Ratgeber · 22. Mai 2026
Datenschutzbeauftragter Pflicht — ab wann ist ein DSB vorgeschrieben?
Datenschutzbeauftragter Pflicht ab wann? Klare Antwort nach Mitarbeiterzahl, Datenart und Branche — inklusive Praxis-Tabelle und Haftungsfolgen.
Die Frage taucht bei fast jedem Erstgespräch auf: “Brauche ich überhaupt einen Datenschutzbeauftragten?” Die Antwort hängt nicht nur an der Mitarbeiterzahl, sondern an drei Auslösern, die viele Geschäftsführer übersehen. Wer den falschen Auslöser ignoriert, riskiert Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, was höher ist.
Die drei Pflicht-Auslöser nach DSGVO und BDSG
Ein Datenschutzbeauftragter ist verpflichtend, sobald einer der folgenden Punkte zutrifft:
- 20-Personen-Schwelle (BDSG § 38): Mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. “Ständig” heißt nicht “Vollzeit” — eine Empfangskraft mit Outlook-Zugang zählt mit.
- Hohes Risiko (Art. 37 DSGVO): Die Kerntätigkeit besteht in einer umfangreichen regelmäßigen Überwachung von Betroffenen — Beispiel: Sicherheitsdienste, Trackingsoftware-Anbieter, Krankenkassen.
- Besondere Datenkategorien (Art. 9 DSGVO): Sie verarbeiten Gesundheits-, Gewerkschafts-, Religions- oder biometrische Daten in nennenswertem Umfang. Eine Arztpraxis löst das aus, ein Friseur in der Regel nicht — auch wenn er drei Mitarbeiter hat.
Wer einen dieser Punkte erfüllt, muss innerhalb einer angemessenen Frist einen DSB benennen und der Aufsichtsbehörde melden. In Baden-Württemberg ist das der LfDI BW in Stuttgart.
Die 20-Personen-Schwelle richtig zählen
Die meisten KMU stolpern hier. Es zählt jede Person, die regelmäßig Zugriff auf personenbezogene Daten hat — egal ob Festangestellte, Aushilfe, Werkstudent oder Geschäftsführer.
Beispiel Handwerksbetrieb mit 22 Personen:
- 1 Inhaber mit Outlook + Buchhaltung → zählt
- 1 Bürokraft mit DATEV + Lexware → zählt
- 18 Monteure mit Außendienst-App auf dem Diensthandy → zählen
- 2 Lehrlinge ohne IT-Zugang → zählen nicht
Ergebnis: 20 Personen → DSB-Pflicht. Mehr zur Branche im Ratgeber Handwerk.
Pflicht-Tabelle nach Konstellation
| Konstellation | DSB-Pflicht? | Begründung |
|---|---|---|
| Online-Shop mit 5 MA, Standard-Shopware | Nein | Unter 20 Personen, keine Art. 9-Daten, keine Massenüberwachung |
| Arztpraxis mit 4 MA | Ja | Gesundheitsdaten = Art. 9 DSGVO, unabhängig von der MA-Zahl |
| Steuerkanzlei mit 8 MA | Empfohlen | Keine Pflicht, aber Berufsgeheimnis + sensible Daten = hohes Haftungsrisiko |
| Handwerksbetrieb mit 22 MA | Ja | 20-Personen-Schwelle überschritten |
| IT-Dienstleister mit 12 MA + Cloud-Hosting für Kunden | Ja | Auftragsverarbeitung in größerem Umfang löst Pflicht aus |
| Bäckerei mit 15 MA, kein Onlineshop | Nein | Unter 20, keine besonderen Datenarten |
| Personalvermittlung mit 6 MA | Ja | Umfangreiche Verarbeitung von Bewerberdaten, oft Gesundheitsangaben |
| Fitnessstudio mit 18 MA + Gesundheitsdaten | Ja | Art. 9 DSGVO greift |
| Maschinenbau B2B mit 35 MA | Ja | 20-Personen-Schwelle |
| Versicherungsmakler mit 4 MA | Ja | Kerntätigkeit = Verarbeitung sensibler Finanz- und Gesundheitsdaten |
Mehr zu typischen Branchen-Fällen finden Sie in der Branchen-Übersicht und in den Preisbeispielen aus der Praxis.
Häufig übersehen: Pflicht durch Folgenabschätzung
Auch wenn keiner der drei Auslöser greift, kann eine Datenschutz-Folgenabschätzung eine DSB-Pflicht nach sich ziehen. Sobald die DSFA ergibt, dass ein hohes Risiko für die Rechte Betroffener besteht — etwa bei großflächigem Videoüberwachungs-Einsatz oder beim Scoring — empfiehlt die Aufsichtsbehörde dringend einen DSB. Mehr zu den dahinterstehenden Bußgeld-Risiken im Artikel DSGVO-Bußgelder 2026.
Wenn keine Pflicht besteht — trotzdem haftbar
Das ist der gefährlichste Irrtum in KMU: “Wir sind unter 20 Mitarbeiter, also brauchen wir nichts.” Falsch. Die DSGVO selbst gilt ab dem ersten Mitarbeiter. Was wegfällt, ist nur die formale Benennungspflicht. Die Rechenschaftspflicht, das Verarbeitungsverzeichnis, die TOMs und die AVV mit Dienstleistern müssen vorhanden sein — egal wie klein der Betrieb ist.
In der Praxis: Ein Friseur mit drei Angestellten hatte 2024 in Stuttgart ein Bußgeld von 4.800 Euro, weil er keine Auskunft an einen ehemaligen Kunden erteilen konnte. Es lag schlicht keine Dokumentation vor. Der Verstoß war nicht das Fehlen eines DSB, sondern die fehlende Rechenschaftspflicht.
DSB intern oder extern — die Kostenfrage
Wer eine DSB-Pflicht hat, kann ihn intern bestimmen oder extern bestellen. Intern bedeutet: Eine Person im Unternehmen wird DSB. Dafür braucht sie Fachkenntnis (laufende Fortbildung), darf keine Interessenkonflikte haben (also nicht IT-Leiter, nicht HR-Leiter, nicht Geschäftsführer sein) und genießt einen besonderen Kündigungsschutz.
Die ROI-Rechnung ist im Intern-vs-extern-Vergleich detailliert aufgeschlüsselt. Spoiler: Bis ca. 70 Mitarbeiter rechnet sich der externe DSB fast immer.
Die Kostenmodelle reichen von monatlichem Festpreis bis zur Stundenabrechnung. Welches Modell zu Ihnen passt, lesen Sie in den Kostenmodellen Festpreis vs. Stundensatz.
Zeitfenster für die Benennung
Sobald eine Pflicht entsteht (etwa durch Überschreitung der 20-Personen-Grenze), gilt eine “angemessene Frist”. In der Praxis akzeptiert die Aufsicht 4 bis 8 Wochen für Auswahl und Benennung. Wer nach drei Monaten ohne DSB arbeitet, riskiert ein Bußgeld nach Art. 83 Abs. 4 DSGVO — bis zu 10 Mio. Euro oder 2 % des Vorjahresumsatzes.
Die Meldung an die Aufsicht ist formlos online möglich. Erforderlich sind Name, Kontakt, ggf. die Benennung als externer Dienstleister mit Kontaktdaten und Qualifikation. Der LfDI BW stellt dafür ein einfaches Online-Formular bereit, das in unter 5 Minuten ausgefüllt ist.
Wenn die Pflicht wegfällt
Auch der umgekehrte Fall kommt vor: Ein Unternehmen schrumpft auf 18 Mitarbeiter, oder eine Art. 9-Datenverarbeitung wird eingestellt. Dann entfällt die formale Pflicht — der DSB darf abbestellt werden, mit denselben Formerfordernissen wie die Bestellung.
Wichtig: Eine “Sicherheitsmarge” einplanen. Wer kurz vor der 20-Personen-Grenze fluktuiert (mal 19, mal 21), sollte den DSB durchgängig behalten. Die laufenden Kosten sind in der Regel niedriger als zweimal Aufbauen-und-Abbauen. Externe DSBs lassen sich monatlich kündigen — Details in den Kostenmodellen.
Sonderfall: öffentliche Stellen und Vereine
Für öffentliche Stellen gilt: DSB immer Pflicht, unabhängig von der Größe (Art. 37 Abs. 1 lit. a DSGVO). Das betrifft auch kommunale Eigenbetriebe, kirchliche Einrichtungen und beliehene Unternehmen.
Vereine mit hauptamtlichem Personal sind privatwirtschaftlich zu behandeln — die Schwellen aus § 38 BDSG gelten genauso wie für Unternehmen. Ehrenamtliche Vereine ohne Angestellte sind in der Regel von der DSB-Pflicht ausgenommen, müssen aber dennoch die DSGVO einhalten.
Was Sie jetzt prüfen sollten
Drei Minuten reichen für die Selbst-Diagnose:
- Mitarbeiter inklusive Aushilfen und Geschäftsführung mit IT-Zugang zählen. Über 20? → Pflicht.
- Verarbeiten Sie Gesundheits-, Religions-, Gewerkschafts-, Sexual- oder biometrische Daten? → Pflicht.
- Ist eine Ihrer Kerntätigkeiten regelmäßige Überwachung (Tracking, Security)? → Pflicht.
Wenn einer dieser Punkte zutrifft und Sie noch keinen DSB benannt haben, sollten Sie nicht warten. Im Kostenrechner auf der Startseite bekommen Sie in 60 Sekunden einen Festpreis-Indikator für Ihre Konstellation. Wer es lieber direkt klärt, ruft Thomas Kowoll unter +49 7071 770371 an oder schreibt über das Kontaktformular — Erstgespräch ist kostenlos und unverbindlich.
Weiterlesen
- Auftragsverarbeitungsvertrag (AVV) — Checkliste für KMU Auftragsverarbeitungsvertrag AVV Checkliste: Wann nötig, mit wem, was muss drin sein? Praxis-Tabelle und Vorlagen-Empfehlungen für KMU.
- Datenpanne erkannt — 72-Stunden-Meldepflicht und Notfallplan Datenpanne im Unternehmen? Schritt-für-Schritt-Notfallplan für die 72-Stunden-Meldung an die Aufsicht, interne Eskalation und Doku-Pflichten.
- Datenschutz-Folgenabschätzung: Wann ist die DSFA Pflicht? Wann müssen KMU eine DSFA nach Art. 35 DSGVO machen? Schwellwert-Tests, konkrete Beispiele und Praxis-Checkliste mit Bußgeld-Risiken bei Versäumnis.