DSB extern bestellen: Wann externe Lösung dem internen Posten überlegen ist

Die Bestellung eines Datenschutzbeauftragten ist nach Art. 37 DSGVO und § 38 BDSG zwingend, sobald in einem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich wird. Wer die Frist versäumt, riskiert Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 DSGVO.

Viele Unternehmen entscheiden sich gegen die interne Besetzung und für einen externen Datenschutzbeauftragten. Dieser Beitrag erläutert, wann ein DSB extern bestellt werden muss, welche Kosten realistisch sind, wie Haftung und Berichtslinie geregelt sind und welche Qualifikationsnachweise Sie vor der Beauftragung prüfen sollten. Am Ende sehen Sie, wie sich Bestellung, Aufgabenkatalog und Nachweisführung in einem Compliance-Workspace operativ abbilden lassen.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich auf zwei Ebenen. Art. 37 Abs. 1 DSGVO verlangt einen DSB, wenn die Kerntätigkeit in einer umfangreichen regelmäßigen und systematischen Überwachung von Betroffenen oder in der Verarbeitung besonderer Kategorien nach Art. 9 DSGVO besteht. § 38 BDSG ergänzt die deutsche Schwelle: 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

In der Praxis ist die 20-Personen-Schwelle für den Mittelstand die häufigste Auslöserin. Mitgezählt werden Vollzeit, Teilzeit, Werkstudenten und freie Mitarbeiter, sofern sie regelmäßig mit Kunden-, Personal- oder Lieferantendaten arbeiten. Auch ein zweistündiges Pflegen einer CRM-Liste pro Tag erfüllt die Schwelle. Hinzu kommt die Pflicht zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, etwa bei Videoüberwachung im öffentlichen Raum, beim Einsatz von KI-Modellen zur Bewerberauswahl oder bei der systematischen Profilbildung im Online-Handel.

Der externe Datenschutzbeauftragte wird mit einer schriftlichen Bestellurkunde benannt, die Aufgaben, Befugnisse, Berichtslinie und Kündigungsmodalitäten regelt. Der Name und die Kontaktdaten sind nach Art. 37 Abs. 7 DSGVO der zuständigen Aufsichtsbehörde zu melden und im Impressum sowie in der Datenschutzerklärung zu veröffentlichen.

Die Entscheidung zwischen interner und externer Besetzung folgt vier Kriterien: Kostenstruktur, Verfügbarkeit qualifizierten Personals, Konfliktfreiheit und Haftungsverteilung.

Ein interner DSB ist sinnvoll, wenn das Unternehmen über 500 Beschäftigte hinaus wächst, mehrere Standorte betreibt oder besondere Datenkategorien in großem Umfang verarbeitet, etwa Kliniken oder große Personaldienstleister. Der interne DSB sitzt nah an Geschäftsleitung und Fachbereichen, kennt Prozesse und Schatten-IT, ist allerdings auf permanente Fortbildung angewiesen und darf wegen Art. 38 Abs. 6 DSGVO keine Aufgaben mit Interessenkonflikt ausüben. IT-Leitung, HR-Leitung und Geschäftsführung scheiden damit als Doppelrolle aus.

Die externe Lösung punktet dort, wo das Unternehmen unter 250 Beschäftigte zählt, Standorte verteilt sind oder spezialisierte Beratung etwa zu Auftragsverarbeitung in der Cloud, internationalen Datentransfers nach Kapitel V DSGVO oder zu Beschäftigtendatenschutz nach § 26 BDSG benötigt wird. Der externe DSB bringt Marktblick mit, ist weisungsfrei und bei mangelnder Leistung mit einer Kündigungsfrist von typischerweise drei Monaten austauschbar. Die Berichtslinie führt direkt zur Geschäftsleitung und ist in der Bestellurkunde fixiert. Konflikte mit dem operativen Tagesgeschäft entstehen seltener, weil der externe DSB keine Linienverantwortung trägt.

Der gesetzliche Mindestkatalog steht in Art. 39 DSGVO. Er umfasst die Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, die Überwachung der Einhaltung der DSGVO und sonstiger Datenschutzvorschriften, die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung sowie die Zusammenarbeit mit der Aufsichtsbehörde.

In der Umsetzung bedeutet das im ersten Jahr typischerweise: Aufnahme und Pflege des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO, Prüfung aller Auftragsverarbeitungsverträge nach Art. 28 DSGVO, Audit der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, Mitarbeiterschulung mit dokumentierter Teilnahme, Bearbeitung von Betroffenenanfragen nach Art. 12 bis 22 DSGVO und Etablierung des 72-Stunden-Meldeprozesses für Datenpannen nach Art. 33 DSGVO.

Ein externer DSB liefert diese Leistungen in der Regel als Jahrespaket mit definierten Stundenkontingenten, einem festen Ansprechpartner und einem Quartalsreport an die Geschäftsleitung. Wer die Operationalisierung beschleunigen möchte, nutzt eine Compliance-Plattform mit Audit-Vorlagen, Verzeichnis-Templates und vorbereitetem 72-Stunden-Meldepfad. Damit verkürzt sich die Einrichtungsphase auf wenige Wochen, und die Aufsichtsbehörde erhält im Anlassfall eine prüfbare Akte, nicht ein Sammelsurium aus E-Mail-Anhängen und Excel-Listen.

Die Vergütung externer Datenschutzbeauftragter folgt im deutschen Markt zwei Modellen. Erstens das Pauschalmodell mit monatlicher Flatrate, das Anfragen, Beratung, Schulung und einen festen Audit-Rhythmus abdeckt. Zweitens das Stundenmodell, bei dem ein Tagessatz zwischen 950 und 1.800 Euro abgerufen wird.

Für KMU mit 20 bis 100 Beschäftigten liegt die marktübliche Pauschale zwischen 250 und 700 Euro pro Monat. Unternehmen zwischen 100 und 500 Beschäftigten zahlen typischerweise 700 bis 1.500 Euro pro Monat, abhängig von Standortanzahl, Datenintensität und Branchenrisiko. Cloud-affine Tech-Unternehmen, Healthcare und HR-Dienstleister liegen am oberen Rand, klassische B2B-Industriebetriebe ohne Endkundendaten am unteren.

Preistreiber sind in der Reihenfolge ihrer Wirkung: Anzahl der Auftragsverarbeiter, internationale Datenübermittlungen außerhalb der EU, Einsatz von KI-Verfahren mit Personenbezug, hohe Mitarbeiterfluktuation und Branchen mit Aufsichtsbesuchen wie Gesundheit, Finanzen oder Pharma. Wer die Pauschale prüft, sollte den Stundensatz für Zusatzleistungen, die Reaktionszeit auf Datenpannen, die Schulungs-Frequenz und die Berichtspflichten transparent vertraglich fixieren. Versteckte Mehrkosten entstehen oft bei Audit-Begleitung, Behördenkorrespondenz und Vor-Ort-Terminen.

Der DSB ist nach Art. 38 Abs. 3 DSGVO weisungsfrei in der Ausübung seiner Aufgaben und berichtet unmittelbar der höchsten Leitungsebene. Diese Regelung trennt klar zwischen Verantwortung und Kontrolle: Der Verantwortliche bleibt der Inhaber der Verarbeitung und haftet bei Verstößen primär. Der DSB überwacht, dokumentiert und berät.

Eine eigenständige Haftung des externen DSB greift nur bei grober Pflichtverletzung, etwa wenn ein klar erkennbarer Verstoß nicht angezeigt wurde, eine Datenschutz-Folgenabschätzung trotz Pflicht unterblieben ist oder eine Datenpanne wider besseres Wissen verschwiegen wurde. In der Praxis sichern sich externe DSB durch eine Berufshaftpflicht mit Mindestdeckung von 1 Mio. Euro pro Schadensfall ab. Diese Police sollte der Auftraggeber sich vor Mandatserteilung vorlegen lassen.

Die Berichtslinie ist organisatorisch festzuhalten. Der externe DSB hat direkten Zugang zur Geschäftsführung, ist nicht der IT- oder HR-Leitung unterstellt und darf wegen Kritik oder eines Hinweises an die Aufsichtsbehörde nicht gekündigt werden. Die Kündigungsmodalitäten gehören in die Bestellurkunde, die ihrerseits Bestellurkunde, unterschrieben, abgelegt, belegbar in der Compliance-Akte liegen muss. Im Streitfall ist diese Akte das erste, was die Aufsichtsbehörde sehen will.

Art. 37 Abs. 5 DSGVO verlangt eine berufliche Qualifikation und Fachwissen auf dem Gebiet des Datenschutzrechts. Der Wortlaut ist offen, der Markt aber hat sich auf prüfbare Standards verständigt.

Mindeststandard ist eine TÜV-, ISACA- oder Udis-zertifizierte Ausbildung zum Datenschutzbeauftragten mit regelmäßigem Refresher. Bei komplexen Mandaten kommen IT-Sicherheits-Zertifikate hinzu, etwa Lead Auditor nach ISO/IEC 27001:2022 oder eine CISSP-Qualifikation. Juristische Vertiefung in IT-Recht ist bei Verfahren mit internationaler Datenübermittlung von Vorteil.

Neben Zertifikaten zählen drei operative Faktoren. Erstens die Branchenerfahrung: Wer Klinikketten betreut, kennt die Sondervorschriften nach § 22 BDSG und das Heilberufsrecht. Zweitens die Erreichbarkeit: Eine Reaktionszeit binnen 24 Stunden bei Datenpannen ist Marktstandard und gehört in den Vertrag. Drittens die Werkzeuge: Wer ein Verzeichnis von Verarbeitungstätigkeiten in einer E-Mail-Excel pflegt, ist nicht audit-fähig. Wer eine Compliance-Plattform mit Versionierung, Berechtigungskonzept und EU-Datenresidenz nutzt, dokumentiert prüfbar. Lassen Sie sich vor der Beauftragung Musteraudits, Berichtsmuster und einen Referenzkundenkontakt zeigen. Das filtert Anbieter, die nur Stunden verkaufen, von solchen, die belastbare Dokumentation liefern.

Ein professionelles Onboarding folgt einem klaren Rhythmus. In den ersten zwei Wochen erstellt der externe DSB eine Bestandsaufnahme: Welche Verarbeitungen gibt es, welche Auftragsverarbeiter sind angebunden, welche Drittlandtransfers existieren, welche technischen und organisatorischen Maßnahmen sind bereits dokumentiert.

In Woche drei bis sechs werden Verzeichnis und Auftragsverarbeitungsverträge konsolidiert. Lückenhafte Verträge nach Art. 28 DSGVO sind das häufigste Audit-Findung. Parallel werden die Betroffenenrechte-Prozesse aufgesetzt, also Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch. Eine SLA für Antwortfristen nach Art. 12 Abs. 3 DSGVO, also ein Monat ab Eingang, wird intern verankert.

In Woche sieben bis zwölf folgt der Mitarbeiter-Rollout: Pflichtschulung mit Teilnahme-Nachweis, Vertraulichkeitsverpflichtung nach Art. 28 Abs. 3 lit. b DSGVO und die Etablierung des 72-Stunden-Meldepfades für Datenpannen. Eine Compliance-Plattform mit fertigen Audit-Vorlagen verkürzt diesen Zeitraum erheblich, weil die Vorlagen für Verzeichnis, AVV-Prüfung und Schulungs-Nachweis nicht jedes Mal neu erfunden werden müssen. Am Ende der ersten 90 Tage liegt ein dokumentierter Stand vor, der einer Aufsichtsanfrage standhält. Der Prüfer ruft an, der Nachweis liegt bereit.

Der Datenschutzbeauftragte arbeitet nicht im Vakuum. Drei Schnittstellen sind operativ entscheidend.

Erste Schnittstelle ist der Informationssicherheitsbeauftragte. Die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO überschneiden sich erheblich mit den Controls nach ISO/IEC 27001:2022. Wer beide Rollen sauber abstimmt, vermeidet doppelte Dokumentation und nutzt Audit-Ergebnisse mehrfach. Wichtig ist, dass DSB und ISB nicht dieselbe Person sind, weil sich Aufgaben und Berichtslinien überlagern können.

Zweite Schnittstelle ist die interne Meldestelle nach Hinweisgeberschutzgesetz (HinSchG). Hinweise auf Datenschutzverstöße laufen häufig zuerst dort auf. Die Meldestelle muss vertraulich, weisungsfrei und mit eigener Eingangsdokumentation arbeiten. Der DSB ist Empfänger relevanter Meldungen, nicht Betreiber der Meldestelle.

Dritte Schnittstelle ist die Compliance-Funktion, etwa der Geldwäsche- oder LkSG-Beauftragte. Datenschutz ist Querschnitt: Mitarbeiterdaten, Lieferantenscreening, Risikoanalyse, Auskunftsrechte. In einer Compliance-Plattform mit gemeinsamer Rollen- und Aktenstruktur lassen sich diese Schnittstellen ohne Medienbruch dokumentieren. Die Akte des DSB enthält Verweise auf relevante Vorgänge anderer Rollen, ohne dass Originalakten dupliziert werden.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit Sitz in Deutschland und EU-Datenresidenz. Die Plattform deckt 25 Beauftragten-Rollen ab, darunter den Datenschutzbeauftragten, mit 37 einsatzbereiten Audit-Vorlagen, einem vorbereiteten 24/72-Meldepfad für Datenpannen und NIS-2-Vorfälle sowie einem zentralen Workspace für Bestellurkunde, Verzeichnis, AVV-Akte und Schulungs-Nachweise.

Sie haben zwei Wege, das einzusetzen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im ersten Fall arbeiten Ihre eigenen Datenschutzteams mit den Vorlagen, der Versionierung und dem Berechtigungskonzept. Im zweiten Fall übernimmt CIVAC die externe DSB-Funktion samt Bestellurkunde und Berichtslinie zur Geschäftsleitung. SLA-Standard ist die Aufnahme der Tätigkeit innerhalb von zwei Werktagen, dort wo klassische Suchprozesse zwei bis sechs Wochen brauchen.

Wenn Sie wissen wollen, wie eine prüfbare DSB-Akte in Ihrem Unternehmen konkret aussieht, kontaktieren Sie uns über das Kontaktformular oder schreiben an info@civac.de. Aus dem Lesen einen Auftrag machen.