Cybernotfall
Datenschutzrecht · Stand: Juni 2026

Datenschutzbeauftragter

Person zur Überwachung der Einhaltung des Datenschutzrechts in einer verantwortlichen Stelle, mit gesetzlich definierten Aufgaben und Schutzrechten.

Auch bekannt als: DSB, DPO

Rechtsgrundlagen
  • Art. 37 bis 39 DSGVO
  • § 38 BDSG

Wann ein Datenschutzbeauftragter verpflichtend ist

Nach Art. 37 DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn die Verarbeitung von einer Behörde durchgeführt wird, wenn die Kerntätigkeit in umfangreicher regelmäßiger und systematischer Beobachtung Betroffener besteht oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien oder strafrechtlicher Daten besteht.

§ 38 BDSG ergänzt für Deutschland: Sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ebenfalls ein DSB zu benennen. Diese Pflicht greift für einen Großteil deutscher Unternehmen.

Aufgaben

Art. 39 DSGVO benennt die Aufgaben: Unterrichtung und Beratung der Geschäftsleitung und Mitarbeiter, Überwachung der Einhaltung der DSGVO und weiterer Datenschutzvorschriften, Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung, Zusammenarbeit mit der Aufsichtsbehörde und Funktion als Anlaufstelle für Betroffene und Behörden.

Der DSB ist nicht selbst für die Einhaltung verantwortlich. Verantwortlich bleibt die Leitung der verantwortlichen Stelle. Der DSB berichtet direkt an die höchste Managementebene.

Interner oder externer DSB

Beide Modelle sind zulässig. Externe DSB bringen Erfahrung aus vielen Branchen, eine hohe Aktualität im rechtlichen Wissen und Unabhängigkeit vom Tagesgeschäft mit. Interne DSB sind organisatorisch besser eingebunden, können aber eher in Interessenkonflikte geraten. Ein DSB darf nicht in einer Position tätig sein, die mit der DSB-Funktion kollidiert, etwa IT-Leitung, Personalleitung oder Geschäftsführung.

Stellung und Schutz

Art. 38 DSGVO sichert die unabhängige Aufgabenwahrnehmung. Der DSB darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. § 6 Abs. 4 BDSG ergänzt einen besonderen Kündigungsschutz für interne DSB. Der DSB ist mit den erforderlichen Ressourcen auszustatten, hat einen direkten Berichtsweg zur Geschäftsleitung und ist zur Verschwiegenheit verpflichtet.

Rolle im Cybernotfall

Der DSB ist im Vorfall zentrale Anlaufstelle für die Bewertung nach Art. 33 und 34 DSGVO. Er koordiniert die Meldung, berät zu Inhalt und Form, prüft die Notwendigkeit der Benachrichtigung Betroffener und unterstützt bei Aufsichtsverfahren. Erreichbarkeit auch außerhalb der Geschäftszeiten ist daher Pflicht.

Häufige Fragen

Häufige Fragen

Kann die IT-Leitung gleichzeitig DSB sein
Nein. Es liegt ein Interessenkonflikt vor, weil die IT-Leitung selbst Verarbeitungen verantwortet, die der DSB überwachen soll. Aufsichtsbehörden haben dies bereits mit Bußgeldern sanktioniert.
Welche Qualifikation muss ein DSB haben
Art. 37 Abs. 5 DSGVO fordert berufliche Qualifikation und Fachwissen im Datenschutzrecht und in der Datenschutzpraxis. Zertifizierungen wie TUEV-DSB oder CIPP/E sind verbreitete Belege.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil