Dieser Beitrag klärt drei Dinge, die zusammengehören: wann die Benennung tatsächlich Pflicht ist, was ein externer DSB kostet — und woran Sie erkennen, ob das Geld gut investiert ist. Den dritten Punkt lassen die meisten Ratgeber weg. Er ist der wichtigste.
Wann ein Datenschutzbeauftragter Pflicht ist
Die Pflicht ergibt sich aus zwei Ebenen, die übereinanderliegen: dem europäischen Recht (Art. 37 DSGVO) und dem deutschen Recht (§ 38 BDSG). Man muss beide kennen, weil sie unterschiedliche Schwellen setzen.
Auf europäischer Ebene (Art. 37 DSGVO) ist ein DSB immer dann Pflicht, wenn eine von drei Konstellationen vorliegt: Es handelt sich um eine Behörde oder öffentliche Stelle; die Kerntätigkeit besteht in umfangreicher, regelmäßiger und systematischer Überwachung von Personen; oder die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Datenkategorien (Art. 9) — etwa Gesundheitsdaten. Für öffentliche Stellen gilt das ausnahmslos: Jede Gemeinde, jede Behörde braucht eine/n DSB, unabhängig von ihrer Größe.
Auf deutscher Ebene (§ 38 BDSG) kommt eine zusätzliche, rein nationale Schwelle hinzu: Sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein DSB Pflicht. „Ständig beschäftigt" heißt dabei nicht „Datenschutz-Spezialist" — es genügt, dass jemand am Bildschirm, Smartphone oder Tablet personenbezogene Daten verarbeitet. In einem normalen Büro überschreiten Sie diese Zahl schneller, als Sie denken.
Hier liegt ein häufiger Denkfehler: Viele kleine Betriebe mit fünf oder acht Mitarbeitenden glauben, sie seien sicher unter der Schwelle und damit raus. Das stimmt für § 38 BDSG — aber nicht für Art. 37 DSGVO. Eine Arztpraxis mit drei Angestellten verarbeitet umfangreich Gesundheitsdaten und kann allein deshalb pflichtig sein. Die 20-Personen-Schwelle ist kein Freifahrtschein.
Ein Sonderfall, den Sie 2026 im Blick behalten sollten
Die nationale 20-Personen-Schwelle steht zur Disposition. Im Rahmen der föderalen Modernisierungsagenda ist vorgesehen, § 38 Abs. 1 BDSG bis Ende 2026 zu streichen. Würde das umgesetzt, fiele die starre Mitarbeitergrenze weg — und es bliebe allein die Regelung des Art. 37 DSGVO. Klingt nach Entlastung, schafft aber neue Unsicherheit: Ohne die klare Zahl müssten Unternehmen im Einzelfall bewerten, ob ihre Verarbeitung pflichtauslösend ist. Wer heute knapp über der Schwelle liegt und sich darauf verlässt, sollte die Entwicklung verfolgen. Gesundheitssektor, datenintensives Marketing, systematisch verarbeitende Online-Shops und Finanzdienstleister blieben in jedem Fall pflichtig.
Was ein externer DSB kostet — und warum die Spannweite so groß ist
Auf die Frage „Was kostet das?" gibt es keine ehrliche Pauschalantwort, und jeder, der Ihnen sofort eine Zahl nennt, ohne Ihr Unternehmen zu kennen, verkauft Ihnen ein Paket, keine Lösung. Die Kosten hängen an wenigen, nachvollziehbaren Faktoren:
- Größe und Komplexität: Ein Handwerksbetrieb mit 25 Mitarbeitenden und Standardsoftware ist etwas anderes als ein Online-Händler mit Tracking, mehreren Dienstleistern und internationalem Versand.
- Art der Daten: Wer Gesundheits-, Sozial- oder Finanzdaten verarbeitet, braucht intensivere Betreuung — besondere Datenkategorien bedeuten besondere Sorgfalt.
- Ausgangslage: Eine bestehende, gepflegte Dokumentation senkt den Aufwand. Ein Unternehmen, das bei null anfängt, braucht zuerst ein Erstaudit und einen Aufbau.
- Modell: Üblich ist eine monatliche Pauschale (Retainer), oft kombiniert mit einem einmaligen Erstaudit. Das ist planbar und meist deutlich günstiger als eine interne Vollzeitstelle.
Der Vergleich, der wirklich zählt, ist nicht „externer DSB gegen gar nichts", sondern „externer DSB gegen die Alternativen". Eine interne Fachkraft kostet Gehalt, Fortbildung und Haftungsrisiko — und ist bei Urlaub oder Kündigung sofort eine Lücke. Ein externer DSB bringt Unabhängigkeit, aktuelles Fachwissen und keine internen Interessenkonflikte. Genau diese Unabhängigkeit ist nicht nur angenehm, sondern rechtlich relevant — dazu gleich mehr.
Der teuerste Fehler: der DSB, der nicht hält
Jetzt zu dem Punkt, den kaum jemand ausspricht. Die meisten Unternehmen denken, das Risiko sei binär: DSB benannt — Pflicht erfüllt, Haken dran. Das ist falsch, und der Irrtum kann teuer werden.
Das Gesetz verlangt nicht irgendeinen DSB, sondern einen geeigneten. Wird die Benennungspflicht verletzt, ist das eine Ordnungswidrigkeit, die mit einem Bußgeld bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden kann. Entscheidend ist: Dieser Bußgeldtatbestand greift nicht nur, wenn gar kein DSB bestellt wurde. Er greift auch dann, wenn zwar jemand benannt ist, diese Person aber wegen fehlender fachlicher Qualifikation oder wegen eines Interessenkonflikts gar nicht geeignet ist. Mit anderen Worten: Ein schlecht gewählter DSB erfüllt die Pflicht rechtlich nicht — Sie zahlen, haben aber den Schutz nicht.
In der Praxis sehe ich zwei Klassiker. Der erste: Der IT-Leiter oder die Büroleitung wird „nebenbei" zum internen DSB ernannt. Das Problem ist der eingebaute Interessenkonflikt — wer die IT verantwortet, kann sie nicht zugleich unabhängig kontrollieren. Der zweite: ein Billiganbieter, der einen Namen und eine Vorlagensammlung liefert, sich aber im Ernstfall — bei einer Datenpanne, einer Betroffenenanfrage, einer Prüfung durch die Aufsicht — nicht meldet. Beide Varianten kosten am Ende mehr als die saubere Lösung von Anfang an.
Woran Sie einen guten externen DSB erkennen
Wenn Sie eine Entscheidung treffen, achten Sie weniger auf den Preis und mehr auf diese Punkte:
- Nachweisbare Qualifikation: Eine anerkannte Zertifizierung — etwa als TÜV-zertifizierte/r Datenschutzbeauftragte/r und Auditor/in. Verlangen Sie einen Nachweis; Datenschutz ist eine Fachdisziplin, kein Nebenjob.
- Erreichbarkeit im Ernstfall: Die 72-Stunden-Frist für die Meldung einer Datenpanne (Art. 33 DSGVO) läuft unerbittlich. Ein DSB, der erst nächste Woche zurückruft, ist im Ernstfall wertlos.
- Branchenkenntnis: Eine Arztpraxis hat andere Anforderungen als eine Kommune oder ein Online-Shop. Wer Ihre Branche kennt, spart Ihnen Zeit und Fehler.
- Unabhängigkeit: Der externe DSB darf keine Aufgabe kontrollieren, die er selbst verantwortet — das schließt Interessenkonflikte aus, die einen internen DSB angreifbar machen können.
- Klare, prüfungsfeste Dokumentation: Am Ende zählt, was Sie der Aufsichtsbehörde vorlegen können. Verlangen Sie eine belastbare Dokumentation, keine bunte Mappe.
Fazit
Die Frage ist nicht, ob Datenschutz lästig ist — sie ist, ob Sie ihn so aufsetzen, dass er im Ernstfall trägt. Ein Datenschutzbeauftragter ist in vielen Fällen Pflicht: bei öffentlichen Stellen immer, bei umfangreicher Verarbeitung besonderer Daten unabhängig von der Größe, und derzeit ab 20 mit Datenverarbeitung beschäftigten Personen. Die Kosten sind überschaubar und planbar — vorausgesetzt, Sie wählen jemanden, der die Pflicht rechtlich auch wirklich erfüllt. Der billigste DSB ist nicht der günstigste, wenn er im Ernstfall nicht hält.
Über den Autor
Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).
Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Anbieter: CyberWerkSuite.
Stand: Mai 2026. Die Angaben zur möglichen Streichung des § 38 BDSG geben den zum Redaktionsschluss bekannten Stand wieder.
