Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Art. 37 DSGVO - Bestellpflicht Ab 20 Mitarbeitenden Pflicht

Externer DSB

Ihr Datenschutzbeauftragter auf Abruf - zertifiziert, technisch versiert und unabhängig

Ein externer Datenschutzbeauftragter übernimmt die gesetzlich vorgeschriebene DSB-Funktion nach Art. 37-39 DSGVO für Ihr Unternehmen - ohne Festanstellung, ohne Interessenkonflikt. AWARE7 verbindet Datenschutzexpertise mit IT-Sicherheits-Know-how aus über 500 Penetrationstests: Ihre Daten werden nicht nur rechtlich, sondern auch technisch geschützt.

ISO 27001 zertifiziert 500+ Pentests durchgeführt Aus Gelsenkirchen - deutschlandweit Seit 2018 am Markt
DSB bestellen - Angebot anfordern Aufgaben des DSB ansehen

Vertrauen führender Unternehmen

DSGVO - gesetzliche Grundlage
Art. 37
Meldepflicht bei Datenpannen
Personen = Bestellpflicht (oft)
EUR max. Bußgeld bei Verstoß

Brauchen Sie einen Datenschutzbeauftragten?

Die Bestellpflicht ergibt sich aus Art. 37 DSGVO und § 38 BDSG. Prüfen Sie, ob Ihr Unternehmen betroffen ist.

DSB ist Pflicht, wenn mindestens eines zutrifft:

  • 1
    20+ Mitarbeitende verarbeiten regelmäßig personenbezogene Daten automatisiert (§ 38 BDSG)
  • 2
    Kerntätigkeit umfasst umfangreiche Verarbeitung besonderer Datenkategorien - z.B. Gesundheitsdaten, Finanzdaten, biometrische Daten (Art. 9, 10 DSGVO)
  • 3
    Systematische Überwachung von Personen im großen Maßstab - z.B. Videoüberwachung, Tracking, Profiling (Art. 37 Abs. 1 lit. b DSGVO)
  • 4
    Datenschutz-Folgenabschätzung ist nach Art. 35 DSGVO erforderlich - dann besteht ebenfalls DSB-Pflicht

Was passiert ohne DSB?

10 Mio. EUR

Maximales Bußgeld bei fehlendem DSB nach Art. 83 Abs. 4 DSGVO - alternativ bis zu 2% des weltweiten Jahresumsatzes

72 Stunden

Meldefrist bei Datenpannen nach Art. 33 DSGVO. Ohne DSB fehlt oft die Kompetenz, Vorfälle korrekt und fristgerecht zu melden.

Rechenschaftspflicht

Nach Art. 5 Abs. 2 DSGVO müssen Sie jederzeit nachweisen können, dass Sie datenschutzkonform arbeiten. Ohne DSB fehlt die systematische Dokumentation.

Bestellpflicht klären - kostenlos

Warum viele Unternehmen keinen DSB haben - und warum das riskant ist

Die DSGVO ist seit 2018 in Kraft. Trotzdem fehlt in vielen Unternehmen ein bestellter Datenschutzbeauftragter.

Bußgeldrisiko

Das Fehlen eines gesetzlich vorgeschriebenen DSB ist selbst ein Bußgeldtatbestand. Die Behörden prüfen aktiv - besonders nach Datenpannen oder Beschwerden von Betroffenen.

Überforderung intern

Datenschutz als Nebenjob funktioniert nicht. Recht, Technik, Prozesse - ein interner DSB ohne ausreichend Zeit und Expertise schafft ein falsches Sicherheitsgefühl.

Reputationsrisiko

Eine öffentlich gewordene Datenpanne oder ein Behördenbescheid beschädigt das Vertrauen von Kunden, Partnern und Mitarbeitenden - oft dauerhafter als jedes Bußgeld.

Echte DSGVO-Bußgelder in Europa

Quelle: GDPR Enforcement Tracker (CMS Law) · enforcementtracker.com

3.000+ dokumentierte Fälle
1,2 Mrd. € 🇮🇪 Irland
Meta Platforms Ireland

Unzulässige Datentransfers in die USA ohne ausreichende Garantien

Datentransfer
Art. 46 · 22.05.2023
746 Mio. € 🇱🇺 Luxemburg
Amazon Europe Core

Personalisierte Werbung ohne ausreichende Rechtsgrundlage

Fehlende Rechtsgrundlage
Art. 6 · 16.07.2021
345 Mio. € 🇮🇪 Irland
TikTok Technology

Verarbeitung von Kinderdaten ohne gültige Einwilligung

Fehlende Rechtsgrundlage
Art. 5 · 01.09.2023
290 Mio. € 🇳🇱 Niederlande
Uber

Unzulässige Übermittlung von Fahrerdaten in die USA

Datentransfer
Art. 44 · 26.08.2024
225 Mio. € 🇮🇪 Irland
WhatsApp Ireland

Mangelnde Transparenz gegenüber Nutzern und Nicht-Nutzern

DSGVO-Verstoss
Art. 12–14 · 02.09.2021
150 Mio. € 🇫🇷 Frankreich
Google LLC

Cookie-Einwilligung: Ablehnung schwieriger als Zustimmung

Fehlende Rechtsgrundlage
Art. 7 · 06.01.2022
265 Mio. € 🇮🇪 Irland
Meta / Facebook

Datenpanne durch mangelnde Privacy by Design (Scraping 533 Mio. Nutzer)

Datenpanne
Art. 25 · 28.11.2022
35,3 Mio. € 🇩🇪 Deutschland
H&M Hennes & Mauritz

Systematische Überwachung und Profilerstellung von Mitarbeitenden

Mitarbeiterüberwachung
Art. 5 · 01.10.2020
20 Mio. € 🇮🇹 Italien
Clearview AI

Biometrisches Scraping ohne Rechtsgrundlage — Gesichtserkennung

Fehlende Rechtsgrundlage
Art. 5 · 10.03.2022
14,5 Mio. € 🇩🇪 Deutschland
Deutsche Wohnen SE

Mieterdaten ohne Löschkonzept und Speicherbegrenzung archiviert

DSGVO-Verstoss
Art. 5 (1) e) · 30.10.2019
12.000 € 🇮🇹 Italien
Istituto San Giuseppe La Salle

Überwachungsvideo eines Minderjährigen an Privatdetektiv weitergegeben

Kinderdaten
Art. 5 · 29.01.2026
10.000 € 🇮🇹 Italien
ITIS Cannizzaro Catania

Gesundheitsdaten von 51 Schüler:innen mit Behinderung ohne Rechtsgrundlage veröffentlicht

Fehlende Rechtsgrundlage
Art. 5 · 29.01.2026
2.000 € 🇷🇴 Rumänien
SC Hayat Dent SRL

Verweigerung der Kooperation mit der Datenschutzbehörde

Behördenverstoss
Art. 83 (5) · 20.02.2026
3.000 € 🇷🇴 Rumänien
Your Consulting SRL

Datenleck durch unzureichende technisch-organisatorische Maßnahmen

Datenpanne
Art. 25 · 19.02.2026
10.000 € 🇪🇸 Spanien
FREE TECHNOLOGIES EXCOM

Neue Passwörter unverschlüsselt per E-Mail versandt

DSGVO-Verstoss
Art. 32 · 03.02.2026
5.000 € 🇮🇹 Italien
Dr. Paolo Montemurro

Arzt veröffentlichte OP-Fotos ohne Einwilligung des Patienten

Fehlende Rechtsgrundlage
Art. 5 · 29.01.2026
1.800 € 🇪🇸 Spanien
Vermieter (anonym)

Videoüberwachung in Mietwohnungen ohne Rechtsgrundlage

Fehlende Rechtsgrundlage
Art. 6 · 06.02.2026
Alle 3.000+ Bußgelder auf enforcementtracker.com ansehen

Interner vs. externer Datenschutzbeauftragter

Die DSGVO erlaubt beides. Aber welche Variante passt zu Ihrem Unternehmen?

Kriterium Interner DSB Externer DSB Empfohlen
Kosten 50.000-80.000 EUR/Jahr (Gehalt + Sozialabgaben + Weiterbildung) Planbare Monatspauschale, deutlich günstiger
Unabhängigkeit Eingeschränkt - interne Hierarchien, Interessenkonflikte möglich Vollständig unabhängig, kein Interessenkonflikt
Expertise Begrenzt auf ein Unternehmen, Weiterbildung eigenverantwortlich Breite Erfahrung aus vielen Branchen und Unternehmensgrößen
Verfügbarkeit Ausfallrisiko bei Krankheit, Urlaub, Kündigung Vertretungsregelung im Team, kein Ausfallrisiko
Kündigungsschutz Besonderer Kündigungsschutz (§ 6 Abs. 4 BDSG, § 38 Abs. 2 BDSG) Kein Kündigungsschutz - Vertrag flexibel kündbar
IT-Sicherheit Meist rein juristische Perspektive Bei AWARE7: Datenschutz + IT-Sicherheit aus einer Hand
Haftung Arbeitnehmerhaftung - begrenzt auf Vorsatz und grobe Fahrlässigkeit Vertragliche Haftung mit Berufshaftpflicht abgesichert

Datenschutz auf Basis internationaler Standards

Wir arbeiten nicht nach Bauchgefühl. Bei der Stellung als externer DSB orientieren wir uns an anerkannten Normen und Empfehlungen.

ISO 27701

Privacy Information Management

Wir streben an, unsere DSB-Tätigkeit nach ISO 27701 auf Grundlage der ISO 27001 auszurichten. ISO 27701 ist die internationale Norm für Datenschutz-Managementsysteme - eine Erweiterung von ISO 27001 um Privacy-spezifische Anforderungen. Sie schlägt die Brücke zwischen technischer Informationssicherheit und rechtlichem Datenschutz.

Strukturiertes Datenschutz-Managementsystem mit klaren Rollen und Prozessen
Kompatibel mit bestehenden ISO 27001 Zertifizierungen - Synergie statt Doppelaufwand
Dokumentierter Nachweis für die DSGVO-Rechenschaftspflicht (Art. 5 Abs. 2)
Trusted Data Processor

Vertrauenswürdige Datenverarbeitung

Wir orientieren uns an Empfehlungen wie dem Trusted Data Processor - einem Rahmenwerk für Dienstleister, die personenbezogene Daten im Auftrag verarbeiten. Damit stellen wir sicher, dass Ihre Auftragsverarbeiter nicht nur vertraglich gebunden, sondern auch technisch und organisatorisch vertrauenswürdig sind.

Kriterien für Auswahl und Bewertung von Auftragsverarbeitern über den AVV hinaus
Transparenz über Datenflüsse und Sub-Auftragsverarbeiter entlang der gesamten Kette
Nachweis gegenüber Kunden und Partnern: Ihr Unternehmen als vertrauenswürdiger Datenverarbeiter

ISO 27701 als Erweiterung Ihres ISMS?

Wenn Sie bereits ISO 27001 zertifiziert sind oder planen, lässt sich ISO 27701 als Privacy-Erweiterung integrieren. Wir begleiten beides - Informationssicherheit und Datenschutz - aus einer Hand.

ISO 27001 Beratung

Aufgaben des externen Datenschutzbeauftragten

Vollständige Übernahme der DSB-Funktion nach Art. 39 DSGVO - von Dokumentation bis Behördenkommunikation.

VVT-Führung

Aufbau und laufende Pflege des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO). Strukturiert, vollständig und jederzeit vorweisbar.

AVV-Management

Prüfung, Verhandlung und Abschluss von Auftragsverarbeitungsverträgen mit allen externen Dienstleistern, die personenbezogene Daten verarbeiten.

Datenpannen-Reaktion

Koordination bei meldepflichtigen Datenpannen. Bewertung, Meldung an die Aufsichtsbehörde innerhalb 72 Stunden, Betroffenenkommunikation, Dokumentation.

Betroffenenanfragen

Bearbeitung von Anfragen auf Auskunft, Löschung, Berichtigung und Datenübertragung innerhalb der gesetzlichen Fristen - vollständig und rechtssicher.

Mitarbeiterschulungen

Regelmäßige, dokumentierte Datenschutz-Sensibilisierung für alle Mitarbeitenden - als Präsenztraining oder E-Learning. Mit Teilnahmenachweisen.

GF-Reporting

Regelmäßige Berichte an die Geschäftsführung über den Datenschutz-Status, offene Risiken und durchgeführte Maßnahmen - revisionssicher dokumentiert.

So starten wir die Zusammenarbeit

Von der Anfrage bis zur laufenden Betreuung - in vier klaren Schritten.

1

Erstgespräch

Wir klären Ihren Bedarf, prüfen die Bestellpflicht und besprechen den Umfang. Kostenlos und unverbindlich.

2

Bestandsaufnahme

Wir analysieren Ihre aktuelle Datenschutzsituation: Verarbeitungstätigkeiten, bestehende Dokumentation, offene Risiken.

3

Bestellung

Formelle Bestellung als externer DSB, Meldung an die zuständige Aufsichtsbehörde und interne Bekanntmachung.

4

Laufende Betreuung

Regelmäßige Statusgespräche, laufende Dokumentation, Schulungen und schnelle Reaktion bei Vorfällen oder Anfragen.

Was kostet ein externer Datenschutzbeauftragter?

Die Kosten richten sich nach Unternehmensgröße, Branche und Umfang der Datenverarbeitungen. Hier eine Orientierung.

Kostenvergleich: Intern vs. Extern

Interner DSB (Vollzeit) 50.000 - 80.000 EUR/Jahr

Gehalt + Sozialabgaben + Weiterbildung + Ausfallrisiko + Kündigungsschutz

Interner DSB (Nebentätigkeit) 15.000 - 25.000 EUR/Jahr

Anteilige Arbeitszeit + Weiterbildung - aber: höheres Haftungsrisiko bei mangelnder Qualifikation

Externer DSB (AWARE7) Individuelles Angebot

Planbare Monatspauschale, keine versteckten Kosten, keine Sozialabgaben, kein Ausfallrisiko

Individuelles Angebot

Die genauen Kosten hängen von Ihrem Unternehmen ab. Wir erstellen ein transparentes Angebot - kostenlos und unverbindlich. Kein Kleingedrucktes.

  • Keine Einrichtungsgebühr
  • Monatlich kündbar
  • Festpreis - keine Überraschungen
Angebot anfordern

Externer DSB für Unternehmen jeder Größe

Ob kleines Unternehmen, Mittelstand oder größere Organisation - wir passen den Leistungsumfang an Ihren Bedarf an.

Kleine Unternehmen

20-50 Mitarbeitende

Bestellpflicht oft ab 20 Mitarbeitenden. Ein externer DSB ist die wirtschaftlichste Lösung - professioneller Datenschutz ohne Vollzeitstelle.

Mittelstand

50-500 Mitarbeitende

Komplexere Datenverarbeitungen, mehr Dienstleister, höhere Anforderungen. Hier zahlt sich die Kombination aus Datenschutz- und IT-Sicherheitsexpertise besonders aus.

Branchen mit Sonderbedarf

Gesundheit, Finanzen, IT

Besondere Datenkategorien (Art. 9 DSGVO), branchenspezifische Regulierung und hohe Anforderungen an technische Maßnahmen erfordern einen DSB mit tiefem Fachverständnis.

Nach Art. 37 DSGVO ist ein DSB Pflicht, wenn Sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unabhängig von der Mitarbeiterzahl gilt die Pflicht bei bestimmten Verarbeitungen: z.B. wenn Ihre Kerntätigkeit umfangreiche Verarbeitung sensibler Daten (Gesundheit, Finanzen, biometrische Daten) umfasst oder Sie regelmäßig und systematisch Personen beobachten (z.B. Videoüberwachung im großen Maßstab).
Ein externer DSB bringt breite Erfahrung aus verschiedenen Branchen und Unternehmensgrößen mit. Er ist unabhängig von internen Hierarchien, hat kein Interesse an Konfliktvermeidung und kann offen berichten. Außerdem entfallen Rekrutierungsaufwand, Gehaltskosten, Weiterbildungskosten und das Ausfallrisiko durch Krankheit oder Kündigung. Bei AWARE7 kommt hinzu: Unser DSB denkt IT-Sicherheit und Datenschutz zusammen - was in der Praxis entscheidend ist.
Der externe DSB überwacht die Einhaltung der DSGVO und anderer Datenschutzvorschriften, berät Geschäftsführung und Mitarbeitende, pflegt das Verzeichnis von Verarbeitungstätigkeiten (VVT), prüft und verhandelt AVVs mit Dienstleistern, unterstützt bei der Datenschutz-Folgenabschätzung (DSFA) und ist Ansprechpartner für Betroffenenanfragen und die Aufsichtsbehörde. Er schult regelmäßig Ihre Mitarbeitenden und berichtet der Geschäftsführung.
Die Kosten für einen externen Datenschutzbeauftragten richten sich nach Unternehmensgröße, Branche und Umfang der Datenverarbeitungen. Als Orientierung: Ein externer DSB ist deutlich kostengünstiger als eine interne Vollzeitstelle, bei der Gehalt (ca. 50.000-80.000 EUR/Jahr), Sozialabgaben, Weiterbildung und Ausfallrisiken anfallen. Sprechen Sie uns an - wir erstellen ein individuelles Angebot.
Ja. AWARE7 ist als DSB bestellbar. Die DSGVO erlaubt die Bestellung eines externen DSB ausdrücklich (Art. 37 Abs. 6 DSGVO). Zwischen unserer Tätigkeit als IT-Sicherheitsberater und der DSB-Funktion besteht kein Interessenkonflikt - im Gegenteil: Die Verbindung von IT-Sicherheit und Datenschutz ist ein konkreter Vorteil für Ihre Organisation.
Die Bestellung erfolgt in vier Schritten: 1. Erstgespräch zur Klärung Ihres Bedarfs und der Bestellpflicht. 2. Bestandsaufnahme Ihrer aktuellen Datenschutzsituation. 3. Formelle Bestellung und Meldung an die Aufsichtsbehörde. 4. Laufende Betreuung mit regelmäßigen Statusgesprächen. Der gesamte Onboarding-Prozess dauert in der Regel 2-4 Wochen.
Ihr externer DSB ist die erste Anlaufstelle. Bei meldepflichtigen Datenpannen koordiniert er die Meldung an die Aufsichtsbehörde innerhalb der 72-Stunden-Frist, dokumentiert den Vorfall und begleitet die Kommunikation mit Betroffenen. Bei Auskunftsanfragen nach Art. 15 DSGVO stellt er sicher, dass die gesetzlich vorgeschriebene Frist von einem Monat eingehalten wird und die Auskunft vollständig und korrekt ist.
Wenn Sie gesetzlich verpflichtet sind, einen DSB zu bestellen, es aber nicht getan haben, kann die Aufsichtsbehörde ein Bußgeld verhängen - nach DSGVO bis zu 10 Millionen EUR oder 2% des weltweiten Jahresumsatzes. Wichtiger als die Bußgeldfrage ist aber: Ein DSB schützt Sie vor den viel kostspieligeren Folgen echter Datenschutzverstöße. Wir helfen Ihnen, schnell in eine rechtssichere Situation zu kommen.
Gerade für kleine Unternehmen und den Mittelstand ist ein externer DSB oft die beste Lösung. Eine interne Vollzeitstelle lohnt sich finanziell nicht, und Datenschutz als Nebentätigkeit eines Mitarbeiters birgt Risiken. Ein externer DSB liefert professionelle Expertise zu planbaren Kosten - ohne Festanstellung, ohne Ausfallrisiko, ohne Interessenkonflikt.
AWARE7 betreut Unternehmen branchenübergreifend - von IT-Dienstleistern und SaaS-Anbietern über Gesundheitswesen und Finanzdienstleister bis zu produzierendem Gewerbe und dem öffentlichen Sektor. Die Kombination aus Datenschutz- und IT-Sicherheitsexpertise ist besonders in Branchen mit hohen Anforderungen an technische und organisatorische Maßnahmen ein Vorteil.

Ihr Ansprechpartner für Datenschutz

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen

Aus dem Blog

Weiterführende Artikel

Externen DSB beauftragen

Wir besprechen Ihren Bedarf, klären die Bestellpflicht und erstellen ein individuelles Angebot - kostenlos und unverbindlich.

Jetzt anfragen Zurück zur Übersicht

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung