Praxiswissen · Datenschutz

Datenschutzbeauftragter: Wann brauchst Du einen - und wie gehst Du es richtig an?

Verständlich erklärt: wann ein Datenschutzbeauftragter (DSB) nötig werden kann, was er macht und wie kleine Unternehmen, Vereine und lokale Dienstleister das Thema Datenschutz sauber angehen.

Schnell einordnen

Pflicht, Risiko, Struktur

Nicht jede Organisation braucht automatisch einen Datenschutzbeauftragten. Aber jede Organisation braucht klare Datenschutzstrukturen.

Datenschutz-Grundverordnung Bundesdatenschutzgesetz Website-Datenschutz
Kategorie: Datenschutz Lesezeit: ca. 14 Minuten Aktualisiert: Juli 2026

Ein Datenschutzbeauftragter ist nicht nur ein Name in der Datenschutzerklärung. Er hilft dabei, Datenschutz verständlich zu ordnen, Risiken einzuordnen und Prozesse im Alltag tragfähig zu machen. Diese Seite gibt Dir eine ruhige Orientierung - ohne Fachchinesisch und ohne den Eindruck, jedes kleine Unternehmen müsse automatisch alles sofort benennen.

Kurzantwort

Die Kurzantwort

Ein Datenschutzbeauftragter ist nicht für jede Website automatisch Pflicht. Er wird aber wichtig, wenn gesetzliche Schwellen erreicht sind, besondere Datenverarbeitungen stattfinden oder Datenschutz im Unternehmen strukturiert begleitet werden soll.

Pflicht prüfen Gelten Datenschutz-Grundverordnung (DSGVO), Bundesdatenschutzgesetz (BDSG) oder besondere Risiken?
Risiken verstehen Welche Daten werden verarbeitet, welche Dienstleister sind beteiligt, wo entstehen Schutzbedarfe?
Struktur aufbauen Dokumentation, Website, Formulare, Auftragsverarbeitung und Zuständigkeiten sauber ordnen.
Schnellcheck

Schnellcheck: Könnte ein Datenschutzbeauftragter nötig sein?

Dieser Schnellcheck ersetzt keine Einzelfallprüfung. Er hilft Dir aber, typische Auslöser und Unsicherheiten zu erkennen.

Arbeiten regelmäßig mindestens 20 Personen mit personenbezogenen Daten?
Gibt es Gesundheitsdaten, Beschäftigtendaten, Kundendaten in größerem Umfang oder andere sensible Daten?
Werden Personen regelmäßig oder systematisch beobachtet, getrackt oder ausgewertet?
Gibt es viele wiederkehrende Datenschutzprozesse, etwa Bewerbungen, Kundenverwaltung, Newsletter, Customer-Relationship-Management (CRM) oder Mitgliederverwaltung?
Gibt es Unsicherheit bei Auftragsverarbeitung, Website-Datenschutz, Cookies oder Dienstleistern?
Gibt es mehrere Standorte, Teams oder Dienstleister?
Könnte eine Datenschutz-Folgenabschätzung (DSFA) relevant werden?

Wenn Du bei mehreren Punkten innerlich nickst, lohnt sich eine kurze Prüfung. Die Erstberatung bei PerliTech ist kostenlos.

Kostenlose Ersteinschätzung anfragen
Pflicht verständlich erklärt

Wann ist ein Datenschutzbeauftragter Pflicht?

Ob eine Benennungspflicht besteht, hängt vom konkreten Einzelfall ab. Wichtig ist: Nicht jedes kleine Unternehmen und nicht jeder Verein braucht automatisch einen Datenschutzbeauftragten. Gleichzeitig bedeutet keine Pflicht nicht, dass Datenschutz egal wäre.

1

DSGVO

Die DSGVO nennt typische Pflichtfälle, etwa öffentliche Stellen, umfangreiche regelmäßige und systematische Überwachung oder umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten als Kerntätigkeit.

2

BDSG

Für nichtöffentliche Stellen ist nach § 38 BDSG besonders relevant, ob in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

3

Risikobehaftete Verarbeitung

Besondere Konstellationen können zusätzlich relevant werden, etwa wenn eine DSFA erforderlich ist oder besonders risikobehaftete Verarbeitungen geplant sind.

Auch ohne Pflicht: Datenschutz braucht Struktur

Viele kleine Unternehmen, Selbständige und Vereine liegen unterhalb einer formalen Benennungspflicht. Trotzdem müssen sie personenbezogene Daten nachvollziehbar, zweckgebunden und angemessen geschützt verarbeiten. PerliTech hilft dabei, diese Struktur verständlich aufzubauen: Website-Datenschutz, Kontaktformulare, Dienstleister, Auftragsverarbeitung, Löschfristen und technische Maßnahmen werden so geordnet, dass sie im Alltag greifbar bleiben.

Aufgaben

Was macht ein Datenschutzbeauftragter eigentlich?

Ein DSB ist nicht die Person, die allein den Datenschutz macht. Er informiert, berät, prüft, sensibilisiert und bringt Struktur hinein. Die Verantwortung für die Einhaltung des Datenschutzes bleibt beim Verantwortlichen beziehungsweise bei der Organisation.

Informieren & beraten

Verantwortliche und Mitarbeitende verständlich einordnen, ohne sie mit Gesetzestexten allein zu lassen.

Datenschutz überwachen

Prozesse, Dokumentation und Schutzmaßnahmen regelmäßig im Blick behalten.

Dokumentation strukturieren

Verarbeitungstätigkeiten, Dienstleister, Formulare, Löschthemen und Zuständigkeiten nachvollziehbar ordnen.

DSFA begleiten

Bei risikoreichen Verarbeitungen die Datenschutz-Folgenabschätzung fachlich begleiten und die Umsetzung einordnen.

Kontaktpunkt sein

Ansprechbar für Aufsichtsbehörde und betroffene Personen bleiben.

Technik mitdenken

Website, Formulare, Dienstleister und technische und organisatorische Maßnahmen (TOMs) verständlich einordnen.

Externe Begleitung

Warum ein externer Datenschutzbeauftragter sinnvoll sein kann

Ein interner Datenschutzbeauftragter kennt die Organisation gut, braucht aber Zeit, Fachwissen, Unabhängigkeit und eine Rolle ohne Interessenkonflikte. Gerade in kleinen Teams ist das nicht immer realistisch.

Ein externer Datenschutzbeauftragter bringt einen unabhängigen Blick von außen mit. Er kann Struktur schaffen, ohne intern zusätzlich zu überlasten, und verbindet Datenschutz mit technischer und organisatorischer Einordnung.

PerliTech passt besonders, wenn...

  • intern keine passende Person vorhanden ist
  • Website, Formulare und Dienstleister sauber eingeordnet werden sollen
  • Datenschutzberatung und IT-Verständnis zusammenkommen sollen
  • laufende Begleitung statt einmaliger Dokumentenablage gewünscht ist
Über externe DSB-Begleitung sprechen
Vorgehen

So gehen wir das Thema gemeinsam an

1

Erstes Gespräch kostenlos

Wir sortieren, worum es geht und ob eine genauere Prüfung sinnvoll ist.

2

Pflicht, Risiko, Stand

Schwellen, Datenarten, Prozesse und vorhandene Strukturen werden ruhig eingeordnet.

3

Sichtung

Website, Formulare, Datenschutzerklärung, Dienstleister und Auftragsverarbeitung kommen auf den Tisch.

4

Strukturplan

Was ist vorhanden, was fehlt, was ist wichtig und was kann später folgen?

5

Umsetzung

Dokumente, Prozesse, technische Themen und Verantwortlichkeiten werden praktisch angefasst.

6

Begleitung

Nach Vereinbarung begleitet PerliTech laufend oder übernimmt die Tätigkeit als externer Datenschutzbeauftragter.

Einordnung

Typische Missverständnisse

Wir haben nur eine kleine Website.

Auch kleine Websites können Kontaktformulare, Cookies, externe Dienste oder Analysewerkzeuge enthalten. Das muss nicht dramatisch sein, sollte aber sauber eingeordnet werden.

Der DSB übernimmt die komplette Verantwortung.

Nein. Der Datenschutzbeauftragte unterstützt, berät und überwacht. Die Verantwortung bleibt beim Unternehmen beziehungsweise beim Verantwortlichen.

Eine Datenschutzerklärung reicht dauerhaft.

Datenschutz ändert sich mit Tools, Dienstleistern, Formularen, Prozessen und Teams. Eine alte Erklärung allein ist keine lebendige Struktur.

Unter 20 Personen müssen wir nichts tun.

Die 20-Personen-Schwelle ist wichtig, aber sie ist nicht das einzige Thema. Datenschutzpflichten können auch ohne Datenschutzbeauftragten bestehen.

Datenschutz ist nur ein Rechtstextthema.

Datenschutz betrifft Technik, Prozesse, Dienstleister, Zuständigkeiten und Kommunikation. Rechtstexte sind nur ein Baustein.

Ein externer DSB ist nur etwas für große Unternehmen.

Gerade kleine Organisationen profitieren oft davon, wenn Datenschutz verständlich, pragmatisch und ohne interne Überlastung begleitet wird.

Baden-Württemberg

Aufsichtsbehörde und Meldung: Warum die Datenschutzaufsicht wichtig ist

Für Baden-Württemberg ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) eine zentrale Datenschutzaufsicht. Wenn ein Datenschutzbeauftragter benannt wird, müssen seine Kontaktdaten nach Artikel 37 Absatz 7 DSGVO veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.

Der LfDI BW bietet eine Online-Meldemöglichkeit für Datenschutzbeauftragte beziehungsweise Änderungen. Betroffene Personen können sich an den Datenschutzbeauftragten und an die Aufsichtsbehörde wenden.

Adresse Heilbronner Straße 35
70191 Stuttgart
Zentraler Kontakt poststelle@lfdi.bwl.de
Wichtig PerliTech ist keine Behörde und ersetzt keine behördliche Entscheidung.
Eignung

Welche fachliche Eignung sollte vorhanden sein?

Ein Datenschutzbeauftragter braucht mehr als einen Titel. Wichtig sind ein datenschutzrechtliches Grundverständnis, technisches Verständnis, ein Blick für Prozesse, Unabhängigkeit und die Fähigkeit, Datenschutz verständlich zu erklären.

Datenschutzrechtliches Grundverständnis
Verständnis für TOMs, IT, Websites und Dienstleister
Prozesse und Datenflüsse einordnen können
Unabhängigkeit und keine Interessenkonflikte
Kommunikation ohne Fachchinesisch
Weiterbildung und praktische Erfahrung

Zertifikate und Weiterbildungen können ein gutes Indiz sein. Sie ersetzen aber nicht automatisch die tatsächliche Fachkunde, die laufende Beschäftigung mit Datenschutz und die praktische Arbeit im konkreten Umfeld.

Häufige Fragen

Ab wann brauche ich einen Datenschutzbeauftragten?

Das hängt vom konkreten Einzelfall ab. Wichtig sind unter anderem gesetzliche Pflichtfälle nach Datenschutz-Grundverordnung und Bundesdatenschutzgesetz, die 20-Personen-Schwelle bei automatisierter Verarbeitung personenbezogener Daten und besondere Risiken.

Zählen Teilzeitkräfte bei der 20-Personen-Schwelle mit?

Entscheidend ist nicht nur die Wochenarbeitszeit, sondern ob Personen in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei Unsicherheit sollte die konkrete Situation geprüft werden.

Braucht ein Verein einen Datenschutzbeauftragten?

Ein Verein braucht nicht automatisch einen Datenschutzbeauftragten. Eine Pflicht kann aber entstehen, wenn die Voraussetzungen erfüllt sind, zum Beispiel bei vielen regelmäßig datenverarbeitenden Personen oder besonders sensiblen Daten.

Braucht eine kleine Website einen Datenschutzbeauftragten?

Eine kleine Website allein macht einen Datenschutzbeauftragten nicht automatisch Pflicht. Trotzdem sollten Datenschutzerklärung, Kontaktformulare, Cookies, Dienstleister und Website-Datenschutz sauber geordnet sein.

Was kostet ein externer Datenschutzbeauftragter?

Die Kosten hängen von Größe, Risiko, Datenverarbeitungen, Dokumentationsstand und gewünschter Begleitung ab. Sinnvoll ist eine kurze Erstprüfung, bevor ein Angebot erstellt wird.

Kann der Geschäftsführer Datenschutzbeauftragter sein?

Das ist in der Regel kritisch, weil Interessenkonflikte entstehen können. Ein Datenschutzbeauftragter muss unabhängig arbeiten können und darf sich nicht selbst kontrollieren.

Muss ich den Datenschutzbeauftragten melden?

Wenn ein Datenschutzbeauftragter benannt wird, müssen seine Kontaktdaten nach Artikel 37 Absatz 7 Datenschutz-Grundverordnung veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden.

Was macht ein Datenschutzbeauftragter konkret?

Er informiert und berät, überwacht Datenschutzprozesse, sensibilisiert Mitarbeitende, begleitet Datenschutz-Folgenabschätzungen und ist Kontaktpunkt für Aufsichtsbehörde und betroffene Personen.

Ist ein Datenschutzbeauftragter dasselbe wie Datenschutzberatung?

Nicht ganz. Datenschutzberatung kann punktuell unterstützen. Ein Datenschutzbeauftragter hat eine gesetzlich definierte Rolle mit Beratungs-, Überwachungs- und Kontaktaufgaben.

Kann PerliTech als externer Datenschutzbeauftragter unterstützen?

Ja, PerliTech unterstützt beim Aufbau praxistauglicher Datenschutzstrukturen und kann nach Vereinbarung als externer Datenschutzbeauftragter begleiten. Diese Unterstützung ersetzt keine Rechtsberatung.

Ist die Erstberatung kostenlos?

Ja. Die erste Einordnung bei PerliTech ist kostenlos, damit Du weißt, ob eine genauere Prüfung oder externe Begleitung sinnvoll ist.

Eigene Frage kostenlos einordnen lassen

Offizielle Quellen

Die folgenden Quellen vertiefen Benennungspflicht, Aufgaben, Meldung und behördliche Kontaktdaten. Diese Seite ersetzt keine Rechtsberatung.

Unsicher, ob Du einen Datenschutzbeauftragten brauchst?

Dann lass uns das Thema kurz sortieren. Die Erstberatung ist kostenlos - verständlich, ehrlich und ohne Fachchinesisch.

  • Pflicht einordnen
  • Risiken verstehen
  • Website-Datenschutz prüfen
  • externe Begleitung besprechen
Kostenlose Erstberatung anfragen
Ihre Nachricht wurde gesendet. Ich werde innerhalb von 24 Stunden antworten.