Der Vertrag mit dem externen Datenschutzbeauftragten: Ein Leitfaden für Unternehmen

Dr. Thomas Helbing

Freitag, 6. Juni 2025 - 10:37

Die Benennung eines Datenschutzbeauftragten (DSB) ist für viele Unternehmen nicht nur eine gesetzliche Pflicht nach der Datenschutz-Grundverordnung (DS-GVO), sondern auch ein strategischer Schritt zur Sicherstellung von Compliance und zur Stärkung des Vertrauens von Kunden und Partnern. Entscheidet sich ein Unternehmen für einen externen Dienstleister, ist der zugrundeliegende Vertrag das Fundament für eine erfolgreiche und rechtssichere Zusammenarbeit.

Ein gut ausgearbeiteter Vertrag schützt beide Seiten, definiert klar die Erwartungen und minimiert das Risiko von Missverständnissen und Haftungsfällen. Doch worauf müssen Unternehmen bei der Vertragsgestaltung im Detail achten? Dieser Artikel führt Sie durch die entscheidenden Klauseln eines Vertrags mit einem externen Datenschutzbeauftragten und gibt Ihnen konkrete Tipps und Checklisten an die Hand.

1. Vertragsgegenstand und Benennung: Die rechtliche Grundlage schaffen

Diese Klausel legt den Grundstein der Zusammenarbeit. Es geht nicht nur darum zu sagen, "Sie sind jetzt unser DSB", sondern die rechtlichen Rahmenbedingungen präzise zu definieren.

Worauf Sie achten sollten:

Trennung von Vertrag und Benennung: Rechtlich gibt es zwei Akte: den Dienstleistungsvertrag (das "Wie" der Zusammenarbeit) und die formelle Benennung als DSB (die offizielle Funktion). Der Vertrag sollte klarstellen, dass er die Basis für die Benennung ist.
Nachweis der Qualifikation: Die DS-GVO verlangt, dass ein DSB über das erforderliche "Fachwissen" verfügt (Art. 37 Abs. 5 DS-GVO). Das Unternehmen (der Auftraggeber) muss dies bei der Auswahl prüfen und dokumentieren. Lassen Sie sich relevante Zertifikate und Nachweise geben und fügen Sie diese als Anlage zum Vertrag hinzu. Dies dient als Beleg Ihrer Sorgfaltspflicht gegenüber den Aufsichtsbehörden.
Formelle Benennungsurkunde: Erstellen Sie eine separate Benennungsurkunde, die vom Unternehmen und dem DSB unterzeichnet wird. Diese Urkunde ist das offizielle Dokument, das Sie bei Bedarf vorlegen. Es ist gängige Praxis, diese als Anlage zum Vertrag zu nehmen.

Checkliste: Vertragsgrundlagen

Ist der Vertragszweck klar als Beauftragung eines externen DSB gemäß Art. 37-39 DS-GVO definiert?
Ist eine separate, unterzeichnete Benennungsurkunde als Anlage beigefügt?
Sind die Qualifikationsnachweise des DSB (Zertifikate etc.) als Anlage dokumentiert?

2. Stellung und Einbindung des DSB: Unabhängigkeit und Informationsfluss sicherstellen

Die Art und Weise, wie der DSB in Ihr Unternehmen integriert wird, ist entscheidend für seine Wirksamkeit und für Ihre Compliance. Die DS-GVO stellt hier klare Anforderungen.

Worauf Sie achten sollten:

Weisungsfreiheit garantieren: Der Vertrag muss explizit festhalten, dass der DSB bei der Ausübung seiner Fachaufgaben weisungsfrei ist. Er berichtet direkt an die höchste Managementebene. Umgekehrt sollte klargestellt werden, dass der DSB keine Weisungsbefugnis gegenüber Ihren Mitarbeitern hat.
Feste Ansprechpartner benennen: Um eine reibungslose Kommunikation zu gewährleisten, benennen Sie eine feste Kontaktperson (und einen Stellvertreter) im Unternehmen. Diese Person sollte befugt sein, Informationen zu bündeln und Entscheidungen zu transportieren.
Pflicht zur frühzeitigen Einbindung: Dies ist ein kritischer Punkt! Der Vertrag sollte die Verpflichtung des Unternehmens festschreiben, den DSB "ordnungsgemäß und frühzeitig" in alle datenschutzrelevanten Fragen einzubinden (Art. 38 Abs. 1 DS-GVO). Das betrifft neue Software, geänderte Prozesse, Marketingkampagnen etc.
Zugang und Ressourcen gewähren: Der DSB benötigt umfassenden Zugang zu Informationen, Verarbeitungsvorgängen und bei Bedarf auch zu den Räumlichkeiten und IT-Systemen, um seine Aufgaben erfüllen zu können. Dies muss vertraglich zugesichert werden.
Veröffentlichung der Kontaktdaten: Das Unternehmen ist verpflichtet, die Kontaktdaten des DSB zu veröffentlichen (z. B. in der Datenschutzerklärung auf der Website) und der zuständigen Aufsichtsbehörde zu melden. Der Vertrag sollte diese Pflicht des Auftraggebers erwähnen.

Checkliste: Integration des DSB

Ist die Weisungsfreiheit des DSB vertraglich verankert?
Ist ein fester Ansprechpartner im Unternehmen im Vertrag benannt?
Ist die Verpflichtung des Unternehmens zur frühzeitigen Information und Einbindung des DSB festgeschrieben?
Werden dem DSB die notwendigen Zugriffsrechte und Ressourcen zugesichert?

3. Leistungen und Aufgaben des DSB: Den Leistungsumfang präzisieren

Dies ist das Herzstück des Vertrags. Eine vage Beschreibung wie "Beratung zum Datenschutz" ist unzureichend und führt zwangsläufig zu Konflikten. Je detaillierter die Aufgabenliste, desto besser.

Worauf Sie achten sollten:

Konkrete Aufgaben auflisten: Gehen Sie über den allgemeinen Verweis auf Art. 39 DS-GVO hinaus. Listen Sie spezifische Tätigkeiten auf, wie z.B.:
- Durchführung einer anfänglichen Datenschutz-Bestandsaufnahme (Gap-Analyse).
- Unterstützung bei der Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten (VVT).
- Beratung bei Datenschutz-Folgenabschätzungen (DSFA).
- Prüfung und Beratung bei der Auswahl von IT-Systemen und Dienstleistern (insb. Auftragsverarbeitung, Art. 28 DS-GVO).
- Durchführung von internen Datenschutz-Audits.
- Unterstützung bei der Erstellung von Richtlinien und Arbeitsanweisungen.
- Planung und Durchführung von Mitarbeiterschulungen.
Regelmäßiges Reporting: Legen Sie fest, dass der DSB der Geschäftsführung regelmäßig Bericht erstattet. Ein jährlicher Tätigkeitsbericht ist Standard und sollte den Status Quo, identifizierte Risiken und vorgeschlagene Maßnahmen umfassen.
Abgrenzung der Verantwortung: Der DSB berät und überwacht. Er ist nicht dafür verantwortlich, die Maßnahmen selbst umzusetzen oder unternehmerische Entscheidungen zu treffen. Diese Abgrenzung schützt vor Interessenskonflikten und sollte im Vertrag klar formuliert sein.

Checkliste: Leistungsumfang

Ist der Aufgabenkatalog spezifisch und detailliert?
Sind Kernaufgaben wie VVT, DSFA, Audit und Schulungen explizit genannt?
Ist eine klare Berichtspflicht an die Geschäftsführung (z. B. jährlicher Tätigkeitsbericht) definiert?
Ist die beratende Rolle des DSB klar von der Umsetzungsverantwortung des Unternehmens getrennt?

4. Vergütung: Für finanzielle Klarheit sorgen

Unklare Vergütungsregelungen sind eine häufige Quelle für Streitigkeiten. Hier gibt es verschiedene Modelle, die jeweils Vor- und Nachteile haben.

Worauf Sie achten sollten:

Pauschalhonorar: Dieses Modell bietet Kostensicherheit. Es sollte jedoch auf einer realistischen Schätzung des Aufwands basieren.
- Tipp: Vereinbaren Sie eine Klausel, die eine Anpassung des Honorars ermöglicht, falls der Aufwand unvorhergesehen und erheblich steigt oder sinkt. Definieren Sie ggf., was "erheblich" bedeutet (z. B. eine Abweichung von >20 %).
Abrechnung nach Aufwand: Dieses Modell ist flexibel, birgt aber das Risiko unkalkulierbarer Kosten.
- Tipp: Legen Sie klare Stundensätze fest, definieren Sie den Abrechnungstakt (z. B. 6-Minuten-Intervalle) und verlangen Sie detaillierte Tätigkeitsnachweise mit jeder Rechnung.
Reise- und Nebenkosten: Regeln Sie unmissverständlich, welche Kosten zusätzlich erstattet werden (z. B. Reisekosten, Übernachtungen). Es ist sinnvoll, einen Betrag festzulegen, ab dem Auslagen vorab vom Unternehmen genehmigt werden müssen.

Checkliste: Vergütung

Ist das Vergütungsmodell (Pauschale/Aufwand) klar definiert?
Bei Pauschale: Gibt es eine Anpassungsklausel für wesentliche Aufwandsänderungen?
Bei Abrechnung nach Aufwand: Sind Stundensätze, Abrechnungstakt und Nachweispflichten geregelt?
Ist die Erstattung von Nebenkosten und Reisekosten klar geregelt (inkl. Genehmigungsschwellen)?

5. Haftung: Risiken fair verteilen

Die Haftungsfrage ist oft ein heikler Verhandlungspunkt. Grundsätzlich haftet immer das Unternehmen als "Verantwortlicher" für Datenschutzverstöße und Bußgelder. Die Vertragsklausel regelt, inwieweit das Unternehmen den externen DSB bei Falschberatung intern in Regress nehmen kann.

Worauf Sie achten sollten:

Haftungsbeschränkung: Externe Dienstleister werden ihre Haftung fast immer zu beschränken versuchen, insbesondere für leichte Fahrlässigkeit. Dies ist branchenüblich. Ein vollständiger Haftungsausschluss ist jedoch unzulässig.
Haftungshöchstsumme: Die Haftung wird oft auf eine bestimmte Summe begrenzt. Achten Sie darauf, dass diese Summe nicht symbolisch niedrig ist, sondern potenzielle, vorhersehbare Schäden abdeckt.
Berufshaftpflichtversicherung: Der beste Weg, dieses Risiko zu managen, ist die Forderung nach dem Nachweis einer angemessenen Berufshaftpflichtversicherung des DSB. Die Haftungssumme im Vertrag sollte idealerweise durch die Versicherungssumme gedeckt sein. Lassen Sie sich die Police zeigen!

Checkliste: Haftung

Ist die Haftung für leichte Fahrlässigkeit auf die Verletzung wesentlicher Vertragspflichten beschränkt?
Ist die Haftungssumme angemessen und deckt sie typische, vorhersehbare Schäden ab?
Wurde der Nachweis einer gültigen Berufshaftpflichtversicherung vom DSB erbracht und als Anlage genommen?

6. Laufzeit und Kündigung: Den Rahmen für Anfang und Ende setzen

Ein externer DSB unterliegt nicht dem Kündigungsschutz eines Arbeitnehmers. Daher sind klare vertragliche Regelungen zur Laufzeit und Beendigung umso wichtiger.

Worauf Sie achten sollten:

Mindestlaufzeit: Eine Mindestlaufzeit von ein bis zwei Jahren ist üblich, da der DSB eine gewisse Einarbeitungszeit benötigt, um wirksam zu sein.
Kündigungsfristen: Definieren Sie klare Fristen für die ordentliche Kündigung zum Ende der Laufzeit.
Kündigung aus wichtigem Grund: Listen Sie beispielhaft Gründe für eine außerordentliche Kündigung auf (z. B. grobe Pflichtverletzung, Wegfall der Benennungspflicht).
Kopplung von Vertrag und Amt: Stellen Sie sicher, dass der Vertrag eine Klausel enthält, wonach die Kündigung des Dienstleistungsvertrags automatisch auch zur Abberufung als DSB führt. Dies verhindert, dass eine Person formell noch im Amt ist, obwohl die vertragliche Grundlage entfallen ist.

Checkliste: Vertragsdauer und Beendigung

Sind Mindestlaufzeit, Verlängerungsregeln und ordentliche Kündigungsfristen klar definiert?
Sind die Gründe für eine außerordentliche Kündigung geregelt?
Ist die Beendigung des Vertrags explizit mit der Abberufung aus dem Amt des DSB gekoppelt?

Fazit

Der Vertrag mit einem externen Datenschutzbeauftragten ist mehr als eine Formalität. Er ist das zentrale Steuerungsinstrument für eine der wichtigsten Compliance-Funktionen in Ihrem Unternehmen. Nehmen Sie sich die Zeit, die Klauseln sorgfältig zu prüfen und an Ihre spezifischen Bedürfnisse anzupassen. Ein klarer und fairer Vertrag ist die beste Investition in eine vertrauensvolle, professionelle und vor allem rechtssichere Zusammenarbeit.

Fachinformationen

Ratgeber, Muster und Checklisten

DSGVO Checkliste Software

DSGVO Checkliste Software

DSGVO Sinfonie: Muster Datenschutz-Richtlinie zur Umsetzung der DSGVO im Unternehmen (Arbeitsanweisung)

DSGVO für IT-Dienstleister. Die Datenschutzgrundverordnung umsetzen als Auftragsverarbeiter.

DSGVO Praxisleitfaden: Direktwerbung datenschutzkonform umsetzen (E-Mail-, Post-, Telefon-Marketing)

Haftung und Gewährleistung für Software - Mit diesen Tipps reduzieren Sie ihr Risiko als IT-Anbieter

Formular/Checkliste zu Erfassung von Webseiteninhalten für Datenschutzerklärungen (Datenschutzhinweise, Privacy Policy)

Datenschutz bei Compliance Programmen - Checkliste mit Erläuterungen und Best Practices

Datenschutz bei Compliance Programmen - Checkliste mit Erläuterungen und Best Practices

Datenschutz bei Big Data und Business Analytics

Datenschutzrecht beachten bei Big Data und Business Analytics - Buchkapitel zum kostenlosen Download

Binding Corporate Rules als Mittel zur Datenschutz Compliance - Leitfaden für die Praxis

Binding Corporate Rules als Mittel zur Datenschutz Compliance - Leitfaden für die Praxis

Impressum | Datenschutzhinweise