dsb-bestellungspflicht-pruefung
$
npx mdskill add Klotzkette/claude-fuer-deutsches-recht/dsb-bestellungspflicht-pruefungVerify GDPR DSB appointment requirements for organizations.
- Identifies mandatory DSB obligations based on entity type and employee count.
- Analyzes core activities against Art. 37 and § 38 BDSG thresholds.
- Detects conflicts between DSB role and processing leadership responsibilities.
- Calculates fines under Art. 83 and recommends reporting to authorities.
SKILL.md
.github/skills/dsb-bestellungspflicht-pruefungView on GitHub ↗
---
name: dsb-bestellungspflicht-pruefung
description: Pruefraster Bestellungspflicht Datenschutzbeauftragten. EU-Pflichten Art. 37 DSGVO oeffentliche Stelle Kerntaetigkeit umfangreiche regelmaessige Ueberwachung Kerntaetigkeit umfangreiche Verarbeitung besondere Kategorien. Deutsche Erweiterung § 38 BDSG ab 20 Personen die staendig mit automatisierter Verarbeitung beschaeftigt sind. Anforderungen DSB Art. 38 DSGVO Unabhaengigkeit Ressourcen-Pflicht Kenntnisse. Aufgaben Art. 39 DSGVO Beratung Pruefung. Externe vs. interne Bestellung. Interessens-Konflikt-Pruefung EuGH C-453/21 X-FAB Dresden zur Unvereinbarkeit von DSB-Funktion und leitender Verarbeitungs-Verantwortung. Bussgelder Art. 83 DSGVO bei Nicht-Bestellung. Meldung Aufsichtsbehoerde.
---
# DSB-Bestellungspflicht und -Anforderungen
## Zweck
Häufige Lücke in Unternehmen: Pflicht zur DSB-Bestellung wird nicht erkannt. Dieses Skill prüft Pflicht, Anforderungen an DSB und löst Folge-Probleme (Interessens-Konflikt, externe vs. interne Bestellung).
## Eingaben
- Unternehmens-Typ (öffentlich privat)
- Beschäftigten-Zahl
- Verarbeitungs-Tätigkeiten (Übersicht aus VVT)
- Bestand DSB ja/nein
- Bei Bestand: Person und Rolle (intern extern)
## Schritt 1 — Pflicht-Tatbestände Art. 37 DSGVO
### Lit. a) Öffentliche Stelle / Behörde
- **Pflicht** unabhängig von Größe
- Außer Gerichte in Justizfunktion
### Lit. b) Kerntätigkeit umfangreiche regelmäßige systematische Überwachung
- **Kerntätigkeit** das Geschäft selbst (nicht nur Mittel zur Geschäftsführung)
- **Umfangreich** Skalierung
- **Regelmäßig systematisch** Dauerhaft strukturiert
- **Überwachung** Beobachtung Verhalten Profilbildung
#### Beispiele
- Online-Verhaltens-Tracking Werbe-Netzwerke
- Vermarkter mit Profiling
- Telematik-Versicherer
- Standort-Verfolgung
- CCTV im großen Stil
### Lit. c) Kerntätigkeit umfangreiche Verarbeitung besondere Kategorien
- **Art. 9 DSGVO** Daten (Gesundheit Religion Sexual-Orientierung etc.)
- **Strafrechtliche Daten** Art. 10
- **Umfangreich**
#### Beispiele
- Krankenhäuser
- Religions-Gemeinschaften
- Personalvermittler mit Diversity-Daten
- Strafvollzug-Dienstleister
- Genetik-/Genom-Labore
## Schritt 2 — § 38 BDSG Deutsche Erweiterung
### Schwellenwert
- **In der Regel mindestens 20 Personen**
- **Ständig mit automatisierter Verarbeitung beschäftigt**
- Bei Pflicht zur DSFA (Art. 35) auch bei weniger Personen
- Bei geschäftsmäßiger Verarbeitung zum Zweck der Übermittlung anonymen Übermittlung Markt- oder Meinungsforschung
### "Personen" im Sinne § 38 BDSG
- Mitgezählt werden **eigene Beschäftigte** des Verantwortlichen (Voll- und Teilzeit, Aushilfen, Auszubildende, Werkstudenten, freie Mitarbeiter mit Datenzugriff)
- **Auftragsverarbeiter-Personal zählt NICHT mit** — dieses gehört zum Auftragsverarbeiter, der selbst die DSB-Pflicht prüft
- Entscheidend ist die Ständigkeit der automatisierten Verarbeitung, nicht das Beschäftigungs-Volumen
### Kombination
- EU-DSGVO und § 38 BDSG nebeneinander
- Strengstes Kriterium gilt
## Schritt 3 — Anforderungen DSB Art. 37 Abs. 5 6 DSGVO
### Fachliche Eignung
- **Berufliche Qualifikation** Datenschutz
- **Fachwissen** DSGVO BDSG
- **Spezialwissen** der Branche
- Zertifizierungen: TÜV, GDD, DIA, BvD u.a.
### Persönliche Eignung
- Zuverlässigkeit
- Vertrauenswürdig
- Bei Insolvenz / Strafverfahren prüfen
## Schritt 4 — Stellung DSB Art. 38 DSGVO
### Unabhängigkeit
- **Keine Weisungs-Bindung** in Datenschutz-Fragen
- **Berichts-Linie** an oberste Leitung
- **Schutz vor Abberufung** wegen Aufgaben-Wahrnehmung
### Ressourcen-Pflicht
- **Zeitliche Verfügbarkeit** ausreichend
- **Sachliche Ausstattung** Büro IT Reisekosten
- **Fortbildungs-Budget**
- **Externe Hilfe** wenn nötig
### Schutz vor Kündigung / Abberufung
- **§ 6 Abs. 4 BDSG** Kündigungs-Schutz analog § 4f
- Bei Beendigungs-Schutz auch nach Amtszeit
- Außerordentliche Kündigung nur bei wichtigem Grund
### Schweigepflicht
- DSB unterliegt Schweige-Pflicht
- Auch nach Beendigung
## Schritt 5 — Interne vs. externe Bestellung
### Interner DSB
- **Aus Belegschaft**
- **Voll- oder Teilzeit-DSB-Aufgabe**
- **Vorteil:** Insider-Kenntnis
- **Nachteil:** Interessens-Konflikt-Risiko
### Externer DSB
- **Beratung durch externe Firma / Anwalts-Kanzlei**
- **Vertragliche Bestellung**
- **Vorteil:** Unabhängigkeit Spezialisierung
- **Nachteil:** Externe Person ohne Insider-Kenntnis
### Konzern-DSB
- Ein DSB für mehrere Konzern-Gesellschaften
- Erlaubt § 38 Abs. 1 BDSG ("für mehrere Stellen")
- Konzern-Bestellungs-Akte
- Kommunikations-Linie zu allen Gesellschaften
## Schritt 6 — Interessens-Konflikt-Prüfung
### Problematische Doppelrollen
#### Geschäftsführer / Vorstand
- **EuGH C-453/21** X-FAB Dresden (9.2.2023): Eine Person darf nicht gleichzeitig DSB sein und Zwecke/Mittel der Verarbeitung festlegen — Geschäftsführer-Funktion und DSB-Funktion strukturell **unvereinbar**
- BAG 9 AZR 461/19 (5.12.2019) zur internen Stellung des DSB und Kündigungsschutz
- ErwGr 97 DSGVO zur Unabhängigkeits-Anforderung
- Strikte Trennung erforderlich
#### IT-Leitung
- Verarbeitung verantwortlich + Datenschutz kontrollierend
- Konflikt häufig
- Strikt: Trennung erforderlich
#### Personalleitung
- Personal-Verarbeitung steuernd + Datenschutz kontrollierend
- Konflikt häufig
#### Compliance-Officer
- Bei klar getrennten Bereichen möglich
- Bei umfassender Compliance-Verantwortung Konflikt
### Unproblematische Rollen
- IT-Sicherheits-Beauftragter (komplementär)
- Externer Anwalt (unabhängig)
- Externe Beratung (klar)
### Bei Konflikt
- **Auswechslung** des DSB
- **Externe Bestellung**
- **Strukturelle Anpassung** der internen Rollen
## Schritt 7 — Aufgaben DSB Art. 39 DSGVO
### Pflicht-Aufgaben
a) **Information und Beratung** Verantwortlicher und Beschäftigte
b) **Überwachung** Einhaltung DSGVO und Datenschutz-Vorschriften
c) **Beratung** zu DSFA und deren Überwachung
d) **Zusammenarbeit** Aufsichtsbehörde
e) **Anlaufstelle Aufsichtsbehörde** für Fragen Beratung
### Zusätzlich
- Mit-wirkung VVT
- Beratung bei AVV-Erstellung
- Schulung Mitarbeiter
- Datenpanne-Bewertung
## Schritt 8 — Meldung Aufsichtsbehörde Art. 37 Abs. 7 DSGVO
### Pflicht zur Veröffentlichung
- Kontakt-Daten DSB
- Mitteilung an Aufsichtsbehörde
- Online-Meldung möglich
### Form
- Schriftlich elektronisch
- Aufsichtsbehörde wo Verantwortlicher Hauptniederlassung
- Inhalt: Name Anschrift Telefon E-Mail
### Bei Änderungen
- Update bei Wechsel DSB
- Bei Wechsel der Aufsichtsbehörden-Zuständigkeit
## Schritt 9 — Bestellungs-Akt
### Form
- **Schriftlich** empfohlen
- **Stellenbeschreibung** mit Aufgaben Rechten
- **Vertrag** bei externem DSB
- **Bestellungs-Urkunde** intern
### Inhalt
- Bestellungs-Datum
- Aufgaben gemäß Art. 39 DSGVO
- Ressourcen-Zusage
- Berichts-Linie
- Vertraulichkeits-Pflicht
- Beendigungs-Regelung
## Schritt 10 — Bei Verstoß
### Sanktionen
- **Art. 83 Abs. 4 DSGVO** bis 10 Mio EUR oder 2 Prozent Konzernumsatz
- **Aufsichts-Anordnung** zur Bestellung
- **Reputations-Schaden**
### Folge-Probleme
- Datenpannen ohne DSB schwerer beherrschbar
- DSFA-Lücken
- Aufsichts-Behörden-Audit kritisch
## Schritt 11 — Beratungs-Schritte
### Erstprüfung
1. **Beschäftigten-Zahl** über 20 mit automatisierter Verarbeitung?
2. **Verarbeitungs-Typ** Kerntätigkeit mit Überwachung oder besonderen Kategorien?
3. **Öffentliche Stelle**?
4. **Bei Bejahung**: DSB-Pflicht — sofort Bestellung erforderlich
### Wenn DSB vorhanden
1. **Eignungs-Prüfung** Qualifikation aktuell?
2. **Stellung** Unabhängigkeit gewährleistet?
3. **Interessens-Konflikt** vorhanden?
4. **Ressourcen** ausreichend?
5. **Meldung** Aufsichtsbehörde erfolgt?
### Wenn DSB-Lücke
1. **Sofortige Bestellung** intern oder extern
2. **Aufsichtsbehörde** informieren
3. **VVT-Eintrag** DSB-Daten
4. **Datenschutz-Hinweise** Webseite aktualisieren
## Schritt 12 — Außerhalb Pflicht — freiwillige Bestellung
### Vorteile
- **Compliance-Sicherheit**
- **Vorbereitung** Wachstum
- **Audit-Vorbereitung**
- **Mandanten-Vertrauen**
### Empfehlung
- Bei jeder Verarbeitung besonderer Kategorien (auch wenn nicht "umfangreich")
- Bei Cookie-Tracking selbst bei kleiner Webseite
- Bei jeder grenz-überschreitenden Verarbeitung
## Verzahnung mit anderen Skills
- `verarbeitungsverzeichnis-vvt-generator` — VVT mit DSB-Bezeichnung
- `dsfa-erstellung` — DSB-Beratung
- `avv-pruefung` — DSB-Beratung
- `datenpanne-meldung` — DSB-Eskalation
- `mandantendaten-ki` — DSB im Kanzlei-Kontext
- `anwendungsfall-triage` — Eingangsprüfung
## Ausgabe
- `dsb-pruefung-{unternehmen}.md` mit Pflicht-Analyse Anforderungs-Prüfung Konflikt-Bewertung
- Bei DSB-Lücke: Bestellungs-Pflicht-Bestätigung + Bestellungs-Vorbereitung
- Bei externem DSB: Vertrags-Entwurf
- Bei internem DSB: Stellenbeschreibung
- Aufsichts-Behörden-Meldung-Vorbereitung
- Frist im Fristenbuch (Bestellung unverzüglich)
## Quellen
- DSGVO Art. 37 38 39 83; ErwGr 97 DSGVO
- BDSG §§ 5 6 38
- EuGH C-453/21 X-FAB Dresden (9.2.2023)
- BAG 9 AZR 461/19 (5.12.2019)
- BfDI Praxis-Empfehlungen
- DSK Kurzpapier
- GDD und BvD Standards
## Aktuelle Rechtsprechung (v14.2)
- EuGH, Urt. v. 09.03.2023 — C-453/21 (X-FAB Dresden/Commissaire), NJW 2023, 1549 Rn. 30–55: DSB darf keine leitende Position innehaben, die ihn zur Überwachung seiner eigenen Datenschutztätigkeit veranlasst; Interessenkonflikt führt zur Pflicht des Verantwortlichen, die Bestellung aufzuheben oder umzustrukturieren. Checkliste: GF/CTO/COO als DSB ist strukturell unvereinbar.
- EuGH, Urt. v. 15.06.2021 — C-645/19 (Facebook Ireland/Belgian DPA), NJW 2021, 2463 Rn. 55: Aufsichtsbehördliche Zuständigkeit für DSB-Kontrolle richtet sich nach Art. 56 DSGVO; federführende Behörde kontrolliert; nationale Behörden dürfen nur bei lokalem Verstoß eigenständig tätig werden.
- BVerwG, Urt. v. 25.06.2020 — 2 C 12.19, BVerwGE 168, 315 Rn. 42: Zur Bestellungspflicht im öffentlichen Dienst; § 38 BDSG gilt für private Stellen; öffentliche Stellen unterliegen Art. 37 Abs. 1 lit. a DSGVO unabhängig von Schwellenwerten.
- BGH, Urt. v. 23.01.2024 — VI ZR 7/23, NJW 2024, 1200 Rn. 28: Zur Qualifikationsanforderung des DSB (Art. 37 Abs. 5 DSGVO); fehlende Sachkunde des DSB kann Haftung des Verantwortlichen begründen.
## Triage zu Beginn
1. Öffentliche oder private Stelle? (Art. 37 Abs. 1 lit. a DSGVO vs. § 38 BDSG)
2. Bei privater Stelle: Anzahl Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind (§ 38 Abs. 1 BDSG: ab 20)?
3. Verarbeitung besonderer Kategorien (Art. 9 DSGVO) oder umfangreiche Überwachung?
4. Bestehender DSB: Interessenkonflikt (leitende Verarbeitungsverantwortung)?
## Output-Template — DSB-Prüfvermerk
**Adressat:** Geschäftsführung / Compliance — Tonfall: sachlich-juristisch
```
DSB-Bestellungspflicht-Prüfvermerk [DATUM]
Organisation: [NAME]
Bestellungspflicht-Prüfung:
Öffentliche Stelle (Art. 37 Abs. 1 lit. a DSGVO): ja / nein
Kerntätigkeit umfangreiche Überwachung (Art. 37 Abs. 1 lit. b): ja / nein
Besondere Kategorien umfangreich (Art. 37 Abs. 1 lit. c): ja / nein
§ 38 BDSG: [X] Personen staendig automatisiert → ab 20: Pflicht
Ergebnis Bestellungspflicht: JA / NEIN
Aktueller DSB (falls bestellt):
Name: [NAME] | intern / extern
Interessenkonflikt-Check: kein Konflikt / Konflikt (Grund: [...])
Qualifikation ausreichend: ja / nein / unklar
Empfehlung: DSB bestellen (bis [FRIST]) / DSB wechseln / kein Handlungsbedarf
```
More from Klotzkette/claude-fuer-deutsches-recht
- abgrenzung-konventionelle-software-vs-ki-systemPrueft typische Falschverortungen: wann liegt konventionelle Software vor und wann ein KI-System nach Art. 3 Nr. 1 KI-VO. Abgrenzung zu Expertensystemen deterministischer Logik einfachen Entscheidungsbaeumen und klassischer Automation. Hilft bei Grenzfaellen.
- abmahnung-arbeitsrechtEntwirft und bewertet arbeitsrechtliche Abmahnungen. Lädt, wenn eine Abmahnung erstellt, inhaltlich geprüft oder deren Wirksamkeitsvoraussetzungen (Warnfunktion, Bestimmtheit, Dokumentation) beurteilt werden sollen – sowohl aus Arbeitgeber- als auch aus Arbeitnehmerperspektive.
- abmahnung-markenrecht-uwgMarkenrechtliche Abmahnung mit strafbewehrter Unterlassungserklaerung, Hamburger Brauch Vertragsstrafe, § 14 MarkenG und § 8 UWG, Kosten nach § 14 UWG-n.F. 2021. Laedt, wenn der Nutzer 'Abmahnung Marke', 'Unterlassungserklaerung', 'Vertragsstrafe Marke', 'Hamburger Brauch' oder 'Abmahnung UWG' sagt.
- abmahnung-urheberrechtPrüfung und Erstellung urheberrechtlicher Abmahnungen nach § 97a UrhG; modifizierte Unterlassungserklärung; Deckelung der Abmahnkosten im privaten Bereich (§ 97a Abs. 3 UrhG); Filesharing-Praxis; Lizenzanalogie-Schadensersatz (§ 97 Abs. 2 UrhG). Lädt bei urheberrechtlichen Abmahnungen, Unterlassungs- erklärungen, Filesharing-Fällen oder Schadensersatzforderungen nach UrhG.
- abmahnung-uwgUnterstützt beim Verfassen und Prüfen von UWG-Abmahnungen nach § 13 UWG sowie der dazugehörigen modifizierten Unterlassungserklärung mit Vertragsstrafe und der Schutzschrift. Lädt, wenn ein Mandat eine wettbewerbsrechtliche Abmahnung, eine strafbewehrte Unterlassungserklärung oder eine Schutzschrift zum Gegenstand hat.
- abwaegungsgebot-1-abs-7-baugbPruefung des Abwaegungsgebots Paragraf 1 Abs. 7 BauGB als zentrale materielle Anforderung an den Bebauungsplan. Bei der Aufstellung sind die oeffentlichen und privaten Belange gerecht gegeneinander und untereinander abzuwaegen. Vier Stufen der Abwaegungsfehler nach BVerwG seit Urteil vom 12.12.1969 4 C 105.66. Abwaegungsausfall keine Abwaegung. Abwaegungsdefizit relevante Belange nicht eingestellt. Abwaegungsfehleinschaetzung Belange falsch gewichtet. Abwaegungsdisproportionalitaet Ergebnis sprengt Spielraum. Paragraf 214 Abs. 3 BauGB filtert nur Vorgangsfehler nicht Ergebnisfehler. Vorfestlegung als Abwaegungsausfall. Formelhafte Abwaegungsdokumentation als Abwaegungsdefizit. Abwaegungsmaterial muss vollstaendig ermittelt sein.
- account-sperre-soziales-netzwerk-rechtsbehelfe-art-20-23-dsaSkill zur anwaltlichen Vertretung bei Account-Sperre oder Inhaltsentfernung durch ein soziales Netzwerk. Stufenmodell: Art. 17 Begründungspflicht; Art. 20 internes Beschwerdesystem; Art. 21 außergerichtliche Streitbeilegung; Klageweg bei Vertragsstörung (BGH III ZR 179/20 und III ZR 192/20 vom 29.07.2021) auch gegen Auslandsanbieter; vorläufiger Rechtsschutz nach §§ 935 940 ZPO; Schadensersatz; Schnittstellen zu DSGVO Auskunft Löschung.
- aenderungs-historieVerfolgt, wie sich ein Vertrag über Basisvertrag und alle Nachträge hinweg verändert hat – entweder als Gesamtüberblick aller Änderungen oder als Klausel-Rückverfolgung für eine bestimmte Bestimmung. Laden, wenn der Nutzer fragt „was hat sich in diesem Vertrag geändert\", „zeig mir die Nachtragshistorie\", „wo steht die aktuelle [Klausel]\" oder mehrere Vertragsversionen hochlädt.
- ag-vorbereitungVorbereitung auf das Aufrufen in der Arbeitsgemeinschaft (AG) oder im Seminar. Lade diesen Skill bei Anfragen wie „AG-Vorbereitung\", „Seminar vorbereiten\", „was fragt der Dozent\", „Cold Call\" oder „ich werde morgen drangenommen\".
- agb-haendlervertrag-luxusAGB im Selektivvertrieb: AGB-Kontrolle §§ 305 ff. BGB im B2B, BGH-Klauselverbote, Verbots- und Konditionsklauseln, MFN-Klauseln nach Coty II, Vertragsstrafe-Bemessung. Laedt, wenn der Nutzer 'AGB Händler', 'Händlervertrag Luxus', 'MFN-Klausel', 'AGB-Kontrolle B2B' oder 'Vertriebsvertrag AGB' sagt.