DSB-Pflicht ist 2026 für viele deutsche Klein-KMU unklar — Schwellen, Ausnahmen, Spezial-Fälle. Wer fälschlich keinen DSB bestellt, riskiert Bußgelder bis 4 % Jahresumsatz. Wer überflüssig bestellt, verschwendet Geld. Dieser Guide klärt strukturiert die DSB-Bestellungs-Pflicht-Schwellen 2026 für Klein-KMU. Für günstige Bestellung lohnt der Blick auf Hugo DSB Lite ab 79 €/Monat.
20-MA-Schwelle
§ 38 BDSG: ab 20 MA mit regelmäßiger Datenverarbeitung.
Art. 9 DSGVO
Bei besonderen Datenkategorien Pflicht unabhängig von MA-Zahl.
Kerntätigkeit
Bei Datenverarbeitung als Kerntätigkeit Pflicht ab 1 MA.
Lite-Tarif
2026 ab 79 €/Monat für Klein-KMU bis 15 MA — günstigste Lösung.
Wann ist DSB-Bestellung 2026 wirklich Pflicht?
| Konstellation | DSB-Pflicht? |
|---|---|
| 20+ MA mit regelmäßiger Datenverarbeitung | Ja, § 38 BDSG |
| Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) | Ja, unabhängig von MA-Zahl |
| Datenverarbeitung als Kerntätigkeit | Ja, Art. 37 Abs. 1 b DSGVO |
| Behörden und öffentliche Einrichtungen | Ja, Art. 37 Abs. 1 a DSGVO |
| Praxen, Pflege, Healthcare | Ja, immer (Art. 9) |
| Anwaltskanzleien (Mandantengeheimnis) | Faktisch immer |
| Online-Shops mit Tracking | Oft ja, je nach Umfang |
| SaaS-Anbieter mit Auftragsverarbeitung | Oft ja, je nach Größe |
Wichtig: „Regelmäßige Datenverarbeitung“ ist weit auszulegen — schon E-Mail, Buchhaltung, Kundenverwaltung zählt. Praktisch fast alle KMU ab 20 MA sind DSB-pflichtig. Bei besonderen Datenkategorien greift Pflicht unabhängig von MA-Zahl — viele Klein-Praxen mit 3-5 MA brauchen DSB.
„Wir sehen 2026 viele Klein-KMU, die fälschlich denken, DSB ist erst ab 50 MA Pflicht. Schwelle ist 20 MA, bei besonderen Datenkategorien sogar unabhängig von MA-Zahl. Hugo DSB Lite ab 79 €/Monat schließt die Lücke für Klein-KMU mit minimal-Compliance-Bedarf.“
— Nils Oehmichen, Geschäftsführer der frag.hugo Informationssicherheit GmbH
FAQ — DSB-Bestellungs-Pflicht
Ab welcher MA-Zahl ist DSB Pflicht?
§ 38 BDSG: 20 MA mit regelmäßiger Datenverarbeitung. Bei besonderen Datenkategorien (Gesundheits-, religiöse Daten) Pflicht unabhängig von MA-Zahl.
Brauche ich als Online-Shop mit 8 MA einen DSB?
Oft ja. Tracking-Cookies, Marketing-Automation, Kunden-Daten machen Datenverarbeitung „regelmäßig“ — und bei Profilbildung greift Art. 37 Abs. 1 b DSGVO unabhängig von MA-Zahl.
Brauchen Klein-Praxen einen DSB?
Ja, fast immer. Verarbeitung von Gesundheits-Daten (Art. 9) macht DSB-Pflicht unabhängig von MA-Zahl. Selbst Einzelpraxis mit 2-3 MA.
Was kostet günstigster DSB 2026?
Hugo DSB Lite-Tarif ab 79 €/Monat für Klein-KMU bis 15 MA. Self-Service-Plattform mit TÜV-zertifiziertem DSB im Hintergrund. Günstigster Markt-Einstieg.
Was passiert ohne DSB-Bestellung?
Bußgeld bis 4 % Jahresumsatz nach Art. 83 DSGVO. Plus Haftungs-Risiken bei Datenpannen. HmbBfDI prüft fehlende DSB-Bestellung als ersten Punkt.
Kann ich Geschäftsführer als interner DSB einsetzen?
Möglich, aber problematisch. Interessenkonflikt zwischen Geschäftsführung und Datenschutz-Aufsicht. Externer DSB strukturell überlegen und meist günstiger.
Fazit: DSB-Pflicht 2026 ist häufiger als gedacht
20-MA-Schwelle + Art. 9 DSGVO + Kerntätigkeits-Klausel machen DSB-Pflicht für viele Klein-KMU relevant. Hugo DSB Lite-Tarif ab 79 €/Monat schließt die Lücke. Lohnt der Blick auf Hugo DSB Lite ab 79 €/Monat.
Autor auf der Webseite cpsecure.de. Hier schreibt Herr Schmitz über IT-Sicherheit in der Cloud.