Datenschutzbeauftragter ab wann? DSB-Pflicht 2026

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026 · Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

DE: ab 20 ständigen Beschäftigten mit Datenzugriff (§ 38 BDSG)
EU: bei Kerntätigkeit Profiling/Überwachung ODER besonderen Kategorien — unabhängig von Größe (Art. 37 DSGVO)
AT: keine Mitarbeiter-Schwelle (§ 5 DSG) — DSB-Pflicht greift früher als in DE
Externer DSB kostet 1.500–8.000 EUR/Jahr — meist günstiger als intern
Kündigungsschutz nach § 6 Abs. 4 BDSG — DSB kann nur aus wichtigem Grund gekündigt werden

1. DSB-Pflicht in Deutschland

Drei alternative Voraussetzungen — eine reicht aus:

§ 38 BDSG: ab 20 ständigen Beschäftigten, die mit personenbezogener Datenverarbeitung beschäftigt sind
Art. 37 Abs. 1 lit. b DSGVO: Kerntätigkeit Profiling oder regelmäßige + systematische Überwachung im großen Maßstab
Art. 37 Abs. 1 lit. c DSGVO: Kerntätigkeit Verarbeitung besonderer Kategorien (Art. 9) oder strafrechtlicher Daten in großem Umfang

2. DSB-Pflicht AT/CH

Kurzantwort: Die DSB-Pflicht ist DACH-weit unterschiedlich geregelt: In Deutschland greift sie ab 20 ständigen Beschäftigten mit Datenzugriff (§ 38 BDSG). Österreich kennt keine Mitarbeiterschwelle und stützt sich allein auf Art. 37 DSGVO + § 5 DSG — die Pflicht greift damit oft früher als in DE. In der Schweiz besteht seit dem revidierten DSG (09/2023) keine DSB-Pflicht mehr; die Bestellung ist nur noch empfohlen (Art. 10 nDSG).

Land	Schwelle	Rechtsgrundlage
Deutschland	20 ständige Beschäftigte mit Datenzugriff	§ 38 BDSG
Österreich	Keine Mitarbeiterschwelle — Art. 37 + § 5 DSG	Strenger als DE: greift bei kleineren Unternehmen früher
Schweiz	Keine DSB-Pflicht im neuen DSG (seit 09/2023) — empfohlen aber nicht Pflicht	Art. 10 nDSG

Wer einen DSB-Vertrag mit allen Pflicht-Klauseln nicht selbst aufsetzen will, findet im DSGVO-Kit ein DSB-Mandat-Mustervertrag, Bestellungsurkunde und DSB-Tätigkeitsbericht-Vorlage.

3. Intern oder extern?

Kurzantwort: Ein interner DSB kostet KMU typischerweise 50.000-100.000 EUR/Jahr (FTE-Anteil), bringt hohes Unternehmens-Wissen und Vollzeit-Verfügbarkeit, birgt aber Konflikt-Risiken bei Doppelrollen (z.B. mit IT-Leitung). Ein externer DSB liegt bei 1.500-8.000 EUR/Jahr, bietet hohe Unabhängigkeit und übernimmt Schulung sowie Zertifikate selbst — startet aber initial mit niedrigerem Unternehmens-Wissen.

Kriterium	Intern	Extern
Kosten KMU	50.000-100.000 EUR/Jahr (FTE)	1.500-8.000 EUR/Jahr
Unternehmens-Wissen	Hoch	Niedrig (initial)
Unabhängigkeit	Mittel	Hoch
Verfügbarkeit	Vollzeit	Stundenweise
Konflikt-Risiko	Hoch (Doppelrolle z.B. mit IT-Leitung)	Niedrig
Aufwand Schulung/Zertifikate	Selbst tragen	Beim Anbieter

4. Aufgaben des DSB (Art. 39 DSGVO)

Kurzantwort: Art. 39 DSGVO definiert sieben Kernaufgaben des Datenschutzbeauftragten: Unterrichtung und Beratung der Verantwortlichen, Überwachung der DSGVO-Einhaltung, Schulung der Mitarbeitenden, Beratung bei Datenschutz-Folgenabschätzungen (DSFA), Zusammenarbeit mit der Aufsichtsbehörde sowie Anlaufstelle sowohl für die Aufsichtsbehörde als auch für betroffene Personen.

Unterrichtung + Beratung
Überwachung der Einhaltung der DSGVO
Schulung der Mitarbeitenden
Beratung bei DSFA
Zusammenarbeit mit Aufsichtsbehörde
Anlaufstelle für Aufsichtsbehörde
Anlaufstelle für Betroffene

5. Kosten + Marktpreise externer DSB

Kurzantwort: Externe DSB-Marktpreise skalieren mit der Mitarbeitendenzahl: 1.500-3.000 EUR/Jahr für 1-20 MA, 3.000-5.000 EUR/Jahr für 20-100 MA, 5.000-8.000 EUR/Jahr für 100-250 MA, 8.000-15.000 EUR/Jahr für 250-1.000 MA und 15.000-50.000 EUR/Jahr für Unternehmen mit über 1.000 Beschäftigten.

Unternehmen	Externer DSB-Marktpreis
1-20 MA	1.500-3.000 EUR/Jahr
20-100 MA	3.000-5.000 EUR/Jahr
100-250 MA	5.000-8.000 EUR/Jahr
250-1.000 MA	8.000-15.000 EUR/Jahr
> 1.000 MA	15.000-50.000 EUR/Jahr

6. Kündigungsschutz

§ 6 Abs. 4 BDSG: Kündigung des DSB nur aus wichtigem Grund analog § 626 BGB. Bestellungswiderruf nur bei Tatsachen, die einer Beendigung des Arbeitsverhältnisses gleichkommen würden. EuGH C-453/21 (Werner Müller, 2023): Kündigungsschutz greift unabhängig von der Konzernkonstellation.

7. DSB-Bestellungs-Checkliste

Kurzantwort: Eine vollständige DSB-Bestellung erfolgt in acht Schritten: Pflicht prüfen (§ 38 BDSG oder Art. 37 DSGVO), Entscheidung intern oder extern (Kosten + Verfügbarkeit), Mandat-Vertrag (extern) oder Bestellungsurkunde (intern) ausarbeiten, Bestellung schriftlich dokumentieren, Aufsichtsbehörde formlos informieren, Kontaktdaten in der Datenschutzerklärung der Website ergänzen, Mitarbeitende über den DSB informieren und jährlich einen DSB-Tätigkeitsbericht an die Geschäftsleitung erstellen.

Pflicht prüfen: § 38 BDSG oder Art. 37 DSGVO
Intern oder extern entscheiden (Kosten + Verfügbarkeit)
Mandat-Vertrag ausarbeiten (extern) oder Bestellungsurkunde (intern)
Bestellung schriftlich dokumentieren
Aufsichtsbehörde informieren (formloses Schreiben)
Kontaktdaten in Datenschutzerklärung Website ergänzen
Mitarbeitende über DSB informieren
Jährlicher DSB-Tätigkeitsbericht an Geschäftsleitung

Häufig gestellte Fragen

Ab wie vielen Mitarbeitenden ist ein DSB Pflicht?

In Deutschland ab 20 ständigen Beschäftigten, die mit personenbezogener Datenverarbeitung beschäftigt sind (§ 38 BDSG). Plus Sonderpflichten nach Art. 37 DSGVO unabhängig von Mitarbeiterzahl: bei Kerntätigkeit Profiling/Überwachung oder besonderen Kategorien (Art. 9).

Zählen Praktikanten zur Mitarbeiterzahl?

Ja, sofern sie mit personenbezogenen Daten arbeiten. Auch Werkstudenten, Auszubildende, geringfügig Beschäftigte zählen. NICHT: rein technische Personen ohne Datenzugriff.

Externer oder interner DSB?

Externer DSB ist meist günstiger und unabhängiger. Interner DSB hat tieferes Unternehmenswissen. Praxis: 70 % der KMU wählen externen DSB. Mischmodell möglich.

Was kostet ein externer DSB?

1.500-8.000 EUR/Jahr je nach Größe + Komplexität. KMU 50-100 MA: ca. 3.000-5.000 EUR. Konzern: 15.000-50.000 EUR. Compliance-Kit DSGVO-Kit + externer DSB-Vertrag = vollständige Compliance ab 5.000 EUR/Jahr.

Hat der DSB Kündigungsschutz?

Ja, § 6 Abs. 4 BDSG: Kündigung des DSB nur aus wichtigem Grund (analog § 626 BGB). Bestellungswiderruf nur bei Tatsachen, die zu wichtigem Grund analog berechtigen. EuGH C-453/21 (Bundesarbeitsgericht/Werner Müller): Kündigungsschutz auch bei Konzernzugehörigkeit.

Muss der DSB juristisch ausgebildet sein?

Nein. Art. 37 Abs. 5 DSGVO: 'auf Grundlage seiner beruflichen Qualifikation und seiner Fachkunde'. Praxis: zertifizierte Datenschutz-Profis (TÜV, GDD, Udacity), oft IT-Security-Background + Compliance-Erfahrung.

Müssen Konzern-Töchter eigene DSBs haben?

Nicht zwingend. Art. 37 Abs. 2: Konzern kann einen gemeinsamen DSB benennen — sofern er von jeder Niederlassung leicht erreichbar ist. Praxis: zentraler Konzern-DSB + lokale Datenschutz-Koordinatoren.

Was passiert bei DSB-Vakanz?

Risiko: Aufsichtsverfahren bei Pflichtverletzung. Praxis: bei kurzer Vakanz (1-3 Monate) noch tolerierbar, wenn dokumentiert. Längere Vakanz = Bußgeldrisiko.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
EDPB Jahresbericht 2023 (Executive Summary, deutsch) (Stand: 08.2024)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.