Externer Datenschutzbeauftragter im Mittelstand: Preise, Leistungen und der CIVAC-Ansatz

Nach § 38 BDSG mussten in Deutschland Ende 2025 rund 250.000 Unternehmen einen Datenschutzbeauftragten bestellen, weil sie mehr als 20 Personen mit automatisierter Verarbeitung personenbezogener Daten beschäftigen. Der Mittelstand stellt die Mehrheit dieser Pflicht-Bestellungen, und für die meisten Geschäftsführer ist die Bestellung eines externen DSB nicht eine Frage des Ob, sondern des Preises und der Leistung. Die Spannbreite am Markt ist erheblich: Angebote zwischen 89 Euro im Monat für reine Online-Lösungen ohne Personenbezug und 2.400 Euro im Monat für eine spezialisierte Anwaltskanzlei mit Stundenkontingent liegen nur einen Google-Suchklick auseinander, und die Qualitätsunterschiede sind für Laien kaum erkennbar.

Dieser Beitrag erklärt, wie sich der Preis für einen externen Datenschutzbeauftragten im Mittelstand zusammensetzt, welche Leistungen Sie für 600, 1.200 oder 2.000 Euro im Monat erwarten dürfen und woran Sie unseriöse Angebote erkennen. Anschließend zeigen wir, wie CIVAC als Compliance-Plattform und Officer-as-a-Service den Preis kalkuliert und warum die Bestellurkunde mit klar definiertem Leistungskatalog der Kern eines belastbaren DSB-Mandats ist. Sie erhalten eine Vergleichsmatrix, eine Total-Cost-of-Ownership-Rechnung interner gegen externer DSB und konkrete Fragen, die Sie jedem Anbieter vor Vertragsunterzeichnung schriftlich beantworten lassen sollten. Am Ende kennen Sie den marktgerechten Korridor für Ihre Größe und Branche.

Die DSB-Pflicht ergibt sich primär aus § 38 BDSG in Verbindung mit Art. 37 DSGVO. Eine Bestellung ist verpflichtend, sobald in einem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Wer in dieser Zählung enthalten ist, wird in der Praxis oft unterschätzt: dazu gehören neben festen Mitarbeitenden auch Werkstudenten, Auszubildende, Leiharbeiter und freie Mitarbeiter mit dauerhaftem Zugriff auf CRM, Personalsysteme oder E-Mail-Postfächer. Bereits ein achtköpfiges Marketing-Team mit Newsletter-Tool, ein zwölfköpfiger Vertrieb mit CRM und eine fünfköpfige Personalabteilung erfüllen gemeinsam den Schwellenwert. Geschäftsführungen, die ausschließlich die Festangestellten zählen, unterschätzen die tatsächliche Pflicht regelmäßig.

Unabhängig vom Schwellenwert ist nach Art. 37 Abs. 1 DSGVO eine Bestellung verpflichtend, sobald die Kerntätigkeit in der umfangreichen, regelmäßigen Überwachung von Personen oder der Verarbeitung besonderer Kategorien nach Art. 9 DSGVO besteht. Praxisbeispiele sind Marktforschungsinstitute, Personaldienstleister, medizinische Versorgungszentren, Apotheken-Verbünde, Steuerkanzleien mit großen Datenbeständen und SaaS-Anbieter mit personenbezogenen Datenpipelines. Für diese Unternehmen gilt die Pflicht ab dem ersten Mitarbeiter, der die jeweilige Tätigkeit ausführt, also faktisch ab Gründung.

Wer die Bestellung unterlässt oder verzögert, riskiert nach Art. 83 Abs. 4 DSGVO Bußgelder bis 10 Millionen Euro oder 2 Prozent des Konzernumsatzes, je nachdem welcher Wert höher ist. Die Aufsichtsbehörden in Bayern, Baden-Württemberg und Nordrhein-Westfalen führen seit 2024 verstärkt anlasslose Prüfungen durch und fragen die Bestellurkunde sowie die Meldung an die Behörde nach § 38 Abs. 3 BDSG ab. Eine Bestellung ohne Meldung gilt als Formfehler und wird in der Praxis wie eine Nichtbestellung behandelt. CIVAC liefert die Bestellurkunde des externen Datenschutzbeauftragten innerhalb von zwei Werktagen nach Mandatszeichnung, inklusive Behördenmeldung.

Der Preis für einen externen Datenschutzbeauftragten richtet sich in der Praxis nach vier Faktoren: Mitarbeiterzahl, Anzahl der Verarbeitungstätigkeiten, Branchenrisiko und Reaktionszeit-SLA. Im Mittelstand mit 50 bis 250 Beschäftigten haben sich folgende Bandbreiten am Markt 2026 etabliert. Für Unternehmen mit überschaubarem Datenschutzrisiko, also kein E-Commerce, keine Gesundheitsdaten, keine Tracking-Datenströme und keine umfangreichen Drittland-Transfers, liegen marktgerechte Pauschalen zwischen 600 und 950 Euro im Monat. Diese Pauschalen enthalten in der Regel die Bestellung, die jährliche Mitarbeiterschulung, die laufende Pflege des Verzeichnisses von Verarbeitungstätigkeiten und die Beantwortung von Betroffenenanfragen mit moderatem Aufwand.

Für Unternehmen mit mittlerem Risiko wie B2C-Onlineshop, Personalvermittlung, Versicherungsmakler oder IT-Dienstleister liegt die Bandbreite bei 950 bis 1.500 Euro monatlich. Hier kommen typischerweise Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO, Auftragsverarbeitungsverträge mit zahlreichen Subunternehmern, Cookie-Banner-Anpassungen und turnusmäßige Audits hinzu. Unternehmen mit hohem Risiko, beispielsweise Gesundheitswesen, Banken, große Cloud-Plattformen oder Marktforschung, zahlen 1.500 bis 2.400 Euro monatlich, oft kombiniert mit einem Stundenkontingent für anlassbezogene Themen wie Übernahmen, Joint-Ventures oder Datenpannen mit Drittlandbezug.

Vorsicht ist bei Pauschalangeboten unter 300 Euro im Monat geboten. Diese Modelle bündeln in der Regel mehrere hundert Mandate auf eine einzige Person, was die Erreichbarkeit nach Art. 38 DSGVO in der Praxis verunmöglicht. Bei der Aufsichtsbehörde-Prüfung wird dies als Indiz für mangelnde Funktionsfähigkeit gewertet und führt im Zweifel zu einer Beanstandung wie eine Nichtbestellung. CIVAC arbeitet mit einer Höchstgrenze von 25 Mandaten pro benannter Person und nutzt den Workspace, um die operative Last in Vorlagen, Audit-Templates und automatisierten Erinnerungen zu bündeln, sodass die menschliche Beratungszeit der Fachkraft vorbehalten bleibt.

Externe DSB werden grundsätzlich in drei Vertragsmodellen angeboten: monatliche Pauschale, reines Stundenmodell und hybride Modelle mit Grundpauschale plus Stundenkontingent. Die monatliche Pauschale ist im Mittelstand das am häufigsten gewählte Modell. Sie gibt dem Unternehmen Budgetsicherheit und dem Anbieter Planbarkeit. Innerhalb der Pauschale enthalten sind in der Regel ein definiertes Stundenkontingent für die laufende Beratung, die Pflege des Verzeichnisses, die jährliche Schulung und die Beantwortung von Betroffenenanfragen bis zu einer bestimmten Anzahl pro Jahr. Wichtig ist die schriftliche Definition, was bei Überschreitung des Kontingents gilt: vier Stunden Kulanz oder sofortige Stundenabrechnung zum hinterlegten Satz.

Das reine Stundenmodell mit Sätzen zwischen 180 und 320 Euro netto pro Stunde ist sinnvoll für sehr kleine Unternehmen mit minimaler Verarbeitung oder für temporäre Projekte wie eine einmalige Datenschutz-Folgenabschätzung. Für mittelständische Unternehmen ist das Modell ungeeignet, weil die monatliche Routineberatung nicht abgedeckt ist und Betroffenenanfragen mit harter Frist, in der Regel ein Monat nach Art. 12 Abs. 3 DSGVO, zu unkontrollierten Spitzenrechnungen führen. Wer das Modell wählt, sollte mindestens eine Stundenobergrenze pro Quartal vereinbaren, um Budget-Schocks zu vermeiden.

Hybride Modelle mit einer reduzierten Grundpauschale von etwa 400 Euro im Monat plus Stundenabrechnung für definierte Sondertätigkeiten passen gut zu Unternehmen mit sehr schwankendem Aufkommen, etwa Projektgesellschaften oder Holdings mit punktuellem Bedarf. Wichtig ist hier die saubere Definition, welche Leistungen in der Pauschale enthalten sind und welche separat abgerechnet werden. Im CIVAC-Modell ist die monatliche Pauschale fest und enthält die Plattformnutzung mit 37 Vorlagen. Punktuelle Großprojekte wie eine konzernweite DSFA oder eine Drittlands-Transfer-Folgeabschätzung werden als separates Projekt kalkuliert und vorab schriftlich freigegeben. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Ein marktgerechter DSB-Vertrag definiert den Leistungsumfang in einem Leistungskatalog, der Bestandteil des Mandatsvertrags wird. Dieser Katalog sollte mindestens folgende sieben Punkte enthalten. Erstens die Bestellung selbst, also die rechtsgültige Bestellurkunde nach § 38 BDSG, sowie die Meldung an die zuständige Aufsichtsbehörde mit Bestätigungsschreiben für die Mandantenakte. Zweitens die laufende Beratung der Geschäftsführung und der Fachbereiche zu allen datenschutzrelevanten Fragen, mit definierter Reaktionszeit für Anfragen, üblicherweise 24 bis 48 Stunden während der Geschäftszeit und längstens 8 Stunden für Eilfälle.

Drittens die Pflege des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Dieses Verzeichnis ist der zentrale Nachweis gegenüber der Aufsichtsbehörde und muss bei Änderungen in der IT-Landschaft, neuen Tools, neuen Geschäftsprozessen oder neuen Lieferanten aktualisiert werden. Viertens die Unterstützung bei Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO, bei der Bewertung von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO und beim Drittlandtransfer nach Art. 44 ff. DSGVO. Fünftens die Mitarbeiterschulung, in der Regel einmal jährlich mit Teilnehmerliste und Wissensprüfung, sowie die Bearbeitung von Betroffenenanfragen nach Art. 15 bis 22 DSGVO innerhalb der gesetzlichen Frist.

Sechstens und besonders wichtig die Begleitung bei Datenschutzverletzungen mit dem 72-Stunden-Meldepfad nach Art. 33 DSGVO. Die Frist läuft ab Kenntnis, was hohe Anforderungen an die Erreichbarkeit des DSB stellt. Siebtens die Berichtspflicht an die Geschäftsführung, üblicherweise als Quartalsbericht mit konkreten Empfehlungen und Statusübersicht offener Maßnahmen. Im CIVAC-Workspace sind alle sieben Punkte in 37 einsatzbereiten Audit-Vorlagen abgebildet, sodass die Bestellurkunde, unterschrieben, abgelegt, belegbar bereitliegt, wenn der Prüfer anruft. Die Berichtslinie an die Geschäftsführung ist über automatisierte Quartals-Templates dokumentiert.

Die häufigsten Kostenfallen in DSB-Verträgen lassen sich in fünf Kategorien gruppieren. Erstens unklare Definition des Stundenkontingents in der Pauschale. Wer einen Vertrag unterzeichnet, in dem das enthaltene Kontingent nicht in Stunden oder Beratungseinheiten quantifiziert ist, riskiert nach drei bis vier Monaten Zusatzrechnungen, die die ursprüngliche Pauschale übersteigen. Fordern Sie eine klare Zahl, zum Beispiel acht Stunden Beratung pro Monat oder vier Betroffenenanfragen pro Jahr inklusive. Lassen Sie sich auch den Folgepreis je Stunde nach Überschreitung schriftlich zusichern, idealerweise mit Deckelung.

Zweitens Wegfall-Klauseln im Kleingedruckten. In manchen Verträgen ist die Vor-Ort-Begehung nicht enthalten, oder sie ist auf einen Termin pro Jahr begrenzt. Wenn Ihr Unternehmen mehrere Standorte hat, sollten Sie die Frequenz und den Reisekostenmodus klären. Drittens lange Mindestlaufzeiten von 24 oder 36 Monaten ohne Sonderkündigungsrecht bei Insolvenz oder Geschäftsaufgabe des Anbieters. Marktüblich sind 12 Monate Mindestlaufzeit mit drei Monaten Kündigungsfrist und einer ausdrücklichen Klausel zur Datenherausgabe bei Vertragsende.

Viertens versteckte Aufschläge bei Datenpannen. Manche Anbieter berechnen die Bearbeitung einer Datenpanne nach Art. 33 DSGVO mit pauschal 1.500 bis 3.500 Euro zusätzlich, was bei mittleren Vorfällen schnell zur Verdopplung der Jahreskosten führt. Klären Sie schriftlich, ob die Meldung innerhalb der 72-Stunden-Frist in der Pauschale enthalten ist. Fünftens fehlende Berufshaftpflicht. Ein externer DSB muss mindestens 1 Million Euro Berufshaftpflicht nachweisen, marktüblich sind 3 Millionen Euro. Im CIVAC-Modell sind Berufshaftpflicht und Datenpannen-Meldung Bestandteil der Standard-Pauschale, und das SLA liegt bei zwei Werktagen für die Bestellurkunde statt der branchenüblichen zwei bis sechs Wochen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Am Markt finden sich drei dominante Anbietertypen für externe DSB-Mandate im Mittelstand. Der erste Typ ist die spezialisierte Anwaltskanzlei. Sie liefert hohe juristische Tiefe, ist bei Bußgeldverfahren und Aufsichtsbehörden-Korrespondenz stark und in komplexen Konzernstrukturen vorteilhaft, kostet aber mit 1.800 bis 2.400 Euro im Monat im oberen Marktsegment. Die operative Pflege des Verzeichnisses oder die Mitarbeiterschulung wird dort oft an Junior-Anwälte oder externe Trainer ausgelagert, was die Reaktionszeit verlängert und die Konsistenz der Beratung reduziert. Für Mittelständler ohne aktuelle Bußgeldhistorie ist dieses Modell in der Regel überdimensioniert.

Der zweite Typ ist das klassische Datenschutz-Beratungshaus mit zertifizierten DSB. Die Preise liegen zwischen 750 und 1.400 Euro im Monat, die juristische Tiefe ist niedriger als bei der Kanzlei, dafür ist die operative Routine höher. Schulungen, Verzeichnispflege und Audits werden in der Regel von der gleichen Person übernommen, was Kontinuität sichert. Schwachstelle dieses Modells ist häufig die fehlende Software: Verzeichnisse und Audit-Trails werden in Word- und Excel-Dateien gepflegt, was bei einer Aufsichtsbehörden-Anfrage mühsame Aufbereitungszeit verursacht.

Der dritte Typ ist die Compliance-Plattform mit Officer-as-a-Service-Modell. Hier liegt der Preis je nach Plattformnutzung zwischen 590 und 1.200 Euro monatlich. Der Unterschied: Die Plattform übernimmt die strukturierte Datenhaltung, die Vorlagen, die Erinnerungen und die Audit-Nachweise, sodass die menschliche Beratungszeit für strategische Fragen frei wird. CIVAC gehört zum dritten Typ und bündelt 25 Beauftragten-Rollen auf einer Plattform. Wer den Workspace lizenziert, behält den internen DSB und nutzt nur die Software für Bestellurkunde, Audit-Vorlagen, Berichtslinie und 72-Stunden-Datenpannen-Meldepfad. Wer das volle Officer-as-a-Service-Modell wählt, erhält zusätzlich eine benannte natürliche Person als externen Datenschutzbeauftragten. Die CIVAC-FAQ zeigt, in welchen Konstellationen welches Modell typischerweise vorteilhaft ist.

Die Frage, ob ein Mittelständler einen internen oder externen DSB bestellt, ist primär eine Total-Cost-of-Ownership-Frage. Ein interner DSB benötigt eine Fachkraft mit DSB-Zertifizierung nach § 38 BDSG, eine angemessene Vergütung und Weisungsfreiheit gegenüber der Geschäftsführung in datenschutzrelevanten Themen. Marktgerechte Jahresgehälter für einen erfahrenen internen DSB liegen 2026 zwischen 68.000 und 95.000 Euro brutto, plus Arbeitgeberanteil von etwa 22 Prozent, plus Schulungsbudget von 3.000 bis 6.000 Euro pro Jahr und Software-Lizenzen von 1.500 bis 4.000 Euro jährlich. In Summe ergeben sich Jahreskosten von 95.000 bis 130.000 Euro für 0,8 bis 1,0 Vollzeitäquivalent.

Dem gegenüber stehen Kosten für einen externen DSB im Mittelstand zwischen 7.200 und 18.000 Euro pro Jahr. Die Differenz beträgt also je nach Fall 80.000 bis 110.000 Euro pro Jahr. Der externe DSB lohnt sich finanziell für nahezu alle Unternehmen mit weniger als 500 Mitarbeitenden. Erst ab 750 bis 1.000 Mitarbeitenden, mit hoher Verarbeitungsdichte und konzernweiter Struktur, wird ein interner DSB rechnerisch attraktiver, vor allem wenn parallel Spezialthemen wie internationale Datentransfers, Joint-Controllership oder Konzern-Auftragsverarbeitung dauerhaft betreut werden müssen.

Wichtig ist die qualitative Dimension neben der reinen Rechnung. Ein interner DSB kennt die Prozesse besser, sitzt näher an der Geschäftsführung und ist in Krisensituationen unmittelbar verfügbar. Ein externer DSB bringt branchenübergreifende Erfahrung, Skaleneffekte bei Vorlagen und Schulungen und ist nicht in interne Politik verwickelt, was im Konfliktfall mit der Geschäftsführung Vorteile bringt. Das CIVAC-Modell verbindet beide Stärken über den Workspace: Auch ein interner DSB profitiert von den 37 Audit-Vorlagen, dem 72-Stunden-Meldepfad und der ISO 27001:2022-konformen Dokumentation. Die Plattform kostet zwischen 290 und 690 Euro im Monat, je nach Modulwahl und Mandantenanzahl. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Bevor Sie ein DSB-Mandat unterschreiben, sollten Sie sieben Fragen schriftlich beantwortet bekommen, idealerweise im Angebot oder im Vertragsentwurf selbst. Erste Frage: Wer ist die benannte natürliche Person, die als DSB bestellt wird, und welche Qualifikationen weist sie nach? Akzeptieren Sie keine pauschale Antwort wie unser Team. Verlangen Sie den Namen, die Zertifizierung, einschlägige Berufserfahrung in Jahren und einen Lebenslauf in Kurzform. Zweite Frage: Wie viele Mandate betreut diese Person parallel? Über 50 Mandate pro Person ist ein deutliches Warnsignal, das Sie schriftlich begründen lassen sollten.

Dritte Frage: Was ist die SLA-Reaktionszeit für eine Datenpanne nach Art. 33 DSGVO? Akzeptabel sind maximal 8 Stunden während der Geschäftszeit, ideal sind 4 Stunden mit 24/7-Rufbereitschaft, mindestens werktags von 8 bis 20 Uhr. Vierte Frage: Was sind die genauen Inhalte der Pauschale, ausgedrückt in Stunden oder Beratungseinheiten, und welche Tätigkeiten werden separat berechnet? Fünfte Frage: Welche Berufshaftpflicht ist nachgewiesen, mit welcher Versicherungssumme, und wer haftet bei einem Bußgeldverfahren der Aufsichtsbehörde?

Sechste Frage: Welche Software wird eingesetzt, und gehört dem Mandanten die in der Software erfasste Dokumentation? Akzeptieren Sie nur ein eindeutiges Ja, idealerweise mit Datenexport-Klausel im Vertrag und einer Frist für die Übergabe bei Vertragsende von maximal 14 Tagen. Siebte Frage: Wo werden die Daten gehostet, und wer hat Zugriff? Für Mandanten mit EU-Datenresidenz-Anforderung muss die Plattform in der EU hosten und die Subprozessor-Liste offenlegen. CIVAC nutzt EU-Datenresidenz und übergibt bei Vertragsende einen vollständigen Export aller Mandantenunterlagen, inklusive Audit-Trail. Die Übersicht aller CIVAC-Beauftragtenrollen zeigt, welche zusätzlichen Rollen sich im selben Workspace bündeln lassen, was bei mehreren Compliance-Themen erhebliche Effizienzgewinne ergibt.

Der Preis für einen externen Datenschutzbeauftragten im Mittelstand entscheidet sich nicht an der Pauschale, sondern an der Frage, ob die Bestellung im Prüfungsfall hält. Eine Bestellurkunde nach § 38 BDSG, eine Meldung an die Aufsichtsbehörde, ein gepflegtes Verzeichnis nach Art. 30 DSGVO, eine dokumentierte jährliche Schulung mit Teilnehmerliste und ein nachweisbarer 72-Stunden-Meldepfad nach Art. 33 DSGVO bilden den Kern. Wer 600 Euro im Monat zahlt und diese fünf Bausteine in dokumentierter, abrufbarer Form vorliegen hat, ist besser aufgestellt als ein Unternehmen, das 1.500 Euro zahlt und im Audit nur Excel-Dateien und E-Mail-Threads vorzeigen kann. Struktur schlägt Beratungsstunden, wenn der Prüfer schriftliche Nachweise sehen will.

CIVAC ist eine deutsche Compliance-Plattform und Officer-as-a-Service. Wir bieten den externen Datenschutzbeauftragten in zwei Modellen. Im Plattform-Modell lizenzieren Sie den Workspace, behalten Ihren internen DSB und nutzen 37 Audit-Vorlagen, die 93 Controls nach ISO/IEC 27001:2022, die EU-Datenresidenz und den 72-Stunden-Meldepfad. Im Service-Modell bestellt CIVAC zusätzlich eine benannte natürliche Person als externen DSB, mit Bestellurkunde innerhalb von zwei Werktagen statt der branchenüblichen zwei bis sechs Wochen. Beide Modelle sind kombinierbar mit weiteren Beauftragtenrollen, etwa Informationssicherheit, Compliance oder Geldwäscheprävention.

Wenn Sie für Ihren Mittelstandsbetrieb einen marktgerecht kalkulierten externen DSB suchen, lassen Sie sich von uns ein Angebot mit konkreten Leistungspositionen erstellen, das nach den sieben Auswahlfragen oben strukturiert ist. Der Prüfer ruft an, der Nachweis liegt bereit. Senden Sie eine kurze Anfrage an info@civac.de oder über das Kontaktformular auf civac.de mit Angabe Ihrer Mitarbeiterzahl und Branche. Wir antworten innerhalb eines Werktages mit einer ersten Indikation und einem Vorschlag für ein 30-minütiges Erstgespräch zur Bedarfsklärung. Aus dem Lesen einen Auftrag machen.