Wann brauche ich einen Datenschutzbeauftragten im DACH-Raum?

Ein Datenschutzbeauftragter hält ein Tablet in der Hand.

Datenschutzbeauftragte (DSB) sind in vielen Unternehmen Pflicht – aber längst nicht überall. Die Anforderungen unterscheiden sich in Deutschland, Österreich und der Schweiz deutlich. Während in Deutschland bereits ab einer bestimmten Mitarbeiterzahl ein*e DSB vorgeschrieben ist, bleibt es in Österreich bei den EU-Vorgaben, und in der Schweiz ist die Bestellung sogar freiwillig. Doch wann genau muss ein Unternehmen im DACH-Raum tätig werden – und wann nicht? 

Inhaltsverzeichnis

Bestellungspflicht bei nationaler Tätigkeit

Vorgaben der DSGVO 

Für die private Wirtschaft schreibt Art. 37 DSGVO vor, einen Datenschutzbeauftragten (DSB) zu benennen, wenn: 

  • die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen erfordern, oder 
  • die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht (z. B. Gesundheitsdaten, biometrische Daten, politische Meinungen). 

Nationale Gesetze in Deutschland 

Das deutsche Bundesdatenschutzgesetz geht über die DSGVO hinaus. § 38 Abs. 1 BDSG (DE) verlangt die Bestellung eines DSB insbesondere dann, wenn: 

  • mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, 
  • die Verarbeitung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegt, oder 
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. 

Nationale Gesetze in Österreich 

Das österreichische DSG enthält keine zusätzlichen Vorgaben zur Bestellung eines Datenschutzbeauftragten über die DSGVO hinaus. § 5 DSG verweist lediglich auf die DSGVO-Bestimmungen, ohne sie zu erweitern. 

Nationale Gesetze in der Schweiz 

Die Schweiz ist kein EU-Mitglied, daher gilt die DSGVO dort nicht. Seit September 2023 regelt das revidierte Datenschutzgesetz (revDSG) die Rolle des/der Datenschutzberater*in in Art. 10 DSG. Die Ernennung ist freiwillig, kann aber Vorteile bringen – etwa den Wegfall der Pflicht zur Konsultation des EDÖB vor einer Datenschutz-Folgenabschätzung, sofern eine Meldung erfolgt. 

Anwendbares Daten­schutz­recht bei grenz­über­schreitender Tätigkeit

Bei grenzüberschreitender Geschäftstätigkeit innerhalb des DACH-Raums stellt sich die Frage, welches Datenschutzrecht Anwendung findet – insbesondere, wenn Unternehmen ihren Sitz in einem Land haben, aber in andere Länder der Region verkaufen. 

Wann gilt die DSGVO? 

Gemäß Art. 3 Abs. 1 DSGVO müssen Online-Händler*innen mit einem Sitz innerhalb der EU die DSGVO grundsätzlich beachten. Das Gleiche gilt für Unternehmer*innen aus Drittländern, die über eine Niederlassung in der EU agieren.  

→ Deutsche und österreichische Händler*innen müssen die DSGVO also stets beachten.  

Gemäß Art. 3 Abs. 1 DSGVO gilt die Verordnung für Unternehmen mit Sitz in der EU. Art. 3 Abs. 2 erweitert den Anwendungsbereich auf Unternehmen außerhalb der EU, wenn sie: 

  • Waren oder Dienstleistungen an Personen in der EU/EWR anbieten, oder 
  • das Verhalten von Personen in der EU/EWR beobachten (z. B. durch Tracking oder Profiling). 

→ Schweizer Unternehmen unterliegen der DSGVO, wenn sie sich an Kund*innen in Deutschland oder Österreich richten – etwa durch Versandoptionen, deutschsprachige Webseiten oder Preise in Euro. 

Wann gilt das deutsche BDSG? 

Ähnliche Regelungen enthält das deutsche BDSG und gilt für Unternehmer*innen, die personenbezogene Daten innerhalb Deutschlands (d.h. über ihren Sitz oder ihre Niederlassung in Deutschland) verarbeiten. Sie gilt aber auch dann, wenn der Unternehmer keinen Sitz bzw. keine Niederlassung in der EU bzw. in dem EWR hat und die DSGVO Anwendung findet. 

→ Schweizer Unternehmen müssen das BDSG beachten, wenn sie Deutschland als Zielmarkt wählen. Österreichische Unternehmen hingegen fallen nicht unter das BDSG, auch wenn sie deutsche Kundschaft adressieren. 

Wann gilt das revidierte Schweizer Datenschutzgesetz? 

Das revDSG gilt für Unternehmen mit Sitz in der Schweiz oder für solche, die Daten von Personen mit Wohnsitz in der Schweiz verarbeiten – auch ohne Sitz in der Schweiz, sofern sie Leistungen in der Schweiz anbieten (Art. 3 revDSG). 

→ Deutsche und österreichische Unternehmen, die sich an schweizer Kund*innen richten, sollten die Anforderungen des revDSG ebenfalls berücksichtigen. 

Unser Tipp  

Prüfe vor grenzüberschreitender Datenverarbeitung, ob die DSGVO für dein Unternehmen greift und ob du einen Datenschutzbeauftragten bestellen musst. Selbst eine freiwillige Benennung kann Risiken reduzieren und das Vertrauen deiner Kundschaft stärken. 

21.10.25

Weitere relevante Artikel

Pakete auf einer EU-Flagge

Cross Border: So verkaufst du rechtssicher ins EU-Ausland

 Einkaufswagen mit Paketen auf einer französischen Flagge

EPR-Regelungen in Frankreich 2025: Beachte diese Neuerungen

 Französin hält ein Laptop in der Hand.

Frankreich: Impressum korrekt gestalten – sonst wird’s teuer!

Weitere interessante Blog-Artikel

Cross-Border Handel in Legal

Wann brauche ich einen Datenschutzbeauftragten im DACH-Raum?

Datenschutzbeauftragte (DSB) sind in vielen Unternehmen Pflicht, doch die Anforderungen unterscheiden sich in Deutschland, Österreich und der Schweiz.

Jetzt lesen
4min. Lesezeit  |  21.10.25
Online-Handel , Cross-Border Handel in Legal

Cross Border: So verkaufst du rechtssicher ins EU-Ausland

Wer ins EU-Ausland verkauft, sollte bestimmte Regeln kennen, um Abmahnungen, Bußgelder oder Kundenstreitigkeiten zu vermeiden.

Jetzt lesen
4min. Lesezeit  |  14.10.25
Abmahnung in Legal

Warenkorb-Erinnerungen: Abmahnfallen oder Marketinginstrument?

Warenkorberinnerungen sind angesagt. Doch sind sie auch zulässig? Wir haben das beliebte Marketingmittel aus rechtlicher Sicht unter die Lupe genommen.

Jetzt lesen
8min. Lesezeit  |  07.10.25
Land auswählen:
DE
BE CZ ES FR IT NL AT PL CH PT RO UK COM

© 2025 Trusted Shops SE Impressum Datenschutz Cookies