Zum Hauptinhalt springen
frag.hugo Datenschutz Hamburg — frag.hugo Informationssicherheit
Angebot
Alle Artikel
DSBDSGVOHamburg

Interner oder externer Datenschutzbeauftragter? Entscheidung für KMU

Interner oder externer Datenschutzbeauftragter — was lohnt sich für Hamburger KMU? Kostenvergleich, Haftung, Interessenkonflikt und klare Empfehlung je Größe.

Nils Oehmichen
Nils Oehmichen
Externer DSB · TÜV-zertifiziert
13. Mai 2026

Inhalt in Kürze

  • Interner DSB lohnt sich erst ab mehreren hundert Mitarbeitern mit eigener Rechtsabteilung — für KMU mit 10–250 Mitarbeitern gewinnt der externe DSB fast immer.
  • Geschäftsführung, IT-Leitung und HR-Leitung dürfen nicht interner DSB sein — sie würden sich selbst kontrollieren (Interessenkonflikt nach Art. 38 Abs. 6 DSGVO).
  • Ein interner DSB genießt Sonderkündigungsschutz nach § 6 Abs. 4 BDSG — kündbar nur aus wichtigem Grund, plus ein Jahr Nachwirkung. Eine schwer umkehrbare Personalentscheidung.
  • Kostenvergleich: interner DSB real 4.000–6.000 €/Monat (Gehalt + Schulung + Haftpflicht + Software), externer DSB als Festpreis ab 79 € netto.

Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 9 Minuten

Sie haben die 20-Mitarbeiter-Schwelle überschritten oder verarbeiten Gesundheitsdaten — und damit steht die Entscheidung an: Benennen Sie jemanden aus dem Team zum Datenschutzbeauftragten, oder beauftragen Sie einen externen Dienstleister? Die Frage klingt nach einer reinen Kostenrechnung. Ist sie aber nicht. Wer hier falsch entscheidet, holt sich einen Interessenkonflikt, eine Haftungslücke und einen Mitarbeiter mit Sonderkündigungsschutz ins Haus. Dieser Artikel zeigt Ihnen Pro, Contra und eine klare Empfehlung je Unternehmensgröße.

Aus Hamburg:

Wir sehen diese Entscheidung bei Hamburger Mandanten ständig — vom Hammerbrook-Startup bis zur Reederei am Hafen. Der häufigste Fehler: Der Geschäftsführer benennt schnell den IT-Leiter, weil „der kennt sich mit Technik aus". Genau das verbietet der Hamburgische Beauftragte für Datenschutz (HmbBfDI, Ludwig-Erhard-Straße 22) aus gutem Grund.

Die rechtliche Pflicht: Wer braucht überhaupt einen DSB?

Bevor es um intern oder extern geht, klären wir kurz die Pflicht. Sie ergibt sich aus zwei Quellen:

  • Art. 37 DSGVO — die europäische Grundlage. Pflicht bei Kerntätigkeit mit umfangreicher, regelmäßiger Überwachung oder umfangreicher Verarbeitung besonderer Datenkategorien (Art. 9).
  • § 38 Abs. 1 BDSG — die deutsche Konkretisierung. Pflicht, sobald mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind.

Wann genau die Pflicht für Ihr Unternehmen greift, haben wir im Detail im Beitrag DSB-Pflicht für Hamburger KMU aufgeschlüsselt.

Entscheidend für die Wahl intern/extern ist eine Anforderung, die beide Quellen teilen: Fachkunde.

Fachkunde nach Art. 37 Abs. 5 DSGVO — die unterschätzte Hürde

Der DSB wird laut Art. 37 Abs. 5 DSGVO „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt” (Quelle: dsgvo-gesetz.de, Art. 37). Die Regel ist verhältnismäßig: Je risikoreicher und umfangreicher Ihre Verarbeitung, desto höher die geforderte Fachkunde.

Klingt abstrakt, hat aber eine harte Konsequenz: Sie können nicht einfach „die Bürokauffrau, die ohnehin schon viel macht” benennen. Ohne fundierte Schulung erfüllt sie die Anforderung nicht — und die Benennung wäre angreifbar. Fachkunde muss aufgebaut, zertifiziert und jedes Jahr fortgebildet werden, weil sich Recht und Aufsichtspraxis laufend ändern.

Das Wichtigste: Ein interner DSB ist kein Titel, den man vergibt — es ist eine Qualifikation, die man laufend aufbauen und finanzieren muss. Genau hier beginnt die echte Kostenrechnung.

Der direkte Vergleich: intern vs. extern

Hier die nüchterne Gegenüberstellung über alle Dimensionen, die in der Praxis zählen:

KriteriumInterner DSBExterner DSB (frag.hugo)
Kosten/Monat≈ 4.000–6.000 € (anteiliges Gehalt, Schulung, Haftpflicht, Software)Festpreis 79–499 € netto
Fachkunde / Fortbildungmuss aufgebaut + jährlich finanziert werdenTÜV-zertifiziert (ISO/IEC 17024), Fortbildung inklusive
Haftungbleibt beim Unternehmen + persönliches Risiko MitarbeiterBerufshaftpflicht 50.000–500.000 € je Tarif
VerfügbarkeitUrlaub/Krankheit = Lücke, Stellvertreter PflichtReaktion < 24 h werktags, < 4 h akut
ObjektivitätInteressenkonflikt-Risiko bei Doppelrollenunabhängig per Definition
KündbarkeitSonderkündigungsschutz § 6 Abs. 4 BDSGnormale Vertragslaufzeit, sauber kündbar
Tool-ZugangDSMS-Software extra (200–500 €/Mo)Plattform „Hugo DSB” inklusive

Drei Spalten dieser Tabelle entscheiden die Frage in den meisten KMU fast im Alleingang: Kosten, Interessenkonflikt und Kündbarkeit. Die schauen wir uns jetzt einzeln an.

20
MA = DSB-Pflicht (§ 38 BDSG)
79 €
externer DSB ab (netto/Mo)
1 Jahr
Kündigungsschutz-Nachwirkung
4 %
Bußgeld-Maximum vom Umsatz

Kostenvergleich: Was ein interner DSB wirklich kostet

Der interne DSB wirkt billig, weil „der Mitarbeiter ist ja eh da”. Diese Rechnung geht selten auf. Realistisch fallen an:

  • Anteiliges Gehalt für die DSB-Funktion — selbst bei 20–30 % einer Stelle schnell 1.500–3.000 €/Monat.
  • Fachkunde-Schulung zur Erstqualifikation — einmalig rund 2.500–3.500 €.
  • Jährliche Fortbildung — Recht und Aufsichtspraxis ändern sich permanent.
  • Berufshaftpflicht für die DSB-Tätigkeit.
  • Stellvertretung — bei Urlaub und Krankheit darf der Datenschutz nicht stillstehen.
  • DSMS-Software (Verarbeitungsverzeichnis, TOMs, Datenpannen-Tracking) — 200–500 €/Monat.

Summiert landen Sie bei 4.000 bis 6.000 € pro Monat. Der externe DSB beginnt bei uns als Festpreis ab 79 € netto (Lite, bis 15 MA) und deckt bei 149 € (Standard, bis 25 MA) bereits 12 Stunden Beratung pro Jahr ab — Haftpflicht, Software und Fortbildung inklusive. Den vollständigen Festpreis-Vergleich finden Sie unter Kosten eines externen DSB in Hamburg.

Tipp:

Rechnen Sie nicht das Gehalt gegen den Festpreis, sondern die Vollkosten: Schulung, Haftpflicht, Software und Vertretung gehören dazu. Erst dann wird der Abstand sichtbar. Den passenden Festpreis für Ihre Mitarbeiterzahl ermitteln Sie in 60 Sekunden über unseren Angebotsrechner.

Interessenkonflikt: Warum IT-Leiter, GF und HR nicht DSB sein dürfen

Das ist der Knackpunkt, an dem die meisten internen Lösungen scheitern. Nach Art. 38 Abs. 6 DSGVO darf der DSB andere Aufgaben nur wahrnehmen, „sofern dies nicht zu einem Interessenkonflikt führt”. Übersetzt: Wer Zweck und Mittel der Datenverarbeitung selbst festlegt, darf sich nicht selbst kontrollieren.

Die Aufsichtsbehörden sind hier eindeutig. Die Landesbeauftragte für Datenschutz NRW (LDI NRW) nennt in ihrem FAQ ausdrücklich Tätigkeitsfelder, die einen Interessenkonflikt auslösen — darunter „Leitung eines Unternehmens oder einer Behörde” und „Leitung der IT-Abteilung” (Quelle: ldi.nrw.de). Auch die IHK warnt: Selbst wenn ein DSB benannt wurde, müssen Sie sicherstellen, „dass diese Person nicht in einem Interessenkonflikt steht” (ihk.de Ulm).

In der Praxis bedeutet das: Tabu für die DSB-Funktion sind typischerweise

  • Geschäftsführung / Inhaber. Legt die Verarbeitungszwecke fest — kann sich nicht selbst überwachen.
  • IT-Leitung. Entscheidet über Systeme, Tools und Sicherheitsmaßnahmen — also über die „Mittel" der Verarbeitung.
  • Personalleitung (HR). Verantwortet die umfangreichste Verarbeitung im Haus (Beschäftigtendaten).
  • Marketing-/Vertriebsleitung. Treibt Kundendaten-Nutzung, Tracking und Newsletter — Selbstkontrolle ausgeschlossen.

Und jetzt das Dilemma im Mittelstand: In einem Unternehmen mit 30 Leuten sind genau das die Köpfe, die sich überhaupt mit dem Thema beschäftigen würden. Wer übrig bleibt, hat oft weder die Fachkunde noch die nötige Stellung im Unternehmen. Ein externer DSB ist per Definition unabhängig — der Interessenkonflikt entsteht gar nicht erst. Genau das nennt auch die Fachliteratur als praktischen Ausweg.

Vorsicht:

Ein DSB-Posten, der trotz Interessenkonflikt vergeben wird, ist kein Kavaliersdelikt. Die Benennung einer ungeeigneten Person kann selbst ein Verstoß sein und nach Art. 83 DSGVO ein Bußgeld auslösen — die Behörde wertet das als Organisationsverschulden.

Der übersehene Bumerang: Kündigungsschutz des internen DSB

Diesen Punkt vergessen fast alle Geschäftsführer — und er ist arbeitsrechtlich der teuerste. Sobald Sie jemanden intern zum DSB benennen, greift § 6 Abs. 4 BDSG: Die ordentliche Kündigung des Arbeitsverhältnisses ist während der Amtszeit unzulässig. Kündbar ist die Person nur noch aus wichtigem Grund (Quelle: buse.de).

Und es geht weiter: Der Schutz wirkt bis zu ein Jahr nach dem Ende der DSB-Tätigkeit nach (dsgvo-gesetz.de, § 6 BDSG). Hinzu kommt das Benachteiligungs- und Abberufungsverbot aus Art. 38 Abs. 3 DSGVO: Sie dürfen den DSB nicht wegen seiner Aufgabenerfüllung abberufen oder benachteiligen.

Was heißt das konkret? Sie machen einen Mitarbeiter durch eine Verwaltungsentscheidung praktisch unkündbar. Trennen Sie sich später vom Team — Umstrukturierung, Insolvenz, schlechte Leistung — steht ausgerechnet diese Person unter Sonderschutz. Eine Personalie, die Sie schnell vergeben, aber nur sehr schwer wieder rückgängig machen.

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern — die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz. Und sobald sie jemanden intern benennen, hängt der an einem Kündigungsschutz, den die wenigsten auf dem Schirm hatten.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Wann ist intern trotzdem sinnvoll?

Ehrlich gesagt: in KMU selten. Aber es gibt klare Fälle, in denen ein interner DSB die bessere Wahl ist.

  1. Große Organisation: mehrere hundert bis tausende Mitarbeiter, bei denen eine ganze Stelle (oder mehr) sinnvoll ausgelastet ist.
  2. Eigene Rechts- oder Compliance-Abteilung: die Fachkunde ist ohnehin im Haus, der DSB kann unabhängig von der operativen IT/HR-Leitung positioniert werden.
  3. Sehr komplexe, dauerhaft hohe Verarbeitung: z. B. große Konzerne, bei denen tiefe Prozesskenntnis und permanente Präsenz vor Ort den Ausschlag geben.

Der Vorteil eines internen DSB ist die Nähe: tiefe Kenntnis der Prozesse, kurze Wege, kulturelle Integration. Das wiegt aber nur dann die Nachteile auf, wenn die Organisation groß genug ist, um Fachkunde, Unabhängigkeit und Vertretung sauber zu organisieren.

Wann extern klar gewinnt: 10–250 Mitarbeiter

Für den klassischen Hamburger Mittelstand ist die Sache eindeutig. Hier gewinnt der externe DSB auf ganzer Linie:

  • Sie haben unter 250 Mitarbeiter. Eine interne Vollkraft wäre nicht ausgelastet, eine Teilrolle erzeugt Interessenkonflikt oder Fachkunde-Lücken.
  • Ihre „logischen" Kandidaten sind GF, IT- oder HR-Leitung. Genau die dürfen nicht — der externe DSB löst das Problem sofort.
  • Sie wollen Planungssicherheit. Festpreis statt Gehalt-plus-Nebenkosten, sauber kündbar statt Sonderkündigungsschutz.
  • Sie brauchen Haftungsentlastung. Berufshaftpflicht von 50.000 € (Lite) bis 500.000 € (Premium) übernimmt das Risiko.
  • Sie wollen sofort startklar sein. Bei uns in 7 Werktagen — inklusive Plattform, Verarbeitungsverzeichnis-Vorlagen und Datenpannen-Wizard.

Der Ablauf einer externen Bestellung ist unkomplizierter, als die meisten denken — Schritt für Schritt zeigen wir das im Beitrag Externen DSB bestellen: der Ablauf.

Faustregel:

Bis ~250 Mitarbeiter ohne eigene Rechtsabteilung: extern. Ab mehreren hundert Mitarbeitern mit Compliance-Funktion im Haus: intern prüfen. Genau dazwischen liegt fast kein KMU.

Aus der Praxis

Für uns ist wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen — ohne dabei den Geschäftsbetrieb einzustellen. Bei einem 30-Mann-Betrieb intern jemanden zu benennen, der weder die Fachkunde hat noch unabhängig sein darf, ist keine Lösung — das ist ein Folgeproblem.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Fazit / Ihr nächster Schritt

Die Entscheidung intern vs. extern ist für KMU keine Geschmacksfrage, sondern eine Rechnung mit drei Variablen: Kosten (intern real 4.000–6.000 €, extern ab 79 €), Interessenkonflikt (Ihre logischen Kandidaten dürfen nicht) und Kündigungsschutz (eine kaum umkehrbare Personalie). In den allermeisten Hamburger Mittelstandsbetrieben fällt die Antwort damit klar zugunsten des externen DSB aus. Intern wird erst sinnvoll, wenn Größe und eine eigene Rechtsabteilung die Nachteile auffangen.

Unsicher, was für Ihr Unternehmen passt?

In einem kostenlosen 15-Minuten-Erstgespräch rechnen wir Ihren konkreten Fall durch — intern vs. extern, Tarif ab 79 € netto, in 7 Werktagen startklar. Kein Verkaufsdruck, nur Klartext.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Was ist günstiger — ein interner oder ein externer Datenschutzbeauftragter?

Für die allermeisten KMU ist der externe DSB deutlich günstiger. Ein interner DSB kostet inklusive anteiligem Gehalt, Fachkunde-Schulung, jährlicher Fortbildung, Berufshaftpflicht und Software-Plattform meist 4.000 bis 6.000 Euro pro Monat. Ein externer DSB beginnt bei uns als Festpreis ab 79 Euro netto pro Monat — alles inklusive.

Wer darf im Unternehmen nicht zum internen Datenschutzbeauftragten benannt werden?

Personen mit Interessenkonflikt dürfen nicht benannt werden. Laut Aufsichtsbehörden (z. B. LDI NRW) zählen dazu Geschäftsführung, IT-Leitung, Personalleitung und Marketingleitung, weil sie Zweck und Mittel der Datenverarbeitung selbst festlegen und sich dann praktisch selbst kontrollieren müssten. Eine Benennung trotz Interessenkonflikt kann ein Bußgeld nach Art. 83 DSGVO auslösen.

Hat ein interner Datenschutzbeauftragter Kündigungsschutz?

Ja. Nach § 6 Abs. 4 BDSG ist die ordentliche Kündigung eines internen DSB während der Amtszeit unzulässig — eine Kündigung ist nur aus wichtigem Grund möglich. Der Schutz wirkt sogar bis zu ein Jahr nach Ende der Bestellung nach. Das macht eine interne Benennung zu einer arbeitsrechtlich schwer rückgängig zu machenden Entscheidung.

Welche Fachkunde muss ein Datenschutzbeauftragter nachweisen?

Nach Art. 37 Abs. 5 DSGVO wird der DSB auf Basis seiner beruflichen Qualifikation und seines Fachwissens im Datenschutzrecht und in der Datenschutzpraxis benannt. Je risikoreicher die Verarbeitung, desto höher die Anforderung. Ein Mitarbeiter ohne einschlägige Schulung erfüllt das in der Regel nicht — die Fachkunde muss aufgebaut und laufend fortgebildet werden.

Ab welcher Unternehmensgröße lohnt sich ein interner Datenschutzbeauftragter?

In der Praxis erst ab mehreren hundert Mitarbeitern mit eigener Rechts- oder Compliance-Abteilung und komplexer, dauerhaft hoher Datenverarbeitung. Für KMU mit 10 bis 250 Mitarbeitern gewinnt der externe DSB fast immer — wegen Kosten, garantierter Fachkunde, Haftungsübernahme und fehlendem Interessenkonflikt.

Recherche-Stand: verifiziert am 13.05.2026 über LDI NRW, IHK Ulm, dsgvo-gesetz.de (Art. 37/38 DSGVO, § 6 BDSG) und gesetze-im-internet.de.

Auch interessant
Datenschutz-Audit

Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner

Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.
Anrufen Angebot