Externer vs. interner Datenschutzbeauftragter: Wann lohnt sich welcher? Kosten, Pflichten, Entscheidungshilfe
25. April 2026
18 Min. Lesezeit
Datenschutz
Die Bestellung eines Datenschutzbeauftragten (DSB) ist in Deutschland in vielen Konstellationen Pflicht — nach Art. 37 DSGVO und der deutschen Sonderregel in § 38 BDSG. Verantwortliche stehen vor der Wahl zwischen einem internen DSB (eigene Mitarbeitende) und einem externen DSB (Beratungsfirma oder Einzelanwalt). Die Entscheidung ist nicht nur eine Kostenfrage — sie betrifft Unabhängigkeit, Fachexpertise, Haftung und Verfügbarkeit. Für KMU mit 20 – 500 Mitarbeitenden ist der externe DSB in der Regel die bessere Wahl; ab 500 Mitarbeitenden lohnt sich oft eine Hybrid-Lösung.
Kerntatsachen
Bestellpflicht in Deutschland — § 38 BDSG fordert einen DSB bei mindestens 20 Personen, die personenbezogene Daten ständig automatisiert verarbeiten — eine Sondervorschrift, die strenger ist als die DSGVO-Grundregel.
Externer DSB: typische Kosten 300 – 1.500 EUR/Monat je nach Unternehmensgröße und Komplexität.
Interner DSB: Vollkosten ab 80.000 EUR/Jahr (Personal, Schulung, Tooling, Vertretung) — wirtschaftlich erst ab Konzerngröße.
Höchstes Bußgeld in Deutschland für DSB-Pflichtverletzung: 12.000 EUR — Risiko liegt aber bei der Folgehaftung für Datenschutzverstöße, die ein DSB hätte verhindern können.
Kündigungsschutz für interne DSBs nach § 6 Abs. 4 BDSG — vergleichbar mit Betriebsrats-Schutz; bei externen DSBs gilt nur das Vertragsrecht.
Die Bestellpflicht ergibt sich aus zwei Quellen — dem EU-Recht (Art. 37 DSGVO) und dem . Letzteres ist für deutsche Unternehmen häufig der entscheidende Auslöser.
Artikel teilen
Brauchen Sie Unterstützung bei der Compliance?
Vereinbaren Sie ein kostenloses Erstgespräch
deutschen BDSG (§ 38)
Art. 37 DSGVO — EU-weit
Verantwortliche und Auftragsverarbeiter müssen einen DSB bestellen, wenn
sie eine Behörde oder öffentliche Stelle sind (außer Justiz im Rahmen der Rechtsprechung)
ihre Kerntätigkeit in einer umfangreichen regelmäßigen und systematischen Überwachung Betroffener besteht (z. B. Profiling, Tracking, Videoüberwachung großen Stils)
ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien (Art. 9, Gesundheits-, Gewerkschafts-, Genetik-, Biometriedaten) oder strafrechtlicher Daten (Art. 10) besteht
§ 38 BDSG — Deutsche Sondervorschrift
Über die DSGVO-Tatbestände hinaus gilt in Deutschland: Ein DSB ist bereits dann zu bestellen, wenn das Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
Praxis-Hinweis
"Personen" in § 38 BDSG umfasst Arbeitnehmer, Auszubildende, freie Mitarbeiter und Praktikanten — wer einen Arbeitsplatz mit PC und Zugriff auf personenbezogene Daten (Kunden-, Mitarbeiter-, Lieferanten-Daten) hat, zählt mit. Ein Mittelständler ab ~25 Mitarbeitenden ist daher fast immer bestellpflichtig.
Weitere Auslöser nach BDSG
Datenschutz-Folgenabschätzung (DSFA) — sobald eine DSFA erforderlich ist (Art. 35 DSGVO), folgt daraus die DSB-Pflicht (§ 38 Abs. 1 S. 2 BDSG)
Geschäftsmäßige Datenübermittlung zu Zwecken der Markt- oder Meinungsforschung — DSB-Pflicht unabhängig von der Mitarbeiterzahl
Freiwillige Bestellung
Auch ohne Pflicht kann eine Bestellung sinnvoll sein. Sie demonstriert Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO), reduziert Bußgeldrisiko in der Aufsichtspraxis und erleichtert die Vertragsverhandlung mit DSGVO-bewussten B2B-Kunden.
Aufgaben des Datenschutzbeauftragten
Art. 39 DSGVO definiert die Mindestaufgaben — unabhängig davon, ob der DSB intern oder extern ist:
Unterrichtung und Beratung des Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten über Datenschutzpflichten
Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften und der internen Datenschutz-Strategien
Beratung bei Datenschutz-Folgenabschätzungen nach Art. 35
Zusammenarbeit mit der Aufsichtsbehörde (BfDI bzw. zuständige Landesdatenschutzbehörde)
Anlaufstelle für Betroffene und Aufsichtsbehörden
Risikoorientierte Tätigkeit — der DSB priorisiert seine Aktivitäten nach Risikoebene
Was der DSB nicht tut
Er trifft keine Entscheidungen über Verarbeitungsvorgänge — das bleibt in der Verantwortung des Verantwortlichen.
Er ist nicht weisungsgebunden in Datenschutzfragen (Art. 38 Abs. 3 DSGVO).
Er ist kein Bauchladen-Ratgeber für rein operative IT-Sicherheits-Themen — diese gehören zum CISO oder zur IT-Abteilung.
Externer DSB — Vor- und Nachteile
Vorteile
Tiefe Fachexpertise. Externe DSBs bringen Erfahrungen aus Dutzenden Mandaten ein — wichtig bei seltenen Konstellationen (Auftragsverarbeitung, Drittlandtransfers, Beschäftigtendatenschutz).
Strukturelle Unabhängigkeit. Kein Interessenkonflikt mit anderen Funktionen im Unternehmen — keine Doppelrolle als HR-Leiter, IT-Leiter oder Geschäftsführer (was bei internen Bestellungen oft zum bußgeldrelevanten Konfliktfall wird).
Aktualität. Externe DSBs investieren beruflich in Fortbildung — sie kennen aktuelle EuGH-Urteile, BGH-Entscheidungen, BfDI-Rundschreiben, Stellungnahmen der DSK und neue Aufsichtsschwerpunkte.
Kalkulierbare Fixkosten. Monatliche Pauschale, keine HR-Nebenkosten, keine Vertretungsregelung im Urlaub oder Krankheitsfall.
Skalierbarkeit. Mehr Aufwand bei akuten Themen (Datenpanne, Aufsichtsverfahren, M&A-Prozess) — das Mandat wird flexibel hochgefahren.
Kein Kündigungsschutz. Die vertragliche Beziehung kann mit angemessener Frist beendet werden — bei internen DSBs gilt Kündigungsschutz nach § 6 Abs. 4 BDSG.
Nachteile
Begrenzte Tiefe der internen Kenntnis. Ein externer DSB kennt das Unternehmen nicht so intim wie ein interner. Wichtige Workshops und Onboarding-Phasen sind nötig.
Reaktive Verfügbarkeit. Der externe DSB ist nicht im Haus — bei zeitkritischen Vorfällen (Datenpanne, Aufsichtsanfrage) muss erreichbar sein. Seriöse Anbieter garantieren Reaktionszeiten von 4–24 Std.
Vertragsabhängigkeit. Bei Wechsel des Anbieters geht institutionelles Wissen verloren — gute Übergabedokumentation ist Pflicht.
Rechnungsgrenzen. Bei extrem kleinen Unternehmen (unter 20 Mitarbeitenden, niedrige Komplexität) liegt die monatliche Pauschale unter Umständen hoch im Verhältnis zum Bedarf.
Interner DSB — Vor- und Nachteile
Vorteile
Tiefe Unternehmenskenntnis. Der interne DSB kennt Prozesse, Abteilungen, Politik und Stakeholder. Er kann Datenschutzfragen schneller in den Geschäftskontext einordnen.
Tägliche Verfügbarkeit. Vor Ort — direkt ansprechbar, in Meetings einsetzbar, bei Workshops dabei.
Integration in Compliance-Strukturen. Der interne DSB kann nahtlos mit CISO, Compliance Officer, Geldwäschebeauftragter und ggf. Hinweisgeberbeauftragter zusammenarbeiten.
Identifikation mit dem Unternehmen. Höhere Loyalität, mehr Engagement bei kulturellen Veränderungen.
Nachteile
Hohe Vollkosten. Bei einer Vollzeitstelle (DSB plus Datenschutz-Koordinator) liegen die Vollkosten bei 80.000 – 150.000 EUR/Jahr — Gehalt, Fortbildung, Tooling, Reisekosten, Vertretungsregelung.
Schulungsaufwand. Ohne Vorkenntnisse benötigt der interne DSB 6–12 Monate intensive Fortbildung — Zertifikate (CIPP/E, CIPM, ISO 27001 Lead Auditor) und laufendes Monitoring der Aufsichtspraxis.
Interessenkonflikte. Häufiger Risikofaktor — der interne DSB darf nicht gleichzeitig die Verarbeitungszwecke festlegen. Konflikte entstehen typisch bei IT-Leitern, HR-Verantwortlichen, Compliance Officern oder Geschäftsführern in Doppelrolle.
Vertretung. Krankheit, Elternzeit, Urlaub — ein interner DSB benötigt eine Vertretungsregelung, die Aufwand für ein zweites Set an Schulungen mit sich bringt.
Kündigungsschutz. § 6 Abs. 4 BDSG schützt interne DSBs bis zu einem Jahr nach Beendigung der DSB-Funktion. Schwer zu trennen, wenn die Funktion nicht funktioniert.
Eingeschränkter Erfahrungshorizont. Nur ein Mandat — der interne DSB lernt langsamer als ein externer Anbieter mit mehreren Kunden.
Kostenvergleich
Externer DSB — Marktübliche Pauschalen
Unternehmensgröße
Komplexität
Monatliche Pauschale (typisch)
20–49 MA
Standard (B2B, kein Tracking, keine besonderen Daten)
Bestellung als externer DSB nach Art. 37 DSGVO / § 38 BDSG
Reguläres Audit (1 – 2 × jährlich)
Telefon-/E-Mail-Hotline
Beratung zu DSFA, AVV-Reviews, Drittlandtransfers
Mitarbeiterschulungen (1 – 2 × jährlich)
Begleitung bei Aufsichtsanfragen
Update-Newsletter zu regulatorischen Änderungen
Zusatzleistungen (nach Stundensatz oder Festpreis):
Datenpannen-Bearbeitung über die normale Hotline-Zeit hinaus
M&A-Datenschutz-Due-Diligence
Spezielle DSFAs für komplexe Verarbeitungen
Implementierungs-Projekte (z. B. Cookie-Consent, Tracking-Audit)
Interner DSB — Vollkostenrechnung
Position
Bandbreite (Vollzeit)
Bruttogehalt
65.000 – 110.000 EUR
Lohnnebenkosten (~22%)
14.300 – 24.200 EUR
Schulungen und Zertifikate
4.000 – 8.000 EUR/Jahr
Tooling (GRC-Plattform, ISMS)
5.000 – 25.000 EUR/Jahr
Reisekosten, Konferenzen
2.500 – 6.000 EUR
Vertretung (anteilig)
5.000 – 15.000 EUR
Bürokosten und Overhead (anteilig)
8.000 – 18.000 EUR
Gesamt-Vollkosten/Jahr
103.800 – 206.200 EUR
Wirtschaftlichkeit
Die magische Schwelle liegt bei rund 500 Mitarbeitenden oder regulatorisch komplexem Geschäft (Health-Tech, Banken, Versicherungen, Online-Plattformen mit Tracking). Darunter ist ein externer DSB fast immer wirtschaftlicher; darüber lohnt sich der interne DSB plus externe Fachunterstützung für Spezialthemen.
Unabhängigkeit und Interessenkonflikte
Art. 38 Abs. 6 DSGVO verbietet, dass der DSB eine Doppelfunktion ausübt, die zu Interessenkonflikten führt. Die Aufsichtsbehörden haben hierzu mehrfach klargestellt:
Klassische Konfliktrollen — DSB darf nicht gleichzeitig sein
Geschäftsführer / Vorstand — entscheidet selbst über Verarbeitungszwecke
IT-Leiter / CTO — entscheidet über Verarbeitungsmittel und kontrolliert die Systeme, die der DSB überwachen muss
HR-Leiter — verantwortlich für die Beschäftigtendaten, die der DSB überwachen muss
Marketing-Leiter — entscheidet über Tracking, Profiling und Kommunikationsmaßnahmen
Compliance Officer — bei interner Auslegung kann es zu Konflikten kommen, wenn Compliance auch Verarbeitungszwecke billigt
Bußgeld-Praxis
Der BayLDA verhängte 2023 eine Geldbuße von 12.000 EUR gegen ein mittelständisches Unternehmen, weil der bestellte DSB gleichzeitig als IT-Leiter agierte. Vergleichbare Fälle finden sich bei BlnBDI, LfDI Baden-Württemberg und LDI NRW.
Empfehlung
Bei interner Bestellung: Eine separate Stabsstelle mit direkter Berichtspflicht an die Geschäftsleitung — ohne operative Verantwortung in IT, HR oder Marketing.
Bei kleinen Unternehmen, in denen eine eigene Stabsstelle nicht möglich ist: externer DSB ist die rechtssichere Lösung.
Haftung — wer haftet wofür?
Haftung des DSB
Der DSB haftet nicht für Datenschutzverstöße des Unternehmens — die Verantwortung trägt der Verantwortliche (Art. 24 DSGVO). Allerdings:
Pflichtverletzungen des DSB selbst (mangelhafte Beratung, unterlassene Risikohinweise) können zu Schadenersatzansprüchen führen.
Externer DSB: Haftung nach Vertragsrecht, typischerweise begrenzt durch eine Berufshaftpflichtversicherung des Anbieters (Deckungssumme 1 – 5 Mio. EUR Standard).
Interner DSB: Haftung nach allgemeinem Arbeitsrecht — eingeschränkte Haftung bei einfacher und mittlerer Fahrlässigkeit; bei grober Fahrlässigkeit volle Haftung.
Haftung des Verantwortlichen
Bußgelder werden gegen das Unternehmen (Verantwortlicher) verhängt, nicht gegen den DSB persönlich. Die Geschäftsleitung kann jedoch innenhaftungsrechtlich in Anspruch genommen werden, wenn sie die DSB-Empfehlungen ignoriert hat.
Versicherungsempfehlung
Bei externer Bestellung: Vertragspartner muss Berufshaftpflichtversicherung mit ausreichender Deckung nachweisen (mindestens 1 Mio. EUR, üblich 2–5 Mio. EUR). Dies sollte im Beratungsvertrag vereinbart sein. Bei intern bestelltem DSB: Prüfen Sie die D&O-Police auf Mitversicherung der DSB-Funktion.
Hybrid-Modell — Datenschutz-Koordinator plus externer DSB
Für Unternehmen ab 250 Mitarbeitenden hat sich ein Hybrid-Modell bewährt:
Interner Datenschutz-Koordinator (Vollzeit oder Teilzeit) — übernimmt operative Aufgaben: Bearbeitung von Betroffenenanfragen, Pflege des Verzeichnisses von Verarbeitungstätigkeiten (VVT), Abstimmung mit Fachabteilungen, Schulungsdurchführung. Er ist nicht der bestellte DSB.
Externer DSB mit gesetzlicher Funktion — übernimmt die gesetzliche Bestellung, das jährliche Audit, die DSFA-Begleitung und die externe Schnittstelle zur Aufsichtsbehörde.
Vorteile: Kombination aus interner Verfügbarkeit und externer Unabhängigkeit/Expertise. Der Datenschutz-Koordinator kann auch interne IT-Funktionen oder andere Compliance-Aufgaben mitverantworten — die Trennung der DSB-Funktion (extern) hält das Unabhängigkeitsgebot.
Kostenrahmen: typisch 60.000 – 120.000 EUR/Jahr (interner Koordinator als Teilzeitstelle plus externe DSB-Pauschale).
Entscheidungs-Framework für Ihr Unternehmen
Kriterium
Externer DSB
Interner DSB
Hybrid (Koordinator + externer DSB)
Bis 50 MA
✅
✗ (zu teuer)
✗ (zu teuer)
50–250 MA
✅
⚠ (selten lohnend)
⚠ (gut bei hoher Komplexität)
250–500 MA
✅
⚠ (möglich)
✅
500+ MA
⚠ (möglich, aber hohe Pauschale)
✅
✅
Hohe regulatorische Komplexität (Health, Bank, Online-Plattform)
✅ (Spezialwissen)
⚠ (nur mit externem Co-Berater)
✅
Internationaler Konzern mit deutscher Niederlassung
✅ (lokales Know-how)
⚠ (passt selten zur Konzernstruktur)
✅
Häufige Datenpannen / Vorfälle
⚠ (Bedarfs-Eskalation)
✅ (sofortige Verfügbarkeit)
✅
Hoher Schulungsbedarf der Belegschaft
✅ (externe Trainer)
⚠ (Kapazitätsfrage)
✅
Doppelrollen-Risiko bei internen Kandidaten (IT-Leiter, HR, Compliance)
✅ (vermeidet Konflikt)
✗ (Konfliktrisiko)
✅
Faustregel für deutsche Mittelständler
Bis 250 Mitarbeitende → externer DSB. 250–500 Mitarbeitende → externer DSB oder Hybrid. Ab 500 Mitarbeitende → Hybrid mit internem Datenschutz-Koordinator und externer DSB-Funktion. Internen Vollzeit-DSB nur bei großem Konzern, hoher Komplexität (Health, Bank) oder besonderem Anspruch der Geschäftsleitung.
Häufig gestellte Fragen
Brauche ich einen DSB, wenn ich nur 15 Mitarbeitende habe?
Nicht zwangsläufig nach § 38 BDSG (20-Personen-Schwelle). Doch wenn Ihre Kerntätigkeit Profiling, Tracking oder die Verarbeitung von Gesundheits-, Biometrie- oder strafrechtlichen Daten umfasst, besteht die DSB-Pflicht direkt nach Art. 37 DSGVO — unabhängig von der Mitarbeiterzahl. Auch eine DSFA-Pflicht löst die DSB-Pflicht aus.
Kann ich den DSB im Konzern für mehrere Tochtergesellschaften benennen?
Ja. Art. 37 Abs. 2 DSGVO erlaubt eine gemeinsame Bestellung im Konzern, sofern der DSB von jeder Stelle leicht erreichbar ist. Praktisch bedeutet das: Eine zentrale DSB-Funktion mit klarer Erreichbarkeit für alle Standorte. Bei länderübergreifenden Konzernen ist häufig ein lokaler DSB pro Land sinnvoll, da nationale Sondervorschriften (wie § 38 BDSG) variieren.
Muss der DSB eine bestimmte Qualifikation haben?
Art. 37 Abs. 5 DSGVO verlangt "Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis". Konkrete Zertifikate sind nicht vorgeschrieben — am Markt dominieren CIPP/E (IAPP), CIPM (IAPP) und Branchen-Spezialzertifikate (z. B. udis, BvD, TÜV-Zertifikate). Für die Aufsichtspraxis zählt zusätzlich nachgewiesene Praxiserfahrung.
Wie wechsle ich von intern auf extern (oder umgekehrt)?
Bestellung des neuen DSB durch den Verantwortlichen (Geschäftsleitung)
Meldung des Wechsels an die zuständige Aufsichtsbehörde (BfDI oder Landesdatenschutzbehörde)
Übergabe — Verzeichnis von Verarbeitungstätigkeiten, offene DSFAs, laufende Aufsichtsverfahren, Schulungsdokumentation
Information der Betroffenen über die neue Anlaufstelle (Aktualisierung der Datenschutzhinweise und Kontaktdaten)
Bei interner Abberufung: Beachtung des Kündigungsschutzes nach § 6 Abs. 4 BDSG — Abberufung nur aus wichtigem Grund
Was kostet ein guter externer DSB für ein Unternehmen mit 100 Mitarbeitenden?
Marktüblich 600 – 1.200 EUR/Monat je nach Komplexität, Branche und Leistungsumfang. Achten Sie nicht nur auf den Preis, sondern auf: Erreichbarkeitsgarantie, Inkludierte Audits, Schulungstage pro Jahr, Branchenerfahrung, Berufshaftpflichtversicherung und Kündigungsfristen (üblich 3 – 6 Monate).
Kann ein Datenschutz-Beratungsdienstleister gleichzeitig DSB sein?
Ja, das ist sogar das typische Modell beim externen DSB. Wichtig: Der Vertrag muss klar zwischen DSB-Funktion (Art. 37 DSGVO) und Beratungsleistungen unterscheiden, da die DSB-Pflichten aus dem Gesetz folgen, während andere Beratung vertraglich vereinbart wird. Einige Aufsichtsbehörden empfehlen, dass der Beratungsdienstleister nicht gleichzeitig die für ihn beratungsgegenständlichen Verarbeitungen verantwortlich gestaltet — z. B. ein IT-Dienstleister, der zugleich DSB für seine eigene Cloud-Lösung wäre.
Wie wirkt sich NIS-2 auf die DSB-Bestellung aus?
NIS-2 führt keine eigene DSB-Pflicht ein — der Datenschutzbeauftragte bleibt eine DSGVO-/BDSG-Funktion. Allerdings überschneiden sich die Pflichten teilweise: Datenpannen mit Cyber-Ursache lösen sowohl die NIS-2-Meldepflicht als auch die DSGVO-Meldepflicht aus. Der DSB sollte daher mit dem CISO und der NIS-2-Meldekette eng abgestimmt sein.
Gilt der Kündigungsschutz auch für externe DSBs?
Nein. Der Kündigungsschutz nach § 6 Abs. 4 BDSG gilt nur für interne, arbeitsvertraglich angestellte DSBs. Bei externen DSBs gelten die vertraglichen Kündigungsfristen (üblich 3 – 6 Monate). Eine fristlose Kündigung ist nur aus wichtigem Grund möglich.
Fazit
Die Wahl zwischen externem und internem DSB ist keine reine Kostenfrage — sie betrifft Unabhängigkeit, Fachexpertise, Verfügbarkeit und Skalierbarkeit. Für die große Mehrheit deutscher Mittelständler (20–500 Mitarbeitende) ist der externe DSB die wirtschaftlich und rechtlich sicherere Wahl. Ab 500 Mitarbeitenden lohnt sich häufig ein Hybrid-Modell mit internem Datenschutz-Koordinator und externer DSB-Funktion.
Strategische Empfehlung
Bestellpflicht jetzt prüfen. § 38 BDSG (20-Personen-Schwelle) wird in der Praxis häufig übersehen — Bußgelder für unterlassene Bestellung sind Realität.
Interessenkonflikte vermeiden. Wenn intern keine konfliktfreie Stabsstelle möglich ist — extern bestellen.
Vertragstiefe prüfen. Ein guter externer DSB-Vertrag inkludiert Audits, Hotline, Schulungen, Datenpannen-Begleitung und SLA für Reaktionszeiten.
Mit CISO/Cyber-Security verzahnen. Die DSB-Funktion ist eng mit Informationssicherheit und NIS-2-Compliance verbunden — Doppelarbeit vermeiden, gemeinsame Meldekette aufbauen.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
