CERTISCAN
Kostenlos, ohne Anmeldung

Datenschutzbeauftragter: Ab wann Pflicht?

Brauche ich einen Datenschutzbeauftragten? Ab 20 MA mit Datenverarbeitung oder bei besonderen Kategorien. Jetzt kostenlos prüfen. CERTISCAN Rechner.

DSB-Pflicht prüfen

Personen mit regelm\u00e4\u00dfigem Zugang zu personenbezogenen Daten
Kernt\u00e4tigkeit in der Datenverarbeitung?
Besondere Datenkategorien (Art. 9 DSGVO)
Gesundheitsdaten, Biometrie, Religion, Gewerkschaft etc.
JA
DSB-Pflicht
DSB-Pflicht besteht
MA mit Datenverarbeitung25 Personen
§ 38 BDSG (≥ 20 MA)Erfüllt
Art. 37 DSGVO (Kerntätigkeit)Nicht erfüllt
Besondere KategorienNein
EmpfehlungDSB bestellen (intern/extern)
Kosten externer DSB200–800 €/Monat
⚠️ Handlungsbedarf: Sie sind zur Bestellung eines Datenschutzbeauftragten verpflichtet. Ein fehlender DSB kann Bußgelder bis 10 Mio. € nach sich ziehen. CERTISCAN unterstützt Ihren DSB mit Audit-Trail und Verarbeitungsverzeichnis.

📧 Ergebnis als PDF per E-Mail erhalten

Kostenlos, unverbindlich und sofort in Ihrem Postfach.

Ich stimme der Datenschutzerkl\u00e4rung zu. *
Ja, ich m\u00f6chte Praxis-Tipps zu Compliance & HR erhalten (max. 2\u00d7/Monat, jederzeit abbestellbar).

Kein Spam. Keine Kreditkarte. Nur Ihr Ergebnis.

Automatisch berechnen mit CERTISCAN

CERTISCAN unterstützt Ihren Datenschutzbeauftragten: Verarbeitungsverzeichnis, Audit-Trail, DSGVO-konforme Datenverarbeitung auf deutschen Servern. Ab 29 €/Monat.

14 Tage kostenlos testen →Mehr zu Hinweisgeberschutz

Datenschutzbeauftragter – ab wann ist er Pflicht?

Die Bestellung eines Datenschutzbeauftragten (DSB) ist in Deutschland für viele Unternehmen verpflichtend. Die Pflicht ergibt sich aus § 38 BDSG (ab 20 MA mit regelmäßiger Datenverarbeitung) und Art. 37 DSGVO (bei Kerntätigkeit Datenverarbeitung). Der kostenlose CERTISCAN Rechner prüft Ihre Situation.

Beispiel: Ein FM-Unternehmen mit 25 Mitarbeitern, die regelmäßig Personalstammdaten, Zeiterfassung und Kundendaten verarbeiten, ist zur Bestellung eines DSB verpflichtet (§ 38 BDSG). Der DSB kann intern oder extern bestellt werden.

Die drei Pflicht-Grundlagen

  • § 38 BDSG: Ab 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind
  • Art. 37 DSGVO: Kerntätigkeit erfordert umfangreiche, regelmäßige Überwachung
  • Besondere Kategorien: Verarbeitung von Gesundheitsdaten, Religion, Gewerkschaft etc.

Warum CERTISCAN?

CERTISCAN unterstützt Ihren DSB mit automatischem Verarbeitungsverzeichnis, lückenlosem Audit-Trail und DSGVO-konformer Datenverarbeitung auf deutschen Servern (Hetzner). Ab 29 €/Monat mit AVV, Verschlüsselung und EU Data Act Compliance.

Berechnung gepr\u00fcft von Christoph Schulz, Gr\u00fcnder CERTISCAN. Letzte Aktualisierung: M\u00e4rz 2026.

DSB-Pflicht prüfen: CERTISCAN vs. Alternativen

FunktionCERTISCANExcelOhne Software
VerarbeitungsverzeichnisAutomatischManuellPapier
Audit-TrailWORM (SHA-256)KeinerKeiner
AVV-Verwaltung
DSFA-Unterstützung
Datenschutz-AnfragenTracking + FristenManuellManuell
Hosting DeutschlandHetzner DELokalLokal
VerschlüsselungAES-256NeinNein
Kosten29 €/Mo0 €0 €

Alles über den Datenschutzbeauftragten

Gesetzliche Grundlagen

  • § 38 Abs. 1 BDSG: DSB-Pflicht ab 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind
  • Art. 37 Abs. 1 DSGVO: Pflicht bei Kerntätigkeit in umfangreicher Überwachung oder Verarbeitung besonderer Kategorien
  • § 38 Abs. 1 Satz 2 BDSG: Pflicht bei Datenschutz-Folgenabschätzung (DSFA) oder gewerbsmäßiger Datenübermittlung

Wer zählt bei den 20 Personen?

  • Ja: Alle Personen mit regelmäßigem Zugang zu personenbezogenen Daten
  • Ja: Vollzeit, Teilzeit, Minijobber, Auszubildende, Leiharbeiter
  • Ja: Auch ehrenamtliche Mitarbeiter mit Datenzugang
  • Nein: Reine Produktion/Fertigung ohne Datenzugang
  • Nein: Reinigungspersonal ohne Datenzugang

Besondere Datenkategorien (Art. 9 DSGVO)

  • Gesundheitsdaten: Krankmeldungen, BEM-Gespräche, arbeitsmedizinische Untersuchungen
  • Biometrische Daten: Fingerabdruck-Scanner, Gesichtserkennung
  • Religionszugehörigkeit: Kirchensteuer-Merkmal in der Lohnabrechnung
  • Gewerkschaftszugehörigkeit: Betriebsratswahlen
  • Ethnische Herkunft: AGG-relevante Daten

Branchen mit typischer DSB-Pflicht

  • Facility Management: Zeiterfassung, GPS-Tracking, Personalverwaltung → fast immer Pflicht
  • Gesundheitswesen: Patientendaten → immer Pflicht
  • Finanzbranche: Kontodaten, Scoring → immer Pflicht
  • Personaldienstleister: Bewerberdaten, MA-Daten → fast immer Pflicht
  • IT-Dienstleister: Kundendaten, Hosting → oft Pflicht

Interner vs. externer DSB

  • Interner DSB: Mitarbeiter des Unternehmens, besonderer Kündigungsschutz, muss fortgebildet werden
  • Externer DSB: Dienstleister, kein Kündigungsschutz, oft kostengünstiger für KMU
  • Kosten intern: Fortbildung 2.000–4.000 €/Jahr + anteilige Arbeitszeit
  • Kosten extern: 200–800 €/Monat je nach Unternehmensgröße

Aufgaben des DSB (Art. 39 DSGVO)

  1. Unterrichtung und Beratung des Verantwortlichen
  2. Überwachung der Einhaltung der DSGVO
  3. Beratung bei Datenschutz-Folgenabschätzung
  4. Zusammenarbeit mit der Aufsichtsbehörde
  5. Anlaufstelle für betroffene Personen

Verwandte Themen

H\u00e4ufig gestellte Fragen

Ab 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Zählen: Vollzeit, Teilzeit, Minijobber, Azubis, Leiharbeiter mit Datenzugang.
Ja, aber unabhängig von der Unternehmensgröße gilt die DSB-Pflicht auch bei Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, Biometrie) oder bei Kerntätigkeit in der Datenverarbeitung.
Art. 9 DSGVO schützt: Gesundheitsdaten, biometrische Daten, Religion, ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit und Sexualleben. Im FM relevant: Krankmeldungen und ggf. Fingerabdruck-Zeiterfassung.
Beides ist möglich. Interne DSB haben besonderen Kündigungsschutz und müssen fortgebildet werden. Externe DSB sind für KMU oft kostengünstiger (200–800 €/Monat) und bringen sofort Expertise mit.
Ein fehlender DSB ist ein DSGVO-Verstoß. Bußgelder: 5.000–100.000 € in der Praxis. Theoretisch bis 10 Mio. € oder 2% des Jahresumsatzes. Dazu kommen Reputationsschäden bei Bekanntwerden.
Hauptaufgaben: Beratung des Unternehmens, Überwachung der DSGVO-Einhaltung, Beratung bei DSFA, Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für betroffene Personen.
Fast immer ja. FM-Unternehmen verarbeiten Zeiterfassungsdaten, Personalstammdaten, teils GPS-Daten und Gesundheitsdaten (Krankmeldungen). Ab 20 MA mit Datenzugang ist der DSB Pflicht.
CERTISCAN erstellt automatisch ein Verarbeitungsverzeichnis, bietet einen lückenlosen WORM-Audit-Trail und hostet alle Daten DSGVO-konform auf deutschen Servern (Hetzner). Das erleichtert die Arbeit des DSB erheblich.
Ja, die Kontaktdaten des DSB müssen der zuständigen Aufsichtsbehörde mitgeteilt und veröffentlicht werden (Art. 37 Abs. 7 DSGVO). Die Meldung erfolgt online über das Portal der Landesbehörde.
Nur wenn sie Zugang zu personenbezogenen Daten haben. Reine Reinigungskräfte ohne Datenzugang zählen nicht. Sobald sie aber z.B. die CERTISCAN-App für digitale Checklisten nutzen und dabei Personendaten sehen, zählen sie.

Verwandte Themen

Datenschutz Bußgeld-RechnerBußgeldrisiko berechnenDSGVO Auskunft Frist-RechnerAntwortfristen berechnenDatenpanne Meldepflicht72-Stunden-FristLöschfristen-RechnerAufbewahrungsfristenCERTISCAN DatenschutzDatenschutzerklärung

Bereit f\u00fcr automatische Berechnung?

14 Tage kostenlos. Keine Kreditkarte. Keine K\u00fcndigung n\u00f6tig.

CERTISCAN kostenlos testen