Zum Hauptinhalt springen
frag.hugo Datenschutz Hamburg — frag.hugo Informationssicherheit
Angebot
Alle Artikel
DSBBestellungHamburg

Externen Datenschutzbeauftragten bestellen: der Ablauf

Externen Datenschutzbeauftragten bestellen in Hamburg: Bestellurkunde, HmbBfDI-Meldung und Veröffentlichung in der Datenschutzerklärung – Schritt für Schritt erklärt.

Nils Oehmichen
Nils Oehmichen
Externer DSB · TÜV-zertifiziert
15. Mai 2026

Inhalt in Kürze

  • Bestellung ist Chefsache: Die Geschäftsführung benennt den externen DSB schriftlich per Bestellurkunde plus Dienstleistungsvertrag – mit Aufgabenbeschreibung (Art. 39) und direkter Berichtslinie an die oberste Leitung (Art. 38 Abs. 3 DSGVO).
  • Meldepflicht an den HmbBfDI: Nach Art. 37 Abs. 7 DSGVO teilen Sie die Kontaktdaten dem Hamburgischen Beauftragten für Datenschutz mit – über das Online-Formular, zeitnah nach der Benennung (Richtwert: rund 30 Tage).
  • Veröffentlichungspflicht: Die DSB-Kontaktdaten gehören nach Art. 13 DSGVO in Ihre Datenschutzerklärung – Funktionsadresse genügt, der Name ist nicht zwingend.
  • In 7 Werktagen startklar: Erstgespräch, Festpreis, Vertrag, Behördenmeldung, Onboarding, Plattform – danach läuft der DSB ab Tag 1 mit VVT, AVV, TOMs, Schulung und Behördenkontakt.

Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 9 Minuten

Sie haben sich entschieden: Ein externer Datenschutzbeauftragter soll her – vielleicht weil Sie über 20 Mitarbeiter gewachsen sind, vielleicht weil ein Großkunde es im Vertrag verlangt. Die Entscheidung ist gefallen, jetzt geht es ums Wie. Genau hier hängen die meisten Hamburger Geschäftsführer fest, weil drei formale Schritte zusammenkommen, die viele unterschätzen: die schriftliche Bestellung, die Meldung an den HmbBfDI und die Veröffentlichung der Kontaktdaten. Dieser Artikel führt Sie Schritt für Schritt durch den kompletten Ablauf.

Für Hamburger Unternehmen:

Ihre zuständige Aufsichtsbehörde ist der HmbBfDI in der Ludwig-Erhard-Straße 22, 20459 Hamburg. Die Meldung läuft komplett digital über das Online-Formular „Datenschutzbeauftragten an-/abmelden". Noch unsicher, ob Sie überhaupt bestellen müssen? Das klärt unser Leitfaden zur DSB-Pflicht für Hamburger KMU.

Externen Datenschutzbeauftragten bestellen: die drei Pflicht-Bausteine

Wer einen externen Datenschutzbeauftragten bestellen will, denkt oft nur an die Unterschrift unter dem Vertrag. Tatsächlich besteht die rechtswirksame Benennung aus drei Teilen, die ineinandergreifen:

  • Interne Bestellung. Die Geschäftsführung benennt den DSB schriftlich per Bestellurkunde und schließt parallel einen Dienstleistungsvertrag mit dem externen Anbieter.
  • Meldung an die Aufsichtsbehörde. Die Kontaktdaten gehen nach Art. 37 Abs. 7 DSGVO an den HmbBfDI.
  • Veröffentlichung. Die Kontaktdaten werden öffentlich gemacht – nach Art. 13 DSGVO in der Datenschutzerklärung Ihrer Website.

Erst wenn alle drei erledigt sind, haben Sie nicht nur einen DSB, sondern auch nachweisbar Ihre Pflichten erfüllt. Fehlt einer der Schritte, ist das die häufigste Fehlerquelle, die der HmbBfDI bei einer Prüfung sofort sieht.

Schritt 1: Die Bestellurkunde – was rein muss

Die Bestellurkunde (juristisch korrekt: die Benennung) ist das Dokument, mit dem die Geschäftsführung den DSB offiziell ins Amt setzt. Sie ist kein Behördenformular, sondern ein internes Dokument, das Sie im Datenschutz-Ordner ablegen und bei einer Prüfung vorzeigen. Diese Angaben gehören hinein:

  • Name und Kontaktdaten des DSB. Bei einem externen DSB die Person und die Firma des Anbieters, mit Erreichbarkeit (E-Mail, Telefon).
  • Verantwortliches Unternehmen. Firmenname, Rechtsform, Anschrift des Verantwortlichen.
  • Bestelldatum und Wirksamkeit. Ab wann die Benennung gilt – dieses Datum brauchen Sie später für die Meldung.
  • Aufgabenbeschreibung nach Art. 39 DSGVO. Welche Pflichtaufgaben der DSB übernimmt (Beratung, Überwachung, Schulung, Behördenkontakt).
  • Berichtslinie an die oberste Leitung. Nach Art. 38 Abs. 3 DSGVO berichtet der DSB unmittelbar der höchsten Managementebene – das gehört explizit in die Urkunde.
  • Unterschrift der Geschäftsführung. Die Benennung ist ein Akt der Leitung, kein Verwaltungsvorgang aus der zweiten Reihe.
Wichtig:

Die Berichtslinie ist kein Formalismus. Art. 38 Abs. 3 DSGVO verbietet ausdrücklich Weisungen an den DSB bei der Ausübung seiner Aufgaben und schützt ihn vor Benachteiligung. Wer den externen DSB nur über den IT-Leiter oder die Assistenz „durchreicht", schwächt genau die Unabhängigkeit, die das Gesetz fordert.

Bei der formalen Bestellung ist der externe DSB im Vorteil: Ein interner Mitarbeiter darf nach Art. 38 Abs. 6 DSGVO keine Aufgaben haben, die mit der DSB-Funktion kollidieren – der klassische Stolperstein ist der IT-Leiter, der die Systeme kontrollieren soll, die er selbst verantwortet. Diese Interessenkollision entfällt bei einem externen Dienstleister vollständig.

Schritt 2: Meldung an den HmbBfDI – Online, mit klaren Pflichtangaben

Nach der internen Bestellung folgt die Pflicht aus Art. 37 Abs. 7 DSGVO: Sie teilen die Kontaktdaten des DSB der Aufsichtsbehörde mit. Für Unternehmen mit Sitz in Hamburg ist das der HmbBfDI. Die Meldung läuft über ein Online-Formular – kein Brief, kein Termin nötig.

Wichtig zu wissen: Die DSGVO nennt für diese Mitteilung keine starre Tagesfrist. Verlangt wird, dass Sie die Daten zeitnah nach der Benennung melden. In der Praxis hat sich ein Richtwert von rund 30 Tagen etabliert – warten Sie nicht länger, denn die Meldung ist schnell erledigt und ein unangenehmer Punkt weniger, falls die Behörde nachfragt.

Art. 37(7)
Meldepflicht DSGVO
~30 Tage
Richtwert Meldung
Online
HmbBfDI-Formular
Art. 13
Pflicht in der DSE

Das Meldeformular des HmbBfDI fragt im Kern zwei Blöcke ab:

BlockAngaben
VerantwortlicherFirmenname, Rechtsform, Anschrift, Ansprechpartner / Kontakt
DatenschutzbeauftragterName oder Funktionsbezeichnung, E-Mail, Telefon des DSB
Art der BenennungPflicht-DSB oder freiwillig; bei externem DSB die Erreichbarkeit
BestelldatumDatum der wirksamen Benennung aus der Urkunde
Tipp:

Tragen Sie als DSB-Kontakt nicht Ihre interne Empfangs-Adresse ein, sondern die Erreichbarkeit des externen DSB. Sonst landet behördliche Post über drei Ecken bei der falschen Stelle – und die Reaktionszeit, auf die es bei Datenpannen ankommt, verpufft. Wenn wir Sie betreuen, übernehmen wir diese Meldung für Sie und hinterlegen unsere direkte Erreichbarkeit.

Schritt 3: Veröffentlichung in der Datenschutzerklärung

Der dritte Baustein wird am häufigsten vergessen. Art. 37 Abs. 7 DSGVO verlangt nicht nur die Meldung an die Behörde, sondern auch die Veröffentlichung der Kontaktdaten. Praktisch heißt das: Die Kontaktdaten des DSB müssen nach Art. 13 DSGVO in der Datenschutzerklärung Ihrer Website stehen.

Wichtig dabei: Sie müssen nicht den Namen des DSB veröffentlichen. Eine erreichbare Funktionsadresse genügt – zum Beispiel eine E-Mail-Adresse, über die der DSB erreichbar ist. Das schützt die Privatsphäre des externen Beauftragten und erfüllt trotzdem die Pflicht.

Das Wichtigste: Meldung an den HmbBfDI und Veröffentlichung in der Datenschutzerklärung sind zwei getrennte Pflichten aus demselben Artikel. Erledigen Sie immer beide – wer nur meldet, aber nicht veröffentlicht (oder umgekehrt), erfüllt Art. 37 Abs. 7 DSGVO nur halb.

Der Vertrag: Worauf Sie beim externen DSB achten

Parallel zur Bestellurkunde schließen Sie mit dem Anbieter einen Dienstleistungsvertrag. Hier entscheidet sich, ob Sie einen DSB „auf dem Papier” haben oder einen, der im Ernstfall liefert. Diese Punkte gehören geprüft:

  • Leistungsumfang. Sind alle Art.-39-Aufgaben enthalten – VVT, AVV-Prüfung, TOMs, Schulung, Behördenkontakt, Datenpannen-Begleitung? Oder kosten einzelne Bausteine extra?
  • Service-Level (SLA). Welche Reaktionszeit ist zugesichert – werktags und im akuten Fall? Ohne SLA ist „Erreichbarkeit" nur ein Versprechen.
  • Berufshaftpflicht. Hat der DSB eine Vermögensschaden-Haftpflicht, und in welcher Höhe? Das ist Ihr Sicherheitsnetz, falls ein Fehler des DSB zum Schaden führt.
  • Laufzeit und Kündigung. Mindestlaufzeit, Verlängerung, Kündigungsfristen – und was bei einem späteren Anbieterwechsel mit Ihren Daten passiert.
  • Qualifikationsnachweis. Fachkunde nach Art. 37 Abs. 5 DSGVO, idealerweise ein TÜV-Zertifikat nach ISO/IEC 17024.
  • Datenhoheit. Wo liegen Ihre Datenschutz-Dokumente, und kommen Sie jederzeit dran?

Bei frag.hugo sind diese Punkte im Festpreis abgebildet: Berufshaftpflicht je nach Tarif von 50.000 € (Lite) bis 500.000 € (Premium), SLA von 24 Stunden bis 4 Stunden, TÜV-zertifizierter DSB nach ISO/IEC 17024, und 100 % Datenverarbeitung in Deutschland. Wie sich die Tarife im Detail rechnen, lesen Sie im Artikel zu den Kosten eines externen Datenschutzbeauftragten 2026.

Der komplette Ablauf bei uns: in 7 Werktagen startklar

So sieht der Weg von der ersten Anfrage bis zum live geschalteten DSB konkret aus – ohne Behörden-Wartezeiten, weil die Bestellung beim externen DSB nicht von externen Genehmigungen abhängt:

  1. Erstgespräch (Tag 1): Kostenloses 15- bis 30-Minuten-Gespräch, telefonisch oder vor Ort in unserem Büro in der Spaldingstraße. Wir klären Pflicht, Größe und Branche – ehrlich, auch wenn Sie noch keinen DSB brauchen.
  2. Festpreis-Angebot (Tag 1–2): Schriftliches Angebot mit fixem Monatspreis und klarem Leistungsumfang. Keine Stundensätze, keine Überraschungen.
  3. Vertrag & Bestellung (Tag 3–4): Sie unterschreiben Dienstleistungsvertrag und Bestellurkunde. Die Geschäftsführung benennt den DSB formal mit Aufgabenbeschreibung und Berichtslinie nach Art. 38 Abs. 3.
  4. Behördenmeldung (Tag 4–5): Wir melden die Kontaktdaten über das Online-Formular an den HmbBfDI und erstellen den Textbaustein für Ihre Datenschutzerklärung nach Art. 13.
  5. Onboarding-Workshop (Tag 5–6): Bestandsaufnahme vor Ort oder per Teams – wir sichten VVT, AVV, TOMs und identifizieren die ersten Baustellen.
  6. Plattform-Rollout (Tag 6–7): Ihre Dokumentation zieht strukturiert in die Hugo-DSB-Plattform um: VVT mit über 400 Vorlagen, AVV-Bibliothek, TOMs, Datenpannen-Wizard mit 72-Stunden-Tracker, DSE-Generator. Ab Tag 8 ist die Funktion live.

Was der externe DSB ab Tag 1 macht – die Art.-39-Aufgaben

Sobald die Bestellung wirksam ist, beginnt die eigentliche Arbeit. Die Pflichtaufgaben stehen in Art. 39 DSGVO – das ist das Programm, das ein guter DSB von Tag 1 an abarbeitet:

  • Verzeichnis der Verarbeitungstätigkeiten (VVT). Aufbau oder Prüfung des Verzeichnisses nach Art. 30 – das Fundament jedes Datenschutz-Management-Systems.
  • Auftragsverarbeitungsverträge (AVV). Sichtung der Verträge mit Dienstleistern (Cloud, Newsletter, Lohnbuchhaltung) nach Art. 28 – fehlende oder lückenhafte AVV sind ein Klassiker.
  • Technische und organisatorische Maßnahmen (TOMs). Bewertung der Schutzmaßnahmen nach Art. 32 – von der Zugriffskontrolle bis zur Verschlüsselung.
  • Mitarbeiterschulung & Beratung. Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten – die erste Awareness-Schulung steht früh auf dem Plan.
  • Überwachung der Einhaltung. Laufende Kontrolle, ob DSGVO und interne Richtlinien eingehalten werden.
  • Behördenkontakt. Der DSB ist Anlaufstelle für den HmbBfDI und arbeitet mit der Behörde zusammen – bei Datenpannen, Anfragen und Prüfungen.
Tipp:

Gerade Praxen, Reedereien und Personalvermittler mit besonderen Datenkategorien profitieren von einem schnellen Start. Branchenspezifisch unterstützen wir zum Beispiel Arztpraxen und Reedereien mit vorgefertigten VVT-Vorlagen für die typischen Verarbeitungen.

Aus der Praxis

Es kam häufig vor, dass es ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern. Genau deshalb gehört die Berichtslinie zur obersten Leitung in die Bestellurkunde – damit der DSB direkt mit den Entscheidern sprechen kann, nicht über drei Ecken.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

In der Praxis sehen wir bei Hamburger Mandanten regelmäßig denselben Ablauf: Die Bestellung ist schnell unterschrieben, aber die Meldung an den HmbBfDI und der Textbaustein für die Datenschutzerklärung bleiben liegen. Genau diese beiden Schritte übernehmen wir mit – damit die Pflicht aus Art. 37 Abs. 7 DSGVO komplett erfüllt ist und nicht nur zur Hälfte. Wer übrigens von einem bestehenden Anbieter zu uns wechselt, findet den Ablauf im Detail im Artikel zum Datenschutzbeauftragten wechseln.

Fazit / Ihr nächster Schritt

Einen externen Datenschutzbeauftragten zu bestellen ist kein Hexenwerk – aber es sind drei Schritte, nicht einer: schriftliche Bestellung mit Aufgabenbeschreibung und Berichtslinie (Art. 38 Abs. 3), Meldung an den HmbBfDI (Art. 37 Abs. 7) und Veröffentlichung in der Datenschutzerklärung (Art. 13). Wer alle drei sauber erledigt, hat nicht nur einen DSB, sondern auch einen Nachweis, der jeder Prüfung standhält.

In 7 Werktagen zum bestellten DSB – inklusive Behördenmeldung.

Wir übernehmen Bestellurkunde, HmbBfDI-Meldung und den Textbaustein für Ihre Datenschutzerklärung. Festpreis ab 79 € netto/Monat, TÜV-zertifiziert, 100 % Datenverarbeitung in Deutschland. Starten Sie mit einem kostenlosen 15-Minuten-Erstgespräch.

Kostenloses Erstgespräch buchen →

Mehr zu Tarifen und Leistungsumfang finden Sie auf unserer Startseite mit Angebotsrechner.

Häufige Fragen (FAQ)

Wie bestelle ich einen externen Datenschutzbeauftragten formal richtig?

Die Geschäftsführung bestellt den externen DSB schriftlich – per Bestellurkunde (Benennung) plus Dienstleistungsvertrag. Die Urkunde nennt Name und Kontaktdaten des DSB, das Bestelldatum, eine Aufgabenbeschreibung nach Art. 39 DSGVO und die direkte Berichtslinie an die oberste Leitung nach Art. 38 Abs. 3 DSGVO. Danach folgen Meldung an die Aufsichtsbehörde und Veröffentlichung der Kontaktdaten.

Muss ich den Datenschutzbeauftragten beim HmbBfDI melden?

Ja. Nach Art. 37 Abs. 7 DSGVO müssen Sie die Kontaktdaten Ihres Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitteilen. In Hamburg ist das der HmbBfDI über sein Online-Formular. Eine starre gesetzliche Frist nennt die DSGVO nicht – verlangt wird die Mitteilung zeitnah nach der Benennung; in der Praxis sind rund 30 Tage der gängige Richtwert.

Welche Angaben braucht das HmbBfDI-Meldeformular?

Das Online-Formular des HmbBfDI fragt die Daten des Verantwortlichen (Firmenname, Anschrift, Ansprechpartner) und die Kontaktdaten des Datenschutzbeauftragten ab – also Name beziehungsweise die Funktionsbezeichnung, E-Mail und Telefon des DSB. Bei einem externen DSB geben Sie dessen Erreichbarkeit an, nicht eine interne Adresse.

Muss der Datenschutzbeauftragte in die Datenschutzerklärung?

Die Kontaktdaten des DSB müssen veröffentlicht werden (Art. 37 Abs. 7 DSGVO) und gehören nach Art. 13 DSGVO in die Datenschutzerklärung auf Ihrer Website. Der Name des DSB ist nicht zwingend – eine erreichbare Funktionsadresse genügt, etwa eine E-Mail-Adresse, über die der DSB erreichbar ist.

Wie lange dauert es, bis ein externer DSB startklar ist?

Bei uns sind es 7 Werktage von der ersten Anfrage bis zur live geschalteten Funktion: Erstgespräch, Festpreis-Angebot, Vertrag und Bestellung, Behördenmeldung, Onboarding-Workshop und Plattform-Rollout. Ab dem ersten Tag der Bestellung ist der DSB Ansprechpartner für Mitarbeiter, Aufsichtsbehörde und betroffene Personen.

Was macht der externe DSB direkt nach der Bestellung?

Er startet die Pflichtaufgaben nach Art. 39 DSGVO: Aufbau beziehungsweise Prüfung des Verzeichnisses der Verarbeitungstätigkeiten (VVT), Sichtung der Auftragsverarbeitungsverträge (AVV), Bewertung der technischen und organisatorischen Maßnahmen (TOMs), erste Mitarbeiterschulung und die Übernahme des Behördenkontakts zum HmbBfDI.

Recherche-Stand: verifiziert am 15. Mai 2026 über dsgvo-gesetz.de (Art. 13/37/38/39 DSGVO) und datenschutz-hamburg.de (HmbBfDI-Meldeformular „Datenschutzbeauftragten an-/abmelden”).

Auch interessant
Datenschutz-Audit

Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner

Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.
Anrufen Angebot