Externer Compliance-Dienstleister im DACH-Vergleich: Kriterien, Modelle, Entscheidungsrahmen

Wer als mittelständisches Unternehmen im DACH-Raum externe Compliance-Beauftragung sucht, findet einen fragmentierten Markt: Rechtsanwaltskanzleien mit DSB-Beratungsangebot, IT-Sicherheitsdienstleister, die den ISB-Auftrag übernehmen, Arbeitsschutzunternehmen für die Fachkraft für Arbeitssicherheit nach § 5 ASiG · DGUV V2 und SaaS-Plattformen mit integriertem Bestellservice. Diese Anbieter unterscheiden sich nicht nur im Preis, sondern in Strukturfragen: Welche Rollen werden abgedeckt? Ist die formale Bestellung nach dem jeweiligen Fachrecht revisionssicher? Und gibt es einen einheitlichen Workspace, der alle Beauftragten-Mandate in einer Dokumentationsstruktur konsolidiert?

Dieser Artikel gibt Geschäftsleitungen und Compliance-Verantwortlichen im Mittelstand einen strukturierten Vergleichsrahmen für die Auswahl externer Compliance-Dienstleister im DACH-Raum. Er behandelt die relevanten Kriterien, typische Anbietermodelle, Kosten-Nutzen-Überlegungen und die Frage, wann ein spezialisierter Einzelanbieter sinnvoll ist und wann ein rollenübergreifendes Plattformmodell die bessere Wahl darstellt.

Der Markt für externe Compliance-Beauftragung im DACH-Raum lässt sich grob in fünf Anbieterklassen unterteilen, die sich in Leistungstiefe und Geschäftsmodell erheblich unterscheiden.

Rechtsanwaltskanzleien bieten Datenschutzbeauftragte und Compliance-Beauftragte an, typischerweise aus dem Mandatsbereich. Die Stärke liegt in der juristischen Fachkenntnis und der Fähigkeit, im Haftungsfall beraten zu können. Die Schwäche: kein strukturierter operativer Workspace, keine systematische Schulungsdokumentation, kein einheitlicher Audit-Log.

IT-Sicherheitsdienstleister übernehmen den ISB-Auftrag als Ergänzung zu Managed-Security-Leistungen. Sie kennen das technische Umfeld gut, fehlen aber in den übrigen Beauftragten-Rollen, die nicht IT-nah sind.

Arbeitsschutzdienstleister nach § 5 ASiG · DGUV V2 sind in Deutschland eng reguliert: Die Fachkraft für Arbeitssicherheit muss spezifische Qualifikationsanforderungen erfüllen und konkrete Einsatzzeiten leisten. Spezialisierte Arbeitssicherheitsunternehmen erfüllen diese Anforderungen, decken aber keine anderen Beauftragten-Rollen ab.

DSB-Plattformen und SaaS-Compliance-Anbieter kombinieren Softwaretools mit externen Beauftragten aus einem Partnernetzwerk. Die Bandbreite reicht von DSB-fokussierten Lösungen bis zu plattformübergreifenden Modellen.

Generische Compliance-Beratungsunternehmen erstellen Konzepte und PDF-Berichte, übernehmen aber keine formale Beauftragten-Funktion. Sie sind keine Alternative zu einem externen Beauftragten, sondern eine Ergänzung.

Für Mittelständler ist die Einordnung des Anbieters in eine dieser Klassen der erste Filter: Ein Arbeitsschutzdienstleister kann keinen externen DSB bestellen. Eine Kanzlei kann keine IT-Sicherheitsaudits nach ISO/IEC 27001:2022 durchführen. Wer alle fünf Anbieterklassen kennt, kann die Anforderungen des eigenen Unternehmens gezielter zuordnen.

Wer externe Compliance-Dienstleister im DACH-Raum vergleicht, sollte sechs Kriterien systematisch prüfen.

1. Rollenabdeckung: Deckt der Anbieter alle Beauftragten-Rollen ab, die Ihr Unternehmen aktuell und mittelfristig benötigt? Ein Anbieter, der nur DSB und ISB abdeckt, erzeugt Fragmentierung bei weiteren Pflichten.
2. Formales Bestellmodell: Liefert der Anbieter eine rechtssichere Bestellurkunde, eine definierte Berichtslinie und eine Vertreterregelung für alle Rollen? Das ist der gesetzliche Mindeststandard – nicht alle Anbieter erfüllen ihn vollständig.
3. Operativer Workspace: Hat der externe Beauftragte ein strukturiertes Arbeitssystem für Aufgaben, Audits, Schulungen und Dokumentation? Ein externer Beauftragter ohne Workspace produziert E-Mails und PDFs statt eines strukturierten Audit-Logs.
4. Datenresidenz und Datenschutz: Wo werden die Compliance-Daten gespeichert? Für DACH-Unternehmen ist EU-exklusive Datenresidenz nach DSGVO Art. 44 ff. der sachgemäße Standard.
5. Reaktionszeiten und SLA: Wie schnell kann eine Beauftragten-Rolle neu besetzt werden? Wie lang ist die Vorlaufzeit für die formale Bestellung?
6. Kosten-Transparenz: Sind Lizenz, Bestellservice und operative Tätigkeiten separat ausgewiesen oder pauschal gebündelt? Welche Leistungen sind enthalten, welche werden extra abgerechnet?

Kein Kriterium davon ist per se wichtiger als die anderen. Aber jedes Kriterium, das nicht erfüllt ist, erzeugt ein spezifisches Compliance-Risiko – entweder strukturell (fehlendes Mandat) oder operativ (fehlender Nachweis).

Ein praktischer Hinweis zur Prüfung: Fragen Sie potenzielle Anbieter konkret, wie eine Bestellurkunde für Ihre spezifische Beauftragten-Rolle aussieht und ob sie im Workspace-System versioniert wird. Die Antwort auf diese Frage zeigt schnell, ob ein Anbieter das formale Bestellmodell wirklich beherrscht oder nur am Rande bearbeitet.

Das formale Bestellmodell ist der Aspekt externer Compliance-Beauftragung, der in Anbietervergleichen am häufigsten untergewichtet wird. Dabei ist er aus Haftungssicht der entscheidende Punkt.

Die gesetzlichen Bestellpflichten schreiben in den meisten Fällen eine schriftliche Beauftragung vor. Nach Art. 37 Abs. 1 DSGVO muss ein Datenschutzbeauftragter förmlich bestellt werden. Nach § 7 GwG ist die Bestellung des Geldwäschebeauftragten schriftlich zu dokumentieren. Der § 53 BImSchG schreibt die förmliche Bestellung des Immissionsschutzbeauftragten vor. Die §§ 3, 4 GbV verlangen eine schriftliche Bestellung des Gefahrgutbeauftragten. Jede dieser Bestellungen muss revisionssicher archiviert sein.

Was konkret benötigt wird: Bestellurkunde mit Datum, Unterschriften und Funktionsbeschreibung; schriftliche Berichtslinie mit Eskalationspfad zur Geschäftsleitung; Vertretungsregelung für Abwesenheitsfälle; und ein Nachweis, dass der Beauftragte die erforderliche Fachkunde besitzt.

Externe Compliance-Beauftragte müssen diese Dokumente nicht nur einmalig erstellen, sondern bei jeder Mandatsverlängerung aktualisieren und bei Beauftragten-Wechseln neu ausfertigen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Dieser Standard muss vom gewählten Dienstleister vollständig erfüllt werden – bevor man auf die operativen Leistungen schaut.

Besonders relevant: Bei Beauftragten-Wechseln – z. B. wenn ein externer DSB kündigt oder sein Mandat nicht verlängert – entsteht eine Übergangslücke, die aus rechtlicher Sicht problematisch ist. Die Pflicht zum Betreiben einer Beauftragten-Funktion erlischt nicht mit dem Ausscheiden der Person. Ein Dienstleister, der einen strukturierten Übergabeprozess mit Nachweis bietet, schließt diese Lücke zuverlässig.

Die folgende Tabelle strukturiert die wichtigsten Merkmale nach Anbieterklasse. Sie basiert auf dem typischen Leistungsprofil, nicht auf einzelnen Anbietern.

Das strukturelle Problem der ersten drei Kategorien zeigt sich bei 5 oder mehr Beauftragten-Rollen: Die Fragmentierung über mehrere Anbieter erzeugt kumulativen Verwaltungsaufwand und verhindert eine konsolidierte Compliance-Übersicht für die Geschäftsleitung.

Die Tabelle ist ein Ausgangspunkt, kein abschließendes Urteil. Einzelne Anbieter innerhalb einer Kategorie können stärker oder schwächer sein als das Klassenprofil. Für die Entscheidung empfehlenswert: Lassen Sie sich von jedem Kandidaten eine Muster-Bestellurkunde und einen Beispiel-Auditbericht vorlegen. Die Qualität dieser Dokumente ist ein verlässlicher Indikator für die operative Reife des Anbieters. Ergänzend lohnt sich die Frage, wie viele Beauftragten-Mandatswechsel der Anbieter im letzten Jahr begleitet hat und wie die Übergabe dokumentiert wurde.

Konkrete Preisangaben für externe Compliance-Beauftragung sind schwer zu standardisieren, da sie von Unternehmensgröße, Branche, Risikoprofil und Beauftragten-Rolle abhängen. Einige Orientierungswerte aus dem deutschen Markt:

Datenschutzbeauftragter: Externe DSB-Mandate beginnen typischerweise bei 200 bis 500 Euro monatlich für kleine Unternehmen, steigen bei mittleren Unternehmen auf 500 bis 2.000 Euro abhängig von Verarbeitungsumfang und Beratungsintensität.

Fachkraft für Arbeitssicherheit: Die DGUV Vorschrift 2 schreibt konkrete Einsatzzeiten vor, die sich nach Mitarbeiterzahl und Betriebsart richten. Bei 200 Mitarbeitenden in einem Bürobetrieb sind das mindestens 60 Einsatzstunden jährlich; in einem Produktionsbetrieb entsprechend mehr. Stundensätze für externe SiFas liegen typischerweise zwischen 80 und 150 Euro.

Compliance-Beauftragter: Die Bandbreite ist groß – von 300 Euro monatlich für ein formales Grundmandat bis zu mehreren Tausend Euro bei intensiver operativer Betreuung.

Das Gesamtbild für einen Mittelständler mit sechs Beauftragten-Rollen: Bei Einzelmandaten mit verschiedenen Anbietern entstehen monatliche Gesamtkosten zwischen 2.000 und 6.000 Euro, plus Verwaltungsaufwand und Koordinationszeit. Ein integriertes Plattformmodell mit Bestellservice – wie das CIVAC-Modell als Compliance-Plattform und Officer-as-a-Service – konsolidiert diese Kosten und reduziert den administrativen Aufwand erheblich. Die exakten Preise hängen vom Leistungsumfang ab und sollten im Rahmen eines Erstgesprächs konkretisiert werden.

Versteckte Kosten, die in Preisvergleichen häufig fehlen: Implementierungsaufwand beim Systemwechsel, Kosten für die Datenmigration, interne Stunden für die Koordination mehrerer Anbieter und der Aufwand für die Vorbereitung von Prüfungsunterlagen aus mehreren Systemen. Diese Posten können die sichtbaren Lizenzkosten in der Summe deutlich übersteigen.

Ein externer Compliance-Dienstleister wird nicht nur nach seiner internen Qualität beurteilt, sondern nach dem, was er bei einem Prüfbesuch vorlegen kann. Aufsichtsbehörden und Zertifizierungsauditoren haben konkrete Erwartungen, die über die Bestellurkunde hinausgehen.

Der Datenschutzbeauftragte muss gegenüber der Landesdatenschutzbehörde nachweisen: aktuelles Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, dokumentierte DSFAs für risikoreiche Verarbeitungen nach Art. 35 DSGVO, Schulungsnachweise für alle datenschutzrelevanten Mitarbeiter, und ein dokumentiertes Verfahren zur Bearbeitung von Betroffenenrechten nach Art. 15–22 DSGVO.

Der ISB muss bei einer ISO-27001-Zertifizierung oder NIS-2-Prüfung nach §§ 30, 38 BSIG nachweisen: ein gelebtes ISMS mit 93 Controls, dokumentierte Risikoanalysen, Schulungsnachweise für Informationssicherheitsbewusstsein, und einen funktionierenden Meldepfad für Sicherheitsvorfälle (24h Frühwarnung + 72h Folgemeldung).

Der Prüfer ruft an, der Nachweis liegt bereit. Dieses Prinzip gilt für jede Beauftragten-Rolle. Ein externer Dienstleister, der operative Leistungen erbringt, aber keine strukturierte Dokumentation hinterlässt, hat das eigentliche Problem nicht gelöst – er hat es nur verschoben. Die Auditfestigkeit entsteht durch das System, nicht durch die Person.

CIVAC bildet diesen Nachweis-Pfad für alle 25 Beauftragten-Rollen mit 37 einsatzbereiten Audit-Vorlagen, monatlicher Dokumentationskonsolidierung und einem revisionssicheren Audit-Log ab. Die 37 Vorlagen decken alle relevanten Prüfschritte ab und sind auf die jeweilige Gesetzesgrundlage zugeschnitten – kein generisches Prüfformular, das für jede Rolle gleich aussieht.

Der Markt für externe Compliance-Beauftragung unterscheidet sich im DACH-Raum nicht nur nach Unternehmensgröße und Branche, sondern auch nach nationalen Rechtssystemen.

Österreich: Das österreichische Datenschutzgesetz (DSG) setzt die DSGVO um, enthält aber nationale Besonderheiten. Die österreichische Datenschutzbehörde (DSB) hat eigene Prüfpraktiken. Externe DSB-Beauftragung ist zulässig, muss aber die österreichischen Umsetzungsvorschriften berücksichtigen. Für Arbeitssicherheit gilt das ArbeitnehmerInnenschutzgesetz (ASchG), nicht das deutsche ASiG.

Schweiz: Das neue Schweizer Datenschutzgesetz (nDSG, in Kraft seit September 2023) hat eigene Anforderungen, die von der DSGVO in einigen Punkten abweichen – u. a. beim Datenschutz-Konzept und den Meldepflichten. Ein DSB im deutschen Sinne ist im nDSG nicht zwingend vorgeschrieben, aber ein Datenschutzbeauftragter kann optional benannt werden. Für Unternehmen in der Schweiz mit Geschäftsbeziehungen in die EU gelten zusätzlich DSGVO-Anforderungen für die Datenübermittlung.

Dienstleister, die DACH-weit tätig sind, müssen diese nationalen Unterschiede kennen und in ihrer Beauftragten-Arbeit berücksichtigen. Bestellurkunden, die nur deutsches Recht zitieren, sind für Schweizer oder österreichische Mandate nicht vollständig. Die Prüfung, ob ein Anbieter tatsächlich DACH-weit operiert oder nur in Deutschland zugelassen ist, ist ein konkretes Auswahlkriterium.

Für Unternehmen mit Niederlassungen in mehreren DACH-Ländern empfiehlt sich ein Anbieter, der die rechtlichen Unterschiede kennt und länderspezifische Bestellurkunden sowie Berichtslinien anbietet. Eine einheitliche Bestellurkunde für alle Niederlassungen ist aus rechtlicher Sicht unzureichend, wenn sie nationale Besonderheiten nicht abbildet.

Das Hybridmodell ist in der Praxis verbreitet: Ein Unternehmen besetzt einige Beauftragten-Rollen intern und andere extern. Das ist rechtlich zulässig und oft die sachgerechte Lösung, wenn das interne Know-how für bestimmte Rollen vorhanden ist, für andere aber nicht.

Typische Hybridkonfigurationen: Der Datenschutzbeauftragte wird intern besetzt (weil ein Jurist oder IT-Fachmann mit Datenschutzkenntnissen vorhanden ist), der ISB wird extern bezogen (weil der Aufbau eines internen ISMS zu aufwendig ist), und die Fachkraft für Arbeitssicherheit kommt von einem Arbeitsschutzdienstleister.

Das Hybrid-Modell erzeugt einen spezifischen Verwaltungsaufwand: Für jede Rolle gibt es einen anderen Ansprechpartner, eine andere Dokumentationsstruktur und einen anderen Berichtsweg zur Geschäftsleitung. Das lässt sich durch eine Plattform lösen, die intern und extern in demselben Workspace konsolidiert.

CIVAC als Compliance-Plattform und Officer-as-a-Service unterstützt das Hybridmodell nativ: Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. In beiden Fällen arbeiten intern und extern im selben Workspace, mit demselben Audit-Log und denselben Dokumentationsstandards. Der Wechsel zwischen den Modellen – z. B. wenn ein interner Beauftragter das Unternehmen verlässt und extern ersetzt werden muss – ist damit ohne Datenverlust und ohne Systemwechsel möglich.

Das Hybridmodell erfordert klare interne Governance: Wer ist für welche Beauftragten-Rolle zuständig, wer genehmigt Bestellurkunden, wer erhält Berichte? Diese Fragen sollten vor der Anbieterauswahl beantwortet sein – sie bestimmen, welche Plattformfunktionen tatsächlich genutzt werden und welche nur auf dem Papier verfügbar sind.

Die Auswahl eines externen Compliance-Dienstleisters ist eine strukturelle Entscheidung, die auf einem vollständigen Bild der eigenen Beauftragten-Landschaft basieren sollte. Bevor ein Anbieter verglichen wird, sollte die Geschäftsleitung die eigene Ausgangslage klären: Welche Beauftragten-Rollen sind gesetzlich erforderlich? Welche sind aktuell besetzt, welche nicht? Welche werden intern, welche extern geführt?

Die Entscheidungslogik nach Komplexität: Unternehmen mit einer oder zwei Beauftragten-Rollen können mit einem spezialisierten Einzelanbieter gut bedient sein. Unternehmen mit drei bis vier Rollen sollten einen Anbieter wählen, der mindestens die häufigsten Kombinationen (DSB + ISB, oder DSB + SiFa) in einem System abbildet. Unternehmen mit fünf oder mehr Rollen sollten eine rollenübergreifende Plattform prüfen, die alle Mandate mit gleicher Dokumentationstiefe führt.

Unabhängig von der Anbieterwahl gilt: Die formale Bestellung ist nicht delegierbar. Der Dienstleister liefert die Person und die Leistung – aber die Geschäftsleitung trägt die Organisationsverantwortung dafür, dass die Bestellung korrekt dokumentiert ist und der Beauftragte die nötigen Befugnisse hat. Audit-fest, dokumentiert, fachrecht-fest.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Das ist der operative Unterschied zwischen einem Dienstleister, der Dokumente ablegt, und einer Plattform, die Compliance-Arbeit strukturiert, nachvollziehbar und skalierbar macht.

Wenn Sie Ihre Beauftragten-Landschaft im DACH-Raum strukturiert aufnehmen und einen Anbieter finden wollen, der alle relevanten Rollen abdeckt: CIVAC als Compliance-Plattform und Officer-as-a-Service begleitet diesen Prozess mit einem strukturierten Erstgespräch. Aus dem Lesen einen Auftrag machen. Kontakt: info@civac.de.