---
name: dsb-bestellungspflicht-pruefung
description: "Bestellungspflicht für Datenschutzbeauftragten prüfen. Art. 37 DSGVO § 38 BDSG Bestellungspflicht. Prüfraster: Schwellenwerte Art. 37 Abs. 1 Betriebsgroe Verarbeitungsart Pflichtbestellung freiwillige Bestellung. Output: Bestellungsprüfmemo Empfehlung. Abgrenzung: nicht für Aufgaben des DSB (Art...."
---

# DSB-Bestellungspflicht und -Anforderungen

## Eingaben

- Unternehmens-Typ (öffentlich privat)
- Beschäftigten-Zahl
- Verarbeitungs-Tätigkeiten (Übersicht aus VVT)
- Bestand DSB ja/nein
- Bei Bestand: Person und Rolle (intern extern)

## Schritt 1 — Pflicht-Tatbestände Art. 37 DSGVO

### Lit. a) Öffentliche Stelle / Behörde

- **Pflicht** unabhängig von Größe
- Außer Gerichte in Justizfunktion

### Lit. b) Kerntätigkeit umfangreiche regelmäßige systematische Überwachung

- **Kerntätigkeit** das Geschäft selbst (nicht nur Mittel zur Geschäftsführung)
- **Umfangreich** Skalierung
- **Regelmäßig systematisch** Dauerhaft strukturiert
- **Überwachung** Beobachtung Verhalten Profilbildung

#### Beispiele

- Online-Verhaltens-Tracking Werbe-Netzwerke
- Vermarkter mit Profiling
- Telematik-Versicherer
- Standort-Verfolgung
- CCTV im großen Stil

### Lit. c) Kerntätigkeit umfangreiche Verarbeitung besondere Kategorien

- **Art. 9 DSGVO** Daten (Gesundheit Religion Sexual-Orientierung etc.)
- **Strafrechtliche Daten** Art. 10
- **Umfangreich**

#### Beispiele

- Krankenhäuser
- Religions-Gemeinschaften
- Personalvermittler mit Diversity-Daten
- Strafvollzug-Dienstleister
- Genetik-/Genom-Labore

## Schritt 2 — § 38 BDSG Deutsche Erweiterung

### Schwellenwert

- **In der Regel mindestens 20 Personen**
- **Ständig mit automatisierter Verarbeitung beschäftigt**
- Bei Pflicht zur DSFA (Art. 35) auch bei weniger Personen
- Bei geschäftsmäßiger Verarbeitung zum Zweck der Übermittlung anonymen Übermittlung Markt- oder Meinungsforschung

### "Personen" im Sinne § 38 BDSG

- Mitgezählt werden **eigene Beschäftigte** des Verantwortlichen (Voll- und Teilzeit, Aushilfen, Auszubildende, Werkstudenten, freie Mitarbeiter mit Datenzugriff)
- **Auftragsverarbeiter-Personal zählt NICHT mit** — dieses gehört zum Auftragsverarbeiter, der selbst die DSB-Pflicht prüft
- Entscheidend ist die Ständigkeit der automatisierten Verarbeitung, nicht das Beschäftigungs-Volumen

### Kombination

- EU-DSGVO und § 38 BDSG nebeneinander
- Strengstes Kriterium gilt

## Schritt 3 — Anforderungen DSB Art. 37 Abs. 5 6 DSGVO

### Fachliche Eignung

- **Berufliche Qualifikation** Datenschutz
- **Fachwissen** DSGVO BDSG
- **Spezialwissen** der Branche
- Zertifizierungen: TÜV, GDD, DIA, BvD u.a.

### Persönliche Eignung

- Zuverlässigkeit
- Vertrauenswürdig
- Bei Insolvenz / Strafverfahren prüfen

## Schritt 4 — Stellung DSB Art. 38 DSGVO

### Unabhängigkeit

- **Keine Weisungs-Bindung** in Datenschutz-Fragen
- **Berichts-Linie** an oberste Leitung
- **Schutz vor Abberufung** wegen Aufgaben-Wahrnehmung

### Ressourcen-Pflicht

- **Zeitliche Verfügbarkeit** ausreichend
- **Sachliche Ausstattung** Büro IT Reisekosten
- **Fortbildungs-Budget**
- **Externe Hilfe** wenn nötig

### Schutz vor Kündigung / Abberufung

- **§ 6 Abs. 4 BDSG** Kündigungs-Schutz analog § 4f
- Bei Beendigungs-Schutz auch nach Amtszeit
- Außerordentliche Kündigung nur bei wichtigem Grund

### Schweigepflicht

- DSB unterliegt Schweige-Pflicht
- Auch nach Beendigung

## Schritt 5 — Interne vs. externe Bestellung

### Interner DSB

- **Aus Belegschaft**
- **Voll- oder Teilzeit-DSB-Aufgabe**
- **Vorteil:** Insider-Kenntnis
- **Nachteil:** Interessens-Konflikt-Risiko

### Externer DSB

- **Beratung durch externe Firma / Anwalts-Kanzlei**
- **Vertragliche Bestellung**
- **Vorteil:** Unabhängigkeit Spezialisierung
- **Nachteil:** Externe Person ohne Insider-Kenntnis

### Konzern-DSB

- Ein DSB für mehrere Konzern-Gesellschaften
- Erlaubt § 38 Abs. 1 BDSG ("für mehrere Stellen")
- Konzern-Bestellungs-Akte
- Kommunikations-Linie zu allen Gesellschaften

## Schritt 6 — Interessens-Konflikt-Prüfung

### Problematische Doppelrollen

#### Geschäftsführer / Vorstand

- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
- ErwGr 97 DSGVO zur Unabhängigkeits-Anforderung
- Strikte Trennung erforderlich

#### IT-Leitung

- Verarbeitung verantwortlich + Datenschutz kontrollierend
- Konflikt häufig
- Strikt: Trennung erforderlich

#### Personalleitung

- Personal-Verarbeitung steuernd + Datenschutz kontrollierend
- Konflikt häufig

#### Compliance-Officer

- Bei klar getrennten Bereichen möglich
- Bei umfassender Compliance-Verantwortung Konflikt

### Unproblematische Rollen

- IT-Sicherheits-Beauftragter (komplementär)
- Externer Anwalt (unabhängig)
- Externe Beratung (klar)

### Bei Konflikt

- **Auswechslung** des DSB
- **Externe Bestellung**
- **Strukturelle Anpassung** der internen Rollen

## Schritt 7 — Aufgaben DSB Art. 39 DSGVO

### Pflicht-Aufgaben

a) **Information und Beratung** Verantwortlicher und Beschäftigte

b) **Überwachung** Einhaltung DSGVO und Datenschutz-Vorschriften

c) **Beratung** zu DSFA und deren Überwachung

d) **Zusammenarbeit** Aufsichtsbehörde

e) **Anlaufstelle Aufsichtsbehörde** für Fragen Beratung

### Zusätzlich

- Mit-wirkung VVT
- Beratung bei AVV-Erstellung
- Schulung Mitarbeiter
- Datenpanne-Bewertung

## Schritt 8 — Meldung Aufsichtsbehörde Art. 37 Abs. 7 DSGVO

### Pflicht zur Veröffentlichung

- Kontakt-Daten DSB
- Mitteilung an Aufsichtsbehörde
- Online-Meldung möglich

### Form

- Schriftlich elektronisch
- Aufsichtsbehörde wo Verantwortlicher Hauptniederlassung
- Inhalt: Name Anschrift Telefon E-Mail

### Bei Änderungen

- Update bei Wechsel DSB
- Bei Wechsel der Aufsichtsbehörden-Zuständigkeit

## Schritt 9 — Bestellungs-Akt

### Form

- **Schriftlich** empfohlen
- **Stellenbeschreibung** mit Aufgaben Rechten
- **Vertrag** bei externem DSB
- **Bestellungs-Urkunde** intern

### Inhalt

- Bestellungs-Datum
- Aufgaben gemäß Art. 39 DSGVO
- Ressourcen-Zusage
- Berichts-Linie
- Vertraulichkeits-Pflicht
- Beendigungs-Regelung

## Schritt 10 — Bei Verstoß

### Sanktionen

- **Art. 83 Abs. 4 DSGVO** bis 10 Mio EUR oder 2 Prozent Konzernumsatz
- **Aufsichts-Anordnung** zur Bestellung
- **Reputations-Schaden**

### Folge-Probleme

- Datenpannen ohne DSB schwerer beherrschbar
- DSFA-Lücken
- Aufsichts-Behörden-Audit kritisch

## Schritt 11 — Beratungs-Schritte

### Erstprüfung

1. **Beschäftigten-Zahl** über 20 mit automatisierter Verarbeitung?
2. **Verarbeitungs-Typ** Kerntätigkeit mit Überwachung oder besonderen Kategorien?
3. **Öffentliche Stelle**?
4. **Bei Bejahung**: DSB-Pflicht — sofort Bestellung erforderlich

### Wenn DSB vorhanden

1. **Eignungs-Prüfung** Qualifikation aktuell?
2. **Stellung** Unabhängigkeit gewährleistet?
3. **Interessens-Konflikt** vorhanden?
4. **Ressourcen** ausreichend?
5. **Meldung** Aufsichtsbehörde erfolgt?

### Wenn DSB-Lücke

1. **Sofortige Bestellung** intern oder extern
2. **Aufsichtsbehörde** informieren
3. **VVT-Eintrag** DSB-Daten
4. **Datenschutz-Hinweise** Webseite aktualisieren

## Schritt 12 — Außerhalb Pflicht — freiwillige Bestellung

### Vorteile

- **Compliance-Sicherheit**
- **Vorbereitung** Wachstum
- **Audit-Vorbereitung**
- **Mandanten-Vertrauen**

### Empfehlung

- Bei jeder Verarbeitung besonderer Kategorien (auch wenn nicht "umfangreich")
- Bei Cookie-Tracking selbst bei kleiner Webseite
- Bei jeder grenz-überschreitenden Verarbeitung

## Verzahnung mit anderen Skills

- `verarbeitungsverzeichnis-vvt-generator` — VVT mit DSB-Bezeichnung
- `dsfa-erstellung` — DSB-Beratung
- `avv-pruefung` — DSB-Beratung
- `datenpanne-meldung` — DSB-Eskalation
- `mandantendaten-ki` — DSB im Kanzlei-Kontext
- `anwendungsfall-triage` — Eingangsprüfung

## Ausgabe

- `dsb-pruefung-{unternehmen}.md` mit Pflicht-Analyse Anforderungs-Prüfung Konflikt-Bewertung
- Bei DSB-Lücke: Bestellungs-Pflicht-Bestätigung + Bestellungs-Vorbereitung
- Bei externem DSB: Vertrags-Entwurf
- Bei internem DSB: Stellenbeschreibung
- Aufsichts-Behörden-Meldung-Vorbereitung
- Frist im Fristenbuch (Bestellung unverzüglich)

## Quellen

- DSGVO Art. 37 38 39 83; ErwGr 97 DSGVO
- BDSG §§ 5 6 38
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
- BfDI Praxis-Empfehlungen
- DSK Kurzpapier
- GDD und BvD Standards

## Aktuelle Rechtsprechung (v14.2)

- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

## Triage zu Beginn

1. Öffentliche oder private Stelle? (Art. 37 Abs. 1 lit. a DSGVO vs. § 38 BDSG)
2. Bei privater Stelle: Anzahl Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind (§ 38 Abs. 1 BDSG: ab 20)?
3. Verarbeitung besonderer Kategorien (Art. 9 DSGVO) oder umfangreiche Überwachung?
4. Bestehender DSB: Interessenkonflikt (leitende Verarbeitungsverantwortung)?

## Output-Template — DSB-Prüfvermerk

**Adressat:** Geschäftsführung / Compliance — Tonfall: sachlich-juristisch

```
DSB-Bestellungspflicht-Prüfvermerk [DATUM]
Organisation: [NAME]

Bestellungspflicht-Prüfung:
Öffentliche Stelle (Art. 37 Abs. 1 lit. a DSGVO): ja / nein
Kerntätigkeit umfangreiche Überwachung (Art. 37 Abs. 1 lit. b): ja / nein
Besondere Kategorien umfangreich (Art. 37 Abs. 1 lit. c): ja / nein
§ 38 BDSG: [X] Personen staendig automatisiert → ab 20: Pflicht

Ergebnis Bestellungspflicht: JA / NEIN

Aktueller DSB (falls bestellt):
Name: [NAME] | intern / extern
Interessenkonflikt-Check: kein Konflikt / Konflikt (Grund: [...])
Qualifikation ausreichend: ja / nein / unklar

Empfehlung: DSB bestellen (bis [FRIST]) / DSB wechseln / kein Handlungsbedarf
```