Die DSGVO legt in Artikel 37 die Pflicht zur Benennung eines Datenschutzbeauftragten in bestimmten Situationen fest. Seit dem Inkrafttreten der DSGVO im Mai 2018 hat die AEPD Sanktionen wegen fehlender Benennung verhängt, wenn die Pflicht vorlag und das Unternehmen sie nicht erfüllte. Zu wissen, wann die Benennung eines DPO obligatorisch ist, ist daher nicht optional.
Die drei Fälle, in denen die DSGVO einen DPO vorschreibt
Fall 1: Öffentliche Stellen und Einrichtungen
Alle Behörden und öffentlichen Stellen (außer den Gerichten, wenn sie im Rahmen ihrer justiziellen Aufgaben handeln) sind verpflichtet, einen DPO zu benennen. Diese Pflicht ist absolut und kennt keine Ausnahmen aufgrund von Größe oder Verarbeitungsvolumen.
Fall 2: Verarbeitung im großen Umfang von besonderen Datenkategorien
Wenn die Haupttätigkeit des Unternehmens darin besteht, im großen Umfang besondere Kategorien personenbezogener Daten zu verarbeiten (Artikel 9 DSGVO), ist ein DPO obligatorisch. Besondere Kategorien sind:
- Gesundheitsdaten.
- Genetische Daten.
- Biometrische Daten zur eindeutigen Identifizierung.
- Daten zu rassischer oder ethnischer Herkunft.
- Politische Meinungen.
- Religiöse oder weltanschauliche Überzeugungen.
- Gewerkschaftszugehörigkeit.
- Sexualleben oder sexuelle Orientierung.
- Strafrechtliche Verurteilungen und Straftaten.
Was bedeutet “im großen Umfang”? Die DSGVO definiert diesen Begriff nicht quantitativ, aber die Richtlinien des Europäischen Datenschutzausschusses (EDSA) liefern Orientierung: ein Krankenhaus, das Patientendaten verarbeitet, ein Versicherungsunternehmen, das Gesundheitsdaten verarbeitet, eine Apotheke — ja. Ein einzelner Arzt in seiner Praxis — in der Regel nein.
Fall 3: Regelmäßige und systematische Überwachung im großen Umfang
Wenn die Haupttätigkeit des Unternehmens darin besteht, natürliche Personen regelmäßig und systematisch im großen Umfang zu überwachen, ist ein DPO obligatorisch.
Typische Fälle: Telekommunikationsunternehmen, Kreditauskunfteien, Tracking-Unternehmen (Online-Werbung, Geolokalisierung), Videoüberwachungsunternehmen, die umfangreiche Daten von Personen verarbeiten.
Besonderheiten des spanischen Rechts: LOPDGDD erweitert die Pflicht
Das spanische organische Datenschutzgesetz (LOPDGDD) in Artikel 34 erweitert die Liste der DPO-pflichtigen Unternehmen auf die spanische Rechtsordnung:
- Verarbeitungsverantwortliche, die im Bildungsbereich tätig sind.
- Werbetreibende und Werbenetzwerke, wenn sie Profile von Betroffenen erstellen.
- Unternehmen, die Kreditinformationssysteme verwalten.
- Unternehmen, die Sicherheitsdienste erbringen.
- Versicherungsunternehmen.
- Meinungsforschungsinstitute und Marktforschungsunternehmen.
Praktische Konsequenz: In Spanien ist der Kreis der zur DPO-Benennung verpflichteten Unternehmen größer als in anderen EU-Mitgliedstaaten.
Interner vs. externer DPO: welche Option wählen?
| Merkmal | Interner DPO | Externer DPO |
|---|---|---|
| Kosten | Gehalt + SS-Beiträge | Monatliche Vergütung (500–2.000 €) |
| Fachkenntnisse | Auf das Unternehmen beschränkt | Branchenübergreifende Kenntnisse |
| Unabhängigkeit | Kann intern kompromittiert sein | Strukturell unabhängig |
| Verfügbarkeit | Vollzeit (bei exklusiver Zuweisung) | Vereinbarte Zeiten + Notfälle |
| Risiko des Verlusts von Know-how | Hoch bei Kündigung | Kontinuität gewährleistet |
Wann ein interner DPO sinnvoll ist:
- Großes Unternehmen mit eigenem Datenschutzteam (Compliance, IT, Legal).
- Hochkomplexe oder hochvolumige Datenverarbeitung, die tägliche Vollzeit-Anwesenheit erfordert.
Wann ein externer DPO sinnvoll ist:
- KMU mit bis zu 200 Mitarbeitern.
- Unternehmen ohne dediziertes IT-Sicherheitsteam.
- Unternehmen, die Unabhängigkeit und aktuelles Fachwissen ohne das Risiko einer internen Kündigungsabhängigkeit garantieren wollen.
Aufgaben des DPO laut DSGVO
Der DPO ist unabhängig und hat Zugang zur Unternehmensleitung. Seine Hauptaufgaben sind:
- Informierung und Beratung des Verantwortlichen, des Auftragsverarbeiters und der Mitarbeiter über ihre DSGVO-Pflichten.
- Überwachung der Einhaltung der DSGVO und der nationalen Datenschutzvorschriften.
- Beratung bei Datenschutz-Folgenabschätzungen (DPIA) und Überwachung ihrer Durchführung.
- Zusammenarbeit mit der Aufsichtsbehörde (AEPD) und Funktion als Kontaktstelle.
- Verwaltung von Anfragen betroffener Personen (Recht auf Auskunft, Berichtigung, Löschung).
Konsequenzen der Nichteinhaltung
Die AEPD kann Sanktionen wegen fehlender DPO-Benennung verhängen, wenn die Pflicht besteht:
- Nichtbenennung des DPO, wenn obligatorisch: Schwerer Verstoß (DSGVO Art. 83.4), bis zu 10.000.000 Euro oder 2 % des Jahresumsatzes.
- Fehlende Registrierung des DPO bei der AEPD: Leichter bis mittelschwerer Verstoß.
- Nichtgewährung notwendiger Ressourcen für die DPO-Funktion: Verstoß gegen die DSGVO-Pflichten.
Informationen zu unserem externen DPO-Service und Datenschutz-Compliance.
Regelungsrahmen: Schlüsselnormen zur DPO-Bestellung in Spanien
Verordnung (EU) 2016/679 (DSGVO), Artikel 37–39: Diese drei Artikel der DSGVO sind die primäre Rechtsgrundlage für die DPO-Pflicht und gelten unmittelbar in allen EU-Mitgliedstaaten ohne nationalen Umsetzungsakt. Artikel 37.1 definiert die drei Pflichtszenarien: öffentliche Stellen, Verarbeiter mit systematischer umfangreicher Überwachung und Verarbeiter, die umfangreich besondere Kategorien personenbezogener Daten verarbeiten. Artikel 37.3 erlaubt die gemeinsame Benennung eines DPO durch eine Unternehmensgruppe. Artikel 38 schützt den DPO durch Unabhängigkeitsgarantien: keine Weisungsgebundenheit, Schutz vor Abberufung wegen Ausübung seiner Aufgaben, direkter Berichterstattungsweg zur Leitungsebene. Artikel 39 legt die Mindestaufgaben des DPO fest: Beratung, Überwachung der DSGVO-Einhaltung, Beratung bei DSFAs und Zusammenarbeit mit der Aufsichtsbehörde.
Ley Orgánica 3/2018 (LOPDGDD), Artikel 34: Das spanische Datenschutzgesetz erweitert die DSGVO-Pflicht zur DPO-Benennung auf zusätzliche Kategorien spanischer Stellen, die über die drei DSGVO-Szenarien hinausgehen. Nach Art. 34 LOPDGDD sind u.a. verpflichtet: Anbieter elektronischer Kommunikationsnetze, Kreditinstitute, Versicherungsunternehmen, Gesundheitseinrichtungen mit Patientenakten, Bildungseinrichtungen mit Schülerdaten und Unternehmen, die Verhaltenswerbung im Internet betreiben. Diese spanische Erweiterung bedeutet, dass ein Unternehmen, das die DSGVO-Schwellen nicht erreicht, trotzdem nach spanischem Recht zur DPO-Benennung verpflichtet sein kann.
AEPD-Leitlinien zur DPO-Funktion: Die spanische Datenschutzbehörde AEPD hat mehrere spezifische Leitlinien zur DPO-Funktion veröffentlicht, darunter Guidance zur Vermeidung von Interessenkonflikten beim externen DPO, Anforderungen an die professionelle Qualifikation des DPO und Mindeststandards für die Ressourcenausstattung. Diese Leitlinien — obwohl nicht bindend — werden von der AEPD bei Sanktionsentscheidungen systematisch als Maßstab angewandt.
Häufige Fehler bei der Benennung eines externen DPO
Fehler 1: Einen DPO benennen, der mit dem Verantwortlichen in einem Interessenkonflikt steht. Der häufigste Interessenkonflikt ist die Bestellung eines Unternehmensberaters zum externen DPO, der gleichzeitig die Geschäftsstrategie des Unternehmens berät. Der DPO muss die Datenverarbeitungspraktiken des Unternehmens aus einer unabhängigen Perspektive bewerten — kann aber nicht unabhängig bewerten, was er selbst empfohlen hat. Weitere typische Konflikte: der IT-Sicherheitsberater, der auch die Datenbankarchitektur des Unternehmens verantwortet; oder der Jurist, der das Unternehmen in laufenden Prozessen vertritt, die datenschutzrelevante Sachverhalte berühren.
Fehler 2: Den DPO nicht rechtzeitig in neue Datenverarbeitungsprojekte einbeziehen. Artikel 35.2 DSGVO verpflichtet den Verantwortlichen, den DPO bei Datenschutz-Folgenabschätzungen (DSFA) zu konsultieren und seinen Rat zu dokumentieren. Unternehmen, die neue digitale Produkte, CRM-Systeme oder Marketingautomatisierung implementieren, ohne den DPO frühzeitig einzubeziehen, verstoßen gegen das “Privacy by Design”-Prinzip und riskieren, dass der DPO post-hoc Compliance-Mängel identifiziert, die nur noch mit erheblichem Aufwand zu beheben sind.
Fehler 3: Den DPO bei der AEPD nicht eintragen lassen. Nach Artikel 37.7 DSGVO und der LOPDGDD muss die Kontaktdaten des DPO bei der AEPD registriert werden. Viele Unternehmen, die einen externen DPO bestellen, versäumen diese Registrierung — die AEPD prüft bei Inspektionen systematisch, ob eine Registrierung vorliegt, und wertet das Fehlen als Indikator für eine formale DPO-Bestellung ohne substanzielle Umsetzung.
Praxisbeispiel: Kosten-Nutzen-Analyse externer DPO für ein spanisches KMU
Ausgangssituation: HealthTechCo SRL, ein spanisches Unternehmen im Gesundheitssektor mit 80 Mitarbeitern, verarbeitet Gesundheitsdaten von Patienten (besondere Kategorien nach Art. 9 DSGVO) und betreibt eine digitale Therapieplattform. Die LOPDGDD (Art. 34) sowie die DSGVO (Art. 37.1.c) verpflichten das Unternehmen zur Benennung eines DPO.
Variante A: Interner DPO
- Qualifizierter interner DPO: Jahresgehalt + Sozialversicherung = 55.000–70.000 Euro (Vollzeit in Madrid/Barcelona)
- Weiterbildung und CIPP/E-Zertifizierung: 3.000–5.000 Euro/Jahr
- Gesamtkosten: 58.000–75.000 Euro/Jahr
Variante B: Externer DPO
- Für ein Unternehmen dieser Größe und Komplexität: ca. 1,5–2 Tage/Woche DPO-Funktion
- Marktübliche Tagessätze für qualifizierte externe DPOs in Spanien: 500–700 Euro/Tag
- Jahreskosten: 1,75 Tage × 46 aktive Wochen × 600 Euro Durchschnitt = 48.300 Euro
- Keine Sozialversicherungskosten, kein Urlaubsgeld, keine Abfindungsrisiken
- Gesamtkosten externer DPO: 40.000–55.000 Euro/Jahr
Kostenvorteil des externen DPO: 15.000–25.000 Euro/Jahr. Zusätzlicher qualitativer Vorteil: Der externe DPO bringt Erfahrung aus mehreren Mandaten, bleibt aktuell mit AEPD-Entwicklungen und kann im Sanktionsfall sofortige Unterstützung bieten, ohne dass das Unternehmen auf einen Externen mit neuem Einarbeitungsbedarf angewiesen ist. Für Unternehmen mit einem nicht konstant ausgelasteten DPO-Bedarf ist der externe DPO die wirtschaftlich überlegene Option.
