Externer Datenschutzbeauftragter: Pflichten, Kosten und Bestellung 2026
1. Mai 2026
22 Min. Lesezeit
Datenschutz
Ein externer Datenschutzbeauftragter ist eine unternehmensfremde, fachlich qualifizierte Person, die nach Art. 37 DSGVO in Verbindung mit § 38 BDSG als Datenschutzbeauftragter eines Unternehmens bestellt wird. Die Bestellung ist in Deutschland für jedes Unternehmen verpflichtend, das mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt — unabhängig von Branche oder Umsatz. Externe DSB lösen den klassischen Interessenkonflikt interner Lösungen, sind in der Regel 40–70 % günstiger als eine interne Vollzeitstelle und decken zu jeder Zeit den vollen Aufgabenkatalog des Art. 39 DSGVO ab.
Kerntatsachen
Bestellpflicht nach BDSG § 38: ab 20 Beschäftigten mit automatisierter Verarbeitung — oder bei jeder Verarbeitung, die nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung erfordert.
Kosten für KMU: typischerweise 150–600 EUR netto / Monat; für mittelständische Unternehmen 600–1.500 EUR; ab Konzerngröße projektbasiert.
Aufgaben nach Art. 39 DSGVO: Unterrichtung und Beratung, Überwachung der Einhaltung, DSFA-Beratung, Anlaufstelle für Aufsichtsbehörde und Betroffene.
Unabhängigkeit ist gesetzlich gefordert (Art. 38 DSGVO) — externe DSB erfüllen das Kriterium per Definition besser als interne.
Bußgelder bei fehlender oder mangelhafter Bestellung: bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO) — der höhere Betrag gilt.
Meldepflicht an die zuständige Landesaufsichtsbehörde innerhalb angemessener Frist nach Bestellung.
Haftung liegt grundsätzlich beim Verantwortlichen (Unternehmen) — nicht beim externen DSB; externer DSB haftet nur bei Pflichtverletzung über die ausgehandelte Berufshaftpflicht.
Ein externer Datenschutzbeauftragter (externer DSB) ist eine natürliche Person außerhalb des Unternehmens, die per Vertrag mit dem Verantwortlichen die Funktion des Datenschutzbeauftragten übernimmt. Die Person bleibt arbeits- und gewerberechtlich selbstständig oder Angestellte einer Beratungsgesellschaft, ist aber operativ in das Unternehmen eingebunden und für alle Datenschutz-Themen der zentrale Ansprechpartner.
Im Unterschied zum internen DSB — der Mitarbeiter des eigenen Unternehmens ist — bringt der externe DSB drei strukturelle Vorteile mit:
Vorteil
Erklärung
Strukturelle Unabhängigkeit
Kein Interessenkonflikt durch Vorgesetztenhierarchie. Art. 38 Abs. 3 DSGVO verbietet Weisungen an den DSB — externe Position erfüllt das objektiv.
Spezialwissen
Externe DSB betreuen typischerweise 30–80 Mandanten parallel und kennen Best Practices, Bußgeldpraxis der Aufsichtsbehörden und Industriestandards.
Skalierbarkeit
Vertragsumfang kann an die tatsächliche Beanspruchung angepasst werden — vom Quartalstermin bis zur dauerhaften Verfügbarkeit.
Externe DSB sind in Deutschland seit Inkrafttreten der DSGVO am 25. Mai 2018 der Marktstandard für KMU geworden. Der Branchenverband BvD e. V. schätzt, dass über 70 % aller bestellten DSB in Deutschland heute extern arbeiten — die Mehrheit davon für mittelständische Mandanten.
Kennzahl
30.000 Unternehmen in Deutschland sind nach BDSG § 38 zur DSB-Bestellung verpflichtet. Davon nutzen rund 21.000 einen externen DSB (Schätzung BvD 2024). Die Lücke zwischen rechtlicher Pflicht und tatsächlicher Bestellung ist eines der häufigsten DSGVO-Versäumnisse — und ein häufiger Anlass für Bußgeldverfahren der Landesdatenschutzbehörden.
Rechtsgrundlagen — DSGVO und BDSG
Der externe DSB wird im deutschen Recht durch das Zusammenspiel von EU-Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG-neu) geregelt. Die DSGVO setzt den europäischen Rahmen, das BDSG ergänzt nationale Verschärfungen — insbesondere die strengere 20-Personen-Schwelle.
Maßgebliche Normen im Überblick
Norm
Inhalt
Art. 37 DSGVO
Benennungspflicht für öffentliche Stellen, Kerntätigkeit-Überwachung und Verarbeitung besonderer Kategorien
Art. 38 DSGVO
Stellung des DSB — Unabhängigkeit, Weisungsfreiheit, ressourcielle Ausstattung, Kündigungsschutz
Art. 39 DSGVO
Aufgabenkatalog — Beratung, Überwachung, DSFA-Begleitung, Anlaufstelle für Behörden
§ 38 BDSG
Verschärfung der Bestellpflicht in Deutschland — schon ab 20 Beschäftigten
§ 6 BDSG
Sondervorschriften für DSB öffentlicher Stellen
§ 40 BDSG
Anforderungen an Aufsichtsbehörden im Umgang mit DSB-Meldungen
Die deutsche Sonderrolle — § 38 BDSG
Während die DSGVO eine DSB-Bestellung nur in drei Konstellationen zwingend vorschreibt, geht das deutsche Recht deutlich weiter:
§ 38 Abs. 1 BDSG verlangt die Bestellung eines DSB, „soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen" — unabhängig von Branche, Umsatz oder Datenrisiko.
Das macht Deutschland zu einem der strengsten DSGVO-Umsetzungsländer Europas. In Frankreich, Italien oder Spanien greift die Bestellpflicht erst bei größeren Datenverarbeitungsvolumina.
Wann muss ein DSB bestellt werden?
Die Bestellpflicht ergibt sich aus drei kumulativ oder alternativ greifenden Tatbeständen:
1. DSGVO-Tatbestände (Art. 37 Abs. 1)
Tatbestand
Beispiel
Öffentliche Stelle
Bundes-, Landes- oder Kommunalbehörde, Sozialversicherungsträger, öffentliches Krankenhaus
Kerntätigkeit-Überwachung
Verkehrsdaten-Auswertung von Telekommunikationsanbietern, Werbenetzwerk-Tracking, Smart-Meter-Daten
Besondere Kategorien als Kerntätigkeit
Privatklinik, ärztliche Gemeinschaftspraxis, Pflegedienst, religiöse Einrichtung mit Mitgliedsdaten
2. Deutsche 20-Personen-Schwelle (§ 38 BDSG)
Die wichtigste Regel für deutsche Unternehmen: 20 Personen — gleich ob Geschäftsführer, Angestellte, Werkstudenten oder Leiharbeiter — die regelmäßig automatisiert personenbezogene Daten verarbeiten, lösen die Bestellpflicht aus.
Praktisch betrifft das:
jeden Mitarbeiter mit CRM-, ERP- oder HR-System-Zugriff
die Buchhaltung (Kunden- und Lieferantendaten)
den Vertrieb (Kundenkontakte, Angebote)
die Personalabteilung (Bewerber- und Mitarbeiterdaten)
jede Person, die Microsoft 365 oder ein vergleichbares Cloud-Office produktiv nutzt
In der Praxis bedeutet das: fast jedes Unternehmen ab ca. 20 Mitarbeitern muss einen DSB bestellen.
Selbst kleinere Unternehmen — auch unter 20 Mitarbeitern — müssen einen DSB bestellen, wenn sie eine Verarbeitung durchführen, die nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) erfordert. Beispiele:
systematische Bewertung mit automatisierten Entscheidungen (z. B. Bonitätsprüfung, KI-gestützte Personalauswahl)
innovative Technologien mit erhöhtem Risiko (z. B. Gesichtserkennung, Standortverfolgung)
Externer vs. interner DSB
Die Wahl zwischen externem und internem DSB ist eine der wichtigsten Strukturentscheidungen im Datenschutzbereich. Beide Optionen sind rechtlich zulässig, unterscheiden sich aber erheblich in Wirtschaftlichkeit, Unabhängigkeit und fachlicher Tiefe.
Direkter Vergleich
Kriterium
Externer DSB
Interner DSB
Rechtliche Zulässigkeit
uneingeschränkt
uneingeschränkt
Kostenstruktur
monatliche Pauschale, planbar
Vollzeit- oder Teilzeitstelle + Sozialabgaben + Schulungen
Typische Jahreskosten KMU
1.800–7.200 EUR
60.000–95.000 EUR (anteilig je nach FTE)
Unabhängigkeit nach Art. 38 DSGVO
strukturell gegeben
rechtlich möglich, organisational schwierig
Interessenkonflikt
praktisch ausgeschlossen
hoch — je nach interner Funktion (z. B. IT-Leiter, HR-Leiter)
Fachwissen-Tiefe
breit, aktuell, aus Mandantenpraxis
je nach Vorbildung schwankend
Verfügbarkeit
vertraglich definiert
dauerhaft im Haus
Kontinuität
gesichert durch Vertretung in der Beratungsgesellschaft
KMU, Mittelstand, internationale Konzerne mit DACH-Niederlassung
Großunternehmen mit eigener Datenschutzabteilung
Wann ist intern besser?
Ein interner DSB lohnt sich faktisch nur unter zwei Bedingungen:
Skala — ab ca. 1.000 Mitarbeitern oder bei ausgeprägter Datenverarbeitungsintensität
Branchen-Spezifik — z. B. Krankenhäuser, Versicherungen oder Finanzdienstleister mit hochkomplexen, regulierten Verarbeitungsprozessen
Selbst dann betreiben viele Konzerne ein Hybridmodell: ein interner Konzern-DSB für strategische Themen, externe DSB für einzelne Tochtergesellschaften oder Standortbetriebsstätten.
Aufgaben des externen DSB
Der gesetzliche Aufgabenkatalog ergibt sich aus Art. 39 Abs. 1 DSGVO und besteht aus fünf Kernfunktionen:
1. Unterrichtung und Beratung
Der DSB unterrichtet die Geschäftsleitung, Fachbereiche und Mitarbeiter über ihre Pflichten aus dem Datenschutzrecht und berät zu konkreten Verarbeitungsvorhaben. Praktisch bedeutet das:
Schulungen für Mitarbeiter (mindestens jährlich)
Stellungnahmen zu neuen IT-Systemen, Verträgen, Marketing-Tools
Bewertung neuer Verarbeitungstätigkeiten
2. Überwachung der Einhaltung
Der DSB überwacht, ob das Unternehmen DSGVO, BDSG und interne Datenschutzrichtlinien einhält. Dazu gehört:
regelmäßiger Datenschutz-Audit (mindestens jährlich, in regulierten Branchen halbjährlich)
Prüfung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO)
Kontrolle der technischen und organisatorischen Maßnahmen (Art. 32 DSGVO)
3. Beratung bei Datenschutz-Folgenabschätzungen
Bei Verarbeitungen mit hohem Risiko ist eine DSFA nach Art. 35 DSGVO durchzuführen. Der DSB berät zu Methodik, Risikobewertung und Maßnahmen — verantwortet die DSFA aber nicht selbst.
4. Anlaufstelle für Aufsichtsbehörden
Der DSB ist Kontaktperson für die zuständige Landesdatenschutzbehörde (z. B. LfDI Baden-Württemberg, BayLDA, BlnBDI) und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) bei bundesübergreifenden Verarbeitungen. Bei einer Datenpanne nach Art. 33 DSGVO koordiniert der DSB die Meldung in der vorgeschriebenen 72-Stunden-Frist.
5. Anlaufstelle für Betroffene
Jede Person, deren Daten verarbeitet werden, kann den DSB direkt kontaktieren. Sein Name oder seine Kontaktdaten müssen in der Datenschutzerklärung der Website veröffentlicht werden (Art. 13/14 DSGVO).
Was der DSB ausdrücklich NICHT tut
Falsche Erwartung
Realität
„Der DSB führt unsere Datenschutzerklärung."
Der DSB berät — die Datenschutzerklärung verantwortet das Unternehmen.
„Der DSB haftet bei einer Datenpanne."
Verantwortung liegt beim Verantwortlichen (Unternehmen). DSB haftet nur bei eigenem Pflichtverstoß.
Unterzeichnen darf nur der gesetzliche Vertreter — DSB prüft und freigibt.
„Der DSB löscht alte Daten."
Operative Löschung ist Aufgabe der Fachbereiche / IT — DSB überwacht.
Was kostet ein externer DSB?
Die Vergütung eines externen DSB richtet sich nach drei Faktoren: Unternehmensgröße, Verarbeitungskomplexität und Branchenrisiko. In Deutschland haben sich vier Honorarmodelle etabliert.
Typische Honorarmodelle
Modell
Wann sinnvoll
Preisspanne
Pauschale je Monat
Standardfall für KMU, planbare Grundbetreuung
150–600 EUR netto
Pauschale + Mandatsstunden
Mittelstand mit unregelmäßigem Beratungsbedarf
400 EUR Pauschale + 130–180 EUR/Std.
Stundensatz (vollständig variabel)
Konzerne mit eigener Datenschutzabteilung als Backup
150–250 EUR/Std.
Projektpauschale
Großprojekte (z. B. ISMS-Aufbau, DSFA-Programm)
5.000–50.000 EUR pauschal
Realistische Kostenspannen nach Unternehmensgröße
Unternehmensgröße
Beschäftigte
Monatliche Pauschale
Jahreskosten
Kleinunternehmen
10–50
150–350 EUR
1.800–4.200 EUR
Mittlere KMU
50–200
350–800 EUR
4.200–9.600 EUR
Mittelstand
200–500
800–1.500 EUR
9.600–18.000 EUR
Großer Mittelstand
500–2.000
1.500–3.500 EUR
18.000–42.000 EUR
Konzern (Tochter)
> 2.000
projektbasiert
individuell
Vergleich zu interner DSB-Stelle
Eine interne Vollzeitkraft als DSB kostet bei mittlerer Qualifikation in Deutschland:
Selbst bei einer 25-%-Stelle (was rechtlich oft nicht ausreicht) liegen die internen Vollkosten bei 19.500–28.900 EUR jährlich — über dem typischen externen Honorar für mittelständische Kunden.
Kennzahl
40–70 % Kostenersparnis gegenüber einer internen DSB-Stelle — der Hauptgrund, warum mittelständische Unternehmen bevorzugt extern bestellen.
Qualifikationsanforderungen
Art. 37 Abs. 5 DSGVO verlangt, dass der DSB auf Grundlage seiner „beruflichen Qualifikation und insbesondere des Fachwissens, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt" benannt wird. Die Norm ist offen formuliert — die deutsche Aufsichtspraxis hat aber konkrete Maßstäbe entwickelt.
CIPP/E (Certified Information Privacy Professional / Europe)
IAPP
international anerkannt, vor allem in Konzernen
CIPM (Certified Information Privacy Manager)
IAPP
für DSB mit Managementverantwortung
BvD-DSB-Qualifikation
Berufsverband der Datenschutzbeauftragten (BvD)
Branchenstandard, mit Pflichtfortbildung
udis-Zertifizierung
Ulmer Akademie für Datenschutz und IT-Sicherheit
hochwertig, akademisch fundiert
Was kein externer DSB sein darf (Interessenkonflikte)
Bestimmte Funktionen schließen die DSB-Bestellung aus, weil sie strukturell die Unabhängigkeit nach Art. 38 Abs. 6 DSGVO gefährden:
Geschäftsführer des verantwortlichen Unternehmens
IT-Leiter / CIO (entscheidet über Verarbeitungssysteme)
HR-Leiter / Personalleiter (entscheidet über Mitarbeiterdatenverarbeitung)
Marketingleiter (entscheidet über Kundendatenverarbeitung)
Jeder weisungsgebundene Mitarbeiter der oben genannten Bereiche
Externe DSB sind hier strukturell auf der sicheren Seite.
Bestellung in 5 Schritten
Die Bestellung eines externen DSB erfolgt in einem strukturierten Prozess. Die Reihenfolge der Schritte ist rechtlich nicht zwingend vorgegeben, hat sich aber in der Praxis bewährt.
Schritt 1: Bedarfsanalyse
Bevor Sie einen DSB beauftragen, klären Sie:
Wie viele Mitarbeiter verarbeiten regelmäßig automatisiert personenbezogene Daten?
Welche besonderen Kategorien (Art. 9 DSGVO) werden verarbeitet?
Bestehen DSFA-pflichtige Verarbeitungen?
Welche internen Ressourcen können den DSB unterstützen (Datenschutzkoordinator, Compliance-Officer)?
Schritt 2: Auswahl des externen DSB
Bewerten Sie mindestens drei Anbieter anhand der Kriterien aus dem letzten Kapitel. Achten Sie besonders auf:
Berufshaftpflichtversicherung mit ausreichender Deckungssumme (≥ 5 Mio. EUR Standard)
Vertretungsregelung im Krankheits- oder Urlaubsfall
Schritt 3: Vertragsgestaltung
Der DSB-Bestellvertrag muss mindestens folgende Inhalte regeln (Details im nächsten Abschnitt):
Aufgabenbeschreibung nach Art. 39 DSGVO
Vergütung und Nebenleistungen
Haftung und Versicherungsschutz
Geheimhaltung und Verschwiegenheit
Vertragsdauer und Kündigungsregelungen
Schritt 4: Formelle Bestellung und Bekanntmachung
Die Bestellung erfolgt durch Bestellungsurkunde des Verantwortlichen. Diese sollte schriftlich erfolgen und enthalten:
Name und Kontaktdaten des bestellten DSB
Beginn und Aufgabenkatalog
Befreiung von Weisungen in der Funktion als DSB
Zugriffsrechte auf relevante Geschäftsunterlagen
Die Bestellung ist intern bekannt zu machen — typischerweise per Rundschreiben oder Intranet-Veröffentlichung.
Schritt 5: Meldung an die Aufsichtsbehörde
Nach Art. 37 Abs. 7 DSGVO müssen die Kontaktdaten des DSB der zuständigen Landesdatenschutzbehörde mitgeteilt werden. Die meisten Behörden bieten dafür Online-Formulare an. Frist: in der Regel vier Wochen nach Bestellung.
Zusätzlich müssen die Kontaktdaten in der Datenschutzerklärung der Website veröffentlicht werden (Art. 13 Abs. 1 b DSGVO). Üblich ist eine Sektion „Datenschutzbeauftragter" mit Name, Kontaktanschrift und E-Mail-Adresse.
Vertragsgestaltung
Der DSB-Bestellvertrag ist ein Geschäftsbesorgungsvertrag im Sinne des § 675 BGB. Er sollte rechtssicher mindestens die folgenden Klauseln enthalten:
Pflichtbestandteile
Klausel
Inhalt
Aufgabenkatalog
Wörtlicher Verweis auf Art. 39 DSGVO + branchenspezifische Erweiterungen
Verfügbarkeit
Reaktionszeiten (z. B. „werktags binnen 24 Stunden"), Erreichbarkeit per Telefon und E-Mail
Vergütung
Pauschale, Stundensätze für Zusatzleistungen, Reisekostenregelung
Vertragsdauer
mindestens 1 Jahr (Mindestlaufzeit aus Aufsichtspraxis), Verlängerung automatisch
Kündigungsschutz
Kündigung nur aus wichtigem Grund (Spiegelung Art. 38 Abs. 3 DSGVO)
Wechselklausel — geregelte Übergabe der Unterlagen bei Vertragsende
Vorsicht bei Online-Plattformen mit DSB-Pauschale ab 49 EUR/Monat: solche Angebote decken oft nur eine formale Bestellung ohne tatsächliche Beratung. Die Aufsichtsbehörden prüfen zunehmend, ob der bestellte DSB seine Aufgaben tatsächlich wahrnimmt — andernfalls droht der Tatbestand der „Schein-Bestellung".
Haftung und Berufshaftpflicht
Eine der häufigsten Sorgen von Unternehmen: „Wer haftet, wenn etwas schiefgeht?"
Grundregel — Haftung beim Verantwortlichen
Die DSGVO stellt klar: Verantwortlicher ist und bleibt das Unternehmen (Art. 4 Nr. 7 DSGVO). Bußgelder nach Art. 83 DSGVO werden gegen das Unternehmen verhängt, nicht gegen den DSB. Auch zivilrechtliche Schadensersatzansprüche aus Art. 82 DSGVO richten sich gegen den Verantwortlichen.
Haftung des DSB im Innenverhältnis
Der externe DSB haftet seinem Auftraggeber gegenüber nur, wenn er seine vertraglichen oder gesetzlichen Pflichten schuldhaft verletzt. Klassische Haftungstatbestände:
fehlerhafte Beratung mit nachweisbarem Schaden
Versäumnisse bei der DSFA-Begleitung
mangelhafte Schulungen, die zu einer Datenpanne beitragen
unzureichendes Audit, das einen Bußgeld-relevanten Verstoß übersieht
mit eingeschlossen (zentral für Datenschutz-Mandate)
Bußgeldregress
abgedeckt, soweit gesetzlich versicherbar
Verlangen Sie vor Vertragsabschluss eine aktuelle Versicherungsbestätigung und lassen Sie sich vertraglich zusichern, dass die Police für die gesamte Vertragslaufzeit aufrechterhalten wird.
Häufige Fehler
Aus über 1.500 DSB-Audits, die Vision Compliance in den vergangenen Jahren begleitet hat, kristallisieren sich sieben typische Fehler heraus:
1. Verzögerte Bestellung
Unternehmen warten oft, bis sie 25–30 Mitarbeiter erreichen, bevor sie einen DSB bestellen. Damit liegen sie bereits monatelang in der Verletzung der BDSG-Pflicht — und riskieren ein Bußgeld.
2. Bestellung des „falschen" Mitarbeiters intern
IT-Leiter, HR-Leiter oder Geschäftsführer als interner DSB ist strukturell rechtswidrig (Art. 38 Abs. 6 DSGVO). Aufsichtsbehörden erkennen solche Bestellungen nicht an.
3. Fehlende oder veraltete Bekanntmachung
Die Kontaktdaten des DSB müssen in der Datenschutzerklärung stehen — und zwar mit aktueller E-Mail-Adresse. Veraltete Angaben führen zu Beanstandungen.
4. Nicht-Meldung an Aufsichtsbehörde
Etwa 15–20 % der bestellten DSB sind der zuständigen Behörde nicht offiziell gemeldet. Bei Bußgeldverfahren kann das den Tatbestand „Schein-Bestellung" begründen.
5. Keine Ressourcen für den DSB
Art. 38 Abs. 2 DSGVO verlangt, dass der DSB „die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen" erhält. Wenn der externe DSB jedoch nie Zugriff auf das Verarbeitungsverzeichnis bekommt oder Schulungstermine systematisch abgesagt werden, liegt ein DSGVO-Verstoß vor.
6. Untervertrag durch Beratungsgesellschaft ohne klare Person
Manche Anbieter bestellen nicht eine konkrete Person, sondern eine Gesellschaft. Das ist nach BvD-Auslegung nicht zulässig — der DSB muss eine natürliche Person sein. Achten Sie auf Klarheit im Vertrag.
7. Keine Vertretungsregelung
Wenn der externe DSB drei Wochen Urlaub macht und niemand vertritt, fällt die DSB-Funktion praktisch aus. Aufsichtsbehörden bewerten das als Pflichtverletzung des Verantwortlichen.
Typische Bußgelder
Die deutschen Landesdatenschutzbehörden haben in den letzten Jahren mehrere Bußgelder ausgesprochen, in denen die fehlende oder mangelhafte DSB-Bestellung ein wesentlicher Sanktionsgrund war.
Beispiele aus der Bußgeldpraxis
Jahr
Behörde
Sektor
Bußgeld
Hauptgrund
2023
LfDI Baden-Württemberg
Online-Handel
405.000 EUR
Mehrere Verstöße inkl. fehlende DSB-Bestellung trotz Bestellpflicht
2022
BlnBDI (Berlin)
Wohnungsunternehmen
14,5 Mio. EUR
Mehrere DSGVO-Verstöße, u. a. unzureichende DSB-Funktion
2021
LDI NRW
Mittelstand-Versandhandel
65.500 EUR
Bestellung eines IT-Leiters als interner DSB → Interessenkonflikt
2021
Hamburgischer Beauftragter
Handelskonzern
35,3 Mio. EUR
u. a. Versäumnisse bei Aufsichtsfunktion des DSB
Höhe nach Art. 83 DSGVO
Verstoß
Maximalbußgeld
Fehlende DSB-Bestellung trotz Pflicht
10 Mio. EUR oder 2 % weltweiter Jahresumsatz
Behinderung des DSB in seiner Funktion
10 Mio. EUR oder 2 % weltweiter Jahresumsatz
Falsche / unvollständige Behördenmeldung
10 Mio. EUR oder 2 % weltweiter Jahresumsatz
Hinzu kommen mögliche Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO sowie Reputationsschäden.
Auswahlkriterien
Bei der Auswahl des externen DSB lohnt sich ein systematischer Vergleich. Die folgenden zwölf Kriterien decken alle relevanten Risikodimensionen ab.
Checkliste — Bewertung externer DSB
Zertifizierung vorhanden (TÜV-DSB / CIPP/E / BvD)
Branchenerfahrung in Ihrem Sektor mindestens 3 Jahre
Mandantenstruktur — keine direkten Wettbewerber als Mandanten
Ab wann muss ich einen Datenschutzbeauftragten bestellen?
In Deutschland nach § 38 BDSG ab 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zusätzlich gilt die DSGVO-Pflicht (Art. 37) bei öffentlichen Stellen, Kerntätigkeit-Überwachung und Verarbeitung besonderer Kategorien.
Was kostet ein externer Datenschutzbeauftragter?
Für KMU typischerweise 150–600 EUR netto pro Monat, für mittelständische Unternehmen 600–1.500 EUR. Die genauen Kosten hängen von Mitarbeiterzahl, Verarbeitungskomplexität und Branche ab.
Was macht ein Datenschutzbeauftragter?
Nach Art. 39 DSGVO: Unterrichtung und Beratung der Geschäftsleitung, Überwachung der DSGVO-Einhaltung, Beratung bei Datenschutz-Folgenabschätzungen, Anlaufstelle für Aufsichtsbehörden und Betroffene.
Kann der Geschäftsführer DSB sein?
Nein — der Geschäftsführer kann nicht gleichzeitig DSB sein, weil der Interessenkonflikt nach Art. 38 Abs. 6 DSGVO ausgeschlossen ist. Auch IT-Leiter, HR-Leiter oder Marketingleiter sind ausgeschlossen.
Wie lange dauert die Bestellung eines externen DSB?
In der Regel 2–6 Wochen vom Erstgespräch bis zur formellen Bestellung. Bei Eilbedarf ist eine Bestellung innerhalb einer Woche möglich.
Muss der DSB der Aufsichtsbehörde gemeldet werden?
Ja — nach Art. 37 Abs. 7 DSGVO sind die Kontaktdaten der zuständigen Landesdatenschutzbehörde mitzuteilen. Frist: in der Regel vier Wochen nach Bestellung.
Welche Qualifikation muss ein DSB haben?
Art. 37 Abs. 5 DSGVO verlangt „berufliche Qualifikation und insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts". In der Praxis: nachweisbare Zertifizierung (TÜV-DSB, CIPP/E, BvD), Branchenerfahrung und kontinuierliche Fortbildung.
Haftet der externe DSB persönlich bei Datenpannen?
Nein — die Haftung trifft den Verantwortlichen (Unternehmen). Der DSB haftet nur im Innenverhältnis bei eigenem schuldhaftem Pflichtverstoß und ist dafür berufshaftpflichtversichert.
Wie kündige ich einen externen DSB?
Nach den vertraglichen Regelungen — typischerweise mit 3 Monaten zum Quartalsende. Bei einem „wichtigen Grund" (z. B. nachweislicher Pflichtverstoß) ist eine außerordentliche Kündigung möglich.
Kann ich auch ohne formelle Pflicht einen DSB bestellen?
Ja — eine freiwillige Bestellung ist zulässig und in den Augen der Aufsichtsbehörden ein positives Compliance-Signal. Sie unterliegt aber den vollen DSGVO-Anforderungen — also keine „DSB light".
Ein externer Datenschutzbeauftragter ist für die meisten deutschen Unternehmen ab 20 Mitarbeitern die wirtschaftlich und rechtlich überlegene Lösung gegenüber einer internen DSB-Stelle. Drei Faktoren entscheiden über den Erfolg der Beauftragung:
Erstens, die rechtskonforme Auswahl — keine Kompromisse bei Zertifizierung, Branchenerfahrung und Berufshaftpflicht. Eine Schein-Bestellung kostet im Bußgeldfall ein Vielfaches der vermeintlichen Ersparnis.
Zweitens, die saubere vertragliche Ausgestaltung — Aufgabenkatalog, Reaktionszeiten, Vertretungsregelung und Berichtswesen müssen klar geregelt sein.
Drittens, die operative Einbindung — der externe DSB ist nicht nur ein „Stempel" auf der Datenschutzerklärung, sondern ein aktiver Berater. Geben Sie ihm Zugriff auf die relevanten Verarbeitungen, ziehen Sie ihn bei jedem neuen IT-System hinzu und nutzen Sie seine Audits als Steuerungsinstrument.
Wer diese drei Bedingungen erfüllt, hat mit dem externen DSB nicht nur die rechtliche Pflicht erfüllt — sondern auch einen messbaren Wettbewerbsvorteil: weniger Bußgeldrisiko, höhere Kundenakzeptanz bei Datenschutzanfragen und schnellere Compliance-Freigaben für neue Geschäftsmodelle.
Vision Compliance ist als externer Datenschutzbeauftragter für Unternehmen vom KMU bis zum internationalen Konzern tätig. Wir kombinieren TÜV-zertifizierte DSB-Qualifikation mit branchenspezifischer Datenschutz-Beratung in den Sektoren Finanzdienstleistungen, Industrie, Gesundheitswesen, IT und Handel — ergänzt durch unsere DSGVO-Schulungen für Mitarbeiter. Sprechen Sie uns an für ein kostenloses Erstgespräch — wir bewerten Ihre Bestellpflicht und erstellen Ihnen ein konkretes Angebot innerhalb einer Woche.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
