DSB-Pflicht für Hamburger KMU: Ab wann brauche ich einen Datenschutzbeauftragten?

Es gibt zwei Anlässe, in denen Hamburger Geschäftsführer plötzlich nach einem Datenschutzbeauftragten suchen:

1. Sie wachsen über die Marke von 20 Mitarbeitern und der Steuerberater erinnert sie an die Pflicht.
2. Sie bekommen Post vom HmbBfDI — dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.

Beide Anlässe haben einen entscheidenden Unterschied: Im ersten Fall haben Sie Zeit. Im zweiten Fall nicht.

Wer ist überhaupt zum DSB verpflichtet?

Die rechtliche Grundlage steht in § 38 Abs. 1 BDSG — eine deutsche Konkretisierung der DSGVO. Pflicht ist ein DSB:

• sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
• bei risikoreicher Verarbeitung unabhängig von der Mitarbeiterzahl (Profiling, umfangreiche Videoüberwachung, Auftragsverarbeiter mit DSGVO-relevanten Datenmengen)
• bei besonderen Datenkategorien nach Art. 9 DSGVO — also Gesundheits-, biometrische oder genetische Daten (klassisch: Arztpraxen, Pflegedienste, Personalvermittler)

Praktisch heißt das: Eine Hamburger Steuerkanzlei mit acht Mitarbeitern ist nicht pflichtig. Eine Reederei mit 35 Mitarbeitern, die Crew-Listen führt, ist es. Ein Pflegedienst mit zwölf Mitarbeitern ist es ebenfalls — wegen der Gesundheitsdaten.

Intern oder extern? Die Rechnung in Zahlen

Wir sehen die Frage in praktisch jedem Erstgespräch. Hier die nüchterne Vergleichsrechnung:

Posten	Intern	Extern (frag.hugo)
Personalkosten DSB-Funktion	4.000–5.500 €/Mo	—
Schulung & Zertifizierung	3.500 € einmalig + 1.200 €/Jahr	inkl.
Berufshaftpflicht	600 €/Jahr	inkl.
Stellvertretung (Pflicht)	+ Personal	inkl.
Software (DSMS-Plattform)	200–500 €/Mo	inkl.
Pauschal pro Monat	≈ 5.000–6.000 €	149–499 €

Die Zahlen werden noch deutlicher, wenn Sie unter 50 Mitarbeiter sind — dann macht ein interner DSB schlicht keinen wirtschaftlichen Sinn. Hinzu kommt die Unabhängigkeitsproblematik: Ein interner DSB darf nach Art. 38 DSGVO bei seiner Aufgabe nicht angewiesen werden — was bei einem Angestellten gegenüber dem Geschäftsführer in der Praxis schwierig sein kann.

Was passiert, wenn der HmbBfDI bei Ihnen anfragt?

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sitzt in der Ludwig-Erhard-Straße 22, 20459 Hamburg — direkt am Großen Burstah. Die Behörde hat in den letzten Jahren ihre Aufsichtstätigkeit deutlich ausgeweitet. Typische Anlässe für Anfragen bei Hamburger KMU:

• Beschwerde durch Betroffene: Ein Mitarbeiter, ein Kunde oder ein Bewerber meldet sich beim HmbBfDI mit einer Beschwerde — etwa weil seine Daten nach einer Bewerbung nicht gelöscht wurden.
• Datenpanne: Sie haben selbst eine Datenpanne nach Art. 33 DSGVO gemeldet (was gut ist!). Die Behörde fragt nach.
• Branchen-Schwerpunkt: Der HmbBfDI legt jährlich Prüfschwerpunkte fest. Aktuell (2026): Cookie-Einwilligungen, Beschäftigtendatenschutz, KI-Einsatz im HR-Bereich.

Wenn Sie eine solche Anfrage bekommen, ist der häufigste Fehler: die Antwort selbst formulieren, ohne einen Datenschutzbeauftragten dazwischen. Das endet oft in zugesagten Maßnahmen, die Sie technisch nicht umsetzen können.

Mit einem externen DSB läuft das so: Wir bekommen die Anfrage in Kopie, formulieren die Antwort gemeinsam mit Ihnen, und vereinbaren mit der Behörde realistische Fristen. In unserer Mandantschaft hatten wir bisher 0 € Bußgelder — auch in Fällen, in denen der erste Eindruck schlimm aussah.

Drei typische Fehler, die Hamburger KMU beim DSB machen

1. Den Steuerberater zum DSB ernennen. Der DSB muss die DSGVO und das BDSG kennen — das ist kein Allgemeinwissen. Ein Steuerberater haftet außerdem nicht für seine DSB-Tätigkeit, sondern nur für die Steuerberatung. Wenn die Aufsichtsbehörde Fehler findet, sind Sie als Geschäftsführer in der Haftung.

2. Den Mitarbeiter aus der IT zum internen DSB machen. Der IT-Leiter ist nach Art. 38 Abs. 6 DSGVO eigentlich inkompatibel mit der DSB-Funktion — weil er die Systeme verantwortet, die er kontrollieren soll. Das ist eine klare Interessenkollision, die der HmbBfDI in Prüfungen mittlerweile ausdrücklich abfragt.

3. Den DSB nur „auf dem Papier” haben. Ein DSB muss nach Art. 38 Abs. 4 DSGVO erreichbar sein — für Mitarbeiter und für die Aufsichtsbehörde. Bei einem externen DSB heißt das: Telefon oder E-Mail mit Reaktionszeit. Bei uns: < 24 Stunden werktags, < 4 Stunden bei akuten Vorfällen.

Wie schnell kann ein externer DSB starten?

Bei uns konkret: 7 Werktage. Der Ablauf:

1. Tag 1: Kostenloses Erstgespräch (30 Minuten, telefonisch oder vor Ort in der Spaldingstraße)
2. Tag 1+1: Schriftliches Festpreis-Angebot
3. Tag 3–5: Bestellung als externer DSB nach Art. 37 DSGVO; schriftliche Mitteilung an den HmbBfDI
4. Tag 5–7: Onboarding-Workshop bei Ihnen vor Ort oder per Teams; Aufbau des Datenschutz-Management-Systems

Ab Tag 8 ist die Funktion live. Mitarbeiter können den DSB kontaktieren, Ihre Doku liegt strukturiert in der Hugo-DSB-Plattform.

Was Sie konkret jetzt tun sollten

Wenn Sie gerade auf 20 Mitarbeiter zugehen oder bereits darüber sind und noch keinen DSB bestellt haben: Frist setzen. Der HmbBfDI prüft im Rahmen seiner Branchen-Audits genau diesen Punkt — und kann gemäß Art. 83 DSGVO Bußgelder von bis zu 10 Mio. € verhängen. In der Praxis liegen die meisten Strafen für nicht bestellte DSB im vier- bis fünfstelligen Bereich.

Wenn Sie bereits einen Behördenbrief in der Hand haben: Nichts unterschreiben, nichts beantworten — bevor ein DSB den Brief gelesen hat. Wir helfen typischerweise innerhalb der gesetzten Fristen, auch akut.

Rufen Sie uns an: 040 57308220-0. Mo–Fr 9–18 Uhr, Wartezeit meist unter 30 Sekunden.