Muss der Datenschutzbeauftragte auf der Website genannt werden?

von RA Max-Lion Keller, LL.M. (IT-Recht)

4 min 3

Beitrag vom: 02.11.2015

Aktualisiert: 21.12.2025

Tipp: Weiterführende Informationen finden Sie hier: „Warum mehr zahlen? Datenschutzbeauftragter ab 32,50 €“

Datenschutzbeauftragter bestellt - und nun? Viele Unternehmen fragen sich, ob dessen Kontaktdaten zwingend auf der Website erscheinen müssen und ob eine Nennung im Impressum erforderlich ist.

Inhaltsverzeichnis

Wann besteht überhaupt eine Benennungspflicht?
Besteht eine Pflicht zur Nennung auf der Website?
Müssen Name und persönliche Daten genannt werden?
Fazit

Warum mehr zahlen? Datenschutzbeauftragter schon ab 32,50 € monatlich

In Kooperation mit der IITR Datenschutz GmbH bieten wir Unternehmen die Möglichkeit, bereits ab 32,50 Euro monatlich einen externen Datenschutzbeauftragten zu bestellen.

Das Angebot liegt im Marktvergleich deutlich unter den Kosten vieler vergleichbarer externer Lösungen und stellt damit eine wirtschaftliche Alternative zur internen wie auch zur klassischen externen Besetzung dar.

Wann besteht überhaupt eine Benennungspflicht?

Die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) ergibt sich unionsrechtlich aus Art. 37 DSGVO und wird in Deutschland durch die ergänzenden und teilweise weitergehenden Regelungen des § 38 BDSG konkretisiert. Maßgeblich ist stets eine Einzelfallprüfung, ob einer der gesetzlichen Benennungstatbestände erfüllt ist.

Eine Benennung ist zwingend erforderlich, wenn mindestens eine der folgenden Voraussetzungen vorliegt:

In der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 Satz 1 BDSG). Dabei kommt es weder auf die Sensibilität der verarbeiteten Daten noch auf deren Bedeutung für das Geschäftsmodell an; maßgeblich ist vielmehr die dauerhafte, nicht nur gelegentliche Einbindung der Beschäftigten in automatisierte Datenverarbeitungsvorgänge. Eine Tätigkeit „ständig“ liegt dabei bereits dann vor, wenn die Datenverarbeitung regelmäßig zum Aufgabenbereich gehört, auch wenn sie nicht in Vollzeit ausgeübt wird.
Öffentliche Stellen als Verantwortliche tätig sind, etwa Behörden oder sonstige öffentliche Einrichtungen (Art. 37 Abs. 1 lit. a DSGVO), soweit keine Ausnahme – etwa für Gerichte in richterlicher Tätigkeit – greift.
Die Kerntätigkeit des Unternehmens in der umfangreichen, regelmäßigen und systematischen Überwachung betroffener Personen besteht (Art. 37 Abs. 1 lit. b DSGVO). Dies erfasst insbesondere datengetriebene Geschäftsmodelle, bei denen die Überwachung von Nutzerverhalten nicht nur eine Nebenfunktion, sondern einen wesentlichen Bestandteil der unternehmerischen Tätigkeit darstellt.
Die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO liegt, etwa Gesundheitsdaten, biometrische Daten oder Angaben zur religiösen oder politischen Überzeugung (Art. 37 Abs. 1 lit. c DSGVO).
Verarbeitungsvorgänge durchgeführt werden, für die eine Datenschutz-Folgenabschätzung erforderlich ist (§ 38 Abs. 1 Satz 2 Nr. 1 BDSG i. V. m. Art. 35 DSGVO). In diesem Fall besteht die Benennungspflicht unabhängig von der Anzahl der Beschäftigten.
Personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, insbesondere im Rahmen des Datenhandels, oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden (§ 38 Abs. 1 Satz 2 Nr. 2 BDSG). Auch dieser Tatbestand begründet eine eigenständige Benennungspflicht ohne Rücksicht auf die Unternehmensgröße.

Damit enthält das deutsche Datenschutzrecht eine nationale Erweiterung der unionsrechtlichen Vorgaben, die insbesondere für viele kleine und mittlere Unternehmen von praktischer Bedeutung ist.

LegalScan Pro – Ihr Warnsystem für produktspezifische Rechtspflichten

Besteht eine Pflicht zur Nennung auf der Website?

Ja – jedenfalls mittelbar.

Nach Art. 13 Abs. 1 lit. b DSGVO ist der Verantwortliche verpflichtet, betroffenen Personen gegebenenfalls, also sofern ein Datenschutzbeauftragter benannt wurde, dessen Kontaktdaten mitzuteilen. Diese Informationspflicht greift immer dann, wenn personenbezogene Daten erhoben werden. Gleiches gilt nach Art. 14 Abs. 1 lit. b DSGVO, wenn die Daten nicht unmittelbar bei der betroffenen Person erhoben werden.

Da bei geschäftlich genutzten Websites regelmäßig personenbezogene Daten verarbeitet werden – etwa durch Kontaktformulare, Newsletter-Anmeldungen, Kundenkonten oder den Einsatz von Analyse- und Tracking-Tools –, müssen die Kontaktdaten des Datenschutzbeauftragten auch online in leicht zugänglicher Form bereitgestellt werden.

In der Praxis bedeutet dies:

Die Kontaktdaten des Datenschutzbeauftragten müssen für Nutzer der Website leicht auffindbar sein.
Üblicher und sachgerechter Ort hierfür ist die Datenschutzerklärung.
Eine Nennung im Impressum ist hingegen rechtlich nicht zwingend erforderlich.

Unabhängig davon verpflichtet Art. 37 Abs. 7 DSGVO den Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten auch der zuständigen Aufsichtsbehörde mitzuteilen.

Müssen Name und persönliche Daten genannt werden?

Die DSGVO verlangt lediglich die Angabe von Kontaktdaten, nicht zwingend die namentliche Nennung des Datenschutzbeauftragten.

Zulässig ist daher auch die Angabe einer Funktionsadresse (z. B. datenschutz@unternehmen.de), sofern sichergestellt ist, dass Anfragen den Datenschutzbeauftragten tatsächlich erreichen.

Die angegebenen Kontaktdaten müssen eine direkte und einfache Kontaktaufnahme ermöglichen. Reine Verweisungen auf allgemeine Kontaktformulare können im Einzelfall als unzureichend angesehen werden. Eine Funktions-E-Mail-Adresse hat sich in der Praxis als rechtssichere und datensparsame Lösung etabliert.

Lesen Sie auch

Datenschutzbeauftragter: Muss er in der Datenschutzerklärung benannt werden?

Thema: Datenschutzbeauftragter

Fazit

Unternehmen, die einen Datenschutzbeauftragten benennen müssen, sind verpflichtet, betroffenen Personen dessen Kontaktdaten in leicht zugänglicher Form bereitzustellen.

Bei Websites wird diese Pflicht regelmäßig durch eine entsprechende Angabe in der Datenschutzerklärung erfüllt.

Eine vollständige Nennung mit Namen, Anschrift und Telefonnummer ist rechtlich nicht zwingend erforderlich. Entscheidend ist vielmehr, dass eine klare, transparente und verlässliche Erreichbarkeit gewährleistet ist.

Die IT-Recht Kanzlei empfiehlt Unternehmen daher, die Angaben zum Datenschutzbeauftragten regelmäßig zu überprüfen und an die aktuelle Rechtslage anzupassen.

Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle: Guitarfoto / shutterstock.com

Link kopieren

Als PDF exportieren

Drucken

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

3 Kommentare

Diskutieren Sie mit

Peter 24.10.2019, 05:56 Uhr

Meldung des Datenschutzbeauftragten

Muss der Datenschutzbeauftragte nicht nur auf der Internetseite sondern auch laut Artikel 37 Absatz 7 der Aufsichtsbehörde zwingend genannt werden?

Antworten

Br0kk 26.11.2018, 10:53 Uhr

Datenschutzbeauftragter Firma oder Person

Hi,
muss man den Extrenen DSB per Namen nennen oder reicht es wenn man dort die Firma des DSB (Mit Kontaktdaten etc) angibt. Darf der externe DSB auch eine Firma sein oder muss es immer eine Person sein?

Antworten

Tom Stein 26.05.2018, 00:45 Uhr

Veralteter Artikel

Gemäß DSGVO muss die Kontaktadresse des Datenschutzbeauftragen auf der Webseite genannt werden. Allerdings bestimmt genau diese DSGVO den Namen des Datenschutzbeauftragten als schützenswertes Detail, d.h. der Datenschutzbeauftragte kann entscheiden, seinen Namen nicht zu nennen (was in vielen Fällen durchaus empfehlenswert ist). Dann sollte auch seine E-Mail-Adresse nicht "Markus.Mayer@beispielfirma.com" lauten, sondern "Datenschutzbeauftragter@beispielfirma.com".

Antworten