Datenschutzbeauftragter als Service: CIVAC-Preise, Leistungen und Vertragsmodelle 2026
Externer Datenschutzbeauftragter als Service: transparente CIVAC-Preise, 37 Audit-Vorlagen, Bestellurkunde inklusive. Wir erklären, welche Leistungen ein DSB-as-a-Service ab 2026 abdecken muss und worauf Sie bei der Vergleichsrechnung achten.
Seit Wirksamkeit der DSGVO am 25. Mai 2018 ist die schriftliche Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG für viele Unternehmen Pflicht, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Wer diese Pflicht verletzt, riskiert Bußgelder bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 DSGVO. Genau hier setzt das Modell "Datenschutzbeauftragter als Service" an: eine externe, planbare Lösung mit fester Monatspauschale, definierten Reaktionszeiten und vollständiger Audit-Dokumentation. Frist läuft ab Kenntnis. Wer einen externen DSB sucht, vergleicht in der Regel drei bis fünf Anbieter und stellt fest, dass die Preisstrukturen, die Leistungspakete und die Vertragslaufzeiten kaum vergleichbar sind.
Dieser Beitrag erläutert, wie sich die CIVAC-Preise für den externen Datenschutzbeauftragten zusammensetzen, welche Leistungen in welchem Servicelevel enthalten sind und wie Sie ein belastbares Angebot von einem Lockangebot unterscheiden. Sie erhalten einen Überblick über typische Kostentreiber, die Unterschiede zwischen reinem Berater-Mandat und vollständiger Officer-Bestellung sowie eine Checkliste, welche Vertragsbestandteile zwingend enthalten sein müssen. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit Sitz in Deutschland und EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege führen zu derselben Audit-Belegbarkeit, der Unterschied liegt in der operativen Verantwortung.
Auf einen Blick
- CIVAC bestellt den externen Datenschutzbeauftragten in 2 Werktagen, inklusive Bestellurkunde, Aufgabenkatalog und Berichtslinie an die Geschäftsführung.
- Die Monatspauschale richtet sich nach Mitarbeiterzahl, Anzahl der Verarbeitungstätigkeiten und Risikoprofil und nicht nach abgerechneten Stundenkontingenten.
- Im Servicepreis enthalten sind 37 Audit-Vorlagen, das 72-Stunden-Meldeverfahren nach Art. 33 DSGVO sowie der Workspace mit Versionsstand und Prüfprotokoll.
Wer braucht einen Datenschutzbeauftragten und ab wann lohnt der Service?
Die Bestellpflicht ergibt sich aus Art. 37 Abs. 1 DSGVO und § 38 BDSG. Sie greift, wenn ein Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, wenn die Kerntätigkeit umfangreiche Überwachung oder die Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO umfasst, oder wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich wird. Auch Berufsgeheimnisträger, Auskunfteien, Adresshändler und Markt- und Meinungsforschungsinstitute unterliegen unabhängig von der Mitarbeiterzahl der Bestellpflicht. Maßgeblich ist nicht der einzelne Mitarbeitende, sondern die ständige Beschäftigung mit automatisierter Verarbeitung, sodass auch Werkstudenten und Leiharbeitnehmer mitzählen.
Ein externer externer Datenschutzbeauftragter lohnt typischerweise, wenn intern weder die fachliche Qualifikation noch die zeitliche Kapazität für die laufenden Pflichten verfügbar ist. Die Kernpflichten umfassen die Unterrichtung und Beratung des Verantwortlichen, die Überwachung der Einhaltung der Datenschutzvorschriften, die Sensibilisierung und Schulung der Beschäftigten sowie die Zusammenarbeit mit der Aufsichtsbehörde. Hinzu kommen die Pflege des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO und die Mitwirkung bei der Beantwortung von Betroffenenanfragen innerhalb der Monatsfrist nach Art. 12 Abs. 3 DSGVO. Ein Service-Modell rechnet sich in der Regel ab dem Punkt, an dem mehr als ein halber Personentag pro Woche für Datenschutzaufgaben anfällt oder das Unternehmen im Audit nachweisen muss, dass ein bestellter, qualifizierter und unabhängiger DSB tatsächlich tätig ist. Hinzu kommt das Haftungsrisiko: Geschäftsführer haften persönlich nach § 43 GmbHG, wenn die Bestellpflicht unterlassen wird und daraus ein Schaden für die Gesellschaft entsteht. Mit einer externen Bestellung wird die operative Verantwortung an einen qualifizierten Dritten übertragen und das Haftungsrisiko strukturiert dokumentiert.
Was kostet ein externer DSB: Preismodelle, Bandbreiten und Stellschrauben
Die Preise für einen externen Datenschutzbeauftragten bewegen sich in Deutschland in einer breiten Spanne. Reine Berater-Mandate ohne Bestellung beginnen bei etwa 150 Euro pro Monat für Kleinstunternehmen. Vollständige Officer-Bestellungen mit allen DSGVO-Pflichten beginnen für kleine Mittelständler typischerweise im niedrigen vierstelligen Bereich pro Quartal und können bei Konzernstrukturen, internationalen Datenflüssen und besonderen Datenkategorien nach Art. 9 DSGVO deutlich höher liegen. Die Bandbreite hat sechs zentrale Stellschrauben: Anzahl der Mitarbeitenden mit Datenzugriff, Anzahl und Komplexität der Verarbeitungstätigkeiten nach Art. 30 DSGVO, Anzahl der eingesetzten Auftragsverarbeiter, internationale Datentransfers nach Kapitel V DSGVO, branchenspezifische Sonderpflichten und das vereinbarte Reaktions-SLA. Wer beim Vergleich nur auf den Monatspreis schaut, übersieht regelmäßig die zusätzlichen Stundensätze für Datenpannen-Bearbeitung, Datenschutz-Folgenabschätzungen oder Schulungen, die in vielen klassischen Mandaten getrennt fakturiert werden.
Die CIVAC-Preise sind als Monatspauschale strukturiert, nicht als Stundenkontingent. Das hat zwei Effekte: Erstens wird die Kostenseite kalkulierbar, zweitens entfällt der Anreiz, Pflichtaufgaben in günstigere Folgemonate zu verschieben. Im Preis enthalten sind die Bestellurkunde, der dokumentierte Aufgabenkatalog, die Berichtslinie an die Geschäftsführung, der Zugang zum Workspace mit 490 Audit-Vorlagen und das 72-Stunden-Meldeverfahren nach Art. 33 DSGVO. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Eine vollständige Liste der Leistungspakete und der jeweiligen Preisbandbreiten erhalten Sie über das CIVAC-Kontaktformular oder direkt unter info@civac.de. Für Anfragen aus dem Mittelstand erstellen wir innerhalb von 2 Werktagen ein verbindliches Angebot mit Leistungsverzeichnis, Bestellurkunde im Entwurf und Vertragsbedingungen, das mit klassischen Mandatsverträgen direkt vergleichbar ist. Diese Vergleichbarkeit ist der Hebel, an dem viele Unternehmen erstmals erkennen, wie hoch der reale Stundensatz eines klassischen Beratungsmandats ausfällt.
Leistungsumfang: Was im CIVAC-Servicepreis enthalten sein muss
Ein belastbares Angebot für den Datenschutzbeauftragten als Service unterscheidet sich vom Lockangebot durch sechs harte Leistungsbestandteile. Erstens die schriftliche Bestellung nach Art. 37 DSGVO mit Bestellurkunde, Aufgabenkatalog, Berichtslinie und Meldung an die zuständige Aufsichtsbehörde. Zweitens die laufende Pflege des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Drittens das definierte Verfahren für Datenpannen nach Art. 33 DSGVO mit 72-Stunden-Meldefrist ab Kenntnis. Viertens die Bearbeitung von Betroffenenanfragen innerhalb der Monatsfrist nach Art. 12 Abs. 3 DSGVO. Fünftens jährliche Schulungen für relevante Mitarbeitende. Sechstens die Prüfung und Pflege der Auftragsverarbeitungsverträge nach Art. 28 DSGVO einschließlich Drittstaaten-Transfer-Folgenabschätzungen nach Kapitel V DSGVO.
Bei CIVAC wird jeder dieser Bausteine im Workspace mit Versionsstand, Verantwortlichkeit und Prüfdatum dokumentiert. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Prüfer ruft an, der Nachweis liegt bereit. Hinzu kommt das 24-Stunden-Frühwarn- und 72-Stunden-Folgemeldeverfahren für Fälle, in denen eine Datenpanne zugleich einen sicherheitsrelevanten Vorfall im Sinne des NIS-2-Umsetzungsgesetzes darstellt. Sie können den Workspace für Ihre internen Beauftragten lizenzieren, oder Sie lassen unsere Beauftragten bestellen. Beide Wege führen zu derselben dokumentarischen Belegbarkeit, der Unterschied liegt in der Frage, wer die operative Verantwortung trägt und wer die Plattform bedient. Wichtig ist außerdem die klare Trennung zwischen DSB-Aufgaben und Aufgaben des Verantwortlichen: Der DSB berät und überwacht, die Entscheidungshoheit über Verarbeitungen verbleibt nach Art. 24 DSGVO bei der Geschäftsführung. CIVAC dokumentiert diese Aufgabentrennung in jeder Bestellurkunde explizit, sodass im Audit keine Vermischung der Rollen entstehen kann. Eine Übersicht aller im Standardpaket enthaltenen Leistungen erhalten Sie auf Anfrage als zweiseitiges Leistungsverzeichnis.
Vertragsmodelle: Bestellung, Mandat und Hybridlösung im Vergleich
Drei Vertragsmodelle dominieren den Markt. Modell A ist das reine Berater-Mandat ohne Bestellung. Hier liefert der Dienstleister Empfehlungen und Vorlagen, die Bestellung erfolgt jedoch intern. Risiko: Unternehmen bestellen niemanden oder eine ungeeignete Person, die Pflichtverletzung wird im Audit sichtbar. Modell B ist die vollständige externe Bestellung. Der Dienstleister wird als DSB im Sinne des Art. 37 DSGVO bestellt, übernimmt alle Pflichten und meldet sich bei der Aufsichtsbehörde. Risiko: Wechselkosten bei Anbieterwechsel, falls die Dokumentation nicht portabel ist. Modell C ist die Hybridlösung: Eine interne Person wird als DSB bestellt, der externe Dienstleister liefert Plattform, Vorlagen und Eskalationspfad. Jedes der drei Modelle hat seine Berechtigung, abhängig von Branche, Unternehmensgröße und vorhandener interner Expertise.
CIVAC bietet alle drei Modelle. Das dominante Modell für den deutschen Mittelstand ist die vollständige externe Bestellung mit portabler Dokumentation. Der Workspace und alle Verzeichnisse, Schulungsnachweise und Auditberichte bleiben im Eigentum des Unternehmens und können bei Vertragsende exportiert werden. Damit entfällt der klassische Lock-in-Effekt klassischer Berater-Kanzleien. Für regulierte Branchen mit eigener Datenschutzabteilung empfehlen wir das Hybridmodell: Die interne Bestellung bleibt intakt, CIVAC stellt die Plattform, die Bestellurkunden für nachgeordnete Konzerngesellschaften und die 490 Audit-Vorlagen. Eine erste Einordnung Ihres Anwendungsfalls erhalten Sie über das CIVAC-FAQ oder direkt im Erstgespräch. Beim Hybridmodell sinken die internen Bearbeitungszeiten typischerweise um 40 bis 60 Prozent, weil Standardvorgänge wie Auftragsverarbeitungsverträge, Schulungsnachweise und Verarbeitungsverzeichnisse aus dem Workspace heraus erstellt und versioniert werden, ohne dass Mitarbeitende Vorlagen lokal pflegen müssen. Die Wahl des passenden Modells ist Teil des Erstgesprächs und wird mit Blick auf Ihr Risikoprofil dokumentiert.
Reaktionszeiten und SLA: Was 24 Stunden, 72 Stunden und 30 Tage in der Praxis bedeuten
Drei Fristen prägen den Alltag des Datenschutzbeauftragten. Erstens die 72-Stunden-Frist nach Art. 33 DSGVO für die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, gerechnet ab Kenntnis der Verletzung. Zweitens die Monatsfrist nach Art. 12 Abs. 3 DSGVO für die Beantwortung von Betroffenenanfragen, verlängerbar um zwei weitere Monate bei komplexen oder zahlreichen Anfragen. Drittens die unverzügliche Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO, wenn eine hohe Gefahr für deren Rechte und Freiheiten besteht. Frist läuft ab Kenntnis. Diese drei Fristen werden in der Praxis regelmäßig gerissen, wenn die interne Eskalationskette nicht definiert ist, wenn die Bewertung der Schwere durch externe Berater zu lange dauert oder wenn Mitarbeitende nicht wissen, an wen sie einen Vorfall melden sollen.
Das CIVAC-SLA für die operative Bestellung beträgt 2 Werktage. In der klassischen Beratungswelt vergehen zwischen Erstkontakt und unterzeichneter Bestellurkunde 2 bis 6 Wochen, weil Mandatsverträge, Berufshaftpflichtnachweise, Bestellurkunden und Aufsichtsbehördenmeldung sequenziell abgearbeitet werden. Bei CIVAC laufen diese Schritte parallel im Workspace ab. Für die laufende Reaktion gilt: Datenpannen werden innerhalb des 24-Stunden-Frühwarnfensters bewertet, die 72-Stunden-Meldung wird auf Basis vorbereiteter Templates erstellt und die Berichtslinie an die Geschäftsführung erfolgt unmittelbar nach Bewertung. Damit ist sichergestellt, dass die Frist nach Art. 33 DSGVO nicht durch interne Eskalationsschleifen verzögert wird. Im NIS-2-Kontext greift parallel der 24/72-Meldepfad nach § 32 NIS2UmsuCG, sodass ein Vorfall, der sowohl Daten- als auch Sicherheitsdimension hat, in einem koordinierten Verfahren bearbeitet wird. Die Workspace-Templates für Erstmeldung, Zwischenmeldung und Abschlussbericht reduzieren die durchschnittliche Bearbeitungszeit pro Vorfall typischerweise um mehr als die Hälfte.
Bestellurkunde, Berichtslinie und Unabhängigkeit: Was Aufsichtsbehörden prüfen
Aufsichtsbehörden prüfen bei einer Beanstandung oder bei einer anlasslosen Prüfung typischerweise sechs Punkte: Liegt eine schriftliche Bestellung nach Art. 37 Abs. 7 DSGVO vor? Wurde der DSB der Aufsichtsbehörde gemeldet? Ist seine Erreichbarkeit veröffentlicht, etwa im Impressum oder in der Datenschutzerklärung nach Art. 13 Abs. 1 lit. b DSGVO? Berichtet der DSB unmittelbar an die höchste Managementebene nach Art. 38 Abs. 3 DSGVO? Ist er frei von Weisungen in seiner DSB-Funktion und vor Abberufung wegen seiner Aufgaben geschützt? Verfügt er über die erforderliche Fachkunde nach Art. 37 Abs. 5 DSGVO? Diese sechs Punkte bilden den Kernrahmen jeder Aufsichtsprüfung, unabhängig davon, ob die Prüfung anlassbezogen oder routinemäßig erfolgt.
Die CIVAC-Bestellurkunde adressiert diese sechs Prüfpunkte mit klaren Formulierungen und Verweisen auf die jeweiligen Vorschriften. Der Aufgabenkatalog folgt Art. 39 DSGVO Wort für Wort, die Berichtslinie wird formal an die Geschäftsführung gerichtet und die Unabhängigkeitsklausel zitiert Art. 38 Abs. 3 und Abs. 6 DSGVO. Im Workspace ist die Bestellurkunde mit Versionsstand, Unterschrift und Ablagepfad hinterlegt. Bestellurkunde, unterschrieben, abgelegt, belegbar. Bei Prüfungen können Sie die Urkunde innerhalb von Sekunden aus dem Workspace exportieren. Für Konzernstrukturen mit mehreren Tochtergesellschaften steht ein Sammelmandat mit nachgelagerten Einzelbestellurkunden zur Verfügung. Eine Übersicht weiterer Beauftragten-Rollen finden Sie unter CIVAC Roles. Wichtig: Die Aufsichtsbehörden prüfen zunehmend auch die Frage, ob die Aufgaben des DSB im laufenden Geschäft tatsächlich gelebt werden, etwa durch Stichproben in der Schulungshistorie, Auditierungen des Verarbeitungsverzeichnisses oder Befragungen der Geschäftsführung zur Berichtslinie. Diese gelebte Praxis lässt sich nur durch eine plattformbasierte Dokumentation belastbar nachweisen.
Branchenspezifische Aufschläge: Gesundheitswesen, Finanzdienstleister, Forschung
Drei Branchen haben höhere DSB-Pauschalen, weil die Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO, branchenspezifische Aufsichtsregime oder internationale Datenflüsse höhere Sorgfaltspflichten auslösen. Im Gesundheitswesen gelten zusätzlich § 22 BDSG, das Patientendatenschutzgesetz und je nach Einrichtung die SGB-V-Regelungen zur elektronischen Patientenakte. Für Finanzdienstleister kommen die BAIT, die MaRisk und § 25h KWG hinzu, für Versicherungen die VAIT. In der Forschung greifen Sondernormen wie § 27 BDSG sowie die Drittstaatentransferregeln nach Art. 44 ff. DSGVO, insbesondere bei Studien mit US-Sponsoren. In allen drei Branchen ist die Audit-Erwartung höher, weil zusätzliche Aufsichtsbehörden wie BaFin oder Landesbehörden für die Krankenhausaufsicht parallele Prüfrechte haben.
CIVAC reflektiert diese Aufschläge transparent in den Servicepaketen. Die Aufschläge entstehen nicht durch höhere Stundensätze, sondern durch zusätzliche Audit-Vorlagen, vorbereitete Drittstaaten-Transfer-Folgenabschätzungen und die Integration in das ISO/IEC 27001:2022 ISMS. Für Kliniken kommt die Anbindung an den Hygienebeauftragten hinzu, für Finanzdienstleister die Anbindung an den Geldwäschebeauftragten nach § 7 GwG. Damit entsteht ein integrierter Compliance-Stack, in dem Datenschutz, Informationssicherheit, Branchenpflichten und Meldewege in einem Workspace dokumentiert sind. Das senkt die Auditkosten und reduziert die Anzahl paralleler Vertragsbeziehungen, die ein Unternehmen pflegen muss. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Für Branchen mit hoher Audit-Frequenz lohnt darüber hinaus die explizite Verzahnung mit dem ISO/IEC 27001:2022 ISMS, weil die im DSB-Workspace gepflegten Verarbeitungsverzeichnisse und Folgenabschätzungen als Eingangsdaten für die Risikobewertung im ISMS dienen und somit Doppelarbeit vermeiden. Ein zusätzlicher Effekt ist die Geschwindigkeit bei aufsichtlichen Sonderprüfungen: Wenn BaFin, Landesdatenschutzbehörde oder Krankenhausaufsicht parallel Daten anfordern, lassen sich die jeweils benötigten Belege im Workspace nach Quelle, Versionsstand und Verantwortlichem filtern und exportieren.
Wechsel des DSB: Übergaberisiken und wie die Portabilität funktioniert
Der Wechsel des externen Datenschutzbeauftragten ist häufiger als Unternehmen annehmen. Gründe sind Anbieterausfälle, Qualitätsmängel, Tarifsteigerungen ohne Leistungsausbau oder strukturelle Veränderungen wie ein Carve-out oder eine Fusion. Risikopunkte beim Wechsel: Das Verzeichnis der Verarbeitungstätigkeiten ist nur als PDF verfügbar und nicht maschinenlesbar, die Datenpannen-Historie ist über E-Mail-Postfächer verstreut, Schulungsnachweise existieren nur bei Mitarbeitenden lokal und die Bestellurkunde liegt ausschließlich beim alten Dienstleister. Im Ergebnis startet der neue DSB bei Null und das Unternehmen zahlt den Onboarding-Aufwand doppelt. Erschwerend kommt hinzu, dass viele klassische Mandatsverträge keine Portabilitätsklausel enthalten, sodass der Anbieterwechsel rechtlich zwar möglich, praktisch aber mit erheblichen Reibungsverlusten verbunden ist.
CIVAC begegnet diesem Risiko mit einer strukturierten Portabilität. Das Verzeichnis der Verarbeitungstätigkeiten liegt im Workspace als strukturiertes Datenobjekt vor, exportierbar nach CSV und JSON. Datenpannen-Vorgänge sind chronologisch dokumentiert, mit Zeitstempel, Bewertung und Meldungsentscheidung. Schulungsnachweise sind je Mitarbeitendem zentralisiert, mit Zertifikatsexport. Bestellurkunden für sich und alle Tochtergesellschaften sind in einer Versionshistorie hinterlegt. Bei Vertragsende erhalten Sie ein vollständiges Übergabepaket innerhalb von 5 Werktagen. Damit ist sichergestellt, dass ein Wechsel nicht zu einer Lücke in der Audit-Kette führt. Audit-fest, dokumentiert, Art. 30-DSGVO-fest. Wenn Sie aktuell aus einem Mandat ohne Portabilitätsklausel kommen, prüfen wir die Übergabefähigkeit Ihrer bestehenden Dokumentation kostenfrei vor Vertragsbeginn. Die Erfahrung zeigt: Selbst aus PDF-basierten Beständen lässt sich in 80 Prozent der Fälle innerhalb von 10 Werktagen ein vollständig strukturiertes Verarbeitungsverzeichnis ableiten, sofern Bestandsdaten in nachvollziehbarer Form vorliegen. Wenn ein Wechsel ansteht, lohnt zudem eine kurze Bestandsaufnahme zur Berichtslinie an die Geschäftsführung: Die formale Berichtslinie nach Art. 38 Abs. 3 DSGVO wird mit der neuen Bestellurkunde im Workspace neu fixiert, ohne dass alte Eskalationswege parallel weiterlaufen.
Von der Preisliste zum Auftrag: So starten Sie mit CIVAC
Wenn Sie bis hierher gelesen haben, sind die nächsten Schritte überschaubar. Erstens: Stellen Sie fest, ob die Bestellpflicht nach Art. 37 DSGVO und § 38 BDSG für Ihr Unternehmen greift. Zweitens: Klären Sie intern, ob die DSB-Funktion intern besetzt oder extern bestellt werden soll. Drittens: Sammeln Sie die Eckdaten, die für die Preiskalkulation relevant sind: Mitarbeiterzahl mit Datenzugriff, Anzahl der Verarbeitungstätigkeiten, Branchenkontext, internationale Datenflüsse, vorhandene Zertifizierungen wie ISO/IEC 27001:2022. Viertens: Klären Sie, ob Sie das CIVAC-Workspace-Modell, das Officer-as-a-Service-Modell oder das Hybridmodell bevorzugen. Diese vier Vorbereitungsschritte lassen sich typischerweise an einem Vormittag erledigen.
CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit EU-Datenresidenz. Die Bestellung des externen Datenschutzbeauftragten erfolgt innerhalb von 2 Werktagen nach Auftragserteilung. Im Servicepreis enthalten sind Bestellurkunde, 490 Audit-Vorlagen, 72-Stunden-Meldeverfahren, Workspace-Zugang, jährliche Mitarbeiterschulung und die Berichtslinie an die Geschäftsführung. Sie erreichen das CIVAC-Team über info@civac.de oder über das Kontaktformular auf civac.de. Aus dem Lesen einen Auftrag machen. Wir senden Ihnen ein kalkuliertes Angebot mit Leistungsverzeichnis, Vertragsentwurf und Bestellurkunde innerhalb von 2 Werktagen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, beide Wege führen zu derselben dokumentarischen Belegbarkeit. Wer parallel andere Beauftragtenrollen besetzen muss, etwa Informationssicherheit, Geldwäsche oder Hinweisgeberschutz, kann dies im selben Workspace abbilden und Synergien zwischen den Rollen heben. Der typische Ablauf nach Auftragserteilung: Am Tag 1 erhalten Sie die Bestellurkunde im Entwurf, am Tag 2 erfolgt die Unterschrift und die Meldung an die zuständige Aufsichtsbehörde. Innerhalb der ersten 10 Werktage werden Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge und Schulungsplan im Workspace eingerichtet, sodass der DSB ab Tag 11 vollständig operativ ist. Damit verkürzt sich die klassische Anlaufphase von 6 bis 12 Wochen auf einen klar planbaren Zeitraum, und Sie können bereits im Folgequartal einen ersten internen Audit-Bericht aus dem Workspace ableiten.
FAQ
Was kostet ein externer Datenschutzbeauftragter bei CIVAC pro Monat?
Die Monatspauschale richtet sich nach Mitarbeiterzahl mit Datenzugriff, Anzahl der Verarbeitungstätigkeiten nach Art. 30 DSGVO und Branchenrisiko. Reine Berater-Mandate ohne Bestellung beginnen im niedrigen dreistelligen Bereich pro Monat, vollständige Officer-Bestellungen im niedrigen vierstelligen Bereich pro Quartal. Ein verbindliches Angebot mit Leistungsverzeichnis, Vertragsentwurf und Bestellurkunde erhalten Sie innerhalb von 2 Werktagen über info@civac.de oder über das Kontaktformular.
Welche Leistungen sind in der CIVAC-DSB-Pauschale enthalten?
Enthalten sind die schriftliche Bestellung nach Art. 37 DSGVO, die Pflege des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO, das 72-Stunden-Meldeverfahren nach Art. 33 DSGVO, der Workspace-Zugang mit 37 Audit-Vorlagen, jährliche Mitarbeiterschulungen und die Bearbeitung von Betroffenenanfragen innerhalb der Monatsfrist nach Art. 12 DSGVO. Zusätzlich gehören die Meldung an die Aufsichtsbehörde, die Veröffentlichung der DSB-Kontaktdaten und die Berichtslinie an die Geschäftsführung dazu.
Wie schnell kann CIVAC einen externen DSB bestellen?
Das CIVAC-SLA für die operative Bestellung beträgt 2 Werktage ab vollständiger Auftragsbestätigung. In der klassischen Beratungswelt vergehen typischerweise 2 bis 6 Wochen zwischen Erstkontakt und Bestellurkunde, weil Mandatsverträge, Bestellurkunden und Aufsichtsbehördenmeldungen sequenziell abgearbeitet werden. Bei CIVAC laufen diese Schritte parallel im Workspace ab. Am Tag 1 liegt der Entwurf vor, am Tag 2 erfolgt die Unterschrift und die formale Meldung an die zuständige Aufsichtsbehörde.
Können wir den DSB-Service kündigen und den Anbieter wechseln?
Ja. CIVAC stellt die portable Dokumentation sicher. Bei Vertragsende erhalten Sie das Verzeichnis der Verarbeitungstätigkeiten als CSV und JSON, die Datenpannen-Historie, alle Schulungsnachweise und die Bestellurkunden innerhalb von 5 Werktagen als vollständiges Übergabepaket. Damit ist kein Lock-in-Effekt verbunden, und der Nachfolger kann auf einer strukturierten, maschinenlesbaren Datenbasis unmittelbar weiterarbeiten. Audit-fest, dokumentiert, Art. 30-DSGVO-fest.
Übernimmt der CIVAC-DSB auch die Meldung an die Aufsichtsbehörde?
Ja. Bei der Erstbestellung erfolgt die Meldung an die zuständige Landesdatenschutzbehörde oder den Bundesbeauftragten innerhalb der gesetzlichen Frist. Bei meldepflichtigen Datenpannen nach Art. 33 DSGVO bereitet CIVAC die Meldung innerhalb der 72-Stunden-Frist ab Kenntnis vor und reicht sie nach Freigabe durch die Geschäftsführung ein. Frist läuft ab Kenntnis. Die Workspace-Templates für Erst-, Zwischen- und Abschlussmeldung beschleunigen den Prozess zusätzlich.
Was unterscheidet das Officer-as-a-Service-Modell vom Workspace-Modell?
Im Officer-as-a-Service-Modell wird CIVAC als externer DSB bestellt und übernimmt die operative Verantwortung gegenüber der Aufsichtsbehörde. Im Workspace-Modell bestellt das Unternehmen eine interne Person als DSB und nutzt die CIVAC-Plattform mit 37 Audit-Vorlagen, Bestellurkunden und Meldewegen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die dokumentarische Belegbarkeit gegenüber Aufsicht und Audit ist in beiden Modellen identisch.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.