Externer Datenschutzbeauftragter: Bestellpflicht, Kosten und Auswahlkriterien

Art. 37 Abs. 6 DSGVO (Verordnung (EU) 2016/679) erlaubt ausdrücklich, einen Datenschutzbeauftragten auf der Grundlage eines Dienstleistungsvertrags zu bestellen. Der externe DSB hat dabei dieselben Pflichten und Rechte wie ein interner Beauftragter: Weisungsfreiheit nach Art. 38 Abs. 3 DSGVO, direkter Berichtspfad zur Leitungsebene, Verschwiegenheitspflicht, Unterstützungsanspruch gegenüber dem Verantwortlichen. Was sich unterscheidet, ist die Anstellungsstruktur – und damit häufig die faktische Unabhängigkeit.

Dieser Artikel erläutert, wann die Bestellpflicht besteht, warum viele Mittelständler die externe Lösung wählen, was ein externer DSB kostet, welche Vertragsklauseln unverzichtbar sind und wie die Bestellung formal korrekt vollzogen wird.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus zwei parallelen Normen: Art. 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG. Art. 37 DSGVO verpflichtet zur Bestellung, wenn die Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht oder wenn besondere Datenkategorien nach Art. 9 DSGVO verarbeitet werden. § 38 Abs. 1 BDSG senkt die Schwelle für Deutschland erheblich: Bereits ab 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind, ist ein DSB zu bestellen.

Die 20-Personen-Schwelle erfasst nicht nur Vollzeitkräfte: Auch Teilzeitkräfte, geringfügig Beschäftigte und Aushilfen zählen mit, sofern sie ständig automatisierte Datenverarbeitung durchführen. Ein mittelständisches Unternehmen mit 50 Mitarbeitern, in dem 20 oder mehr Personen regelmäßig CRM, ERP oder andere Systeme mit personenbezogenen Daten nutzen, ist bestellpflichtig.

Die Bestellpflicht gilt auch für Vereine, Stiftungen und öffentlich-rechtliche Einrichtungen. Nicht bestellpflichtige Unternehmen sollten dennoch prüfen, ob eine freiwillige Bestellung sinnvoll ist – insbesondere wenn Auftragsverarbeitungsverträge mit Kunden dies voraussetzen oder wenn eine ISO/IEC 27001:2022-Zertifizierung angestrebt wird. Weitere Informationen zu den Aufgaben des DSB finden Sie auf der CIVAC-Rollenübersicht für den Datenschutzbeauftragten.

Der interne DSB ist Mitarbeiter des Unternehmens, das ihn bestellt. Er kennt Prozesse, Systeme und Kulturen gut. Seine strukturellen Risiken: Er kann nicht Datenschutzbeauftragter und gleichzeitig IT-Leiter, HR-Leiter, Geschäftsführer oder CFO sein, da diese Rollen Interessenkonflikte nach Art. 38 Abs. 6 DSGVO begründen. Außerdem darf er nach Art. 38 Abs. 3 DSGVO wegen seiner DSB-Tätigkeit nicht entlassen oder benachteiligt werden – was interne Konsequenzen im Fall von Interessenkonflikten erschwert.

Der externe DSB bringt strukturelle Unabhängigkeit: Keine arbeitsrechtliche Abhängigkeit vom Verantwortlichen, keine Doppelrolle, kein Interessenkonflikt. Er ist typischerweise spezialisiert, kontinuierlich weitergebildet und haftet im Rahmen des Dienstleistungsvertrags. Sein Nachteil: Geringere Betriebskenntnis zu Beginn, höhere Kommunikationsanforderungen und – bei falsch gestalteten Verträgen – mangelnde Reaktionsfähigkeit bei Datenpannen.

Für Unternehmen ab 50 Mitarbeitern mit mehreren Verarbeitungstätigkeiten, CRM, Cloud-Diensten und Auftragsverarbeitungsportfolio ist der externe DSB in der Regel die effizientere Wahl. Der Break-even gegenüber einem halben internen Stellenäquivalent liegt bei den meisten Marktangeboten zwischen 400 und 600 Euro pro Monat.

Die Kosten eines externen DSB hängen vom Leistungsumfang, der Unternehmensgröße und der Verarbeitungskomplexität ab. Marktübliche Modelle für mittelständische Unternehmen liegen zwischen 250 und 1.200 Euro pro Monat. Die Preisspanne erklärt sich durch unterschiedliche Leistungstiefe: Ein reines Beratungspaket ohne aktiven Workspace unterscheidet sich strukturell von einem vollständigen DSB-Mandat mit Verfügbarkeitsgarantie, Datenpannen-Rufbereitschaft und monatlichem Bericht an die Geschäftsleitung.

Folgende Leistungskomponenten sollten bei einem externen DSB-Mandat vertraglich geregelt sein: monatlicher Statusbericht an die Geschäftsleitung; Erreichbarkeit bei Datenpannen innerhalb definierter Fristen; Aktualisierung des VVT bei Systemänderungen; Prüfung neuer AVV; jährliche Schulungsorganisation; Überprüfung der Datenschutzerklärung; Überprüfung der TOM. Mandate ohne diese Komponenten sind strukturell unvollständig, auch wenn sie preislich attraktiv wirken.

CIVAC bietet externen DSB über sein zertifiziertes Partnernetz an. Der CIVAC-Workspace bildet alle genannten Komponenten ab: Berichtslinie, Aufgaben-Tracking, Schulungsmodule und AVV-Register. Die Bestellung erfolgt innerhalb von zwei Werktagen – Vertrag, Person, Urkunde.

Der Vertrag mit einem externen DSB ist kein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, sondern ein Dienstleistungsvertrag nach §§ 611 ff. BGB. Er muss mindestens regeln: Aufgabenumfang (Beratung, Berichtspflicht, Schulungsorganisation, Datenpannen-Response); Vergütung und Abrechnungsmodell; Vertragslaufzeit und Kündigungsfristen; Vertretungsregelung bei Abwesenheit; Verschwiegenheitspflicht des externen DSB; Weisungsfreiheit nach Art. 38 Abs. 3 DSGVO; Haftungsregelung bei Pflichtverletzungen.

Besonders wichtig: Der Vertrag muss die Weisungsfreiheit des DSB explizit sicherstellen. Eine Klausel, die dem Auftraggeber erlaubt, die Arbeit des DSB zu steuern oder inhaltlich zu beschränken, unterläuft Art. 38 Abs. 3 DSGVO und macht die Bestellung angreifbar. Aufsichtsbehörden bewerten die faktische Unabhängigkeit – nicht nur den Vertragstext.

Die Vertretungsregelung bei Abwesenheit ist oft unterschätzt: Wenn der externe DSB erkrankt oder im Urlaub ist, muss sichergestellt sein, dass ein gleichwertiger Vertreter für Datenpannen erreichbar ist. Bei der 72-Stunden-Frist nach Art. 33 DSGVO kann eine fehlende Vertretungsregelung fatale Konsequenzen haben. Frist läuft ab Kenntnis.

Die Bestellung des DSB muss nach Art. 37 DSGVO nicht zwingend schriftlich erfolgen – in der Praxis ist die schriftliche Bestellurkunde jedoch der einzige verlässliche Nachweis. Die Urkunde sollte enthalten: Name und Kontaktdaten des bestellten DSB; Datum der Bestellung; Bestätigung der Aufgaben nach Art. 39 DSGVO; Bestätigung der Weisungsfreiheit nach Art. 38 Abs. 3 DSGVO; Bestätigung des direkten Berichtspfads zur höchsten Leitungsebene; Unterschrift des Verantwortlichen (Geschäftsführer).

Gegenüber der Aufsichtsbehörde ist der DSB nach Art. 37 Abs. 7 DSGVO zu melden: Name, Kontaktdaten und Institution des DSB sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen. In Deutschland erfolgt die Meldung bei der zuständigen Landesdatenschutzbehörde. Die meisten Behörden bieten ein Online-Meldeformular an.

Bestellurkunde, unterschrieben, abgelegt, belegbar. CIVAC stellt die Bestellurkunde als Standarddokument im Workspace bereit, das nach Bestellung des externen DSB sofort ausgefüllt, digital signiert und im Compliance-Dossier abgelegt werden kann. Kein PDF-Ordner, kein E-Mail-Anhang – sondern ein auditfester Nachweis.

Art. 37 Abs. 7 DSGVO verpflichtet den Verantwortlichen, den bestellten DSB zu veröffentlichen und seine Kontaktdaten der zuständigen Aufsichtsbehörde mitzuteilen. Zu veröffentlichen sind mindestens: Kontaktdaten des DSB (E-Mail-Adresse oder Postadresse), über die betroffene Personen den DSB direkt erreichen können. Name und Institution des DSB sind auf Anfrage mitzuteilen, müssen aber nicht öffentlich sichtbar sein.

Die Veröffentlichung erfolgt üblicherweise in der Datenschutzerklärung der Website. Dort sind Name oder Funktion des DSB sowie eine direkte Kontaktadresse anzugeben. Viele Unternehmen veröffentlichen lediglich eine generische E-Mail-Adresse wie datenschutz@unternehmen.de – das ist zulässig, sofern diese Adresse tatsächlich beim DSB eingeht.

Die Meldung an die Aufsichtsbehörde erfolgt in Deutschland formlos oder über das jeweilige Online-Portal der Landesbehörde. In Hamburg ist die zuständige Behörde der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI). Bei einem externen DSB ist zusätzlich sicherzustellen, dass die Kontaktdaten des tatsächlichen Beauftragten – nicht nur des Dienstleistungsunternehmens – veröffentlicht sind.

Art. 39 DSGVO definiert die Mindestaufgaben des DSB abschließend: Unterrichtung und Beratung des Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten über ihre Pflichten; Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften sowie der internen Strategien des Verantwortlichen; Beratung im Zusammenhang mit der Datenschutz-Folgeabschätzung nach Art. 35 DSGVO; Zusammenarbeit mit der Aufsichtsbehörde; Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in datenschutzbezogenen Fragen.

Diese Aufgaben sind gesetzlich definiert und können durch Vertrag nicht eingeschränkt werden. Ein externer DSB, der seine Tätigkeit auf vierteljährliche Berichte beschränkt und bei Datenpannen keine Rufbereitschaft anbietet, erfüllt die Anforderungen des Art. 39 DSGVO nicht vollständig.

Praktisch bedeutet das: Der DSB muss für das Unternehmen erreichbar sein – insbesondere in Krisensituationen wie Datenpannen oder Behördenanfragen. Ein externes Mandat ohne definierte Reaktionszeiten birgt strukturelle Risiken. Bei CIVAC sind Reaktionszeiten und Vertretungsregelungen Vertragsbestandteil.

Art. 38 Abs. 3 DSGVO schützt den DSB vor Abberufung oder Benachteiligung wegen seiner Aufgabenerfüllung. Das bedeutet nicht, dass ein Wechsel grundsätzlich ausgeschlossen ist – bei sachlichem Grund (Vertragsende, Kapazitäten, Spezialisierungsanforderungen) ist ein Wechsel zulässig. Zu beachten sind dabei: Übergabe des VVT und aller Datenschutzdokumentationen; Aktualisierung der Meldung an die Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO; Aktualisierung der Datenschutzerklärung; keine Schutzlücke bei laufenden Datenpannen-Verfahren oder Behördenanfragen.

Bei einem Wechsel von einem internen zu einem externen DSB ist zusätzlich zu klären: Wer hatte bisher Zugang zu welchen Datenschutzdokumentationen? Sind alle Dokumente vollständig übergeben worden? Gibt es laufende DSFA-Prozesse oder Betroffenenanfragen, die übergeben werden müssen?

Die CIVAC-Plattform bildet diesen Übergabeprozess strukturiert ab: Alle Dokumente, Fristen und laufenden Projekte liegen im Workspace und können ohne Informationsverlust an einen neuen Beauftragten übergeben werden. Kein Datenschutzdossier in lokalen Ordnern, das beim Ausscheiden des internen DSB verloren geht.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service für alle 25 Beauftragten-Rollen. Für den Datenschutzbeauftragten bedeutet das: Lizenzieren Sie den Workspace für Ihren internen DSB – oder bestellen Sie einen externen DSB aus dem zertifizierten CIVAC-Partnernetz. Beide Modelle nutzen dieselbe Plattform: Aufgaben-Tracking, Schulungsmodule mit Zertifikat, Audit-Vorlagen, Berichtslinie zur Geschäftsleitung und automatische Fristenverwaltung.

Der CIVAC-SLA: Vertrag, Person, Urkunde in zwei Werktagen. Statt der klassischen Vorlaufzeit von zwei bis sechs Wochen für die Suche, Prüfung und Vertragsgestaltung mit einem externen DSB kann die formale Bestellung bei CIVAC innerhalb von zwei Arbeitstagen abgeschlossen sein. Die Bestellurkunde liegt digital vor, ist revisionssicher abgelegt und erfüllt alle Anforderungen nach Art. 37 DSGVO und § 38 BDSG.

Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Der nächste Schritt ist ein 30-minütiges Gespräch, in dem der Umfang des DSB-Mandats und die Plattform-Konfiguration besprochen werden.