Sie brauchen einen Datenschutzbeauftragten. So viel steht fest. Die eigentliche Frage: Stellen Sie jemanden intern ab – oder holen Sie sich einen externen Spezialisten? Die Entscheidung betrifft nicht nur Kosten. Sie betrifft Haftung, Kündigungsschutz und die Frage, ob Datenschutz bei Ihnen funktioniert oder nur auf dem Papier existiert.
Die Pflicht zur Benennung eines Datenschutzbeauftragten regelt § 38 BDSG. Ein DSB ist Pflicht, wenn:
Verstoß gegen die Benennungspflicht? Bußgeld bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes (Art. 83 Abs. 4 DSGVO).
Die Bundesregierung plant, § 38 Abs. 1 BDSG bis Ende 2026 aufzuheben. Die DSB-Pflicht würde dann nur noch nach Art. 37 DSGVO gelten – also bei Kerntätigkeit in der Datenverarbeitung. Bis dahin gilt die 20-Personen-Regel unverändert.
| Kriterium | Interner DSB | Externer DSB |
|---|---|---|
| Kosten pro Jahr | 15.000–25.000 € (anteiliges Gehalt + Schulung) | 2.000–10.000 € (Festpreis) |
| Einmalige Startkosten | 2.000–4.000 € (Ausbildung) | ab 3.000 € (Erst-Audit) |
| Fachkompetenz | Muss aufgebaut werden | Sofort verfügbar |
| Kündigungsschutz | Besonderer Schutz, 1 Jahr nachwirkend | Vertrag kündbar nach Vereinbarung |
| Interessenkonflikte | Möglich (IT-Leiter = DSB?) | Ausgeschlossen |
| Verfügbarkeit | Vor Ort, aber neben Hauptjob | Erreichbar, aber nicht täglich vor Ort |
| Haftung | Arbeitgeber haftet | DSB haftet mit Berufshaftpflicht |
| Branchenkenntnis | Tiefes internes Wissen | Breite Erfahrung aus vielen Mandaten |
Viele Unternehmen denken: “Wir haben doch jemanden in der IT – der macht das mit.” Die Rechnung sieht dann so aus:
Planbare Kosten. Ein externer DSB arbeitet zum Festpreis. Sie wissen am Jahresanfang, was Datenschutz kostet. Keine versteckten Schulungsgebühren, keine Gehaltserhöhungen, keine Sozialabgaben.
Sofortige Fachkompetenz. Externe DSB sind Spezialisten. Sie kennen aktuelle Urteile, Behördenpraxis und typische Stolperfallen – weil sie täglich nichts anderes machen. Ein interner Mitarbeiter muss sich dieses Wissen erst aneignen.
Keine Interessenkonflikte. Der IT-Leiter als DSB? Der Personalchef? Beide haben strukturelle Interessenkonflikte, die gegen eine Benennung sprechen. Ein externer DSB ist per Definition unabhängig.
Kein Kündigungsschutz-Risiko. Die Zusammenarbeit endet mit der vertraglichen Kündigungsfrist. Kein nachwirkender Schutz, keine arbeitsrechtlichen Fallstricke.
Haftpflichtversicherung. Seriöse externe DSB verfügen über eine Berufshaftpflicht, die Beratungsfehler abdeckt. Bei einem internen DSB haftet das Unternehmen selbst.
Fairerweise: Es gibt Szenarien, in denen ein interner DSB Vorteile hat.
Für die Mehrheit der KMU mit 20 bis 250 Mitarbeitenden trifft das nicht zu.
Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern – die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz.
Nils OehmichenDatenschutzberater bei frag.hugo
Genau das erleben wir regelmäßig: Ein Handwerksbetrieb mit 25 Mitarbeitenden bekommt einen Großauftrag. Der Auftraggeber verlangt einen Nachweis über den betrieblichen Datenschutz – inklusive benanntem DSB, Datenschutzkonzept und Verarbeitungsverzeichnis.
Intern hat niemand die Kompetenz. Einen Mitarbeiter auszubilden dauert Wochen und bindet Kapazität. Der externe DSB ist innerhalb weniger Tage arbeitsfähig – und der Großauftrag gerettet.
Den IT-Leiter benennen. IT-Leiter haben einen strukturellen Interessenkonflikt, weil sie gleichzeitig für die Systeme verantwortlich sind, die sie als DSB kontrollieren sollen. Die Datenschutzkonferenz warnt ausdrücklich davor.
Keinen DSB benennen. Auch wenn § 38 BDSG möglicherweise bald reformiert wird – Art. 37 DSGVO bleibt bestehen. Und Bußgelder für Datenschutzverstöße werden unabhängig davon verhängt, ob ein DSB bestellt ist oder nicht.
Den billigsten Anbieter nehmen. Ein externer DSB für 50 € im Monat kann keine seriöse Betreuung leisten. Achten Sie auf persönliche Ansprechpartner, nachgewiesene Qualifikation und transparente Leistungsbeschreibung.
Für KMU mit 20 bis 250 Mitarbeitenden ist der externe DSB in der Regel die wirtschaftlichere und flexiblere Lösung. Die Kosten sind planbar (ab ca. 150 €/Monat), die Fachkompetenz sofort verfügbar und das arbeitsrechtliche Risiko durch den besonderen Kündigungsschutz entfällt komplett. Prüfen Sie mit dem Hugo Check, wo Ihr Unternehmen beim Datenschutz steht.
Die Frage „extern oder intern?” lässt sich für die meisten KMU klar beantworten: extern. Sie sparen Geld, bekommen sofort einen qualifizierten Ansprechpartner und vermeiden arbeitsrechtliche Risiken.
Der erste Schritt: Lassen Sie Ihren aktuellen Datenschutz-Status prüfen. frag.hugo bietet Ihnen als externer Datenschutzbeauftragter in Hamburg genau das – pragmatisch, persönlich und zum Festpreis.
Externer DSB gesucht?
frag.hugo übernimmt Ihren Datenschutz – pragmatisch, persönlich und zum Festpreis.
Kostenloses Erstgespräch buchen →Viele Hamburger Mittelständler — ob Medienunternehmen in der Speicherstadt oder IT-Dienstleister in Bahrenfeld — starten mit einem internen DSB und merken nach einem Jahr: Die Fortbildungskosten und der Zeitaufwand übersteigen das Budget. Die HmbBfDI erwartet nachweisbare Fachkunde, und die regelmäßigen Schulungen kosten schnell 2.000 bis 3.000 Euro pro Jahr. Deshalb wechseln viele Hamburger KMU auf einen externen Datenschutzbeauftragten in Hamburg — mit Festpreis und persönlichem Ansprechpartner vor Ort.
Nach § 38 BDSG müssen Unternehmen einen DSB benennen, wenn mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl gilt die Pflicht auch bei Verarbeitungen, die eine Datenschutz-Folgenabschätzung erfordern.
Für KMU liegen die monatlichen Kosten zwischen 150 und 800 Euro – abhängig von Unternehmensgröße und Leistungsumfang. Hinzu kommen einmalige Kosten für das Erst-Audit ab ca. 3.000 Euro. Ein interner DSB kostet im Vergleich schnell das Doppelte bis Dreifache.
Nur unter sehr engen Voraussetzungen. Ein interner DSB genießt besonderen Kündigungsschutz nach § 6 Abs. 4 BDSG. Dieser Schutz gilt noch ein Jahr nach Ende der DSB-Tätigkeit. Eine ordentliche Kündigung ist in dieser Zeit ausgeschlossen.
In der Regel ja – oft sogar besser. Externe DSB sind spezialisierte Fachleute, die sich laufend fortbilden und Erfahrung aus vielen Mandanten mitbringen. Ein interner DSB muss diese Qualifikation erst aufbauen, wobei der Arbeitgeber die Schulungskosten trägt.
Der externe DSB kennt Ihre internen Prozesse nicht sofort und muss sich einarbeiten. Außerdem ist er nicht täglich vor Ort. Für die meisten KMU überwiegen die Vorteile: planbare Kosten, keine Interessenkonflikte und kein Kündigungsschutz-Risiko.
Nein, davon ist dringend abzuraten. IT-Leiter haben einen strukturellen Interessenkonflikt, da sie die Systeme verantworten, die der DSB kontrollieren soll. Die Datenschutzaufsichtsbehörden sehen das kritisch – es drohen Bußgelder wegen fehlender Unabhängigkeit.
Inhaltsverzeichnis
Datenschutzbeauftragter bestellen: Der komplette Ablauf in 5 Schritten für Hamburger Unternehmen – von der Pflichtprüfung bis zur Behördenmeldung.
WeiterlesenVerarbeitungsverzeichnis erstellen als KMU: Praxisanleitung mit den 5 häufigsten Verarbeitungen, Priorisierung und Hamburg-Tipps. DSGVO Art. 30 pragmatisch umsetzen.
WeiterlesenDatenschutzaudit durchführen: Kompletter Ablauf in 6 Schritten, typische Kosten und detaillierte Prüf-Checkliste für Hamburger KMU.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter und seit über 13 Jahren in der Datenschutzberatung für mittelständische Unternehmen. Als Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH berät er KMU zu DSGVO, NIS2 und EU AI Act. Zusätzlich leitet er die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
