Ab wann ist ein DSB vorgeschrieben? 

Mit der DSGVO und dem deutschen Bundesdatenschutzgesetz wurde eindeutig festgelegt, wann Unternehmen verpflichtet sind, einen Datenschutzbeauftragten zu benennen. Während die DSGVO europaweit gilt, verschärft das deutsche Recht die Anforderungen zusätzlich – und dadurch trifft die Pflicht deutlich mehr Unternehmen, als viele vermuten.

Ein Datenschutzbeauftragter wird immer dann verpflichtend, wenn ein Unternehmen in größerem Umfang personenbezogene Daten verarbeitet oder diese Daten im Mittelpunkt des Geschäftsmodells stehen. Besonders streng ist die Regelung für Betriebe, die sensible Informationen verarbeiten – etwa Gesundheitsdaten, biometrische Merkmale oder andere besonders schützenswerte Kategorien. Auch Unternehmen, die Personen systematisch überwachen, beispielsweise durch umfangreiches Tracking oder Videoüberwachung, müssen einen DSB benennen. Öffentliche Stellen wie Behörden, Schulen oder Kommunen sind grundsätzlich immer verpflichtet.

Noch weiter geht das deutsche Bundesdatenschutzgesetz: Hier wird ein DSB bereits dann vorgeschrieben, wenn mindestens 20 Personen im Unternehmen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Diese Schwelle ist schnell erreicht – denn schon Tätigkeiten wie HR-Arbeit, Kundenkommunikation, Marketing oder IT-Support zählen als Datenverarbeitung. Ebenso verpflichtend wird der DSB, wenn das Unternehmen besonders risikoreiche Verfahren nutzt, für die eine Datenschutz-Folgenabschätzung erforderlich ist, oder wenn das Geschäftsmodell stark auf der Verarbeitung oder Übermittlung personenbezogener Daten basiert.

Für viele Unternehmen ist daher die Bestellung eines Datenschutzbeauftragten nicht optional, sondern eine klare gesetzliche Verpflichtung. Das eröffnet für IT-Fachkräfte ein attraktives Betätigungsfeld: Die Nachfrage nach qualifizierten DSB steigt kontinuierlich, und mit zunehmender Digitalisierung wird der Bedarf weiter wachsen.