Zum Hauptinhalt springen
DSGVO-Leitfaden

Aufgaben des Datenschutzbeauftragten nach DSGVO: Der vollständige operative Leitfaden

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Datenschutzbeauftragte dabei unterstützt, alle sieben Aufgaben nach Artikel 39 DSGVO in Organisationen mit mehreren Gesellschaften zu erfüllen.

Sie wurden zum Datenschutzbeauftragten ernannt – oder stehen kurz davor, einen einzustellen. So oder so definiert die DSGVO konkrete Aufgaben für den Datenschutzbeauftragten, die ein reales Durchsetzungsrisiko mit sich bringen. Dieser Leitfaden erläutert jede einzelne Pflicht, zeigt, wie «gut» in der Praxis aussieht, und stellt Ihnen eine herunterladbare Checkliste zur Verfügung, mit der Sie alles im Blick behalten.

Kostenlose DSB-Aufgabencheckliste herunterladen

Vertraut von über 150 Datenschutzteams, die Compliance über mehrere Rechtsräume hinweg steuern

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Die 7 zentralen Aufgaben

Die 7 zentralen Aufgaben eines Datenschutzbeauftragten nach DSGVO

Artikel 39 definiert die Aufgaben des Datenschutzbeauftragten in wenigen knappen Absätzen. Die operative Realität dahinter ist alles andere als knapp – besonders dann, wenn Sie Compliance über mehrere Gesellschaften und Rechtsräume hinweg steuern.

Artikel 39 Abs. 1 lit. a

Unterrichtung und Beratung der Organisation

Der Datenschutzbeauftragte muss den Verantwortlichen, den Auftragsverarbeiter und jeden Mitarbeitenden, der personenbezogene Daten verarbeitet, proaktiv schulen. Das ist keine einmalige Onboarding-Präsentation – es bedeutet fortlaufende, rollenspezifische Beratung. Marketingteams benötigen eine andere Beratung als die Personalabteilung. In Organisationen mit mehreren Gesellschaften heisst das: lokalisierte Schulungen pro Rechtsraum, pro Geschäftsbereich, laufend aktualisiert, sobald sich die Vorschriften weiterentwickeln.

47 % geringeres Risiko von Datenschutzverletzungen

Organisationen mit strukturierten, wiederkehrenden Datenschutzschulungen – Branchen-Benchmarkdaten

Artikel 39 Abs. 1 lit. b

Überwachung der Einhaltung der DSGVO und interner Richtlinien

Aktives Prüfen und Überwachen – kein passives Verwalten von Richtlinien. Der Datenschutzbeauftragte muss überprüfen, dass die Organisation tatsächlich das tut, was ihre Richtlinien versprechen. Dazu gehören die Richtigkeit des Verarbeitungsverzeichnisses, die Abschlussquoten von DSFA, die Gültigkeit von Einwilligungsmechanismen und die Compliance von Dienstleistern. Für eine Gruppe mit 15 Gesellschaften bedeutet das, Hunderte von Verarbeitungstätigkeiten nachzuverfolgen – jede mit eigener Rechtsgrundlage, Aufbewahrungsfrist und Datenflusskarte.

100 % Rezertifizierung des Verarbeitungsverzeichnisses

Ein Schweizer Versicherer erreichte mit Priverion eine vollständig automatisierte Rezertifizierung über alle Gesellschaften hinweg

Artikel 39 Abs. 1 lit. c + Artikel 35

Beratung zu Datenschutz-Folgenabschätzungen

Der Datenschutzbeauftragte «prüft» DSFA nicht einfach nur – er muss sicherstellen, dass DSFA überhaupt ausgelöst werden, dass die Geschäftsbereiche wissen, wann sie eine durchführen müssen, und dass für grenzüberschreitende Datenflüsse Transfer-Folgenabschätzungen erstellt werden. Die Lücke zwischen «wir hätten eine DSFA durchführen sollen» und «wir haben es getan» ist genau dort, wo Durchsetzungsmassnahmen beginnen.

Über 200 eingesparte Stunden

Ein Medizintechnikunternehmen sparte über 200 Stunden bei der ISO-27001-Vorbereitung, einschliesslich der DSFA-Dokumentation

Artikel 39 Abs. 1 lit. d

Zusammenarbeit mit der Aufsichtsbehörde

Der Datenschutzbeauftragte ist die benannte Anlaufstelle für Ihre Datenschutzbehörde. In Konstellationen mit mehreren Rechtsräumen bedeutet das, zu wissen, welche Behörde die federführende Aufsichtsbehörde ist, jederzeit prüfbereite Dokumentation vorzuhalten und auf Anfrage prüfungsbereite Nachweispakete liefern zu können – und nicht erst nach zwei Wochen Suche durch gemeinsame Laufwerke.

Minuten statt Wochen

Priverion erstellt auf Anfrage prüfungsbereite Nachweispakete für Aufsichtsbehörden

Artikel 38 Abs. 4

Anlaufstelle für betroffene Personen

Betroffene Personen können sich in allen Fragen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten oder der Wahrnehmung ihrer Rechte an den Datenschutzbeauftragten wenden. Operativ bedeutet das, die Bearbeitung von Betroffenenanfragen über alle Gesellschaften hinweg zu steuern, die 30-tägige Antwortfrist für jede Anfrage nachzuverfolgen, eine einheitliche Bearbeitung sicherzustellen – unabhängig davon, welche Tochtergesellschaft die Anfrage erhalten hat – und einen klaren Prüfpfad über jede ergriffene Massnahme zu führen.

30-Tage-Frist, jedes Mal

Artikel 12 Abs. 3 DSGVO – Antwortfrist für Betroffenenanfragen, die pro Anfrage und pro Gesellschaft gilt

Artikel 30

Führung des Verzeichnisses von Verarbeitungstätigkeiten

Während Artikel 30 die rechtliche Pflicht dem Verantwortlichen auferlegt, ist der Datenschutzbeauftragte operativ dafür verantwortlich, dass die Verarbeitungsverzeichnisse vollständig, korrekt und aktuell sind. Ein Verarbeitungsverzeichnis ist keine Tabelle, die Sie einmal ausfüllen – es ist ein lebendiges Inventar, das regelmässig rezertifiziert werden muss. Für Organisationen mit über 500 Verarbeitungstätigkeiten über mehrere Tochtergesellschaften hinweg ist die manuelle Pflege des Verarbeitungsverzeichnisses der grösste einzelne Zeitfresser in der Woche des Datenschutzbeauftragten.

60 % weniger Verwaltungsaufwand

Ein Flugzeughersteller reduzierte mit Priverion seinen Compliance-Verwaltungsaufwand in den ersten 6 Monaten um 60 %

Artikel 33 + 34

Steuerung der Meldung von Datenschutzverletzungen und der Reaktion auf Vorfälle

Tritt eine Verletzung des Schutzes personenbezogener Daten ein, spielt der Datenschutzbeauftragte eine zentrale Rolle bei der Bewertung des Schweregrads, der Beratung zur 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde und der Feststellung, ob betroffene Personen informiert werden müssen. In einer Gruppe mit mehreren Gesellschaften bedeutet das, die Reaktion auf Vorfälle über Rechtsräume hinweg zu koordinieren, sicherzustellen, dass die Verletzung jeder Gesellschaft anhand der lokalen Schwellenwerte bewertet wird, und einen belastbaren Nachweis über jede getroffene Entscheidung zu führen – warum Sie gemeldet haben, warum nicht und welche Abhilfemassnahmen ergriffen wurden.

72-Stunden-Meldefenster

Artikel 33 Abs. 1 DSGVO – Frist zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde ab Bekanntwerden

200+

Eingesparte Stunden bei der Pflege des Verarbeitungsverzeichnisses

Ein Medizintechnikunternehmen gewann während der ISO-27001-Vorbereitung über 200 Stunden zurück, indem die Workflows für das Verarbeitungsverzeichnis automatisiert wurden – Zeit, die zuvor mit dem Nachfassen bei Geschäftsbereichen über mehrere Gesellschaften hinweg verbracht wurde.

60%

Geringere Kosten gegenüber etablierten Enterprise-Plattformen

Basierend auf veröffentlichten Preisvergleichen für mittelständische Organisationen mit 5 bis 50 Gesellschaften. Keine Gebühren pro Nutzer, keine Kostenfallen durch Modulerweiterungen – vorhersehbare Kosten ab dem ersten Tag.

3 Mt.

Vorsprung im Zeitplan zur ISO-27001-Zertifizierung

Ein Medizintechnikunternehmen beschleunigte den ISO-27001-Zeitplan mithilfe der prüfungsbereiten Nachweispakete und automatisierten Dokumentations-Workflows von Priverion um drei Monate.

Priverion vs. OneTrust

Datenschutzmanagement auf Enterprise-Niveau – ohne den Enterprise-Aufwand

Mittelständische Organisationen mit komplexen Gruppenstrukturen brauchen eine Plattform, die auf ihre tatsächliche Arbeitsweise zugeschnitten ist – und keine abgespeckte Version eines Tools, das für die Beschaffungszyklen von Fortune-500-Konzernen entwickelt wurde.

Das Erlebnis mit OneTrust

Preise pro Nutzer und pro Modul

Die Kosten steigen rasant, sobald Sie Tochtergesellschaften aufnehmen. Fünf zusätzliche Geschäftsbereiche bedeuten, dass Sie Ihren Vertrag – und Ihr Budget – neu verhandeln müssen.

US-Hauptsitz, US-Hosting

In einer Welt nach Schrems II erzeugt US-Hosting Übermittlungsrisiken – genau das, was Ihr Datenschutzprogramm eigentlich beherrschen soll.

Entwickelt für Fortune-500-Einkäufer

Hunderte Funktionen, die Sie nie konfigurieren werden. Einführungszeiträume, die in Quartalen statt in Wochen gemessen werden. Sie brauchen einen Berater, um das Tool zu nutzen, das Sie gekauft haben, um keine Berater mehr zu brauchen.

Über 200 oberflächliche Integrationen

Eine lange Liste von Konnektoren, die sich in einer Ausschreibungsantwort gut macht, aber Wartungsaufwand schafft, ohne sinnvolle Workflow-Automatisierung zu liefern.

Cookie-Einwilligung inklusive

Sie bezahlen für Module wie Cookie-Einwilligung und ESG, die mit dem Management eines Datenschutzprogramms nichts zu tun haben – weil die Plattform darauf ausgelegt wurde, für jeden alles zu sein.

Kostenloser Download

Die DSB-Aufgabencheckliste

Jede Pflicht aus diesem Leitfaden, verdichtet zu einer praktischen, umsetzbaren Checkliste. Nutzen Sie sie für das Onboarding eines neuen Datenschutzbeauftragten, die Prüfung Ihres aktuellen Programms oder die Vorbereitung auf Inspektionen der Aufsichtsbehörde.

Das ist enthalten:

  • Alle 7 Aufgaben des Datenschutzbeauftragten mit Verweisen auf die DSGVO-Artikel
  • Operative Aufgaben für jede Pflicht – wie «erledigt» tatsächlich aussieht
  • Rezertifizierungszyklen für Verarbeitungsverzeichnis, DSFA und Lieferantenbewertungen
  • Entscheidungsbaum für die Meldung von Datenschutzverletzungen mit dem 72-Stunden-Zeitplan
  • Koordinationscheckliste für Gruppen-Datenschutzbeauftragte über mehrere Gesellschaften hinweg
  • Scorecard zur Prüfbereitschaft gegenüber der Aufsichtsbehörde

Kein Spam. Wir senden Ihnen die Checkliste und sonst nichts, sofern Sie sich nicht ausdrücklich anmelden. Ihre Daten bleiben in der Schweiz.

Von Datenschutzteams wie dem Ihren

Wie Datenschutzbeauftragte ihre Aufgaben skalierbar bewältigen

Das sind keine Erfahrungsberichte über Software. Es sind Geschichten über Datenschutzbeauftragte, die ihre Zeit zurückgewinnen, Risiken senken und Datenschutzprogramme führen, die einer Prüfung standhalten.

«Wir haben den grössten Teil unserer Compliance-Verwaltungszeit damit verbracht, Geschäftsbereichen wegen Aktualisierungen des Verarbeitungsverzeichnisses hinterherzulaufen – heute läuft die Rezertifizierung vollständig automatisiert. Der Unterschied liegt nicht nur in der Effizienz, sondern in der Gewissheit, dass unsere Aufzeichnungen stets aktuell sind, wenn die Aufsichtsbehörde nachfragt.»

Datenschutzteam

Flugzeughersteller – 60 % weniger Compliance-Verwaltungsaufwand in den ersten 6 Monaten

«Die ISO-27001-Vorbereitung bedeutete früher wochenlanges Zusammentragen von Dokumentation aus mehreren Systemen. Mit Priverion erstellten wir prüfungsbereite Nachweispakete in Minuten. Wir wurden drei Monate vor dem Zeitplan zertifiziert.»

Compliance-Team

Ein Medizintechnikunternehmen – über 200 eingesparte Stunden, 3 Monate Vorsprung im ISO-27001-Zeitplan

«Das Management von Lieferantenrisikobewertungen über mehrere Pflegeeinrichtungen hinweg war unser grösster blinder Fleck. Jetzt haben wir 100 % Abdeckung – jeder Lieferant bewertet, jeder Vertrag erfasst, jedes Risiko bewertet. Unser Vorstand hat endlich die Transparenz, die er braucht.»

Datenschutzteam

Ein Gesundheitsdienstleister – 100 % Abdeckung der Lieferantenrisikobewertung

«Als Datenschutzbeauftragter für mehrere Gesellschaften brauchte ich rund um die Uhr Transparenz über den Compliance-Status der gesamten Gruppe. Priverion gibt mir ein einziges Dashboard, das mir genau zeigt, wo wir stehen – und wo wir handeln müssen – ohne mich in fünf verschiedene Systeme einloggen zu müssen.»

Datenschutzbeauftragter

Schluss mit Datenschutz in Tabellen. Steuern Sie ihn als Programm.

Ein Flugzeughersteller senkte seinen Compliance-Verwaltungsaufwand in sechs Monaten um 60 %. Ein Schweizer Versicherer erreichte eine zu 100 % automatisierte Rezertifizierung des Verarbeitungsverzeichnisses. Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung auf ISO 27001.

In 30 Minuten zeigen wir Ihnen genau, wie gruppenweites Datenschutzmanagement funktioniert, wenn es für Organisationen mit mehreren Gesellschaften gebaut ist – mit KI, die Ihre Entscheidungen unterstützt, einer überprüfbaren Schweizer Datensouveränität und Preisen, die Sie nicht für Ihr Wachstum bestrafen.

30-minütige Tour buchen

Kein Verkaufsgespräch. Kein Druck. Nur ein Live-Blick auf die Plattform mit Ihrem Anwendungsfall.

In der Schweiz gehostet

Vollständige Datensouveränität

Wochen, nicht Monate

Schnell einsatzbereit

Vorhersehbare Preise

Keine Pro-Nutzer-Fallen

Über diese Seite – Quellen, Definitionen und häufige Fragen

Das Wichtigste auf einen Blick

Ein Datenschutzbeauftragter trägt nach DSGVO sieben gesetzlich definierte Aufgaben, die Beratungs-, Überwachungs- und Verbindungsfunktionen umfassen. Für Organisationen mit mehreren Gesellschaften skalieren diese Pflichten in ihrer Komplexität – sie erfordern ein zentralisiertes Management des Verarbeitungsverzeichnisses, harmonisierte DSFA-Workflows, eine koordinierte Bearbeitung von Betroffenenanfragen und eine einheitliche Reaktion auf Datenschutzverletzungen über jede Tochtergesellschaft und jeden Rechtsraum hinweg. Die in der Schweiz gehostete Plattform von Priverion ist eigens darauf ausgelegt, alle sieben Aufgaben des Datenschutzbeauftragten auf Gruppenebene zu operationalisieren.

Definitionen

Was ist ein Datenschutzbeauftragter?

Datenschutzbeauftragter ist eine formell benannte Rolle, die in den Artikeln 37 bis 39 DSGVO definiert ist. Der Datenschutzbeauftragte überwacht unabhängig die Datenschutzstrategie und -Compliance einer Organisation, berichtet direkt an die höchste Managementebene und dient als primäre Anlaufstelle für Aufsichtsbehörden und betroffene Personen.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Ein Verzeichnis von Verarbeitungstätigkeiten ist ein nach Artikel 30 DSGVO verpflichtendes Register, das jede Verarbeitungstätigkeit, ihre Rechtsgrundlage, Datenkategorien, Empfänger, Aufbewahrungsfristen und Mechanismen für grenzüberschreitende Übermittlungen dokumentiert. Der Datenschutzbeauftragte ist operativ dafür verantwortlich, dass die Verarbeitungsverzeichnisse vollständig und aktuell bleiben.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine Datenschutz-Folgenabschätzung (DSFA) ist eine nach Artikel 35 DSGVO erforderliche Risikobewertung vor einer Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Der Datenschutzbeauftragte berät dazu, ob eine DSFA erforderlich ist, welche Methodik anzuwenden und welche Schutzmassnahmen zu treffen sind.

Was ist eine Transfer-Folgenabschätzung (TIA)?

Eine Transfer-Folgenabschätzung (TIA) bewertet, ob der rechtliche Rahmen eines Drittlandes ein angemessenes Schutzniveau für personenbezogene Daten bietet, die ausserhalb des EWR übermittelt werden. Die Empfehlungen 01/2020 des EDSA verlangen TIA als Ergänzung zu den Standardvertragsklauseln im Anschluss an das Schrems-II-Urteil.

Häufig gestellte Fragen

Was sind die zentralen Aufgaben eines Datenschutzbeauftragten nach DSGVO?

Artikel 39 DSGVO definiert sieben zentrale Aufgaben des Datenschutzbeauftragten: (1) Unterrichtung und Beratung der Organisation und ihrer Mitarbeitenden, (2) Überwachung der Einhaltung der DSGVO und interner Richtlinien, (3) Beratung zu Datenschutz-Folgenabschätzungen nach Artikel 35, (4) Zusammenarbeit mit der Aufsichtsbehörde, (5) Funktion als Anlaufstelle für betroffene Personen, (6) Führung des Verzeichnisses von Verarbeitungstätigkeiten nach Artikel 30 und (7) Steuerung der Meldung von Datenschutzverletzungen und der Reaktion auf Vorfälle nach den Artikeln 33 und 34.

Wann ist die Bestellung eines Datenschutzbeauftragten nach DSGVO verpflichtend?

Nach Artikel 37 DSGVO ist die Bestellung eines Datenschutzbeauftragten verpflichtend, wenn: (a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, (b) die Kerntätigkeit eine umfangreiche regelmässige und systematische Überwachung betroffener Personen erfordert oder (c) die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen besteht. Die EDSA-Leitlinien zu Datenschutzbeauftragten (WP 243 rev.01) bieten eine weitergehende Auslegung dieser Kriterien.

Was ist der Unterschied zwischen einem Datenschutzbeauftragten und einem Privacy Manager?

Ein Datenschutzbeauftragter bekleidet eine gesetzlich definierte Rolle nach den Artikeln 37 bis 39 DSGVO mit gesetzlicher Unabhängigkeit – er darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden (Artikel 38 Abs. 3). Ein Privacy Manager ist eine operative Rolle ohne denselben gesetzlichen Schutz, dieselben Berichtspflichten oder den direkten Zugang zur höchsten Managementebene, den die DSGVO für Datenschutzbeauftragte vorschreibt.

Wie steuert ein Datenschutzbeauftragter die Compliance über mehrere Gesellschaften hinweg?

Das Management eines Datenschutzbeauftragten über mehrere Gesellschaften erfordert eine zentralisierte Nachverfolgung des Verarbeitungsverzeichnisses, harmonisierte DSFA-Workflows pro Rechtsraum, eine koordinierte Bearbeitung von Betroffenenanfragen mit 30-Tage-Fristen pro Gesellschaft (Artikel 12 Abs. 3) und einheitliche Verfahren zur Meldung von Datenschutzverletzungen. Nach Artikel 37 Abs. 2 darf eine Unternehmensgruppe einen einzigen Datenschutzbeauftragten benennen, sofern dieser von jeder Niederlassung aus leicht erreichbar ist.

Was ist die 72-Stunden-Meldepflicht für Datenschutzverletzungen für einen Datenschutzbeauftragten?

Nach Artikel 33 Abs. 1 DSGVO muss der Verantwortliche die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Der Datenschutzbeauftragte berät zur Bewertung des Schweregrads, koordiniert die Meldung und stellt sicher, dass ein belastbarer Nachweis über jede Entscheidung geführt wird.

Kann ein Datenschutzbeauftragter ein externer Berater sein?

Ja. Artikel 37 Abs. 6 DSGVO erlaubt ausdrücklich, dass die Rolle des Datenschutzbeauftragten auf der Grundlage eines Dienstleistungsvertrags von einem externen Dienstleister wahrgenommen wird. Der externe Datenschutzbeauftragte muss dieselben fachlichen Qualifikationen und Unabhängigkeitsanforderungen erfüllen wie ein interner Datenschutzbeauftragter.

Welche Qualifikationen benötigt ein Datenschutzbeauftragter nach DSGVO?

Artikel 37 Abs. 5 DSGVO verlangt, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation benannt wird, insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Die EDSA-Leitlinien zu Datenschutzbeauftragten stellen klar, dass das Mass an Fachwissen der Sensibilität, Komplexität und Menge der von der Organisation verarbeiteten Daten entsprechen sollte.

Was geschieht, wenn eine Organisation es versäumt, einen erforderlichen Datenschutzbeauftragten zu bestellen?

Das Versäumnis, einen Datenschutzbeauftragten zu bestellen, wenn dies erforderlich ist, stellt einen Verstoss gegen Artikel 37 DSGVO dar und kann nach Artikel 83 Abs. 4 lit. a zu Geldbussen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes führen. Mehrere Aufsichtsbehörden im gesamten EWR haben Geldbussen ausdrücklich wegen versäumter Bestellung eines Datenschutzbeauftragten verhängt.

Statistiken und Branchendaten

Laut dem IAPP-EY Annual Privacy Governance Report (2023) haben 73 % der befragten Organisationen einen Datenschutzbeauftragten bestellt, und der durchschnittliche Datenschutzbeauftragte überwacht die Compliance über 4,9 rechtliche Gesellschaften hinweg. Derselbe Bericht ergab, dass 62 % der Datenschutzbeauftragten die Pflege des Verarbeitungsverzeichnisses als ihre zeitaufwendigste Aufgabe nennen. Der EDSA-Jahresbericht 2023 verzeichnete über 2'100 grenzüberschreitende Fälle, die über den One-Stop-Shop-Mechanismus bearbeitet wurden – ein Beleg für die rechtsraumübergreifende Komplexität, mit der Datenschutzbeauftragte konfrontiert sind. Laut Daten des GDPR Enforcement Tracker überstiegen die kumulierten DSGVO-Geldbussen bis Ende 2024 4,5 Milliarden Euro, wobei Versäumnisse bei der organisatorischen Rechenschaftspflicht (einschliesslich der Pflichten rund um den Datenschutzbeauftragten) einen erheblichen Anteil an den Durchsetzungsmassnahmen ausmachten.

Vergleich der Aufgaben des Datenschutzbeauftragten: interner vs. externer Datenschutzbeauftragter

KriteriumInterner DatenschutzbeauftragterExterner Datenschutzbeauftragter
RechtsgrundlageArt. 37 Abs. 6 DSGVO – Mitarbeitender des Verantwortlichen/AuftragsverarbeitersArt. 37 Abs. 6 DSGVO – Dienstleistungsvertrag
UnabhängigkeitArt. 38 Abs. 3 – darf wegen der Erfüllung von DSB-Aufgaben nicht abberufen werdenVertragliche Unabhängigkeitsklausel erforderlich
OrganisationskenntnisTiefes institutionelles Wissen; in den täglichen Betrieb eingebundenBreitere branchenübergreifende Erfahrung; betreut ggf. mehrere Mandanten
Risiko von InteressenkonfliktenHöher – darf keine Rollen innehaben, die Zwecke/Mittel der Verarbeitung festlegenGeringer – keine operative Rolle in der Organisation
KostenstrukturFestes Gehalt + Leistungen; steigt mit der SenioritätVariables Honorar; oft kosteneffizienter für mittelständische Organisationen
VerfügbarkeitVoll- oder Teilzeit; einer Organisation gewidmetAuf mehrere Mandanten verteilt; SLA-geregelte Reaktionszeiten
Eignung für mehrere GesellschaftenArt. 37 Abs. 2 erlaubt einen einzigen DSB für eine UnternehmensgruppeDieselbe Regelung gilt; externer DSB muss von jeder Niederlassung aus erreichbar sein