KI-Datenschutzbeauftragter 2026: Brauche ich einen extra DSB nur für KI?

Die Frage taucht in jeder zweiten Geschäftsleitungssitzung auf, sobald das erste ernsthafte KI-Projekt ansteht: Brauchen wir jetzt einen eigenen Datenschutzbeauftragten nur für KI? Die kurze Antwort lautet nein. Weder die DSGVO noch der EU AI Act verlangen einen separaten KI-Datenschutzbeauftragten. Es gibt genau eine Rolle des Datenschutzbeauftragten im Unternehmen, und diese Rolle ist für sämtliche Datenverarbeitungen zuständig, KI eingeschlossen. Die längere und wichtigere Antwort: Dein bestehender DSB braucht KI-Kompetenz, oder du brauchst einen externen DSB, der diese Kompetenz mitbringt.

Auf einen Blick: Es gibt keine gesetzliche Pflicht zu einem separaten KI-DSB. Pflicht zur Bestellung eines DSB nach Art. 37 DSGVO und § 38 BDSG besteht ab 20 Personen mit ständiger automatisierter Datenverarbeitung, bei Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO als Kerntätigkeit oder bei systematischer umfangreicher Überwachung. KI-Einführungen können diese Schwellen schneller auslösen. Ein KI-Recruiting-Tool mit Mitarbeiter-Scoring kann die Überwachungsschwelle treffen, eine KI im Gesundheitssektor die Schwelle für Art. 9. Praxis-Workflow: bestehenden DSB mit zweitägiger KI-Compliance-Fortbildung qualifizieren oder externen Berater mit KI-Schwerpunkt zusätzlich beauftragen. Kosten externer DSB mit KI-Expertise: 200 bis 500 Euro pro Monat für kleine KMU, 800 bis 2.500 Euro pro Monat für mittelständische Unternehmen.

Was DSGVO und BDSG wirklich verlangen

Art. 37 DSGVO ist die zentrale Norm für die DSB-Pflicht. Drei Fälle sind dort genannt, in denen ein Unternehmen einen Datenschutzbeauftragten benennen muss.

Erstens, wenn die Kerntätigkeit des Verantwortlichen in einer Verarbeitung besteht, die wegen ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht. Zweitens, wenn die Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO besteht oder von Daten über strafrechtliche Verurteilungen nach Art. 10. Drittens, wenn das Unternehmen eine Behörde oder öffentliche Stelle ist.

Für deutsche Unternehmen ist die wichtigste Norm aber § 38 BDSG. Deutschland hat die DSB-Pflicht im nationalen Recht deutlich verschärft. Sobald in einem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines DSB Pflicht. Diese 20-Personen-Schwelle ist niedrig, und sie ist in der Praxis schnell erreicht. Die DSGVO-Schwellen aus Art. 37 gelten zusätzlich, unabhängig von der Personenzahl.

Die 20-Personen-Schwelle nach § 38 BDSG zählt alle Mitarbeiter, die personenbezogene Daten in nennenswerter Form digital verarbeiten. CRM-Pflege, HR-System, Buchhaltung, Lohnabrechnung, E-Mail-Bearbeitung mit Kundenkommunikation, alles zählt mit. Ab dem ersten Tag, an dem du den 20. Mitarbeiter mit dauerhaftem Zugriff auf eines dieser Systeme hast, brauchst du einen DSB.

Warum KI-Einführungen die Pflicht beschleunigen

Selbst Unternehmen, die unter 20 Mitarbeitern bleiben, können durch eine KI-Einführung in die DSB-Pflicht rutschen. Die beiden relevanten Hebel sitzen in Art. 37 DSGVO.

Ein KI-CRM mit umfassendem Mitarbeiter-Scoring, das die Aktivität jedes Vertrieblers in Echtzeit auswertet, Performance-Trends modelliert und Vorhersagen zu Krankheits- oder Kündigungswahrscheinlichkeit trifft, fällt unter systematische umfangreiche Überwachung. Wenn das die Kerntätigkeit deines Unternehmens betrifft, greift Art. 37 unabhängig von der Personenzahl. Bei einer Werbeagentur mit fünf Mitarbeitern und einem solchen Tool muss ein DSB her.

Eine KI im Gesundheitssektor verarbeitet praktisch zwangsläufig besondere Datenkategorien nach Art. 9 DSGVO. Diagnose-Vorschläge auf Basis von Patientendaten, Bildanalyse in der Radiologie, Sprachsynthese für Patientenkommunikation, all das berührt Gesundheitsdaten. Sobald das Kerntätigkeit ist, greift Art. 37 Abs. 1 lit. c. Die Praxis sieht das auch bei kleineren Praxen so, sobald die KI strukturell und nicht nur sporadisch eingesetzt wird.

Auch außerhalb dieser Klassiker gibt es Stolperfallen. Ein KI-Recruiting-Tool, das automatisiert Bewerber bewertet, fällt nicht nur unter den EU AI Act Hochrisiko-Anhang III, sondern berührt regelmäßig besondere Datenkategorien, weil Lebensläufe und Anschreiben Hinweise auf ethnische Herkunft, Religion oder Gewerkschaftszugehörigkeit enthalten können. Ein Chatbot für Mitarbeiter, der psychische Belastungssituationen erkennen soll, läuft direkt in Gesundheitsdaten. Wer das einführt, sollte vorher mit dem DSB sprechen, nicht hinterher.

Was ein DSB können muss und 2026 zusätzlich braucht

Art. 37 Abs. 5 DSGVO formuliert die Anforderung an den DSB knapp: Er wird auf Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Plus die Fähigkeit, die Aufgaben aus Art. 39 zu erfüllen.

In der Praxis heißt das: Datenschutzrecht in der Tiefe, technisches Grundverständnis von IT-Systemen, methodisches Wissen über Datenschutz-Folgenabschätzungen, Verzeichnisse von Verarbeitungstätigkeiten und Auftragsverarbeitungsverträge. Ein DSB, der nur die Paragraphen kennt, aber technisch passt-er-irgendwie-schon agiert, wird in einem KI-Setup schnell überfordert sein.

Was 2026 dazukommt: Grundzüge des EU AI Act, ein technisches Verständnis dafür, wie Machine-Learning-Modelle Daten verarbeiten, was ein Foundation Model von einem domänenspezifischen Modell unterscheidet, wie Prompts und Outputs datenschutzrechtlich zu bewerten sind. Dazu das EU-US Data Privacy Framework, weil ein großer Teil der genutzten KI-Tools über US-Anbieter läuft. Die Prüfung von Auftragsverarbeitungsverträgen mit Cloud-Anbietern ist Standardgeschäft geworden.

Ein DSB, der seit 2018 dieselben Risiken in denselben Excel-Tabellen pflegt, wird in einer KI-getriebenen Organisation Probleme bekommen. In der Praxis ist das oft ein größeres Thema als auf dem Papier. Wir sehen bei Beratungsprojekten regelmäßig, dass der bestehende DSB eines Mittelständlers fachlich solide war, aber die KI-Welle in den letzten zwölf Monaten an ihm vorbeigegangen ist. Das ist kein Vorwurf, das ist eine Fortbildungslücke, die geschlossen werden muss.

Die Unabhängigkeit des DSB nach Art. 38 Abs. 3 DSGVO bleibt der zweite zentrale Pfeiler. Der DSB darf in seinen Datenschutzaufgaben nicht weisungsgebunden sein, er hat direkten Berichtsweg zur Geschäftsleitung. Wer das in der Organisationsstruktur unterläuft, riskiert die Anerkennung der DSB-Position bei einer Aufsichtsbehörde.

Intern oder extern

Ein interner DSB ist ein Mitarbeiter mit einer Doppelrolle. Vorteil: er kennt das Unternehmen, sitzt nah an den Prozessen, ist im Tagesgeschäft verfügbar. Nachteil: Interessenkonflikte sind möglich, vor allem wenn die Hauptrolle Macht in der IT-Organisation hat. Ein interner DSB, der gleichzeitig IT-Leiter ist, kann die eigene Abteilung schwer wirksam kontrollieren. Die Aufsichtsbehörden haben das mehrfach kritisiert.

Ein externer DSB ist ein Berater oder eine Kanzlei, die die DSB-Aufgaben vertraglich übernimmt. Vorteil: fachliche Tiefe durch viele Mandate parallel, klare Trennung von operativem Geschäft, oft günstiger als eine interne Vollzeit-Rolle. Nachteil: weniger Nähe zum Tagesgeschäft, abhängig von der Erreichbarkeit des externen Partners.

Für KMU bis etwa 200 Mitarbeitern ist der externe DSB in den meisten Fällen die effizientere Wahl. Die fixe interne Stelle lohnt sich erst bei Unternehmen, in denen Datenschutz täglich umfangreich Thema ist und die Nähe zum Tagesgeschäft entscheidend ist. Konzerne mit mehreren tausend Mitarbeitern haben oft eine Mischform: ein interner Konzern-DSB, ergänzt durch externe Spezialisten für bestimmte Themenfelder.

Die Kostenstrukturen unterscheiden sich erheblich. Interner DSB als Vollzeitrolle: 60.000 bis 90.000 Euro Jahresbruttogehalt plus Sozialabgaben, dazu Fortbildung und Tools. Interner DSB als Doppelrolle mit 20 bis 40 Prozent Zeitanteil: anteilig kalkulieren. Externer DSB für ein kleines KMU mit 30 Mitarbeitern: typisch 200 bis 500 Euro pro Monat. Externer DSB für ein mittelständisches Unternehmen mit 100 bis 300 Mitarbeitern und mehreren KI-Projekten: 800 bis 2.500 Euro pro Monat.

Was eine DSFA mit KI zu tun hat

Art. 35 DSGVO verpflichtet zur Datenschutz-Folgenabschätzung, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Bei KI ist das die Regel, nicht die Ausnahme.

Automatisierte Entscheidungen mit erheblicher Wirkung auf die betroffene Person, systematische Bewertung persönlicher Aspekte, umfangreiche Verarbeitung besonderer Datenkategorien oder Daten zu strafrechtlichen Verurteilungen, alles Konstellationen, die eine DSFA auslösen. Die Aufsichtsbehörden haben Listen veröffentlicht, in denen typische KI-Anwendungen aufgeführt sind: Bewerbermanagement mit automatisierter Vorauswahl, Bonitätsbewertung, Profiling für Marketingzwecke, Predictive Maintenance mit Personendatenbezug, Mitarbeiter-Monitoring.

Art. 35 Abs. 2 DSGVO bestimmt, dass der DSB bei der Durchführung der DSFA mitwirken muss. Das ist keine Empfehlung, das ist eine ausdrückliche Vorgabe. Die DSFA-Pflicht und die DSB-Mitwirkung verzahnen sich also bei jeder relevanten KI-Einführung. Wer eine DSFA macht und den DSB nicht einbindet, hat einen formalen Mangel, den die Aufsichtsbehörde sofort feststellen würde.

Praktisch heißt das: Schon bevor das KI-Projekt gestartet wird, muss der DSB einbezogen sein. Wer mit einem Anbieter den Vertrag unterschreibt und dem DSB drei Wochen später die DSFA auf den Tisch legt, hat den Prozess falsch herum aufgesetzt. Die DSFA gehört in die Phase vor der Beschaffungsentscheidung, nicht in die Phase vor dem Go-live.

Verzahnung mit dem EU AI Act

Der EU AI Act bringt eigene Folgenabschätzungspflichten. Art. 27 AI Act fordert für bestimmte Hochrisiko-KI-Systeme eine Grundrechte-Folgenabschätzung, im englischen Original Fundamental Rights Impact Assessment, kurz FRIA. Die FRIA richtet sich an Anwender, nicht an Hersteller, und betrifft öffentliche Stellen sowie Anwender von KI in bestimmten Hochrisiko-Konstellationen aus Anhang III.

Inhaltlich überlappen DSFA und FRIA in vielen Aspekten, sind aber rechtlich getrennt. Die DSFA fokussiert auf Datenschutz, die FRIA auf alle Grundrechte. In der Praxis lassen sich beide Folgenabschätzungen integriert führen, sie müssen aber als zwei getrennte Dokumentationen mit unterschiedlichen Rechtsgrundlagen geführt werden, sonst greift eine Aufsichtsbehörde im Zweifel den schwächeren Teil an.

Hier wird die Bedeutung von KI-Kompetenz beim DSB konkret. Ein DSB, der die KI-VO nicht kennt, kann FRIA-Themen nicht sauber von DSFA-Themen abgrenzen. Er wird entweder zu viel oder zu wenig in seine DSFA aufnehmen. Beide Varianten sind angreifbar.

Praxis-Beispiel: Mittelständler aus Stuttgart

Ein Maschinenbauunternehmen aus Stuttgart mit 80 Mitarbeitern führt ein KI-Recruiting-Tool ein. Das Tool screent Bewerbungen, extrahiert relevante Skills, schlägt eine Vorauswahl vor und empfiehlt Bewerber für Interviews. Bisher hatte das Unternehmen eine externe DSB mit Schwerpunkt Marketing-Datenschutz und Webanalyse, für 600 Euro pro Monat.

Die DSB-Pflicht bestand bereits vor der KI-Einführung, weil über 20 Mitarbeiter ständig mit personenbezogenen Daten arbeiten. Mit dem KI-Recruiting-Tool kommt aber Substanz dazu, die das bisherige DSB-Mandat fachlich nicht abdeckt. Automatisierte Bewerber-Vorauswahl ist Hochrisiko nach EU AI Act Anhang III, eine DSFA ist nach Art. 35 DSGVO praktisch unausweichlich, eine FRIA nach Art. 27 AI Act kommt dazu. Dazu kommt der Auftragsverarbeitungsvertrag mit dem KI-Anbieter, die Prüfung der TOM, die Auseinandersetzung mit dem Modelltraining auf möglicherweise voreingenommenen Daten, das Recht der Bewerber auf Nicht-Unterwerfung unter ausschließlich automatisierte Entscheidungen nach Art. 22 DSGVO.

Die bisherige DSB hatte schlicht keine Kapazität und keine fachliche Tiefe für dieses Themenfeld. Die Geschäftsführung entscheidet sich für eine doppelte Lösung. Die bisherige DSB bleibt formal die bestellte Person, bekommt aber die Aufgabe, die KI-Themen zu koordinieren, statt sie selbst zu bearbeiten. Zusätzlich wird ein externer KI-DSB-Berater mit Schwerpunkt KI-Compliance verpflichtet, der bei DSFA, FRIA, AVV-Prüfung und laufender Begleitung des KI-Projekts unterstützt.

Aus Sicht der Geschäftsführung sind die Mehrkosten Pflicht-Investition, nicht Komfort. Ein Bußgeld nach Art. 83 DSGVO bei automatisierter Bewerber-Vorauswahl ohne ordentliche DSFA und ohne menschliche Letztentscheidung kann schnell sechsstellig werden. Plus die Reputationsfrage, wenn ein abgelehnter Bewerber die Vorauswahl gerichtlich anficht. Die 900 Euro pro Monat sind in dieser Rechnung trivial.

Wichtig in der Konstruktion: Die formell bestellte DSB bleibt eine Person. Es gibt nicht plötzlich zwei DSB, einen für Marketing und einen für KI. Der KI-Berater agiert als externer Spezialist, der die DSB fachlich unterstützt, aber nicht in der DSB-Rolle handelt. Diese Trennung muss vertraglich sauber geregelt sein, sonst entsteht ein Konflikt mit der Bestellungsfreiheit und Unabhängigkeit der eigentlichen DSB.

Was wir bei KMU regelmäßig sehen

Drei Muster wiederholen sich.

Der bestehende DSB wird nicht eingebunden. Die Geschäftsleitung kauft ein KI-Tool, der DSB erfährt davon Wochen später, die DSFA wird im Nachhinein gebastelt, die FRIA gar nicht. Wenn dann eine Aufsichtsbehörde fragt, fallen die Versäumnisse direkt auf.

Der bestehende DSB hat keine KI-Fortbildung. Er ist seit fünf Jahren auf Stand 2020, kann DSGVO im Schlaf, aber ML, LLMs und Foundation Models sind ihm fremd. Die Folge sind formal saubere, aber inhaltlich oberflächliche DSFAs, die das eigentliche Risiko nicht erfassen.

Die Geschäftsleitung glaubt, die KI-Anbieter würden das schon richtig machen. Der Anbieter liefert das Tool und vielleicht einen Standard-AVV. Was passiert, wenn Beschäftigte oder Bewerber Rechte aus Art. 15 bis 22 DSGVO geltend machen, ist im Anbieter-Vertrag oft nicht klar geregelt. Wer das nicht selbst regelt, haftet selbst.

Der Praxis-Workflow, der gut funktioniert, sieht so aus: Bestehenden DSB in eine zweitägige KI-Compliance-Fortbildung schicken, plus laufende Begleitung durch einen externen Spezialisten für die ersten zwölf Monate. Nach dem ersten Jahr ist klar, ob der bestehende DSB die KI-Themen selbst stemmen kann oder ob die externe Begleitung dauerhaft bleibt. Bei klassischen Mittelständlern bleibt die externe Begleitung in der Regel, weil neue KI-Projekte schneller hinzukommen, als der interne DSB sich einarbeiten kann.

Detailfragen zur Vertragsgestaltung mit KI-Anbietern, insbesondere die Prüfung von Auftragsverarbeitungsverträgen für KI-Dienste, sind in der Praxis einer der häufigsten Stolperpunkte. Wer das richtig aufsetzen will, findet im Artikel zum KI-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO die Checkliste mit den Vertragspunkten, die in jedem AVV für KI-Tools stehen müssen.

Was passiert, wenn du keinen DSB hast

Wer trotz Pflicht keinen DSB benennt, riskiert ein Bußgeld nach Art. 83 Abs. 4 DSGVO von bis zu 10 Millionen Euro oder bis zu 2 Prozent des Jahresumsatzes. In der Praxis sind die verhängten Bußgelder bei kleinen Unternehmen meist im fünfstelligen Bereich, bei größeren Verstößen sechsstellig. Die Aufsichtsbehörden prüfen die DSB-Frage routinemäßig, sobald sie sich mit einem Unternehmen befassen, sei es wegen einer Beschwerde, einer Datenschutzverletzung oder einer Routineprüfung.

Neben dem Bußgeld kommt das Reputationsproblem. Eine Datenschutzverletzung mit anschließender Meldung an die Aufsichtsbehörde wird oft öffentlich. Wenn dabei herauskommt, dass das Unternehmen nicht einmal die DSB-Pflicht eingehalten hat, schlägt das medial deutlich härter ein als der eigentliche Vorfall. Wer eine ernsthafte KI-Strategie hat und damit Vertrauen aufbauen will, kann sich das nicht leisten.

Die Bestellung eines DSB ist auch dann sinnvoll, wenn die Pflicht formal nicht greift. Viele Aufsichtsbehörden sehen die freiwillige Bestellung positiv, weil sie eine professionelle Organisation des Datenschutzes signalisiert. Bei Datenpannen wird das in der Bußgeldbemessung berücksichtigt.

Häufige Fragen

Muss ich meinen DSB irgendwo melden? Ja. Nach Art. 37 Abs. 7 DSGVO müssen die Kontaktdaten des DSB veröffentlicht werden und der Aufsichtsbehörde gemeldet werden. In Deutschland geschieht die Meldung an die jeweils zuständige Landes-Aufsichtsbehörde. Die Meldung erfolgt typischerweise über ein Online-Formular der Behörde und ist gebührenfrei. Wer den DSB wechselt, muss die Änderung ebenfalls melden. Die Veröffentlichung auf der eigenen Website oder im Impressum ist Standard.

Kann ich Geschäftsführer und DSB in einer Person sein? Nein. Die Aufsichtsbehörden lehnen das einhellig ab, weil ein klarer Interessenkonflikt besteht. Wer das Unternehmen leitet, kann nicht gleichzeitig die Einhaltung des Datenschutzes durch dieses Unternehmen unabhängig überwachen. Das Gleiche gilt für IT-Leiter, Personalleiter, Marketingleiter und Compliance-Officer, wenn deren Hauptrolle in Konflikt mit der DSB-Funktion stehen kann. Eine Bestellung trotz solcher Konflikte ist rechtlich unwirksam, das Unternehmen wird so behandelt, als hätte es keinen DSB benannt.

Was ist der Unterschied zwischen DSB und KI-Beauftragten? Der DSB ist eine gesetzliche Rolle nach DSGVO und BDSG mit klar definierten Aufgaben und Schutzrechten. Den KI-Beauftragten gibt es als eigene gesetzliche Rolle bislang nicht, weder im EU AI Act noch in deutschem Recht. Manche Unternehmen führen freiwillig eine interne Rolle KI-Beauftragter ein, um KI-Compliance zu koordinieren. Diese Rolle ist organisatorisch sinnvoll, ersetzt aber nicht den DSB und unterliegt nicht denselben Schutzregeln. Wer eine solche Rolle schafft, sollte die Verantwortlichkeiten klar von der DSB-Rolle abgrenzen, damit keine Doppelarbeit oder, schlimmer, Lücken entstehen.

Wer haftet bei DSGVO-Verstoß durch KI-Tool? Der Verantwortliche nach Art. 4 Nr. 7 DSGVO, also typischerweise das Unternehmen, das die KI einsetzt. Der DSB persönlich haftet nur in sehr engen Ausnahmefällen, etwa bei grober Pflichtverletzung. Der KI-Anbieter haftet, wenn er Auftragsverarbeiter ist, gemäß Art. 28 und 82 DSGVO im Rahmen seiner Verarbeitungspflichten. In der Praxis trägt das Unternehmen das wirtschaftliche Risiko, weil ein Anbieter selten in der Lage ist, ein Millionen-Bußgeld auszugleichen, und die Reputationsfolgen sowieso beim Unternehmen liegen. Eine sauber dokumentierte DSFA, ein wirksamer AVV und eine nachweisbare DSB-Einbindung sind die wichtigsten Schutzmechanismen.

Wie schnell muss ich nach KI-Einführung den DSB einbinden? Vor der Einführung, nicht danach. Art. 35 Abs. 2 DSGVO macht das klar, der DSB ist bei der DSFA einzubeziehen, und die DSFA ist vor Verarbeitungsbeginn durchzuführen. Praktisch heißt das: Schon in der Auswahlphase, wenn du zwischen mehreren KI-Anbietern entscheidest, gehört der DSB an den Tisch. Spätestens wenn du den Anbietervertrag prüfst, muss er die AVV-Pflichten kontrollieren. Wer den DSB erst sieht, wenn das Tool schon läuft, hat formal einen Verstoß und inhaltlich eine viel schlechtere Verhandlungsposition gegenüber dem Anbieter.

Reicht eine zweitägige KI-Fortbildung wirklich aus? Für den Einstieg ja. Sie deckt typischerweise EU AI Act Grundlagen, Risikoklassen, Verzahnung mit DSGVO, FRIA versus DSFA, AVV-Besonderheiten bei KI-Diensten und praktische Fallbeispiele ab. Was eine zweitägige Fortbildung nicht leistet, ist tiefe technische Kompetenz in ML-Modellen oder Spezialthemen wie Differential Privacy. Für KMU mit Standard-KI-Einsatz reicht der Einstieg meistens. Bei komplexen KI-Projekten, etwa eigenem Modell-Training mit großen Datenmengen oder Einsatz in Hochrisiko-Bereichen, ist zusätzliche Spezialexpertise sinnvoll.

Für KMU, die ihre internen Mitarbeiter in KI-Compliance qualifizieren wollen, lohnt der Blick auf den Digitalisierungsmanager als geförderten Weiterbildungsabschluss. Das Curriculum deckt Datenschutz und KI-Compliance gemeinsam ab und qualifiziert die Mitarbeiter, die in deinem Unternehmen die KI-Projekte tragen werden, von der Toolauswahl über die DSFA-Mitwirkung bis zur laufenden Compliance-Begleitung an der Seite des DSB.