Interner oder externer Datenschutzbeauftragter: Der Vergleich für die Geschäftsleitung
Interner oder externer Datenschutzbeauftragter? Wir vergleichen Kosten, Haftung, Unabhängigkeit, Verfügbarkeit und Auditfähigkeit nüchtern. Mit konkreten Zahlen, Paragraphen und einer Entscheidungsmatrix, die Sie in der nächsten Vorstandssitzung sofort verwenden können.
Nach Art. 37 DSGVO und § 38 BDSG müssen viele deutsche Unternehmen einen Datenschutzbeauftragten benennen, sobald mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten oder eine Kerntätigkeit umfangreiche Verarbeitungen besonderer Kategorien umfasst. Die Pflicht ist eindeutig formuliert und seit 2018 unverändert. Die Frage lautet nicht ob, sondern wer: ein interner Mitarbeiter mit Doppelfunktion oder ein externer Dienstleister mit Vollmandat, ergänzt um die in der Praxis immer häufiger gewählte hybride Variante. Beide Grundmodelle sind rechtlich gleichwertig. Wirtschaftlich, organisatorisch und haftungsrechtlich sind sie sehr verschieden, und die Konsequenzen einer falschen Wahl zeigen sich häufig erst beim ersten Aufsichtsverfahren, bei der ersten meldepflichtigen Datenpanne oder im Rahmen eines Kunden-Audits nach ISO/IEC 27001:2022.
Dieser Beitrag vergleicht beide Varianten anhand von sieben Entscheidungsfaktoren: Kosten, Haftung, Unabhängigkeit, Verfügbarkeit, Fachkunde, Audit-Tauglichkeit und Skalierbarkeit. Sie erhalten eine Entscheidungsmatrix, die Sie in der nächsten Geschäftsleitungssitzung verwenden können, sowie eine klare Übersicht, wann das hybride Modell von CIVAC als Compliance-Plattform und Officer-as-a-Service sinnvoll ist. Am Ende wissen Sie, welche Variante zu Ihrer Größe, Branche und Risikolage passt, welche Klauseln in die Bestellurkunde gehören und wie Sie die Meldung an die zuständige Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO sauber dokumentieren. Sie lesen einen Vergleich, der mit Paragraphen, Zahlen und Audit-Logik arbeitet, nicht mit Werbeversprechen.
Auf einen Blick
- Ein interner DSB kostet bei kleinen und mittleren Unternehmen häufig mehr als ein externer, weil Schulung, Weiterbildung und Vertretungsregelung verdeckte Personalkosten erzeugen.
- Die Unabhängigkeitspflicht nach Art. 38 Abs. 3 DSGVO ist intern schwerer durchzusetzen, weil der DSB gegenüber Vorgesetzten weisungsfrei bleiben muss, die ihn fachlich beurteilen.
- Die Bestellurkunde, der Aufgabenkatalog und die Berichtslinie an die Geschäftsleitung sind in jedem Modell identisch zu dokumentieren, sonst greift § 43 BDSG bei einer Aufsichtsprüfung.
Rechtliche Pflicht: Wer benötigt überhaupt einen DSB
Die Benennungspflicht ergibt sich aus Art. 37 Abs. 1 DSGVO und § 38 BDSG. Erfasst sind Unternehmen, in denen mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten, gerechnet inklusive Werkstudenten, Praktikanten und Geringfügig Beschäftigten. Erfasst sind außerdem Verantwortliche, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien nach Art. 9 DSGVO besteht, etwa Gesundheitsdaten in Arztpraxen, Kliniken und Pflegeeinrichtungen, oder strafrechtlich relevante Daten in Sicherheitsfirmen. Auch öffentliche Stellen sind unabhängig von der Mitarbeiterzahl verpflichtet. Wer eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen muss, sollte ebenfalls einen DSB benennen, selbst wenn die formale Schwelle nicht erreicht ist, weil die DSFA-Pflicht eine erhöhte Risikoexposition signalisiert, die ohne Beauftragten kaum revisionsfest steuerbar ist.
Die Pflicht endet nicht mit der Benennung. Nach Art. 39 DSGVO muss der DSB Verarbeitungsverzeichnisse prüfen, die Geschäftsleitung beraten, Schulungen koordinieren, an Folgenabschätzungen mitwirken und Ansprechpartner für die Aufsichtsbehörde sein. Versäumnisse können mit bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Konzernumsatzes geahndet werden, Art. 83 Abs. 4 DSGVO, je nachdem welcher Betrag höher ist. Wer die Benennung dokumentiert, aber die Funktion nicht lebt, riskiert die volle Bußgeldhöhe. Wer einen externen Datenschutzbeauftragten bestellt, verschiebt die Pflichten nicht, sondern lagert die Ausführung an einen weisungsfreien Spezialisten aus, der die Berichtslinie an die Geschäftsleitung gleichwohl einhält. CIVAC sichert diesen Prozess als Compliance-Plattform und Officer-as-a-Service ab und verbindet die Bestellung mit dem digitalen Verzeichnis aller Verarbeitungen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer die Pflicht ignoriert, riskiert nicht nur das Bußgeld, sondern den Verlust von Kundenverträgen, in denen ein wirksam bestellter DSB inzwischen Standardklausel ist.
Kostenvergleich: Was ein DSB wirklich kostet
Die einfache Rechnung lautet: ein interner DSB belastet das Personalbudget mit einem Bruchteil seiner Arbeitszeit, ein externer DSB stellt ein monatliches Honorar. Diese Rechnung greift zu kurz und führt regelmäßig zu Fehlentscheidungen in der Geschäftsleitung. Ein interner DSB benötigt eine zertifizierte Grundausbildung (TÜV, DEKRA, udis, GDD) für 2.500 bis 4.500 Euro, jährliche Fortbildung von mindestens 32 Stunden für 1.200 bis 2.000 Euro, einen ebenfalls geschulten Vertretungsbeauftragten für Urlaub und Krankheit, Fachliteratur und Datenbankzugänge, Software-Lizenzen für Verzeichnis und DSFA, sowie einen geschützten Berichtsweg an die Geschäftsleitung. Bei einem Mittelständler mit 50 bis 200 Beschäftigten summieren sich diese Posten auf 8.000 bis 14.000 Euro pro Jahr, ohne dass eine Stunde produktive DSB-Arbeit geleistet wurde, und ohne die Opportunitätskosten der dafür gebundenen Arbeitszeit zu berücksichtigen.
Ein externer DSB liegt im Mittelstand typischerweise zwischen 250 und 1.200 Euro pro Monat, abhängig von Branche, Datenmenge, internationalen Transfers und Auditdichte. Inkludiert sind Bestellurkunde, Verarbeitungsverzeichnis, Mitarbeiterschulungen, Aufsichtsbehörden-Kontakt, Betroffenenanfragen und Rufbereitschaft bei Datenpannen. Die 72h-Frist nach Art. 33 DSGVO ist mit einem internen Halbtagskräfte-DSB kaum zuverlässig zu halten, weil Wochenenden und Brückentage in den Fristlauf fallen. CIVAC bündelt diese Leistungen als Compliance-Plattform und Officer-as-a-Service: Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle führen zur selben Aktenlage, derselben Audit-Tiefe und denselben 490 einsatzbereiten Vorlagen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.
Haftung: Wer steht im Schadensfall gerade
Die Haftung des DSB ist begrenzt, aber nicht null, und sie wird in der Praxis häufig falsch verstanden. Nach Art. 38 Abs. 3 DSGVO darf ein DSB wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Er haftet nicht für Datenschutzverstöße des Verantwortlichen, wohl aber für eigene grob fahrlässige Beratungsfehler, etwa eine offensichtlich unzureichende Folgenabschätzung oder eine unterlassene Warnung. Bei einem internen DSB greift in der Regel die innerbetriebliche Haftungsprivilegierung nach gefestigter BAG-Rechtsprechung: leichte Fahrlässigkeit ist gedeckt, mittlere Fahrlässigkeit anteilig, grobe Fahrlässigkeit anteilig bis voll, Vorsatz voll. Eine Berufshaftpflichtversicherung für interne DSB ist üblich, aber in der Höhe häufig unzureichend dimensioniert.
Ein externer DSB schließt eine Vermögensschaden-Haftpflichtversicherung im Bereich von 1 bis 5 Mio. Euro ab, in besonderen Fällen höher. Diese deckt Beratungsfehler bei der Erstellung von Verzeichnissen, Folgenabschätzungen, Schulungskonzepten und Meldungen an die Aufsichtsbehörde. Wichtig zu wissen: die Haftung des Verantwortlichen, also des Unternehmens selbst, bleibt nach Art. 82 DSGVO unverändert bestehen, unabhängig vom DSB-Modell. Ein externer DSB verlagert nicht die Verantwortung, sondern erhöht die Wahrscheinlichkeit, dass Fehler vor dem Schadenseintritt entdeckt und dokumentiert behoben werden. Bei einer Aufsichtsprüfung wird stets der Verantwortliche, nicht der DSB, mit dem Bußgeld konfrontiert, und die Höhe richtet sich nach Art. 83 DSGVO. Die CIVAC-FAQ erläutert die Haftungsfragen ausführlich und benennt die typischen Versicherungsdeckungen für jede der 25 Beauftragten-Rollen. Der Prüfer ruft an, der Nachweis liegt bereit. In der Praxis sind Bußgelder selten gegen den DSB persönlich gerichtet, häufig aber gegen den Verantwortlichen, der entweder die DSB-Berichte ignoriert oder gar keinen wirksam bestellten DSB nachweisen konnte. Die Bestellurkunde ist deshalb das erste Dokument, das in einem Aufsichtsverfahren angefordert wird.
Unabhängigkeit: Der unterschätzte Stolperstein
Art. 38 Abs. 3 DSGVO verlangt, dass der DSB seine Aufgaben weisungsfrei ausübt und unmittelbar an die höchste Leitungsebene berichtet. Art. 38 Abs. 6 DSGVO verbietet Interessenkonflikte aus weiteren Aufgaben. Genau hier kollidiert das interne Modell regelmäßig mit der Realität: Ein DSB, der zugleich IT-Leiter, Personalchef, Geschäftsführer oder Datenschutz-Sachbearbeiter ist, gerät in Interessenkonflikte. Er müsste sich selbst kontrollieren, wenn er ein Verarbeitungsverzeichnis aus dem eigenen Verantwortungsbereich prüft, und er müsste seine eigenen Entscheidungen vor der Geschäftsleitung kritisieren. Die Aufsichtsbehörden (LfDI Baden-Württemberg, BayLDA, BfDI, HmbBfDI) haben in mehreren Beschlüssen und Bußgeldverfahren festgestellt, dass IT-Leiter, Geschäftsführer, Personalleiter und Compliance-Verantwortliche nicht zugleich DSB sein dürfen. Die belgische Aufsichtsbehörde verhängte 2020 ein Bußgeld von 50.000 Euro genau wegen dieser Personalunion.
Ein externer DSB ist strukturell unabhängig. Er sitzt nicht in der Hierarchie, hat keine konkurrierenden Ziele, kein Beförderungsinteresse und keine Kollegen, die seine Berichte vor der Geschäftsleitung filtern. Genau das ist der häufigste Grund, warum mittelständische Unternehmen zwischen 50 und 500 Beschäftigten den externen Weg wählen, selbst wenn intern fachlich geeignetes Personal vorhanden wäre. Die Bestellurkunde sollte die Berichtslinie ausdrücklich nennen: direkter Zugang zur Geschäftsleitung, schriftliche Reports zweimal jährlich, Eskalationsrecht bei nicht behobenen Risiken, Teilnahme an relevanten Leitungssitzungen mit Datenschutzbezug. Diese Klauseln gehören in jeden CIVAC-Workspace und in jede Officer-as-a-Service-Bestellung, dokumentiert und Art. 38-fest. Wer den Workspace lizenziert, erhält dieselben Klauseltexte für die eigene interne Bestellung und kann sie an die jeweilige Unternehmensgröße anpassen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, in beiden Fällen wird die Unabhängigkeitsregel strukturell, nicht nur formal eingehalten.
Verfügbarkeit und Reaktionszeit: 72 Stunden sind kurz
Art. 33 DSGVO verpflichtet zur Meldung einer Datenpanne innerhalb von 72 Stunden ab Kenntnis. Frist läuft ab Kenntnis, nicht ab Bestätigung, nicht ab Eintritt. Wer eine Phishing-Welle am Freitagabend bemerkt, hat bis Montagvormittag Zeit, eine vollständige Meldung an die zuständige Aufsichtsbehörde zu schicken, inklusive Beschreibung der Art der Verletzung, der Kategorien betroffener Personen, der wahrscheinlichen Folgen, der ergriffenen technischen und organisatorischen Maßnahmen sowie der Kontaktdaten des DSB. Ein interner DSB, der die Funktion neben anderen Aufgaben ausübt, ist am Wochenende selten erreichbar. Eine Vertretungsregelung ist Pflicht, wird aber in zwei von drei Audits als unzureichend dokumentiert eingestuft, weil der Vertreter weder das Verzeichnis kennt noch über Meldevollmacht verfügt.
Ein externer DSB stellt vertraglich eine Rufbereitschaft sicher, in der Regel werktags 8 bis 18 Uhr, mit Notfallnummer für Wochenenden und Feiertage. CIVAC garantiert eine SLA von zwei Werktagen für die Bestellung selbst und eine Vier-Stunden-Reaktion auf gemeldete Datenpannen, jeweils mit eskalierender Berichtslinie an die Geschäftsleitung. Die 490 einsatzbereiten Audit-Vorlagen im Workspace decken Meldebogen für jede deutsche Landesdatenschutzbehörde, Betroffenenbenachrichtigung nach Art. 34 DSGVO und interne Dokumentation ab. Wer den Workspace lizenziert, erhält dieselben Vorlagen für den eigenen Beauftragten. Wer Officer-as-a-Service bestellt, lässt CIVAC die Frist halten und übernimmt nur noch die Freigabe. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, in beiden Fällen läuft dieselbe operative Maschine im Hintergrund. Die SLA wird in der Bestellurkunde fixiert, sodass die Geschäftsleitung im Ernstfall nicht über Reaktionszeiten verhandeln muss, sondern auf einen unterschriebenen Vertrag zurückgreifen kann.
Fachkunde: Was ein DSB heute können muss
Die Fachkunde des DSB ist in Art. 37 Abs. 5 DSGVO nicht abschließend definiert, wohl aber durch die Aufsichtsbehörden konkretisiert. Erforderlich sind: vertiefte Kenntnisse der DSGVO und des BDSG, Vertrautheit mit den branchenspezifischen Regelungen (TTDSG, KHZG, IT-Sicherheitsgesetz, NIS-2-Umsetzungsgesetz, KRITIS-Verordnung), praktische Erfahrung mit Verarbeitungsverzeichnissen und Folgenabschätzungen, IT-technisches Verständnis (Verschlüsselung, Pseudonymisierung, Cloud-Architekturen, Schrems-II-konforme Transfermechanismen), Auditerfahrung mit ISO/IEC 27001:2022 und kommunikative Souveränität gegenüber Aufsichtsbehörden, Betriebsräten und Geschäftsleitung. Ein interner DSB benötigt regelmäßig 12 bis 18 Monate, bis er diese Breite eigenständig abdeckt, und mindestens drei vollständige Audit-Zyklen, bis er sicher in Prüfungssituationen agiert.
Ein externer DSB bringt diese Breite mit. Bei CIVAC sind alle DSB-Mandate von Beauftragten betreut, die mindestens fünf Jahre Berufserfahrung, eine TÜV- oder udis-Zertifizierung und ISO/IEC 27001:2022-Schulung nachweisen. Die Querschnittsperspektive aus mehreren Mandaten ist wertvoll: Wer 30 Mittelstandskunden betreut, sieht denselben Fehler in 30 Varianten und kann ihn vorab adressieren, bevor er beim 31. Mandanten auftritt. Ein interner DSB sieht nur die eigene Organisation und ist auf Konferenzen und Fachliteratur angewiesen, um den Marktstand zu kennen. Für stark spezialisierte Branchen (Forschung, Pharma, Banken mit BAFIN-Aufsicht, KRITIS-Sektoren) kann ein interner DSB sinnvoll sein, der die fachliche Tiefe mitbringt. Für den Mittelstand außerhalb dieser Spezialitäten überwiegt die Breite des externen Modells eindeutig. Ein Blick in die Übersicht der 25 Beauftragten-Rollen zeigt, wie eng DSB, ISB und Compliance-Beauftragter zusammenarbeiten müssen, und wie hilfreich es ist, alle drei aus einer Hand zu beziehen.
Audit-Tauglichkeit: Was der Prüfer sehen will
Eine Aufsichtsprüfung beginnt nicht mit Fragen, sondern mit einem schriftlichen Aktenanforderungskatalog, der typischerweise drei bis fünf Werktage vor dem Vor-Ort-Termin zugeht. Der Prüfer will die Bestellurkunde sehen, das Verarbeitungsverzeichnis nach Art. 30 DSGVO inklusive aller Aktualisierungen der letzten 24 Monate, die durchgeführten Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO, die Schulungsnachweise der letzten drei Jahre mit Teilnehmerlisten und Inhaltsdokumentation, die Berichte des DSB an die Geschäftsleitung, die Vertretungsregelung, das Verfahren zur Behandlung von Betroffenenanfragen nach Art. 12 bis 22 DSGVO und das Verzeichnis aller Datenpannen-Meldungen. Sind diese Dokumente vollständig und konsistent, dauert die Prüfung 4 bis 8 Stunden vor Ort. Fehlt etwas, wird die Prüfung schriftlich fortgesetzt, und das Risiko eines Bußgeldverfahrens steigt erheblich.
Ein interner DSB ohne strukturierten Workspace verwaltet diese Dokumente häufig in Outlook, SharePoint-Ordnern und Excel-Listen mit unklarem Versionsstand. Bei der Prüfung beginnt die Suche, und Inkonsistenzen werden sichtbar. Ein externer DSB mit dem CIVAC-Workspace hat alle Dokumente in einer audit-festen Struktur abgelegt, versioniert, mit Zeitstempel, Verantwortlichkeit und elektronischer Unterschrift. Die 490 Audit-Vorlagen decken den Aktenkatalog der häufigsten Landesdatenschutzbehörden ab, inklusive der jeweils landestypischen Formulare. Audit-fest, dokumentiert, § 30-fest. Das gilt auch für den lizenzierten Workspace im internen Modell, denn die Plattform ist identisch. Wer von einem anderen Anbieter wechselt, kann mit der CIVAC-Plattform die Dokumentenlage in unter zwei Wochen aufholen, weil Vorlagen, Verzeichnis-Struktur und Berichtsformate sofort verfügbar sind. Der Prüfer ruft an, der Nachweis liegt bereit.
Entscheidungsmatrix: Wann welches Modell passt
Die Entscheidung folgt drei Achsen: Größe, Risikoklasse, Inhouse-Kompetenz. Internes Modell empfohlen: ab 250 Beschäftigten, mit eigener Rechts- oder Compliance-Abteilung, in stark spezialisierten Branchen (Pharma, klinische Forschung, KRITIS-Sektoren mit eigenem ISB), wenn der Datenschutz wirtschaftlich relevantes Kerngeschäft ist und eine Vollzeitstelle gerechtfertigt erscheint. Voraussetzung ist eine geklärte Berichtslinie unmittelbar an die Geschäftsleitung, eine dokumentierte und ebenfalls geschulte Vertretung, ein jährliches Schulungsbudget von mindestens 1.500 Euro pro Person und eine klare Abgrenzung zu IT-, HR- und Geschäftsleitungsaufgaben. Eine interne DSB-Funktion ohne diese Voraussetzungen ist formal eingerichtet, aber praktisch nicht audit-fest.
Externes Modell empfohlen: 20 bis 250 Beschäftigte, Mittelstand ohne eigene Rechtsabteilung, hohe Audit-Frequenz durch Kunden (ISO 27001, TISAX, BAFIN-Prüfung, Kunden-Compliance-Fragebögen), häufige Datenpannen-Risiken durch IT-Outsourcing, internationale Verarbeitungen mit Drittland-Transfer und Standardvertragsklauseln. Die monatlichen Kosten von 250 bis 1.200 Euro sind kalkulierbar und bringen sofort eine vollständige Aktenlage, inklusive aller relevanten Verträge zur Auftragsverarbeitung. Hybrides Modell empfohlen: 50 bis 500 Beschäftigte mit fachkundigem internen Datenschutz-Koordinator, der den lizenzierten CIVAC-Workspace nutzt und für Spitzenlasten (Audit, Datenpanne, DSFA, Aufsichtsverfahren) auf den externen DSB zurückgreift. Das hybride Modell verbindet Inhouse-Wissen mit externer Auditfestigkeit. Konkret heißt das: Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, beides bei CIVAC unter einer Bestellurkunde abbildbar und mit einer einzigen Rechnung pro Quartal. Die Wahl zwischen den drei Modellen sollte spätestens bei jeder Verdopplung der Mitarbeiterzahl, bei jedem Branchenwechsel und bei jeder größeren Akquisition überprüft werden, weil sich die Audit-Anforderungen entsprechend verschieben.
Vom Vergleich zur Bestellung: So gehen Sie weiter
Der Vergleich endet nicht in einer Tabelle, sondern in einer Bestellurkunde. Drei Schritte führen dorthin: Erstens, kurze Analyse Ihrer Datenverarbeitung (Mitarbeiterzahl, Branche, Audit-Bedarf, bestehende Compliance-Funktionen, internationale Transfers) in einem 30-Minuten-Termin. Zweitens, schriftlicher Modellvorschlag mit Aufgabenkatalog nach Art. 39 DSGVO, Berichtslinie, Honorar, Vertretungsregelung und Eskalationsrechten. Drittens, Bestellurkunde mit Wirkung zum nächsten Monatsersten, Meldung an die zuständige Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO und Eintrag in das Workspace-Verzeichnis. CIVAC liefert diese drei Schritte als Compliance-Plattform und Officer-as-a-Service in einer SLA von zwei Werktagen, statt der branchenüblichen zwei bis sechs Wochen, und übernimmt auf Wunsch die Migration einer bestehenden DSB-Dokumentation.
Wenn Sie noch unsicher sind, ob ein interner, externer oder hybrider DSB für Ihre Lage passt, schreiben Sie uns kurz Ihre Situation, gerne mit zwei Zeilen zu Branche, Mitarbeiterzahl und aktueller Datenschutz-Aufstellung. Wir antworten innerhalb eines Werktages mit einer fachlichen Einschätzung und einem belastbaren Modellvorschlag. Aus dem Lesen einen Auftrag machen: info@civac.de oder über das Kontaktformular auf civac.de. Sie erhalten keine Vertriebspräsentation, sondern eine konkrete Antwort, die Sie unverändert der Geschäftsleitung vorlegen können. Wenn das Modell passt, folgt die Bestellurkunde innerhalb der SLA. Wenn nicht, sagen wir es Ihnen ebenfalls und benennen den passenden Weg. Aus dem Lesen einen Auftrag machen heißt für uns konkret: eine Bestellurkunde, eine Berichtslinie, ein Workspace, ein dokumentierter Audit-Stand und eine SLA, die belastbar ist. Damit ist die DSB-Frage nicht nur juristisch, sondern auch operativ geklärt.
FAQ
Ab wann sind Unternehmen in Deutschland verpflichtet, einen Datenschutzbeauftragten zu benennen?
Die Pflicht greift nach § 38 BDSG, sobald mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten, gerechnet inklusive Werkstudenten und Praktikanten. Unabhängig von der Mitarbeiterzahl gilt sie für umfangreiche Verarbeitungen besonderer Kategorien nach Art. 9 DSGVO, etwa Gesundheits- oder Religionsdaten. Auch öffentliche Stellen sind stets verpflichtet. Die Pflicht entsteht ab dem Tag, an dem die Schwelle dauerhaft überschritten wird.
Darf der Geschäftsführer oder IT-Leiter zugleich Datenschutzbeauftragter sein?
Nein. Die Aufsichtsbehörden lehnen diese Personalunion ab, weil Art. 38 Abs. 6 DSGVO Interessenkonflikte verbietet. Geschäftsführer, IT-Leiter und HR-Leiter dürfen nicht zugleich DSB sein, weil sie über genau die Verarbeitungen entscheiden, die der DSB kontrollieren soll. Andere Funktionen sind nur dann zulässig, wenn keine fachliche Selbstkontrolle entsteht und keine Berichtslinie verletzt wird.
Welche Kosten verursacht ein externer Datenschutzbeauftragter im Mittelstand?
Im Mittelstand zwischen 20 und 250 Beschäftigten liegt das Honorar typischerweise bei 250 bis 1.200 Euro pro Monat, abhängig von Branche, internationalen Transfers und Auditdichte. Inkludiert sind Bestellurkunde, Verarbeitungsverzeichnis, Schulungen, Aufsichtskontakt und Rufbereitschaft. CIVAC bietet feste Pakete mit transparenter SLA von zwei Werktagen für die Bestellung und einer Vier-Stunden-Reaktion bei Datenpannen.
Wie lange dauert die Bestellung eines externen DSB bei CIVAC?
Die Bestellung erfolgt in zwei Werktagen ab Vertragsunterzeichnung. Das umfasst die Bestellurkunde mit Aufgabenkatalog nach Art. 39 DSGVO, Berichtslinie an die Geschäftsleitung und Meldung an die zuständige Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO. Branchenüblich sind zwei bis sechs Wochen. CIVAC verkürzt dies durch die Plattform, vorbereitete Audit-Vorlagen und einen festen Onboarding-Prozess.
Haftet der externe Datenschutzbeauftragte für Datenpannen im Unternehmen?
Nein, die Haftung des Verantwortlichen nach Art. 82 DSGVO bleibt beim Unternehmen. Der externe DSB haftet nur für eigene grob fahrlässige Beratungsfehler, etwa eine offenkundig unzureichende Folgenabschätzung. Diese Risiken deckt seine Vermögensschaden-Haftpflichtversicherung ab, bei CIVAC mit einer Deckungssumme im einstelligen Millionenbereich pro Schadensfall. Die Bestellurkunde dokumentiert diese Grenzen schriftlich.
Kann ich vom internen DSB-Modell auf ein externes oder hybrides wechseln?
Ja, ein Wechsel ist jederzeit möglich. CIVAC übernimmt die bestehende Dokumentation, prüft sie auf Auditfähigkeit, schließt Lücken und migriert sie in den Workspace. Die alte Bestellung wird widerrufen, die neue an die Aufsichtsbehörde gemeldet. Der Vorgang dauert typischerweise zwei bis drei Wochen und enthält eine Übergabe-Sitzung mit dem internen Vorgänger zur Wissenssicherung.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.