Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort DSGVO-Probleme finden
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo

Was ist ein Datenschutzbeauftragter? DSB-Pflicht oder nicht?

Deutsche Version (Original)
English Español Italiano Français Nederlands Dansk Svenska Polski Українська
Veröffentlicht am 9. April 2024 von Dr. DSGVO · Zuletzt aktualisiert am 15. Oktober 2025 · Lesezeit: 10 Minuten
10
DSB Pflicht oder nicht
Dr. DSGVO Newsletter erkannt: Erweiterte Funktionen verfügbar
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
Standardansicht: Dr. DSGVO Newsletter nicht erkannt. Erweiterte Funktionen nur für Abonnenten:
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
📄 Artikel als PDF
📄 Artikel als PDF (nur für Newsletter-Abonnenten)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Kategorien: Datenschutz und Allgemein

Der Datenschutzbeauftragte (DSB) ist für Firmen verpflichtend, die 20 oder mehr Mitarbeiter in typischer Bürotätigkeit beschäftigen. Über diesen Zwang diskutierte kürzlich der Bundestag. Warum ist der Beauftragte ein Beauftragter? Die Antwort auf diese Frage ist zugleich die Lösung für die willkürliche Zwangsbestellung des DSB.

Einleitung

Jede Firma ab einer gewissen Größe benötigt einen Datenschutzbeauftragten. Jedenfalls gilt dies, sofern mindestens 20 Mitarbeiter regelmäßig mit der digitalen (automatisierten) Datenverarbeitung beschäftigt sind.

Diese Grenze von 20 Mitarbeitern ist in § 38 BDSG festgelegt. Früher lag die Grenze bei 10 Mitarbeitern.

Dem Gesetzgeber kann kein Vorwurf gemacht werden, dass er eine Grenze erdenkt, die er für sinnvoll erachtet. Eine gesetzlich festgelegte Grenze ist immer an sich willkürlich. Das gilt beispielsweise auch für den Steuersatz und die Grenzen für Steuersätze sowie für das gesamte Steuersystem an sich.

Eine Grenze vorzufinden, ist Anlass zum Nachdenken. Vor allem dann, wenn die Grenze

a) zunächst auf EU-Ebene gar nicht vorhanden war (DSGVO),

b) dann in Deutschland auf 10 Mitarbeiter festgelegt wurde,

c) dann in Deutschland auf 20 Mitarbeiter festgelegt wurde,

d) dann abgeschafft werden sollte, aber doch nicht abgeschafft wurde.

Wie wäre es, keine Grenze zu haben?

Der Datenschutzbeauftragte als Option statt als Zwang

Der DSB ist für viele Firmen Pflicht. Das ist gut für den DSB und meistens auch gut für den Datenschutz. Jedenfalls schadet es meistens nicht, dass der DSB existiert. Dies sei etwas differenziert festgestellt, weil Fälle bekannt sind, in denen die falsche Meinung eines DSB zu schlechten Ergebnissen führt.

Ob diese hoffentlich seltene Fehlmeinung des DSB dafür verantwortlich ist, dass auf den meisten deutschen Webseiten erhebliche Datenschutzverstöße zu beklagen sind oder ob es die Beratungsresistenz der Mandanten ist, sei dahingestellt. Üblicherweise hat der Berater recht, auch dann, wenn er nicht Berater, sondern Beauftragter heißt.

Wäre der Datenschutzbeauftragte nicht verpflichtend, würden Unternehmen ihn dann dennoch bestellen?

Oft ist zu beobachten, dass auch Kleinstfirmen einen DSB berufen, obwohl sie dies nicht müssten. Man kann zudem annehmen, dass größere Firmen von sich aus einen DSB bestellen, auch wenn sie dies nicht tun müssten. Wie sähe es aus, wenn eine Behörde (die faktisch keine Bußgelder verhängt) in einem Konzern vorbeischaut und sieht, dass sich dort niemand dediziert um den Datenschutz kümmert?

Was macht der DSB eigentlich?

Eine gute Frage, die hier nur ansatzweise beantwortet werden soll.

Der DSB ist in erster Linie ein Berater. Viele DSBs liefern ihren Mandanten zu Beginn der Tätigkeit ein Informationspaket mit Schulungsangeboten, die oft per Video, Präsentation oder Leitfäden bereitgestellt werden. Ebenso findet anfangs eigentlich immer ein Erstgespräch statt. In diesem werden die Besonderheiten der Datenverarbeitung beim Mandanten als Verantwortlichem geklärt.

Kommt es zu einer Datenpanne, wird der DSB eingebunden. Ebenso dann, wenn Betroffene von ihrem Auskunftsrecht Gebrauch machen (Art. 15 DSGVO). Auch sonst ist der DSB ein guter Ansprechpartner für Fachfragen und gibt seinem Mandanten Hinweise, wenn dies angebracht ist.

Der Datenschutzbeauftragte scheint jedenfalls kein Auftragsverarbeiter zu sein (vgl. Art. 37 DSGVO).

Vorschlag für Motivation zur DSB-Bestellung

Wie wäre es, wenn Verstöße gegen verbindliche Datenschutzregeln endlich sanktioniert werden würden? Solche Regeln sind in der DSGVO als Verordnung und imTDDDG (vormals TTDSG) und BDSG als Gesetze zu finden. Doch niemand interessiert sich wirklich dafür, was im Internet alles schiefläuft. Jedenfalls in Deutschland nicht.

Datenschutzbehörden sanktionieren einfach nicht. Die extrem wenigen Fälle, in denen in Deutschland ein Bußgeld erlassen wurde, sind nicht der Rede wert.

In Deutschland wurde der häufigste Verstoß im Datenschutz bisher kein einziges Mal sanktioniert.

Kein einziges Mal = null oder Epsilon-Umgebung.

Der häufigste Datenschutzverstoß, der zudem am leichtesten nachweisbar ist, wurde genau kein einziges Mal sanktioniert. Es handelt sich um rechtswidriges Web Tracking inklusive rechtswidriger Cookies. Nur für den Fall, dass jemand einen Fall findet: Ob null oder fünf, ist bei Millionen von Datenschutzverletzungen, die in Deutschland pro Tag im Internet stattfinden, das gleiche wie null. Der Fast-Mathematiker würde sagen: Die Anzahl der Sanktionen liegt innerhalb der Epsilon-Umgebung von null.

Wenn es die Verbraucherzentrale und Einzelpersonen wie Max Schrems, der weit reichende EuGH-Urteile bewirkt hat, nicht geben würde, dann würde in Deutschland gefühlt gar nichts passieren. Außer, dass Behörden immer neue Empfehlungen herausgeben und ankündigen Prüfungen zu machen, diese durchführen und feststellen, dass einiges im Argen liegt. Danach gehen die Behördenmitarbeiter dann wieder anderen, angenehmeren Tätigkeiten nach. Man will sich ja nicht unbeliebt machen. Oder, wie ein Referatsleiter beim Hessischen Datenschutzbeauftragten, auch mal an die Pension denken, die nur einen Wimpernschlag von 8 Jahren entfernt ist (diese Informationen sind aus erster Hand und mehrfach kommuniziert worden). Da verwundert es auch nicht, dass Google Analytics von dieser Behörde als harmlos angesehen wird und sexuelle Vorlieben, ausgedrückt durch den Kauf von Sexspielzeug, als nicht schützenswerte Daten gesehen werden.

Quizfrage: Was ist der Unterschied zwischen einem Steuerberater und einem Datenschutzbeauftragten?

Einige Antwortmöglichkeiten für diese Quizfrage, die fachliche Ausrichtung beider Berufe außen vor gelassen:

  1. Der Steuerberater wird Berater genannt, der Datenschutzbeauftragte wird Beauftragter genannt.
  2. Der Steuerberater ist nichts zwangsweise vorgeschrieben, der Datenschutzbeauftragte aber oft schon.
  3. Der Steuerberater wird sehr oft beauftragt, obwohl es nicht vorgeschrieben ist, der Datenschutzbeauftragte aber eher nicht.
  4. Mit dem Steuerberater wird selten „selbstbewusst“ diskutiert, mit dem Datenschutzbeauftragten aber schon („Können wir denn nicht einfach Google Analytics auf unserer Webseite einbinden? Es passiert doch sowieso nichts!“)

Steuerberater versus Datenschutzbeauftragter

Ein Steuerberater hat qualitativ sehr viel mit einem Datenschutzbeauftragten gemeinsam. Beide sind Berater, nur heißt der eine Beauftragter. Beide sollen allen möglichen Kram erledigen, was in Form aller möglicher zugesandter Dokumente kommuniziert wird. Beide sind keine Auftragsverarbeiter (beim StB gibt es bestimmte Tätigkeiten, die anders zu beurteilen sind). Beide haben eine Haftung, wenn sie ihren Job nicht richtig machen und insbesondere, wenn sie ihre Mandanten nicht richtig beraten. Beide kosten Geld. Beide tragen nichts zur Produktivität einer Firma bei, sondern helfen „nur“ dabei, rechtliche Vorgaben zu erfüllen.

Wieso hat meine Firma einen Steuerberater, obwohl nicht vorgeschrieben? Wieso hat keine Firma im Ort (12 Betriebe) einen Datenschutzbeauftragten?

Die Antwort lautet: Weil der Steuerberater notwendig ist, damit es keinen Ärger mit dem Finanzamt gibt. Der Datenschutzbeauftragte hilft einem aber nicht, Ärger loszuwerden, weil es diesen Ärger so nicht gibt.

Wer hat Angst vorm bösen Wolf?

Niemand, wenn der böse Wolf eine Datenschutzbehörde ist.

Jeder, wenn der böse Wolf das Finanzamt ist.

DSB versus StB.

Der Hauptunterschied zwischen freiwilligem Steuerberater und oft zwangsweisem Datenschutzbeauftragten ist also, dass der Umgang mit Steuerdaten innerhalb einer Drohkulisse stattfindet und der Umfang mit personenbezogenen Daten ohne jede Konsequenz ist, wenn man sich nicht ganz blöd anstellt.

Behörden in Deutschland sanktionieren nicht. Die hessische Datenschutzbehörde hat keine Lust zum Sanktionieren. Hessen ist ein gesichertes Beispiel, da direkt vor der Haustür und Aussagen von Behördenvertretern persönlich und auch aus Verfahren heraus vernommen werden konnten. Andere Behörden sind engagierter, haben aber sehr wenig Personal. In diesem Zusammenhang könnte man erneut die Abschaffung des Föderalismus fordern!

Der Vorschlag in diesem Beitrag lautet also:

  • Eine Bestellpflicht für Datenschutzbeauftragte sollte vollständig entfallen.
  • Stattdessen sollten Behörden endlich anfangen, zu sanktionieren und Bußgelder auch wegen Verstößen im Internet zu verhängen.
  • Untergeordnet, aber ein nettes Detail (DSB -> StB): Der Datenschutzbeauftragte sollte mit der Bezeichnung Datenschutzberater geführt oder zumindest – analog zum Steuerberater – als Berater angesehen werden und nicht als Beauftragter.

Damit lösen sich gleich mehrere Probleme:

  • Eine virtuelle Mitarbeitergrenze für eine Bestellpflicht entfällt. Der Bundestag hat Zeit für andere Aufgaben.
  • Datenschutzbeauftragte werden endlich überall ernst genommen.
  • Datenschutz wird zum Mehrwert.
  • Plattformen wie Facebook oder Instagram und Plugins wie die von Google oder Meta werden endlich abgestraft, nämlich bei denen, die sie rechtswidrig einsetzen. Wahrscheinlich werden demnächst dann auch mal Google oder Meta dran glauben müssen.

Fazit

Der Datenschutzmarkt ist krank. Das liegt an fehlenden Sanktionen und an nichts anderem. Schuld an den ganzen Cookies und Cookie-Popups ist übrigens nicht die DSGVO, sondern Konzerne wie Google oder Meta, die neben Microsoft und weiteren Verdächtigen auch Mitglied im Bitkom sind.

Die DSGVO gibt betroffenen Personen angeblich viele Rechte. Doch wenn es darum geht, diese Rechte einzufordern, dann wird es problematisch.

Zum einen haben deutsche Datenschutzbehörden entweder keine Lust oder kein Personal, um Sanktionen zu erlassen.

Zum anderen muss wegen jeder Kleinigkeit vor deutschen Gerichten darüber gestritten werden, ob die DSGVO wirklich so gemeint war. Das bedeutet: Ist es wirklich so gewollt, dass jemand nicht nur das Recht hat, dass dessen Daten nicht einfach so misshandelt werden, sondern dass dieser Jemand dann auch noch darauf bestehen und Unterlassung fordern darf?

Also, manches geht wirklich zu weit. Wo kämen wir da hin, wenn jede Person Rechte hätte? Am Ende könnte man zu allem Überfluss den Zwang zur Bestellung eines Datenschutzbeauftragten entfernen, ohne dass es jemand merkt. Oder spaßeshalber den Steuerberater auch verpflichtend machen und ihn in Steuerbeauftragten umbenennen.

Kernaussagen dieses Beitrags

Obwohl es Pflicht ist, einen Datenschutzbeauftragten zu haben, wenn ein Unternehmen über 20 Mitarbeiter beschäftigt, bestellen viele Firmen ihn trotzdem, weil er wichtig für den Schutz von Daten ist.

In Deutschland werden Datenschutzverstöße kaum geahndet, obwohl es dafür Gesetze gibt.

Die Pflicht zum Datenschutzbeauftragten sollte abgeschafft werden, weil Behörden ihre Sanktionsmöglichkeiten nutzen sollten, anstatt Unternehmen zu zwingen, einen Beauftragten zu haben.

Der Datenschutzmarkt ist pervers, weil es keine wirklichen Konsequenzen für Unternehmen gibt, die Daten missbrauchen.

Über diese Kernaussagen

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die IT Logic GmbH, berät Kunden und bietet Webseiten-Checks sowie optimierte & sichere Lösungen an (mit und ohne KI).
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/was-ist-ein-datenschutzbeauftragter
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Michael

    Volle Zustimmung – unter der Voraussetzung, dass der Vorschlag zur Abschaffung der DSB-Pflicht eine Satire ist.
    In der Schweiz heißt des übrigens "Datenschutzberater" – Applaus!

    Antworten
    • Dr. DSGVO

      Datenschutzberater in CH: Sehr gut 🙂

      DSB-Pflicht abschaffen: Siehe Beitrag 😉
      Ja, abschaffen, aber dann gleichzeitig den Druck erhöhen, Datenschutzgesetze einhalten zu müssen (Kontrollen, vor allem aber Sanktionen). Siehe Steuerberater (siehe Beitrag), da funktioniert es bestens.

      Antworten
      • Michael

        Den "Druck" sehe ich nicht, hätte ihn aber auch gerne. Dies nicht wegen "noch mehr Arbeit/Geld", sondern weil ich überzeugter Datenschützer bin. Nur sind zu wenige Verantwortliche ähnlich überzeugt. Dies und/oder der Druck sind wohl nötig, um im Interesse der Betroffenen (um die geht es immerhin!!!) den Datenschutz wirksam umzusetzen.
        Hoffen wir auf Besserung.

        Antworten
    • H.M.Müller

      Ich bin mir sicher, es ist keine Satire – unter der Voraussetzung(!), dass Sanktionen in signifikantem Umfang verhängt werden! Dann braucht man in Kürze eben keine Pflicht mehr = alle werden sich um (halbwegs gute) Datenschutzberater reißen – siehe Steuerberater …

      H.M.

      Antworten
  2. H.M.Müller

    Als jemand, der mit einem (guten) DSB häufig zusammenarbeitet: Vollständig d'accord!

    Kleinigkeit: Der Satz "Wieso hat keine Firma im Ort (12 Betriebe) keinen Datenschutzbeauftragten?" sollte doch heißen "Wieso hat keine Firma im Ort … EINEN Datenschutzbeauftragten?", nehme ich an.

    Grüße
    HMMüller

    Antworten
    • Dr. DSGVO

      Vielen Dank, der Schreibfehler wurde korrigiert!

      Antworten
  3. F. Schmidt

    Das würde ich fast exakt so unterschreiben.

    Es stellt sich die Frage, weshalb der deutsche Staat bzw. die Bundesländer sich beharrlich weigern, geltendes EU-Recht durchzusetzen. Denn als nichts anderes muss man die Arbeitsweise der Mehrheit unserer Aufsichtsbehörden klassifizieren. Die Benennungspflicht aus § 38 BDSG ist lediglich ein Feigenblatt, die sich der Staat geschaffen hat, um den Kontrollaufwand und damit die Kosten gering zu halten. Man geht davon aus, dass mit einem DSB alles einigermaßen geregelt ablaufen würden. Mangels vorhandenen Weisungsrechts der DSB ist das natürlich ein Trugschluss. Die meisten Unternehmen werden (vernünftigerweise) die Umsetzung der DSB-Empfehlungen auch unter betriebswirtschaftlichen und Risiko-Gesichtspunkten bewerten. Und die Bereitschaft, in Rechtskonformität zu investieren, ist proportional zum Risiko, bei Verstößen erwischt zu werden und sich verantworten zu müssen: Sie konvergiert zumindest in DE gegen Null. Und damit ist das Problem exakt wie im Artikel beschrieben einzig und allein der nicht vorhandene Kontrolldruck.

    Benennungspflicht abschaffen? Aber ja. Aber nicht einfach so planlos, weil Lobbyverbände das zur "Entlastung" der Industrie fordern. Im Gegenzug muss selbstverständlich die Überwachung der Einhaltung gesetzlicher Regelungen und wirksame Sanktionierung von Verstößen sichergestellt sein.

    Als Nebeneffekt müssten DSB sich nicht ständig rechtfertigen, warum die Unternehmen "sinnlos Geld für den Datenschutz herauswerfen" (Zitat aus einem Kundengespräch), obwohl ja eh nichts passieren kann.

    Antworten
  4. Thomas Kaufmann

    Hallo,
    Danke für den Podcast. Gerade erst gehört, aber eine Bemerkung brennt mir noch auf der Seele.
    Man müsste in dem Moment, in dem die Bestellpflicht endet, dann bitte, bitte auch möglich sein, dass Leute wie ich Beraten *dürfen*. Ich bin Wirtschaftsinformatiker, kann also IT und Organisation. Ohne eine Bestellung zum DSB darf ich, trotz entsprechender Weiterbildung und Zertifikaten, aber zum Recht nicht beraten. Und leider kann man das im Datenschutz weit auslegen.
    Seht Ihr das auch so eng wie ich oder bin ich da zu ängstlich/vorsichtig?

    Liebe Grüße und macht weiter so
    Thomas

    Antworten
    • Dr. DSGVO

      Rechtsberatung darf sogar jeder machen, es darf aber keine überwiegende Tätigkeit sein und auch nichts, was sehr in das Gebiet des Juristen hereinragt (wie beispielsweise eine individuelle Vertragserstellung).

      Auch als Datenschutzberater darf man aktiv sein.
      Wenn als DSB, dann am besten mit Qualifikationsnachweis. Jeder darf DSB sein, wenn die Qualifikation ausreicht. Wann das der Fall ist, ist Auslegungssache.

      Antworten
  5. Eric

    Spannender Beitrag! Besonders in kleinen und mittleren Unternehmen besteht oft Unsicherheit darüber, ob sie überhaupt einen Datenschutzbeauftragten bestellen müssen oder nicht. Die gesetzlichen Vorgaben dazu sind klar, aber in der Praxis gibt es viele Grauzonen. […]

    Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Künstliche Intelligenz ist nicht regulierbar, weil Intelligenz nicht regulierbar ist.