§ 38 BDSG (DSB-Pflicht)
Deutsche Erweiterung der DSB-Pflicht aus Art. 37 DSGVO
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
§ 38 BDSG verpflichtet zur Bestellung eines DSB ab 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind — strenger als Art. 37 DSGVO.
Was ist § 38 BDSG (DSB-Pflicht)?
Schwellenwerte für DSB-Pflicht in DACH:
- Deutschland: 20+ Personen automatisierte Verarbeitung (§ 38 BDSG) ODER Art. 37 DSGVO-Tatbestände
- Österreich: Nur Art. 37 DSGVO (kein Schwellenwert; öffentliche Stellen, Hochrisiko, Art. 9-Kerntätigkeit)
- Schweiz: nDSG Art. 10 — freiwillig, aber empfohlen
Praxisbeispiel
Maschinenbauer mit 35 Mitarbeitenden: 28 nutzen täglich CRM, ERP, E-Mail. Schwelle § 38 BDSG erreicht — DSB-Bestellung Pflicht. Verstoß: Bußgeld bis 50.000 EUR.
Häufig gestellte Fragen
Wer zählt als 'beschäftigt mit automatisierter Verarbeitung'?
Alle, die regelmäßig (>10 Min/Tag) personenbezogene Daten in IT-Systemen verarbeiten — fast alle Büromitarbeitenden.
Reicht ein externer DSB?
Ja, gleichberechtigt mit internem DSB. Vorteile: Kompetenz + Unabhängigkeit. Nachteile: Distanz.
Bußgeld bei fehlendem DSB?
Bis 50.000 EUR (BfDI-Praxis 2024-2025) — Median 15-25k.