Datenschutz

Aufgaben des Datenschutzbeauftragten (DSGVO Artikel 39)

DSGVO Artikel 39 listet die Aufgaben des Datenschutzbeauftragten: Beratung, Überwachung, DSFA-Beratung, Behördenkontakt. Praktischer Leitfaden 2026.

Auch verfügbar in:English
TD
Dr. Thiébaut Devergranne
17. Mai 20265 min read

In einem Satz. DSGVO Artikel 39 listet sechs Kernaufgaben des Datenschutzbeauftragten (DSB): (1) Beratung und Information des Verantwortlichen, (2) Überwachung der DSGVO-Einhaltung, (3) Beratung zu Datenschutz-Folgenabschätzungen, (4) Zusammenarbeit mit der Aufsichtsbehörde, (5) Funktion als Anlaufstelle für die Aufsichtsbehörde, (6) risikobasierter Ansatz bei allen Aufgaben. In der Praxis erweitert sich die Rolle auf 12 operative Verantwortlichkeiten — von Verzeichnis-Pflege bis Vorfallsreaktion.

Der Datenschutzbeauftragte (DSB) ist die zentrale Compliance-Funktion in jeder Organisation, die der DSGVO unterliegt. Artikel 39 definiert die rechtlichen Mindestaufgaben. Die tatsächliche Arbeitsbelastung ist erheblich breiter — vor allem in deutschen Unternehmen, wo das BDSG zusätzliche Anforderungen stellt und die BfDI sowie die Landesdatenschutzbehörden aktiv durchsetzen.

Für die Bestellung des DSB siehe Datenschutzbeauftragter. Für verwandte Themen: Verzeichnis Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung.

Wichtige Punkte

  • Artikel 39 nennt 6 rechtliche Mindestaufgaben des DSB.
  • In Deutschland ist die DSB-Bestellung bei ≥ 20 Personen mit ständiger automatisierter Datenverarbeitung verpflichtend (§ 38 BDSG — strikter als DSGVO-Schwelle).
  • Der DSB muss direkt an die höchste Managementebene berichten (Artikel 38 Absatz 3) — nicht an den IT-Leiter.
  • Der DSB ist nicht verantwortlich für Compliance — diese bleibt beim Verantwortlichen (Artikel 24).
  • Die Position erfordert fachliche Qualifikation und Unabhängigkeit (Artikel 38).

1. Die 6 Kernaufgaben (Artikel 39 Absatz 1)

(a) Information und Beratung

Den Verantwortlichen, den Auftragsverarbeiter und die Beschäftigten informieren und beraten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Pflichten nach der DSGVO sowie anderen Datenschutzvorschriften der Union und der Mitgliedstaaten.

(b) Überwachung der Einhaltung

Die Einhaltung der DSGVO und anderer Datenschutzvorschriften überwachen, einschließlich:

  • Strategien des Verantwortlichen zum Schutz personenbezogener Daten
  • Zuweisung von Zuständigkeiten
  • Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter
  • Diesbezügliche Überprüfungen

© DSFA-Beratung

Auf Anfrage Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35.

(d) Zusammenarbeit mit der Aufsichtsbehörde

Zusammenarbeit mit der Aufsichtsbehörde (BfDI, Landesbehörden).

(e) Anlaufstelle für die Aufsichtsbehörde

Als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen fungieren, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(f) Risikobasierter Ansatz

Der DSB trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

2. Erweiterte operative Aufgaben (Praxis)

Über Artikel 39 hinaus übernimmt ein moderner DSB in der Praxis:

  • Pflege des Verzeichnisses der Verarbeitungstätigkeiten (Artikel 30) — in Koordination mit den Geschäftsbereichen
  • Lieferanten-Due Diligence für die Auswahl von Auftragsverarbeitern und Überprüfung der AV-Verträge (Artikel 28)
  • Verwaltung des Betroffenenrechts-Prozesses: Auskunft, Berichtigung, Löschung, Übertragbarkeit, Widerspruch, Einschränkung
  • Koordination der Datenpannen-Reaktion nach Artikel 33-34: Meldung an die Behörde innerhalb 72 Stunden, Information der Betroffenen bei Bedarf
  • Periodische Datenschutz-Audits der Geschäftsbereiche und IT-Systeme
  • Schulungsprogramme für neue Mitarbeiter und laufende Sensibilisierung

3. Position und Unabhängigkeit (Artikel 38)

Der DSB muss:

  • Direkt an die höchste Managementebene berichten (Geschäftsführung, Vorstand)
  • In Bezug auf die Erfüllung seiner Aufgaben weisungsfrei sein
  • Nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden
  • Über die erforderlichen Ressourcen für die Erfüllung seiner Aufgaben verfügen
  • Bei allen Datenschutzfragen ordnungsgemäß und frühzeitig einbezogen werden

Häufige Fehler in deutschen Unternehmen:

  • DSB berichtet an IT-Leiter (Interessenkonflikt)
  • DSB ist gleichzeitig HR-Leiter oder Geschäftsführer (Interessenkonflikt)
  • DSB hat kein Budget oder keine Zeitzuteilung

4. Qualifikation

Artikel 37 Absatz 5 erfordert “berufliche Qualifikation, insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraktiken”. Keine spezifische Zertifizierung erforderlich, aber:

  • TÜV-zertifizierter DSB: Standard in DACH, 5-Tage-Kurs + Prüfung
  • CIPP/E (IAPP): international anerkannt, EU-Datenschutzrecht
  • ULD-Zertifizierung: Schleswig-Holsteinische Zertifizierung
  • dvd-Zertifizierung (Datenschutzakademie)

Für Praxis in Deutschland ist eine TÜV-DSB-Zertifizierung weitgehend akzeptiert.

5. Interner vs. externer DSB

Modell Geeignet für Kosten (DE)
Interner DSB (Vollzeit) Großunternehmen, ≥500 Mitarbeiter 70-110 K€/Jahr + Nebenkosten
Interner DSB (Teilzeit) Mittelstand 50-500 Mitarbeiter 30-50 K€/Jahr
Externer DSB KMU, spezialisierte Sektoren 6-30 K€/Jahr
Konzern-DSB Multinationale Gruppen Interne Allokation

Externer DSB ist in DACH besonders verbreitet bei KMU — § 38 Absatz 3 BDSG erlaubt explizit Vertragslösungen.

6. Berichtswesen

Best Practice für die DSB-Berichterstattung:

  • Monatlich: Statusbericht an Geschäftsführung (offene Themen, Risiken, KPIs)
  • Vierteljährlich: Detailbericht mit DSFA-Status, Verzeichnis-Updates, Vorfälle, Schulungen
  • Jährlich: Tätigkeitsbericht und Empfehlungen für das nächste Jahr

7. BfDI-Anforderungen an den DSB

Die BfDI hat in ihren Tätigkeitsberichten 2023-2025 wiederholt betont:

  • DSB muss in der Lage sein, innerhalb von 5 Werktagen auf Behördenanfragen zu reagieren
  • DSB-Kontaktdaten müssen auf der Website öffentlich zugänglich sein
  • DSB darf nicht für Compliance verantwortlich gemacht werden (häufiger Fehler)

8. Sanktionen

Mängel bei DSB-Funktion werden typischerweise im Rahmen breiterer DSGVO-Verstöße sanktioniert:

  • 1&1 (BfDI 2020) — 9,55 Mio. €: u.a. DSB-Aufsichtsmängel
  • Vodafone Deutschland (BfDI 2022) — 1,4 Mio. €: Compliance-Aufsichtslücken

9. Praktische Checkliste DSB-Funktion

  • ☐ DSB formell bestellt mit schriftlicher Bestellung
  • ☐ Kontaktdaten an die BfDI/Landesbehörde gemeldet
  • ☐ Kontaktdaten auf der Website öffentlich
  • ☐ Direkte Berichtslinie an Geschäftsführung
  • ☐ Keine Aufgaben mit Interessenkonflikt
  • ☐ Ressourcen (Budget, Zeit, Schulung) zugewiesen
  • ☐ Verzeichnis der Verarbeitungstätigkeiten gepflegt
  • ☐ DSFA-Prozess etabliert
  • ☐ Vorfallsreaktions-Workflow dokumentiert
  • ☐ Betroffenenrechts-Prozess operativ
  • ☐ Jährliches Mitarbeiter-Schulungsprogramm
  • ☐ Quartalsweise Berichtsrhythmus an Geschäftsführung

10. Werkzeuge

Legiscope bietet eine vollständige DSB-Toolbox: Verzeichnis-Pflege, AV-Vertrags-Audits per KI, DSFA-Generator, Betroffenen-Anfragen-Workflow, Vorfallsreaktion. Für einen externen DSB mit 5-10 KMU-Mandanten ist der Zeitgewinn signifikant.

Für verwandte Themen: Datenschutzbeauftragter, DSGVO Artikel 6 Rechtsgrundlagen, Datenschutz-Folgenabschätzung, Verzeichnis Verarbeitungstätigkeiten.

Fazit

Der DSB ist nicht der Datenschutzbeauftragte für Compliance — er ist der unabhängige Beobachter, der dem Verantwortlichen hilft, die Compliance zu erreichen. Diese Unterscheidung definiert die Position. Eine starke DSB-Funktion mit den richtigen Werkzeugen, Ressourcen und Berichtslinien transformiert die DSGVO von einer reaktiven zu einer steuernden Disziplin.

FAQ

Was sind die Hauptaufgaben des Datenschutzbeauftragten nach DSGVO?

Artikel 39 nennt sechs Aufgaben: Information und Beratung, Überwachung der Einhaltung, Beratung zu DSFA, Zusammenarbeit mit der Aufsichtsbehörde, Anlaufstelle für die Behörde, risikobasierter Ansatz.

Wann ist ein DSB in Deutschland verpflichtend?

§ 38 BDSG: bei ≥ 20 Personen mit ständiger automatisierter Datenverarbeitung. Auch verpflichtend bei besonderen Kategorien oder regelmäßiger umfangreicher Überwachung (DSGVO Artikel 37). Die deutsche Schwelle ist strikter als die DSGVO-Schwelle.

Kann der Geschäftsführer DSB sein?

Nein — Interessenkonflikt. Der DSB überwacht die Compliance des Verantwortlichen; er kann nicht gleichzeitig der Verantwortliche sein.

Reicht eine TÜV-DSB-Zertifizierung?

Die TÜV-DSB-Zertifizierung gilt als anerkannter Nachweis fachlicher Qualifikation in Deutschland. Die DSGVO erfordert “berufliche Qualifikation” — keine spezifische Zertifizierung.

Was sind die Kosten eines externen DSB in Deutschland?

6.000 € bis 30.000 € pro Jahr für KMU, abhängig von Komplexität (Branche, Datenmenge, internationale Tätigkeit). Großunternehmen typischerweise mit internem DSB (70-110 K€/Jahr).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →