dsb-bestellungspflicht-pruefung

star 872

Bestellungspflicht für Datenschutzbeauftragten prüfen. Art. 37 DSGVO § 38 BDSG Bestellungspflicht. Prüfraster: Schwellenwerte Art. 37 Abs. 1 Betriebsgroe Verarbeitungsart Pflichtbestellung freiwillige Bestellung. Output: Bestellungsprüfmemo Empfehlung. Abgrenzung: nicht für Aufgaben des DSB (Art. 39 DSGVO).

Klotzkette By Klotzkette schedule Updated 6/5/2026
play_arrow Run Skill in Manus View GitHub

name: dsb-bestellungspflicht-pruefung description: "Bestellungspflicht für Datenschutzbeauftragten prüfen. Art. 37 DSGVO § 38 BDSG Bestellungspflicht. Prüfraster: Schwellenwerte Art. 37 Abs. 1 Betriebsgroe Verarbeitungsart Pflichtbestellung freiwillige Bestellung. Output: Bestellungsprüfmemo Empfehlung. Abgrenzung: nicht für Aufgaben des DSB (Art...."

DSB-Bestellungspflicht und -Anforderungen

Eingaben

  • Unternehmens-Typ (öffentlich privat)
  • Beschäftigten-Zahl
  • Verarbeitungs-Tätigkeiten (Übersicht aus VVT)
  • Bestand DSB ja/nein
  • Bei Bestand: Person und Rolle (intern extern)

Schritt 1 — Pflicht-Tatbestände Art. 37 DSGVO

Lit. a) Öffentliche Stelle / Behörde

  • Pflicht unabhängig von Größe
  • Außer Gerichte in Justizfunktion

Lit. b) Kerntätigkeit umfangreiche regelmäßige systematische Überwachung

  • Kerntätigkeit das Geschäft selbst (nicht nur Mittel zur Geschäftsführung)
  • Umfangreich Skalierung
  • Regelmäßig systematisch Dauerhaft strukturiert
  • Überwachung Beobachtung Verhalten Profilbildung

Beispiele

  • Online-Verhaltens-Tracking Werbe-Netzwerke
  • Vermarkter mit Profiling
  • Telematik-Versicherer
  • Standort-Verfolgung
  • CCTV im großen Stil

Lit. c) Kerntätigkeit umfangreiche Verarbeitung besondere Kategorien

  • Art. 9 DSGVO Daten (Gesundheit Religion Sexual-Orientierung etc.)
  • Strafrechtliche Daten Art. 10
  • Umfangreich

Beispiele

  • Krankenhäuser
  • Religions-Gemeinschaften
  • Personalvermittler mit Diversity-Daten
  • Strafvollzug-Dienstleister
  • Genetik-/Genom-Labore

Schritt 2 — § 38 BDSG Deutsche Erweiterung

Schwellenwert

  • In der Regel mindestens 20 Personen
  • Ständig mit automatisierter Verarbeitung beschäftigt
  • Bei Pflicht zur DSFA (Art. 35) auch bei weniger Personen
  • Bei geschäftsmäßiger Verarbeitung zum Zweck der Übermittlung anonymen Übermittlung Markt- oder Meinungsforschung

"Personen" im Sinne § 38 BDSG

  • Mitgezählt werden eigene Beschäftigte des Verantwortlichen (Voll- und Teilzeit, Aushilfen, Auszubildende, Werkstudenten, freie Mitarbeiter mit Datenzugriff)
  • Auftragsverarbeiter-Personal zählt NICHT mit — dieses gehört zum Auftragsverarbeiter, der selbst die DSB-Pflicht prüft
  • Entscheidend ist die Ständigkeit der automatisierten Verarbeitung, nicht das Beschäftigungs-Volumen

Kombination

  • EU-DSGVO und § 38 BDSG nebeneinander
  • Strengstes Kriterium gilt

Schritt 3 — Anforderungen DSB Art. 37 Abs. 5 6 DSGVO

Fachliche Eignung

  • Berufliche Qualifikation Datenschutz
  • Fachwissen DSGVO BDSG
  • Spezialwissen der Branche
  • Zertifizierungen: TÜV, GDD, DIA, BvD u.a.

Persönliche Eignung

  • Zuverlässigkeit
  • Vertrauenswürdig
  • Bei Insolvenz / Strafverfahren prüfen

Schritt 4 — Stellung DSB Art. 38 DSGVO

Unabhängigkeit

  • Keine Weisungs-Bindung in Datenschutz-Fragen
  • Berichts-Linie an oberste Leitung
  • Schutz vor Abberufung wegen Aufgaben-Wahrnehmung

Ressourcen-Pflicht

  • Zeitliche Verfügbarkeit ausreichend
  • Sachliche Ausstattung Büro IT Reisekosten
  • Fortbildungs-Budget
  • Externe Hilfe wenn nötig

Schutz vor Kündigung / Abberufung

  • § 6 Abs. 4 BDSG Kündigungs-Schutz analog § 4f
  • Bei Beendigungs-Schutz auch nach Amtszeit
  • Außerordentliche Kündigung nur bei wichtigem Grund

Schweigepflicht

  • DSB unterliegt Schweige-Pflicht
  • Auch nach Beendigung

Schritt 5 — Interne vs. externe Bestellung

Interner DSB

  • Aus Belegschaft
  • Voll- oder Teilzeit-DSB-Aufgabe
  • Vorteil: Insider-Kenntnis
  • Nachteil: Interessens-Konflikt-Risiko

Externer DSB

  • Beratung durch externe Firma / Anwalts-Kanzlei
  • Vertragliche Bestellung
  • Vorteil: Unabhängigkeit Spezialisierung
  • Nachteil: Externe Person ohne Insider-Kenntnis

Konzern-DSB

  • Ein DSB für mehrere Konzern-Gesellschaften
  • Erlaubt § 38 Abs. 1 BDSG ("für mehrere Stellen")
  • Konzern-Bestellungs-Akte
  • Kommunikations-Linie zu allen Gesellschaften

Schritt 6 — Interessens-Konflikt-Prüfung

Problematische Doppelrollen

Geschäftsführer / Vorstand

  • Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
  • ErwGr 97 DSGVO zur Unabhängigkeits-Anforderung
  • Strikte Trennung erforderlich

IT-Leitung

  • Verarbeitung verantwortlich + Datenschutz kontrollierend
  • Konflikt häufig
  • Strikt: Trennung erforderlich

Personalleitung

  • Personal-Verarbeitung steuernd + Datenschutz kontrollierend
  • Konflikt häufig

Compliance-Officer

  • Bei klar getrennten Bereichen möglich
  • Bei umfassender Compliance-Verantwortung Konflikt

Unproblematische Rollen

  • IT-Sicherheits-Beauftragter (komplementär)
  • Externer Anwalt (unabhängig)
  • Externe Beratung (klar)

Bei Konflikt

  • Auswechslung des DSB
  • Externe Bestellung
  • Strukturelle Anpassung der internen Rollen

Schritt 7 — Aufgaben DSB Art. 39 DSGVO

Pflicht-Aufgaben

a) Information und Beratung Verantwortlicher und Beschäftigte

b) Überwachung Einhaltung DSGVO und Datenschutz-Vorschriften

c) Beratung zu DSFA und deren Überwachung

d) Zusammenarbeit Aufsichtsbehörde

e) Anlaufstelle Aufsichtsbehörde für Fragen Beratung

Zusätzlich

  • Mit-wirkung VVT
  • Beratung bei AVV-Erstellung
  • Schulung Mitarbeiter
  • Datenpanne-Bewertung

Schritt 8 — Meldung Aufsichtsbehörde Art. 37 Abs. 7 DSGVO

Pflicht zur Veröffentlichung

  • Kontakt-Daten DSB
  • Mitteilung an Aufsichtsbehörde
  • Online-Meldung möglich

Form

  • Schriftlich elektronisch
  • Aufsichtsbehörde wo Verantwortlicher Hauptniederlassung
  • Inhalt: Name Anschrift Telefon E-Mail

Bei Änderungen

  • Update bei Wechsel DSB
  • Bei Wechsel der Aufsichtsbehörden-Zuständigkeit

Schritt 9 — Bestellungs-Akt

Form

  • Schriftlich empfohlen
  • Stellenbeschreibung mit Aufgaben Rechten
  • Vertrag bei externem DSB
  • Bestellungs-Urkunde intern

Inhalt

  • Bestellungs-Datum
  • Aufgaben gemäß Art. 39 DSGVO
  • Ressourcen-Zusage
  • Berichts-Linie
  • Vertraulichkeits-Pflicht
  • Beendigungs-Regelung

Schritt 10 — Bei Verstoß

Sanktionen

  • Art. 83 Abs. 4 DSGVO bis 10 Mio EUR oder 2 Prozent Konzernumsatz
  • Aufsichts-Anordnung zur Bestellung
  • Reputations-Schaden

Folge-Probleme

  • Datenpannen ohne DSB schwerer beherrschbar
  • DSFA-Lücken
  • Aufsichts-Behörden-Audit kritisch

Schritt 11 — Beratungs-Schritte

Erstprüfung

  1. Beschäftigten-Zahl über 20 mit automatisierter Verarbeitung?
  2. Verarbeitungs-Typ Kerntätigkeit mit Überwachung oder besonderen Kategorien?
  3. Öffentliche Stelle?
  4. Bei Bejahung: DSB-Pflicht — sofort Bestellung erforderlich

Wenn DSB vorhanden

  1. Eignungs-Prüfung Qualifikation aktuell?
  2. Stellung Unabhängigkeit gewährleistet?
  3. Interessens-Konflikt vorhanden?
  4. Ressourcen ausreichend?
  5. Meldung Aufsichtsbehörde erfolgt?

Wenn DSB-Lücke

  1. Sofortige Bestellung intern oder extern
  2. Aufsichtsbehörde informieren
  3. VVT-Eintrag DSB-Daten
  4. Datenschutz-Hinweise Webseite aktualisieren

Schritt 12 — Außerhalb Pflicht — freiwillige Bestellung

Vorteile

  • Compliance-Sicherheit
  • Vorbereitung Wachstum
  • Audit-Vorbereitung
  • Mandanten-Vertrauen

Empfehlung

  • Bei jeder Verarbeitung besonderer Kategorien (auch wenn nicht "umfangreich")
  • Bei Cookie-Tracking selbst bei kleiner Webseite
  • Bei jeder grenz-überschreitenden Verarbeitung

Verzahnung mit anderen Skills

  • verarbeitungsverzeichnis-vvt-generator — VVT mit DSB-Bezeichnung
  • dsfa-erstellung — DSB-Beratung
  • avv-pruefung — DSB-Beratung
  • datenpanne-meldung — DSB-Eskalation
  • mandantendaten-ki — DSB im Kanzlei-Kontext
  • anwendungsfall-triage — Eingangsprüfung

Ausgabe

  • dsb-pruefung-{unternehmen}.md mit Pflicht-Analyse Anforderungs-Prüfung Konflikt-Bewertung
  • Bei DSB-Lücke: Bestellungs-Pflicht-Bestätigung + Bestellungs-Vorbereitung
  • Bei externem DSB: Vertrags-Entwurf
  • Bei internem DSB: Stellenbeschreibung
  • Aufsichts-Behörden-Meldung-Vorbereitung
  • Frist im Fristenbuch (Bestellung unverzüglich)

Ausformulierungspflicht und Formatstandard. Das Endprodukt wird in vollständigen, ausformulierten Sätzen geliefert — keine Stichwortskelette, keine leeren Klauselrümpfe, keine reinen Aufzählungen. Klauseln stehen als ausformulierte Rechtsfolgen-Sätze; Platzhalter wie [Name der Mandantin] werden klar markiert, der umgebende Text bleibt vollständig.

Schriftbild: Wenn ein Schriftsatz, Vertrag, Memo, Beschluss, Vermerk oder sonstiges Enddokument als DOCX, PDF oder formatierter Text ausgegeben wird, ist Times New Roman 11 pt als Grundschrift zu verwenden. Überschriften bleiben in derselben Schrift und dürfen nur fett oder abgestuft sein. Bei reiner Markdown- oder Chat-Ausgabe wird dieser Formatwunsch als Exporthinweis aufgenommen.

Nummerierung: Gliederung ausschließlich dezimal (1, 1.1, 1.1.1 und so weiter). Keine römischen Ziffern, keine Buchstaben- oder Mischgliederung.

Quellen

  • DSGVO Art. 37 38 39 83; ErwGr 97 DSGVO
  • BDSG §§ 5 6 38
  • Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
  • BfDI Praxis-Empfehlungen
  • DSK Kurzpapier
  • GDD und BvD Standards

Aktuelle Rechtsprechung (v14.2)

  • Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Triage zu Beginn

  1. Öffentliche oder private Stelle? (Art. 37 Abs. 1 lit. a DSGVO vs. § 38 BDSG)
  2. Bei privater Stelle: Anzahl Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind (§ 38 Abs. 1 BDSG: ab 20)?
  3. Verarbeitung besonderer Kategorien (Art. 9 DSGVO) oder umfangreiche Überwachung?
  4. Bestehender DSB: Interessenkonflikt (leitende Verarbeitungsverantwortung)?

Output-Template — DSB-Prüfvermerk

Adressat: Geschäftsführung / Compliance — Tonfall: sachlich-juristisch

DSB-Bestellungspflicht-Prüfvermerk [DATUM]
Organisation: [NAME]

Bestellungspflicht-Prüfung:
Öffentliche Stelle (Art. 37 Abs. 1 lit. a DSGVO): ja / nein
Kerntätigkeit umfangreiche Überwachung (Art. 37 Abs. 1 lit. b): ja / nein
Besondere Kategorien umfangreich (Art. 37 Abs. 1 lit. c): ja / nein
§ 38 BDSG: [X] Personen staendig automatisiert → ab 20: Pflicht

Ergebnis Bestellungspflicht: JA / NEIN

Aktueller DSB (falls bestellt):
Name: [NAME] | intern / extern
Interessenkonflikt-Check: kein Konflikt / Konflikt (Grund: [...])
Qualifikation ausreichend: ja / nein / unklar

Empfehlung: DSB bestellen (bis [FRIST]) / DSB wechseln / kein Handlungsbedarf
Install via CLI
npx skills add https://github.com/Klotzkette/claude-fuer-deutsches-recht --skill dsb-bestellungspflicht-pruefung
Repository Details
star Stars 872
call_split Forks 114
navigation Branch main
article Path SKILL.md
More from Creator
Klotzkette
Klotzkette Explore all skills →