Externer Datenschutzbeauftragter Hamburg für Unternehmen

Stand: März 2026 — Dieser Artikel wurde zuletzt im März 2026 fachlich geprüft und aktualisiert.

Sie leiten ein Unternehmen in Hamburg und fragen sich, ob Sie einen Datenschutzbeauftragten brauchen? Oder ob ein externer DSB die bessere Wahl gegenüber einem internen Mitarbeiter ist? Dann sind Sie hier richtig.

In diesem Ratgeber erfahren Sie, was ein externer Datenschutzbeauftragter genau macht, wann die Pflicht greift, welche Vorteile er bietet und was er kostet. Ohne Juristendeutsch, mit konkreten Zahlen und Praxis-Beispielen aus Hamburg.

Was ist ein externer Datenschutzbeauftragter?

Ein externer Datenschutzbeauftragter ist ein unabhängiger Experte, der die gesetzlich vorgeschriebenen DSB-Aufgaben für Ihr Unternehmen übernimmt. Im Gegensatz zum internen DSB ist er kein Mitarbeiter, sondern ein externer Dienstleister.

Die Rechtsgrundlage findet sich in Art. 37-39 DSGVO und § 38 BDSG. Beide Varianten — intern wie extern — sind gesetzlich gleichgestellt. Die DSGVO unterscheidet bewusst nicht in der Qualifikation: Entscheidend ist die Fachkunde, nicht das Anstellungsverhältnis.

Was macht ein externer DSB konkret?

Die Aufgaben sind in Art. 39 DSGVO definiert:

• Unterrichtung und Beratung des Unternehmens und seiner Mitarbeiter zu datenschutzrechtlichen Pflichten
• Überwachung der DSGVO-Einhaltung, einschließlich der Zuweisung von Zuständigkeiten und Sensibilisierung der Mitarbeiter
• Beratung bei Datenschutz-Folgenabschätzungen (DSFA) nach Art. 35 DSGVO
• Anlaufstelle für die Aufsichtsbehörde — in Hamburg ist das der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
• Erstellung und Pflege aller datenschutzrelevanten Dokumente: Verzeichnis der Verarbeitungstätigkeiten (VVT), Auftragsverarbeitungsverträge (AVV), technische und organisatorische Maßnahmen (TOMs)

Darüber hinaus übernimmt ein guter externer DSB auch Aufgaben, die über das gesetzliche Minimum hinausgehen: Mitarbeiterschulungen, Unterstützung bei Datenpannen, Begleitung von Audits und die Beratung zu neuen Themen wie AI Act oder NIS2. Er hilft Ihnen auch, heikle Fragen zu klären — etwa welche Daten nicht an Dritte weitergegeben werden dürfen oder wie Sie die vier Schutzziele der Informationssicherheit in Ihrem Unternehmen umsetzen.

Wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Die Frage "Brauche ich überhaupt einen DSB?" höre ich in Erstgesprächen regelmäßig. Die Antwort steht in § 38 BDSG:

Die 20-Personen-Schwelle

Ein Datenschutzbeauftragter ist Pflicht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Wichtig dabei:

• Teilzeitkräfte und Auszubildende zählen mit. Entscheidend ist nicht die Stundenzahl, sondern ob die Person regelmäßig mit personenbezogenen Daten arbeitet.
• "Ständig" heißt nicht "ausschließlich". Auch wer nur teilweise mit personenbezogenen Daten umgeht — etwa beim Versand von Rechnungen oder der Pflege von Kundendaten — wird mitgezählt.
• "In der Regel" bedeutet: Der typische Betriebszustand zählt, nicht saisonale Schwankungen.

Pflicht unabhängig von der Mitarbeiterzahl

Unabhängig von der 20-Personen-Schwelle brauchen Sie einen DSB, wenn:

1. Ihre Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von betroffenen Personen besteht (Art. 37 Abs. 1 lit. b DSGVO) — z. B. Bewachungsunternehmen, Auskunfteien, Personalvermittler
2. Besondere Datenkategorien nach Art. 9 DSGVO verarbeitet werden — z. B. Gesundheitsdaten in Arztpraxen, Pflegediensten oder Fitnessstudios
3. Geschäftsmäßig personenbezogene Daten übermittelt, erhoben oder für Markt- und Meinungsforschung verarbeitet werden
4. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist

Für Hamburger Unternehmen ist das besonders relevant: In der Logistik fallen Frachtdaten an, im E-Commerce umfangreiche Kundenprofile, in der maritimen Wirtschaft Besatzungsdaten und GPS-Tracking. Viele KMU unterschätzen, wie schnell die Schwelle erreicht ist.

Was passiert, wenn Sie keinen DSB benennen?

Die Nichtbenennung trotz Pflicht ist ein Verstoß gegen Art. 37 DSGVO und kann mit einem Bußgeld bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden — welche weiteren Strafen bei einem Datenschutzverstoß drohen, haben wir in einem eigenen Artikel zusammengefasst. Die Hamburger Aufsichtsbehörde (HmbBfDI) unter Thomas Fuchs hat die Prüfungstätigkeit in den letzten Jahren deutlich intensiviert. Auch Geschäftspartner und Großkunden fragen zunehmend nach dem benannten DSB — wer keinen vorweisen kann, verliert Aufträge.

Externer vs. interner Datenschutzbeauftragter: Was ist besser?

Die DSGVO lässt Unternehmen die Wahl: interner Mitarbeiter oder externer Dienstleister. In der Praxis gibt es klare Unterschiede.

Die Nachteile eines internen DSB

Wenn Sie einen Mitarbeiter zum Datenschutzbeauftragten ernennen, gilt Folgendes:

• Besonderer Kündigungsschutz nach § 6 Abs. 4 BDSG — der Mitarbeiter kann nach Abberufung ein Jahr lang nicht ordentlich gekündigt werden
• Interessenkonflikte: IT-Leiter, Geschäftsführer, Personalleiter oder Marketingleiter dürfen die Rolle nicht übernehmen, weil sie selbst über Datenverarbeitung entscheiden
• Fortbildungskosten: Der interne DSB braucht regelmäßige Schulungen, Konferenzbesuche und Fachliteratur — das kostet Zeit und Geld
• Geteilte Aufmerksamkeit: Der Datenschutz läuft neben den regulären Aufgaben. In der Praxis bleibt er oft liegen

Die Vorteile eines externen DSB

Ein externer Datenschutzbeauftragter löst diese Probleme systematisch:

Kriterium	Interner DSB	Externer DSB
Jahreskosten	~25.000 € (Gehalt + Fortbildung)	Ab 1.788 € (149 €/Monat)
Kündigungsschutz	Besonderer Schutz (§ 6 BDSG)	Monatlich kündbar
Interessenkonflikt	Risiko bei internen Rollen	Ausgeschlossen
Fachwissen	Muss aufgebaut + gepflegt werden	Immer aktuell
Haftung	Arbeitnehmer haftet begrenzt	Berufshaftpflicht
Verfügbarkeit	Neben regulären Aufgaben	Dediziertes Team

Gerade für KMU mit 20 bis 250 Mitarbeitern ist die Rechnung eindeutig: Ein externer DSB kostet einen Bruchteil, bringt mehr Erfahrung mit und verursacht keine arbeitsrechtlichen Risiken.

Was kostet ein externer Datenschutzbeauftragter?

Die Kosten hängen von drei Faktoren ab: Mitarbeiterzahl, Branche und Komplexität der Datenverarbeitung.

Typische Preismodelle

Die meisten Anbieter arbeiten mit monatlichen Pauschalen. Die Spanne am Markt liegt zwischen 100 und 800 Euro pro Monat, abhängig vom Leistungsumfang.

Zum Vergleich: Ein interner DSB kostet durchschnittlich rund 25.000 Euro pro Jahr, wenn Sie Gehalt, Fortbildungen, Konferenzbesuche und den Arbeitszeit-Anteil einrechnen. Das sind über 2.000 Euro pro Monat — für eine Aufgabe, die oft nur 10-20 % der Arbeitszeit ausmacht.

Worauf Sie bei der Auswahl achten sollten

Nicht jeder externe DSB bietet den gleichen Leistungsumfang. Achten Sie auf:

• Transparente Preise ohne versteckte Kosten
• Persönliche Betreuung statt anonymem Callcenter
• Digitale Plattform für VVT, AVV und TOMs
• Mitarbeiterschulungen inklusive
• Lokale Präsenz für Vor-Ort-Termine
• Reaktionszeiten bei Datenpannen (72-Stunden-Frist nach Art. 33 DSGVO)
• Erfahrung in Ihrer Branche — ein DSB, der Logistik-Unternehmen betreut, kennt andere Herausforderungen als einer, der Arztpraxen berät

Aufgaben und Leistungen im Detail

Was genau leistet ein externer Datenschutzbeauftragter im Alltag? Hier ein Überblick über die wichtigsten Tätigkeitsfelder.

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Das VVT nach Art. 30 DSGVO ist die Pflichtdokumentation für jedes Unternehmen, das personenbezogene Daten verarbeitet. Es enthält alle Verarbeitungsprozesse mit Zweck, Rechtsgrundlage, betroffenen Personengruppen, Empfängern und Löschfristen. Ein externer DSB erstellt dieses Verzeichnis und hält es aktuell — bei neuen Tools, Prozessen oder Dienstleistern.

Auftragsverarbeitungsverträge (AVV)

Jeder Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, braucht einen AVV nach Art. 28 DSGVO. Cloud-Anbieter, Lohnbuchhaltung, Newsletter-Tool, CRM-System — die Liste wird schnell lang. Der externe DSB prüft bestehende Verträge und stellt sicher, dass neue AVVs rechtskonform abgeschlossen werden.

Technische und organisatorische Maßnahmen (TOMs)

TOMs sind die konkreten Schutzmaßnahmen für personenbezogene Daten: Verschlüsselung, Zugangskontrollen, Backup-Konzepte, Berechtigungsmanagement. Der DSB bewertet den IST-Zustand, identifiziert Lücken und empfiehlt Verbesserungen. Die Dokumentation der TOMs ist zudem eine häufige Prüffrage der Aufsichtsbehörde.

Mitarbeiterschulungen

Die DSGVO verlangt, dass Mitarbeiter im Umgang mit personenbezogenen Daten geschult werden. Ein externer DSB führt regelmäßige Datenschutzschulungen durch — praxisnah, branchenspezifisch und dokumentiert. Das reduziert menschliche Fehler, die nach wie vor die häufigste Ursache für Datenschutzverletzungen sind.

Datenpannen-Management

Wenn eine Datenpanne passiert — ein verlorener Laptop, ein Phishing-Angriff, eine fehlerhafte E-Mail mit offenem Verteiler — müssen Sie innerhalb von 72 Stunden die Aufsichtsbehörde informieren (Art. 33 DSGVO). Der externe DSB bewertet den Vorfall, hilft bei der Meldung an den HmbBfDI und dokumentiert alles rechtskonform. Ohne diese Unterstützung reißen viele Unternehmen die Frist — und riskieren ein zusätzliches Bußgeld.

Die Hamburger Aufsichtsbehörde: HmbBfDI

Die zuständige Datenschutzaufsicht für Hamburger Unternehmen ist die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), geleitet von Thomas Fuchs.

Was macht der HmbBfDI?

Die Behörde überwacht die Einhaltung der DSGVO und des BDSG in Hamburg. Sie:

• Prüft Beschwerden betroffener Personen
• Verhängt Bußgelder bei Datenschutzverstößen
• Kontrolliert Unternehmen durch anlasslose und anlassbezogene Prüfungen
• Berät Unternehmen zu datenschutzrechtlichen Fragen

Seit Inkrafttreten der DSGVO im Mai 2018 hat die Behörde ihre Prüfungstätigkeit deutlich ausgeweitet. Hamburger Unternehmen sollten darauf vorbereitet sein, dass eine Prüfung jederzeit möglich ist — nicht nur nach einer Beschwerde, sondern auch im Rahmen branchenspezifischer Schwerpunktprüfungen.

Kontaktdaten HmbBfDI

Die Behörde ist erreichbar unter datenschutz.hamburg.de. Als externer DSB Ihres Unternehmens übernehmen wir die komplette Kommunikation mit der Aufsichtsbehörde — von der Beantwortung von Anfragen bis zur Begleitung bei Prüfungen.

Besonderheiten für Unternehmen in Hamburg

Hamburg als internationaler Wirtschaftsstandort bringt branchenspezifische Datenschutz-Herausforderungen mit sich.

Logistik und Hafen

Frachtdaten, Zolldokumente, Lieferketten-Informationen — die Logistikbranche verarbeitet täglich große Mengen personenbezogener Daten. GPS-Tracking von Fahrzeugen, Besatzungslisten und Hafenmeldungen fallen unter die DSGVO, sobald sie Personen zugeordnet werden können.

E-Commerce und Medien

Hamburg ist einer der größten Medien- und E-Commerce-Standorte Deutschlands. Kundenprofile, Tracking-Daten, Newsletter-Verteiler und Payment-Daten — hier braucht es einen DSB, der die Anforderungen an Online-Datenschutz, Cookie-Consent und Drittland-Transfers kennt.

Gesundheitswesen

Arztpraxen, Pflegedienste, Labore — wer Gesundheitsdaten nach Art. 9 DSGVO verarbeitet, braucht einen DSB unabhängig von der Mitarbeiterzahl. Die Anforderungen sind hier besonders streng.

IT-Dienstleister

Als Auftragsverarbeiter nach Art. 28 DSGVO tragen IT-Dienstleister eine besondere Verantwortung. Sie brauchen nicht nur selbst einen DSB, sondern müssen auch ihren Kunden gegenüber Compliance nachweisen.

Checkliste: Braucht mein Unternehmen einen externen DSB?

Prüfen Sie die folgenden Punkte. Treffen zwei oder mehr zu, sollten Sie handeln:

• Mindestens 20 Mitarbeiter haben Zugang zu personenbezogenen Daten
• Sie verarbeiten Gesundheitsdaten, biometrische Daten oder andere besondere Kategorien
• Sie betreiben Videoüberwachung oder GPS-Tracking
• Großkunden oder Auftraggeber verlangen einen benannten DSB
• Sie haben keinen internen Mitarbeiter mit ausreichender Datenschutz-Fachkunde
• Ihr interner DSB hat Interessenkonflikte (z. B. IT-Leiter, Geschäftsführer)
• Sie wollen hohe Personalkosten und Kündigungsschutz-Risiken vermeiden
• Sie verarbeiten regelmäßig Daten von Kunden, Mitarbeitern oder Bewerbern

Häufige Fragen zum externen Datenschutzbeauftragten

Was ist ein externer Datenschutzbeauftragter?

Ein externer Datenschutzbeauftragter ist ein unabhängiger Fachmann, der als Dienstleister die gesetzlichen DSB-Aufgaben nach Art. 37-39 DSGVO für Ihr Unternehmen übernimmt. Er berät zur Einhaltung der DSGVO, überwacht die Datenverarbeitung, schult Mitarbeiter und ist Anlaufstelle für Aufsichtsbehörde und betroffene Personen.

Wann muss ein Unternehmen einen Datenschutzbeauftragten benennen?

Nach § 38 BDSG ist ein DSB Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl besteht die Pflicht bei der Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) oder wenn die Kerntätigkeit in der systematischen Überwachung betroffener Personen besteht.

Welche Aufgaben hat ein externer Datenschutzbeauftragter?

Die Kernaufgaben sind in Art. 39 DSGVO definiert: Beratung und Unterrichtung des Unternehmens, Überwachung der DSGVO-Einhaltung, Beratung bei Datenschutz-Folgenabschätzungen, Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für betroffene Personen. Darüber hinaus übernimmt er die Erstellung von VVT, AVV und TOMs sowie Mitarbeiterschulungen.

Was kostet ein externer Datenschutzbeauftragter in Hamburg?

Die Kosten hängen von Unternehmensgröße und Branche ab. Am Markt liegen die Preise zwischen 100 und 800 Euro monatlich. Zum Vergleich: Ein interner DSB kostet ca. 25.000 Euro pro Jahr. Unser DSB-Service für Hamburg startet ab 149 Euro pro Monat — monatlich kündbar, inklusive Plattform und persönlicher Betreuung.

Was ist der Unterschied zwischen einem internen und externen DSB?

Ein interner DSB ist ein Mitarbeiter, der die Rolle zusätzlich übernimmt. Er genießt besonderen Kündigungsschutz, braucht Fortbildungen und kann in Interessenkonflikte geraten. Ein externer DSB arbeitet unabhängig, ist monatlich kündbar, bringt branchenübergreifendes Fachwissen mit und kostet bis zu 93 % weniger.

Kann die Aufsichtsbehörde Hamburg Unternehmen kontrollieren?

Ja. Der HmbBfDI hat das Recht, Unternehmen in Hamburg jederzeit zu prüfen — anlassbezogen nach Beschwerden oder anlasslos im Rahmen von Schwerpunktprüfungen. Ein externer Datenschutzbeauftragter bereitet Ihr Unternehmen auf solche Prüfungen vor und begleitet Sie während des Verfahrens.

Wer darf nicht als Datenschutzbeauftragter bestellt werden?

Personen mit Interessenkonflikten sind ausgeschlossen: Geschäftsführer, IT-Leiter, Personalleiter und Marketingleiter dürfen die Rolle nicht übernehmen, weil sie selbst über die Verarbeitung personenbezogener Daten entscheiden. Ein externer DSB ist per Definition frei von solchen Konflikten.

Wie finde ich den richtigen externen Datenschutzbeauftragten in Hamburg?

Achten Sie auf nachgewiesene Fachkunde (z. B. TÜV-Zertifizierung), Erfahrung in Ihrer Branche, transparente Preise und eine digitale Plattform für die Dokumentation. Persönliche Betreuung statt anonymem Callcenter ist gerade für KMU entscheidend. Unser DSB-Service kombiniert persönliche Datenschutzberatung mit einer digitalen Plattform — lokal in Hamburg, ab 149 €/Monat.