„Brauchen wir eigentlich einen Datenschutzbeauftragten?" Diese Frage stellen sich viele Geschäftsführer kleiner und mittlerer Unternehmen in Templin, Prenzlau und der gesamten Uckermark — oft erst dann, wenn ein Bußgeldbescheid droht oder ein Mitarbeitender die Aufsichtsbehörde einschaltet. Dabei ist die Antwort in vielen Fällen eindeutig: Ja, es besteht eine gesetzliche Pflicht. Und selbst wenn keine formale Pflicht besteht, ist ein kompetenter Datenschutzbeauftragter (DSB) ein wertvoller Schutz vor Haftungsrisiken und ein echtes Qualitätsmerkmal gegenüber Kunden und Geschäftspartnern. Dieser Artikel erklärt, wann ein DSB Pflicht ist, was er tut, was er kostet und warum externer Sachverstand oft die bessere Wahl ist.
Rechtsgrundlage: Wer muss einen DSB benennen?
Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus zwei Rechtsquellen, die zusammen gelesen werden müssen:
Art. 37 DSGVO regelt die europäische Grundlage und sieht eine DSB-Pflicht vor, wenn die Kerntätigkeit des Unternehmens in der umfangreichen regelmäßigen und systematischen Überwachung von Personen besteht (z.B. Videoüberwachung, Tracking) oder wenn die Kerntätigkeit die umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO umfasst — darunter Gesundheitsdaten, biometrische Daten, genetische Daten, Daten zur religiösen Überzeugung und gewerkschaftliche Mitgliedschaft.
§ 38 BDSG enthält die deutsche Spezialregelung und senkt die Schwelle erheblich: In Deutschland muss ein DSB bereits dann bestellt werden, wenn im Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese deutsche Sonderregelung geht über die DSGVO hinaus und erfasst auch viele kleinere Betriebe, die unter der europäischen Schwelle lägen.
Wann ist ein DSB konkret Pflicht?
Für Unternehmen in der Uckermark und Brandenburg sind vor allem drei Konstellationen relevant:
Schwellenwert nach § 38 BDSG
Beschäftigen Sie mehr als 20 Personen, die regelmäßig mit der Verarbeitung personenbezogener Daten auf Computern oder sonstigen automatisierten Mitteln bearbeiten, ist ein DSB Pflicht. In der Praxis betrifft das nahezu jeden Betrieb mit mehr als 20 Mitarbeitenden, der Lohnbuchhaltung digital führt, Kundendaten in einem CRM-System pflegt oder Mitarbeiterdaten in einer HR-Software verwaltet. Beachten Sie: „Regelmäßig" bedeutet nicht täglich — auch wöchentliche Verarbeitung erfüllt das Kriterium.
Verarbeitung besonderer Datenkategorien
Unabhängig von der Mitarbeiterzahl besteht eine DSB-Pflicht, wenn die Kerntätigkeit Ihres Unternehmens die umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO umfasst. Für Pflegedienste, Arztpraxen, Physiotherapeuten und andere Gesundheitsdienstleister bedeutet das: Ein DSB ist immer Pflicht, denn Gesundheitsdaten von Patienten oder Pflegebedürftigen sind stets besondere Datenkategorien — unabhängig davon, ob Sie 5 oder 500 Mitarbeitende haben.
Datenschutz-Folgeabschätzungen
Auch wenn keiner der obigen Punkte zutrifft: Wenn Ihr Unternehmen Verarbeitungstätigkeiten durchführt, für die nach Art. 35 DSGVO eine Datenschutz-Folgeabschätzung (DSFA) erforderlich ist — z.B. weil Sie biometrische Zugangssysteme einsetzen oder umfangreiche Mitarbeiterüberwachung betreiben — ist ein DSB zu empfehlen, auch wenn keine formale Pflicht besteht.
Aufgaben des Datenschutzbeauftragten
Der Datenschutzbeauftragte ist kein bloßer „Datenschutz-Sheriff", der Verstöße ahndet. Seine Kernaufgaben nach Art. 39 DSGVO sind konstruktiver Natur:
- Beratung der Geschäftsführung: Der DSB berät das Management und die Mitarbeitenden bei allen Fragen rund um den Datenschutz — von der Einführung neuer Software bis zur Gestaltung von Einwilligungserklärungen.
- Überwachung der DSGVO-Einhaltung: Der DSB überwacht, ob die datenschutzrechtlichen Pflichten im Unternehmen tatsächlich eingehalten werden, und identifiziert Handlungsbedarf.
- Schulung der Mitarbeitenden: Regelmäßige Schulungen für Mitarbeitende sind Pflicht — der DSB konzipiert, organisiert und führt diese Schulungen durch.
- Ansprechpartner für die Aufsichtsbehörde: In Brandenburg ist das Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg) die zuständige Aufsichtsbehörde. Der DSB ist der erste Ansprechpartner für die LDA bei Anfragen, Prüfungen oder Meldungen von Datenschutzverletzungen.
- Dokumentation und Verzeichnis von Verarbeitungstätigkeiten: Art. 30 DSGVO verpflichtet Unternehmen zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten. Der DSB erstellt und pflegt dieses Verzeichnis und stellt sicher, dass es jederzeit aktuell und vollständig ist.
Interner vs. externer DSB: Was passt für Ihr Unternehmen?
Interner Datenschutzbeauftragter
Ein interner DSB ist ein Mitarbeitender Ihres Unternehmens, dem die DSB-Funktion zusätzlich zu seiner eigentlichen Tätigkeit übertragen wird. Der offensichtliche Vorteil: Er kennt die Abläufe, Systeme und Strukturen Ihres Unternehmens aus dem Alltag. Die Nachteile sind jedoch erheblich: Ein interner DSB muss umfassend geschult werden (TÜV-, GDD- oder IHK-Zertifizierung), benötigt laufende Fortbildungen und verfügt möglicherweise über einen Interessenkonflikt, wenn seine Haupttätigkeit in einem Bereich liegt, den er als DSB überwachen soll. Zudem genießt ein interner DSB einen besonderen Kündigungsschutz — er kann nach Abberufung als DSB noch ein Jahr lang nicht betriebsbedingt gekündigt werden (§ 6 Abs. 4 BDSG).
Externer Datenschutzbeauftragter
Ein externer DSB ist ein unabhängiger Dienstleister, der die DSB-Funktion auf Basis eines Dienstleistungsvertrags übernimmt. Die Vorteile überwiegen für die meisten KMU deutlich: Der externe DSB bringt aktuelle Expertise mit, ist unabhängig von internen Interessenkonflikten, muss nicht im Unternehmen qualifiziert werden und ist jederzeit durch einfache Kündigung des Dienstleistungsvertrags abberufbar — ohne Kündigungsschutzrisiko. Der häufig genannte Nachteil, dass der externe DSB das Unternehmen nicht so gut kennt wie ein interner, lässt sich durch regelmäßige Abstimmungsgespräche und eine sorgfältige initiale Einarbeitung gut kompensieren.
Qualifikationen und Zertifizierungen
Art. 37 Abs. 5 DSGVO fordert, dass der DSB auf Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit zur Erfüllung der Aufgaben bestellt wird. In der Praxis haben sich drei Zertifizierungen als anerkannte Nachweise etabliert:
- IHK-Zertifikat „Datenschutzbeauftragter": Eine praxisorientierte Ausbildung, die von den Industrie- und Handelskammern bundesweit angeboten wird und sowohl rechtliche als auch technische Aspekte des Datenschutzes vermittelt.
- TÜV-Zertifizierung: Bietet einen strukturierten Lehrplan und eine anerkannte Abschlussprüfung mit hoher Außenwirkung.
- GDD-Zertifikat: Die Gesellschaft für Datenschutz und Datensicherheit bietet eine der ältesten und renommiertesten Datenschutz-Ausbildungen in Deutschland.
Neben der formalen Zertifizierung sind regelmäßige Fortbildungen unverzichtbar — das Datenschutzrecht entwickelt sich kontinuierlich weiter, und ein DSB, der sein Wissen seit der Zertifizierung nicht aktualisiert hat, bietet nur eingeschränkten Schutz.
Kosten: Was ist ein DSB wert?
Die Kosten für einen Datenschutzbeauftragten variieren je nach Unternehmensgröße, Komplexität der Verarbeitungstätigkeiten und dem gewählten Modell (intern vs. extern) erheblich.
Für einen internen DSB entstehen in erster Linie Schulungskosten für die initiale Zertifizierung (typischerweise 1.500 bis 3.000 Euro), Kosten für laufende Fortbildungen (500 bis 1.500 Euro pro Jahr) sowie die nicht unerhebliche Arbeitszeit, die der interne DSB für die Erfüllung seiner Aufgaben aufwendet — je nach Unternehmensgröße 2 bis 10 Stunden pro Monat, die von seiner eigentlichen Tätigkeit abgezogen werden.
Für einen externen DSB werden in der Regel monatliche Pauschalen vereinbart, die je nach Leistungsumfang und Unternehmensgröße zwischen 150 und 500 Euro pro Monat liegen. Für kleine Pflegedienste oder Handwerksbetriebe mit überschaubaren Verarbeitungstätigkeiten beginnen seriöse Angebote ab rund 150 Euro monatlich. Verglichen mit dem Bußgeldrisiko bei Verstößen gegen die DSGVO — bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — sind die Kosten für einen professionellen DSB eine wirtschaftlich sinnvolle Investition.
Besondere Anforderungen für Pflegedienste und Sozialeinrichtungen
Für Pflegedienste, stationäre Pflegeeinrichtungen, Behinderteneinrichtungen und andere Sozialeinrichtungen in der Uckermark und Brandenburg gelten besonders strenge Anforderungen:
Gesundheitsdaten von Pflegebedürftigen und Patienten fallen unter Art. 9 DSGVO als besondere Datenkategorien und erfordern ein besonders hohes Schutzniveau. Ein DSB ist für diese Einrichtungen unabhängig von der Mitarbeiterzahl Pflicht. Zusätzlich müssen Verarbeitungsverzeichnisse besonders sorgfältig geführt werden, da die LDA Brandenburg gerade im Gesundheits- und Sozialbereich regelmäßig prüft.
Die technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO müssen dem besonderen Schutzbedarf von Gesundheitsdaten gerecht werden — das bedeutet konkret: Verschlüsselung aller Datenträger und Übertragungswege, strenge Zugriffskontrolle, regelmäßige Datenschutz-Folgeabschätzungen für neue Systeme und lückenlose Dokumentation aller Verarbeitungstätigkeiten. Unsere IT-Betreuung für Pflegedienste berücksichtigt diese Anforderungen von Grund auf.
Bei kirchlicher Trägerschaft — zum Beispiel bei diakonischen oder caritativen Einrichtungen — gilt zusätzlich das EKD-Datenschutzgesetz (DSG-EKD) nach EKD-Datenschutzgesetz. Das EKD-Datenschutzgesetz enthält über die DSGVO hinausgehende Anforderungen und hat eigene Aufsichtsbehörden (Kirchliche Datenschutzaufsicht). Ein DSB für eine kirchlich getragene Einrichtung muss diese Besonderheiten kennen und in seiner Arbeit berücksichtigen.
Wie Fürstmann.IT als externer DSB unterstützt
Sebastian Fürstmann ist zertifizierter Datenschutzbeauftragter (IHK) und übernimmt diese Funktion für Unternehmen und Einrichtungen in der Uckermark und Brandenburg. Als externer DSB von Fürstmann.IT profitieren Sie von einer Kombination aus Datenschutzexpertise und IT-Fachkenntnis — ein wesentlicher Vorteil gegenüber rein juristisch ausgerichteten DSB-Dienstleistern, denen der technische Einblick in die tatsächliche Datenverarbeitung oft fehlt.
Unser DSB-Leistungsumfang umfasst die Erstellung und laufende Pflege des Verzeichnisses von Verarbeitungstätigkeiten, die regelmäßige Überprüfung und Aktualisierung der technischen und organisatorischen Maßnahmen, die Durchführung von Mitarbeiterschulungen (Präsenz oder Online), die Begleitung bei Datenpannenmeldungen an die LDA Brandenburg, die Prüfung und Beratung bei der Einführung neuer Systeme und Software sowie die Kommunikation mit der Aufsichtsbehörde. Im Rahmen unserer Datenschutz- und Compliance-Leistungen bieten wir außerdem technische DSGVO-Audits an, die sicherstellen, dass Ihre IT-Infrastruktur den Datenschutzanforderungen entspricht.
Sprechen Sie uns an — wir prüfen gemeinsam mit Ihnen, ob für Ihr Unternehmen eine DSB-Pflicht besteht, und erstellen Ihnen ein unverbindliches Angebot für die externe DSB-Bestellung. Unsere Lösungen nach Enterprise-Standards stellen sicher, dass Datenschutz und IT-Sicherheit in Ihrem Unternehmen als integriertes System wirken — nicht als isolierte Einzelmaßnahmen.