Zum Hauptinhalt springen
Alle Beiträge

MSP oder Datenschutzbeauftragter? Aufgaben, Unterschiede und warum die Trennung zählt

14. Juli 2026 · Matthias Tichý

Das Missverständnis vorweg

„Um den Datenschutz kümmert sich unsere IT-Firma mit.“ Diesen Satz hören wir häufig – und er ist gefährlich unpräzise. Denn er vermischt zwei Dinge: die technische Umsetzung von Datenschutz (Verschlüsselung, Backups, Zugriffskontrolle, sichere Konfiguration) und die rechtliche Überwachung und Beratung rund um die Verarbeitung personenbezogener Daten. Das Erste ist Aufgabe eines guten Managed Service Providers (MSP). Das Zweite ist Aufgabe eines Datenschutzbeauftragten (DSB). Beide arbeiten Hand in Hand – aber sie sind nicht austauschbar. Und in der Regel sollten sie nicht dieselbe Person oder Firma sein.

Was ist ein MSP (Managed Service Provider)?

Ein MSP betreibt und verantwortet die IT-Infrastruktur eines Unternehmens – laufend, proaktiv und vertraglich geregelt. Typische Aufgaben: • Betrieb & Wartung: Server, Netzwerk, Clients, Microsoft 365, Firewalls • Sicherheit: Endpoint-Schutz, Patch-Management, E-Mail-Security, Härtung • Backup & Notfall: Datensicherung, Wiederherstellung, Business-Continuity • Monitoring & Support: Überwachung, Störungsbehebung, Anwender-Helpdesk • Beratung zur IT-Strategie: Lizenzen, Cloud-Migration, Modernisierung Datenschutzrechtlich ist der MSP in aller Regel ein Auftragsverarbeiter im Sinne von Art. 28 DSGVO: Er verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Kunden (des „Verantwortlichen“). Grundlage dafür ist ein Auftragsverarbeitungsvertrag (AVV). Der MSP setzt die geforderten technischen und organisatorischen Maßnahmen (TOMs) um – er entscheidet aber nicht über Zweck und Mittel der Verarbeitung. Kurz: Der MSP ist der Umsetzer und Betreiber. Sein Auftrag lautet: „Sorge dafür, dass die IT sicher, verfügbar und funktionsfähig ist.“ Mehr dazu auf unserer Seite zu Managed Services.

Was ist ein DSB (Datenschutzbeauftragter)?

Der Datenschutzbeauftragte ist eine gesetzlich definierte Kontroll-, Beratungs- und Überwachungsinstanz. Seine Rolle und Aufgaben regeln vor allem Art. 37–39 DSGVO sowie ergänzend das BDSG. Die Kernaufgaben (Art. 39 DSGVO): • Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten zu ihren Datenschutzpflichten • Überwachung der Einhaltung der DSGVO und der internen Datenschutz-Strategien (inkl. Sensibilisierung und Schulungen) • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (DSFA) und Überwachung ihrer Durchführung • Zusammenarbeit mit der Aufsichtsbehörde und Funktion als deren Anlaufstelle Entscheidend ist die Stellung des DSB (Art. 38 DSGVO): Er ist weisungsfrei in der Ausübung seiner Aufgaben, frühzeitig einzubinden, darf wegen der Aufgabenerfüllung nicht benachteiligt werden und berichtet direkt an die oberste Leitungsebene. Kurz: Der DSB ist der neutrale Wächter und Berater. Sein Auftrag lautet: „Prüfe unabhängig, ob die Verarbeitung personenbezogener Daten rechtmäßig ist – und berate dabei.“

Die Kernunterschiede auf einen Blick

Auftrag – MSP: IT betreiben, absichern, verfügbar halten – DSB: Datenschutz-Compliance überwachen und beraten Perspektive – MSP: Technik & Betrieb (Verfügbarkeit, Funktion) – DSB: Recht & Betroffenenrechte (Rechtmäßigkeit) Rechtliche Rolle – MSP: Auftragsverarbeiter (Art. 28 DSGVO) – DSB: Gesetzliche Funktion (Art. 37–39 DSGVO) Weisung – MSP: weisungsgebunden (handelt nach Auftrag) – DSB: weisungsfrei in der Aufgabenerfüllung Berichtsweg – MSP: an die IT-/Geschäftsleitung als Dienstleister – DSB: direkt an die oberste Leitung Ergebnis – MSP: funktionierende, sichere IT – DSB: dokumentierte, geprüfte Rechtskonformität

Warum die Trennung wichtig ist: der Interessenkonflikt

Der wichtigste Grund, MSP und DSB nicht zu vermischen, steht in Art. 38 Abs. 6 DSGVO: Ein DSB darf zwar andere Aufgaben wahrnehmen – aber nur, solange kein Interessenkonflikt entsteht. Genau der droht aber, wenn dieselbe Firma, die die IT-Systeme entwirft, konfiguriert und betreibt, gleichzeitig als DSB unabhängig kontrollieren soll, ob genau diese Systeme datenschutzkonform sind. Das ist so, als würde man Prüfer und Geprüften in Personalunion setzen. Aufsichtsbehörden sehen einen solchen Selbstkontroll-Konflikt kritisch – nicht ohne Grund gelten auch Geschäftsführung oder IT-Leitung als kritische Funktionen, die nicht zugleich DSB sein sollten, weil sie über Zweck und Mittel der Verarbeitung mitentscheiden. Konkret heißt das: Ein MSP, der Ihre Microsoft-365-Umgebung, Ihre Backups und Ihre Firewall betreibt, kann nicht glaubwürdig neutraler Wächter über die Datenschutzkonformität eben dieser Systeme sein. Die vom Gesetzgeber geforderte Unabhängigkeit wäre strukturell nicht gegeben.

Wo MSP und DSB eng zusammenarbeiten

Getrennte Rollen bedeuten nicht getrennte Welten – im Gegenteil. An diesen Schnittstellen ist die Zusammenarbeit entscheidend: • Technische und organisatorische Maßnahmen (TOMs): Der DSB definiert die Anforderungen mit, der MSP setzt sie technisch um und dokumentiert sie. • Auftragsverarbeitung (AVV): Der DSB prüft und bewertet AVVs, der MSP ist selbst Vertragspartei und muss die zugesagten Maßnahmen liefern. • Datenpannen (Art. 33/34 DSGVO): Der MSP erkennt und meldet Vorfälle technisch, der DSB bewertet die Meldepflicht und begleitet die Kommunikation mit der Aufsichtsbehörde – die 72-Stunden-Frist verlangt eingespielte Prozesse. • Löschkonzepte & Aufbewahrung: Der DSB legt die rechtlichen Fristen fest, der MSP setzt Lösch- und Archivierungsroutinen technisch um. • Datenschutz-Folgenabschätzung (DSFA): Der MSP liefert die technischen Fakten, der DSB berät und bewertet. Ein guter MSP erleichtert dem DSB die Arbeit durch saubere Dokumentation und schnelle Auskunftsfähigkeit. Ein guter DSB gibt dem MSP klare Leitplanken. Das Zusammenspiel funktioniert am besten, wenn beide Rollen klar getrennt und klar benannt sind.

Wann brauche ich überhaupt einen DSB?

Ob ein DSB benannt werden muss, ergibt sich aus DSGVO und BDSG. Grob zusammengefasst: Benennungspflicht nach Art. 37 Abs. 1 DSGVO, unter anderem wenn: • die Kerntätigkeit in einer umfangreichen regelmäßigen und systematischen Überwachung von Personen besteht, oder • die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten liegt (z. B. Gesundheitsdaten), oder • es sich um eine öffentliche Stelle handelt. Zusätzliche Pflicht in Deutschland nach § 38 BDSG: Nicht-öffentliche Stellen müssen einen DSB benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – oder unabhängig davon, wenn eine DSFA erforderlich ist. Wichtig: Auch ohne Benennungspflicht gelten alle materiellen Datenschutzpflichten der DSGVO weiter (Rechtsgrundlagen, Betroffenenrechte, TOMs, Verzeichnis von Verarbeitungstätigkeiten, Meldepflichten). Ein DSB ist eine Rolle, kein Ersatz für Datenschutz an sich. Der Schwellenwert von 20 Personen ist der aktuell in Deutschland geltende – Schwellenwerte und Auslegungen können sich ändern.

Interner oder externer DSB?

Interner DSB: Eine geeignete, geschulte Person aus dem Unternehmen – darf aber keine kollidierende Funktion ausüben (nicht Geschäftsführung, nicht IT-Leitung). Externer DSB: Ein spezialisierter Dienstleister oder Anwalt. Vorteile: Unabhängigkeit von außen, Fachkunde, keine internen Rollenkonflikte und keine Abhängigkeit von einer einzelnen Person. Für kleine und mittlere Unternehmen ist der externe DSB oft die pragmatischste Lösung – und lässt sich sauber vom MSP trennen.

Und wo steht MT-Computerservice in diesem Bild?

Klar auf der MSP-Seite – und das ganz bewusst. Wir sorgen dafür, dass Datenschutz technisch umsetzbar ist: • Verschlüsselung von Endgeräten, E-Mail und Datenträgern • Backup & Wiederherstellung mit dokumentierten Konzepten (u. a. Veeam, CodeTwo, Hornetsecurity für Microsoft 365) • Zugriffs- und Berechtigungskonzepte, sichere Konfiguration von Microsoft 365 • Endpoint-Security, Patch-Management, E-Mail-Security • Protokollierung und Nachvollziehbarkeit als Basis für Audits • AVV als saubere vertragliche Grundlage unserer Zusammenarbeit • schnelle Auskunfts- und Reaktionsfähigkeit im Fall einer Datenpanne Was wir nicht tun: als Ihr Datenschutzbeauftragter die Rechtmäßigkeit genau der Systeme „neutral“ prüfen, die wir selbst betreiben. Diese Unabhängigkeit können und wollen wir nicht vortäuschen. Stattdessen arbeiten wir eng mit Ihrem DSB zusammen – intern wie extern – und liefern ihm alles, was er für seine Bewertung braucht. Bei Bedarf vermitteln wir gerne den Kontakt zu spezialisierten Datenschutz-Partnern. Sprechen Sie uns an.

Fazit

• MSP = Betreiber und technischer Umsetzer, Auftragsverarbeiter, weisungsgebunden. • DSB = unabhängiger Überwacher und Berater, gesetzliche Funktion, weisungsfrei. • Beide braucht ein Unternehmen mit relevanter Datenverarbeitung meist – aber in getrennten Rollen, um Interessenkonflikte zu vermeiden. • Das beste Ergebnis entsteht im Zusammenspiel: klare technische Umsetzung durch den MSP, neutrale Kontrolle und Beratung durch den DSB. Wenn Sie unsicher sind, ob Sie einen DSB benötigen oder wie Datenschutz in Ihrer IT sauber umgesetzt wird: Sprechen Sie uns an – wir ordnen die technische Seite ein und verweisen für die rechtliche Bewertung an die richtigen Stellen.

Rechtlicher Hinweis

Dieser Beitrag ist eine allgemeine Information und ersetzt keine individuelle Rechtsberatung. Für die verbindliche Beurteilung Ihrer Benennungspflicht und Ihrer Datenschutz-Organisation wenden Sie sich bitte an einen Datenschutzbeauftragten oder eine fachkundige Rechtsberatung.

Transparenzhinweis: Die Inhalte dieses Beitrags wurden mit Unterstützung von künstlicher Intelligenz erstellt und von uns redaktionell geprüft.

MT

Matthias Tichý

IT-Berater und Gründer von IT-Service M.Tichý in Berlin-Spandau. Seit 2010 betreut er kleine und mittlere Unternehmen in Berlin und Brandenburg bei Microsoft 365, IT-Sicherheit, Backup und Managed Services.