) und seine Aufgaben (Art. 39 DSGVO) gelten unabhängig davon, ob die Benennung verpflichtend oder freiwillig erfolgt ist. Für Stellung und Aufgaben ist allein die erfolgte Benennung maßgeblich, nicht ihr Anlass.

## 2. Themen im Überblick [#2-themen-im-überblick]

Die Benennung, die Stellung und die Aufgaben bilden die drei Regelungsbereiche der Art. 37 bis 39 DSGVO. Daran schließt die Frage der Haftung an, die sich nicht aus diesen Vorschriften, sondern aus dem allgemeinen Recht ergibt.

<Cards>
  <Card title="Benennung" href="/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.1-benennung" description="Pflicht nach Art. 37 Abs. 1 DSGVO und § 38 BDSG, freiwillige Benennung, Qualifikation, Modalitäten sowie Vertrag mit einem externen Datenschutzbeauftragten." />

  <Card title="Stellung" href="/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.2-stellung" description="Einbindung, Unterstützung mit Ressourcen, Weisungsfreiheit, Benachteiligungs- und Abberufungsverbot, Berichtslinie, Anrufungsrecht und Interessenkonflikt nach Art. 38 DSGVO." />

  <Card title="Aufgaben" href="/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.3-aufgaben" description="Unterrichtung und Beratung, Überwachung der Einhaltung, Beratung zur Datenschutz-Folgenabschätzung, Zusammenarbeit mit der Aufsichtsbehörde und risikobasierter Ansatz nach Art. 39 DSGVO." />

  <Card title="Haftung" href="/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.4-haftung" description="Kein Schadensersatz nach Art. 82 DSGVO, deliktische Haftung gegenüber Betroffenen, Innenhaftung des internen und externen Datenschutzbeauftragten sowie straf- und bußgeldrechtliche Verantwortung." />
</Cards>

## 3. Primärquellen [#3-primärquellen]

<Cards>
  <Card title="Art. 37 DSGVO" href="https://dsgvo-gesetz.de/art-37-dsgvo/" description="Benennung des Datenschutzbeauftragten." />

  <Card title="Art. 38 DSGVO" href="https://dsgvo-gesetz.de/art-38-dsgvo/" description="Stellung des Datenschutzbeauftragten." />

  <Card title="Art. 39 DSGVO" href="https://dsgvo-gesetz.de/art-39-dsgvo/" description="Aufgaben des Datenschutzbeauftragten." />

  <Card title="WP 243 rev.01" href="https://ec.europa.eu/newsroom/article29/items/612048" description="Leitlinien der Artikel-29-Datenschutzgruppe zu Datenschutzbeauftragten (vom Europäischen Datenschutzausschuss bestätigt)." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.