DAllgemein

Datenschutzbeauftragter (DSB)

Überwacht DSGVO-Compliance, Prozesse und Datenschutzorganisation.

Ein Datenschutzbeauftragter (DSB) ist eine interne oder externe Fachperson, die im Unternehmen die Einhaltung der DSGVO überwacht, Datenschutzprozesse mitgestaltet und als zentrale Anlaufstelle für Mitarbeitende, Geschäftsführung und Aufsichtsbehörden dient. Ziel ist, Risiken bei der Verarbeitung personenbezogener Daten zu senken und eine funktionierende Datenschutzorganisation aufzubauen.

Was bedeutet „Datenschutzbeauftragter (DSB)“?

Der Begriff bezeichnet die Rolle nach Art. 37–39 DSGVO. Ein DSB berät und kontrolliert, ob ein Unternehmen Datenschutzvorgaben korrekt umsetzt. Wichtig: Der DSB trägt in der Regel nicht die „Verantwortung“ im rechtlichen Sinn (die liegt bei der verantwortlichen Stelle/Unternehmen), sondern unterstützt, überwacht und dokumentiert – mit einer besonderen Unabhängigkeit in der Ausübung seiner Aufgaben.

Wie funktioniert die Arbeit eines DSB in der Praxis?

Ein DSB arbeitet nicht „nur juristisch“, sondern sehr prozessorientiert und nah an IT und Fachbereichen. Typische Schritte sind:

  • Bestandsaufnahme: Welche personenbezogenen Daten werden wo, wozu und mit welchen Tools verarbeitet (z. B. CRM, Newsletter, Zeiterfassung, Cloud-Dienste)?
  • Risikobewertung & Maßnahmen: Ableitung technischer und organisatorischer Maßnahmen (TOMs), z. B. Rollen- und Berechtigungskonzepte, Löschkonzepte, Protokollierung.
  • Dokumentation: Unterstützung beim Verzeichnis von Verarbeitungstätigkeiten, Richtlinien und Nachweisen (Accountability).
  • Beratung im Projektgeschäft: Datenschutz „by design/by default“ bei neuen Systemen, Dienstleistern oder Automatisierungen.
  • Schulung & Awareness: Mitarbeitende sensibilisieren (Phishing, Umgang mit Kundendaten, Aufbewahrungsfristen).
  • Kontrolle & Audit: Regelmäßige Prüfungen, Reports an die Geschäftsführung, Nachhalten von Findings.

Warum ist ein DSB wichtig – besonders ohne eigene IT-Abteilung?

Unternehmen ohne IT-Abteilung nutzen häufig Standard-SaaS, externe Dienstleister und „gewachsene“ Prozesse. Genau dort passieren typische Datenschutzprobleme: unklare Verantwortlichkeiten, fehlende AV-Verträge, zu breite Zugriffsrechte, keine Löschroutinen oder unsichere Datenübertragungen. Ein DSB schafft Struktur, priorisiert Maßnahmen nach Risiko und sorgt dafür, dass Datenschutz nicht nur „Papier“ ist, sondern im Alltag funktioniert.

Gerade bei KI-Tools ist das relevant: Wenn Mitarbeitende z. B. Inhalte in ChatGPT oder andere Generative KI (Generative AI)-Dienste kopieren, können personenbezogene Daten betroffen sein. Ein DSB hilft, Regeln (z. B. erlaubte Use Cases, Datenklassifizierung, Redaction) und passende Verträge/Settings zu definieren und mit AI Governance zu verzahnen.

Wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Ein DSB ist zu benennen, wenn die DSGVO-Kriterien erfüllt sind (z. B. Kerntätigkeit mit umfangreicher regelmäßiger Überwachung oder umfangreiche Verarbeitung besonderer Kategorien). In Deutschland gelten zusätzlich nationale Regeln (BDSG), die in vielen Fällen bereits ab einer bestimmten Anzahl von Personen mit regelmäßiger Datenverarbeitung greifen. Auch wenn keine Pflicht besteht, kann ein freiwilliger DSB sinnvoll sein, um Haftungs- und Reputationsrisiken zu reduzieren.

Intern oder extern: Was ist sinnvoll?

  • Interner DSB: Vorteil: Nähe zu Prozessen. Nachteil: Qualifikation aufbauen, mögliche Interessenkonflikte (z. B. IT-Leitung ist meist ungeeignet), Ausfallrisiko.
  • Externer DSB: Vorteil: sofortige Expertise, skalierbar, oft günstiger als Aufbau intern, weniger Konflikte. Nachteil: braucht gute Zuarbeit und klare Schnittstellen.

Was kostet ein Datenschutzbeauftragter (DSB)?

Die Kosten hängen stark von Branche, Datenrisiko, Anzahl Standorte/Tools und Reifegrad ab. Externe DSB-Modelle starten häufig ab ca. 150–500 € pro Monat für kleine Organisationen mit überschaubarem Risiko; bei komplexen Umgebungen, vielen Systemen oder stark regulierten Bereichen können es 1.000–3.000 €+ pro Monat sein. Einmalige Projekte (z. B. Audit, Datenschutz-Folgenabschätzung) werden oft separat kalkuliert.

Entscheidungshilfe: Wenn Sie keine eigene IT-Abteilung haben, ist ein externer DSB oft der pragmatischste Weg: Er bringt Vorlagen, Erfahrung mit Dienstleistern/AVV, klare To-dos und hilft, Datenschutz in Ihre IT- und Tool-Landschaft „einzubauen“, statt ihn nur zu dokumentieren.