Compliance · Spanisches Nationales Sicherheitsgrundgesetz

DPB Datenschutzbeauftragter: Pflicht und Aufgaben

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.

Wann der Datenschutzbeauftragte (DPB) verpflichtend ist, welche Funktionen er erfüllt, ob er extern sein darf und wie viel er kostet.

TL;DR · Zusammenfassung

Der Datenschutzbeauftragte (DPB; auf Spanisch DPD oder international DPO) ist eine Schlüsselfigur der DSGVO, deren Benennung für viele spanische Unternehmen verpflichtend ist. Die Verwirrung darüber, wer verpflichtet ist, welche Aufgaben er genau erfüllt und ob die Funktion ausgelagert werden kann, ist jedoch weit verbreitet. Diese Anleitung klärt alle Zweifel mit einem praktischen Ansatz.

Wann ist die Bestellung eines DPB verpflichtend?

Artikel 37 der DSGVO legt drei Fälle der Pflichtbenennung fest. Wenn die Verarbeitung von einer Behörde oder öffentlichen Einrichtung durchgeführt wird (ausgenommen Gerichte in Ausübung ihrer Justizfunktion). Wenn die Kerntätigkeiten regelmäßige und systematische Beobachtung Betroffener in großem Umfang erfordern. Und wenn die Kerntätigkeiten in der umfangreichen Verarbeitung besonderer Datenkategorien (Gesundheits-, biometrische Daten, Straftatdaten usw.) bestehen.

Die spanische LOPDGDD (Artikel 34) erweitert diese Liste deutlich um Berufskammern, Bildungseinrichtungen, Telekommunikationsanbieter, Anbieter der Informationsgesellschaftsdienste, die in großem Umfang Profile erstellen, Finanz- und Versicherungsunternehmen, private Sicherheitsfirmen, Sportverbände bei Minderjährigendaten und Gesundheitsdienstleister mit Patientenakten.

In der Praxis ernennen viele KMU einen DPB freiwillig als gute Praxis und Nachweis proaktiver Verantwortung gegenüber der AEPD.

Aufgaben des DPB

Die Aufgaben sind in Artikel 39 der DSGVO definiert. Er informiert und berät den Verantwortlichen und die Beschäftigten über ihre Pflichten. Er überwacht die Einhaltung der DSGVO und der internen Richtlinien einschließlich Verantwortungszuweisung, Schulung und Audits. Er berät zur Datenschutz-Folgenabschätzung (DSFA) und überwacht ihre Durchführung. Er kooperiert mit der Aufsichtsbehörde (AEPD) und fungiert als Kontaktstelle.

Ein zentraler Punkt: Der DPB ist nicht für die DSGVO-Erfüllung verantwortlich (diese Verantwortung liegt beim Verantwortlichen der Verarbeitung, also beim Unternehmen). Der DPB berät und überwacht, entscheidet aber nicht. Er muss funktionale Unabhängigkeit besitzen und darf wegen Ausübung seiner Aufgaben nicht benachteiligt werden.

Interner vs. externer DPB

Die DSGVO erlaubt sowohl einen internen DPB als auch einen externen DPB im Rahmen eines Dienstleistungsvertrags. Beide Optionen sind zulässig, und die Wahl hängt von Größe und Ressourcen ab.

Der interne DPB kennt die Organisation von innen und ist kontinuierlich verfügbar. Er muss jedoch die Unabhängigkeitsanforderungen erfüllen (er kann nicht der IT- oder HR-Leiter sein) und benötigt spezialisierte Schulung sowie kontinuierliche Aktualisierung; er verursacht fixe Kosten.

Der externe DPB bringt multisektorale Erfahrung, garantiert aktuelle Schulung, vollständige Unabhängigkeit und variable Kosten, die sich an den tatsächlichen Bedarf anpassen. In KMU ist diese Option am häufigsten.

Kosten des DPB

Ein interner DPB in Vollzeit verursacht Personalkosten zwischen 35.000 und 55.000 € jährlich, je nach Erfahrung und geografischer Lage. Ein externer DPB für ein KMU kostet typischerweise 2.000 bis 8.000 € pro Jahr, abhängig von Komplexität der Verarbeitungen, Datenvolumen und Aufwand.

Für Unternehmen, die auch ISO 27001 und das Spanische Nationale Sicherheitsgrundgesetz (ENS) erfüllen müssen, bietet ein Berater, der DPB-Funktion mit dem Management des Informationssicherheits-Managementsystems kombiniert, signifikante Effizienz.

Welche Kriterien für die Auswahl gelten?

Artikel 37.5 der DSGVO verlangt, dass der DPB nach beruflichen Qualifikationen und insbesondere nach Fachwissen im Datenschutzrecht benannt wird. Grundlegende Kriterien: zertifizierte Datenschutz-Ausbildung (von der AEPD oder anerkannten Stellen), praktische Erfahrung, Branchenkenntnis, klare Kommunikation und kontinuierliche Verfügbarkeit.

Mitteilung an die AEPD

Nach der Benennung muss die Identität und die Kontaktdaten des DPB der AEPD über die elektronische Geschäftsstelle mitgeteilt werden — auch für freiwillig benannte DPB. Die Kontaktdaten müssen veröffentlicht und Betroffenen zugänglich gemacht werden.

Weiterlesen zu ENS-Compliance

Benötigen Sie Unterstützung?

Beratung zur ENS-Anpassung

Maßgeschneiderte Beratung zur ENS-Anpassung. Erste Sitzung ohne Kosten.

Termin vereinbaren →

Häufig gestellte Fragen

Wie wirkt sich das auf mein KMU aus?

Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.

Wie hoch sind die Kosten 2026?

Richtwerte für KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR für die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.

Welche spanische Regelung gilt?

Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.

Wie lange dauert die Implementierung?

Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.

Kann es über Kit Digital oder Kit Consulting kofinanziert werden?

Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro