Externer Datenschutzbeauftragter: Kosten für den Mittelstand realistisch einordnen

Art. 37 DSGVO in Verbindung mit § 38 BDSG verpflichtet Unternehmen mit mindestens 20 ständig mit automatisierter Datenverarbeitung beschäftigten Personen zur Bestellung eines Datenschutzbeauftragten. Für den deutschen Mittelstand – Unternehmen mit 50 bis 2.000 Mitarbeitern – ist die externe Lösung häufig die wirtschaftlichere und fachlich bessere Option. Die Kostenfrage ist dabei zentral: Sie entscheidet über die Machbarkeit und beeinflusst die Budget-Diskussion in der Geschäftsführung.

Dieser Beitrag richtet sich an Geschäftsführer, Compliance-Verantwortliche und COOs, die eine fundierte Entscheidungsgrundlage für den externen DSB im Mittelstand benötigen. Er zeigt realistische Kostenbandbreiten nach Unternehmensklasse, erklärt die wesentlichen Preistreiber, nimmt den Vollkostenvergleich zwischen externer und interner Lösung vor und benennt, worauf bei der Leistungsbeurteilung zu achten ist.

Die Bestellpflicht aus Art. 37 DSGVO und § 38 BDSG trifft Unternehmen, bei denen mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Diese Schwelle ist in der Praxis niedrig: Sobald mehr als 20 Mitarbeiter regelmäßig mit einem CRM-System, einer HR-Software oder einem E-Commerce-Backend arbeiten, ist sie häufig erfüllt.

Darüber hinaus gilt eine branchenunabhängige Bestellpflicht für Unternehmen, die bestimmte Arten der Verarbeitung durchführen (Art. 37 Abs. 1 lit. b und c DSGVO): umfangreiche systematische Überwachung von Personen oder umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO. Medizinisches Personal, Labore, Personaldienstleister mit sensiblen Beschäftigtendaten und Finanzinstitute mit Bonitätsdaten können damit auch unterhalb der 20-Personen-Schwelle bestellungspflichtig sein.

Für Unternehmen, die formal nicht bestellungspflichtig sind, empfehlen die meisten Aufsichtsbehörden die freiwillige Bestellung eines DSB ab einer Unternehmensgröße von 20 bis 50 Mitarbeitern. Der Vorteil: Der freiwillig bestellte DSB genießt denselben Kündigungsschutz und dieselbe Unabhängigkeit wie ein pflichtgemäß bestellter – und schafft eine klare interne Zuständigkeit für Datenschutzfragen. Weitere Informationen zur Rolle und den Bestellvoraussetzungen finden Sie auf der CIVAC-Seite zum Datenschutzbeauftragten.

Die Kosten für einen externen DSB hängen nicht allein von der Mitarbeiterzahl ab. Fünf Faktoren haben in der Praxis den stärksten Einfluss auf den Preis:

1. Verarbeitungstiefe: Verarbeitet Ihr Unternehmen ausschließlich Mitarbeiterdaten und gewöhnliche Kundendaten, oder kommen sensible Kategorien nach Art. 9 DSGVO hinzu? Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen erhöhen die Anforderungen an die Dokumentation und die fachliche Expertise des DSB erheblich.
2. Anzahl der Auftragsverarbeiter (Art. 28 DSGVO): Wie viele externe Dienstleister verarbeiten für Sie personenbezogene Daten – Cloud-Anbieter, Lohnabrechner, CRM-Anbieter, Werbeagenturen? Für jeden muss ein Auftragsverarbeitungsvertrag (AVV) geprüft und aktuell gehalten werden. Unternehmen mit 30 AVVs verursachen mehr Arbeit als solche mit fünf.
3. Datenschutz-Folgenabschätzungen (DSFA, Art. 35 DSGVO): Neue IT-Systeme, Überwachungstechnologien oder KI-Anwendungen lösen häufig eine DSFA-Pflicht aus. Jede DSFA bedeutet erheblichen Arbeitseinsatz des DSB – oft zehn bis dreißig Stunden pro Verfahren.
4. Internationaler Datentransfer: Nutzen Sie US-amerikanische Dienste (SaaS, CRM, E-Mail-Marketing)? Die Dokumentation von Transfer Impact Assessments (TIAs) und aktuellen Standardvertragsklauseln (SCCs der Kommission 2021/914) bedeutet laufende Arbeit.
5. Branchenspezifische Anforderungen: Im Gesundheitswesen, im Finanzbereich oder bei KRITIS-Betreibern gibt es ergänzende sektorale Anforderungen, die den DSB-Aufwand erhöhen.

Die folgenden Preisspannen basieren auf Marktbeobachtungen für den deutschen Mittelstand. Sie sind Orientierungswerte – individuelle Angebote weichen je nach Anbieter und Leistungsumfang ab:

Hinweis: Diese Werte gelten für Pauschalverträge mit definiertem Leistungsumfang (Verarbeitungsverzeichnis, Schulungen, AVV-Prüfung, Berichterstattung, Behördenkommunikation). Stundensatzverträge und zusätzliche Sonderprojekte (DSFA, Datenpannen, Behördenverfahren) werden separat berechnet.

Ein verbreitetes Missverständnis ist, dass ein intern bestellter DSB kostenlos ist, weil er als Nebenfunktion wahrgenommen wird. Die Vollkostenrechnung ergibt ein anderes Bild. Nehmen wir ein Unternehmen mit 200 Mitarbeitern in der Industrie, das einen internen Mitarbeiter (Senior-Level, Vollzeit-Stelle 80 %, davon 20 % für DSB-Aufgaben) mit DSB-Funktion betraut:

• Anteiliges Jahresgehalt (20 % einer Stelle bei 70.000 Euro Jahresgehalt): 14.000 Euro
• Arbeitgeberbeiträge Sozialversicherung (ca. 20 %): 2.800 Euro
• Jährliche Weiterbildung und Zertifizierungskosten: 2.000 Euro
• Software-Lizenzen für Verarbeitungsverzeichnis und Schulungstool: 1.200 Euro
• Reisekosten, Seminare, Fachzeitschriften: 800 Euro

Summe intern: ca. 20.800 Euro pro Jahr.

Ein professioneller externer DSB für dasselbe Unternehmen liegt nach Marktwert bei 600 bis 1.000 Euro monatlich, also 7.200 bis 12.000 Euro jährlich. Das entspricht einer Ersparnis von 8.800 bis 13.600 Euro – und der externe DSB bringt mehr Spezialisierung, laufende Weiterbildung auf eigene Kosten und eine Berufshaftpflichtversicherung mit.

Nicht jeder günstige Preis ist ein schlechtes Angebot – aber nur, wenn der Leistungsinhalt klar definiert ist. Prüfen Sie bei jedem Angebot, ob folgende Leistungen explizit enthalten sind:

• Verarbeitungsverzeichnis (Art. 30 DSGVO): Erstanlage und laufende Pflege. Ein fehlendes oder veraltetes Verzeichnis ist bei Prüfungen regelmäßig der erste Beanstandungspunkt.
• Jährlicher Datenschutzbericht an die Geschäftsleitung: Art. 38 Abs. 3 DSGVO schreibt die direkte Berichtslinie vor. Ohne regelmäßigen Bericht ist diese Pflicht nicht erfüllt.
• Mitarbeiterschulungen: Mindestens eine Schulungsrunde pro Jahr mit Dokumentation. Klären Sie, ob neue Mitarbeiter zwischen den Schulungsterminen separat eingewiesen werden.
• Datenpannen-Unterstützung (Art. 33-34 DSGVO): 72-Stunden-Frist ab Kenntnis. Ist der DSB im Notfall erreichbar, und sind diese Einsätze im Preis enthalten oder werden sie extra berechnet?
• Auftragsverarbeitungsverträge (Art. 28 DSGVO): Prüfung bestehender und neuer AVVs. Wie viele sind im Preis enthalten?
• Behördenkommunikation: Anfragen der Aufsichtsbehörde, Beschwerden von Betroffenen nach Art. 77 DSGVO.

Bestellurkunde, unterschrieben, abgelegt, belegbar. Das ist der Standard – jedes professionelle Mandat beginnt damit, nicht endet damit.

DSB-Mandate sind in vielen Punkten verhandelbar. Folgende Hebel haben Mittelständler in der Praxis erfolgreich genutzt:

• Laufzeit gegen Preis: Ein 24-Monatsvertrag rechtfertigt Nachlässe von 8 bis 15 Prozent. Anbieter schätzen die Planungssicherheit und geben diese weiter.
• Mehrere Mandate bei einem Anbieter: Wenn Ihr Unternehmen neben dem DSB auch den Informationssicherheitsbeauftragten (ISB) oder den Compliance-Beauftragten (CO) extern bestellen muss, sind Bündelpreise verhandlungsfähig. CIVAC bietet alle 25 Beauftragten-Rollen auf einer Plattform an – das schafft strukturellen Verhandlungsspielraum.
• Eigene Vorarbeit: Wenn Ihr Unternehmen ein aktuelles Verarbeitungsverzeichnis und vollständige Auftragsverarbeitungsverträge bereits mitbringt, reduziert das den initialen Aufwand des DSB erheblich. Das sollte sich im Preis widerspiegeln.
• Digitale Zusammenarbeit: Anbieter, die mit einer strukturierten Plattform (statt E-Mail und PDF-Anhängen) arbeiten, haben geringere Koordinationskosten – das kann preislich weitergegeben werden.

Vergleichen Sie mindestens drei Angebote mit identischem Leistungskatalog, bevor Sie verhandeln. Angebote ohne expliziten Leistungskatalog sind kein seriöser Ausgangspunkt für eine Preisverhandlung.

Für Unternehmen in regulierten Branchen ist ein Standard-DSB-Paket oft nicht ausreichend. Folgende Branchen erzeugen typische Kostenzuschläge:

• Gesundheitswesen und Pharma: Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten), Schnittstellen zu SGB V und KHZG, erhöhte DSFA-Pflicht. Zuschlag: 30 bis 60 Prozent gegenüber einem Standard-Mittelstandspaket.
• Finanzdienstleister und Versicherungen: Schnittstellen zu GwG, MaRisk, BAIT. Verarbeitung von Bonitätsdaten und Kontodaten. Regulatorische Abstimmung mit BaFin. Zuschlag: 25 bis 50 Prozent.
• KRITIS-Betreiber nach BSI: NIS-2-Anforderungen (§§ 30, 38 BSIG) verlangen enge Abstimmung zwischen DSB und Informationssicherheitsbeauftragtem. Doppelte Berichtspflichten an BSI und Aufsichtsbehörde. Zuschlag: 20 bis 40 Prozent.
• Internationaler Datentransfer: Unternehmen, die personenbezogene Daten in die USA oder andere Drittländer ohne Angemessenheitsbeschluss übertragen, benötigen laufende TIA-Dokumentation. Zuschlag je nach Anzahl der Transferwege.

Wenn Ihr Unternehmen in eine dieser Kategorien fällt, kommunizieren Sie das beim Angebotsgespräch offen. Versteckte Komplexität führt zu Nachberechnungen – und zu einem DSB, der sich wegen Budgetdruck nicht angemessen um Ihr Mandat kümmert.

Datenschutzbeauftragter ist oft nicht die einzige Pflichtrolle, die der Mittelstand zu besetzen hat. Art. 37 DSGVO (DSB), §§ 30, 38 BSIG (ISB), § 130 OWiG (CO), § 5 ASiG (SiFa) und weitere Normen schreiben je nach Branche und Unternehmensgröße verschiedene Beauftragte vor. Jede Rolle einzeln an verschiedene Anbieter zu vergeben ist organisatorisch aufwendig und teuer.

Bündelmodelle haben für den Mittelstand mehrere Vorteile:

• Einheitliche Dokumentationsstruktur und gemeinsames Audit-Log für alle Beauftragten
• Abgestimmte Berichtslinien an die Geschäftsleitung
• Gemeinsame Schulungsinfrastruktur für alle Compliance-Pflichten
• Rabattiertes Gesamtpaket statt Einzelpreise für jede Rolle

CIVAC bietet als Compliance-Plattform und Officer-as-a-Service genau dieses Bündelmodell: Alle 25 Beauftragten-Rollen auf einer Plattform, mit der Möglichkeit, einzelne Rollen intern zu besetzen und den CIVAC-Workspace zu lizenzieren – und andere extern über das zertifizierte Netzwerk zu bestellen. Informationen zu weiteren Rollen, die im Mittelstand häufig gemeinsam bestellt werden, finden Sie auf der CIVAC-Seite zum Compliance-Beauftragten.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, speziell ausgelegt für den deutschen Mittelstand. Das Preismodell ist transparent: fester Monatsbetrag nach Unternehmensklasse, definierter Leistungsumfang, keine versteckten Stundensatzpositionen für Standardleistungen.

Die Bestellung des externen DSB erfolgt über das zertifizierte CIVAC-Netzwerk: Vertrag, Bestellurkunde und erste Berichtslinie innerhalb von zwei Werktagen. Klassische Kanzleilösungen benötigen dafür zwei bis sechs Wochen. Für Unternehmen mit internem DSB bietet CIVAC die Workspace-Lizenz: Verarbeitungsverzeichnis, Audit-Vorlagen, Schulungsmodul mit Zertifikat, KI-Assistent mit Konfidenz-Score.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie unsere Beauftragten bestellen. Das gilt für den DSB und für alle weiteren der 25 Beauftragten-Rollen.

Sprechen Sie mit uns über Ihre konkrete Situation: Wie viele Mitarbeiter, welche Branche, welche Verarbeitungsstruktur, welche weiteren Pflichten. Aus dem Lesen einen Auftrag machen: info@civac.de.