Direkt zum Artikeltext springen

Inhalt in Kürze

  • Der externe Datenschutzbeauftragte berät, prüft und dokumentiert – rechtlich und organisatorisch. Er betreibt selbst keine Technik.
  • Die (externe) IT-Abteilung setzt technisch um und betreibt die Systeme: Firewalls, Backups, Berechtigungen, Verschlüsselung.
  • Beide Rollen greifen an vier Schnittstellen ineinander: TOM, Datenpanne-Meldung, AVV-Prüfung und Berechtigungskonzept.
  • Für KMU ohne eigenes Team ist das Duo „externer DSB + externe IT” die schlankste Lösung, um die DSGVO nachweisbar zu erfüllen.

Datenschutz und IT-Betrieb werden oft in einen Topf geworfen. In Wahrheit sind es zwei getrennte Rollen mit klaren Zuständigkeiten – die ohne einander aber nicht funktionieren. Wer die Abgrenzung kennt, spart sich Doppelarbeit, Haftungslücken und teure Missverständnisse.

Externer Datenschutzbeauftragter und externe IT: zwei Rollen, ein Ziel

Laut Art. 39 DSGVO berät und überwacht der Datenschutzbeauftragte – die technischen Maßnahmen schuldet nach Art. 32 DSGVO hingegen das Unternehmen selbst.

Diese Trennung ist kein Formalismus, sondern der Kern der Zusammenarbeit. Zwei Definitionen machen es greifbar:

  • Ein externer Datenschutzbeauftragter ist: ein extern bestellter Fachexperte, der die Einhaltung der DSGVO berät, überwacht und dokumentiert – ohne selbst die IT zu betreiben.
  • Eine externe IT-Abteilung ist: ein Managed-IT-Dienstleister, der Server, Netzwerke und Sicherheitstechnik betreibt, wartet und absichert.

Der DSB sagt, was datenschutzrechtlich gefordert ist. Die IT sorgt dafür, dass es technisch auch passiert. Erst beide zusammen ergeben einen belastbaren Datenschutz.

Wer macht was? Die klare Rollen-Abgrenzung

Der Datenschutzbeauftragte ist die rechtlich-organisatorische Instanz, die IT-Abteilung die technische Umsetzungsebene. Diese vier Aufgaben liegen beim DSB:

  • Beraten. Prüft Verträge, Prozesse und neue Tools vorab auf DSGVO-Konformität.
  • Überwachen. Kontrolliert, ob die Datenschutz-Vorgaben im Alltag eingehalten werden.
  • Dokumentieren. Pflegt das Verarbeitungsverzeichnis und schult die Mitarbeiter.
  • Melden. Ist Anlaufstelle für die Aufsichtsbehörde und begleitet Datenpannen.

Und diese vier bei der IT-Abteilung:

  • Betreiben. Hält Server, Netzwerke und Endgeräte am Laufen.
  • Absichern. Konfiguriert Firewalls, MFA, Verschlüsselung und Backups.
  • Umsetzen. Realisiert die vom DSB geforderten technischen Maßnahmen.
  • Wiederherstellen. Stellt Systeme und Daten nach einem Vorfall wieder her.
Wichtig:

Der DSB darf technische Maßnahmen fordern und prüfen – umsetzen darf und muss er sie nicht. Wer beide Rollen in einer Person oder Firma bündelt, prüft am Ende seine eigene Arbeit. Genau das gilt nach Art. 38 DSGVO als Interessenkonflikt.

Die vier Schnittstellen zwischen DSB und IT-Abteilung

An diesen vier Punkten entscheidet sich, ob Datenschutz und IT-Sicherheit im Alltag wirklich zusammenpassen.

  1. TOM (technische und organisatorische Maßnahmen). Der DSB definiert, welches Schutzniveau nötig ist. Die IT setzt es mit Verschlüsselung, Zugriffsschutz und Backups um (Art. 32 DSGVO).
  2. Datenpanne-Meldung. Die IT erkennt und stoppt den Vorfall technisch. Der DSB bewertet die Meldepflicht und meldet ihn binnen 72 Stunden an die Aufsichtsbehörde. Wie das im Ernstfall abläuft, zeigt unser Notfall-Guide.
  3. AVV (Auftragsverarbeitungsvertrag). Der DSB prüft und verhandelt den AVV mit Dienstleistern. Die IT liefert die technischen Angaben zu Speicherorten und Sicherheitsmaßnahmen.
  4. Berechtigungen. Der DSB fordert das Prinzip der minimalen Rechte. Die IT vergibt und entzieht Zugriffe im System – sauber dokumentiert über die Zugriffskontrolle.
Das Wichtigste: Der DSB stellt die Anforderung, die IT liefert die Umsetzung. Fehlt eine der beiden Seiten, bleibt entweder die Rechtslage ungeklärt oder die Technik ungesichert.

Datenschutz und IT-Sicherheit auslagern: warum das für KMU zusammengehört

Cyberangriffe sind längst kein Randthema mehr. Laut der Bitkom-Studie „Wirtschaftsschutz 2025” waren 87 Prozent der deutschen Unternehmen in den letzten zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. Der Gesamtschaden liegt bei 289,2 Milliarden Euro – rund 202 Milliarden davon entfallen auf Cyberangriffe.

289 Mrd €
Schaden dt. Wirtschaft 2025
87 %
Unternehmen betroffen
202 Mrd €
davon durch Cyberangriffe
72 h
Meldefrist bei Datenpanne

Viele kleine und mittlere Unternehmen haben weder einen internen DSB noch eine eigene IT-Abteilung. Die schlankste Antwort darauf: beide Rollen extern besetzen und sauber verzahnen. Der externe Datenschutzbeauftragte übernimmt die rechtlich-organisatorische Seite und macht die Umsetzung prüffest.

Die technische Umsetzung übernimmt bei Unternehmen ohne eigenes IT-Team ein Managed-IT-Dienstleister – etwa eine externe IT-Abteilung als Service vom Systemhaus hagel IT (seit 2004, Daten in Deutschland, DSGVO-konform), das die Systeme betreibt, absichert und die vom DSB geforderten Maßnahmen technisch realisiert.

So greifen Beratung und Betrieb ineinander, ohne dass Sie zwei Vollzeitstellen schaffen müssen. Spätestens die NIS-2-Richtlinie macht diese Verzahnung ohnehin zur Pflicht: Sie verlangt Risikomanagement und dessen technische Umsetzung. Welche Datenschutz-Leistungen wir konkret abdecken, sehen Sie in unserer Leistungsübersicht.

Tipp:

Auslagern heißt nicht, Verantwortung abzugeben – Sie bleiben der Verantwortliche im Sinne der DSGVO. Externer DSB und externe IT geben Ihnen aber das Fachwissen und die Umsetzungskraft, die intern oft fehlen.

Aus der Praxis

Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen.

Nils OehmichenNils OehmichenDatenschutzberater bei frag.hugo

Genau dieser Pragmatismus lebt vom Zusammenspiel: Der DSB findet die rechtlich saubere Lösung, die IT setzt sie ohne Reibungsverluste um. Läuft beides Hand in Hand, wird Datenschutz vom Bremsklotz zum stillen Rückgrat des Betriebs.

Fazit: Ihr nächster Schritt

Datenschutz ist Beratung, IT-Betrieb ist Handwerk – zwei Rollen, die zusammengehören, aber getrennt bleiben müssen. Für KMU ohne eigenes Team ist die Kombination aus externem DSB und externer IT-Abteilung die effizienteste Art, beide Seiten abzudecken. Unsere Datenschutz-Plattform Hugo DSB bündelt dabei die organisatorische Seite an einem Ort.

Datenschutz und IT-Sicherheit im Griff – ohne eigenes Team?

Wir zeigen Ihnen in 15 Minuten, wie externer DSB und externe IT bei Ihnen ineinandergreifen.

Kostenloses Erstgespräch (15 Min) →

Häufige Fragen (FAQ)

Was ist der Unterschied zwischen Datenschutzbeauftragtem und IT-Abteilung?

Der Datenschutzbeauftragte berät, überwacht und dokumentiert den Datenschutz – rechtlich und organisatorisch. Die IT-Abteilung setzt technisch um und betreibt die Systeme, etwa Firewalls, Verschlüsselung und Backups. Der DSB fordert und prüft Maßnahmen, die IT realisiert sie.

Darf der externe Datenschutzbeauftragte auch die IT betreuen?

Nein, in Personalunion ist das kritisch. Wer die IT betreibt und zugleich den Datenschutz überwacht, prüft seine eigene Arbeit. Das gilt nach Art. 38 DSGVO als Interessenkonflikt. Deshalb sind DSB und IT-Betrieb getrennte Rollen – idealerweise zwei getrennte Dienstleister.

Braucht ein KMU sowohl externen DSB als auch externe IT?

Für kleine und mittlere Unternehmen ohne eigenes Datenschutz- und IT-Team ist das Duo die schlankste Lösung. Der externe DSB deckt die rechtlich-organisatorische Seite ab, die externe IT-Abteilung den technischen Betrieb. Beide zusammen erfüllen die DSGVO nachweisbar, ohne dass Sie zwei Vollzeitstellen schaffen.

Wer haftet bei einer Datenpanne – der DSB oder die IT?

Verantwortlich bleibt immer das Unternehmen selbst. Nach Art. 32 DSGVO schuldet der Verantwortliche die technischen und organisatorischen Maßnahmen. Der DSB berät und überwacht, die IT setzt um – die rechtliche Verantwortung für die Sicherheit trägt aber die Geschäftsführung.

Wie arbeiten externer DSB und IT-Dienstleister zusammen?

An vier Schnittstellen: Der DSB definiert das nötige Schutzniveau (TOM), die IT setzt es um. Bei einer Datenpanne stoppt die IT den Vorfall, der DSB bewertet die Meldepflicht. Der DSB prüft AVV-Verträge, die IT liefert die technischen Angaben. Und der DSB fordert minimale Berechtigungen, die IT vergibt sie im System.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.

TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Lieber erstmal schreiben? Kontaktformular