Externer DSB: Bestellung, Pflichten und Kosten im belegbaren Rahmen

Ein externer Datenschutzbeauftragter ist nach Art. 37 Abs. 6 DSGVO ausdrücklich zulässig und in deutschen Unternehmen mit mehr als 20 Personen, die regelmäßig personenbezogene Daten automatisiert verarbeiten, nach § 38 BDSG häufig sogar verpflichtend. Die Praxis zeigt jedoch: Die Bestellung allein reicht nicht. Aufsichtsbehörden fordern bei Prüfungen die Bestellurkunde, ein dokumentiertes Aufgabenprofil, einen direkten Berichtsweg zur Geschäftsleitung und einen lückenlosen Nachweis, dass der DSB tatsächlich tätig war. Ohne diese vier Elemente kollabiert das Mandat in der ersten ernsten Prüfung, unabhängig davon, ob die bestellte Person fachlich qualifiziert ist oder nicht.

Dieser Beitrag ordnet die Funktion ein, beziffert den realistischen Kostenrahmen für kleine, mittlere und große Unternehmen und beschreibt die Schnittstellen zu IT-Sicherheit, Personalwesen und Marketing. Er erklärt, warum ein externer DSB die persönliche Haftung der Geschäftsführung nach § 43 BDSG und § 130 OWiG senkt, ohne sie aufzuheben, und welche Anforderungen Art. 38 DSGVO an Unabhängigkeit und Weisungsfreiheit stellt. Am Ende steht eine klare Entscheidungshilfe: interner Beauftragter im lizenzierten Workspace oder bestellter externer DSB. CIVAC liefert beides aus einer Hand, ohne dass Sie zwischen Aktenschrank und Plattform wählen müssen. Wer nach diesem Beitrag noch unsicher ist, hat zumindest die Begriffe, um ein belastbares Angebot von einem unbelastbaren zu unterscheiden, und das ist in einem fragmentierten Markt mehr als die halbe Miete.

Die DSGVO benennt in Art. 37 Abs. 1 drei Konstellationen, in denen ein Datenschutzbeauftragter zwingend zu bestellen ist: öffentliche Stellen, Unternehmen mit Kerntaetigkeit in der umfangreichen regelmäßigen und systematischen Beobachtung von Betroffenen sowie Unternehmen, die im grossen Umfang besondere Datenkategorien nach Art. 9 DSGVO verarbeiten. Deutschland verschaerft diese Vorgaben in § 38 BDSG: Sobald in einem Unternehmen mindestens 20 Personen staendig mit der automatisierten Verarbeitung personenbezogener Daten beschaeftigt sind, ist ein DSB zu benennen. Die 20-Personen-Schwelle wird in der Praxis fast immer erreicht, weil bereits Personalverwaltung, Vertrieb und Buchhaltung darunter fallen. Saisonkraefte und Werkstudenten zaehlen mit, wenn sie regelmäßig auf Verarbeitungen zugreifen.

Empfohlen ist die Bestellung darueber hinaus, wenn Auftragsverarbeitungen außerhalb des EWR stattfinden, wenn Marketing-Automation und Cookie-Banner eingesetzt werden oder wenn das Unternehmen mit Krankenkassen, Kliniken oder öffentlichen Auftraggebern arbeitet. Auch der Einsatz von KI-gestuetzten HR-Tools, Bewerbermanagement-Systemen mit Scoring und der zunehmende Bezug von Drittlandsdiensten für Kommunikation und Analyse erhoehen das Schutzbeduerfnis. Ein externer DSB ist in all diesen Faellen die ressourcenschonendere Variante, weil keine interne Person freigestellt und fortgebildet werden muss. Die Aufsichtsbehoerden akzeptieren externe Bestellungen ausdruecklich; die Landesbeauftragte für Datenschutz Bayern weist in ihren Hinweisen sogar darauf hin, dass externe Mandate die in Art. 38 DSGVO geforderte Unabhängigkeit oft leichter sicherstellen koennen, weil keine arbeitsvertragliche Bindung dem Weisungsfreiheitsgebot entgegensteht. CIVAC bestellt den externen Datenschutzbeauftragten innerhalb von zwei Werktagen, inklusive Bestellurkunde, Aufgabenprofil und Anbindung an die Berichtslinie zur Geschäftsfuehrung. Die Bestandsaufnahme der Verarbeitungstaetigkeiten erfolgt parallel und mindet das Risiko, dass eine Aufsichtsbehoerde bei einer Erstpruefung das fehlende VVT moniert.

Art. 39 DSGVO listet fuenf Kernaufgaben: Unterrichtung und Beratung der Verantwortlichen, Überwachung der Einhaltung der DSGVO, Schulung des Personals, Beratung im Zusammenhang mit Datenschutz-Folgenabschaetzungen sowie Zusammenarbeit mit der Aufsichtsbehoerde. Diese fuenf Aufgaben muessen in der operativen Realitaet in nachvollziehbare Artefakte übersetzt werden, sonst bleibt das Mandat eine Behauptung. Unterrichtung wird zu protokollierten Beratungsterminen, Überwachung zu einem Verzeichnis von Verarbeitungstaetigkeiten nach Art. 30 DSGVO, Schulung zu nachgehaltenen Teilnahmequoten, DSFA zur dokumentierten Bewertung mit Risikomatrix und die Behoerdenzusammenarbeit zur belegbaren Korrespondenz. Jede dieser Übersetzungen erzeugt ein prüfbares Dokument, und ohne dieses Dokument verfaellt die rechtliche Schutzwirkung der Bestellung.

In der Praxis bedeutet das: Ein externer DSB, der nur quartalsweise einen Bericht abgibt, erfuellt die Aufgaben formal, aber nicht inhaltlich. Aufsichtsbehoerden achten zunehmend darauf, ob Beratungen vor Einführung neuer Verarbeitungen stattgefunden haben, ob das VVT lebt oder eingefroren ist und ob Meldepflichten nach Art. 33 DSGVO innerhalb der 72-Stunden-Frist eingehalten werden. Prüfer fragen konkret: Wann fand die letzte Schulung statt, wer hat teilgenommen, gibt es einen Nachweis über die Bewertung neuer Verarbeitungstaetigkeiten in den letzten zwoelf Monaten. CIVAC hinterlegt für jede dieser Aufgaben Vorlagen im Workspace, darunter Beratungsprotokolle, VVT-Templates, ein DSFA-Modul mit Schwellwertanalyse und einen Meldepfad für Datenpannen. Der Prüfer ruft an, der Nachweis liegt bereit. Das gilt sowohl für den Modus, in dem Sie den Workspace für Ihren internen Beauftragten lizenzieren, als auch dann, wenn unsere Beauftragten bestellt werden. Die fuenf Aufgabenpunkte aus Art. 39 sind damit nicht nur abstrakte Pflichten, sondern operativ instrumentiert.

Die schriftliche Bestellung ist nach § 38 Abs. 2 BDSG in Verbindung mit § 6 Abs. 4 BDSG zwingend. Sie muss den Namen des DSB, das Datum, den Umfang der Aufgaben und den Berichtsweg festlegen. Die Bestellurkunde wird von der Geschäftsleitung unterschrieben, der Aufsichtsbehoerde gemeldet und intern an alle Beschaeftigten kommuniziert. Bei externen Mandaten ergaenzt ein Dienstleistungsvertrag die Bestellung und regelt Verguetung, Verfuegbarkeit und Vertraulichkeit. Eine Auftragsverarbeitung nach Art. 28 DSGVO ist nicht erforderlich, weil der DSB im Sinne der DSGVO selbst keine eigenstaendige Verarbeitung durchführt; die Aufsichtsbehoerden Bayern und Baden-Wuerttemberg haben das in mehreren Stellungnahmen bestätigt. Das bedeutet auch: Ein klassischer AVV mit dem externen DSB-Dienstleister ist nicht nur unnoetig, sondern kann die Unabhängigkeit zusaetzlich verwaessern, wenn er Weisungsrechte einraeumt.

Art. 38 Abs. 3 DSGVO untersagt ausdruecklich Weisungen an den DSB hinsichtlich seiner Aufgabenerfuellung. Er berichtet direkt der hoechsten Managementebene, also der Geschäftsfuehrung oder dem Vorstand. Bei externen Mandaten ist diese Anforderung leichter einzuhalten, weil keine arbeitsvertragliche Abhaengigkeit besteht. Eine fachliche oder disziplinarische Weisung darf nicht ausgeuebt werden, und auch eine Abberufung ist nur unter den Voraussetzungen des § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG zulässig. CIVAC dokumentiert die Berichtslinie im Workspace, hinterlegt die Bestellurkunde versioniert und stellt sicher, dass bei einem Wechsel des DSB die Übergabe vollstaendig protokolliert wird. Bestellurkunde, unterschrieben, abgelegt, belegbar. Das ist der Unterschied zwischen einem Schreibtisch-DSB und einem auditfest eingebundenen Mandat. Wer die Berichtslinie nicht schriftlich fixiert, riskiert bei einer Prüfung den Nachweis der formal korrekten Bestellung zu verlieren, und damit faellt auch der Schutz der Geschäftsleitung weg, der eigentlich gerade der Grund für die Bestellung war.

Der Markt für externe DSB ist heterogen. Eine seriose Orientierung liefert die Mitarbeiterzahl in Kombination mit der Art der Verarbeitung. Fuer Unternehmen bis 50 Mitarbeitende ohne besondere Datenkategorien bewegen sich monatliche Pauschalen zwischen 250 und 600 Euro. Bei 50 bis 250 Mitarbeitenden liegt der Korridor zwischen 600 und 1.400 Euro. Konzerne und stark regulierte Branchen wie Banken, Versicherungen oder Healthcare zahlen zwischen 1.400 und 2.500 Euro monatlich, in Einzelfaellen mehr. Stundenbasierte Modelle kalkulieren mit 150 bis 280 Euro pro Stunde, was bei der Pflege eines VVT mit 80 Verarbeitungstaetigkeiten schnell den Pauschalpreis überschreitet. Hinzu kommen Sonderhonorare für Datenpannenbearbeitung, Auskunftsersuchen nach Art. 15 DSGVO und Behoerdenanfragen, die in vielen Standardvertraegen ausgeklammert sind.

Diese Bandbreite erklaert sich durch die Aufgabentiefe. Ein externer DSB, der ausschliesslich beraet, ist guenstiger als einer, der das VVT pflegt, Schulungen durchführt und im Datenpannenfall die 72-Stunden-Meldung übernimmt. Prüfen Sie deshalb das Leistungsverzeichnis Zeile für Zeile: Wie viele Stunden pro Monat sind enthalten, was kostet eine zusaetzliche Stunde, ist eine Vor-Ort-Schulung im Preis, wer zahlt im Datenpannenfall die Mehrarbeit. CIVAC schlüsselt im Angebot transparent auf, welche Aufgaben enthalten sind, und stellt das Verhaeltnis von Beratungszeit zu Plattformnutzung dar. Die SLA betraegt zwei Werktage für die Bestellung, klassische Anbieter liegen bei zwei bis sechs Wochen. Die mittlere Belastung pro Beauftragtem reduziert sich dadurch, dass wiederkehrende Aufgaben in standardisierten Vorlagen abgewickelt werden, statt in jedem Mandat individuell. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Effekt ist messbar in Stunden pro Quartal und damit in Euro.

Die Bestellung eines DSB entlastet die Geschäftsleitung nicht von ihrer Verantwortung nach Art. 24 DSGVO. Sie verlagert jedoch die operative Prüfpflicht und stellt sicher, dass Datenschutzentscheidungen dokumentiert beraten wurden. Das ist im Bussgeldverfahren der entscheidende Hebel: Aufsichtsbehoerden gewichten nach Art. 83 Abs. 2 DSGVO unter anderem den Grad der Verantwortung, getroffene Maßnahmen zur Schadensminderung und die Zusammenarbeit. Ein dokumentiertes Beratungsprotokoll, in dem der externe DSB vor einer riskanten Verarbeitung gewarnt hat, kann den Unterschied zwischen einem Verwarnungsverfahren und einem hohen Bussgeld ausmachen. Bussgelder bis zu 20 Mio. Euro oder 4 Prozent des Konzernumsatzes sind in Art. 83 Abs. 5 DSGVO angelegt und werden in der EU-weiten Aufsichtspraxis zunehmend ausgereizt.

Hinzu kommt § 130 OWiG: Eine Verletzung der Aufsichtspflicht kann mit Geldbussen bis zu einer Million Euro gegen die Geschäftsleitung persoenlich geahndet werden. Wer einen externen DSB bestellt und dessen Hinweise dokumentiert umsetzt, dokumentiert zugleich die Erfuellung der Aufsichtspflicht. Frist laeuft ab Kenntnis; der DSB stellt sicher, dass Kenntnis nicht erst nach einer Prüfung entsteht, sondern bereits beim ersten Risikoindikator. Versicherungsrechtlich ist das relevant für D&O-Policen, die Datenschutzverstoesse in den letzten Jahren zunehmend mit Selbstbehalten und Ausschluessen versehen, wenn keine dokumentierte Beratung des DSB vorlag. CIVAC kombiniert dieses Frueherkennungssystem mit Audit-Vorlagen, die im Workspace versioniert vorgehalten werden, und einer Berichtslinie, die jeden Hinweis nachverfolgbar macht. Die persoenliche Schutzwirkung für Geschäftsfuehrer und Vorstaende entsteht damit nicht aus der bloss formalen Bestellung, sondern aus dem belegbaren Prozess dahinter, und dieser Prozess muss organisatorisch wie technisch reproduzierbar sein, damit er auch in fuenf Jahren noch trifft.

Die DSGVO formuliert in Art. 37 Abs. 5 die Anforderung der beruflichen Qualifikation und des Fachwissens. Was das konkret bedeutet, fuellen Aufsichtsbehoerden und Berufsverbaende mit Inhalt: nachweisbare Fortbildungen, idealerweise eine Zertifizierung nach TUEV-, DEKRA- oder Udis-Standard, mindestens zwei Jahre einschlaegige Praxis und Branchenkenntnis. Wer einen externen DSB sucht, sollte einen Lebenslauf, Fortbildungsnachweise der letzten drei Jahre und Referenzmandate aus der eigenen Branche einsehen koennen. Ein DSB ohne dokumentierte Fortbildung 2025/2026 ist ein Risiko, weil sich Rechtsprechung und Aufsichtspraxis schnell weiterentwickeln. Themen wie KI-Verordnung, Drittlandstransfers nach dem EU-US Data Privacy Framework und biometrische Verfahren erfordern aktuelle Kenntnis, die aelter als 18 Monate nicht mehr verlaesslich ist.

Operativ entscheidend sind weiter: Erreichbarkeit innerhalb von 24 Stunden, eine schriftliche Eskalationsregelung für Datenpannen, ein klares Modell zur Verguetung bei Sondereinsaetzen wie Behoerdenanfragen oder Datenpannen und eine Berufshaftpflichtversicherung mit ausreichender Deckungssumme. Mindestens eine Million Euro Deckung ist marktueblich, in regulierten Branchen sollten es zwei bis fuenf Millionen sein. Prüfen Sie zudem, wie viele Mandate der DSB parallel betreut: Wer mehr als 40 Mandate führt, hat selten genug Zeit, jedes mit der erforderlichen Tiefe zu begleiten. CIVAC veroeffentlicht diese Parameter im Angebot transparent, weil sie prüfungsrelevant sind. Der dual-modellige Ansatz erlaubt zwei Wege: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In beiden Faellen sind die Auswahlkriterien identisch dokumentiert, weil das prüfende Auge nicht zwischen intern und extern unterscheidet, sondern zwischen nachweisbar und nicht nachweisbar. Eine Verzahnung mit NIS-2-Anforderungen ist mitgedacht und nicht ein Folgeprojekt.

Datenschutz ist kein isoliertes Thema. Die Schnittstelle zur Informationssicherheit ist in Art. 32 DSGVO angelegt, der angemessene technische und organisatorische Maßnahmen verlangt. In Unternehmen mit einem Informationssicherheitsbeauftragten oder einem ISO/IEC 27001:2022 zertifizierten ISMS muss der DSB mit dem ISB die Schutzmassnahmen abstimmen, ohne dass die Unabhängigkeit nach Art. 38 DSGVO darunter leidet. CIVAC kartiert in der Plattform die Beruehrungspunkte: Welche Verarbeitungstaetigkeit ist welchem Asset zugeordnet, welche Maßnahme aus Annex A der ISO 27001:2022 deckt welches DSGVO-Risiko ab, und wer ist eskalationsberechtigt im Datenpannenfall. Die 93 Controls aus Annex A korrespondieren weitgehend mit den TOM-Kategorien aus Art. 32 DSGVO, sodass ein einmal gepflegter Datensatz beide Prüfungen bedient.

Die Schnittstelle zum Hinweisgeberschutz nach dem HinSchG ist ebenfalls relevant: Eingehende Meldungen koennen personenbezogene Daten enthalten, deren Verarbeitung rechtskonform begleitet werden muss. Der externe DSB beraet die interne Meldestelle, ohne sie zu betreiben. Ebenso gilt für das Lieferkettensorgfaltspflichtengesetz: Datenverarbeitungen entlang der Lieferkette, etwa Lieferantenfragebogen oder Auditberichte, gehoeren in das VVT. Auch die EU-Whistleblower-Richtlinie verlangt eine vertrauliche Bearbeitung, die mit dem Datenschutz abgestimmt werden muss. Diese Querverbindungen werden im CIVAC-Workspace über ein einheitliches Datenmodell abgebildet, sodass Beauftragte aus verschiedenen Disziplinen auf denselben Verarbeitungsdatensatz blicken. Der Workspace verwaltet 25 Beauftragten-Rollen und 490 Audit-Vorlagen, was die Doppelarbeit zwischen DSB, ISB und Compliance-Beauftragtem reduziert. Wer diese Schnittstellen erst nach einer Aufsichtsbeanstandung aufbaut, zahlt die Integration zweimal: einmal als Bussgeld, einmal als Nachruestung. Die einheitliche Plattform vermeidet beide Posten. Praktisch heisst das, dass eine Datenpanne den ISB, den DSB und im Ernstfall die Geschäftsfuehrung gleichzeitig erreicht, dass das Beratungsprotokoll der einen Rolle als Beweis für die andere taugt und dass Aufsichtsbehoerden, die DSGVO und NIS-2 zunehmend gemeinsam prüfen, einen konsistenten Datensatz vorfinden statt drei voneinander abweichende Listen.

Der Wechsel eines externen DSB ist haeufiger als gedacht. Mandate werden gekuendigt, weil die Dienstleistung nicht zufriedenstellend war, weil Mandanten in eine neue Größenklasse wachsen oder weil Aufsichtsbehoerden die Qualifikation des bisherigen DSB beanstandet haben. Die Übergabe ist regulatorisch heikel: Das Verzeichnis der Verarbeitungstaetigkeiten, die DSFA-Akten, die Beratungsprotokolle, die Schulungsnachweise und die Korrespondenz mit der Aufsichtsbehoerde muessen vollstaendig übergeben werden. Loescht ein scheidender DSB Daten, bevor die Übergabe abgeschlossen ist, entsteht ein Compliance-Vakuum, das im naechsten Audit auffaellt. Aufsichtsbehoerden interpretieren Luecken im Audit-Trail regelmäßig zuungunsten des Verantwortlichen, weil die Beweislast nach Art. 5 Abs. 2 DSGVO bei der verantwortlichen Stelle liegt, nicht bei der Behoerde.

CIVAC führt die Übergabe als strukturierten Prozess: Der neue DSB erhaelt Zugriff auf das versionierte VVT, die Bestellurkunde wird neu ausgestellt, die alte versioniert archiviert, und ein Übergabeprotokoll wird von beiden Seiten unterzeichnet. Das System hinterlegt die Änderung in einem unveraenderlichen Audit-Log, das spaeter belegbar ist. Wer den Wechsel ohne Plattform vollzieht, riskiert, dass Versionen verloren gehen oder dass die Aufsichtsbehoerde bei einer Nachfrage zwei Bestellurkunden ohne Übergangsregelung sieht. Das Datenmodell unterscheidet zwischen aktiven und archivierten Bestellungen und macht jede Änderung mit Zeitstempel und Verantwortlichem sichtbar. Diese Disziplin ist es, die einen ordentlichen Wechsel von einem unordentlichen unterscheidet, und sie ist die Voraussetzung dafuer, dass die Compliance-Historie eines Unternehmens nicht alle drei Jahre zurück auf Null springt. Sie ist auch die Grundlage dafuer, dass Versicherer im D&O-Schadensfall die Kontinuitaet der Compliance-Funktion anerkennen, statt eine Luecke als Obliegenheitsverletzung zu werten.

Wer einen externen DSB einsetzt, hat zwei Wege. Der erste: Sie bestellen eine externe Person, die ohne Plattform arbeitet, und tragen die Verantwortung dafuer, dass Bestellurkunde, VVT, Schulungsnachweise und Berichtslinie in einem Zustand bleiben, der jeden Audit besteht. Der zweite: Sie nutzen eine Compliance-Plattform, die diese Artefakte standardisiert vorhaelt, versioniert und auf Knopfdruck prüfbar macht. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In beiden Modellen erhalten Sie Bestellurkunde, Aufgabenprofil, Berichtsweg, VVT-Vorlage, DSFA-Modul, Meldepfad für Datenpannen und Audit-Log aus einer Hand. Die Wahl zwischen den beiden Modellen treffen wir gemeinsam nach einer Bestandsaufnahme, nicht im Voraus.

Der Einstieg ist nuechtern. Eine erste Bestandsaufnahme klaert: Wie viele Personen arbeiten mit personenbezogenen Daten, gibt es besondere Datenkategorien, welche Auftragsverarbeiter sind im Einsatz, wann fand die letzte Schulung statt, gibt es ein VVT in lesbarer Form. Aus dieser Bestandsaufnahme entsteht ein Bestellvorschlag innerhalb von zwei Werktagen, der die Pflichtenkreise, das Service-Level, die Verguetung und den Berichtsweg konkret benennt. Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular. Wir klaeren Pflichtenkreis, Kostenrahmen und Zeitplan in einem 30-minuetigen Gespraech und schicken anschliessend einen Vertragsentwurf mit transparentem Leistungsverzeichnis. Audit-fest, dokumentiert, § 38 BDSG-fest. Mehr braucht ein externer DSB nicht zu liefern, aber weniger auch nicht. Die naechste Aufsichtsbehoerde, die anruft, wird Ihre Antwort kennen, weil sie aus einem System kommt und nicht aus einer Erinnerung. Auch interne Stakeholder, vom Vorstand bis zum IT-Lead, werden den Unterschied zwischen einer ad-hoc-Antwort und einer reproduzierbaren Auskunft schnell bemerken, und genau dieser Unterschied entscheidet, ob Datenschutz im Unternehmen als Bremsklotz oder als belastbares Fundament wahrgenommen wird.