Ab wieviel Mitarbeitern brauche ich einen Datenschutzbeauftragten?

Nach § 38 BDSG ab 20 Personen, die ständig automatisiert personenbezogene Daten verarbeiten. Diese Schwelle gilt zusätzlich zu Art. 37 DSGVO — Behörden, Unternehmen mit Überwachungs-Kerntätigkeit oder umfangreicher Verarbeitung besonderer Datenkategorien brauchen unabhängig von der Mitarbeiterzahl einen DSB.

Gilt die alte 10-Mitarbeiter-Regel noch?

Nein. Die Schwelle wurde 2019 mit der BDSG-Novelle von 10 auf 20 Personen angehoben. Wer noch mit dem alten Wert plant, rechnet mit veralteten Kriterien.

Werden Werkstudenten und Praktikanten zur 20er-Schwelle gezählt?

Ja, sofern sie regelmäßig (nicht nur sporadisch) automatisiert mit personenbezogenen Daten arbeiten. Das schließt Aushilfen, befristete Kräfte und Praktikanten ein, wenn sie z.B. im CRM, ERP oder Marketing-Tool Daten erfassen.

Kann unser Geschäftsführer DSB sein?

Nein. Art. 38 Abs. 6 DSGVO verbietet Interessenskonflikte. Geschäftsführer, Compliance Officer, IT-Leiter und HR-Leiter scheiden aus, weil sie selbst über Datenverarbeitung entscheiden — und sich dann selbst kontrollieren würden.

Wie schnell muss ich nach Eintritt der Bestellpflicht einen DSB benennen?

Unverzüglich, also ohne schuldhaftes Zögern. Praktisch sind 4 bis 8 Wochen bis zur Bestellung und Meldung an die Aufsichtsbehörde noch tolerabel; danach steigt das Bußgeldrisiko deutlich.

Muss die Bestellung formal dokumentiert werden?

Ja. Schriftliche Bestellung, Meldung an die zuständige Aufsichtsbehörde, Veröffentlichung der Kontaktdaten (z.B. in der Datenschutzerklärung). Wir liefern den Bestellungstext bei Mandatierung mit.

§ 38 BDSG · Art. 37 DSGVO

Brauchst du einen Datenschutzbeauftragten?

Vier Trigger-Kriterien entscheiden, ob du nach BDSG oder DSGVO bestellpflichtig bist. Unser Checker geht sie in 60 Sekunden mit dir durch — anonym, ohne Anmeldung, ohne Datenspeicherung.

Pflicht jetzt prüfen Kosten ansehen

60s: Bearbeitungszeit
0: Daten gespeichert
5: Fragen, fertig

Vier Trigger

Eins reicht

20+ Personen mit automatisierter Verarbeitung

§ 38 BDSG

Kerntätigkeit: umfangreiche Überwachung

Art. 37 DSGVO

Verarbeitung besonderer Datenkategorien

Art. 9 DSGVO

Behörde / öffentliche Stelle

Art. 37 DSGVO

Kein Trigger?Freiwillig empfohlen

Bußgeld bei Verstoß

bis 10 Mio. EUR

Was bei Verstoß droht

Art. 83 Abs. 4 DSGVO

bis 10 Mio. EUR

oder 2 % des weltweiten Konzernumsatzes

— der jeweils höhere Wert

Reine Bestell-Verstöße liegen in der Praxis bei 5.000 bis 50.000 EUR. Aber: eine fehlende DSB-Funktion deutet auf strukturelle Datenschutz-Defizite hin — und die ziehen weitere Verstöße ins Verfahren.

Drei prominente Verfahren

H&M

35,3 Mio. EUR

2020 · HmbBfDI

Umfassende Mitarbeiterüberwachung im Servicecenter. Personenbezogene Daten ohne Rechtsgrundlage über Jahre gesammelt.

Deutsche Wohnen

14,5 Mio. EUR

2019 · BlnBDI

Personenbezogene Daten ehemaliger Mieter ohne Erforderlichkeit vorgehalten — Verstoß gegen Speicherbegrenzung (Art. 5 DSGVO).

AOK Baden-Württemberg

1,24 Mio. EUR

2020 · LfDI BW

Datenpannen bei einem Mitglieder-Gewinnspiel. Adressen ohne wirksame Einwilligung weiterverarbeitet.

Quellen: Pressemitteilungen der zuständigen Aufsichtsbehörden. Genannte Beträge sind die ursprünglich verhängten Bußgelder.

Die Rechtsgrundlagen

Eine EU-Norm. Eine deutsche Verschärfung.

Art. 37 DSGVO definiert drei Trigger für ganz Europa. § 38 BDSG ergänzt für Deutschland die Mitarbeiter-Schwelle, die alle anderen EU-Länder so nicht haben.

Art. 37 DSGVOEU

Drei Konstellationen — bestellpflichtig.

a
Behörde / öffentliche Stelle
Bund, Länder, Kommunen, öffentlich-rechtliche Anstalten. Ausnahme: Gerichte in justizieller Tätigkeit.
b
Kerntätigkeit Überwachung
Umfangreiche regelmäßige systematische Überwachung — Behavioral Targeting, Standortverfolgung, KI-Profiling, große Webanalyse.
c
Kerntätigkeit besondere Daten
Umfangreiche Verarbeitung von Gesundheits-, Biometrie-, Genetik-, Religions- oder Gewerkschaftsdaten.

§ 38 BDSGNur Deutschland

20-Personen-Schwelle obendrauf.

Über die DSGVO hinaus verlangt § 38 Abs. 1 BDSG einen DSB, sobald in der Regel mindestens 20 Personen ständig automatisiert mit personenbezogenen Daten beschäftigt sind.

„Werkstudenten, Aushilfen und Praktikanten zählen mit, wenn sie regelmäßig im CRM, ERP oder Newsletter-Tool arbeiten. Die Schwelle ist schneller erreicht, als die meisten denken."

Update 2019: Die alte 10-Personen-Regel wurde mit der BDSG-Novelle auf 20 angehoben. Wer mit der 10er-Schwelle plant, rechnet veraltet.

Auch ohne Pflicht

Drei Gründe, freiwillig zu bestellen.

Investoren-Hygienefaktor

Spätestens vor Series-A erwarten VCs einen DSB samt VVT und DPIA-Workflow. Frühe Strukturen kosten weniger als nachträgliche Sanierung.

Enterprise-Vertriebsfähigkeit

Großkunden verlangen im Vendor-Onboarding den Nachweis eines benannten DSB. Ohne DSB scheiterst du an der ersten Compliance-Frage.

Wachstums-Schwelle

Bei schnellem Personalaufbau kippt die 20-Personen-Schwelle in 6–12 Monaten. Rückwirkend zu organisieren ist unangenehm — proaktiv günstig.

Was ein freiwilliger DSB kostet?Kosten ansehen

Häufige Fragen zur Bestellpflicht

Externen Datenschutzbeauftragten anfragen

Wir matchen dich mit einem zertifizierten DSB aus dem Kopexa Partner-Netzwerk – passend zu Branche, Standort und Sprache. Antwort innerhalb eines Werktags.

Partner-Netzwerk statt Einzelkämpfer

Zugriff auf zertifizierte DSB mit unterschiedlichen Branchenschwerpunkten.

Komplette GRC-Suite im Pro-Plan

Kopexa Pro (599 EUR/Monat): unbegrenzte Frameworks, OSCAL-Support, Vendor- und Asset-Management, Cross-Framework-Mapping, Audit & Assessments. Nicht nur DSB-Tooling.

Transparente Pauschalpreise

DSB-Pauschale + Plattform-Lizenz separat ausgewiesen. Keine versteckten Tool-Kosten.

Weiter im Hub

Externer Datenschutzbeauftragter

Übersicht: was ein eDSB leistet, wann er Pflicht ist und wie das Kopexa Partner-Netzwerk vermittelt.

Kosten & Pakete

Preismodelle für externe DSB im Vergleich – Stundenhonorar, Monatspauschale, Pakete nach Unternehmensgröße.

Standorte

Externe DSB nach Region: Berlin, München, Stuttgart, Köln, Bremen und mehr.

Brauchst du einen Datenschutzbeauftragten?

5 Fragen. Klare Einschätzung.

Bestellpflicht-Checker

Art. 83 Abs. 4 DSGVO

H&M

Deutsche Wohnen

AOK Baden-Württemberg

Eine EU-Norm. Eine deutsche Verschärfung.

Drei Konstellationen — bestellpflichtig.

20-Personen-Schwelle obendrauf.

Drei Gründe, freiwillig zu bestellen.

Investoren-Hygienefaktor

Enterprise-Vertriebsfähigkeit

Wachstums-Schwelle

Häufige Fragen zur Bestellpflicht

Externen Datenschutzbeauftragten anfragen

Partner-Netzwerk statt Einzelkämpfer

Komplette GRC-Suite im Pro-Plan

Transparente Pauschalpreise

Externer Datenschutzbeauftragter

Kosten & Pakete

Standorte

Brauchst du einen Datenschutzbeauftragten?

5 Fragen. Klare Einschätzung.

Bestellpflicht-Checker

Art. 83 Abs. 4 DSGVO

H&M

Deutsche Wohnen

AOK Baden-Württemberg

Eine EU-Norm. Eine deutsche Verschärfung.

Drei Konstellationen — bestellpflichtig.

20-Personen-Schwelle obendrauf.

Drei Gründe, freiwillig zu bestellen.

Investoren-Hygienefaktor

Enterprise-Vertriebsfähigkeit

Wachstums-Schwelle

Häufige Fragen zur Bestellpflicht

01Ab wieviel Mitarbeitern brauche ich einen Datenschutzbeauftragten?

02Gilt die alte 10-Mitarbeiter-Regel noch?

03Werden Werkstudenten und Praktikanten zur 20er-Schwelle gezählt?

04Kann unser Geschäftsführer DSB sein?

05Wie schnell muss ich nach Eintritt der Bestellpflicht einen DSB benennen?

06Muss die Bestellung formal dokumentiert werden?

Externen Datenschutzbeauftragten anfragen

Partner-Netzwerk statt Einzelkämpfer

Komplette GRC-Suite im Pro-Plan

Transparente Pauschalpreise

Externer Datenschutzbeauftragter

Kosten & Pakete

Standorte