Wie findet man einen externen Datenschutzbeauftragten: Kriterien, Quellen und Auswahlprozess

Art. 37 DSGVO erlaubt Unternehmen, den Datenschutzbeauftragten extern zu bestellen – und in vielen Fällen ist dies die fachlich wie wirtschaftlich sinnvollere Wahl. Doch wer nach einem geeigneten Anbieter sucht, stößt auf einen unübersichtlichen Markt: Einzelberater, Kanzleien, Agenturen und Plattformen bieten DSB-Leistungen an, teils mit sehr unterschiedlichen Qualifikationsnachweisen und Leistungsumfängen.

Die Auswahl des richtigen externen Datenschutzbeauftragten betrifft nicht nur den Preis. Sie betrifft Reaktionszeiten bei Datenpannen, Branchenkenntnisse, Unabhängigkeit und die Qualität der Dokumentation – alles Faktoren, die im Prüfungsfall durch die Aufsichtsbehörde sichtbar werden. Dieser Beitrag legt einen strukturierten Auswahlprozess vor, der Ihnen ermöglicht, Anbieter sachlich zu vergleichen und eine begründete Entscheidung zu treffen.

Vor der Suche steht die Bedarfsanalyse. Ein DSB für ein 80-Personen-Unternehmen in der Lebensmittelverarbeitung hat andere Anforderungen als ein DSB für eine Softwarefirma mit 400 Mitarbeitern und internationalen Datentransfers. Klären Sie daher zuerst folgende Punkte:

• Verarbeitungsstruktur: Welche Kategorien personenbezogener Daten verarbeiten Sie? Besonders schutzwürdige Daten nach Art. 9 DSGVO (Gesundheit, Biometrie, politische Überzeugungen) erhöhen den Qualifikationsanspruch an den DSB erheblich.
• Internationaler Datentransfer: Nutzen Sie US-amerikanische Cloud-Dienste oder kooperieren Sie mit Unternehmen außerhalb der EU? Die Folgen der EuGH-Schrems-II-Entscheidung und die aktuellen Standardvertragsklauseln (SCCs) müssen dem DSB vertraut sein.
• Branche und Regulierungsrahmen: Sind Sie im Gesundheitswesen, im Finanzbereich oder als KRITIS-Betreiber tätig? Die Schnittstellen zwischen DSGVO und sektorspezifischen Gesetzen (z. B. SGB V, GwG, BSIG) erfordern spezifisches Fachwissen.
• Interner Ressourcenstand: Haben Sie interne Mitarbeiter, die den DSB unterstützen können? Oder benötigen Sie auch operative Unterstützung bei der Verzeichnisführung und Schulungsdurchführung?

Die Antworten auf diese Fragen formen Ihr Anforderungsprofil – die Grundlage für jeden sinnvollen Anbietervergleich.

Der Markt für externe Datenschutzbeauftragte ist fragmentiert. Folgende Quellen liefern geprüfte Anbieter:

• GDD (Gesellschaft für Datenschutz und Datensicherheit e. V.): Die GDD führt ein Verzeichnis von DSBs mit nachgewiesener Qualifikation. Die Mitgliedschaft in der GDD ist zwar kein Qualitätszertifikat, aber ein Indikator für fachliche Vernetzung.
• IAPP (International Association of Privacy Professionals): Die CIPP/E-Zertifizierung der IAPP ist international anerkannt und prüft konkret die DSGVO-Kenntnisse. Ein Anbieter mit CIPP/E-zertifizierten DSBs hat eine überprüfbare Qualifikationsgrundlage.
• TÜV-Zertifizierungen: TÜV Rheinland und TÜV SÜD bieten DSB-Zertifizierungen an. Zertifikatsnummern sind verifizierbar.
• Fachanwälte für Informationstechnologierecht: Kanzleien mit IT-Recht-Schwerpunkt bieten häufig auch DSB-Mandate an. Der Vorteil: Anwälte unterliegen der Berufshaftung und der Berufsordnung.
• Compliance-Plattformen: Neuere Plattformanbieter wie CIVAC verbinden den externen DSB mit einem strukturierten Workspace und ermöglichen die Bestellung innerhalb von zwei Werktagen. Der externe Datenschutzbeauftragte bei CIVAC ist Teil eines zertifizierten Netzwerks.

Vorsicht bei Anbietern, die ausschließlich über allgemeine Suchmaschinen-Werbung gefunden werden und keine verifizierbaren Qualifikationsnachweise benennen können.

Art. 37 Abs. 5 DSGVO schreibt vor, dass der DSB auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit zur Erfüllung seiner Aufgaben benannt wird. Die Erläuterungen der Art. 29-Gruppe (jetzt EDSA) in den Guidelines on Data Protection Officers (WP 243) konkretisieren, was darunter zu verstehen ist.

Verlangen Sie folgende Nachweise:

• Zertifizierungsnachweis (GDD, TÜV, CIPP/E oder vergleichbar) mit Datum und Gültigkeitsdauer
• Nachweis über regelmäßige Weiterbildung (Seminare, Fachtagungen, aktuelle Schulungsnachweise)
• Referenzliste mit vergleichbaren Mandaten (Branche, Unternehmensgröße)
• Berufshaftpflichtversicherungsnachweis mit Deckungssumme
• Vertragsmuster inklusive Bestellurkunden-Template

Ein seriöser Anbieter legt diese Dokumente auf Anfrage ohne Zögern vor. Wer auf die Anfrage nach Qualifikationsnachweisen ausweichend antwortet, ist kein geeigneter Vertragspartner für ein sicherheitsrelevantes Mandat. Der Prüfer ruft an, der Nachweis liegt bereit – das gilt auch für den DSB selbst.

Art. 38 Abs. 3 DSGVO verlangt, dass der DSB keine Anweisungen bezüglich der Ausübung seiner Aufgaben entgegennimmt. Abs. 6 regelt, dass der DSB andere Aufgaben und Pflichten wahrnehmen kann, sofern diese zu keinem Interessenkonflikt führen.

In der Praxis entstehen Interessenkonflikte häufig in folgenden Konstellationen:

• Der externe DSB ist gleichzeitig IT-Dienstleister oder berät das Unternehmen in der Auswahl von Softwareprodukten, die er dann als DSB zu prüfen hat.
• Der DSB ist Gesellschafter oder leitender Angestellter bei einem Anbieter, dessen Produkte das Unternehmen einsetzt.
• Der DSB betreut gleichzeitig Wettbewerber Ihres Unternehmens ohne vertragliche Vertraulichkeitsregelung.

Fragen Sie potenzielle Anbieter ausdrücklich nach anderen Mandaten und Geschäftsbeziehungen, die einen Interessenkonflikt begründen könnten. Ein klarer Punkt im Vertrag zur Offenlegungspflicht bei neuen potenziellen Konflikten ist empfehlenswert. Die Aufsichtsbehörde hat in mehreren Fällen DSB-Bestellungen für unwirksam erklärt, weil die Unabhängigkeit nicht gewährleistet war – mit der Folge, dass das Unternehmen faktisch ohne DSB dastand.

Das Auswahlgespräch mit potenziellen DSB-Anbietern sollte nicht als Verkaufsgespräch, sondern als fachliche Prüfung geführt werden. Folgende Fragen sind aufschlussreich:

1. Welche Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) haben Sie in den letzten zwei Jahren für vergleichbare Unternehmen durchgeführt?
2. Wie gehen Sie bei einer Datenpannenmeldung (Art. 33 DSGVO) vor – was ist Ihr Prozess in den ersten zwei Stunden nach Bekanntwerden?
3. Wie viele aktive DSB-Mandate betreuen Sie aktuell, und wie sichern Sie die Kapazität im Notfall ab?
4. Wie dokumentieren Sie Ihre Tätigkeit – welches System verwenden Sie für Audit-Log, Verarbeitungsverzeichnis und Schulungsnachweise?
5. Welche Aufsichtsbehörden-Verfahren haben Sie in Ihrer Tätigkeit begleitet?

Die Antworten geben Ihnen Aufschluss über die operative Erfahrung des Anbieters. Ein DSB, der bei der Frage nach dem konkreten Datenpannen-Prozess pausiert oder auf allgemeine Formulierungen ausweicht, hat möglicherweise wenig praktische Erfahrung mit akuten Compliance-Situationen – und die sind die teuersten.

Der Vertrag mit dem externen DSB ist kein Standarddienstleistungsvertrag. Er begründet ein besonderes Vertrauensverhältnis und muss spezifische Punkte regeln:

• Bestellurkunde: Als Anlage zum Vertrag oder als separates Dokument. Enthält die formale Bestellung, Namen, Datum, Unterschriften beider Seiten. Dies ist die Grundlage für alle weiteren Nachweise.
• Leistungskatalog: Explizit aufgelistet, nicht als Generalklausel. Jede nicht aufgeführte Tätigkeit wird nach Aufwand berechnet oder ist nicht enthalten.
• Berichtspflicht: Art. 38 Abs. 3 DSGVO schreibt die direkte Berichtslinie zur Leitungsebene vor. Der Vertrag sollte festlegen, in welchem Turnus und in welcher Form (Bericht, Meeting, Protokoll) berichtet wird.
• Verfügbarkeit und Reaktionszeiten: Insbesondere für Datenpannen-Situationen. Frist läuft ab Kenntnis – das muss in Stunden geregelt sein, nicht in Werktagen.
• Datenschutzvereinbarung zwischen den Parteien: Der DSB erhält Zugang zu personenbezogenen Daten Ihrer Mitarbeiter und Kunden. Dieser Zugang muss vertraglich geregelt sein.
• Kündigungsschutz: Art. 38 Abs. 3 DSGVO untersagt die Benachteiligung des DSB wegen der Ausübung seiner Aufgaben. Die Kündigung des Mandats muss sachlich begründbar sein.

Die Bestellung des DSB ist der Anfang, nicht das Ende des Prozesses. Ein professionelles Onboarding umfasst folgende Schritte:

1. Meldung an die Aufsichtsbehörde (Art. 37 Abs. 7 DSGVO): Der DSB muss der zuständigen Aufsichtsbehörde gemeldet werden. Dies geschieht online über das jeweilige Landesportal. Stellen Sie sicher, dass Ihr Anbieter diesen Schritt übernimmt oder begleitet.
2. Bekanntmachung im Unternehmen (Art. 38 Abs. 4 DSGVO): Mitarbeiter müssen den DSB kontaktieren können. Bekanntmachung per E-Mail-Verteiler und Intranet ist Standard.
3. Bestandsaufnahme der Verarbeitungstätigkeiten: Erstellung oder Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Dies ist oft die erste große Aufgabe des neuen DSB und legt die Grundlage für alle weiteren Maßnahmen.
4. Risikopriorisierung: Welche Verarbeitungsprozesse erfordern unmittelbar eine DSFA nach Art. 35 DSGVO? Welche Auftragsverarbeitungsverträge fehlen oder sind veraltet?
5. Schulungsplanung: Wann finden die ersten Mitarbeiterschulungen statt, und welche Gruppen haben Priorität?

Achten Sie darauf, dass Ihr Anbieter ein strukturiertes Onboarding-Protokoll mitbringt – kein Freitext-E-Mail-Austausch, sondern dokumentierbare Schritte. Audit-fest, dokumentiert, § 30-DSGVO-fest.

In der Praxis steht die DSB-Suche selten allein. Viele Unternehmen, die einen externen Datenschutzbeauftragten bestellen, haben gleichzeitig weitere Bestellpflichten – etwa den Informationssicherheitsbeauftragten nach §§ 30, 38 BSIG oder den Compliance-Beauftragten nach § 130 OWiG. Die Koordination zwischen diesen Rollen ist operativ anspruchsvoll.

Unternehmen, die mehrere Beauftragten-Mandate an verschiedene Einzelanbieter vergeben, stehen häufig vor dem Problem, dass die Dokumentationssysteme nicht kompatibel sind, Berichte in unterschiedlichen Formaten vorliegen und Übergaben bei Personalwechseln fehleranfällig sind.

Plattformanbieter, die mehrere Rollen unter einem gemeinsamen Workspace zusammenführen, lösen dieses Problem strukturell. Bei CIVAC können alle 25 Beauftragten-Rollen auf einer Plattform verwaltet werden – mit einheitlichem Audit-Log, gemeinsamer Dokumentationsstruktur und übergreifenden Schulungsnachweisen. Das vermeidet Doppelarbeit und schafft eine konsistente Compliance-Dokumentation für die gesamte Organisation. Informieren Sie sich über die Möglichkeiten auf der CIVAC-Seite zum externen Compliance-Beauftragten.

Die Suche nach einem externen Datenschutzbeauftragten ist ein strukturierter Prozess – von der Bedarfsanalyse über die Qualifikationsprüfung bis zur Vertragsgestaltung. Unternehmen, die diesen Prozess sorgfältig durchlaufen, stellen sicher, dass der bestellte DSB tatsächlich die Anforderungen des Art. 37 Abs. 5 DSGVO erfüllt und im Prüfungsfall belegbar kompetent ist.

CIVAC als Compliance-Plattform und Officer-as-a-Service stellt die Bestellung innerhalb von zwei Werktagen sicher: Vertrag, Bestellurkunde, Berichtslinie. Das zertifizierte Partnernetzwerk deckt alle relevanten Branchen und Unternehmensgrößen ab. Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie unsere Beauftragten bestellen. Beides ist möglich, beides ist auf derselben Plattform dokumentierbar.

Wer konkrete Anforderungen hat, erhält bei CIVAC eine individuelle Einschätzung: welche Qualifikationen für Ihre Branche sinnvoll sind, welche Betreuungstiefe Ihre Verarbeitungsstruktur erfordert und wie der Bestellprozess konkret abläuft.

Aus dem Lesen einen Auftrag machen: Kontaktieren Sie uns unter info@civac.de oder über das Kontaktformular auf civac.de.