Der bisherige Datenschutzbeauftragte antwortet seit Wochen nicht. Oder die letzte Prüfung hat ergeben, dass die Dokumentation Lücken hat. Vielleicht stimmt auch einfach die Chemie nicht mehr. Die Gründe für einen DSB-Wechsel sind vielfältig – der Ablauf ist immer derselbe.
Viele Unternehmen scheuen den Schritt, weil sie Wissensverlust und Behördenärger fürchten. Zu Recht: Ein schlecht geplanter Wechsel kann genau das verursachen. Aber ein gut geplanter Wechsel verbessert Ihren Datenschutz deutlich.
Dieser Artikel zeigt, wie Sie Ihren Datenschutzbeauftragten wechseln – rechtssicher, strukturiert und ohne Lücke im Datenschutz.
Nicht jeder Anlass erfordert gleich einen Wechsel. Aber bestimmte Warnsignale sollten Sie ernst nehmen:
Treffen zwei oder mehr Punkte zu, ist ein Wechsel sinnvoll.
Beim Wechsel des Datenschutzbeauftragten müssen Sie zwei Dinge trennen:
Die Bestellung endet nicht automatisch mit der Vertragskündigung. Beides muss separat und schriftlich erfolgen. Sonst bleibt der alte DSB formal bestellt – obwohl er nicht mehr arbeitet.
Bei einem externen Datenschutzbeauftragten richten sich die Kündigungsfristen nach dem Dienstvertrag. Üblich sind ein bis drei Monate zum Monats- oder Quartalsende. Der besondere Kündigungsschutz nach § 6 Abs. 4 BDSG greift bei externen DSBs in der Regel nicht – die Abberufung ist auch ohne wichtigen Grund möglich.
Bei internen DSBs gilt ein starker Kündigungsschutz. Eine Abberufung ist nach Art. 38 Abs. 3 DSGVO nur aus wichtigem Grund möglich. Das Arbeitsverhältnis bleibt davon unberührt. Ein Wechsel auf einen externen DSB erfordert sorgfältige arbeitsrechtliche Begleitung.
Planen Sie den DSB-Wechsel mindestens drei Monate im Voraus. So bleibt genug Zeit für Vertragskündigung, Auswahl des neuen DSB und eine ordentliche Übergabe. Wer unter Zeitdruck wechselt, riskiert Dokumentationslücken und Behördenärger.
Lesen Sie den bestehenden Dienstvertrag. Notieren Sie Kündigungsfrist, Laufzeit und Regelungen zur Herausgabe von Unterlagen. Prüfen Sie, ob die Bestellung schriftlich dokumentiert ist.
Kündigen Sie den Dienstvertrag schriftlich und widerrufen Sie gleichzeitig die datenschutzrechtliche Bestellung. Beides muss dokumentiert und dem bisherigen DSB nachweisbar zugehen.
Suchen Sie den neuen DSB, bevor die Kündigungsfrist abläuft. Achten Sie auf Fachkunde nach Art. 37 Abs. 5 DSGVO, Branchenerfahrung und Erreichbarkeit. Unser Datenschutz-Check zeigt Ihnen, wo Ihr Unternehmen steht.
Planen Sie eine Überlappungsphase von zwei bis vier Wochen. In dieser Zeit übergibt der alte DSB alle Unterlagen und briefed den Nachfolger. Idealerweise findet mindestens ein gemeinsamer Termin statt.
Art. 37 Abs. 7 DSGVO verpflichtet Sie, die Kontaktdaten des neuen DSB der zuständigen Aufsichtsbehörde mitzuteilen. Die meisten Landesdatenschutzbehörden bieten dafür ein Online-Portal an. Melden Sie dort auch die Abmeldung des bisherigen DSB.
Aktualisieren Sie alle Dokumente, in denen der DSB genannt wird: Datenschutzerklärung, Verarbeitungsverzeichnis, interne Richtlinien, Impressum und Aushänge. Informieren Sie Mitarbeitende über den neuen Ansprechpartner.
Diese Unterlagen muss der bisherige DSB herausgeben bzw. der neue DSB erhalten:
Fordern Sie alle Unterlagen schriftlich an und setzen Sie eine Frist von 14 Tagen. Der Dienstvertrag regelt in der Regel, dass die Dokumentation im Eigentum des Unternehmens verbleibt.
“Fünf Tage vor der TÜV-Rezertifizierung ISO 9001 kam die E-Mail: Können Sie uns helfen? Zum Glück lag das Wochenende dazwischen. Der Auditor war am Ende begeistert.”
— Nils, frag.hugo
Nicht jeder Wechsel verläuft geordnet. Wenn der bisherige DSB keine Unterlagen herausgibt oder die Dokumentation unvollständig ist, wird es eng. Aber auch das lässt sich lösen:
Dokumentation fehlt komplett? Dann erstellt der neue DSB eine Bestandsaufnahme von Grund auf. Das ist aufwendiger, liefert aber oft ein besseres Ergebnis als veraltete Altdokumente.
Unterlagen werden zurückgehalten? Die Herausgabepflicht ergibt sich aus dem Dienstvertrag. Im Zweifel hilft eine anwaltliche Aufforderung.
Kein Übergabetermin möglich? Der neue DSB kann auch ohne persönliche Übergabe starten – vorausgesetzt, die Kernunterlagen liegen vor.
Die Meldepflicht nach Art. 37 Abs. 7 DSGVO wird oft vergessen. Das kann teuer werden: Bis zu 10 Millionen Euro Bußgeld oder 2 % des weltweiten Jahresumsatzes drohen bei Verstößen.
So melden Sie den Wechsel:
Die Meldung dauert fünf Minuten. Vergessen Sie sie nicht.
Viele Unternehmen nutzen den DSB-Wechsel, um von einem internen auf einen externen Datenschutzbeauftragten umzusteigen. Die Vorteile:
| Kriterium | Interner DSB | Externer DSB |
|---|---|---|
| Kosten | Gehalt + Fortbildung + Freistellung | Fester Monatsbetrag |
| Fachkunde | Muss kontinuierlich aufgebaut werden | Bereits vorhanden |
| Haftung | Unternehmen haftet | DSB-Dienstleister haftet mit |
| Kündigungsschutz | Stark geschützt (§ 6 Abs. 4 BDSG) | Vertraglich geregelt |
| Unabhängigkeit | Interessenkonflikte möglich | Strukturell unabhängig |
Einen ausführlichen Vergleich finden Sie in unserem Artikel Externer vs. interner Datenschutzbeauftragter. Wie die Bestellung konkret abläuft, beschreibt der Beitrag Datenschutzbeauftragter bestellen – Ablauf und Checkliste.
Ein DSB-Wechsel ist kein Risiko, sondern eine Chance. Richtig geplant, verbessert er Ihren Datenschutz und gibt Ihnen die Sicherheit, dass jemand wirklich hinschaut.
DSB-Wechsel geplant?
Wir übernehmen nahtlos – inklusive Übergabe, Dokumentenprüfung und Behördenmeldung.
Unkompliziert wechseln →Beim DSB-Wechsel in Hamburg müssen Sie die Abmeldung des alten und die Neumeldung des neuen Datenschutzbeauftragten bei der HmbBfDI vornehmen. Das funktioniert über das Online-Formular der Behörde. Erfahrungsgemäß dauert die Bestätigung wenige Werktage. Wichtig: Lassen Sie keine Lücke entstehen — die Hamburger Aufsichtsbehörde dokumentiert den Zeitraum ohne benannten DSB, und das kann bei einer späteren Prüfung unangenehm werden. Wenn Sie den Wechsel reibungslos gestalten wollen, übernehmen wir als externer DSB in Hamburg auch die komplette Übergabe mit dem bisherigen Beauftragten.
Bei einem externen DSB gilt die vertraglich vereinbarte Kündigungsfrist. Bei einem internen DSB greift der besondere Kündigungsschutz nach § 6 Abs. 4 BDSG: Die Abberufung ist nur aus wichtigem Grund möglich, und der Kündigungsschutz wirkt ein Jahr nach.
Ja. Nach Art. 37 Abs. 7 DSGVO müssen Sie die Kontaktdaten des neuen Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitteilen. Die Meldung erfolgt in der Regel online über das Portal der jeweiligen Landesbehörde.
Verarbeitungsverzeichnis, TOM-Dokumentation, Datenschutz-Folgenabschätzungen, AVV-Übersicht, Datenschutzerklärungen, Schulungsnachweise und das Löschkonzept. Erstellen Sie eine vollständige Übergabe-Checkliste.
Ja, das ist möglich und für KMU oft sinnvoll. Ein externer DSB bringt breitere Erfahrung mit und ist nicht in Interessenkonflikte verwickelt. Beachten Sie aber den nachwirkenden Kündigungsschutz des bisherigen internen DSB.
Ohne bestellten DSB verstoßen Sie gegen die Benennungspflicht nach Art. 37 DSGVO. Planen Sie den Übergang deshalb überlappend, sodass der neue DSB startet, bevor der alte aufhört.
Inhaltsverzeichnis
Datenschutzbeauftragter bestellen: Der komplette Ablauf in 5 Schritten für Hamburger Unternehmen – von der Pflichtprüfung bis zur Behördenmeldung.
WeiterlesenAb wann ist ein Datenschutzbeauftragter Pflicht? BDSG §38, DSGVO Art. 37 und die Ausnahmen – verständlich erklärt für Hamburger Unternehmen.
WeiterlesenExterner oder interner Datenschutzbeauftragter? Kosten, Vorteile und Nachteile im Vergleich – mit konkreten Zahlen für KMU in Hamburg.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
