Datenschutzbeauftragten wechseln: Ablauf, Fristen & Checkliste
Datenschutzbeauftragten wechseln ohne Compliance-Lücke: Ablauf, Kündigungsfristen, Übergabe-Paket und HmbBfDI-Meldung in Hamburg. Schritt-für-Schritt-Checkliste 2026.
Inhalt in Kürze
- Der Wechsel eines externen DSB ist ein Dienstleisterwechsel — kein juristisches Drama. Der Abberufungsschutz aus Art. 38 Abs. 3 DSGVO greift nur, wenn man wegen guter Arbeit abberuft, nicht bei Unzufriedenheit oder Vertragsende.
- Drei Rechtsschritte: Altvertrag fristgerecht kündigen, neuen DSB nach Art. 37 DSGVO bestellen, Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO neu melden (in Hamburg: HmbBfDI).
- Die Dokumentation gehört Ihnen, nicht dem alten DSB: VVT, AVV-Register, TOMs, Datenpannen-Doku, Schulungsnachweise und Löschkonzept müssen herausgegeben werden.
- Nahtloser Wechsel ohne Compliance-Lücke gelingt durch Timing: neue Bestellung zum Tag nach Vertragsende, kurze Überlappung für die Übergabe.
Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 8 Minuten
Sie erreichen Ihren externen Datenschutzbeauftragten nur über ein Ticketsystem, das drei Tage braucht. Es gibt keine Plattform, die Dokumentation liegt als PDF-Wust im Posteingang, und beim letzten AVV haben Sie sich gefragt, ob Ihr DSB Ihre Branche überhaupt kennt. Wenn Sie Ihren Datenschutzbeauftragten wechseln wollen, ist das völlig legitim — und rechtlich unkompliziert, wenn Sie ein paar Schritte einhalten.
Der Wechsel selbst ist kein Hexenwerk. Schwierig wird es nur, wenn die Übergabe schlampig läuft und plötzlich Lücken in der Compliance entstehen, die bei der nächsten HmbBfDI-Anfrage auffallen. Genau das vermeiden wir mit diesem Leitfaden.
Die Meldung des neuen DSB läuft in Hamburg über den HmbBfDI (Ludwig-Erhard-Straße 22) per Online-Formular auf datenschutz-hamburg.de. Wir übernehmen die Meldung im Rahmen der Bestellung — und sind in der Regel in 7 Werktagen startklar. Wie eine Neubestellung im Detail abläuft, steht im Bestellungs-Leitfaden.
Wann sich ein Wechsel des Datenschutzbeauftragten lohnt
Bevor wir zum Ablauf kommen: Ist ein Wechsel überhaupt die richtige Entscheidung? In der Praxis sind es immer dieselben Symptome, die Mandanten zu uns bringen. Wenn Sie zwei oder mehr davon abnicken, ist der Wechsel meist überfällig.
- Schlechte Erreichbarkeit. Sie warten Tage auf eine Antwort, bei akuten Fragen (Datenpanne, Behördenpost) ist niemand greifbar. Datenschutz funktioniert nur, wenn jemand schnell reagiert.
- Keine Plattform, nur PDF-Chaos. Ihr VVT lebt in einer Excel-Tabelle, AVVs liegen verstreut im E-Mail-Postfach. Ohne zentrale Software ist jede Behördenanfrage ein Suchspiel.
- Kein Branchen-Know-how. Ihr DSB kennt die Besonderheiten Ihrer Branche nicht — egal ob Reederei, Arztpraxis, E-Commerce oder SaaS. Standard-Vorlagen reichen nicht.
- Intransparente oder zu hohe Kosten. Sie zahlen viel, bekommen aber wenig Beratung und keine Software. Ein Festpreis-Modell mit Plattform ist oft günstiger.
- Reine „Briefkasten-Bestellung". Der DSB ist auf dem Papier benannt, aber tut faktisch nichts. Das ist gefährlich — die Verantwortung bleibt bei Ihnen.
Bevor Sie wechseln, lohnt ein Blick auf die Kostenstruktur. Was ein externer DSB in Hamburg realistisch kostet und woran Sie überteuerte Angebote erkennen, haben wir im Kosten-Leitfaden 2026 aufgeschlüsselt.
Der rechtliche Rahmen: Abberufung, Neubestellung, Meldung
Beim Datenschutzbeauftragten wechseln greifen drei Stellen der DSGVO ineinander. Wichtig vorweg: Bei einem externen DSB ist das deutlich einfacher als bei einem internen Mitarbeiter.
Abberufung — Art. 38 Abs. 3 DSGVO. Der DSB darf „wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden”. Dieser besondere Schutz soll verhindern, dass ein DSB gefeuert wird, weil er unbequeme Wahrheiten ausspricht. Bei einem externen Dienstleister, dessen Vertrag ausläuft oder den Sie wegen schlechter Leistung kündigen, greift dieser Schutz schlicht nicht — Sie berufen ja nicht wegen guter Arbeit ab. Klingt hart, ist aber rechtlich sauber.
Neubestellung — Art. 37 DSGVO. Sie benennen den neuen DSB formell. Das ist ein interner Bestellungsakt (Schriftform empfohlen) plus der Dienstleistungsvertrag mit dem neuen Anbieter.
Meldung — Art. 37 Abs. 7 DSGVO. Der Verantwortliche „veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit”. In Hamburg ist das der HmbBfDI. Praktisch melden Sie den neuen DSB über das Online-Formular an — die neue Meldung ersetzt den alten Eintrag. Eine separate förmliche „Abmeldung” des alten DSB verlangt das Hamburger Formular nicht; entscheidend ist, dass die aktuell gemeldeten Kontaktdaten stimmen.
Datenschutzerklärung — Art. 13 DSGVO. Steht der Name oder die Kontaktadresse des DSB in Ihrer Datenschutzerklärung, muss diese angepasst werden. Dasselbe gilt für interne Aushänge, das Impressum-Umfeld und E-Mail-Signaturen mit DSB-Kontakt.
Haben Sie einen internen Mitarbeiter als DSB benannt, ist der Wechsel komplexer. Die Abberufung braucht einen sachlichen Grund, der nicht mit der Aufgabenerfüllung zusammenhängt, und der Beschäftigte genießt nach § 6 Abs. 4 BDSG einen nachwirkenden Kündigungsschutz. Ob intern oder extern für Sie passt, klärt der Vergleich intern vs. extern.
Schritt für Schritt: So läuft der Wechsel ab
Der ganze Prozess dauert von der Kündigung bis zum produktiven neuen DSB meist wenige Wochen — wenn die Reihenfolge stimmt.
- Altvertrag prüfen: Holen Sie den Dienstleistungsvertrag mit dem alten DSB heraus. Wann läuft die Mindestlaufzeit aus? Welche Kündigungsfrist und welche Form (meist Schriftform) gelten? Das Kündigungsdatum bestimmt Ihren gesamten Zeitplan.
- Kündigung fristgerecht aussprechen: Kündigen Sie schriftlich, fristwahrend, mit Bestätigung des Zugangs. Verweisen Sie auf den vereinbarten Kündigungstermin — keine Begründung nötig, eine ordentliche Kündigung reicht.
- Übergabe-Paket anfordern: Fordern Sie schriftlich alle datenschutzrelevanten Unterlagen an (Liste siehe unten). Setzen Sie eine Frist und betonen Sie, dass die Dokumente Eigentum Ihres Unternehmens sind.
- Neuen DSB bestellen: Schließen Sie den Vertrag mit dem neuen Anbieter und fertigen Sie die formelle Bestellung. Idealerweise zum Tag nach Wirksamwerden der alten Kündigung — oder mit kurzer Überlappung für die Übergabe.
- Behörde melden: Melden Sie die Kontaktdaten des neuen DSB beim HmbBfDI über das Online-Formular. Das erledigt in der Regel der neue DSB für Sie.
- Datenschutzerklärung & interne Doku aktualisieren: Passen Sie DSE (Art. 13), Aushänge, Signaturen und das interne Datenschutz-Handbuch auf die neuen Kontaktdaten an.
- Mitarbeiter informieren: Teilen Sie dem Team mit, wer ab sofort Ansprechpartner für Datenschutzfragen ist — sonst landen Anfragen ins Leere.
Die Kündigungsfrist steht im Vertrag — nicht in der DSGVO
Ein häufiger Irrtum: Die DSGVO regle die Kündigungsfrist für externe DSB. Tut sie nicht. Die Frist ergibt sich allein aus Ihrem Dienstleistungsvertrag. Übliche Konstellationen, die wir bei übernommenen Mandaten sehen:
| Vertragsmodell | Typische Kündigungsfrist | Stolperfalle |
|---|---|---|
| Jahresvertrag | 3 Monate zum Jahresende | Verlängerung um 1 Jahr bei verpasster Frist |
| Quartalsvertrag | 3 Monate zum Quartalsende | Schriftformklausel — E-Mail reicht oft nicht |
| Mindestlaufzeit 24 Monate | 3 Monate, frühestens zum Laufzeitende | Vorzeitige Kündigung nur aus wichtigem Grund |
| Monatsvertrag (selten) | 1 Monat zum Monatsende | meist teurer im Monatspreis |
Die zwei häufigsten Fehler: die automatische Verlängerung übersehen (dann hängen Sie ein weiteres Jahr fest) und die Schriftform ignorieren (eine formlose E-Mail ist dann unwirksam). Prüfen Sie beides, bevor Sie irgendetwas anderes tun.
Eine fristlose Kündigung aus wichtigem Grund ist nur möglich, wenn der DSB seine Pflichten grob verletzt — etwa eine gemeldete Datenpanne nicht bearbeitet oder über Monate nicht erreichbar ist. „Wir sind unzufrieden" reicht für eine fristlose Kündigung nicht. Im Zweifel den Vertrag ordentlich zum nächstmöglichen Termin kündigen und parallel den neuen DSB aufbauen.
Übergabe-Checkliste: Diese Dokumente gehören Ihnen
Das ist der wichtigste Punkt — und der, an dem Wechsel am häufigsten holpern. Die gesamte Datenschutz-Dokumentation ist Eigentum des Verantwortlichen, also Ihres Unternehmens. Der alte DSB hat sie nur verwaltet. Er muss sie bei Vertragsende herausgeben. Verweigert er das, haben Sie einen Herausgabeanspruch.
- Verzeichnis der Verarbeitungstätigkeiten (VVT). Das Herzstück nach Art. 30 DSGVO — vollständig, aktuell, in bearbeitbarer Form. Wie Sie ein VVT sauber aufbauen, steht im DSB-Pflicht-Leitfaden.
- AVV-Register. Alle Auftragsverarbeitungsverträge mit Dienstleistern nach Art. 28 DSGVO, plus Übersicht welche Verträge wann zu prüfen sind.
- TOMs-Dokumentation. Die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO.
- Datenpannen-Dokumentation. Das Verzeichnis aller Vorfälle nach Art. 33 Abs. 5 DSGVO — auch der nicht gemeldeten. Diese Historie ist bei einer HmbBfDI-Anfrage Gold wert.
- Schulungsnachweise. Wer wurde wann zu Datenschutz geschult? Pflichtnachweis bei Audits.
- Löschkonzept. Löschregeln und -fristen pro Datenkategorie.
- DSFA-Dokumentation. Falls Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO durchgeführt wurden.
- Behördenkorrespondenz. Der gesamte Schriftverkehr mit dem HmbBfDI — Anfragen, Antworten, Bescheide.
- Einwilligungs- und Betroffenenrechte-Akten. Bisherige Auskunfts-, Lösch- und Widerspruchsanfragen samt Bearbeitung.
Fordern Sie die Unterlagen in einem bearbeitbaren Format an, nicht als gescannte PDFs. Ein VVT als PDF-Bild müssen wir komplett neu erfassen — das kostet Zeit und Geld. Liegt das VVT in strukturierter Form vor, importieren wir es direkt in die Hugo-DSB-Plattform.
Nahtloser Wechsel ohne Compliance-Lücke
Die größte Sorge unserer Mandanten: „Bin ich in der Übergangszeit ohne DSB — und damit angreifbar?” Mit sauberem Timing entsteht keine Lücke. Der Schlüssel ist, dass sich die alte und neue Bestellung nicht widersprechen und kein Tag ohne benannten DSB bleibt.
| Zeitpunkt | Alter DSB | Neuer DSB | Status |
|---|---|---|---|
| Monate vor Vertragsende | aktiv | — | Kündigung aussprechen, Übergabe anfordern |
| 2–4 Wochen vorher | aktiv (Übergabe) | Vertrag + Bestellung vorbereitet | Doku-Transfer läuft |
| Letzte Woche | aktiv | bereit, ggf. schon bestellt | kurze Überlappung möglich |
| Tag nach Vertragsende | beendet | aktiv + HmbBfDI gemeldet | lückenlos |
Die ideale Variante ist eine kurze Überlappung: Der neue DSB wird wenige Tage vor Vertragsende des alten bestellt, sodass die Übergabe noch im laufenden Betrieb stattfindet. Ist das nicht möglich (etwa weil der alte DSB nicht mehr kooperiert), bestellen Sie den neuen DSB exakt zum Tag nach Vertragsende. Eine Phase ganz ohne benannten DSB ist ein meldepflichtiger Mangel und sollte nie passieren.
Wie wir einen Wechsel in Hamburg übernehmen
Wenn ein Mandant zu uns wechselt, läuft das standardisiert ab. Erstgespräch, Vertrag, Bestellung, HmbBfDI-Meldung — meist in 7 Werktagen erledigt. Parallel ziehen wir die vorhandene Dokumentation in die Hugo-DSB-Plattform: VVT mit 400+ Vorlagen, AVV-Bibliothek, TOMs, Datenpannen-Wizard mit 72-Stunden-Tracker, Löschkonzept und DSE-Generator. Aus dem PDF-Chaos des Vorgängers wird ein durchsuchbares System.
Hat der alte DSB ein sauberes Übergabe-Paket geliefert, setzen wir direkt darauf auf. Fehlt etwas, ergänzen wir es aus den Vorlagen. Bekam Ihr Unternehmen während des Wechsels Post von der Behörde, hilft unser Leitfaden, was bei einer HmbBfDI-Anfrage zu tun ist.
Aus der Praxis
Für uns ist wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen. Beim Wechsel heißt das: Wir übernehmen, was vorhanden ist, schließen die Lücken sauber und sorgen dafür, dass an keinem einzigen Tag ein DSB fehlt.
Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo
Fazit / Ihr nächster Schritt
Den Datenschutzbeauftragten zu wechseln ist rechtlich unkompliziert: Altvertrag fristgerecht kündigen, Dokumente einfordern (sie gehören Ihnen), neuen DSB bestellen, beim HmbBfDI melden, Datenschutzerklärung anpassen. Die einzigen echten Stolperfallen sind eine verpasste Kündigungsfrist und eine schlampige Übergabe. Beides lässt sich mit ein bisschen Vorlauf vermeiden.
Wer ohnehin unzufrieden ist, sollte nicht warten, bis die nächste Behördenanfrage kommt — der entspannteste Zeitpunkt für einen Wechsel ist, solange noch alles ruhig ist.
Wechsel zu frag.hugo — in 7 Werktagen startklar
Wir übernehmen Kündigungsprüfung, Übergabe, Neubestellung und HmbBfDI-Meldung. Volle Hugo-DSB-Plattform ab 79 €/Monat (Lite), TÜV-zertifizierter DSB, 100 % Datenverarbeitung in Deutschland. 15-Minuten-Erstgespräch zum Ablauf — unverbindlich.
Kostenloses Erstgespräch buchen →Häufige Fragen (FAQ)
Kann ich meinen externen Datenschutzbeauftragten einfach wechseln?
Ja. Bei einem externen DSB ist das ein normaler Dienstleisterwechsel. Sie kündigen den alten Vertrag fristgerecht, bestellen den neuen DSB nach Art. 37 DSGVO und melden den Wechsel der Aufsichtsbehörde. Der besondere Abberufungsschutz aus Art. 38 Abs. 3 DSGVO greift nur, wenn die Abberufung wegen der ordnungsgemäßen Aufgabenerfüllung erfolgt — bei schlechter Erreichbarkeit oder Vertragsende ist das kein Problem.
Welche Kündigungsfrist gilt für einen externen Datenschutzbeauftragten?
Die Frist steht in Ihrem Dienstleistungsvertrag, nicht in der DSGVO. Üblich sind 3 Monate zum Quartals- oder Jahresende, oft mit 12 oder 24 Monaten Mindestlaufzeit. Prüfen Sie zuerst das Kündigungsdatum und die Schriftform — eine verpasste Frist verlängert den Vertrag meist automatisch um ein Jahr.
Welche Dokumente muss der alte Datenschutzbeauftragte herausgeben?
Alle datenschutzrelevanten Unterlagen, denn die sind Eigentum des Verantwortlichen, nicht des DSB: Verzeichnis der Verarbeitungstätigkeiten (VVT), AVV-Register, TOMs-Dokumentation, Datenpannen-Doku, Schulungsnachweise, Löschkonzept, DSFA und der Schriftverkehr mit der Aufsichtsbehörde. Verweigert der alte DSB die Herausgabe, haben Sie einen Anspruch darauf.
Muss ich den Wechsel des Datenschutzbeauftragten der Aufsichtsbehörde melden?
Ja. Nach Art. 37 Abs. 7 DSGVO müssen Sie die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitteilen. In Hamburg ist das der HmbBfDI über das Online-Formular auf datenschutz-hamburg.de. Praktisch heißt das: neuen DSB anmelden, der alte Eintrag wird durch die neue Meldung ersetzt.
Entsteht beim Wechsel eine Datenschutz-Lücke?
Nicht, wenn Sie nahtlos planen. Bestellen Sie den neuen DSB zum Tag nach Wirksamwerden der Kündigung, sodass keine Lücke entsteht. Im Idealfall überlappen sich alte und neue Bestellung kurz, damit die Übergabe sauber läuft. Eine Phase ganz ohne benannten DSB ist ein meldepflichtiger Mangel und sollte vermieden werden.
Wie schnell kann ein neuer externer Datenschutzbeauftragter starten?
Bei frag.hugo sind Sie in der Regel in 7 Werktagen startklar: Erstgespräch, Vertrag, Bestellung, HmbBfDI-Meldung und Übernahme der vorhandenen Dokumentation. Liegt ein vollständiges Übergabe-Paket vom Vorgänger vor, geht es noch schneller, weil wir auf bestehendem VVT und TOMs aufsetzen können.
Recherche-Stand: verifiziert am 14. Mai 2026 über Art. 37 DSGVO, Art. 38 DSGVO und Art. 13 DSGVO auf dsgvo-gesetz.de sowie das Meldeformular des HmbBfDI. Kündigungsfristen ergeben sich aus dem jeweiligen Dienstleistungsvertrag.
Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)
Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)
Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.