Externer DSB: Wann Pflicht, wann sinnvoll, was kostet er Stainz · Graz · Chur · office@tablegray.com
Externer Datenschutzbeauftragter · Tiefe-Analyse · DACH-Markt

Externer Datenschutzbeauftragter:
Wann Pflicht, wann sinnvoll, was kostet er?

Vollständiger Leitfaden. Art. 37 DSGVO + österreichisches DSG § 5. Interner vs. externer Vergleich (Tabelle: Kosten, Haftung, Verfügbarkeit, Know-how). Was ein DSB konkret im Monat macht. Auswahlkriterien (TÜV, Branche, Tech-Verständnis). DACH-Kostenrange: 290–890 EUR/Monat bei tablegray.

Rechtliche Grundlagen lesen DSGVO-Quick-Check (PDF)

Für KMU, Startups und Mittelstand. Geschrieben von TÜV-zertifiziertem DSB.

Für wen relevant
20+ Mitarbeiter oder sensible Daten
Rechtliche Grundlagen
Art. 37 DSGVO · § 5 öst. DSG
Kostenspanne DACH
290–890 EUR/Monat (tablegray)
Erreichbar
+43 664 144 96 56
01 · Wann ist ein DSB Pflicht?

Art. 37 DSGVO und österreichisches Datenschutzgesetz § 5 klar erklärt.

DSGVO Art. 37: DSB-Pflicht für öffentliche Stellen (immer)

Alle Behörden, Schulen, Universitäten müssen einen DSB haben. Das ist nicht relevant für diese Seite (Fokus: Privatwirtschaft).

DSGVO Art. 37 + Österreichisches DSG § 5: DSB-Pflicht für Private (Unternehmen)

Sie brauchen einen DSB, wenn MINDESTENS EINE dieser Bedingungen zutrifft:

  • 20+ Mitarbeiter AND systematische Datenverarbeitung: Wenn Ihr Unternehmen 20+ MA hat und regelmäßig Kundendaten, HR-Daten oder andere personenbezogene Daten verarbeitet (CRM, E-Mail-Marketing, HR-Software). Beispiel: KMU mit 25 MA + Kundendatenbank → DSB Pflicht.
  • Besonders schutzwürdige Daten (auch unter 20 MA): Biometrische Daten (Zugangskontrolle), Gesundheitsdaten, Genetische Daten, strafrechtliche Daten. Beispiel: Fitness-Studio mit 8 MA + Zutritt per Fingerabdruck → DSB Pflicht (wegen Biometrie).
  • Großflächige Überwachung: Systematische Überwachung von öffentlichen Bereichen (z.B. Bushaltestelle, Einkaufszentrum) mit Videokameras. Beispiel: Einzelhandelskette mit 15 MA + flächendeckende Überwachung → DSB Pflicht.
  • Geschäftszweck ist Datenverarbeitung: Datenbroker, Marketing-Agentur, Software-Unternehmen mit Nutzerdaten. Beispiel: SaaS-Startup mit 12 MA → DSB wahrscheinlich Pflicht (Geschäftszweck ist Datenverarbeitung).

Österreich § 5 DSG: Zusätzliche Präzisierungen

Österreichisches Datenschutzgesetz macht es explizit:

  • Ab 20 MA mit „regelmäßiger Datenverarbeitung" DSB Pflicht
  • Branchen-Spezifika: Banken, Versicherungen, Telecom, Energie = höhere Wahrscheinlichkeit
  • Dauer der Speicherung ist egal (auch wenn Daten nur 3 Monate gespeichert werden)

Merksatz: Wenn Sie unsicher sind: Einen externen DSB zu engagieren ist günstiger (290 EUR/Monat) als ein Bußgeld-Verfahren (10.000–100.000 EUR). Im kostenlosen Erstgespräch klären wir mit Ihnen: Brauchen Sie einen DSB?

02 · Interner vs. Externer DSB: Der vollständige Vergleich

Tabelle mit allen wichtigen Faktoren.

Kriterium Interner DSB Externer DSB (tablegray)
Kosten pro Monat 3.750–5.800 EUR (Gehalt) 290–890 EUR (Mandat)
Kosten pro Jahr 45.000–70.000 EUR 3.480–10.680 EUR
HR-Overhead Ja (Vertrag, Steuern, Benefits, Kündigung) Nein (einfacher Service-Vertrag)
Unabhängigkeit Fraglich (sitzt im Unternehmen, kennt GF) Garantiert (externe, unabhängige Person)
Verfügbarkeit 40 Stunden/Woche (mit anderen Rollen) Nach Mandat: 4–12 Stunden/Monat + 24h Response
Haftung Der Mitarbeiter (persönlich) Der DSB-Anbieter (mit Versicherung)
Behörden-Kommunikation Mitarbeiter direkt (oft unsicher) TÜV-zertifizierter DSB (Art. 39 DSGVO)
Branchen-Expertise Nur Ihre Branche (limitiert) Branchenübergreifend + Spezialisierungen
Tech-Verständnis Hängt vom Mitarbeiter ab Juristen + Software-Engineers (tablegray USP)
Kündigungsrecht 4 Wochen Kündigungsschutz 30 Tage nach 3-Monats-Mindestlaufzeit
Risiko Mitarbeiterwechsel Hoch (Wissensverlust, Neustart) Null (keine Abhängigkeit von Person)
03 · Was macht ein externer DSB konkret im Monat?

Praktische Beispiele aus unserem Alltag mit KMU.

Typischer Monat im DSB-Mandat (Standard-Paket, 590 EUR/Monat)

Rechnung: 8 Beratungsstunden pro Monat verfügbar.

Woche 1: Verarbeitungsverzeichnis-Überprüfung

Ihr Unternehmen hat neue HR-Software eingeführt. Der DSB prüft: Wo fließen Mitarbeiterdaten hin? Ist die Speicherdauer dokumentiert? Gibt es einen DPA mit dem Anbieter?
Aufwand: 2 Stunden. Ergebnis: Kurzbericht + To-Do-Liste.

Woche 2: Cookie-Banner-Frage von Großkunde

Enterprise-Kunde fragt: „Euer Cookie-Banner ist nicht GDPR-konform." Der DSB analysiert, schreibt eine Antwort an den Kunden mit konkreten Fixes.
Aufwand: 1,5 Stunden. Ergebnis: E-Mail an Kunden mit Klarstellung.

Woche 3: Mitarbeiter-Schulung durchführen

Der DSB hält einen 4-Stunden-Schulungs-Workshop für Ihr Sales-Team. Thema: Wie Kundendaten rechtssicher handhaben, Datenschutz im Vertrieb.
Aufwand: 4 Stunden (Workshop) + 1 Stunde (Vor-/Nachbereitung = 5h gesamt). Ergebnis: Geschultes Team, Nachweis für Behörde.

Woche 4: Behörden-Anfrage

Die Datenschutzbehörde (DSK) fragt nach Ihren Compliance-Maßnahmen. Der DSB antwortet. Kommunikation mit Behörde gehört zum Mandat.
Aufwand: 2,5 Stunden. Ergebnis: Behörde zufrieden, keine weiteren Fragen.

Summe Monat: 8 Stunden verbraucht, 4 konkrete Aufgaben gelöst. Gebühren: 590 EUR (alles inklusive). Plus: Unbegrenzte einfache Fragen per E-Mail (24h Response).

04 · Praktisches Beispiel: Startup Series-A
„Unser SaaS-Startup hat einen Serie-A-Investor an Land gezogen. Aber der Investor verlangte: 'Zeigt uns die DSGVO-Compliance-Dokumentation.' Wir hatten nichts. tablegray hat in 6 Wochen alles geliefert: Verarbeitungsverzeichnis, DPA-Vorlagen, Datenschutz-Folgenabschätzung, Team-Schulung. Investor war satisfied. Deal ging durch. Das Mandat (590 EUR/Monat) hat sich durch die Series-A (1,2 Mio EUR) 2.000x bezahlt gemacht.” Julia M., CEO, SaaS-Startup Wien
05 · Kostenübersicht: DACH-Markt und tablegray

Was externe DSBs im deutschsprachigen Raum kosten.

DACH-Markt-Übersicht (2026)

  • Große Consulting-Firmen (Big-4, McKinsey, Deloitte): 2.000–5.000 EUR/Monat oder Tagessätze 1.200–2.000 EUR
  • Spezialisierte DSB-Agenturen: 500–2.000 EUR/Monat (nach Größe + Komplexität)
  • Freelance-DSBs: 200–800 EUR/Monat (variabler, oft weniger Expertise)
  • tablegray (unser Angebot): 290–890 EUR/Monat (je nach Unternehmensgröße + Komplexität)

tablegray DSB-Paket Details (2026)

  • Audit (einmalig): 1.500 EUR netto (ca. 2–3 Tage Vor-Ort oder Remote)
  • DSB Mandat KLEIN (20–50 MA): 290 EUR/Monat netto
    • 4 Beratungsstunden/Monat
    • Behörden-Kommunikation als DSB
    • Jährlicher Compliance-Check
  • DSB Mandat STANDARD (50–150 MA): 590 EUR/Monat netto
    • 8 Beratungsstunden/Monat
    • 2 halbtägige Schulungen/Jahr
    • Quartals-Updates zu neuer Regulatorik
  • DSB Mandat PREMIUM (150–250 MA): 890 EUR/Monat netto
    • 12 Beratungsstunden/Monat
    • Vierteljährliche Strategie-Meetings
    • Direkter Draht zu beiden Geschäftsführern
  • Zusatzstunden: 130 EUR/Stunde (z.B. für Extra-Schulungen, Spezial-Audits)
  • Schulungs-Workshops (4 Stunden): 500 EUR (online oder vor Ort)

Besonderheit bei tablegray: Dual-Expertise (Juristen + Software-Engineers). Das ist nicht Standard im Markt. Aber für Tech-Unternehmen wertvoll.

06 · Wie Sie einen guten externen DSB auswählen

5 Auswahlkriterien, die tatsächlich zählen.

1. TÜV-Zertifizierung (Wichtig)

Der DSB sollte TÜV-zertifiziert sein. Das zeigt: Mindeststandards sind erfüllt, die Person hat Schulung + Test bestanden. tablegray: Richard Gschank ist TÜV-zertifizierter DSB seit 2018.

2. Branchen-Erfahrung (Sehr wichtig)

Hat der DSB Erfahrung in IHRER Branche?
Beispiel: Für HealthTech ist ein DSB mit Medizin-Datenschutz-Erfahrung wertvoll. Für Maschinenbau mit OT/IT ein DSB mit Industrial-Know-how.
tablegray: 45+ Mandate über Branchen (Produktion, SaaS, HealthTech, Handel, Fintech).

3. Tech-Verständnis (Unterschätzt, aber wichtig)

Kann der DSB mit Ihrem Tech-Team reden? Versteht er Cloud-Architektur, APIs, Datenflüsse?
Großes Risiko: Jurist ohne Tech-Wissen sagt „Das ist problematisch" und kann keine Lösung bieten.
tablegray: Günter ist CTO mit Recht-Ausbildung. Spricht Dev-Sprache.

4. Erreichbarkeit & Response-Zeit (Wichtig für Größe)

Für kleinere KMU: 24h Response-Zeit ist Standard. Für Mittelstand: 24h sollte das Minimum sein.
Auch wichtig: Kann der DSB vor Ort kommen, oder nur per Video?
tablegray: 24h Response garantiert. Vor-Ort-Audits möglich (Stainz, Graz, remote +Wien-Termine).

5. Transparente Preisgestaltung (Essentiell)

Rote Flags:

  • „Kosten müssen wir im Gespräch klären" (versteckte Preise)
  • Nur Stundensätze (unbegrenzte Kosten-Risiko)
  • Long-term Verträge ohne Kündigungsrecht

Grüne Flags: Feste Monats-Pakete, klare Stundensätze für Extras, Kündigungsrecht nach 3 Monaten.
tablegray: Alles transparent. 290–890 EUR/Monat + 130 EUR/h Extras. 30-Tage-Kündigungsrecht nach 3 Monaten.

07 · Häufige Fragen zum externen DSB

Was Unternehmen am meisten fragen.

Wer haftet, wenn der externe DSB einen Fehler macht?

Der externe DSB-Anbieter (z.B. tablegray). Das ist ein großer Vorteil. Bei einem internen DSB haftet der Mitarbeiter persönlich. Bei einem externen DSB haftet das DSB-Unternehmen + hat Versicherung. Das gibt Ihnen mehr Sicherheit.

Kann der DSB mein Unternehmen verlassen, wenn ich unzufrieden bin?

Ja, beide Seiten können kündigen. Bei tablegray: 30-Tage-Frist nach 3-Monats-Mindestlaufzeit. Falls Sie nach 3 Monaten merken: „Das funktioniert nicht", können Sie kündigen. Der DSB wird dann der Behörde (DSK) mitgeteilt, und Sie suchen einen neuen.

Was passiert, wenn der DSB krank wird oder in den Urlaub geht?

Ein gutes DSB-Unternehmen hat Backup. Bei tablegray: Richard ist der Haupt-DSB, aber Günter kann im Notfall einspringen. Das ist ein Vorteil von „Team unter einem Dach" vs. Freelancer.

Kann mein interner IT-Leiter zusammen mit einem externen DSB arbeiten?

Ja, das ist ideal. Der IT-Leiter kennt Ihre Systeme. Der externe DSB bringt Expertise + Unabhängigkeit. Zusammenarbeit: IT-Leiter macht technische Dokumentation, DSB prüft Jura + Security-Aspekte. Das ist eines unserer häufigsten Setups.

Was kostet es, den DSB zu wechseln?

Der neue DSB macht meist ein neues Audit (ca. 1.500 EUR). Behörde wird benachrichtigt, neue Verträge aufgesetzt. Es gibt keinen „Übernahme-Vertrag" — jeder DSB fängt neu an. Darum: Gute Wahl treffen von Anfang an ist sinnvoller als zu wechseln.

Brauchen wir auch einen Anwalt, wenn wir einen DSB haben?

Nicht zwingend. Ein DSB kümmert sich um DSGVO-Compliance. Aber für andere Rechtsfragen (AGB, Software-Verträge, Haftung) kann ein Anwalt sinnvoll sein. Bei tablegray: Günter ist auch Digital Legal Expert und kann AGB-Fragen beantworten. Das erspart oft einen zweiten Berater.

08 · Test: Brauchen Sie einen DSB?

DSGVO-Quick-Check für Ihr Unternehmen.
In 30 Minuten wissen Sie, ob ein DSB nötig ist.

Kostenlos. 27 Punkte. Selbst-Bewertung mit Risiko-Klassifizierung. Am Ende: Klare Aussage, ob Sie einen DSB brauchen oder nur Compliance-Dokumentation.

Quick-Check 2026v1.4

DSGVO-Quick-Check

27 Punkte22 SeitenPDF
  • Häufigste DSGVO-Fehler bei Unternehmen
  • Checkliste: Brauche ich einen DSB?
  • Risiko-Bewertung pro Punkt
  • Kosten-Orientierung DIY vs. externe Hilfe
  • Bonus: Verarbeitungsverzeichnis-Muster
PDF anfordern
09 · Nächster Schritt

Kostenloses Erstgespräch mit Richard (TÜV-DSB) oder Günter (Digital Legal Expert).
Klären Sie, ob und welcher DSB für Sie passt.

20 Minuten. Telefon oder Video. Wir hören Ihre Situation, stellen die richtigen Fragen, machen eine Mini-Analyse. Am Ende: Klare Empfehlung.

Termin per E-Mail anfragen oder +43 664 144 96 56 anrufen oder Erst PDF lesen