Externer Beauftragter als Service buchen: Monatlich, kündbar, Audit-fest

Der klassische Beratungsvertrag mit 24-monatiger Mindestlaufzeit passt nicht mehr in eine Compliance-Welt, in der NIS-2 (BGBl. 2024), DSGVO und HinSchG parallel scharf werden. Viele Unternehmen brauchen schnell eine bestellte Person nach Art. 37 DSGVO, § 22 KritisV oder § 12 HinSchG, ohne sich für Jahre zu binden. Das Modell Officer-as-a-Service mit monatlicher Buchung beantwortet diese Anforderung.

Dieser Beitrag erklärt, wie ein monatliches Service-Modell für externe Beauftragte praktisch funktioniert. Er beschreibt die Vertragsstruktur, die Übergabe der Bestellurkunde, die Eingliederung in den Audit-Workspace und die Reaktionszeiten bei Vorfällen. Sie erfahren, in welchen Konstellationen sich das Abo gegen Jahresverträge rechnet und welche Mindestanforderungen ein seriöser Anbieter erfüllen muss.

Ein monatlich buchbarer externer Beauftragter ist mehr als eine Stundenpauschale. Das Service-Modell bündelt vier Elemente in einem Abo. Erstens die bestellte Person nach dem jeweils einschlägigen Gesetz, etwa Art. 37 DSGVO für den DSB oder § 22 KritisV/§ 38 BSIG für den Informationssicherheitsbeauftragten. Zweitens die Bestellurkunde mit Datum, Ablage und Berichtslinie. Drittens den Workspace mit Audit-Vorlagen, Risikoregister und Meldepfaden. Viertens den Reaktionsservice bei Vorfällen und Aufsichtsanfragen.

Die monatliche Buchung bedeutet nicht Beliebigkeit. Eine Bestellung nach Art. 37 DSGVO bleibt eine formelle Rechtshandlung mit Widerrufsmöglichkeit. Was sich ändert, ist die kommerzielle Bindung: Sie zahlen pro Monat und können mit 30 Tagen Frist kündigen, ohne dass Restzahlungen fällig werden. Der Anbieter trägt das Risiko der kurzen Bindung und finanziert das durch standardisierte Prozesse und eine skalierbare Plattform-Architektur.

In der Praxis bedeutet das: Sie buchen heute, erhalten morgen die Bestellurkunde und übermorgen den Zugang zum Workspace. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Ein belastbarer Officer-as-a-Service-Vertrag enthält fünf Bausteine. Erstens die Rollenbeschreibung mit gesetzlicher Grundlage. Zweitens die Bestellurkunde mit Datum und Vertretungsregelung. Dritten die Service-Level-Vereinbarung mit Reaktionszeiten. Viertens die Vergütungsstruktur (Fixpreis pro Monat, Zusatzpakete für Schulungen oder Audits). Fünftens die Übergaberegelung bei Vertragsende.

Die SLA-Werte sind branchenüblich noch sehr unterschiedlich. Klassische Beratungs-Services arbeiten mit Erstreaktionszeiten von 24 bis 48 Stunden. Spezialisierte Plattformen mit Officer-as-a-Service liefern die Bestellurkunde in 2 Werktagen und reagieren bei Vorfällen innerhalb von 4 Stunden, weil die Prozesse vorgedacht sind. Die 72-Stunden-Frist nach Art. 33 DSGVO und die 24-Stunden-Frühwarnung nach NIS-2 sind nicht verhandelbar, sie ergeben sich aus dem Gesetz.

Wichtig ist die Vertretungsregelung. Ein einzelner Berater ist im Urlaub, krank oder im Mandantenwechsel. Eine Plattform mit mehreren bestellten Beauftragten je Rolle stellt sicher, dass die Frist auch dann läuft, wenn der primäre Kontakt nicht verfügbar ist. Frist läuft ab Kenntnis, nicht ab Verfügbarkeit. Fragen Sie konkret nach der Vertretungskette und lassen Sie sich diese vertraglich zusichern.

Pauschale Preisangaben sind im Beauftragten-Markt selten verlässlich. Realistische Spannen lassen sich dennoch beziffern. Ein externer Datenschutzbeauftragter für ein Unternehmen mit 100 Beschäftigten kostet im monatlichen Abo typischerweise 600 bis 1.500 Euro netto. Ein Informationssicherheitsbeauftragter mit ISMS-Begleitung liegt bei 900 bis 2.500 Euro. Eine Meldestelle nach HinSchG für Unternehmen ab 50 Beschäftigten startet bei 250 bis 600 Euro. Ein Brandschutzbeauftragter für einen mittelgroßen Standort kostet 400 bis 900 Euro.

Diese Spannen variieren mit der Komplexität: Mehrere Standorte, internationale Verarbeitungen, regulatorische Sondergebiete (Banken, Krankenhäuser, KRITIS) verschieben den Preis nach oben. Skaleneffekte entstehen, wenn Sie mehrere Rollen bei einem Anbieter bündeln. Die Plattform-Komponente, die Audit-Vorlagen und der 24/72-Meldepfad fallen nur einmal an, die Rollen-Komponente entsprechend.

Bei drei oder vier Pflichtrollen aus einer Hand erreichen viele Unternehmen einen Gesamtmonatspreis zwischen 2.000 und 5.000 Euro. Klassische Beratungs-Service-Provider liegen bei vergleichbarem Leistungsumfang oft 20 bis 40 Prozent höher, weil parallele Portale und doppelte Vertragswerke entstehen.

Das Spektrum ist breiter als die klassische DSB-Beratung suggeriert. CIVAC bildet 25 Beauftragten-Rollen live ab, von denen die folgenden monatlich buchbar sind: Datenschutzbeauftragter, Informationssicherheitsbeauftragter, Compliance-Beauftragter, Geldwäschebeauftragter, Hinweisgeberschutz-Meldestelle, Hygienebeauftragter, Brandschutzbeauftragter, Gefahrstoffbeauftragter, Gefahrgutbeauftragter, Umweltschutzbeauftragter, ESG-/Nachhaltigkeitsbeauftragter, Qualitätsmanagementbeauftragter, Lieferkettenbeauftragter, AGG-Beschwerdestelle, Betriebsarzt, Störfallbeauftragter, Strahlenschutzbeauftragter, Inklusionsbeauftragter, Lieferanten-Auditor sowie weitere Spezialrollen.

Die Rolle des Compliance-Beauftragten ist gesetzlich nicht zwingend, in vielen Branchen (Banken nach MaRisk AT 4.4, Versicherungen nach VAG, Medizinprodukte nach MDR) aber faktisch erwartet. Die Rolle des Geldwäschebeauftragten ist nach § 7 GwG für Verpflichtete vorgeschrieben. Die Rolle des Hygienebeauftragten ergibt sich aus IfSG und länderspezifischen Verordnungen für Pflegeeinrichtungen und Praxen.

Das monatliche Service-Modell deckt damit nicht nur die DSGVO-Welt ab, sondern den gesamten Pflicht-Kanon eines mittelständischen Unternehmens. Sie buchen nach Bedarf und können einzelne Rollen jederzeit ergänzen, ohne neue Vertragsbasis aufsetzen zu müssen.

Ein professionelles Onboarding für einen monatlich gebuchten externen Beauftragten dauert in der Regel fünf Werktage. Tag eins: Bedarfsklärung, Auswahl der Rolle, Festlegung der Berichtslinie nach Art. 38 DSGVO oder vergleichbarer Normen. Tag zwei: Vertragsunterzeichnung, Bestellurkunde, Workspace-Zugang. Tag drei: Übergabe vorhandener Unterlagen (VVT, AVV, TOM-Beschreibungen, ISMS-Doku). Tag vier: Erste Standortbegehung oder Kick-off-Workshop mit den verantwortlichen Fachbereichen. Tag fünf: Übersicht der Top-Risiken und Quick-Wins für die nächsten 90 Tage.

Diese Geschwindigkeit ist nur möglich, wenn der Anbieter Vorlagen vorhält. CIVAC arbeitet mit 37 Audit-Vorlagen, einer standardisierten Bestellurkunde und einem Risiko-Schema, das pro Rolle vorbereitet ist. Klassische Beratungs-Service-Provider brauchen für dieselbe Tiefe oft sechs bis acht Wochen, weil jede Vorlage individuell aufgesetzt wird.

Der Workspace nach Abschluss von Tag fünf enthält die Bestellurkunde, das aktuelle Risikobild, einen 90-Tage-Plan und die ersten dokumentierten Audit-Vorlagen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Diese Trennung wird in der Onboarding-Geschwindigkeit sichtbar.

Vorfälle und Aufsichtsanfragen testen das Service-Modell härter als jeder Vertragsentwurf. Die zentrale Frage lautet: Was passiert zwischen 17:00 Uhr Freitag und 09:00 Uhr Montag? Eine Datenpanne nach Art. 33 DSGVO hat 72 Stunden Meldefrist. Ein NIS-2-Sicherheitsvorfall hat 24 Stunden Frühwarnung und 72 Stunden Folgemeldung an das BSI.

Ein belastbares monatliches Service-Modell hält dafür drei Mechanismen vor. Erstens eine 24/7-Eingangsleitung für gemeldete Vorfälle. Zweitens vorbereitete Meldetexte und Eskalationspfade für die zuständigen Aufsichtsbehörden, je nach Bundesland und Branche. Drittens eine Vertretungskette, die sicherstellt, dass die Frist gehalten wird, auch wenn der primäre Beauftragte nicht erreichbar ist.

Der Prüfer ruft an, der Nachweis liegt bereit. Diese Erwartung lässt sich nur einlösen, wenn der Anbieter die Vorfall-Prozesse vor dem Ernstfall geprobt hat. Fragen Sie konkret nach der letzten realen Meldung: Welche Behörde, welche Frist, welche Folgekommunikation? Anbieter, die diese Frage konkret beantworten, sind in der Regel die ernsthafteren.

Eine monatliche Kündbarkeit ist nur dann wertvoll, wenn der Datenexport am Vertragsende sauber funktioniert. Das ist der Schwachpunkt vieler Anbieter. Wer kündigt, verliert nicht selten den Zugriff auf VVT-Listen, AVV-Register, Vorfallakten und Schulungsnachweise. Im Audit ist das ein erhebliches Risiko, weil Aufbewahrungspflichten nach § 257 HGB, § 147 AO und Art. 5 DSGVO weiterlaufen.

Ein seriöser Officer-as-a-Service-Anbieter regelt drei Punkte vertraglich. Erstens: Welche Daten werden in welchem Format exportiert (PDF, JSON, CSV, XML)? Zweitens: In welchem Zeitraum nach Kündigung steht der Export bereit, üblich sind 30 bis 60 Tage? Drittens: Wer übernimmt die Abberufung der Bestellung beim alten Anbieter und die Bestellung beim neuen Anbieter? Diese Übergabe-Logik ist Teil des Vertrages, nicht eine separate Verhandlung.

CIVAC liefert beim Vertragsende ein Übergabepaket mit allen Bestellurkunden, dem aktuellen Risikoregister, dem VVT, der TOM-Dokumentation und den Schulungsnachweisen. Audit-fest, dokumentiert, paragrafenfest. Der Nachfolger startet damit auf dem Stand, auf dem CIVAC aufgehört hat, ohne dass Sie Lücken in der Aufsichtsdokumentation erklären müssen.

Drei Konstellationen sprechen klar für ein monatliches Service-Modell. Erstens: kurzfristiger Bedarf, etwa weil ein bisheriger Beauftragter ausgefallen ist oder ein Audit ansteht. Zweitens: ein wachsendes Unternehmen, das die Rollenstruktur noch nicht final festgelegt hat und Rollen flexibel ergänzen will. Drittens: ein Konzern mit mehreren Tochtergesellschaften, in denen Rollen unterschiedlich besetzt sind und die zentrale Steuerung eine einheitliche Plattform braucht.

Drei Konstellationen sprechen eher für klassische Jahresverträge. Erstens: ein sehr stabiles Unternehmen mit einer langjährigen, eingespielten Beratungsbeziehung. Zweitens: ein hochspezialisiertes Mandat mit branchenspezifischen Sondernormen, das individuelle Vorlagen statt Plattform-Standards braucht. Drittens: ein bewusst gewählter Berater als persönliche Vertrauensperson, dessen Verfügbarkeit Teil des Mandats ist.

Für alle anderen Fälle ist das monatliche Modell wirtschaftlich attraktiv, weil es Investitionsrisiken senkt und Skalierbarkeit erlaubt. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege stehen in einem einzigen, monatlich kündbaren Vertrag.

Wenn Sie einen externen Beauftragten monatlich buchen wollen, ist der nächste Schritt eine kurze Bedarfsklärung. CIVAC ist eine deutsche Compliance-Plattform und Officer-as-a-Service mit 25 bestellbaren Rollen, 37 Audit-Vorlagen, ISO/IEC 27001:2022 ISMS und EU-Datenresidenz. Die Bestellurkunde wird in 2 Werktagen geliefert, der Workspace ist am gleichen Tag aktiv.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die monatliche Kündbarkeit gilt in beiden Wegen, ebenso die 30-Tage-Frist für den Datenexport bei Vertragsende. Das Service-Modell ist nicht für jedes Unternehmen die richtige Lösung, aber es ist die richtige Antwort, wenn Sie schnell eine bestellte Person, klare Dokumentation und planbare Kosten brauchen.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten innerhalb eines Werktags eine Bedarfsklärung mit Rollen-Vorschlag, Preisindikation und Onboarding-Plan. Wenn das Modell zu Ihnen passt, starten wir innerhalb von fünf Werktagen.