Darf mein/e DSB disziplinarisch einer Bereichsleitung unterstellt sein?

Nur dann, wenn die Bereichsleitung keine operative Datenschutzverantwortung trägt und die Weisungsfreiheit deiner/deines DSB strukturell gewährleistet ist.In der Praxis ist das selten der Fall. Eine Unterstellung unter CCO, IT-Leitung oder Personalleitung begründet regelmäßig einen Verstoß gegen Art. 38 Abs. 3 S. 2 DSGVO.

Was ist ein Interessenkonflikt nach Art. 38 Abs. 6 DSGVO?

Ein Interessenkonflikt liegt vor, wenn DSB über Zwecke oder Mittel der Datenverarbeitung entscheiden (sollen). Auch die funktionale Kombination aus DSB + CCO, DSB + IT-Leitung oder DSB + Datenschutzmanager mit operativer Verantwortung ist daher in aller Regel problematisch.

Kann ein/e DSB abgemahnt werden, weil er/sie ein Datenschutz-Assessment initiiert hat?

Nein. Die Initiierung eines Datenschutz-Assessments ist Bestandteil der gesetzlichen Überwachungsaufgabe nach Art. 39 Abs. 1 lit. b DSGVO.Eine Abmahnung wegen dieser Aufgabenwahrnehmung ist ein klarer Verstoß gegen das Benachteiligungsverbot des Art. 38 Abs. 3 S. 2 DSGVO.

Was ändert sich rechtlich, wenn § 38 BDSG abgeschafft wird?

Wer nicht förmlich benannt ist, verliert vor allem den gesetzlichen Schutzrahmen und den gesetzlichen Sonderkündigungsschutz.ABER: die DSGVO-Pflichten bleiben bestehen. Das gilt auch für die Benennungspflicht von DSB – die Schutzarchitektur von DSB wird ohne förmliche Benennung erheblich geschwächt. Durch die nationale Regelung in Deutschland mit § 38 BDSG ist eine solche Benennung bereits ab einer Beschäftigung von 20 Mitarbeitenden mit regelmäßiger Datenverarbeitung verpflichtend.

Können externe DSB genauso wirksam sein wie interne?

Ja – und unter den beschriebenen strukturellen Bedingungen häufig sogar wirksamer: Externe DSB unterliegen keiner disziplinarischen Unterstellung, verfolgen keine Karriereinteressen im Unternehmen und können Mandate aufkündigen statt strukturellem Druck ausgesetzt zu sein.Art. 38 DSGVO gilt für externe DSB in gleicher Weise.

Limitaciones estructurales de la independencia del OSD: ¿Es necesaria una reforma?

Por qué este post es importante ahora

Desde el 4o El 1 de diciembre de 2025, la Conferencia de Ministros-Presidentes adoptó una Resolución que prevé la derogación del artículo 38, apartado 1, de la Ley Federal de Protección de Datos (BDSG), que en Alemania impone la obligación nacional de nombrar delegados de protección de datos, a finales de 2026.

Ya en enero de 2024, el CEPD publicó los resultados de su medida del MCE de 2023 sobre la designación y el posicionamiento de los DPD: Una encuesta realizada a más de 17 000 organizaciones en 26 Estados miembros mostró que tanto la independencia como la asignación de recursos están sistemáticamente ausentes y que los conflictos de intereses se producen regularmente.

¿Es una menor regulación la respuesta a los déficits estructurales de aplicación? La lógica política actual parece estar atacando aquí mismo, que está sometiendo esta contribución a un escrutinio crítico.

Lo que el artículo 38 del RGPD garantiza realmente al RPD

El artículo 38 del RGPD contiene marcos de protección, cuyo ámbito de aplicación a menudo se subestima en la práctica:

Libertad de instrucción (artículo 38, apartado 3, primera frase)

Los OSD no reciben instrucciones en el desempeño de sus tareas. Según el CEPD (WP 243 rev.01), esto incluye cualquier forma de influencia informal en la presentación de riesgos, el contenido de los informes, los métodos de auditoría y la comunicación de los informes de cumplimiento a los órganos de gestión.

Prohibición de discriminación (artículo 38, apartado 3, segunda frase)

Los OSD no pueden ser despedidos o perjudicados por el desempeño de sus funciones.

El término «desventaja» debe interpretarse en sentido amplio y estar comprendido en el ámbito de aplicación del TJUE (C-534/20 ?). Leistritz, 22.6.2022) cualquier decisión con efecto sancionador resultante del ejercicio de obligaciones legales.

Línea jerárquica directa (artículo 38, apartado 3, segunda frase)

El OSD informa directamente al más alto nivel de gestión. Esta no es una preferencia organizacional, sino un requisito normativo que excluye la incorporación disciplinaria en las jerarquías operativas.

Prohibición de conflictos de intereses (artículo 38, apartado 6)

Otras tareas del OSD no pueden dar lugar a un conflicto de intereses.

El TJUE aclaró en el asunto C-453/21 (X-FAB Dresde, 09.2.2023) que ya existe un conflicto de intereses tan pronto como los RPD ejercen el poder de decisión sobre los fines o medios del tratamiento de datos en otra función.

Lo que la jurisprudencia ha precisado

TJUE C-534/20 ? Leistritz (22.6.2022): La prohibición de la discriminación se aplica directamente

El TJUE declaró que la protección alemana contra la resolución especial con arreglo al artículo 6, apartado 4, de la BDSG era conforme con el Derecho de la Unión y, al mismo tiempo, confirmó que la prohibición de discriminación establecida en el artículo 38, apartado 3, segunda frase, del RGPD es directamente aplicable y se aplica con independencia del derecho nacional de resolución.

Las medidas disciplinarias, las desventajas profesionales o las discapacidades estructurales en el desempeño de las tareas en respuesta al ejercicio de las obligaciones legales entran dentro de este ámbito de protección.

TJUE C-453/21 ? X-FAB Dresde (09.02.2023): El conflicto de intereses debe entenderse en sentido amplio

El tribunal subrayó que el "independencia funcional" El OSD, como objetivo de protección del RGPD, requiere una interpretación amplia. Por lo tanto, existe un conflicto de intereses si DSB ejerció influencia sobre los fines y medios del tratamiento en otra función. y un control independiente es prácticamente imposible en estas condiciones.

Ambas sentencias del TJUE en 2022 y 2023 han agudizado significativamente el marco de protección jurídica.

La BAG se ha adherido a estas decisiones y las ha integrado en el Derecho laboral alemán (BAG, 25.8.2022, 2 AZR 225/20 y 9 AZR 383/19).

Donde la práctica falla

La acción del CEPD en el marco del MCE 2023 proporcionó por primera vez un inventario de las prácticas del RPD en Europa. Si y en qué medida este inventario también es empíricamente robusto, no debe explicarse más en este punto.

Sin embargo, identifica las siguientes deficiencias principales: falta de independencia, ausencia o insuficiencia de una línea jerárquica directa, conflictos de intereses y déficit de recursos.

Los patrones estructurales recurrentes también pueden derivarse de la práctica de las autoridades nacionales de supervisión.

Insinuación disciplinaria en el marco de la gestión operacional

Los DPO están subordinados a ejecutivos que a su vez tienen la responsabilidad operativa de la protección de datos.

Esto ya viola estructuralmente el requisito legal del artículo 38, apartado 3, segunda frase, del RGPD, independientemente de si las instrucciones se dan realmente en casos individuales.

Paal/Pauly dijo: La dependencia de hecho de un trabajador respecto de su superior no puede disolverse completamente mediante garantías formales de libertad de instrucción.»

Filtrado de informes de riesgo

Los informes de riesgos del OSD se modifican o retienen antes de ser transmitidos a los órganos de gestión. El órgano de gobierno recibe una imagen incompleta del cumplimiento de la protección de datos, lo que significa una violación del artículo 38, apartado 3, primera frase, del RGPD en relación con el mandato consultivo de conformidad con el artículo 39, apartado 1, letra a), del RGPD.

Obstrucción de la tarea de supervisión

Se impide a los OSD iniciar análisis o evaluaciones, encargar auditores externos o hacer un balance independiente del cumplimiento de la protección de datos.

Se trata de una violación directa del artículo 39, apartado 1, letra b), del RGPD. La tarea de supervisión no es una recomendación, sino una obligación legal.

Asimetría temporal en las investigaciones internas

Si los DPO reportan restricciones o discapacidades internamente y se inician investigaciones, no hay una protección provisional explícitamente estandarizada hasta su finalización.

Si la investigación lleva demasiado tiempo, DSB abandonará la empresa antes de que el resultado esté disponible. A pesar de que confirma una violación de las reglas, ? ya no tiene un efecto protector.

Conflictos de intereses a través de la delegación operativa

La transferencia sistemática de tareas operativas de protección de datos a los RPD los convierte en responsables y responsables del tratamiento en una unión personal y, por lo tanto, en una constelación que prohíbe expresamente el artículo 38, apartado 6, del RGPD y la jurisprudencia del Tribunal de Justicia de la Unión Europea.

Lo que esto significa para el debate sobre el § 38 BDSG

Los patrones mostrados llevan a una conclusión que contradice directamente el proyecto de reforma política: La base normativa de las salvaguardias es el orden formal.

Cualquier persona que no esté formalmente designada como DPD no tiene la prohibición legal completa de discriminación, la protección especial de terminación y el derecho a la inclusión en virtud del artículo 38, apartado 1, del RGPD.

38 BDSG no solo crea una obligación organizativa de ?, sino que erosiona la base institucional sobre la que se construyen todas las garantías de protección.

El CEPD extrae la conclusión opuesta sobre el proyecto de reforma alemán de sus propios informes sobre el MCE: Recomienda más aplicación, más protección estructural, más control y aquí no menos regulación.

En su propia evaluación de la BDSG, el Ministerio Federal del Interior concluye que los OSD desempeñan un importante papel de contacto para las autoridades de control y se opone a una reducción de la obligación de nombramiento.

Por lo tanto, la cuestión crucial no es si las empresas necesitan DSB. Más bien, dice: ¿Cómo se protege a los RPD cuando cumplen sus tareas y deberes?

Lo que 2fink Consulting deriva de esto

La independencia estructural del OSD no se deriva únicamente de las leyes y la jurisprudencia.

Surge de decisiones organizativas conscientes que separan al OSD de su dependencia operacional. Los RPD externos son la respuesta coherente en las condiciones descritas: ninguna motivación disciplinaria o relacionada con la carrera para la (auto)censura, ninguna dependencia del Derecho laboral del responsable.

2fink Consulting comprueba para su empresa:

¿Es realmente el OSD estructuralmente independiente o sólo formal?
¿La clasificación disciplinaria cumple con los requisitos legales?
¿Existen conflictos de intereses debidos a la delegación operativa?
¿Es la línea de informes de gestión realmente directa?

Los hallazgos más importantes de un vistazo

38 RGPD garantiza la libertad de instrucción, la prohibición de discriminación, la línea jerárquica directa y la protección de intereses ?, el TJUE reforzó aún más estas garantías en 2022 y 2023
El CEF 2023 del CEPD demuestra para una proporción significativa de empresas participantes que los marcos de protección jurídica son estructuralmente ineficaces
5 patrones recurrentes socavan la independencia de DSB ? de la atribución disciplinaria a la asimetría temporal en las investigaciones internas
El marco de protección jurídica del artículo 38 del RGPD está vinculado a la designación formal ?, una abolición del artículo 38 de la BDSG debilita no solo la obligación organizativa, sino todo el marco de protección.
los RPD externos eliminan estructuralmente la dependencia de la legislación laboral y son la respuesta coherente a las deficiencias detectadas

Preguntas frecuentes (FAQ)

¿Puede mi DPO estar sujeto a supervisión disciplinaria?

Solo si la dirección de la división no tiene ninguna responsabilidad operativa en materia de protección de datos y la libertad de instrucción de su OSD está garantizada estructuralmente.

En la práctica, este es raramente el caso. Una insinuación en virtud del CCO, la gestión de TI o la gestión de personal establece regularmente una violación del artículo 38, apartado 3, segunda frase, del RGPD.

¿Qué es un conflicto de intereses con arreglo al artículo 38, apartado 6, del RGPD?

Existe un conflicto de intereses si el OSD decide (debería) sobre los fines o medios del tratamiento de datos. Por lo tanto, la combinación funcional de DSB + CCO, DSB + gestión de TI o DSB + gestor de protección de datos con responsabilidad operativa suele ser problemática.

¿Se puede advertir a un DPO porque ha iniciado una evaluación de protección de datos?

No. El inicio de una evaluación de protección de datos forma parte de la tarea de supervisión legal de conformidad con el artículo 39, apartado 1, letra b), del RGPD.

Una advertencia a causa de este ejercicio de funciones constituye una clara violación de la prohibición de discriminación establecida en el artículo 38, apartado 3, segunda frase, del RGPD.

¿Qué cambiará si se suprime el artículo 38 de la BDSG?

Quien no es nombrado formalmente, pierde sobre todo el marco legal de protección y la protección especial legal de terminación.

PERO: Las obligaciones del RGPD permanecen. Esto también se aplica a la obligación de designación de DSB ?, que debilita significativamente la arquitectura de protección de DSB sin designación formal. Como resultado de la legislación nacional en Alemania con § 38 BDSG, dicha designación es obligatoria desde el momento del empleo de 20 empleados con procesamiento regular de datos.

¿Pueden los DPO externos ser tan efectivos como los internos?

Sí ? y a menudo incluso más eficaz en las condiciones estructurales descritas: Los DPO externos no están sujetos a insinuaciones disciplinarias, no persiguen intereses profesionales en la empresa y pueden terminar mandatos en lugar de estar sujetos a presión estructural.

El artículo 38 del RGPD se aplica a los DPO externos de la misma manera.

Conclusión: No menos regulación, sino más aplicación

El marco normativo de protección de los DPD está jurídicamente consolidado.

La vulnerabilidad radica en su aplicabilidad frente a las presiones estructurales y la falta de salvaguardias en los conflictos internos.

Por lo tanto, la respuesta política correcta al informe del CEPD sobre el MCE 2023 es: mejoras específicas en la aplicabilidad y no mediante el desmantelamiento de la base sobre la que se construye un marco de protección.

Leer más

Pronto publicaremos nuestro libro blanco y una lista de verificación aquí.

Recursos y conceptos básicos de &

Artículo 38, apartados 2, 3 y 6, del RGPD | Artículo 39, apartado 1, letras a) y b), del RGPD | Artículo 83, apartado 4, del RGPD | § 38 BDSG | § 6, apartado 4, del BDSG | TJUE C-534/20 (Leistritz, 22.6.2022) | TJUE C-453/21 (X-FAB Dresde, 09.2.2023) | BAG 2 AZR 225/20 y 9 AZR 383/19 (25.8.2022) | Guidelines on Data Protection Officers (?DSB?) – WP 243 rev.01 | Aplicación coordinada de la designación y el cargo de los responsables de la protección de datos (RPD), Informe del CEPD de 2023 18.12.2025 | Kühling/Buchner, DS-GVO BDSG, 4. ed. 2024 | Paal/Pauly, DS-GVO BDSG, 3. ed. 2021 - La investigación y el formato de este documento fueron apoyados por Claude Sonnet 4.6 Thinking