Als die Datenschutz-Grundverordnung im Mai 2018 in Kraft trat, rückte eine Position ins Zentrum der Aufmerksamkeit: die des Datenschutzbeauftragten (DSB).
Verpassen Sie nichts mehr. Jetzt auf dem Laufenden bleiben und Newsletter abonnieren.
Einfach E-Mail-Adresse eintragen.
Die Artikel 37 ff. der DSGVO machten diese Funktion zur Schlüsselfigur – sie sollte Compliance garantieren, Betroffenenrechte schützen und zwischen Technik, Recht und Organisation vermitteln. Die Erwartungen waren hoch, die Interpretationen vielfältig. Besonders kleine und mittlere Unternehmen standen vor erheblichen Herausforderungen bei der Umsetzung. Nach mehreren Jahren praktischer Erfahrung ist es Zeit für eine Bestandsaufnahme. Nicht um das gesetzliche Modell zu relativieren, sondern um die tatsächliche Entwicklung und die spezifischen Anforderungen bestimmter Branchen – besonders der Steuerberatung – nüchtern zu bewerten.
Die DSGVO versprach harmonisierten Datenschutz in Europa, gestärkte Betroffenenrechte und professionelle betriebliche Datenschutzstrukturen. Die DSB-Funktion sollte dabei mehrere Rollen gleichzeitig ausfüllen: unabhängige Kontrollinstanz, internes Beratungsorgan, Ansprechpartner für Behörden, Verantwortung für Sensibilisierung und Überwachung. Diese hybriden Erwartungen erwiesen sich schnell als schwer vereinbar – Kontrollorgan einerseits, unterstützende Funktion andererseits.
Die ersten Evaluierungen zeigten ein heterogenes Bild. Der gemeinsame Erfahrungsbericht der Datenschutzkonferenz im Rahmen des Art. 97 DSGVO offenbarte, wie unterschiedlich Unternehmen, Behörden und die Datenschutzbeauftragten selbst ihre Rolle interpretierten. Das Spektrum reichte vom reinen Pflichtposten zur Risikominimierung bis zur strategischen Gestaltungsfunktion, die tief in Geschäftsprozesse, Softwareauswahl und Risikomanagement eingebunden war.
Spätere Berichte wie "Fünf Jahre DSGVO" des Bundesbeauftragten für Datenschutz bestätigen diese Beobachtung. Von einer gelebten Datenschutzkultur ist oft die Rede, die Realität sieht anders aus: Die DSB-Position erhält nicht überall die nötigen Ressourcen, die Unabhängigkeit und die organisatorische Stellung, die ihre Aufgabe erfordert. Besonders in kleineren Unternehmen wird die Funktion häufig nebenbei wahrgenommen – trotz der klar formulierten Pflichten in Art. 39 DSGVO.
Parallel zu diesen Herausforderungen vollzieht sich eine bemerkenswerte Entwicklung. Die Benennungspflicht bleibt zwar oft der initiale Auslöser, doch das Verständnis der Funktion hat sich gewandelt. Immer mehr Organisationen verstehen die DSB-Rolle als integralen Teil der Unternehmenssteuerung – als Managementberatung, Risikomoderation und Übersetzung rechtlicher Vorgaben in technisch-organisatorische Maßnahmen.
Internationale Untersuchungen untermauern diesen Trend. Im angloamerikanischen Raum etabliert sich der Begriff des "strategic privacy leader" – eine Rolle, die nicht nur Risiken mindert, sondern aktiv Vertrauen aufbaut und datenbasierte Innovationen ermöglicht. Die Aufsichtsbehörden verstärken diese Sichtweise durch koordinierte europaweite Prüfungen zur Rolle der DPOs. Der Europäische Datenschutzausschuss betont dabei: Unabhängigkeit, Ressourcenausstattung und frühzeitige Projekteinbindung sind keine Optionen, sondern Grundvoraussetzungen für wirksame Arbeit.
Diese kontinuierlichen Prüfungen senden ein deutliches Signal: Die DSB-Position gilt keineswegs als selbstverständlich. Sie wird aktiv beobachtet, bewertet und weiterentwickelt. Die aktuelle Neubewertung entfernt sich vom juristischen Idealmodell und nähert sich einer realistischen Betrachtung, die besonders für kleinere Unternehmen relevant ist.
In kleinen und mittleren Unternehmen zeigt sich ein beharrliches Problem: Die gesetzlichen Anforderungen sind in ihrer Breite und Tiefe für kleinere Organisationen nur bedingt umsetzbar. Die DSGVO mag technologieneutral sein, größenneutral ist sie nicht. Dokumentationspflichten, technische Anforderungen, Datenschutz-Folgenabschätzungen, Löschkonzepte, Schulungen und Verträge mit Dienstleistern – für Unternehmen mit wenigen Dutzend Mitarbeitenden bedeutet das eine erhebliche organisatorische Belastung.
Die DSB-Funktion wird in diesem Umfeld zur Universallösung: Sie soll Struktur schaffen, Prozesse erklären, Maßnahmen moderieren und gleichzeitig unabhängig prüfen. Diese Doppelrolle überfordert viele kleinere Unternehmen. Externe Datenschutzbeauftragte füllen diese Lücke, indem sie Expertise bereitstellen, die intern weder aufgebaut noch dauerhaft vorgehalten werden kann.
Die Praxis zeigt jedoch ein ambivalentes Bild. Während externe DSB-Fachkräfte Kompetenz und Ressourcen mitbringen, droht manchmal eine Überformalisierung. Manche Unternehmen berichten von formal korrekter, aber geschäftsferner Beratung. Andere schätzen hingegen die Entlastung und sehen echten Mehrwert: reduzierte Risiken, strategische Impulse und interne Verlässlichkeit.
Eine Bitkom-Analyse fünf Jahre nach DSGVO-Einführung zeichnet ein gemischtes Bild. Datenschutz wird als wichtig anerkannt, doch Komplexität und uneinheitliche behördliche Auslegung machen die DSB-Position zum permanenten Krisenmanagement – stets vermittelnd zwischen Behördenvorgaben, Fragen von Mitarbeitenden und technischen Grenzen.
Ein besonders kritischer Aspekt prägt die juristische Diskussion der letzten Jahre: Die DSGVO fordert Unabhängigkeit der DSB-Funktion, schließt aber übermäßige operative Einbindung aus. Was in Großunternehmen mit klaren Strukturen trennbar ist, führt in kleineren Organisationen zu Konflikten. Wer gleichzeitig Prozesse gestaltet, Maßnahmen empfiehlt und deren Einhaltung überwacht, gerät in einen logischen Widerspruch: Die Kontrolle der eigenen Konzeption.
Aktuelle fachwissenschaftliche Analysen thematisieren diese Problematik deutlich. Das klassische dualistische Modell – Trennung zwischen entscheidenden Verantwortlichen und prüfender DSB-Funktion – ist in sehr kleinen Organisationen strukturell kaum realisierbar. Streng auslegungsgetreue Forderungen führen in der Praxis zu Verunsicherung, Formalismus und der Fehlannahme, die DSB-Position sei eine Art interne Revision.
Die pragmatische Neubewertung zeichnet ein anderes Bild: Die DSB-Funktion in kleineren Unternehmen fungiert primär als Moderation rechtskonformer Umsetzung. Kontrolle bleibt wichtig, muss aber in eine beratende, lösungsorientierte Rolle eingebettet sein. Das DSGVO-Modell lässt diesen Spielraum – und die Auslegung wird zunehmend praxisnäher.
Der steuerberatende Sektor zeigt exemplarisch, wie tief Datenschutz in den Kernauftrag eingreift. Steuerberatungskanzleien verarbeiten hochsensible personenbezogene Daten, Berufsgeheimnisse, Finanz- und Bilanzinformationen – und das in komplexen digitalen Strukturen von DATEV bis Cloud-Diensten. Datenschutz ist hier kein Anhängsel, sondern untrennbarer Teil der Berufsethik und sichtbares Qualitätsmerkmal für Mandanten.
Die Fachbeiträge der berufsständischen Kammern spiegeln dieses Selbstverständnis: Datenschutz gehört zu den Berufspflichten. Die DSB-Position wird zur Schnittstelle zwischen DSGVO-Anforderungen, StBerG-Pflichten und technischen Realitäten moderner Kanzleien. Sie moderiert Softwareeinführungen, berät beim Einsatz KI-gestützter Werkzeuge, unterstützt bei Cloud-Computing-Risiken und sorgt dafür, dass Berechtigungskonzepte oder Löschroutinen nicht nur formal existieren, sondern operativ funktionieren.
Externe DSB-Fachkräfte bieten hier einen besonderen Vorteil: Sie vermeiden Interessenkonflikte, die in kleinen Kanzleien entstehen, wenn die Kanzleileitung selbst fachlich involviert ist. Zusätzlich bringen sie branchenübergreifende Erfahrung mit, was Beratungsqualität und Umsetzungsgeschwindigkeit erhöht.
Dennoch bleibt die Voraussetzung: Die Rolle muss organisatorisch verankert sein. Fehlen Ressourcen, erfolgt die Einbindung zu spät oder bleibt die Stimme unverbindlich, verliert die Kanzlei genau das, was die DSB-Funktion bieten soll – Sicherheit, Struktur und Nachvollziehbarkeit.
Nach mehreren Jahren Praxiserfahrung zeigt sich ein differenziertes Bild. Die DSB-Position hat sich entwickelt. Aus dem formalistischen Pflichtposten wurde vielerorts eine Governance-Funktion, die strategisch, rechtlich und technisch denkt und Brücken zwischen ehemals isolierten Bereichen schlägt.
Die Neubewertung lässt sich in drei Dimensionen fassen:
Die Rolle wird sich weiterentwickeln. Wachsende Komplexität datengetriebener Geschäftsmodelle, zunehmender KI-Einsatz, Cloud-Strukturen und automatisierte Auswertungsmechanismen transformieren Datenschutzberatung von der Regeleinhaltung zur strategischen Kompetenz. Die DSB-Funktion wird unverzichtbar – nicht als Innovation selbst, aber als Moderation sicherer Innovation.
Gleichzeitig müssen gesetzliche und behördliche Vorgaben mit der Realität kleiner Unternehmen harmonieren. Für kleinere Unternehmen und Steuerberatungskanzleien ist eine zu formalistische Auslegung der Kontrollfunktion hinderlich. Die Praxis zeigt: Wirksamer Datenschutz entsteht dort, wo Beratung und Kontrolle sinnvoll austariert sind.
Sieben Jahre nach Inkrafttreten der DSGVO zeigt sich ein klares Bild: Die DSB-Funktion hat sich zu einer reifen, differenzierten und vielschichtigen Position entwickelt. Sie ist weniger die strenge Kontrolle des DSGVO-Modells und mehr die integrative Governance-Funktion, die die Praxis braucht. Für kleinere Unternehmen und Steuerberatungskanzleien schafft die DSB-Position dann Mehrwert, wenn sie kompetent, eingebunden, unabhängig und praxisorientiert arbeitet. Die Rolle ist kein bürokratischer Ballast, sondern ein Stabilitätsanker – vorausgesetzt, sie wird realistisch gelebt und organisatorisch unterstützt.
Aufsichtsbehörden & offizielle Bilanz nach einigen Jahren DSGVO
Rückblick mit Fokus auf Bewusstseinsbildung und Praxis. Indirekt wird deutlich: Unternehmen mussten Strukturen etablieren (Register, DPIA etc.), in denen der DSB häufig der zentrale Motor ist. LDI NRW
Frühere, aber immer noch relevante Bestandsaufnahme der deutschen Aufsichtsbehörden für die Art.-97-DSGVO-Evaluierung. Behandelt u. a. praktische Probleme und strukturelle Fragen der Umsetzung, bei denen die DSB eine Schlüsselrolle spielen. datenschutzkonferenz-online.de
Koordinierte europaweite Untersuchung, ob DPOs tatsächlich die in Art. 37–39 DSGVO vorgesehene Stellung und Ressourcen haben. Allein diese Aktion ist schon ein starkes Signal: Die Behörden sehen die Rolle als zentral, sehen aber auch Defizite bei Unabhängigkeit, Ressourcenausstattung und Einbindung. EDPB
Diese Quellen liefern den eher "offiziellen" Blick: DSB als unverzichtbarer Compliance-Anker, mit gleichzeitigen Sorgen um Ressourcen und Unabhängigkeit.
Studien & Verbände (Wirtschafts-/Praxisperspektive)
Bitkom betont das Ziel der DSGVO als richtig, kritisiert aber Bürokratie und uneinheitliche Aufsichtspraxis. Für Unternehmen sei Datenschutz eine "Daueraufgabe". Daraus lässt sich gut die Wahrnehmung ableiten, dass der DSB in vielen Unternehmen als permanenter Krisenmanager in einem komplexen Rechtsrahmen gesehen wird. Bitkom e. V.
Befragung von DPOs aus verschiedenen Sektoren. Ergebnisse: Der DPO ist längst mehr als „Kontrolleur“ – er ist Berater, interner Lobbyist für Datenschutz, Projektbegleiter; gleichzeitig klagen viele über Ressourcenknappheit und Rollenkonflikte. Centre for Information Policy Leadership
Diese Quellen sind interessant, da sie zeigen, wie die Rolle in der Unternehmensrealität wahrgenommen wird – zwischen strategischer Funktion und Überforderung.
Fachartikel zu DSB in KMU (allgemein)
Betont, dass der DSB KMU entlastet, indem er sie von der Detailarbeit im Datenschutz "freikauft", damit sie sich aufs Kerngeschäft konzentrieren können. Positioniert den DSB explizit als Business-Enabler, nicht nur als Pflicht. Datenmeier
Sehr spannend für deine Neubewertung: Der Beitrag diskutiert die These, dass ein striktes dualistisches Modell (Management vs. kontrollierender DSB) in kleinen Unternehmen praktisch nicht durchhaltbar ist. Überzogene Anforderungen könnten die Legitimation des DSB in KMU untergraben. RDV
Spezifisch: DSB in Steuerberatungskanzleien
Die Bundessteuerberaterkammer stellt gemeinsam mit dem Deutschen Steuerberaterverband e. V. (DStV) Hinweise, Muster und Praxishilfen zur Verfügung. Sie positionieren Datenschutz klar als Bestandteil der Berufspflichten und Qualitätssicherung in der Kanzlei – der DSB ist in diesen Materialien der "Übersetzer" zwischen Berufsrecht, Technik und Organisation. BStBK
Internationale & strategische Perspektive
Skizziert den DPO als strategischen Gestalter von Datenschutzkultur, eingebunden in Datenstrategie und Governance, nicht nur als Kontrolleinheit. GDPR Advisor
Stellt die These auf, dass DPOs Vertrauen schaffen, Risiken managen und Dateninnovationen ermöglichen – Privacy als Enabler. Datasumi
Keine Evaluation, aber ein reifer Best-Practice-Rahmen. Gut für Vergleichsargumente (z. B. Unabhängigkeit, Ressourcenausstattung, Einbindung in Entscheidungen). ICO
Datenschutzbeauftragte sichern die Einhaltung der EU-Datenschutzvorgaben und unterstützen Unternehmen bei den Herausforderungen der Digitalisierung.
Die Datenschutz-Grundverordnung (DSGVO) ist ein zentraler Baustein des europäischen Datenschutzrechts.
In der heutigen digitalisierten Welt ist der Datenschutz von zentraler Bedeutung, besonders bei umfassenden Plattformen wie Microsoft 365, die in...
Sind Sie der Erste, der über neueste Themen wie Geldwäscheprävention, Datenschutz, Whistleblowing und aktueller Rechtsprechung informiert wird.