CERTISCAN
SolutionsModulesToolsKnowledgeBlogPricingAbout
Log inTry free
CERTISCAN
SolutionsModulesToolsKnowledgeBlogPricingAbout
Log inTry free
Calculators/Datenschutzbeauftragter: Ab wann Pflicht?
Datenschutz & IT-Sicherheit · Free calculator

Datenschutzbeauftragter: Ab wann Pflicht?

Die Bestellung eines Datenschutzbeauftragten (DSB) ist in Deutschland für viele Unternehmen verpflichtend. Die Pflicht ergibt sich aus § 38 BDSG (ab 20 MA mit regelmäßiger Datenverarbeitung) und Art.

Open calculator ↓Try for free→
  • Free
  • No sign-up
  • Datenschutz & IT-Sicherheit
DSGVOAES-256WORM-AUDITXRECHNUNGCSRD

DSB-Pflicht prüfen

Werte 2026
Guide

Datenschutzbeauftragter – ab wann ist er Pflicht?

Die Bestellung eines Datenschutzbeauftragten (DSB) ist in Deutschland für viele Unternehmen verpflichtend. Die Pflicht ergibt sich aus § 38 BDSG (ab 20 MA mit regelmäßiger Datenverarbeitung) und Art. 37 DSGVO (bei Kerntätigkeit Datenverarbeitung). Der kostenlose CERTISCAN Rechner prüft Ihre Situation.

Beispiel: Ein FM-Unternehmen mit 25 Mitarbeitern, die regelmäßig Personalstammdaten, Zeiterfassung und Kundendaten verarbeiten, ist zur Bestellung eines DSB verpflichtet (§ 38 BDSG). Der DSB kann intern oder extern bestellt werden.

Die drei Pflicht-Grundlagen

  • § 38 BDSG: Ab 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind
  • Art. 37 DSGVO: Kerntätigkeit erfordert umfangreiche, regelmäßige Überwachung
  • Besondere Kategorien: Verarbeitung von Gesundheitsdaten, Religion, Gewerkschaft etc.

Warum CERTISCAN?

CERTISCAN unterstützt Ihren DSB mit automatischem Verarbeitungsverzeichnis, lückenlosem Audit-Trail und DSGVO-konformer Datenverarbeitung auf deutschen Servern (Hetzner). Preis auf Anfrage mit AVV, Verschlüsselung und EU Data Act Compliance.

In comparison

FunktionCERTISCANExcelOhne Software
VerarbeitungsverzeichnisAutomatischManuellPapier
Audit-TrailWORM (SHA-256)KeinerKeiner
AVV-Verwaltung
DSFA-Unterstützung
Datenschutz-AnfragenTracking + FristenManuellManuell
Hosting DeutschlandHetzner DELokalLokal
VerschlüsselungAES-256NeinNein
KostenAuf Anfrage0 €0 €
Good to know

Alles über den Datenschutzbeauftragten

Gesetzliche Grundlagen

  • § 38 Abs. 1 BDSG: DSB-Pflicht ab 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind
  • Art. 37 Abs. 1 DSGVO: Pflicht bei Kerntätigkeit in umfangreicher Überwachung oder Verarbeitung besonderer Kategorien
  • § 38 Abs. 1 Satz 2 BDSG: Pflicht bei Datenschutz-Folgenabschätzung (DSFA) oder gewerbsmäßiger Datenübermittlung

Wer zählt bei den 20 Personen?

  • Ja: Alle Personen mit regelmäßigem Zugang zu personenbezogenen Daten
  • Ja: Vollzeit, Teilzeit, Minijobber, Auszubildende, Leiharbeiter
  • Ja: Auch ehrenamtliche Mitarbeiter mit Datenzugang
  • Nein: Reine Produktion/Fertigung ohne Datenzugang
  • Nein: Reinigungspersonal ohne Datenzugang

Besondere Datenkategorien (Art. 9 DSGVO)

  • Gesundheitsdaten: Krankmeldungen, BEM-Gespräche, arbeitsmedizinische Untersuchungen
  • Biometrische Daten: Fingerabdruck-Scanner, Gesichtserkennung
  • Religionszugehörigkeit: Kirchensteuer-Merkmal in der Lohnabrechnung
  • Gewerkschaftszugehörigkeit: Betriebsratswahlen
  • Ethnische Herkunft: AGG-relevante Daten

Branchen mit typischer DSB-Pflicht

  • Facility Management: Zeiterfassung, GPS-Tracking, Personalverwaltung → fast immer Pflicht
  • Gesundheitswesen: Patientendaten → immer Pflicht
  • Finanzbranche: Kontodaten, Scoring → immer Pflicht
  • Personaldienstleister: Bewerberdaten, MA-Daten → fast immer Pflicht
  • IT-Dienstleister: Kundendaten, Hosting → oft Pflicht

Interner vs. externer DSB

  • Interner DSB: Mitarbeiter des Unternehmens, besonderer Kündigungsschutz, muss fortgebildet werden
  • Externer DSB: Dienstleister, kein Kündigungsschutz, oft kostengünstiger für KMU
  • Kosten intern: Fortbildung 2.000–4.000 €/Jahr + anteilige Arbeitszeit
  • Kosten extern: 200–800 €/Monat je nach Unternehmensgröße

Aufgaben des DSB (Art. 39 DSGVO)

  1. Unterrichtung und Beratung des Verantwortlichen
  2. Überwachung der Einhaltung der DSGVO
  3. Beratung bei Datenschutz-Folgenabschätzung
  4. Zusammenarbeit mit der Aufsichtsbehörde
  5. Anlaufstelle für betroffene Personen

Verwandte Themen

  • Datenschutz Bußgeld-Rechner – Bußgeldrisiko
  • DSGVO Auskunft Frist-Rechner – Fristen berechnen
  • Datenpanne Meldepflicht – 72-Stunden-Frist
  • Löschfristen-Rechner – Aufbewahrungsfristen
FAQ

Frequently asked questions

Ab wie vielen Mitarbeitern brauche ich einen DSB?
Ab 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Zählen: Vollzeit, Teilzeit, Minijobber, Azubis, Leiharbeiter mit Datenzugang.
Gilt die 20-Personen-Grenze auch für kleine Unternehmen?
Ja, aber unabhängig von der Unternehmensgröße gilt die DSB-Pflicht auch bei Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, Biometrie) oder bei Kerntätigkeit in der Datenverarbeitung.
Was sind "besondere Datenkategorien"?
Art. 9 DSGVO schützt: Gesundheitsdaten, biometrische Daten, Religion, ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit und Sexualleben. Im FM relevant: Krankmeldungen und ggf. Fingerabdruck-Zeiterfassung.
Kann der DSB intern oder extern sein?
Beides ist möglich. Interne DSB haben besonderen Kündigungsschutz und müssen fortgebildet werden. Externe DSB sind für KMU oft kostengünstiger (200–800 €/Monat) und bringen sofort Expertise mit.
Was kostet ein fehlender DSB?
Ein fehlender DSB ist ein DSGVO-Verstoß. Bußgelder: 5.000–100.000 € in der Praxis. Theoretisch bis 10 Mio. € oder 2% des Jahresumsatzes. Dazu kommen Reputationsschäden bei Bekanntwerden.
Was muss der DSB tun?
Hauptaufgaben: Beratung des Unternehmens, Überwachung der DSGVO-Einhaltung, Beratung bei DSFA, Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für betroffene Personen.
Braucht ein FM-Unternehmen einen DSB?
Fast immer ja. FM-Unternehmen verarbeiten Zeiterfassungsdaten, Personalstammdaten, teils GPS-Daten und Gesundheitsdaten (Krankmeldungen). Ab 20 MA mit Datenzugang ist der DSB Pflicht.
Wie hilft CERTISCAN dem DSB?
CERTISCAN erstellt automatisch ein Verarbeitungsverzeichnis, bietet einen lückenlosen WORM-Audit-Trail und hostet alle Daten DSGVO-konform auf deutschen Servern (Hetzner). Das erleichtert die Arbeit des DSB erheblich.
Muss der DSB bei der Behörde gemeldet werden?
Ja, die Kontaktdaten des DSB müssen der zuständigen Aufsichtsbehörde mitgeteilt und veröffentlicht werden (Art. 37 Abs. 7 DSGVO). Die Meldung erfolgt online über das Portal der Landesbehörde.
Zählen Reinigungskräfte bei der 20-Personen-Grenze?
Nur wenn sie Zugang zu personenbezogenen Daten haben. Reine Reinigungskräfte ohne Datenzugang zählen nicht. Sobald sie aber z.B. die CERTISCAN-App für digitale Checklisten nutzen und dabei Personendaten sehen, zählen sie.
Explore more

Related topics

Datenschutz Bußgeld-RechnerBußgeldrisiko berechnenDSGVO Auskunft Frist-RechnerAntwortfristen berechnenDatenpanne Meldepflicht72-Stunden-FristLöschfristen-RechnerAufbewahrungsfristenCERTISCAN DatenschutzDatenschutzerklärung

Related calculators

Datenschutz & IT-SicherheitPasswort-Stärke prüfen: Wie sicher?Datenschutz & IT-SicherheitLöschfristen DSGVO: Wann Daten löschen?Datenschutz & IT-SicherheitDSGVO Auskunft: Frist berechnen (Art. 15)Datenschutz & IT-SicherheitDatenpanne: Muss ich melden? (72 Stunden)
Less number-crunching, more done
CERTISCAN unterstützt Ihren Datenschutzbeauftragten: Verarbeitungsverzeichnis, Audit-Trail, DSGVO-konforme Datenverarbeitung auf deutschen Servern. Preis auf Anfrage.
Try for free
CERTISCAN

Compliance & operations in one app. Made & hosted in Germany.

Product
SolutionsModulesToolsKnowledgeGlossaryTrust CenterPricingBlog
Company
AboutContact
Legal
PrivacyImprintTermsDPAAccessibility
© 2026 CERTISCAN · Christoph Schulz · Siegen
AES-256 · DSGVO · WORM-Audit
Personen mit regelmäßigem Zugang zu personenbezogenen Daten
Kerntätigkeit in der Datenverarbeitung?
JA
DSB-Pflicht
DSB-Pflicht besteht
MA mit Datenverarbeitung
25 Personen
§ 38 BDSG (≥ 20 MA)
Erfüllt
Art. 37 DSGVO (Kerntätigkeit)
Nicht erfüllt
Besondere Kategorien
Nein
Empfehlung
DSB bestellen (intern/extern)
Kosten externer DSB
200–800 €/Monat
Achtung Handlungsbedarf: Sie sind zur Bestellung eines Datenschutzbeauftragten verpflichtet. Ein fehlender DSB kann Bußgelder bis 10 Mio. € nach sich ziehen. CERTISCAN unterstützt Ihren DSB mit Audit-Trail und Verarbeitungsverzeichnis.