Externer Datenschutzbeauftragter: Was kostet die Bestellung wirklich

Art. 37 DSGVO verpflichtet zahlreiche Unternehmen zur Benennung eines Datenschutzbeauftragten, und § 38 BDSG erweitert die Pflicht in Deutschland auf Verantwortliche, die mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigen. Wer extern bestellt, bewegt sich preislich in einer Spanne, die ohne Marktkenntnis schwer zu deuten ist. Monatliche Pauschalen reichen von 250 Euro für kleine GmbHs bis zu 4.500 Euro für mittlere Konzerne mit mehreren Standorten. Stundensätze pendeln zwischen 120 und 280 Euro netto, je nach Branche, Vorerfahrung und tatsächlicher Komplexität der Verarbeitungstätigkeiten. Wer reine Pauschalen vergleicht, übersieht Haftpflichtanteile, Audit-Stunden, Schulungspakete und die Pflege des Verarbeitungsverzeichnisses.

Dieser Beitrag zerlegt die Honorarmodelle, benennt versteckte Kostentreiber wie Audit-Aufwand, Schulungsstunden, Tooling und Haftpflicht, und stellt sie der Inhouse-Variante mit Vollzeitäquivalent gegenüber. Sie erhalten konkrete Anhaltspunkte für die Verhandlung, einen Prüfraster für Angebote und eine Einordnung, wann sich Outsourcing rechnet. CIVAC betreibt eine Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Der Beitrag zeigt, wann welches Modell wirtschaftlich überlegen ist und welche Posten Sie in jeder Variante einplanen müssen, damit aus dem Honorar kein Aktenschrank-Vertrag entsteht, sondern eine belastbare Datenschutzorganisation.

Die Pflicht zur Bestellung folgt aus Art. 37 Abs. 1 DSGVO und § 38 BDSG. Privatwirtschaftliche Verantwortliche und Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unabhängig von der Beschäftigtenzahl gilt die Pflicht, wenn umfangreiche regelmäßige und systematische Überwachung betroffener Personen Kerntätigkeit ist oder wenn besondere Datenkategorien nach Art. 9 DSGVO oder strafrechtliche Daten nach Art. 10 DSGVO in großem Umfang verarbeitet werden. Die Benennung muss schriftlich erfolgen und der zuständigen Aufsichtsbehörde mitgeteilt werden, in Bayern etwa dem BayLDA, in Nordrhein-Westfalen der LDI NRW, im Bund dem BfDI für Telekommunikations- und Postdienstleister.

Wirtschaftlich lohnt die externe Bestellung dort, wo Inhouse-Kompetenz fehlt, der Datenschutzaufwand schwankt und ein unabhängiger Status nach Art. 38 Abs. 3 DSGVO ohne Interessenskonflikt nötig ist. Ein interner Mitarbeiter im Vertrieb oder in der IT-Leitung scheidet wegen Doppelrolle regelmäßig aus, die Aufsichtsbehörden haben das in mehreren Bußgeldverfahren bestätigt. Externe Beauftragte bringen Marktbenchmark, Verhandlungserfahrung mit Auftragsverarbeitern und aktuelle Auslegungslinien der Datenschutzkonferenz mit. Wer den externen Datenschutzbeauftragten über eine Plattform bezieht, erhält zusätzlich versionierte Dokumentation, ein Verarbeitungsverzeichnis als lebende Datenbasis und einen 72-Stunden-Meldepfad nach Art. 33 DSGVO. Bestellurkunde, unterschrieben, abgelegt, belegbar. Genau dort entscheidet sich, ob die Pauschale ein Aktenschrank-Vertrag oder ein operativer Schutzschirm ist. Hinzu kommt die Frage der Verfügbarkeit, denn Aufsichtsbehörden fragen im Bußgeldverfahren regelmäßig die tatsächliche Erreichbarkeit ab. Wer in 72 Stunden keine Meldungsentwürfe vorlegt, zahlt unabhängig vom Honorar nach. Die Plattform-basierte Bestellung beschleunigt zudem den Onboarding-Prozess von typischerweise sechs Wochen auf zwei Werktage, weil Vertragsvorlagen, Bestellurkunde und Datenblatt versioniert vorliegen.

Drei Modelle dominieren den deutschen Markt für externe Datenschutzbeauftragte. Das erste ist die feste Monatspauschale, häufig mit definiertem Stundenkontingent. Eine kleine GmbH mit 25 Beschäftigten zahlt typischerweise 250 bis 480 Euro netto pro Monat für ein Kontingent von 2 bis 4 Stunden, einschließlich eines Jahresberichts und einer regulären Schulungseinheit. Mittelständische Industrieunternehmen mit 250 Beschäftigten liegen zwischen 1.200 und 2.800 Euro monatlich, Konzerne mit mehreren Standorten erreichen 4.500 Euro und mehr. Vorteil der Pauschale ist Planbarkeit, Nachteil ist der Deckel, oberhalb dessen jeder Mehraufwand separat fakturiert wird. Wer mehrere Tochtergesellschaften bestellt, sollte den Konzernrabatt mit verhandeln, üblich sind 12 bis 18 Prozent.

Das zweite Modell ist der reine Stundensatz ohne Grundpauschale. Gängige Sätze für erfahrene Beraterinnen und Berater liegen bei 180 bis 280 Euro netto, juristische Spezialfragen, etwa zu internationalem Datentransfer nach Schrems II, werden mit 320 Euro und mehr abgerechnet. Diese Variante passt für reife Datenschutzorganisationen mit eigenem Tagesgeschäft, die nur punktuell externe Expertise benötigen. Das dritte Modell ist die Hybrid-Pauschale mit klar definiertem Leistungskatalog. Hier zahlt das Unternehmen eine Grundgebühr, etwa 600 Euro monatlich, und erhält dafür ein digitales Verarbeitungsverzeichnis, Audit-Vorlagen und Meldepfade. Stunden werden zusätzlich abgerechnet, jedoch zu einem reduzierten Satz von 140 bis 160 Euro. Letzteres ist das Modell, das eine Compliance-Plattform und Officer-as-a-Service wirtschaftlich abbildet, weil Dokumentation und Beratung getrennt bepreist sind und der Aufwand sichtbar bleibt. Wer eine Plattform mietet, zahlt für die Software einmal, nicht jedes Mal, wenn ein neues Verarbeitungsverzeichnis exportiert oder ein Auftragsverarbeitungsvertrag versioniert wird. Genau hier liegt der wirtschaftliche Vorteil gegenüber der reinen Stundenabrechnung mit Einzelberatern.

Viele Angebote sehen günstig aus, weil sie Leistungen ausklammern, die später in jedem Fall anfallen. Erster versteckter Posten ist die Audit-Vorbereitung. Eine ISO/IEC 27001:2022-Vorauditierung oder ein TISAX-Assessment bindet schnell 15 bis 40 Beraterstunden, die außerhalb des Pauschalkontingents liegen. Zweiter Posten sind Schulungen. Jährliche Pflichtschulungen für alle Beschäftigten nach Art. 39 Abs. 1 lit. b DSGVO werden häufig nur als Online-Modul kalkuliert, Präsenz- oder Live-Webinare kosten zwischen 380 und 1.200 Euro pro Sitzung extra. Dritter Posten ist die Pflege des Verarbeitungsverzeichnisses nach Art. 30 DSGVO. Wer ohne Workspace arbeitet, baut Excel-Tabellen, die alle sechs Monate veralten und Nacharbeit erzwingen. Der vierte Posten ist die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, die bei jedem neuen Hochrisikoverfahren 8 bis 30 Stunden bindet.

Fünfter Posten ist die Vermögensschadenhaftpflicht des externen Beauftragten. Seriöse Anbieter weisen Deckungssummen von mindestens 3 Mio. Euro je Schadensfall aus, einige Mandate fordern 5 Mio. Euro. Wird diese Police vom Auftraggeber bezuschusst oder anteilig getragen, schlägt das mit 80 bis 240 Euro pro Monat zusätzlich auf das Honorar. Sechster Posten sind Datenpannen-Bearbeitungen. Eine Meldung nach Art. 33 DSGVO innerhalb der 72-Stunden-Frist bindet 6 bis 18 Stunden, je nach Komplexität, und kostet außerhalb der Pauschale schnell 1.500 bis 4.000 Euro. Frist läuft ab Kenntnis. Wer einen externen DSB mit integriertem Meldepfad einkauft, vermeidet die Fristfalle und spart die Eskalationsstunden. In einer Plattform liegen die Vorlagen bereit, die Berichtslinie ist definiert, der Nachweis ist sortiert. Der Prüfer ruft an, der Nachweis liegt bereit. Siebter Posten sind die Übersetzungen, wenn internationale Konzerngesellschaften einbezogen werden, achter Posten die Reisezeiten, die viele Berater mit halbem Stundensatz fakturieren, neunter Posten die Kosten für Wirtschaftsprüfer-Bestätigungen am Jahresende.

Ein interner Datenschutzbeauftragter im Vollzeitäquivalent kostet in Deutschland je nach Region zwischen 78.000 und 112.000 Euro Jahresbrutto, hinzu kommen Arbeitgeberanteile, Weiterbildung und Tooling. Realistisch liegt das Gesamtpaket bei 120.000 bis 160.000 Euro pro Jahr. Dem stehen externe Pauschalen gegenüber, die bei einer GmbH mit 80 Beschäftigten typischerweise zwischen 9.600 und 18.000 Euro jährlich liegen, bei 250 Beschäftigten zwischen 18.000 und 34.000 Euro. Mathematisch dominiert die externe Variante bis weit in den Mittelstand. Ab etwa 800 Beschäftigten oder bei sehr datenintensiven Geschäftsmodellen, etwa Health, Versicherung, AdTech, kippt die Rechnung zugunsten einer hybriden Konstruktion mit interner Funktion und externer Plattform. Ein weiterer Faktor ist die Vertretungsregelung, denn Urlaub, Krankheit und Elternzeit eines internen DSB müssen abgefangen werden, was Vertretungskosten in Höhe von 8.000 bis 14.000 Euro jährlich erzeugt.

Die echte Frage ist nicht Inhouse oder extern, sondern wie viel Aufgaben das Tool übernimmt. Ein Workspace mit 93 ISO/IEC 27001:2022-Controls, 490 Audit-Vorlagen, integriertem Verarbeitungsverzeichnis und automatisiertem 72-Stunden-Meldepfad ersetzt Stunden, die jeder Beauftragte sonst manuell aufwenden würde. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im ersten Fall zahlen Sie eine Jahreslizenz und sparen interne Vollzeitkapazität, im zweiten Fall erhalten Sie Bestellung und Plattform aus einer Hand. Beide Modelle sind in einer einzigen Compliance-Plattform abgebildet. CIVACs SLA von 2 Werktagen für die Erstbestellung steht im Kontrast zu den klassischen 2 bis 6 Wochen, in denen Unternehmen sonst auf Vertragsentwürfe und Termine warten. Diese Zeit kostet in laufenden Vergaben, Audits und M&A-Prozessen mehr als jede Pauschale, weil der Prüfer ohne benannten DSB jede Datenschutz-Frage auf den nächsten Termin verschiebt. Wer die Bestellurkunde am gleichen Tag vorlegt, gewinnt im Audit Zeit.

Ein belastbarer Vertrag mit einem externen Datenschutzbeauftragten enthält neun Pflichtpunkte. Erstens die schriftliche Bestellung nach Art. 37 Abs. 7 DSGVO, mit Datum, Unterschrift und Mitteilung an die Aufsichtsbehörde. Zweitens den Aufgabenkatalog nach Art. 39 DSGVO, einschließlich Beratung, Schulung, Überwachung und Zusammenarbeit mit der Aufsicht. Drittens die Berichtslinie an die oberste Leitung, schriftlich fixiert und nicht delegiert. Viertens die Verschwiegenheitspflicht nach Art. 38 Abs. 5 DSGVO. Fünftens die Erreichbarkeit, üblich sind Reaktionszeiten von 2 Werktagen für Standardanfragen und 4 Stunden für meldepflichtige Vorfälle nach Art. 33 DSGVO. Zusätzlich sollten Vertretungsregelungen für Urlaub und Krankheit benannt sein, mit personalisierter Eskalationskette.

Sechstens das Stundenkontingent mit klarer Definition, was als Beratung gilt, was als Projektarbeit separat abgerechnet wird. Siebtens die Eskalation bei Datenpannen, einschließlich der Vorlagen für Meldung an Aufsicht und Betroffene. Achtens die Vermögensschadenhaftpflicht mit Deckungssumme und Verzicht auf Subrogation gegenüber dem Auftraggeber. Neuntens die Kündigungsfristen, marktüblich sind drei Monate zum Quartalsende, mit Übergabeprotokoll. Wer einen Vertrag schließt, in dem auch nur einer dieser Punkte fehlt, kauft Aktenschrank. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Eine Plattform-basierte Bestellung dokumentiert jeden dieser neun Punkte versioniert im Workspace, die Bestellurkunde liegt mit Datum und Unterschrift digital ab, der Aufgabenkatalog ist mit ISO/IEC 27001:2022-Controls verknüpft. So entsteht ein Vertrag, der vor Aufsicht und Wirtschaftsprüfung gleichermaßen standhält. Audit-fest, dokumentiert, § 38-fest. Im Zweifel prüft die Aufsicht zuerst die Bestellurkunde, dann die Reaktionsprotokolle, dann das Schulungsregister. Wer diese drei Belege binnen 24 Stunden vorlegt, hat die wesentliche Hürde im Bußgeldverfahren genommen.

Die Pauschalen schwanken stark mit der Branche, weil Risiko, Datenvolumen und Aufsichtsdichte unterschiedlich sind. Handwerksbetriebe mit 25 bis 60 Beschäftigten und überwiegend lokalem Geschäft zahlen typischerweise 250 bis 580 Euro netto monatlich. Verarbeitungstätigkeiten sind übersichtlich, Auftragsverarbeiter wenige, Drittlandtransfers selten. E-Commerce-Unternehmen vergleichbarer Größe liegen schon bei 480 bis 980 Euro, weil Tracking, Newsletter-Tools, Zahlungsdienstleister und internationale Logistikpartner umfangreichere Dokumentation erzwingen. SaaS-Anbieter mit US-Cloud-Backends, Auftragsverarbeitungsverträgen mit Subunternehmern und Schrems-II-relevanten Transfers landen oft bei 1.400 bis 2.800 Euro. Hinzu kommen mehrsprachige Datenschutzhinweise, Transfer Impact Assessments und Auseinandersetzungen mit Aufsichten in mehreren EU-Mitgliedstaaten.

Im Gesundheitswesen verschiebt sich die Spanne nach oben. Eine Klinik mit 600 Beschäftigten und Patientendaten nach § 22 BDSG sowie besonderen Datenkategorien nach Art. 9 DSGVO zahlt 2.800 bis 5.500 Euro monatlich, häufig mit zusätzlichem Kontingent für KIS-Migrationen und Forschungsprojekte. Im Finanzsektor kommen Bankgeheimnis, MaRisk und BAIT hinzu, hier sind 3.500 bis 6.500 Euro üblich, oft mit fest definiertem Audit-Block. Behörden und kommunale Unternehmen liegen aufgrund von § 38 BDSG, IFG-Anfragen und politischer Aufmerksamkeit ebenfalls im oberen Drittel. Wer in einem dieser Felder operiert, sollte das Honorar nicht isoliert betrachten, sondern mit der Plattformleistung kombinieren. Eine Compliance-Plattform und Officer-as-a-Service bündelt Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge, Drittlandtransfer-Folgenabschätzungen und Meldepfade. Die 490 Audit-Vorlagen decken die häufigsten Prüfungsschwerpunkte ab. Aus dem Lesen einen Auftrag machen, ist hier wörtlich gemeint: die Bestellurkunde ist im Workspace zwei Werktage nach Beauftragung handschrift- und prüfungsfertig. Wer als Anwender bislang mit Einzelkanzleien arbeitet, sollte die Bündelung in jedem Fall durchrechnen, weil die Plattformkomponente einen erheblichen Teil der Stundenanteile substituiert.

Ein verlässlicher Vergleich folgt einer Matrix mit sieben Dimensionen. Erstens Grundpauschale und enthaltenes Stundenkontingent, ausgewiesen in Stunden pro Quartal, nicht pro Monat, weil Aufwände saisonal schwanken. Zweitens der Stundensatz oberhalb des Kontingents, inklusive Reisezeit und Wegekosten. Drittens die enthaltenen Vorlagen und Tools, konkret Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge, Datenpannen-Meldevorlagen und Schulungsmaterial. Viertens Reaktionszeiten in Stunden, getrennt nach Routine, Eskalation und meldepflichtigem Vorfall nach Art. 33 DSGVO. Fünftens die Haftpflichtdeckung in Euro je Schadensfall und im Jahresmaximum, sechstens die Erreichbarkeit konkret in Tagen pro Monat vor Ort, falls erforderlich, siebtens die Übergabemodalitäten am Ende des Mandats. Eine acht- oder neunstellige Aufstellung würde künstlich wirken, die sieben Dimensionen reichen, um seriöse Angebote von Lockangeboten zu trennen.

Wer diese Matrix anwendet, entdeckt schnell, dass scheinbar günstige Angebote bei 380 Euro monatlich faktisch teurer sind als ein Plattformmodell bei 720 Euro. Der Unterschied liegt in den nicht ausgewiesenen Posten, die im Plattformmodell bereits enthalten sind. CIVAC bündelt diese sieben Dimensionen in einem standardisierten Datenblatt, das Sie direkt mit Wettbewerbsangeboten abgleichen können. Wer den externen Datenschutzbeauftragten über eine Plattform bezieht, erhält ein Verarbeitungsverzeichnis, das nicht in Excel verstaubt, sondern mit Auftragsverarbeitungsverträgen, Schulungsnachweisen und Audit-Berichten verbunden ist. Die Berichtslinie an die Geschäftsführung ist im Workspace dokumentiert, jeder Schritt nachvollziehbar. Bestellurkunde, unterschrieben, abgelegt, belegbar. Das Ergebnis ist ein Honorar, das gegenüber Aufsicht, Wirtschaftsprüfung und interner Revision verteidigungsfähig ist und nicht in Zusatzrechnungen explodiert. Wer drei Angebote nach dieser Matrix bewertet, hat in zwei Stunden eine entscheidungsreife Tabelle, die Geschäftsführung und Aufsichtsrat überzeugt.

Die Bußgeldpraxis der deutschen Aufsichtsbehörden zeigt seit 2019 eine klare Linie. Verstöße gegen Bestellpflichten nach Art. 37 DSGVO und gegen § 38 BDSG werden mit Bußgeldern bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Konzernumsatzes geahndet, je nachdem, welcher Wert höher ist. In der Praxis liegen die verhängten Summen für KMU im fünfstelligen Bereich, eine Klinik in Niedersachsen zahlte 105.000 Euro, ein Online-Händler 65.500 Euro, ein Personaldienstleister 35.000 Euro. Hinzu kommen Folgekosten wie Verfahrenskosten, Reputationsschaden und Pflicht-Audits, die das Verfahren nach sich zieht. Bei börsennotierten Unternehmen schlägt ein Bußgeld zusätzlich auf den Aktienkurs durch, was die Gesamtkosten leicht in den Millionenbereich treibt.

Ein einziges Bußgeld in dieser Größenordnung übersteigt die jährliche Pauschale für einen externen Datenschutzbeauftragten um den Faktor zehn oder mehr. Wer jährlich 12.000 Euro für externe Bestellung und Plattform investiert, kauft sich einen Schutzschirm, der im Ernstfall Faktoren ergibt. Hinzu kommt der ROI durch reduzierte Risiken aus Datenpannen. Eine Meldung nach Art. 33 DSGVO innerhalb der 72-Stunden-Frist senkt das Bußgeldmaß messbar, fehlende Meldungen oder verspätete Meldungen sind regelmäßig der Auslöser für hohe Sanktionen. Eine Plattform mit integriertem Meldepfad und vorausgefüllten Vorlagen senkt die Bearbeitungszeit von typischerweise 14 Stunden auf 3 Stunden. Der Prüfer ruft an, der Nachweis liegt bereit. Das ist der Unterschied zwischen einem Aktenschrank-Vertrag und einer operativen Plattform. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wer den ROI sauber rechnet, multipliziert die Wahrscheinlichkeit einer Datenpanne mit dem erwarteten Bußgeld und vergleicht das Ergebnis mit der Jahrespauschale. In jedem realistischen Szenario rechnet sich die Plattform.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit 25 Beauftragten-Rollen, 93 ISO/IEC 27001:2022-Controls und 490 einsatzbereiten Audit-Vorlagen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im ersten Fall erhalten Sie einen Mandantenbereich mit EU-Datenresidenz, Versionierung, Berichtslinie und vollständigem Verarbeitungsverzeichnis. Im zweiten Fall kommt die schriftliche Bestellung eines externen Datenschutzbeauftragten mit Vermögensschadenhaftpflicht, Mitteilung an die Aufsichtsbehörde und integriertem 72-Stunden-Meldepfad hinzu. Die Erstbestellung ist innerhalb von 2 Werktagen handschriftfertig, statt der klassischen 2 bis 6 Wochen Wartezeit beim einzelnen Berater. Das ist insbesondere dann relevant, wenn ein laufender Audit-Prozess, ein Kundenfragebogen oder eine Vergabe einen benannten DSB voraussetzt.

Der Einstieg ist schlank. Sie benennen Branche, Beschäftigtenzahl, Verarbeitungsschwerpunkte und gewünschtes Modell. CIVAC stellt das Datenblatt mit Pauschale, Stundensatz und enthaltenen Leistungen, einschließlich Haftpflichtnachweis. Sie zeichnen die Bestellurkunde, wir mitteilen der Aufsichtsbehörde, der Workspace wird mit Ihrem ersten Verarbeitungsverzeichnis befüllt. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer parallel einen Informationssicherheitsbeauftragten oder einen Compliance-Beauftragten braucht, kombiniert beide Rollen im selben Workspace zu reduziertem Lizenzpreis. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Die Rückmeldung erfolgt innerhalb eines Werktages, das Datenblatt liegt am zweiten Werktag vor. Mehr Hintergrund zur Plattform finden Sie in den FAQ, zu Preismodellen und Rollenkombinationen sprechen wir individuell mit Ihrer Geschäftsführung. Wer zuerst einen Sparring-Termin wünscht, erhält in 30 Minuten eine konkrete Einschätzung zu Pflicht, Modellauswahl und realistischem Pauschalrahmen für die eigene Unternehmensgröße. Diese Einschätzung ist kostenfrei und enthält die Benchmark-Spanne aus laufenden CIVAC-Mandaten in vergleichbaren Branchen sowie eine kurze Risikobewertung der bisherigen Bestellsituation.