Zum Inhalt
Arbeiten Sie intelligenter mit unserer neuen, verbesserten Navigation!
Erfahren Sie, wie IO die Einhaltung von Vorschriften vereinfacht. Lesen Sie den Blog
ISMS.online

So weisen Sie die Einhaltung von Artikel 37 der DSGVO nach

Die Einhaltung von Artikel 37 der DSGVO erklärt, wann Organisationen einen Datenschutzbeauftragten (DSB) ernennen müssen. Dabei werden wichtige Kriterien wie Behörden, groß angelegte Überwachung und die Verarbeitung besonderer Kategorien von Daten dargelegt und gleichzeitig die erforderliche Fachkompetenz des DSB hervorgehoben.

Autorin
David Holloway
Aktualisiert September 30, 2025
4 / 5 Sterne

Anforderungen an Datenschutzbeauftragte verstehen: Einhaltung von Artikel 37 der DSGVO

Datenschutzbeauftragte sind ein grundlegender Bestandteil der umfassenderen Cyber-Sicherheitsmaßnahmen eines Unternehmens.

Datenschutz Artikel 37 betont die Bedeutung der Rolle und bietet Leitlinien dazu, wie ein Datenschutzbeauftragter ernannt werden sollte, welche Kernaktivitäten die Rolle ausübt und wie solche Ernennungen kommuniziert werden.

DSGVO Artikel 37 Gesetzestext

EU-DSGVO-Version

Benennung des Datenschutzbeauftragten

  1. Der Verantwortliche und der Auftragsverarbeiter benennen in jedem Fall einen Datenschutzbeauftragten:

    • (a) die Verarbeitung durch eine öffentliche Behörde oder Stelle durchgeführt wird, mit Ausnahme von Gerichten, die in ihrer rechtsprechenden Funktion handeln;
    • (b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht aus Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder
    • (c) Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Datenkategorien gemäß Artikel 9 und personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10.
  2. Eine Unternehmensgruppe kann einen einzigen Datenschutzbeauftragten benennen, sofern ein Datenschutzbeauftragter von jedem Betrieb aus leicht erreichbar ist.
  3. Handelt es sich bei dem Verantwortlichen oder Auftragsverarbeiter um eine Behörde oder Stelle, kann unter Berücksichtigung ihrer Organisationsstruktur und Größe ein einziger Datenschutzbeauftragter für mehrere dieser Behörden oder Stellen benannt werden.
  4. In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder Auftragsverarbeiter oder Verbände und andere Stellen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen bzw. müssen einen Datenschutzbeauftragten benennen, sofern dies nach dem Recht der Union oder des Mitgliedstaats erforderlich ist. Der Datenschutzbeauftragte kann für solche Verbände und andere Vertretungsorgane von Verantwortlichen oder Auftragsverarbeitern tätig werden.
  5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualitäten und insbesondere seiner Fachkenntnisse über Datenschutzgesetze und -praktiken sowie der Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben ernannt.
  6. Der Datenschutzbeauftragte kann Mitarbeiter des Verantwortlichen oder Auftragsverarbeiters sein oder die Aufgaben auf Grundlage eines Dienstleistungsvertrages wahrnehmen.
  7. Der Verantwortliche bzw. Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese der Aufsichtsbehörde mit.

Britische DSGVO-Version

Benennung des Datenschutzbeauftragten

  1. Der Verantwortliche und der Auftragsverarbeiter benennen in jedem Fall einen Datenschutzbeauftragten:

    • (a) die Verarbeitung durch eine öffentliche Behörde oder Stelle durchgeführt wird, mit Ausnahme von Gerichten, die in ihrer rechtsprechenden Funktion handeln;
    • (b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht aus Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder
    • (c) Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Datenkategorien gemäß Artikel 9 und personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10.
  2. Eine Unternehmensgruppe kann einen einzigen Datenschutzbeauftragten benennen, sofern ein Datenschutzbeauftragter von jedem Betrieb aus leicht erreichbar ist.
  3. Handelt es sich bei dem Verantwortlichen oder Auftragsverarbeiter um eine Behörde oder Stelle, kann unter Berücksichtigung ihrer Organisationsstruktur und Größe ein einziger Datenschutzbeauftragter für mehrere dieser Behörden oder Stellen benannt werden.
  4. In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder Auftragsverarbeiter oder Verbände und andere Stellen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen. Der Datenschutzbeauftragte kann für solche Verbände und andere Vertretungsorgane von Verantwortlichen oder Auftragsverarbeitern tätig werden.
  5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualitäten und insbesondere seiner Fachkenntnisse über Datenschutzgesetze und -praktiken sowie der Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben ernannt.
  6. Der Datenschutzbeauftragte kann Mitarbeiter des Verantwortlichen oder Auftragsverarbeiters sein oder die Aufgaben auf Grundlage eines Dienstleistungsvertrages wahrnehmen.
  7. Der Verantwortliche bzw. Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese dem Beauftragten mit.


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Technischer Kommentar

DSGVO Artikel 37 beschreibt 7 Schlüsselbereiche, die Organisationen bei der Ernennung und Verwaltung der Aktivitäten eines berücksichtigen müssen Datenschutzbeauftragter:

  1. Die zugrunde liegende Verpflichtung zur Bestellung eines Datenschutzbeauftragten.
  2. Das Recht, einen Datenschutzbeauftragten für große Konzernunternehmen zu ernennen.
  3. Die Möglichkeit für Gruppen von Organisationen, einen einzigen Datenschutzbeauftragten zu ernennen, der auf ihre gemeinsamen Verpflichtungen und ihre Organisationsstruktur eingeht.
  4. Besondere Umstände, die die Ernennung eines DSB (Vermittler zwischen Organisationen und Regierungsbehörden) erfordern.
  5. Das Fachwissen des Datenschutzbeauftragten, einschließlich aller relevanten rechtlichen und betrieblichen Erfahrungen.
  6. Beauftragen Sie die Pflichten des Datenschutzbeauftragten, anstatt ihn intern zu ernennen.
  7. Bereitstellung der Kontaktdaten eines Datenschutzbeauftragten für jeden, der sie benötigt und der gesetzlich berechtigt ist, sie zu erhalten.

ISO 27701 Abschnitt 6.3.1.1 (Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit) und EU-DSGVO Artikel 37

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 37 (1)(a), 37 (1)(b), 37 (1)(c), 37 (2), 37 (3), 37 (4), 37 (5). ), 37 (6), 37(7)

Organisationen sollten Rollen und Verantwortlichkeiten definieren, die spezifisch für einzelne Funktionen sind, die in ihrer Datenschutzrichtlinie enthalten sind – sowohl in ihrer allgemeinen Richtlinie als auch in themenspezifischen Richtlinien.

Personen mit besonderen Verantwortlichkeiten sollten über ausreichende Qualifikationen für die Durchführung datenschutzbezogener Aufgaben verfügen und kontinuierliche Unterstützung erhalten, die ein akzeptables Kompetenzniveau gewährleistet.

Zu den Verantwortungsbereichen sollten gehören:

  • Der Schutz personenbezogener Daten und aller datenschutzbezogenen Vermögenswerte.
  • Durchführung von Verfahren zum Schutz der Privatsphäre.
  • PII-bezogene Risikomanagementaktivitäten, einschließlich Abhilfemaßnahmen.
  • Jeder, der die Informationen und Daten der Organisation nutzt, einschließlich der Nutzung von IKT-Ressourcen.
  • Personen mit höchster Verantwortung für den Datenschutz, die Aufgaben an andere delegieren.

ISO erkennt an, dass jede Organisation in der Art und Weise, wie sie Informationen verarbeitet, einzigartig ist. Die oben genannten Verantwortungsbereiche sollten von standort- und einrichtungsspezifischen Richtlinien begleitet werden, die reale Faktoren berücksichtigen, die sich auf den PII-Verarbeitungsvorgang einer Organisation auswirken.

Alle oben genannten Verantwortlichkeiten und Sicherheitsbereiche sollten klar dokumentiert und allen relevanten Mitarbeitern zugänglich gemacht werden.

Organisationen sollten eine Person benennen, die Kunden (und externen Behörden) als dedizierter Ansprechpartner für alle PII-bezogenen Angelegenheiten nutzen kann (siehe ISO 27701 Abschnitt 7.3.2).

Darüber hinaus sollten Organisationen die Verantwortung für den Aufbau eines organisatorischen Datenschutz-Governance-Programms, das die Einhaltung lokaler und nationaler PII-Gesetze und -Vorschriften unterstützt, an eine oder mehrere Personen delegieren.

Unterstützende ISO 27701-Klauseln

  • ISO 27701 7.3.2

Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln

DSGVO-Artikel ISO 27701-Klausel Unterstützende Klauseln der ISO 27701
EU-DSGVO Artikel 37 (1)(a) bis 37 (7) ISO 27701 6.3.1.1 ISO 27701 7.3.2

Wie ISMS.online hilft

Ihre komplette DSGVO-Lösung.

Unsere vorgefertigte Umgebung fügt sich nahtlos in Ihr Managementsystem ein und ermöglicht es Ihnen, Ihren Ansatz zum Schutz Ihrer europäischen und britischen Kundendaten zu beschreiben und zu demonstrieren.

Mit ISMS.online können Sie ganz einfach ein Datenschutzniveau nachweisen, das über „angemessen“ hinausgeht, und das alles an einem sicheren, immer verfügbaren Ort.

Erfahren Sie mehr von eine Demo buchen.

David Holloway

, Chief Marketing Officer

David Holloway ist Chief Marketing Officer bei ISMS.online und verfügt über mehr als vier Jahre Erfahrung in den Bereichen Compliance und Informationssicherheit. Als Teil des Führungsteams konzentriert sich David darauf, Unternehmen dabei zu unterstützen, sich sicher in komplexen regulatorischen Umgebungen zurechtzufinden und Strategien zu entwickeln, die Geschäftsziele mit wirkungsvollen Lösungen in Einklang bringen. Er ist außerdem Co-Moderator des Podcasts „Phishing For Trouble“, in dem er sich mit spektakulären Cybersicherheitsvorfällen befasst und wertvolle Erkenntnisse vermittelt, die Unternehmen dabei helfen, ihre Sicherheits- und Compliance-Praktiken zu stärken.

LinkedIn

DSGVO-Artikel

DSGVO im Detail

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Bereit, um loszulegen?

Beratungstermin vereinbaren