Das Wichtigste vorab
Datenschutzbeauftragte sind in Ausübung ihrer Tätigkeiten gesetzlich gegen Weisung, Benachteiligung und Interessenkonflikte geschützt. Sowohl der Wortlaut in Art. 38 DSGVO, Rechtsprechung und die Maßnahme zum koordinierten Durchsetzungsrahmen (Coordinated Enforcement Framework, CEF) des EDSA 2023 lassen daran keinen Zweifel. Die Schwachstelle liegt nicht im Gesetzestext, sondern in seiner Durchsetzbarkeit gegenüber strukturellem Druck.
Wir analysieren in diesem Beitrag, wo die normativen Garantien enden, wo die Organisationspraxis versagt und was das für die laufende Debatte um die Abschaffung von § 38 BDSG bedeutet.
Warum dieser Beitrag jetzt wichtig ist
Seit dem 4. Dezember 2025 liegt ein Beschluss der Ministerpräsidentenkonferenz vor, der die Aufhebung von § 38 Abs. 1 BDSG, der in Deutschland nationalen Bestellpflicht für Datenschutzbeauftragte, bis Ende 2026 vorsieht.
Bereits im Januar 2024 veröffentlichte der EDSA die Ergebnisse seiner CEF-Maßnahme 2023 zur Benennung und Positionierung von DSB: Aus einer Befragung von über 17.000 Organisationen in 26 Mitgliedstaaten ging daraus hervor, dass sowohl die Unabhängigkeit und die Ausstattung mit Ressourcen systematisch nicht gegeben ist, als auch Interessenkonflikte regelmäßig stattfinden.
Ist weniger Reglementierung etwa die Antwort auf strukturelle Umsetzungsdefizite? Die aktuelle politische Logik scheint genau hier anzugreifen, die dieser Beitrag einer kritischen Prüfung unterzieht.
Was Art. 38 DSGVO den DSB tatsächlich garantiert
Art. 38 DSGVO enthält Schutzrahmen, deren Reichweite in der Praxis häufig unterschätzt wird:
Weisungsfreiheit (Art. 38 Abs. 3 S. 1)
DSB erhalten bei der Aufgabenerfüllung keine Anweisungen. Das schließt nach dem EDSA (WP 243 rev.01) jede Form informeller Einflussnahme ein – auf Risikodarstellungen, Berichtsinhalte, Prüfmethoden und die Kommunikation von Compliance-Berichten an Leitungsorgane.
Benachteiligungsverbot (Art. 38 Abs. 3 S. 2)
DSB dürfen wegen der Erfüllung ihrer Aufgaben weder abberufen noch benachteiligt werden.
Der Begriff „Benachteiligung“ ist dabei weit auszulegen und erfasst nach dem EuGH (C-534/20 – Leistritz, 22.06.2022) jede Entscheidung mit Sanktionswirkung, die auf die Wahrnehmung gesetzlicher Pflichten zurückzuführen ist.
Direktberichtslinie (Art. 38 Abs. 3 S. 2)
DSB berichten unmittelbar an die höchste Managementebene. Dies ist keine Organisationspräferenz, sondern normative Anforderung, die eine disziplinarische Einbettung in operative Hierarchien ausschließt.
Verbot von Interessenkonflikten (Art. 38 Abs. 6)
Weitere Aufgaben von DSB dürfen keinen Interessenkonflikt begründen.
Der EuGH hat in C-453/21 (X-FAB Dresden, 09.02.2023) klargestellt, dass bereits dann ein Interessenkonflikt vorliegt, sobald DSB in einer anderen Funktion Entscheidungsgewalt über Zwecke oder Mittel der Datenverarbeitung ausüben
Was die Rechtsprechung konkretisiert hat
EuGH C-534/20 – Leistritz (22.06.2022): Benachteiligungsverbot gilt unmittelbar
Der EuGH erklärte den deutschen Sonderkündigungsschutz nach § 6 Abs. 4 BDSG für EU-Rechtskonform und bekräftigte zugleich, dass das Benachteiligungsverbot des Art. 38 Abs. 3 S. 2 DSGVO unmittelbar anwendbar ist und unabhängig vom nationalen Kündigungsrecht gilt.
Disziplinarmaßnahmen, Karrierenachteile oder strukturelle Behinderungen bei der Aufgabenerfüllung als Reaktion auf die Wahrnehmung gesetzlicher Pflichten fallen in diesen Schutzbereich.
EuGH C-453/21 – X-FAB Dresden (09.02.2023): Interessenkonflikt ist weit zu verstehen
Das Gericht betonte, dass die „funktionelle Unabhängigkeit“ von DSB als Schutzziel der DSGVO eine weite Auslegung erfordert. Ein Interessenkonflikt liegt deshalb vor, wenn DSB in einer anderen Funktion Einfluss auf Zwecke und Mittel der Verarbeitung ausübten und eine unabhängige Überwachung unter diesen Bedingungen praktisch nicht möglich ist.
Beide Urteile des EuGH aus den Jahren 2022 und 2023 haben den gesetzlichen Schutzrahmen deutlich geschärft.
Das BAG hat sich diesen Entscheidungen angeschlossen und sie in das deutsche Arbeitsrecht integriert (BAG, 25.08.2022, 2 AZR 225/20 und 9 AZR 383/19).
Wo die Praxis versagt
Die Maßnahme des EDSA im Rahmen des CEF 2023 lieferte erstmals eine Bestandsaufnahme der DSB-Praxis in Europa. Ob und inwieweit diese Bestandsaufnahme auch empirisch belastbar ist, soll an dieser Stelle nicht weiter ausgeführt werden.
Allerdings identifiziert sie folgende Hauptmängel: fehlende Unabhängigkeit, keine oder unzureichende Direktberichtslinie, Interessenkonflikte und Ressourcendefizite.
Aus der Praxis nationaler Aufsichtsbehörden lassen sich ebenso wiederkehrende strukturelle Muster ableiten.
Disziplinarische Unterstellung unter operative Führung
DSB werden Führungskräften unterstellt, die selbst operative Datenschutzverantwortung tragen.
Dies verletzt bereits die rechtliche Anforderung des Art. 38 Abs. 3 S. 2 DSGVO strukturell, auch unabhängig davon, ob im Einzelfall tatsächlich Weisungen erteilt werden.
Paal/Pauly betonen an dieser Stelle: „Die faktische Abhängigkeit eines Arbeitnehmers von seinem Vorgesetzten kann durch formelle Zusicherungen der Weisungsfreiheit nicht vollständig aufgelöst werden.“
Filterung von Risikoberichten
Risikoberichte von DSB werden vor der Weitergabe an Leitungsorgane modifiziert oder zurückgehalten. Das Leitungsgremium erhält ein unvollständiges Bild über die datenschutzrechtliche Compliance, was eine Verletzung von Art. 38 Abs. 3 S. 1 DSGVO i.V.m. dem Beratungsauftrag nach Art. 39 Abs. 1 lit. a DSGVO bedeutet.
Behinderung der Überwachungsaufgabe
DSB werden an der Initiierung von Analysen oder Assessments, der Beauftragung externer Prüfer oder der eigenständigen Bestandsaufnahme der datenschutzrechtlichen Compliance gehindert.
Dies ist ein unmittelbarer Verstoß gegen Art. 39 Abs. 1 lit. b DSGVO. Die Überwachungsaufgabe ist keine Empfehlung, sondern gesetzliche Pflicht.
Zeitliche Asymmetrie bei internen Untersuchungen
Wenn DSB Einschränkungen oder Behinderungen intern melden und Untersuchungen eingeleitet werden, gibt es bis zum Abschluss keinen explizit normierten Interimschutz.
Dauert die Untersuchung zu lange, verlassen DSB das Unternehmen, bevor das Ergebnis vorliegt. Das interne Untersuchungsergebnis – selbst wenn es einen Regelverstoß bestätigt – entfaltet dann keine Schutzwirkung mehr.
Interessenkonflikte durch operative Aufgabenübertragung
Die systematische Übertragung operativer Datenschutzaufgaben an DSB machen diese zum Kontrolleur und Kontrollierten in Personalunion und damit eine Konstellation, die Art. 38 Abs. 6 DSGVO und die Rechtsprechung des EuGH ausdrücklich untersagen.
Was das für die Debatte zu § 38 BDSG bedeutet
Die aufgezeigten Muster führen zu einer Schlussfolgerung, die dem politischen Reformvorhaben unmittelbar entgegensteht: Die normative Basis der Schutzgarantien ist die förmliche Bestellung.
Wer nicht förmlich als DSB benannt ist, verfügt nicht im vollen Umfang über das gesetzliche Benachteiligungsverbot, den Sonderkündigungsschutz und den Einbeziehungsanspruch nach Art. 38 Abs. 1 DSGVO.
Die Abschaffung von § 38 BDSG schafft nicht nur eine Organisationspflicht ab – sie erodiert die institutionelle Basis, auf der alle Schutzgarantien aufbauen.
Der EDSA zieht aus seinen eigenen Berichten zum CEF die entgegengesetzte Schlussfolgerung zum deutschen Reformvorhaben: Er empfiehlt mehr Enforcement, mehr strukturelle Absicherung, mehr Kontrolle und hier gerade nicht weniger Reglementierung.
Das Bundesministerium des Innern kommt in seiner eigenen Evaluation des BDSG zum Ergebnis, dass DSB eine wichtige Ansprechfunktion für Aufsichtsbehörden einnehmen und spricht sich gegen eine Reduzierung der Benennungspflicht aus.
Die entscheidende Frage lautet daher nicht, ob Unternehmen DSB brauchen. Sie lautet vielmehr: Wie werden DSB geschützt, wenn diese ihren Aufgaben und Pflichten nachkommen?
Was 2fink Consulting daraus ableitet
Strukturelle Unabhängigkeit von DSB entsteht nicht durch Gesetze und Rechtsprechung allein.
Sie entsteht durch bewusste Organisationsentscheidungen, die DSB aus der operativen Abhängigkeit herauslösen. Externe DSB sind unter den beschriebenen Bedingungen die konsequente Antwort – keine disziplinarische oder karrierebedingte Motivation zur (Selbst)Zensur, keine arbeitsrechtliche Abhängigkeit vom Verantwortlichen.
2fink Consulting prüft für dein Unternehmen:
Ist der/die DSB strukturell wirklich unabhängig oder nur formal?
Entspricht die disziplinarische Einordnung den gesetzlichen Anforderungen?
Bestehen Interessenkonflikte durch operative Aufgabenübertragung?
Ist die Berichtslinie zur Unternehmensleitung tatsächlich direkt?
Die wichtigsten Erkenntnisse auf einen Blick
Art. 38 DSGVO garantiert Weisungsfreiheit, Benachteiligungsverbot, Direktberichtslinie und Interessenkonfliktschutz – der EuGH hat diese Garantien 2022 und 2023 weiter geschärft
Die EDSA CEF 2023 belegt für einen signifikanten Anteil der teilnehmenden Unternehmen, dass gesetzlichen Schutzrahmen strukturell nicht wirksam sind
Fünf wiederkehrende Muster untergraben die Unabhängigkeit von DSB – von der disziplinarischen Zuordnung bis zur zeitlichen Asymmetrie bei internen Untersuchungen
Der rechtliche Schutzrahmen des Art. 38 DSGVO ist an die förmliche Benennung geknüpft – eine Abschaffung von § 38 BDSG schwächt nicht nur die Organisationspflicht, sondern den gesamten Schutzrahmen
externe DSB eliminieren die arbeitsrechtliche Abhängigkeit strukturell und sind die konsequente Antwort auf identifizierte Schwachstellen
Häufige Fragen (FAQ)
Darf mein/e DSB disziplinarisch einer Bereichsleitung unterstellt sein?
Nur dann, wenn die Bereichsleitung keine operative Datenschutzverantwortung trägt und die Weisungsfreiheit deiner/deines DSB strukturell gewährleistet ist.
In der Praxis ist das selten der Fall. Eine Unterstellung unter CCO, IT-Leitung oder Personalleitung begründet regelmäßig einen Verstoß gegen Art. 38 Abs. 3 S. 2 DSGVO.
Was ist ein Interessenkonflikt nach Art. 38 Abs. 6 DSGVO?
Ein Interessenkonflikt liegt vor, wenn DSB über Zwecke oder Mittel der Datenverarbeitung entscheiden (sollen). Auch die funktionale Kombination aus DSB + CCO, DSB + IT-Leitung oder DSB + Datenschutzmanager mit operativer Verantwortung ist daher in aller Regel problematisch.
Kann ein/e DSB abgemahnt werden, weil er/sie ein Datenschutz-Assessment initiiert hat?
Nein. Die Initiierung eines Datenschutz-Assessments ist Bestandteil der gesetzlichen Überwachungsaufgabe nach Art. 39 Abs. 1 lit. b DSGVO.
Eine Abmahnung wegen dieser Aufgabenwahrnehmung ist ein klarer Verstoß gegen das Benachteiligungsverbot des Art. 38 Abs. 3 S. 2 DSGVO.
Was ändert sich rechtlich, wenn § 38 BDSG abgeschafft wird?
Wer nicht förmlich benannt ist, verliert vor allem den gesetzlichen Schutzrahmen und den gesetzlichen Sonderkündigungsschutz.
ABER: die DSGVO-Pflichten bleiben bestehen. Das gilt auch für die Benennungspflicht von DSB – die Schutzarchitektur von DSB wird ohne förmliche Benennung erheblich geschwächt. Durch die nationale Regelung in Deutschland mit § 38 BDSG ist eine solche Benennung bereits ab einer Beschäftigung von 20 Mitarbeitenden mit regelmäßiger Datenverarbeitung verpflichtend.
Können externe DSB genauso wirksam sein wie interne?
Ja – und unter den beschriebenen strukturellen Bedingungen häufig sogar wirksamer: Externe DSB unterliegen keiner disziplinarischen Unterstellung, verfolgen keine Karriereinteressen im Unternehmen und können Mandate aufkündigen statt strukturellem Druck ausgesetzt zu sein.
Art. 38 DSGVO gilt für externe DSB in gleicher Weise.
Fazit: Nicht weniger Reglementierung, sondern mehr Durchsetzung
Der normative Schutzrahmen für DSB ist rechtlich gefestigt.
Die Schwachstelle liegt in seiner Durchsetzbarkeit gegenüber strukturellem Druck und durch das Fehlen von Schutzmechanismen bei internen Konflikten.
Die richtige politische Antwort auf den Bericht des EDSA zum CEF 2023 lautet deshalb: gezielte Verbesserungen bei der Durchsetzbarkeit und nicht durch den Abbau der Basis, auf der ein Schutzrahmen aufbaut.
Weiterlesen
Wir veröffentlichen hier demnächst unser Whitepaper und eine Checkliste.
Ressourcen & Grundlagen
Art. 38 Abs. 2, 3, 6 DSGVO | Art. 39 Abs. 1 lit. a, b DSGVO | Art. 83 Abs. 4 DSGVO | § 38 BDSG | § 6 Abs. 4 BDSG | EuGH C-534/20 (Leistritz, 22.06.2022) | EuGH C-453/21 (X-FAB Dresden, 09.02.2023) | BAG 2 AZR 225/20 und 9 AZR 383/19 (25.08.2022) | Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“) – WP 243 rev.01 | Coordinated enforcement on the designation and position of data protection officers (DPOs), EDSA Bericht 2023 | EDSB Supervisory Guidance DPO, 18.12.2025 | Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024 | Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021 – Recherche und Formatierung dieses Beitrags wurden unterstützt von Claude Sonnet 4.6 Thinking
Deutsch