Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Datenschutz-Organisation · DSGVO Art. 37, 38, 39

DSB-Bestellung — Formalia

Wann ist die Bestellung Pflicht?

Nach DSGVO (Art. 37 Abs. 1)

  • Öffentliche Stellen und Behörden (Ausnahme: Gerichte in richterlicher Tätigkeit).
  • Kerntätigkeit umfasst regelmäßige und systematische Überwachung im großen Stil (Beispiel: Tracking-Anbieter, Sicherheitsdienste).
  • Kerntätigkeit umfasst umfangreiche Verarbeitung sensibler Daten nach Art. 9 oder Art. 10 (Krankenhäuser, große Personalvermittler).

Nach BDSG (§ 38 Abs. 1)

  • Mindestens 20 Personen sind ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt. (Hinweis: alte Schwelle „10 Personen” ist mit dem BDSG-Anpassungsgesetz 2019 auf 20 angehoben worden.)
  • Verarbeitungen, die einer Datenschutz-Folgenabschätzung unterliegen.
  • Personenbezogene Daten werden geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Markt-/Meinungsforschung verarbeitet.

Kirchlicher Bereich

  • KDG (kath.) § 36, DSG-EKD § 36: i.d.R. zwingend, unabhängig von Personenzahl.

Wer kann DSB sein?

  • Interne Person (Mitarbeiter mit fachlicher Qualifikation und Unabhängigkeit).
  • Externe Person (eigene Person oder eine juristische Person — z.B. unsere FS/CS GmbH).

Voraussetzungen (Art. 37 Abs. 5+6):

  • Fachkunde im Datenschutzrecht und in der Praxis.
  • Zuverlässigkeit.
  • Keine Interessenkonflikte (z.B. nicht gleichzeitig IT-Leiter, HR-Leiter oder Geschäftsführer in derselben Stelle).

Bestellurkunde — Pflichtinhalt

  • Person/Stelle des DSB (bei externer juristischer Person: benannte Hauptansprechperson).
  • Beginn und ggf. Befristung der Bestellung.
  • Aufgabenkatalog nach Art. 39 mit Verweis auf interne Ressourcen.
  • Unterstützungspflicht der Geschäftsführung (Ressourcen, Zugang, Mitwirkung).
  • Unabhängigkeit und Weisungsfreiheit in fachlichen Fragen.
  • Erreichbarkeit (Kontaktdaten, die in der Datenschutzerklärung veröffentlicht werden).
  • Unterschriften Geschäftsführung und DSB.

Bei externer Bestellung über eine GmbH/Kanzlei: zusätzlich der Hinweis, dass die Geschäftsführung die juristische Person beauftragt und die natürliche Hauptansprechperson namentlich benannt ist.

Meldung an die Aufsichtsbehörde

Pflicht nach Art. 37 Abs. 7. Innerhalb von wenigen Wochen nach Bestellung.

  • Online-Formular der zuständigen Aufsicht (Hessen, Bayern, NRW, …).
  • Pflichtangaben: Name und Kontakt des DSB, Name und Kontakt des Verantwortlichen, Branchenzuordnung.
  • Bestätigung der Aufsicht aufheben.

Bei Beendigung oder Wechsel des DSB: erneute Meldung mit Aktualisierung.

Erreichbarkeit in der Datenschutzerklärung

Pflicht nach Art. 13/14:

  • Name oder Funktionsbezeichnung des DSB.
  • E-Mail-Adresse, die direkt beim DSB landet (nicht in einem allgemeinen Postfach).
  • Optional: Telefonnummer, Postanschrift.

Häufige Fehler

  • Geschäftsführer als DSB benannt — Interessenkonflikt, nichtig.
  • IT-Leiter als DSB — Interessenkonflikt (er müsste sich selbst kontrollieren).
  • Bestellung als E-Mail — nicht formal genug; Bestellurkunde mit Unterschrift bevorzugen.
  • Aufsichtsmeldung vergessen — gilt als Ordnungswidrigkeit nach § 43 BDSG.
  • Kontaktadresse in der Datenschutzerklärung führt ins Marketing-Postfach — fehlerhaft.

Wenn wir DSB sind

Wir liefern eine vorbereitete Bestellurkunde, kümmern uns um die Aufsichtsmeldung und stellen eine eigene DSB-Mailadresse zur Verfügung (xdsb@xdsb.eu oder ein mandantenspezifisches Alias). Wechsel und Veränderungen werden zentral nachgeführt.

Quelle: FS/CS GmbH