DSGVO: Neue Anforderungen an Datenschutzbeauftragte und verschärfte DSGVO-Sanktionen

Ansprechpartner RA Max-Lion Keller, LL.M. (IT-Recht)

3 min 1

Beitrag vom: 07.09.2016

Aktualisiert: 18.11.2025

Tipp: Weiterführende Informationen finden Sie hier: „Externer Datenschutzbeauftragter für Händler - bereits ab mtl. 32,5 Euro“

Die DSGVO hat die Anforderungen an Datenschutzbeauftragte neu gefasst und die Sanktionen bei Verstößen erheblich verschärft. Wann ist ein Datenschutzbeauftragter nötig und welche Bußgelder drohen?

Inhaltsverzeichnis

Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB): Was gilt aktuell?
1. EU-Ebene: Wann ist ein Datenschutzbeauftragter nach der DSGVO verpflichtend?
2. Öffnungsklausel und deutscher Sonderweg (§ 38 BDSG)
Verschärfte Sanktionen bei Verstößen
Fazit

Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB): Was gilt aktuell?

Mit der DSGVO wurde das Datenschutzrecht europaweit neu geordnet – auch hinsichtlich der Pflicht, einen Datenschutzbeauftragten zu benennen. Die europäischen Vorgaben unterscheiden sich dabei deutlich vom deutschen Sonderweg.

Im Folgenden erhalten Sie eine kompakte und rechtssichere Übersicht.

1. EU-Ebene: Wann ist ein Datenschutzbeauftragter nach der DSGVO verpflichtend?

Die DSGVO knüpft die Pflicht zur Benennung eines Datenschutzbeauftragten nicht an eine bestimmte Anzahl von Mitarbeitenden. Entscheidend sind vielmehr qualitative Kriterien.

Nach Art. 37 Abs. 1 DSGVO muss ein Datenschutzbeauftragter bestellt werden, wenn

eine Behörde/öffentliche Stelle personenbezogene Daten verarbeitet (Gerichte bei ihren Rechtsprechungsaufgaben ausgenommen),
die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in einer umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht, oder
eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten über strafrechtliche Verurteilungen/Straftaten (Art. 10 DSGVO) erfolgt.

Auf EU-Ebene knüpft die DSGVO die Pflicht zur Benennung eines Datenschutzbeauftragten also nicht an eine bestimmte Mitarbeiterzahl.

2. Öffnungsklausel und deutscher Sonderweg (§ 38 BDSG)

Die DSGVO erlaubt es den Mitgliedstaaten (Art. 37 Abs. 4 DSGVO), strengere nationale Vorgaben einzuführen. Deutschland hat davon Gebrauch gemacht.

Nach § 38 Abs. 1 Satz 1 BDSG müssen private Unternehmen zusätzlich einen DSB benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Daneben besteht die Pflicht unabhängig von der Mitarbeiterzahl, wenn

eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist oder
geschäftsmäßig Daten übermittelt oder zu Zwecken der Markt-/Meinungsforschung verarbeitet werden (§ 38 Abs. 1 S. 2–3 BDSG).

Deutschland ist damit strenger als die DSGVO: Neben den EU-Vorgaben gilt eine zusätzliche 20-Personen-Schwelle.

Verschärfte Sanktionen bei Verstößen

Um der besonderen Bedeutung effektiver Datenschutzmaßnahmen zur Wahrung der legitimen Betroffeneninteressen zu mehr Geltung zu verhelfen und eine lückenlose Umsetzung der neuen Vorgaben mit Mitteln der Abschreckung zu garantieren, hebt die DSGVO den Bußgeldrahmen für Verstöße gegen die Verordnungsbestimmungen im Vergleich zur geltenden Rechtslage erheblich an und überschreitet hierbei erstmalig die Millionengrenze.

Während nach dem früheren § 43 Abs. 3 BDSG a. F. Bußgelder bis maximal 300.000 € vorgesehen waren, gilt nach Art. 83 DSGVO heute:

Für weniger gravierende Verstöße (z. B. Art. 8, Art. 30, Kapitel IV DSGVO): Geldbußen bis zu 10.000.000 € oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.
Für schwerwiegende Verstöße (z. B. gegen Art. 5, 6, 7, 9 oder Art. 12–22 DSGVO): Geldbußen bis zu 20.000.000 € oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.

Daneben werden die Mitgliedsstaaten zudem nach Art. 84 DSGVO ermächtigt, Verstöße gegen weitere Tatbestände der DSGVO mit Bußgeldern zu belegen.

Auch die Nichtbestellung eines Datenschutzbeauftragten trotz bestehender Pflicht stellt einen bußgeldbewehrten Verstoß dar. Gemäß Art. 83 Abs. 4 lit. a DSGVO kann dies mit Geldbußen von bis zu 10.000.000 € oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden – je nachdem, welcher Betrag höher ist.

Fazit

Die DSGVO hat die Voraussetzungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten grundlegend verändert.

Verantwortliche müssen genau prüfen, ob ihre Datenverarbeitungsprozesse – sei es aufgrund des Umfangs, der Sensibilität der Daten oder der Mitarbeiterzahl – die zwingende Benennung eines Datenschutzbeauftragten erfordern.

Zugleich zeigt der deutlich verschärfte Bußgeldrahmen, dass Verstöße gegen diese Pflicht keinesfalls als Nebensache behandelt werden dürfen. Wer die Bestellung eines Datenschutzbeauftragten unterlässt oder sonstige datenschutzrechtliche Pflichten missachtet, setzt sein Unternehmen erheblichen finanziellen Risiken aus.

Eine sorgfältige Bewertung der eigenen Datenverarbeitungsprozesse und gegebenenfalls die frühzeitige Bestellung eines Datenschutzbeauftragten bleiben daher unerlässlich.

Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

von RA Phil Salewski

Link kopieren

Als PDF exportieren

Drucken

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

1 Kommentar

Diskutieren Sie mit

Stefan Beyer 08.09.2016, 10:23 Uhr

An der Bestellpflicht ändert sich nichts

Der bundesdeutsche Gesetzgeber wird die Möglichkeit der DSGVO, national niedrigere Bestellschwellen für den DSB vorzusehen, nutzen. Damit bleibt voraussichtlich alles wie es ist. Der aktuelle Referentenentwurf zum ABDSG des BMI (veröffentlicht auf netzpolitik.org) bestätigt dies.

Antworten