Die Frage, ob ein Unternehmen einen Datenschutzbeauftragten (DSB) bestellen muss, ist für viele eine Grauzone. Art. 37 DSGVO und — in Österreich — §5 DSG (Datenschutzgesetz) regeln die Bestellungspflicht. Doch auch ohne gesetzliche Pflicht gibt es gute Gründe, einen externen DSB zu engagieren.

Wann besteht eine Pflicht zur DSB-Bestellung?

Art. 37 Abs. 1 DSGVO nennt drei Pflicht-Konstellationen:

  1. Behörden und öffentliche Stellen (mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeit)
  2. Kerntätigkeit = umfangreiche regelmäßige und systematische Überwachung von Personen — z. B. Adtech-Unternehmen, Kreditauskunfteien, Tracking-Dienste
  3. Kerntätigkeit = umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) oder von Daten über strafrechtliche Verurteilungen

Besondere Datenkategorien umfassen: Gesundheitsdaten, genetische Daten, biometrische Daten, Daten zu Rasse/Ethnizität, religiöse Überzeugungen, politische Meinungen, Gewerkschaftszugehörigkeit, Sexualleben.

Was bedeutet „umfangreich"? Der Europäische Datenschutzausschuss (EDSA) nennt als Kriterien: Anzahl der Betroffenen (absolut oder als Anteil der Bevölkerung), Datenmenge, Dauer der Verarbeitung, geografische Ausdehnung. Ein Arzt, der eigene Patienten behandelt, gilt nicht als umfangreiche Verarbeitung — eine Privatklinikgruppe mit mehreren Standorten hingegen schon.

Österreichische Besonderheit: §5 DSG

Das österreichische Datenschutzgesetz (DSG) konkretisiert die DSGVO-Vorgaben für österreichische Stellen. Privatrechtliche Verantwortliche und Auftragsverarbeiter sind gemäß §5 DSG zur Bestellung verpflichtet, wenn sie mindestens 50 Mitarbeiter beschäftigen, die ständig mit der Verarbeitung personenbezogener Daten befasst sind — oder wenn die DSGVO-Kriterien (Art. 37) ohnehin greifen.

Externe vs. interne DSB-Funktion

Art. 37 Abs. 6 DSGVO erlaubt ausdrücklich, dass der DSB auf der Grundlage eines Dienstleistungsvertrags tätig ist — also extern. Die Vor- und Nachteile im Vergleich:

Vorteile des externen DSB

  • Unabhängigkeit: Art. 38 Abs. 3 DSGVO schützt den DSB vor Weisungen und Abberufung wegen Ausübung seiner Aufgaben. Ein externer DSB ist strukturell unabhängiger als ein interner Mitarbeiter
  • Fachkompetenz: Externe DSBs arbeiten mit vielen Mandanten und haben dadurch ein breiteres Erfahrungsspektrum und aktuelleres Fachwissen
  • Kein Interessenkonflikt: Der interne IT-Leiter als DSB ist problematisch — er würde dann seine eigene Arbeit überwachen. Externe DSBs sind davon unbelastet
  • Kosteneffizienz: Ein externer DSB kostet deutlich weniger als ein Vollzeit-Datenschutzexperte im Angestelltenverhältnis

Nachteile des externen DSB

  • Weniger operative Präsenz im Tagesgeschäft
  • Einarbeitungsaufwand zu Beginn des Mandats

Warum auch ohne Pflicht ein DSB sinnvoll ist

Selbst wenn keine gesetzliche Bestellungspflicht besteht, bringt ein externer DSB klare Vorteile: strukturierte Datenschutz-Governance, ein aktuelles VVT, Unterstützung bei Betroffenenanfragen und eine direkte Schnittstelle zur österreichischen DSB im Beschwerdefall. Für Unternehmen, die auf Enterprise-Kunden oder den öffentlichen Sektor abzielen, ist ein bestellter DSB zunehmend eine Vergabevoraussetzung.

Praxistipp: Auch wenn die Bestellungspflicht nicht eindeutig greift: Dokumentieren Sie die Entscheidung. Wenn die DSB im Rahmen einer Beschwerde prüft, ob ein DSB hätte bestellt werden müssen, ist eine schriftliche Analyse des Schwellenwertes ein wichtiger Nachweis für Ihre Sorgfalt.