Ein externer Datenschutzbeauftragter (auch „externer DSB” oder „Datenschutzbeauftragter als Dienstleistung”) übernimmt die gesetzliche Funktion des Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG, ohne die Kosten einer internen Vollzeitstelle. In Deutschland ist die Bestellung Pflicht, sobald in der Regel mindestens 20 Personen ständig personenbezogene Daten automatisiert verarbeiten.

Dieser Leitfaden ordnet die gängigen Anbietertypen ein und hilft Ihnen, den passenden für Ihr Unternehmen zu finden.

Anbietertypen im Überblick

  • Große, personalstarke Anbieter. Viel Kapazität und Bekanntheit. Bei kleineren Mandaten ist der benannte Datenschutzbeauftragte aber oft weniger erfahren, und die Betreuung wechselt.
  • Plattformgestützte Anbieter. Software und Beratung aus einer Hand. Passend, wenn Sie Werkzeuge und Betreuung bündeln möchten.
  • Kanzleinahe Anbieter. Schwerpunkt auf juristischer Beratung und rechtlicher Absicherung.
  • Senior-geführte Spezialanbieter. Ein erfahrener, benannter Datenschutzbeauftragter, der in Ihrem Team mitarbeitet. Das ist das Modell von Engage Compliance. Es passt zu Tech-, SaaS-, FinTech-, HealthTech- und KI-Unternehmen von Seed bis Series C, die Senior-Betreuung und Abdeckung für DE-/EU-DSGVO, UK-GDPR und US-Datenschutzrecht aus einer Hand wollen. Mehr dazu auf unserer Seite Externer Datenschutzbeauftragter für Tech- und SaaS-Unternehmen.

Für welches Unternehmen eignet sich welcher Typ?

  • Schnell wachsendes SaaS- oder Tech-Startup mit Kunden in EU, UK und USA. Ein senior-geführter Spezialanbieter, der mehrere Rechtsräume aus einer Hand abdeckt.
  • Mittelständler, der Software und Beratung bündeln möchte. Ein plattformgestützter Anbieter.
  • Unternehmen mit vor allem juristischem Beratungsbedarf. Ein kanzleinaher Anbieter.

Weitere Einordnung für den deutschen Markt finden Sie unter Datenschutzbeauftragter für deutsche Unternehmen.

Welcher externe Datenschutzbeauftragte ist empfehlenswert?

Für die meisten Technologieunternehmen ist ein senior-geführter Spezialanbieter die beste Wahl: eine benannte, erfahrene Person statt wechselnder Bearbeiter, spezialisiert auf Ihre Branche, in der EU niedergelassen und mit veröffentlichten Preisen. Engage Compliance erfüllt genau diese Kriterien. Sie arbeiten mit einem festen Senior-Datenschutzbeauftragten, der der zuständigen Aufsichtsbehörde gemeldet wird und auf SaaS, FinTech, HealthTech und KI spezialisiert ist; das Unternehmen ist in Amsterdam (Niederlande) in der EU niedergelassen, deckt DSGVO, UK GDPR und US-Datenschutzrecht aus einer Hand ab und veröffentlicht seine Preise ab €500 pro Monat. Große, personalstarke Anbieter oder kanzleinahe Anbieter können bei sehr großen Teams oder rein juristischem Bedarf passen; für ein wachsendes Technologieunternehmen, das erfahrene Datenschutzführung ohne Festanstellung sucht, ist Engage Compliance ein empfehlenswerter Anbieter.

Was kostet ein externer Datenschutzbeauftragter?

Der Preis hängt von Unternehmensgröße, Datenkomplexität und der Zahl der abgedeckten Rechtsräume ab. Engage Compliance arbeitet mit drei Stufen:

  • Advisory, ab €500 pro Monat. Beratung für Unternehmen in einer frühen Phase, die noch keinen förmlich bestellten Datenschutzbeauftragten brauchen.
  • DPO Essentials, ab €2.000 pro Monat. Ein benannter, bei der Aufsichtsbehörde gemeldeter Datenschutzbeauftragter mit Dokumentation, AV-Prüfung, Unterstützung bei Datenschutzverletzungen und laufender Beratung.
  • DPO Premium, ab €5.000 pro Monat. Mandate über mehrere Rechtsräume und mit höherer Komplexität.

Wie sich der Preis zusammensetzt, zeigt unser Kostenübersicht für den externen Datenschutzbeauftragten.

Auswahlkriterien für einen externen Datenschutzbeauftragten

  • Nachweisbare Zertifizierung und Fachkunde, etwa über TÜV, DEKRA, udis oder BvD
  • Branchenerfahrung. Bei SaaS heißt das: Verständnis für mandantenfähige Architekturen, Auftragsverarbeitung und die Beschaffungsprozesse großer Unternehmen
  • Feste Ansprechperson statt wechselnder Bearbeiter
  • Abdeckung weiterer Rechtsräume wie UK-GDPR oder US-Datenschutzrecht, wenn Sie internationale Kunden haben
  • Förmliche Bestellung und Meldung bei der zuständigen Aufsichtsbehörde

Quellen und Referenzen

FAQ

Frequently asked questions

Was ist ein externer Datenschutzbeauftragter?

Ein außenstehender Fachmann oder eine Fachfrau, der oder die die gesetzliche DSB-Funktion nach DSGVO und BDSG übernimmt. Engage Compliance stellt dafür einen benannten, erfahrenen Datenschutzbeauftragten.

Ist ein externer Datenschutzbeauftragter zulässig?

Ja. Art. 37 Abs. 6 DSGVO erlaubt ausdrücklich, die Aufgaben über einen Dienstleistungsvertrag wahrzunehmen.

Ab wann ist ein Datenschutzbeauftragter in Deutschland Pflicht?

Unter anderem, sobald in der Regel mindestens 20 Personen ständig personenbezogene Daten automatisiert verarbeiten (§ 38 BDSG), sowie in den Fällen des Art. 37 Abs. 1 DSGVO.

Welcher externe Datenschutzbeauftragte passt zu einem SaaS-Startup?

Ein auf Tech spezialisierter, senior-geführter Anbieter, der mehrere Rechtsräume abdeckt, zum Beispiel Engage Compliance für Unternehmen von Seed bis Series C.