DSB-Software: Was ein Datenschutzbeauftragter heute wirklich braucht

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO in Verbindung mit § 38 BDSG. Beide Vorschriften sagen, wer benannt werden muss. Sie sagen nichts darüber, mit welcher Software der Beauftragte arbeitet. Genau hier beginnt das operative Risiko. Ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO in Excel ist formal zulässig, in der Prüfsituation aber selten belastbar. Aufsichtsbehörden fragen nach Versionsständen, nach Freigaben, nach dokumentierten Risiko-Bewertungen und nach Meldepfaden binnen 72 Stunden gemäß Art. 33 DSGVO. Ein Tabellenblatt liefert diese Beweislage nicht in den geforderten Minuten.

Dieser Beitrag ordnet den Markt für DSB-Software entlang der gesetzlichen Pflichten. Er zeigt, welche Module wirklich Pflicht sind, welche Komfort bedeuten und woran sich eine prüffeste Plattform erkennen lässt. CIVAC betreibt eine deutsche Compliance-Plattform und Officer-as-a-Service. Sie lizenzieren den Workspace für Ihre internen Beauftragten, oder Sie lassen unsere Beauftragten bestellen. Beide Wege führen zur selben Pflicht-Tabelle: Verzeichnis, Folgenabschätzung, Schulung, Bericht, Meldung. Die Frage ist nur, wie weit Ihre Plattform diese Spalten heute schon trägt und wie sauber die Bestellurkunde, unterschrieben, abgelegt, belegbar dahinter steht. Wer den Unterschied erkennt, spart sich nicht nur Bußgeld-Risiko nach Art. 83 DSGVO, sondern Wochen im Audit-Fall.

Eine Plattform für den Datenschutzbeauftragten ist Werkzeug, nicht Pflichtgegenstand. Die DSGVO kennt keinen Software-Paragraphen. Sie kennt aber Pflichten, die ohne Software kaum noch belastbar erfüllbar sind. Art. 30 DSGVO verlangt ein vollständiges Verzeichnis von Verarbeitungstätigkeiten mit Zweck, Rechtsgrundlage, Datenkategorien, Empfängern, Löschfristen und technisch-organisatorischen Maßnahmen. Art. 35 DSGVO verlangt für risikoreiche Verarbeitungen eine Datenschutz-Folgenabschätzung mit Beschreibung, Bewertung, Abhilfemaßnahmen und Konsultation der Aufsicht. Art. 33 DSGVO verlangt die Meldung von Verletzungen des Schutzes personenbezogener Daten binnen 72 Stunden, ab Kenntnis. Frist läuft ab Kenntnis.

Dazu treten § 38 BDSG mit dem Schwellenwert von 20 Beschäftigten in ständiger automatisierter Verarbeitung, Art. 38 DSGVO mit der Berichtslinie direkt an die oberste Leitungsebene und Art. 39 DSGVO mit dem Aufgabenkatalog aus Unterrichtung, Beratung, Überwachung, Schulung und Kontaktstelle für die Aufsicht. Eine DSB-Software, die diese Spalten nicht hat, ist eine Adressliste, kein Compliance-System. CIVAC bildet jede Pflicht-Spalte als eigene Akte ab, mit Freigabe-Logik, Versionsstand und unveränderbarem Audit-Trail. Wer den externen Datenschutzbeauftragten über CIVAC bestellt, erhält die gleiche Plattform, jetzt mit einem Beauftragten am anderen Ende der Tabelle.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Diese Trennung zwischen Aktenführung und Steuerung entscheidet im Prüfgespräch, ob der Nachweis innerhalb von Minuten oder erst nach Wochen vorliegt. Sie entscheidet auch, ob Schulungsnachweise, AV-Verträge und Lösch-Konzepte in dieselbe Akte gehören oder in fünf parallele Systeme zerfallen. Letzteres ist der Regelfall in deutschen Mittelstandsunternehmen, ersteres die Grundlage einer belastbaren Datenschutz-Organisation, an der eine Aufsicht keinen Ansatzpunkt findet.

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist der häufigste Prüfungsgegenstand. Aufsichtsbehörden in Bayern, Baden-Württemberg und Nordrhein-Westfalen veröffentlichen seit 2024 jährliche Tätigkeitsberichte, in denen Unvollständigkeit des VVT regelmäßig zu den drei häufigsten Beanstandungen zählt. Eine taugliche DSB-Software muss daher pro Verarbeitung mindestens vierzehn Felder erfassen: Bezeichnung, Verantwortlicher, gemeinsam Verantwortliche, Auftragsverarbeiter nach Art. 28, Zweck, Rechtsgrundlage, betroffene Personen, Datenkategorien, Empfänger, Drittlandstransfer mit Schutzmaßnahme, Löschfristen, technische Maßnahmen, organisatorische Maßnahmen, Risiko-Klasse.

In der Praxis kommen Pflichtfelder aus § 26 BDSG für Beschäftigtendaten und aus dem TTDSG hinzu, sobald Cookies, Tracking oder Newsletter im Spiel sind. Eine Tabelle in Excel erfüllt formal die Pflicht. Sie scheitert in der Praxis an drei Stellen: an der Versionierung, an differenzierten Zugriffsrechten und an der Verknüpfung mit der Folgenabschätzung sowie dem Lösch-Konzept. CIVAC verknüpft jedes VVT-Item automatisch mit der dazugehörigen Datenschutz-Folgenabschätzung, dem AV-Vertrag, dem Lösch-Konzept und der Risiko-Bewertung. Wenn der Prüfer fragt, wo das VVT für die Personalplattform liegt, öffnet sich ein einzelner Eintrag mit allen Querverweisen.

Der Prüfer ruft an, der Nachweis liegt bereit. Diese Verknüpfungslogik unterscheidet eine Compliance-Plattform von einer Tabellenkalkulation. Ohne sie wird jeder Audit zur Schnitzeljagd zwischen Sharepoint, Vertragsordner und Mail-Postfach. Hinzu kommt die Pflege-Routine: Neue Verarbeitungen müssen erfasst, alte deaktiviert, geänderte versioniert werden. CIVAC erzeugt für jede Verarbeitung einen Stammdatensatz mit definierter Verantwortlichkeit, automatischen Erinnerungen zur Pflege und einem Audit-Bericht, der per Knopfdruck im Format der Aufsichtsbehörden exportiert wird. Wer einmal in einem Aufsichtsverfahren gesehen hat, wie ein VVT-Export aus Excel mit zehn Tabs gegen einen strukturierten Plattform-Export antritt, kennt den Unterschied.

Art. 35 DSGVO verlangt eine Folgenabschätzung immer dann, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Die Aufsichtsbehörden haben Listen veröffentlicht, in denen Verarbeitungen kategorisiert sind, die zwingend eine DSFA auslösen: systematische Überwachung, biometrische Daten, Profiling mit rechtlicher Wirkung, automatisierte Personalentscheidungen, KI-gestützte Bewerber-Auswahl und Tracking über mehrere Dienste hinweg. Wer Microsoft 365 in der EU einsetzt, kommt an einer DSFA praktisch nicht vorbei. Wer ein KI-System nach EU AI Act als Hochrisiko klassifiziert, ebenfalls nicht. Auch der Einsatz von Cloud-Telefonie, Outbound-Marketing-Tools und CRM-Systemen mit Lead-Scoring fällt regelmäßig unter die DSFA-Pflicht.

Eine DSB-Software muss die DSFA in vier Schritten führen: Beschreibung der Verarbeitung, Bewertung von Notwendigkeit und Verhältnismäßigkeit, Risiko-Bewertung mit Eintrittswahrscheinlichkeit und Schadenhöhe, Maßnahmen zur Abhilfe. Das Ergebnis ist kein Word-Dokument. Es ist eine versionierte Akte, in der jede Iteration mit Zeitstempel, Bearbeiter und Freigabe nachvollziehbar ist. CIVAC liefert hierfür 37 einsatzbereite Audit-Vorlagen, davon mehrere für die DSFA, abgestimmt auf die Standard-Methodik des BSI und der Konferenz der unabhängigen Datenschutzaufsichtsbehörden, kurz DSK. Audit-fest, dokumentiert, Art. 35-fest. Die Vorlagen unterscheiden zwischen Bestands- und Neuverarbeitungen, sodass der Prüfaufwand für laufende Systeme deutlich geringer ausfällt als für Neueinführungen.

Wer den externen DSB über CIVAC mandatiert, erhält die DSFA als Auftragsergebnis mit unterschriebenem Prüfvermerk. Wer den Workspace nur lizenziert, führt die DSFA selbst, aber im selben System, mit denselben Vorlagen und derselben Beweislage. Erfahrung aus zahlreichen Mandaten zeigt: Die häufigste Schwachstelle ist nicht die initiale DSFA, sondern die Folge-Pflege. Eine DSFA, die bei einer Systemänderung nicht aktualisiert wird, verliert ihre Aussagekraft binnen Monaten. Eine Plattform mit Trigger-Logik zwingt zur Re-Bewertung bei jedem relevanten Stammdaten-Update und schließt diese typische Lücke automatisch. Damit reduziert sich auch das Haftungsrisiko der Geschäftsleitung nach § 130 OWiG erheblich.

Die Meldepflicht nach Art. 33 DSGVO ist die operativ schärfste Bestimmung der gesamten Verordnung. Sobald eine Verletzung des Schutzes personenbezogener Daten dem Verantwortlichen bekannt wird, beginnt die 72-Stunden-Frist. Verspätung muss begründet werden. Aufsichtsbehörden veröffentlichen regelmäßig Bußgelder im sechsstelligen Bereich, in denen die Verspätung allein, ohne Datenleck-Folge, der Tatbestand war. Eine DSB-Software muss daher einen klaren Meldepfad abbilden: Eingang, Klassifikation, Eskalation, Meldung an die zuständige Aufsicht, Information der Betroffenen nach Art. 34 DSGVO und eine lückenlose Dokumentation aller Schritte. Jeder Schritt erhält einen Zeitstempel, eine Verantwortlichkeit und eine Beweisspur.

Praktisch heißt das: ein definiertes Postfach, eine Triage-Logik, vorbereitete Meldeformulare für die zuständigen Landesbehörden, ein Eskalationsschema mit Erreichbarkeitszeiten und ein revisionssicheres Protokoll. CIVAC implementiert diesen Pfad direkt im Workspace und übernimmt ihn im Officer-as-a-Service-Modell mit einer SLA von 2 Werktagen für die Erstreaktion und einer 24-Stunden-Bereitschaft im akuten Meldepfad. Wer den Workspace lizenziert, sieht denselben Pfad und kann ihn selbst pflegen. Frist läuft ab Kenntnis. Diese vier Worte ersetzen jede Schulungsfolie, weil sie die operative Frage präzise definieren.

Wer eine Verletzung erst vier Tage später entdeckt, hat noch immer 72 Stunden, aber ab dem Zeitpunkt der Entdeckung. Diese Unterscheidung wird in Excel-Listen regelmäßig nicht sauber dokumentiert. In einer Plattform mit Zeitstempel und unveränderbarem Audit-Trail ist sie nicht verhandelbar. Wer auf NIS-2 betroffen ist, hat eine zusätzliche 24-Stunden-Frühwarnung plus 72-Stunden-Folgemeldung, der Datenschutz-Meldepfad überschneidet sich, ist aber nicht identisch. CIVAC verzahnt beide Meldepfade in einer einzigen Triage, sodass eine Datenpanne, die zugleich ein Sicherheitsvorfall ist, nicht zweimal von Hand klassifiziert werden muss. Diese Verzahnung ist im Stresstest des Ernstfalls der kritische Hebel und reduziert die Risiken aus paralleler Berichterstattung.

Art. 38 Abs. 3 DSGVO verlangt, dass der Datenschutzbeauftragte unmittelbar der höchsten Managementebene berichtet. § 38 BDSG ergänzt, dass die Bestellung in Textform erfolgt. Beides klingt formal, hat aber harte operative Konsequenzen. Wer den DSB an die IT-Leitung anbindet, verstößt gegen die Berichtslinie. Wer die Bestellung mündlich oder per Mail-Notiz erteilt, hat keinen belastbaren Pflicht-Nachweis. Aufsichtsbehörden prüfen in jedem zweiten Verfahren zunächst die Bestellurkunde, dann die Berichtslinie und schließlich die Erreichbarkeit des Beauftragten gegenüber Betroffenen und Aufsicht. Eine fehlende oder formal mangelhafte Bestellung ist nicht nur ein Nachweis-Problem, sondern ein eigenständiger Bußgeldtatbestand.

Eine DSB-Software muss diese Trias abbilden. Bestellurkunde mit Datum, Unterschrift und Aufgabenkatalog nach Art. 39 DSGVO. Berichtslinie mit Eskalationsweg, Eskalationsfrequenz und Berichts-Vorlagen. Erreichbarkeitsdaten in Impressum, Datenschutz-Information und gegenüber der Aufsicht. CIVAC erzeugt die Bestellurkunde im Workspace, lässt sie elektronisch signieren und legt sie revisionssicher in der Compliance-Akte ab. Bestellurkunde, unterschrieben, abgelegt, belegbar. Im Officer-as-a-Service-Modell stellt CIVAC den Beauftragten und übernimmt die Bestellung mit Vertragslaufzeit, Vertretungsregelung und Kontaktdaten gegenüber der zuständigen Aufsichtsbehörde.

Die FAQ-Sammlung beantwortet die häufigsten Detail-Fragen zur Bestellung, zur Abberufung und zum Wechsel zwischen interner und externer Lösung. Beide Modelle nutzen dieselbe Akte, dieselben Vorlagen, dieselbe Versionierung. Wer einmal die Berichtslinie sauber eingerichtet hat, profitiert von vorgefertigten Quartalsberichten, automatischen Eskalations-Erinnerungen und einer revisionssicheren Ablage. Das erspart Geschäftsführungen den Reflex, einmal jährlich ein PDF anzufordern, ohne den Empfang zu quittieren. Stattdessen entsteht eine fortlaufende Dokumentation, die im Aufsichtsverfahren als Beweismittel taugt und in Haftungs-Verfahren nach § 130 OWiG den Nachweis ordnungsgemäßer Organisation erleichtert.

Datenschutz steht nicht allein. Wer ein Verarbeitungsverzeichnis pflegt, pflegt indirekt die Asset-Liste für ein Informationssicherheits-Managementsystem nach ISO/IEC 27001:2022. Wer eine DSFA durchführt, berührt die Risiko-Methodik der NIS-2-Richtlinie. Wer KI-Systeme einsetzt, muss die Pflichten der DSGVO, insbesondere Art. 22 zu automatisierten Entscheidungen, mit den Pflichten des EU AI Act zur Risikoklassifizierung und Konformitätsbewertung verzahnen. Eine DSB-Software, die nur Datenschutz kennt, schafft Doppelarbeit. Eine Plattform, die DSB, ISB und Compliance-Beauftragten unter einer Akte versammelt, spart Wege und verhindert widersprüchliche Aussagen gegenüber unterschiedlichen Aufsichtsbehörden.

CIVAC führt alle 25 Beauftragten-Rollen in einem Workspace. Der Datenschutzbeauftragte sieht das VVT. Der Informationssicherheitsbeauftragte sieht dieselben Assets im ISMS-Kontext, jetzt mit 93 Controls nach ISO 27001:2022 verknüpft. Der Compliance-Beauftragte sieht beide Sichten und kann Pflichten aus § 130 OWiG ableiten. Wer NIS-2 betroffen ist, nutzt den 24/72-Meldepfad nicht doppelt, sondern einmal. Wer zugleich ESG- oder Lieferketten-Pflichten erfüllt, profitiert vom selben Datenpool.

Die rund 29.500 NIS-2-betroffenen Unternehmen in Deutschland stehen 2026 vor der Wahl: drei Tools, drei Rechnungen, drei Audit-Spuren oder eine Plattform. CIVAC liefert die zweite Variante mit EU-Datenresidenz und deutscher Rechtsgrundlage. Diese Bündelung ist nicht Komfort, sondern reduziert die Wahrscheinlichkeit, dass ein Aufsichtsverfahren in zehn Quellen sucht, statt in einer Akte zu finden. Sie reduziert auch den Aufwand bei Audit-Vorbereitung und Lieferanten-Anfragen, die in mittelständischen Unternehmen typischerweise drei bis fünf Beauftragte zugleich betreffen. Die Praxis zeigt: Verzahnte Akten halten Audit-Druck besser stand als nebeneinanderlaufende Insellösungen. Sie reduzieren zudem die Lizenz-Gesamtkosten und ermöglichen eine konsolidierte Berichterstattung an die Geschäftsleitung.

Der Markt für Datenschutz-Software ist unübersichtlich. Anbieter reichen vom Excel-Add-on bis zur Enterprise-GRC-Plattform mit sechsstelligen Lizenzkosten. Sieben Kriterien trennen Werkzeug von Plattform. Erstens: EU-Datenresidenz mit nachvollziehbarem Hosting-Standort. Server in den USA sind seit dem Schrems-II-Urteil ohne EU-US Data Privacy Framework und ohne ergänzende Garantien nicht tragfähig. Zweitens: Versionierung und unveränderbarer Audit-Trail über alle Pflicht-Dokumente. Drittens: vollständige Abdeckung der Pflicht-Module VVT, DSFA, Meldepfad, AV-Verträge, Lösch-Konzept, Schulung und Bericht in einem System.

Viertens: eine Vorlagen-Bibliothek, die auf deutscher Aufsichtspraxis und DSK-Beschlüssen basiert, nicht auf internationalen Templates. Fünftens: Integration mit IT-Sicherheit nach ISO 27001:2022 und Compliance-Management nach § 130 OWiG, damit Doppelpflege entfällt. Sechstens: Möglichkeit, externe Beauftragte einzubinden, ohne das System wechseln zu müssen. Siebtens: transparente SLA und ein klar benannter Ansprechpartner mit deutschsprachiger Erreichbarkeit. Diese sieben Punkte lassen sich in einer Anbieter-Demo systematisch abprüfen.

CIVAC erfüllt alle sieben Kriterien und bietet zusätzlich das Officer-as-a-Service-Modell, in dem die Plattform mit einem externen Beauftragten kombiniert wird. Die SLA liegt bei 2 Werktagen für die Erstreaktion. Klassische externe DSB-Mandate kommen häufig auf 2 bis 6 Wochen. Wer diese Differenz auf ein Jahr hochrechnet, sieht den Unterschied zwischen Aktenschrank und Software, nicht in Marketing-Sprache, sondern in Tagen. Auch die Möglichkeit, zwischen Lizenz- und Beauftragten-Modell zu wechseln, ohne Daten migrieren zu müssen, ist in der Marktrecherche der entscheidende Hebel. Ein achter, oft übersehener Punkt: Wer eine Plattform wählt, sollte vorher klären, wem die Daten gehören, wenn das Mandat endet. Die Antwort darf nur lauten: dem Mandanten, vollständig, ohne Lock-in und ohne Restbestände beim Dienstleister.

Aus den Tätigkeitsberichten der Aufsichtsbehörden lassen sich wiederkehrende Muster ableiten. Erstens: Das VVT wird einmal erstellt und nicht gepflegt. Neue Verarbeitungen tauchen nicht auf, alte werden nicht abgeschaltet. Zweitens: Die DSFA wird als Word-Dokument geführt und ist beim nächsten Audit nicht mehr auffindbar. Drittens: Der Meldepfad existiert nur in den Köpfen der Beteiligten, nicht in einer Software, mit dem Ergebnis, dass die 72-Stunden-Frist überschritten wird. Viertens: Der Bericht an die Geschäftsleitung erfolgt einmal jährlich als PDF, ohne dass die Geschäftsleitung den Empfang quittiert. Diese vier Fehlerklassen tauchen in nahezu jedem zweiten Aufsichtsverfahren auf, das in den Tätigkeitsberichten dokumentiert ist.

Fünftens: AV-Verträge werden nicht zentral verwaltet, sondern liegen in Vertragsordnern. Sechstens: Schulungen werden über externe Lernplattformen abgewickelt, ohne dass die DSB-Software die Teilnahmequote sieht. Siebtens: Die Bestellurkunde liegt nicht vor, sondern wird im Audit-Fall erst nachgereicht. Jeder dieser Fehler hat einen einfachen Lösungspfad: Pflicht-Modul in einer Plattform, Versionierung, automatische Erinnerungen, eine Akte pro Verarbeitung mit allen Querverweisen. Wer diese Punkte nicht von Hand abarbeiten will, braucht ein System mit Trigger-Logik statt einer Sammlung von Excel-Tabs.

CIVAC liefert genau dieses Bündel im Workspace. Im Officer-as-a-Service-Modell übernimmt der externe DSB die Pflege und reportet quartalsweise an die Geschäftsleitung mit unterschriebenem Bericht und Eingangsquittung. Audit-fest, dokumentiert, § 38-fest. Wer diese Routine etabliert, verkürzt seine Audit-Reaktion von Wochen auf Stunden und reduziert das Bußgeld-Risiko nach Art. 83 DSGVO substanziell. Die häufigsten Fehler sind weniger inhaltlich als prozessual. Nicht das Wissen fehlt, sondern die Routine. Eine Plattform, die diese Routine erzwingt, verhindert die meisten Beanstandungen, bevor sie entstehen, und liefert den Nachweis ohne Vorlaufzeit ab dem Tag der Inbetriebnahme.

Wer bis hierhin gelesen hat, hat zwei Optionen vor sich. Erstens: Sie bestellen oder behalten Ihren internen Datenschutzbeauftragten und stellen ihm einen Workspace zur Verfügung, in dem er VVT, DSFA, Meldepfad, Bestellurkunde, Berichtslinie und Schulungen führt. Zweitens: Sie mandatieren CIVAC als externen Datenschutzbeauftragten und lassen Plattform und Beauftragten als Paket bestellen. Beide Modelle laufen auf derselben deutschen Infrastruktur mit EU-Datenresidenz, beide nutzen 37 Audit-Vorlagen, beide bilden die 72-Stunden-Frist nach Art. 33 DSGVO sauber ab.

Der nächste Schritt ist immer derselbe: ein 30-minütiges Gespräch, in dem die Pflichten geklärt werden. Welche Verarbeitungen liegen vor? Gibt es eine Bestellpflicht nach § 38 BDSG? Welche DSFA steht aus? Wie sieht die heutige Berichtslinie aus? Welche Tools sind im Einsatz, welche Verträge bestehen? Nach diesem Gespräch erhalten Sie ein Angebot mit Festpreis, Vertragslaufzeit von 12 Monaten und einer SLA von 2 Werktagen. Wer den Workspace bevorzugt, erhält Zugang innerhalb von zwei Werktagen. Wer den Beauftragten mandatiert, erhält die Bestellurkunde im selben Zeitraum.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular und die FAQ-Sammlung unter civac.de/de/faq. Aus dem Lesen einen Auftrag machen. Wer sich für den Workspace entscheidet, kann ihn jederzeit um einen externen Beauftragten erweitern. Wer mit dem Officer-as-a-Service startet, behält die Plattform, wenn er später eine eigene Beauftragten-Stelle besetzt. Diese Reversibilität ist die wichtigste Entscheidung, die Sie beim Tool-Kauf treffen, denn Datenschutz-Pflichten enden nicht, sie verändern nur ihre Form mit dem Unternehmen.