Ir al contenido
Recht Artikel

Wann ist die Benennung eines externen DPO Pflicht?

Thema: externer DPO Pflicht Spanien wann obligatorisch DSGVO

Analyse der Situationen, in denen die DSGVO die Benennung eines Datenschutzbeauftragten (DPO) vorschreibt: Pflichtkriterien, Unterschiede zwischen internem und externem DPO, Aufgaben und Folgen der Nichteinhaltung in Spanien.

4 Min. Lesezeit

Die DSGVO legt in Artikel 37 die Pflicht zur Benennung eines Datenschutzbeauftragten in bestimmten Situationen fest. Seit dem Inkrafttreten der DSGVO im Mai 2018 hat die AEPD Sanktionen wegen fehlender Benennung verhängt, wenn die Pflicht vorlag und das Unternehmen sie nicht erfüllte. Zu wissen, wann die Benennung eines DPO obligatorisch ist, ist daher nicht optional.

Die drei Fälle, in denen die DSGVO einen DPO vorschreibt

Fall 1: Öffentliche Stellen und Einrichtungen

Alle Behörden und öffentlichen Stellen (außer den Gerichten, wenn sie im Rahmen ihrer justiziellen Aufgaben handeln) sind verpflichtet, einen DPO zu benennen. Diese Pflicht ist absolut und kennt keine Ausnahmen aufgrund von Größe oder Verarbeitungsvolumen.

Fall 2: Verarbeitung im großen Umfang von besonderen Datenkategorien

Wenn die Haupttätigkeit des Unternehmens darin besteht, im großen Umfang besondere Kategorien personenbezogener Daten zu verarbeiten (Artikel 9 DSGVO), ist ein DPO obligatorisch. Besondere Kategorien sind:

  • Gesundheitsdaten.
  • Genetische Daten.
  • Biometrische Daten zur eindeutigen Identifizierung.
  • Daten zu rassischer oder ethnischer Herkunft.
  • Politische Meinungen.
  • Religiöse oder weltanschauliche Überzeugungen.
  • Gewerkschaftszugehörigkeit.
  • Sexualleben oder sexuelle Orientierung.
  • Strafrechtliche Verurteilungen und Straftaten.

Was bedeutet “im großen Umfang”? Die DSGVO definiert diesen Begriff nicht quantitativ, aber die Richtlinien des Europäischen Datenschutzausschusses (EDSA) liefern Orientierung: ein Krankenhaus, das Patientendaten verarbeitet, ein Versicherungsunternehmen, das Gesundheitsdaten verarbeitet, eine Apotheke — ja. Ein einzelner Arzt in seiner Praxis — in der Regel nein.

Fall 3: Regelmäßige und systematische Überwachung im großen Umfang

Wenn die Haupttätigkeit des Unternehmens darin besteht, natürliche Personen regelmäßig und systematisch im großen Umfang zu überwachen, ist ein DPO obligatorisch.

Typische Fälle: Telekommunikationsunternehmen, Kreditauskunfteien, Tracking-Unternehmen (Online-Werbung, Geolokalisierung), Videoüberwachungsunternehmen, die umfangreiche Daten von Personen verarbeiten.

Besonderheiten des spanischen Rechts: LOPDGDD erweitert die Pflicht

Das spanische organische Datenschutzgesetz (LOPDGDD) in Artikel 34 erweitert die Liste der DPO-pflichtigen Unternehmen auf die spanische Rechtsordnung:

  • Verarbeitungsverantwortliche, die im Bildungsbereich tätig sind.
  • Werbetreibende und Werbenetzwerke, wenn sie Profile von Betroffenen erstellen.
  • Unternehmen, die Kreditinformationssysteme verwalten.
  • Unternehmen, die Sicherheitsdienste erbringen.
  • Versicherungsunternehmen.
  • Meinungsforschungsinstitute und Marktforschungsunternehmen.

Praktische Konsequenz: In Spanien ist der Kreis der zur DPO-Benennung verpflichteten Unternehmen größer als in anderen EU-Mitgliedstaaten.

Interner vs. externer DPO: welche Option wählen?

MerkmalInterner DPOExterner DPO
KostenGehalt + SS-BeiträgeMonatliche Vergütung (500–2.000 €)
FachkenntnisseAuf das Unternehmen beschränktBranchenübergreifende Kenntnisse
UnabhängigkeitKann intern kompromittiert seinStrukturell unabhängig
VerfügbarkeitVollzeit (bei exklusiver Zuweisung)Vereinbarte Zeiten + Notfälle
Risiko des Verlusts von Know-howHoch bei KündigungKontinuität gewährleistet

Wann ein interner DPO sinnvoll ist:

  • Großes Unternehmen mit eigenem Datenschutzteam (Compliance, IT, Legal).
  • Hochkomplexe oder hochvolumige Datenverarbeitung, die tägliche Vollzeit-Anwesenheit erfordert.

Wann ein externer DPO sinnvoll ist:

  • KMU mit bis zu 200 Mitarbeitern.
  • Unternehmen ohne dediziertes IT-Sicherheitsteam.
  • Unternehmen, die Unabhängigkeit und aktuelles Fachwissen ohne das Risiko einer internen Kündigungsabhängigkeit garantieren wollen.

Aufgaben des DPO laut DSGVO

Der DPO ist unabhängig und hat Zugang zur Unternehmensleitung. Seine Hauptaufgaben sind:

  1. Informierung und Beratung des Verantwortlichen, des Auftragsverarbeiters und der Mitarbeiter über ihre DSGVO-Pflichten.
  2. Überwachung der Einhaltung der DSGVO und der nationalen Datenschutzvorschriften.
  3. Beratung bei Datenschutz-Folgenabschätzungen (DPIA) und Überwachung ihrer Durchführung.
  4. Zusammenarbeit mit der Aufsichtsbehörde (AEPD) und Funktion als Kontaktstelle.
  5. Verwaltung von Anfragen betroffener Personen (Recht auf Auskunft, Berichtigung, Löschung).

Konsequenzen der Nichteinhaltung

Die AEPD kann Sanktionen wegen fehlender DPO-Benennung verhängen, wenn die Pflicht besteht:

  • Nichtbenennung des DPO, wenn obligatorisch: Schwerer Verstoß (DSGVO Art. 83.4), bis zu 10.000.000 Euro oder 2 % des Jahresumsatzes.
  • Fehlende Registrierung des DPO bei der AEPD: Leichter bis mittelschwerer Verstoß.
  • Nichtgewährung notwendiger Ressourcen für die DPO-Funktion: Verstoß gegen die DSGVO-Pflichten.

Informationen zu unserem externen DPO-Service und Datenschutz-Compliance.

dpo datenschutz dsgvo compliance
← Zurück zu Publikationen
Verwandte Leistungen

Verwandte Leistungen

Externer Datenschutzbeauftragter (DSB)

Vollständig ausgelagerter Datenschutzbeauftragten-Service: kontinuierliche DSGVO-Compliance, AEPD-Verbindung, Aufsichtsbehördenmanagement und jährliche Compliance-Prüfungen.

Datenschutz & Privatsphäre

DSGVO- und LOPDGDD-Compliance, ausgelagerter Datenschutzbeauftragter und umfassendes Datenschutzmanagement für Unternehmen.

Datenschutz-Folgenabschätzung (DSFA/DPIA)

Strukturierte DSFA-Methodik für risikoreiche Verarbeitungen: Risikoidentifizierung und -minderung, Verwaltung der vorherigen Konsultation bei der AEPD und Folgenabschätzungen für KI-Systeme.

Autor

Verwandte Artikel

Recht

Was tun bei einer Inspektion der AEPD?

Praxisleitfaden für Unternehmen, die eine Benachrichtigung der spanischen Datenschutzbehörde (AEPD) erhalten: Phasen des Sanktionsverfahrens, Rechte des Beschuldigten, vorzubereitende Unterlagen und wie die Sanktion minimiert werden kann.

14. April 2026 · 3 Min. Lesezeit
Recht

Wie Sie Ihr Unternehmen vor Geldwäsche schützen

Praxisleitfaden zu den Geldwäschepräventionspflichten (PBC) für Unternehmen und Fachleute: wer verpflichtete Subjekte sind, welche Maßnahmen sie ergreifen müssen, welche Fehler zu vermeiden sind und wie ein wirksames AML-Compliance-System implementiert wird.

14. April 2026 · 4 Min. Lesezeit
Recht

Wie Sie ein Hinweisgebersystem gemäß dem Gesetz 2/2023 implementieren

Praxisleitfaden für Unternehmen, die verpflichtet sind, ein Hinweisgebersystem nach dem Gesetz 2/2023 einzurichten: welche Unternehmen betroffen sind, technische und organisatorische Anforderungen, Fristen, Sanktionen bei Nichteinhaltung und Schritte zur Implementierung.

14. April 2026 · 4 Min. Lesezeit

Möchten Sie mehr erfahren?

Lassen Sie uns besprechen, wie Sie diese Ideen auf Ihr Unternehmen anwenden können.

Leistung ansehen: Externer Datenschutzbeauftragter (DSB)
Anrufen Kontakt