DSGVO-Beratung 2026: Was Unternehmen wirklich brauchen statt Vorlagen

Die Datenschutz-Grundverordnung gilt seit dem 25. Mai 2018, doch die operative Umsetzung in Unternehmen bleibt 2026 die größte Schwachstelle. Aufsichtsbehörden in Deutschland haben laut den Tätigkeitsberichten der Landesdatenschutzbeauftragten 2023 und 2024 die Sanktionspraxis spürbar verschärft. Bußgelder nach Art. 83 DSGVO erreichen bis zu 20 Mio. Euro oder 4 % des weltweiten Konzernumsatzes. Hinzu kommt das persönliche Haftungsrisiko der Geschäftsführung nach § 130 OWiG, wenn Aufsichtspflichten verletzt werden. Eine DSGVO-Beratung, die nur Mustertexte liefert, schließt diese Lücke nicht. Sie bindet Budget, ohne den entscheidenden Nachweis zu erzeugen.

Dieser Beitrag erklärt, was eine wirksame DSGVO-Beratung im Jahr 2026 leisten muss, wie sich seriöse Anbieter von Vorlagen-Verkäufern unterscheiden und an welchen sieben Artefakten Sie eine prüffeste Umsetzung erkennen. CIVAC begleitet als Compliance-Plattform und Officer-as-a-Service den gesamten Pfad von der Bestandsaufnahme über die Bestellung bis zur jährlichen Audit-Schleife. Sie lesen, woran Sie ein belastbares Mandat erkennen, welche Kostenmodelle marktüblich sind und wie sich Beratung in einen dauerhaften Datenschutzbetrieb übersetzen lässt. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, je nachdem, welches Modell zu Ihrer Struktur passt. Der Text adressiert Geschäftsführungen, Datenschutzkoordinatoren und IT-Leitungen, die zwischen interner Aufstellung, externer Bestellung und einer hybriden Lösung wählen.

Die Anforderungen an eine Datenschutzberatung haben sich seit 2018 deutlich verändert. Die reine Erstberatung mit einem Mustervertrag, einem Verfahrensverzeichnis aus dem Internet und einer Datenschutzerklärung reicht nicht mehr aus. Aufsichtsbehörden verlangen heute den Nachweis eines gelebten Datenschutzmanagements. Das Bayerische Landesamt für Datenschutzaufsicht hat im Tätigkeitsbericht 2024 ausdrücklich darauf hingewiesen, dass die bloße Existenz von Dokumenten nicht ausreicht, sondern Aktualität, Rollenklarheit und Wirksamkeit nachzuweisen sind. Auch die Datenschutzkonferenz hat in ihren Beschlüssen 2024 die Erwartung formuliert, dass Verantwortliche eine kontinuierliche Bewertung ihrer Verarbeitungen vorhalten und Änderungen zeitnah nachziehen.

Eine vollständige DSGVO-Beratung im Jahr 2026 deckt mindestens sieben Aufgabenfelder ab. Erstens die Bestellung eines internen oder externen Datenschutzbeauftragten mit Bestellurkunde nach Art. 37 DSGVO und § 38 BDSG. Zweitens das Verarbeitungsverzeichnis nach Art. 30 DSGVO, getrennt für Verantwortlichen und Auftragsverarbeiter. Drittens die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO inklusive Risikobewertung. Viertens die Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO mit allen Dienstleistern. Fünftens ein dokumentierter Prozess für Betroffenenrechte nach Art. 15 bis 22 DSGVO. Sechstens der 72-Stunden-Meldepfad nach Art. 33 DSGVO mit klarer Eskalationskette. Siebtens jährliche Schulungen und ein nachweisbares Schulungsregister mit individuellen Teilnahmenachweisen.

Erst wenn diese sieben Bausteine in einem prüffesten Zustand vorliegen, ist die Beratung abgeschlossen. Alles davor ist Vorarbeit. CIVAC stellt die zugehörigen Vorlagen, Workflows und Berichtslinien zentral im Workspace bereit, sodass jede Maßnahme eine prüfbare Spur hinterlässt. Wer mit Word-Dokumenten in geteilten Laufwerken arbeitet, verliert die Versionierung und damit die Nachweisfähigkeit. Wer mit einer strukturierten Plattform arbeitet, gewinnt eine durchsuchbare Historie, die im Audit unmittelbar belastbar ist und Verantwortlichkeiten je Verarbeitung sauber zuweist.

Die Wahl des Beratungsmodells hängt von Unternehmensgröße, Branche und vorhandenen Ressourcen ab. Drei Konstellationen sind in der Praxis verbreitet. Die interne Beratung mit angestelltem Datenschutzbeauftragten lohnt sich ab etwa 200 Beschäftigten und in Branchen mit hohen Verarbeitungsrisiken wie Gesundheit, Versicherung oder Finanzdienstleistung. Sie erfordert allerdings kontinuierliche Fortbildung, eine belastbare Vertretungsregelung und ein realistisches Zeitbudget. Wer einer IT-Leitung den Datenschutz nebenbei zuweist, verstößt regelmäßig gegen Art. 38 Abs. 6 DSGVO, weil die Person Aufgaben prüft, an deren Umsetzung sie selbst beteiligt ist. Die externe Beratung mit bestelltem externen Datenschutzbeauftragten ist deshalb die gewählte Variante im Mittelstand zwischen 20 und 500 Beschäftigten. Sie sichert Unabhängigkeit nach Art. 38 Abs. 3 DSGVO und vermeidet Interessenkonflikte mit IT- oder HR-Leitung.

Das dritte Modell ist das hybride: ein interner Ansprechpartner übernimmt operative Routinen wie Eingang von Betroffenenanfragen oder erste Sichtung von AV-Verträgen, der externe Beauftragte trägt formale Verantwortung, führt Audits durch und betreut Behördenkontakte. CIVAC unterstützt alle drei Modelle. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Wege führen zur gleichen Plattform, denselben 37 Audit-Vorlagen und derselben Berichtslinie an die Geschäftsführung. Der Wechsel zwischen den Modellen ist im laufenden Betrieb möglich, weil die Datenbasis im Workspace mandantenfähig bleibt.

Ein verbreiteter Fehler ist die Doppelbestellung durch IT-Dienstleister, die zugleich Auftragsverarbeiter sind. Das verstößt regelmäßig gegen die Unabhängigkeit nach Art. 38 DSGVO und führt im Prüfungsfall zu Beanstandungen. Eine seriöse Beratung weist hierauf hin und legt die Rollenmatrix offen. Wer beraten, prüfen und entscheiden in einer Hand vereint, schafft kein Vier-Augen-Prinzip, sondern ein Compliance-Risiko mit Ansage. Klären Sie deshalb vor der Mandatierung, welche Rollen Ihr Anbieter sonst noch in Ihrem Haus innehat.

Eine belastbare Beratung lässt sich an sieben Artefakten ablesen, die am Ende des ersten Beratungszyklus vorliegen müssen. Erstens die Bestellurkunde des Datenschutzbeauftragten mit Datum, Unterschrift und Meldung an die Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO. Zweitens das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO mit allen Pflichtangaben, einschließlich Empfänger in Drittländern und Löschfristen. Drittens das TOM-Register nach Art. 32 DSGVO, das Maßnahmen pro Verarbeitungstätigkeit dokumentiert, nicht pauschal pro Unternehmen. Ein häufiges Beratungsdefizit ist genau diese Vermengung: pauschale TOM-Listen wirken erschöpfend, sind im Ernstfall jedoch nicht belastbar, weil sie keine Verbindung zu konkreten Verarbeitungen herstellen.

Viertens die Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO mit allen Dienstleistern, ergänzt um Standardvertragsklauseln und Transfer Impact Assessments bei Drittlandstransfers nach dem EuGH-Urteil Schrems II. Fünftens ein Prozess für Betroffenenrechte nach Art. 12 bis 22 DSGVO mit Eingangskanal, Fristenüberwachung und Antwortvorlagen. Sechstens der Meldepfad für Datenpannen mit der 72-Stunden-Frist aus Art. 33 DSGVO und der Benachrichtigung der Betroffenen nach Art. 34 DSGVO. Frist läuft ab Kenntnis. Siebtens ein Schulungsregister mit jährlichen Auffrischungen für alle Beschäftigten mit Datenzugang und differenzierten Inhalten für besondere Rollen wie HR, Vertrieb oder IT-Administration.

Diese sieben Artefakte sind die Mindestausstattung. Sie werden im CIVAC-Workspace zentral abgelegt, versioniert und mit Bestellurkunde, unterschrieben, abgelegt, belegbar verknüpft. Wenn der Prüfer anruft, liegt der Nachweis bereit. Eine Beratung, die diese Artefakte nicht binnen 90 Tagen liefern kann, hat keinen ausreichenden operativen Fokus. Verlangen Sie deshalb bereits im Angebotsprozess eine Lieferzusage je Artefakt mit klaren Verantwortlichkeiten und Lieferterminen. Eine seriöse Beratung wird diese Zusage geben.

Der deutsche Markt für DSGVO-Beratung kennt drei dominante Vergütungsmodelle. Das erste ist die monatliche Pauschale mit definiertem Leistungsumfang, üblich bei externen Datenschutzbeauftragten. Marktüblich sind 950 bis 2.400 Euro pro Monat bei mittelständischen Unternehmen zwischen 30 und 250 Beschäftigten. Die Pauschale umfasst meist Bestellung, jährliche Berichterstattung, Behördenkontakt, Schulung, AV-Prüfung und eine begrenzte Beratungszeit. Das zweite Modell ist die Projektberatung mit Stundensatz, marktüblich 180 bis 320 Euro netto, abgerechnet im 15-Minuten-Takt. Das dritte Modell ist der Implementierungsfestpreis für die initiale Aufstellung, häufig zwischen 6.000 und 18.000 Euro für eine vollständige Erstaufstellung mit allen sieben Pflichtartefakten.

Eine Erfolgskomponente, etwa eine Quote auf eingesparte Bußgelder, ist nach der berufsrechtlichen Praxis von Rechtsanwälten und Datenschutzberatern nicht zulässig und wäre auch standesrechtlich problematisch. Seriöse Anbieter rechnen leistungsbezogen ab. Achten Sie auf klare Leistungsabgrenzungen: Was umfasst die Pauschale, wo beginnt das gesonderte Projektgeschäft, welche Reaktionszeiten sind vereinbart, wer übernimmt Schulungen und in welcher Form? Verträge, die diese Punkte offenlassen, führen im Betrieb regelmäßig zu Nachverhandlungen und Streit über den Leistungsumfang. Gleiches gilt für Sonderaufwände bei Datenpannen, in denen schnelle Reaktion verlangt ist.

CIVAC arbeitet mit einer transparenten Lizenz für den Workspace und einer separaten Bestellpauschale für die Officer-as-a-Service-Variante. Die Preislogik ist öffentlich dokumentiert und enthält keine versteckten Pauschalen für Standard-Audit-Schritte. Das CIVAC-SLA von 2 Werktagen ersetzt das klassische Antwortfenster von 2 bis 6 Wochen, das in vielen Beratungsverträgen noch akzeptiert wird. Vergleichen Sie deshalb nicht Stundensätze, sondern Vertragsleistungen, Reaktionszeiten und die Liefertiefe der Pflichtartefakte. Wer den Jahres-Cashflow im Blick behält, denkt vom Ergebnis her, nicht vom Aufwand. Eine Pauschale, die in der dritten Datenpanne plötzlich Aufschläge kennt, ist keine Pauschale, sondern eine Stundenrechnung mit Marketing-Etikett.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO und § 38 BDSG. Drei Tatbestände lösen sie aus. Erstens, wenn mindestens 20 Personen ständig automatisiert mit personenbezogenen Daten umgehen. Zweitens, wenn die Kerntätigkeit in einer umfangreichen regelmäßigen und systematischen Überwachung von Betroffenen besteht, beispielsweise bei Trackinganbietern, Sicherheitsdienstleistern oder Plattformanbietern mit Nutzerprofilen. Drittens, wenn umfangreich besondere Kategorien nach Art. 9 DSGVO oder Daten zu strafrechtlichen Verurteilungen verarbeitet werden, was etwa Arztpraxen, Apotheken, Sozialdienste und Pflegeeinrichtungen betrifft.

Wer die Schwelle nicht erreicht, kann freiwillig bestellen. Die freiwillige Bestellung führt nach herrschender Auffassung in der Aufsichtspraxis dazu, dass dieselben Rechte und Pflichten gelten wie bei der gesetzlichen Bestellung. Das ist wirtschaftlich relevant, weil eine freiwillige Bestellung nicht ohne Weiteres reversibel ist. Die Bestellung muss schriftlich erfolgen und an die zuständige Aufsichtsbehörde gemeldet werden. Die Meldung enthält Name, Kontaktdaten und Tätigkeitsbeschreibung. Eine fehlende Meldung wird in Prüfungen regelmäßig beanstandet und ist eines der häufigsten formalen Fehler in mittelständischen Aufstellungen.

Die Wahl zwischen interner und externer Bestellung ist eine Frage der Unabhängigkeit, Verfügbarkeit und Spezialisierung. Externe Beauftragte bringen Branchenerfahrung, sind vor Kündigungsschutz nach § 6 Abs. 4 BDSG geschützt und vermeiden Interessenkonflikte. CIVAC stellt für beide Modelle die Bestellurkunde, die Meldung an die Aufsichtsbehörde und die Berichtslinie an die Geschäftsführung im Workspace bereit. Audit-fest, dokumentiert, § 38 BDSG-fest. Eine Bestellung ohne dieses Set ist nicht prüfungssicher. Wer die Bestellung als reines Papier behandelt, übersieht den eigentlichen Zweck: eine dokumentierte Verantwortlichkeit, die im Streitfall trägt.

Die Frist aus Art. 33 DSGVO ist eine der schärfsten Sanktionsschwellen der DSGVO. Verantwortliche müssen eine Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden nach Kenntnisnahme an die zuständige Aufsichtsbehörde melden, soweit ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Bei voraussichtlich hohem Risiko ist zusätzlich nach Art. 34 DSGVO eine Benachrichtigung der Betroffenen erforderlich. Die Aufsichtsbehörden haben 2023 und 2024 mehrfach Bußgelder verhängt, weil die Meldung verspätet, unvollständig oder gar nicht erfolgte. Auffällig ist die Häufung verspäteter Meldungen bei Wochenend- und Feiertagsereignissen, was auf strukturelle Lücken im Bereitschaftsmodell hinweist.

Eine wirksame DSGVO-Beratung etabliert deshalb einen schriftlich dokumentierten Meldepfad mit klaren Rollen. Wer meldet die Verletzung intern? Wer bewertet das Risiko? Wer formuliert die Behördenmeldung? Wer informiert die Betroffenen? Die Antwort muss in einer Verfahrensanweisung stehen und mit den Beschäftigten geübt werden. Frist läuft ab Kenntnis, nicht ab der Bewertung der Schwere. Diese rechtliche Subtilität wird in vielen Beratungsmandaten übersehen. Eine sogenannte Anfangsverdachtslage genügt bereits, um den Fristlauf in Gang zu setzen, sobald sie hinreichend konkretisiert ist.

CIVAC bildet den Meldepfad als Workflow im Workspace ab. Eingang über ein Meldeformular, automatische Eskalation an den bestellten Datenschutzbeauftragten, Risikobewertung mit dokumentierter Begründung, Behördenmeldung über vorbereitete Vorlagen je Bundesland und Betroffenenbenachrichtigung mit nachweisbarer Versendung. Der Prüfer ruft an, der Nachweis liegt bereit. Eine Beratung, die den Meldepfad nicht operativ in den Alltag der Geschäftsführung integriert, lässt das gefährlichste Restrisiko offen. Üben Sie deshalb den Fall mindestens einmal jährlich in einer Tabletop-Übung mit IT, HR und Rechtsabteilung.

Die Aufsichtsbehörden in Deutschland prüfen seit 2022 verstärkt anlassbezogen und themenbezogen. Im Jahr 2024 lagen die Schwerpunkte laut Tätigkeitsberichten unter anderem bei Cookie-Bannern, Beschäftigtendatenschutz, Videoüberwachung, Auftragsverarbeitung und Drittlandtransfers nach dem EuGH-Urteil Schrems II. Eine Prüfung beginnt regelmäßig mit einem Auskunftsersuchen nach Art. 58 Abs. 1 DSGVO, das binnen kurzer Frist beantwortet werden muss. Die Qualität der Antwort entscheidet, ob die Prüfung in eine vertiefte Untersuchung oder in eine vor-Ort-Kontrolle übergeht. Eine sorgfältige, vollständige und konsistente Erstantwort verkürzt das Verfahren in der Regel erheblich.

Eine vorbereitete Beratung liefert hier den entscheidenden Vorteil. Wer auf Anfrage binnen weniger Tage das vollständige Verarbeitungsverzeichnis, die TOM-Dokumentation, die AV-Verträge, die Schulungsnachweise und die Meldepfad-Protokolle vorlegen kann, signalisiert ein gelebtes Datenschutzmanagement. Wer Wochen sammelt und nachträglich konsolidiert, signalisiert das Gegenteil und liefert dem Prüfer zusätzliche Ansatzpunkte. Die 37 Audit-Vorlagen im CIVAC-Workspace sind genau für diese Situationen vorbereitet und durchnummeriert, sodass sich aus der Vorlagensystematik unmittelbar ein Auskunftsdossier zusammenstellen lässt.

Im Audit-Ernstfall begleitet ein externer Datenschutzbeauftragter auch die Kommunikation mit der Behörde. Das schützt die Geschäftsführung vor unvorbereiteten Aussagen und sichert eine konsistente Sprachregelung. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Genau dort entscheidet sich, ob die Beratung der vergangenen Jahre wirtschaftlich war oder ob sie zur bloßen Papierproduktion verkommen ist. Wer die Behördenkommunikation einem unerfahrenen internen Ansprechpartner überlässt, riskiert vermeidbare Eingeständnisse, die später als Beweismittel gegen das Unternehmen verwendet werden können. Ein erfahrener Begleiter sortiert Sachverhalte, trennt Vermutungen von Feststellungen und sichert eine schriftliche Spur jedes Behördenkontakts. Das senkt die Wahrscheinlichkeit, dass aus einer themenbezogenen Prüfung ein förmliches Ordnungswidrigkeitenverfahren wird.

Die DSGVO steht nicht allein. Seit 2024 hat sich der regulatorische Rahmen für datenverarbeitende Unternehmen erheblich erweitert. Die NIS-2-Richtlinie verpflichtet rund 29.500 Unternehmen in Deutschland zu einem dokumentierten Informationssicherheitsmanagement und einem 24-Stunden-Frühwarn- sowie 72-Stunden-Folgemeldepfad bei Sicherheitsvorfällen. Eine kompetente DSGVO-Beratung erkennt die Überlappung zwischen Art. 32 DSGVO und den Sicherheitsmaßnahmen nach § 30 NIS2UmsuCG und nutzt sie für ein integriertes Maßnahmenregister. Eine getrennte Pflege beider Register kostet Zeit, führt zu Inkonsistenzen und ist im Audit schwer zu verteidigen.

Der EU AI Act verlangt seit dem 2. August 2026 für Hochrisiko-KI-Systeme zusätzliche Dokumentations- und Bewertungspflichten, die mit Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO verbunden sind. Das TTDSG regelt seit 2021 die Einwilligungspflicht für Cookies und ähnliche Technologien. Eine isolierte DSGVO-Beratung, die diese angrenzenden Pflichten ausblendet, produziert Redundanz und blinde Flecken. CIVAC bündelt die Rollen Informationssicherheitsbeauftragter, Datenschutzbeauftragter und Compliance-Beauftragter im selben Workspace, sodass Maßnahmen nur einmal dokumentiert und mehrfach angewendet werden. Das ist nicht nur effizient, sondern auch belastbarer in der Prüfung.

Wer Datenschutz, Informationssicherheit und Compliance trennt, zahlt für dieselbe Arbeit dreimal. Wer sie integriert, gewinnt Tempo und Konsistenz. Eine DSGVO-Beratung im Jahr 2026 muss deshalb mindestens den Brückenschlag zu NIS-2 und EU AI Act mitdenken, auch wenn das Mandat formal nur den Datenschutz abdeckt. Die Übergänge sind zu eng, um sie unbeachtet zu lassen. Klären Sie deshalb bereits im Erstgespräch, ob Ihr Berater die angrenzenden Rahmenwerke aus eigener Praxis kennt oder lediglich Verweise auf andere Spezialisten anbietet. Eine integrierte Aufstellung spart in der Regel deutlich Personalkosten, weil dieselbe Maßnahme nicht zweimal dokumentiert werden muss.

Der Abschlussbericht einer DSGVO-Beratung ist kein Endpunkt, sondern eine Inventur. Entscheidend ist, was danach passiert. Ein belastbarer Datenschutzbetrieb braucht eine jährliche Audit-Schleife, eine quartalsweise Berichterstattung an die Geschäftsführung, einen monatlichen Maßnahmenstand und einen wöchentlichen Blick auf offene Betroffenenanfragen und Auftragsverarbeiter-Änderungen. Diese Routinen sind in der Beratung anzulegen, nicht erst nach Mandatsende. Wer die Routinen nicht etabliert, hat einen Bericht produziert, aber kein Management. Die Berichtslinie an die Geschäftsführung nach Art. 38 Abs. 3 DSGVO ist dabei kein optionales Element, sondern eine gesetzliche Pflicht.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit Workspace, Audit-Vorlagen, Bestellurkunden, Berichtslinien und EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Wege liefern dieselben 37 Audit-Vorlagen, dieselben Eskalationspfade und dieselbe Berichtslogik. Das CIVAC-SLA von 2 Werktagen ersetzt das klassische Antwortfenster und schließt die Lücke zwischen Beratung und Betrieb. Die Plattform ist auf das deutsche Aufsichtsumfeld zugeschnitten und enthält Meldevorlagen je Bundesland sowie eine durchsuchbare Historie aller Maßnahmen.

Wenn Ihre aktuelle DSGVO-Beratung nach drei Monaten noch keine Bestellurkunde, kein TOM-Register und keinen dokumentierten Meldepfad geliefert hat, sollten Sie das Mandat überprüfen. Wenn Sie zwischen interner Aufstellung, externer Bestellung oder einem hybriden Modell wählen wollen, klären wir das in einem strukturierten Erstgespräch. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular, um eine Erstbewertung Ihrer aktuellen Datenschutzaufstellung zu vereinbaren. Sie erhalten eine konkrete Lückenliste mit Lieferterminen je Pflichtartefakt und eine grobe Indikation der monatlichen Kosten je Betriebsmodell, damit die Entscheidung zwischen interner, externer und hybrider Aufstellung nicht im Ungefähren bleibt.