Externer Datenschutzbeauftragter: Kosten pro Monat und was im Leistungspaket steckt

Art. 37 Abs. 6 DSGVO erlaubt die externe Besetzung des Datenschutzbeauftragten auf Basis eines Dienstleistungsvertrags. Für mittelständische Unternehmen zwischen 50 und 500 Mitarbeitern ist der externe DSB häufig die wirtschaftlichere Lösung gegenüber einer internen Stelle – weil er keine Personalkosten, keinen Schulungsaufwand und keine Sozialabgaben verursacht. Doch was kostet ein externer DSB tatsächlich, und was leistet er für diesen Preis?

Die Antwort auf die Kostenfrage ist nuanciert: Pauschalmodelle zwischen 300 und 1.500 Euro pro Monat decken sehr unterschiedliche Leistungsumfänge ab. Wer nur einen Namen für das Impressum sucht, wird im unteren Preissegment fündig – wer einen DSB sucht, der seine Funktion nach Art. 39 DSGVO tatsächlich erfüllt, muss mehr erwarten und mehr zahlen. Dieser Artikel gibt Orientierung.

Die Kosten für einen externen DSB hängen von mehreren Faktoren ab, die im Angebot explizit adressiert sein müssen. Der wichtigste Faktor ist der Leistungsumfang: Wie viele Stunden ist der DSB monatlich verfügbar? Ist er erreichbar bei Datenpannen außerhalb der Geschäftszeiten? Übernimmt er die VVT-Pflege, die Prüfung neuer Verarbeitungen und die Koordination von Betroffenenanfragen, oder berät er nur auf Anfrage?

Der zweite Faktor ist das Risikoprofil des Unternehmens. Ein Unternehmen, das Gesundheitsdaten verarbeitet (Art. 9 Abs. 1 DSGVO, besondere Kategorien), oder das umfangreiche Profiling betreibt, stellt höhere Anforderungen an die Fachkunde des DSB (Art. 37 Abs. 5 DSGVO) als ein Handwerksbetrieb mit Standardverarbeitungen. Höheres Risikoprofil bedeutet mehr Aufwand und damit höhere Kosten.

Der dritte Faktor ist die Unternehmensgröße. Ein externer DSB, der 50 Mitarbeiter betreut, hat einen anderen Schulungs-, Dokumentations- und Beratungsaufwand als einer, der 500 Mitarbeiter betreut. Viele Anbieter staffeln daher nach Mitarbeiterzahl oder nach Anzahl der betreuten Standorte.

Schließlich spielt die Plattformeinbindung eine Rolle: Ein DSB, der mit einem eigenen Workspace arbeitet (Aufgabenmanagement, Dokumentenablage, Schulungsmodul), liefert einen messbaren Mehrwert gegenüber einem DSB, der lediglich per E-Mail erreichbar ist und Dokumente als Word-Anhang schickt. CIVAC integriert den externen Datenschutzbeauftragten nahtlos in den Compliance-Workspace.

Im Markt für externe DSB-Dienstleistungen haben sich drei Preismodelle etabliert. Das erste ist das reine Stundenmodell: Der DSB rechnet nach tatsächlichem Aufwand ab, typischerweise zwischen 120 und 220 Euro pro Stunde je nach Qualifikation und Spezialisierung. Dieses Modell ist für Unternehmen mit sehr geringem Datenschutzbedarf geeignet, macht aber die monatlichen Kosten schwer planbar.

Das zweite ist das Pauschalmodell: Ein fixer Monatsbetrag deckt einen definierten Leistungsumfang ab – in der Regel 2-6 Stunden pro Monat, VVT-Pflege, Beratung bei einer definierten Anzahl neuer Verarbeitungen und Erreichbarkeit bei Datenpannen. Pauschalen für Mittelständler zwischen 50 und 200 Mitarbeitern mit Standardrisiken liegen typischerweise zwischen 400 und 800 Euro pro Monat. Für risikoreichere Unternehmen oder größere Belegschaften steigen die Pauschalen auf 1.000 bis 1.500 Euro monatlich.

Das dritte ist das Komplettpaket mit Workspace: Hier ist neben der DSB-Funktion eine Softwarelizenz enthalten, über die der DSB seine Aufgaben dokumentiert, Schulungen steuert und Berichte erstellt. Dieses Modell ist teurer in der Monatspauschale, aber im Vergleich zu separatem Workspace-Kauf plus DSB-Honorar oft günstiger – und bietet dem Unternehmen den Vorteil, dass alle Compliance-Nachweise an einem Ort liegen.

Art. 39 Abs. 1 DSGVO definiert fünf Mindestaufgaben des DSB. Ein Angebot, das diese Aufgaben nicht explizit abdeckt, ist kein vollständiges DSB-Angebot. Die fünf Aufgaben sind: Beratung und Unterrichtung des Verantwortlichen und der Mitarbeiter, Überwachung der DSGVO-Compliance einschließlich Schulungen, Beratung bei der DSFA, Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für die Behörde.

Praktisch bedeutet das: Ein externer DSB muss zumindest monatlich aktiv tätig sein, nicht nur auf Anfrage reagieren. Konkrete Tätigkeiten, die im Leistungspaket enthalten sein sollten: jährliche Überprüfung des Verarbeitungsverzeichnisses, Prüfung neuer Auftragsverarbeitungsverträge, Bewertung neuer Verarbeitungen auf DSFA-Pflicht, Schulungsplanung und -überwachung, Koordination bei Datenpannen und Bearbeitung von Betroffenenanfragen.

Ebenfalls wichtig: Die Erreichbarkeit bei Datenpannen. Art. 33 DSGVO sieht eine 72-Stunden-Meldepflicht vor, die Frist läuft ab Kenntnis. Ein DSB, der nur werktags von 9 bis 17 Uhr erreichbar ist, kann diese Frist bei einem Vorfall am Freitagabend nicht einhalten. Das Angebot muss daher Regelungen zur Notfallverfügbarkeit enthalten.

Im Markt für externe Datenschutzdienstleistungen gibt es Angebote, die formal einen DSB-Namen liefern, ohne die inhaltliche Funktion zu erfüllen. Typische Kennzeichen solcher Scheinlösungen: Das Angebot enthält keine definierten Monatsstunden, keine konkrete Aufgabenbeschreibung nach Art. 39 DSGVO und keine Regelung zur Datenpannen-Reaktion. Der DSB ist per E-Mail erreichbar, aber Reaktionszeiten werden nicht garantiert.

Aufsichtsbehörden haben in Prüfverfahren solche Konstellationen beanstandet: Wenn der DSB nachweislich keine aktive Kontrollfunktion ausgeübt hat, keine Schulungen koordiniert und keine VVT-Prüfungen dokumentiert hat, gilt er als nicht ordnungsgemäß bestellt – mit den entsprechenden Bußgeldfolgen nach Art. 83 Abs. 4 DSGVO.

Ein weiteres Warnsignal: Angebote mit sehr niedrigen Monatspauschalen unter 200 Euro. Für diesen Preis ist bei einem qualifizierten DSB kein nennenswerter Leistungsumfang möglich. Wenn die Pauschale nicht ausreicht, einen DSB für mehr als eine Stunde pro Monat zu engagieren, deckt das Paket die gesetzlichen Anforderungen nicht ab.

Ein interner DSB verursacht als Vollzeitstelle Personalkosten von typischerweise 60.000 bis 90.000 Euro Jahresgehalt (Brutto, inklusive Lohnnebenkosten), dazu Weiterbildungskosten, Abonnements für Fachliteratur und ggf. Lizenzkosten für Datenschutzsoftware. Als Teilzeitstelle mit 50 Prozent Dedikation entstehen proportional geringere Personalkosten, aber das Risiko von Interessenkonflikten steigt.

Ein externer DSB auf Pauschalbasis kostet bei vollständiger Betreuung eines Mittelständlers zwischen 6.000 und 18.000 Euro pro Jahr – deutlich unter den Kosten einer internen Stelle. Hinzu kommt: Der externe DSB bringt Fachkenntnis aus parallelen Mandaten mit, die interne Benchmarks und branchenübergreifende Erfahrung liefert. Und er ist sofort einsatzbereit – ohne Recruiting-Aufwand und Einarbeitungszeit.

Für Konzerne mit komplexen Verarbeitungslandschaften und eigenem Datenschutzteam ist ein interner DSB als Leiter dieser Funktion sinnvoll. Für Mittelständler zwischen 50 und 500 Mitarbeitern ohne eigenes Datenschutzteam ist der externe DSB die wirtschaftlich und fachlich überlegene Lösung. CIVAC liefert diese Lösung kombiniert mit einem Workspace, der die gesamte DSB-Tätigkeit dokumentiert.

Beim Vergleich von Angeboten für externe DSB-Dienstleistungen sollten folgende Punkte geprüft werden. Erstens: Ist der Leistungsumfang konkret beschrieben? Stundenbudget pro Monat, Aufgabenliste nach Art. 39 DSGVO, Reaktionszeit bei Datenpannen, Schulungsumfang – all das muss im Angebot stehen, nicht nur im Kleingedruckten.

Zweitens: Welche Qualifikation weist der benannte DSB nach? Zertifizierungen (TÜV, DEKRA, CIPP/E), Berufserfahrung, Branchenkenntnisse. Bei spezifischen Branchen (Gesundheit, Finanz, Logistik) sollten branchenspezifische Referenzen vorhanden sein.

Drittens: Wie ist die Verfügbarkeit bei Datenpannen geregelt? 72 Stunden ab Kenntnis ist die gesetzliche Frist – der Dienstleistungsvertrag muss eine Notfallverfügbarkeit außerhalb der Bürozeiten regeln. Viertens: Wird ein Workspace für die DSB-Dokumentation bereitgestellt, oder arbeitet der DSB ausschließlich mit E-Mail und Word-Dokumenten? Die dokumentierte Aufgabenerfüllung ist im Prüffall entscheidend. CIVAC deckt alle vier Punkte ab: Der externe DSB arbeitet im CIVAC-Workspace, alle Tätigkeiten werden revisionssicher protokolliert.

Die Kosten für einen externen Datenschutzbeauftragten sind als Betriebsausgaben nach § 4 Abs. 4 EStG vollständig abzugsfähig. Das gilt für die monatliche Pauschalvergütung ebenso wie für gesondert abgerechnete Leistungen (Datenpannen-Reaktion, DSFA-Durchführung, Schulungsaufwand). Die Kosten sind damit steuerlich günstiger als sie im Bruttohonorar erscheinen.

Für die umsatzsteuerliche Behandlung gilt: Leistungen eines externen DSB unterliegen dem Regelsteuersatz von 19 Prozent USt. Ist das Unternehmen vorsteuerabzugsberechtigt, erstattet das Finanzamt die USt vollständig. Die tatsächliche Nettobelastung für ein vorsteuerabzugsberechtigtes Unternehmen entspricht damit dem Netto-Honorar.

Ein weiterer steuerlicher Aspekt: Kosten für Datenschutzschulungen der Mitarbeiter – ob extern eingekauft oder über einen Workspace-Anbieter abgerechnet – sind ebenfalls Betriebsausgaben. Die Schulungskosten im CIVAC-Workspace sind in der Plattformlizenz enthalten; eine gesonderte Aktivierung als immaterielles Wirtschaftsgut ist bei laufenden SaaS-Verträgen nicht erforderlich – die gesamte Jahresgebühr ist sofort als Betriebsausgabe abzugsfähig.

Der Dienstleistungsvertrag mit einem externen DSB ist nach Art. 28 DSGVO i. V. m. Art. 37 Abs. 6 DSGVO schriftlich abzuschließen. Laufzeit und Kündigungsfristen sind gesetzlich nicht vorgegeben – sie sind Verhandlungssache. Üblich sind Laufzeiten von zwölf Monaten mit vierteljährlicher Kündigungsmöglichkeit oder Jahresverträge mit automatischer Verlängerung bei fehlendem Widerspruch.

Bei einem Anbieterwechsel ist zu beachten: Der bisherige DSB muss gemäß Art. 38 Abs. 3 DSGVO abberufen werden – durch schriftliche Abberufungserklärung mit Angabe des Wirksamkeitsdatums. Gleichzeitig muss der neue DSB der Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO gemeldet werden. Die Übergabe der bisherigen Dokumentation (VVT, Berichte, laufende Vorgänge) muss vertraglich geregelt sein, da sonst wichtige Compliance-Historien verloren gehen.

Ein weiteres Vertragselement: Datenzugangsrechte. Der externe DSB braucht Zugang zu relevanten Systemen – Mailserver, HR-System, CRM – um seine Überwachungsfunktion nach Art. 39 Abs. 1 lit. b DSGVO erfüllen zu können. Dieser Zugang sollte im Vertrag präzise definiert sein, damit weder Sicherheitslücken entstehen noch der DSB handlungsunfähig wird.

Ein externer DSB ist keine Commodity – er ist eine gesetzlich definierte Funktion mit konkreten Pflichten und messbaren Aufgaben. Wer Angebote nur nach der monatlichen Zahl vergleicht, riskiert eine Scheinlösung zu kaufen, die im Prüffall nicht standhält.

CIVAC bietet die externe DSB-Bestellung mit vollständigem Workspace-Paket: definierter Leistungsumfang nach Art. 39 DSGVO, dokumentierte Aufgabenerfüllung im Compliance-Workspace, Schulungsmodul für Mitarbeiter, Incident-Response-Protokoll für die 72-Stunden-Frist. Lizenzieren Sie den Workspace für Ihren internen DSB – oder lassen Sie unsere zertifizierten Datenschutzbeauftragten die Funktion extern übernehmen. Beides ist innerhalb von zwei Werktagen einsatzbereit.

Aus dem Lesen einen Auftrag machen. Schreiben Sie uns unter info@civac.de – wir erstellen ein transparentes Angebot auf Basis Ihres Risikoprofils, Ihrer Mitarbeiterzahl und Ihres Verarbeitungsumfangs.