Zum Inhalt
Arbeiten Sie intelligenter mit unserer neuen, verbesserten Navigation!
Erfahren Sie, wie IO die Einhaltung von Vorschriften vereinfacht. Lesen Sie den Blog
ISMS.online

So weisen Sie die Einhaltung von Artikel 38 der DSGVO nach

Artikel 38 der DSGVO erläutert die Rolle und die Verantwortlichkeiten des Datenschutzbeauftragten (DSB). Er betont dessen Unabhängigkeit, seine Einbindung in Datenschutzangelegenheiten und seine Erreichbarkeit für betroffene Personen, während er gleichzeitig die Vermeidung von Interessenkonflikten und die Einhaltung der DSGVO-Vorschriften gewährleistet.

Autorin
David Holloway
Aktualisiert September 30, 2025
4 / 5 Sterne

Wichtige Anforderungen des Artikels 38 der DSGVO: Was Unternehmen wissen müssen

Im Anschluss an Artikel 37, der sich mit dem befasst einen Termin ausmachen eines Datenschutzbeauftragten, Datenschutz Artikel 38 beschreibt die kann über ihre Aufgaben, ihre Position in der Organisation und einige spezifische Aufgaben und Pflichten.

DSGVO Artikel 38 Gesetzestext

EU-DSGVO-Version

Position des Datenschutzbeauftragten

  1. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und rechtzeitig in alle Fragen, die den Schutz personenbezogener Daten betreffen, einbezogen wird.
  2. Der Verantwortliche und Auftragsverarbeiter unterstützt den Datenschutzbeauftragten bei der Wahrnehmung der in Artikel 39 genannten Aufgaben, indem er die für die Wahrnehmung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen bereitstellt und sein Fachwissen aufrechterhält.
  3. Der Verantwortliche und Auftragsverarbeiter stellt sicher, dass der Datenschutzbeauftragte hinsichtlich der Wahrnehmung dieser Aufgaben keine Weisungen erhält. Er oder sie darf vom Verantwortlichen oder Auftragsverarbeiter für die Erfüllung seiner Aufgaben nicht entlassen oder bestraft werden. Der Datenschutzbeauftragte berichtet direkt an die oberste Führungsebene des Verantwortlichen bzw. Auftragsverarbeiters.
  4. Betroffene Personen können sich bei allen Fragen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte gemäß dieser Verordnung an den Datenschutzbeauftragten wenden.
  5. Der Datenschutzbeauftragte ist bei der Wahrnehmung seiner Aufgaben gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verschwiegenheit oder Vertraulichkeit verpflichtet.
  6. Der Datenschutzbeauftragte kann weitere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder Auftragsverarbeiter stellt sicher, dass solche Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Britische DSGVO-Version

Position des Datenschutzbeauftragten

  1. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und rechtzeitig in alle Fragen, die den Schutz personenbezogener Daten betreffen, einbezogen wird.
  2. Der Verantwortliche und Auftragsverarbeiter unterstützt den Datenschutzbeauftragten bei der Wahrnehmung der in Artikel 39 genannten Aufgaben, indem er die für die Wahrnehmung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen bereitstellt und sein Fachwissen aufrechterhält.
  3. Der Verantwortliche und Auftragsverarbeiter stellt sicher, dass der Datenschutzbeauftragte hinsichtlich der Wahrnehmung dieser Aufgaben keine Weisungen erhält. Er oder sie darf vom Verantwortlichen oder Auftragsverarbeiter für die Erfüllung seiner Aufgaben nicht entlassen oder bestraft werden. Der Datenschutzbeauftragte berichtet direkt an die oberste Führungsebene des Verantwortlichen bzw. Auftragsverarbeiters.
  4. Betroffene Personen können sich bei allen Fragen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte gemäß dieser Verordnung an den Datenschutzbeauftragten wenden.
  5. Der Datenschutzbeauftragte ist bei der Wahrnehmung seiner Aufgaben gemäß den innerstaatlichen Rechtsvorschriften zur Verschwiegenheit oder Verschwiegenheit verpflichtet.
  6. Der Datenschutzbeauftragte kann weitere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder Auftragsverarbeiter stellt sicher, dass solche Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Technischer Kommentar

Artikel 38 der DSGVO befasst sich mit drei Haupttätigkeitsbereichen, die den Umfang der Aufgaben eines Datenschutzbeauftragten innerhalb der Organisation betreffen:

  1. Das spezifische Rolle des Datenschutzbeauftragten innerhalb der Organisation und wie er am Schutz der Daten einer Person beteiligt ist.
  2. Die Bedeutung der Aufrechterhaltung Unparteilichkeit und Vertraulichkeit bei der Erfüllung ihrer Aufgaben, frei von unangemessener Kontrolle oder Einmischung durch die Unternehmensleitung.
  3. Die Notwendigkeit, jegliches zu vermeiden Interessenskonflikte, wenn der Datenschutzbeauftragte eine andere Rolle innerhalb der Organisation ausübt, die entweder mit seinen Pflichten als Datenschutzbeauftragter zusammenhängt oder nicht.

ISO 27701 Abschnitt 6.3.1.1 (Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit) und EU-DSGVO Artikel 38

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6).

Organisationen sollten Rollen und Verantwortlichkeiten definieren, die spezifisch für einzelne Funktionen sind, die in ihrer Datenschutzrichtlinie enthalten sind – sowohl in ihrer allgemeinen Richtlinie als auch in themenspezifischen Richtlinien.

Personen mit besonderen Verantwortlichkeiten sollten über ausreichende Qualifikationen für die Durchführung datenschutzbezogener Aufgaben verfügen und kontinuierliche Unterstützung erhalten, die ein akzeptables Kompetenzniveau gewährleistet.

Zu den Verantwortungsbereichen sollten gehören:

  • Der Schutz personenbezogener Daten und aller datenschutzbezogenen Vermögenswerte.
  • Durchführung von Verfahren zum Schutz der Privatsphäre.
  • PII-bezogene Risikomanagementaktivitäten, einschließlich Abhilfemaßnahmen.
  • Jeder, der die Informationen und Daten der Organisation nutzt, einschließlich der Nutzung von IKT-Ressourcen.
  • Personen mit höchster Verantwortung für den Datenschutz, die Aufgaben an andere delegieren.

ISO erkennt an, dass jede Organisation in der Art und Weise, wie sie Informationen verarbeitet, einzigartig ist. Die oben genannten Verantwortungsbereiche sollten von standort- und einrichtungsspezifischen Richtlinien begleitet werden, die reale Faktoren berücksichtigen, die sich auf den PII-Verarbeitungsvorgang einer Organisation auswirken.

Alle oben genannten Verantwortlichkeiten und Sicherheitsbereiche sollten klar dokumentiert und allen relevanten Mitarbeitern zugänglich gemacht werden.

Organisationen sollten eine Person benennen, die Kunden (und externen Behörden) als dedizierter Ansprechpartner für alle PII-bezogenen Angelegenheiten nutzen kann (siehe ISO 27701 Abschnitt 7.3.2).

Darüber hinaus sollten Organisationen die Verantwortung für den Aufbau eines organisatorischen Datenschutz-Governance-Programms, das die Einhaltung lokaler und nationaler PII-Gesetze und -Vorschriften unterstützt, an eine oder mehrere Personen delegieren.

Unterstützende ISO 27701-Klauseln

  • ISO 27701 7.3.2


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


ISO 27701 Klausel 6.10.2.4 (Vertraulichkeits- oder Geheimhaltungsvereinbarungen) und EU-DSGVO Artikel 38 (5)

Bei der Ausarbeitung, Umsetzung und Pflege von NDAs sollten Organisationen:

  • Bieten Sie eine Definition für die Informationen an, die geschützt werden sollen.
  • Geben Sie die voraussichtliche Laufzeit der Vereinbarung klar an.
  • Geben Sie alle erforderlichen Maßnahmen klar an, sobald eine Vereinbarung beendet wurde.
  • Alle Verantwortlichkeiten, die von bestätigten Unterzeichnern vereinbart wurden.
  • Eigentum an Informationen (einschließlich geistigem Eigentum und Geschäftsgeheimnissen).
  • Wie Unterzeichner die Informationen nutzen dürfen.
  • Beschreiben Sie klar und deutlich das Recht der Organisation, vertrauliche Informationen zu überwachen.
  • Alle Konsequenzen, die sich aus der Nichteinhaltung ergeben.
  • Überprüfen Sie regelmäßig ihre Vertraulichkeitsbedürfnisse und passen Sie zukünftige Vereinbarungen entsprechend an.

Vertraulichkeitsgesetze variieren von Gerichtsbarkeit zu Gerichtsbarkeit, und Organisationen sollten bei der Ausarbeitung von NDAs und Vertraulichkeitsvereinbarungen ihre eigenen rechtlichen und behördlichen Verpflichtungen berücksichtigen (siehe ISO 27002 Steuerelemente 5.31, 5.32, 5.33 und 5.34).

Unterstützung von ISO 27002-Kontrollen

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

Index der verknüpften EU-DSGVO-Artikel, ISO 27701-Klauseln und ISO 27002-Kontrollen

DSGVO-Artikel ISO 27701-Klausel ISO 27002-Kontrollen
EU-DSGVO Artikel 38 (1) bis 38 (6) ISO 27701 6.3.1.1
ISO 27701 7.3.2 		Non
EU-DSGVO Artikel 38 (5) ISO 27701 6.10.2.4 ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34

Wie ISMS.online hilft

DSGVO-Konformität mit ISMS.online

Unser „Adopt, Adapt, Add“-Implementierungsansatz auf der ISMS.online-Plattform macht es Ihnen leicht, Ihren DSGVO-Compliance-Ansatz zu demonstrieren. Darüber hinaus profitieren Sie von leistungsstarken zeitsparenden Funktionen.

Für den Fall, dass das Schlimmste passiert, sind Sie vorbereitet. Indem wir jeden Vorfall dokumentieren und daraus lernen, erleichtern wir Ihnen die Planung und Kommunikation Ihres Arbeitsablaufs bei Sicherheitsverletzungen.

Erfahren Sie mehr von eine Demo buchen.

David Holloway

, Chief Marketing Officer

David Holloway ist Chief Marketing Officer bei ISMS.online und verfügt über mehr als vier Jahre Erfahrung in den Bereichen Compliance und Informationssicherheit. Als Teil des Führungsteams konzentriert sich David darauf, Unternehmen dabei zu unterstützen, sich sicher in komplexen regulatorischen Umgebungen zurechtzufinden und Strategien zu entwickeln, die Geschäftsziele mit wirkungsvollen Lösungen in Einklang bringen. Er ist außerdem Co-Moderator des Podcasts „Phishing For Trouble“, in dem er sich mit spektakulären Cybersicherheitsvorfällen befasst und wertvolle Erkenntnisse vermittelt, die Unternehmen dabei helfen, ihre Sicherheits- und Compliance-Praktiken zu stärken.

LinkedIn

DSGVO-Artikel

DSGVO im Detail

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Bereit, um loszulegen?

Beratungstermin vereinbaren