77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
Kosten externer Datenschutzbeauftragter: Was Sie 2026 wirklich zahlen
Datenschutz & Privacy

Kosten externer Datenschutzbeauftragter: Was Sie 2026 wirklich zahlen

8. Juli 202612 Min. LesezeitVon Lena Vogt
CIVAC

Externer Datenschutzbeauftragter ab welchem Preis? Diese Analyse zeigt Pauschalen, Stundensätze und Leistungsumfänge für 2026, inklusive Vergleichsmatrix und Wirtschaftlichkeitsrechnung gegen interne Lösungen mit Vertretung, Audit und Behördenkontakt.

Nach Art. 37 DSGVO und § 38 BDSG müssen Unternehmen in Deutschland ab 20 Personen, die ständig personenbezogene Daten automatisiert verarbeiten, einen Datenschutzbeauftragten bestellen. Die häufigste Frage in der Vorbereitung lautet selten, ob die Bestellung nötig ist, sondern was sie tatsächlich kostet und welche Leistung im Preis enthalten ist. Pauschalangebote zwischen 150 und 1.800 Euro netto pro Monat zeigen, wie groß die Spannweite am Markt ist und wie viel Leistung sich hinter jeder Preisstufe verbergen kann. Wer die Bandbreite nicht sauber liest, kauft entweder zu wenig Schutz oder zu viel Beratung. Beides verursacht messbare Folgekosten, im einen Fall durch Bußgelder, im anderen Fall durch ungenutzte Beratungsstunden.

Dieser Beitrag schlüsselt für das Jahr 2026 auf, welche Kostenmodelle bestehen, welche Faktoren den Preis treiben, wann sich ein externer Datenschutzbeauftragter wirtschaftlich rechnet und welche Vertragsklauseln die Aufsichtsbehörde im Ernstfall sehen will. Sie erhalten konkrete Preisbänder nach Mitarbeiterzahl, eine Vergleichsmatrix gegen interne Lösungen, eine Liste typischer Aufschläge sowie eine Checkliste, mit der Sie Angebote audit-fest prüfen. Am Ende wissen Sie, welche Position in Ihrem Unternehmen welche Investition rechtfertigt, welche Aufschläge fair sind und worauf die Bestellurkunde inhaltlich einzahlen muss, damit der Prüfer sie nicht zurückweist und damit die Geschäftsführung im Verteidigungsfall einen vollständigen Beweisstand vorlegen kann.

Auf einen Blick

  • Externe Datenschutzbeauftragte kosten 2026 typischerweise zwischen 150 und 1.800 Euro netto pro Monat, je nach Mitarbeiterzahl, Datenkategorie und Auditbedarf.
  • Stundensatzmodelle (120 bis 220 Euro netto) lohnen sich nur bei Unternehmen mit unter 30 Beschäftigten und geringer Verarbeitungsintensität.
  • Eine interne Lösung kostet inklusive Vertretung, Schulung und Tooling regelmäßig das 2- bis 3-fache einer externen Beauftragung mit vergleichbarem Leistungsumfang.

Pflicht zur Bestellung und Bußgeldrahmen

Die Bestellpflicht ergibt sich aus Art. 37 Abs. 1 DSGVO in Verbindung mit § 38 Abs. 1 BDSG. Unternehmen ab 20 Personen, die personenbezogene Daten ständig automatisiert verarbeiten, müssen einen Datenschutzbeauftragten benennen. Hinzu treten zwei verarbeitungsbezogene Pflichtfälle: Kerntätigkeit mit regelmäßiger und systematischer Überwachung betroffener Personen sowie umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO oder strafrechtlich relevanter Daten nach Art. 10 DSGVO. Konzerne mit unter 20 Beschäftigten je Gesellschaft erreichen die Schwelle häufig durch konzernweite Datenströme, die in zentralen Systemen zusammenlaufen. Auch Vereine und Stiftungen sind betroffen, sobald sie Mitgliederverwaltung oder Spendenverarbeitung mit mehr als 20 Personen betreiben.

Wird die Bestellung versäumt oder nicht ordnungsgemäß dokumentiert, drohen Bußgelder nach Art. 83 Abs. 4 DSGVO bis 10 Mio. Euro oder 2 Prozent des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist. Aufsichtsbehörden prüfen routinemäßig drei Nachweise: eine schriftliche Bestellurkunde, die Meldung an die zuständige Aufsichtsbehörde nach § 38 Abs. 1 Satz 2 BDSG und die Veröffentlichung der Kontaktdaten auf der Unternehmenswebsite nach Art. 37 Abs. 7 DSGVO. Wer einen externen Datenschutzbeauftragten bestellt, muss diese drei Punkte mit Datum, Unterschrift und Erreichbarkeit hinterlegen können. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Wirtschaftlich relevant ist auch die Haftungsverlagerung. Ein extern bestellter Datenschutzbeauftragter trägt eigene Berufshaftpflicht, in der Regel mit 1 bis 3 Mio. Euro Deckungssumme. Interne Beauftragte arbeiten unter der allgemeinen Geschäftsführerhaftung und der Sphäre des Arbeitgebers, was im Schadenfall zu deutlich höheren Eigenrisiken führt. Auch der Sonderkündigungsschutz nach § 6 Abs. 4 BDSG bindet das Unternehmen langfristiger an einen internen Beauftragten als an einen externen Vertragspartner, der nach Ablauf der vereinbarten Frist entlassen werden kann.

Preisbänder 2026 nach Unternehmensgröße

Der Markt für externe Datenschutzbeauftragte hat sich 2026 in drei klar abgegrenzte Preisbänder eingependelt. Für Kleinunternehmen mit 20 bis 49 Beschäftigten und geringer Datenintensität liegen Pauschalen zwischen 150 und 450 Euro netto pro Monat. Inkludiert sind typischerweise: einmalige Bestandsaufnahme, Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, ein bis zwei jährliche Audits und maximal 2 bis 4 Stunden Beratung pro Monat. Anbieter unterhalb 150 Euro netto arbeiten in der Regel mit reduzierten Leistungspaketen oder lagern Aufwände in Zusatztickets aus, die später separat abgerechnet werden.

Das mittlere Band umfasst Unternehmen mit 50 bis 249 Beschäftigten. Hier liegen Pauschalen zwischen 450 und 950 Euro netto pro Monat. Eingeschlossen sind quartalsweise Audits, Schulungspflichten nach Art. 39 Abs. 1 lit. b DSGVO, Datenpannenmeldung innerhalb der 72-Stunden-Frist nach Art. 33 DSGVO und mindestens eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO pro Jahr. Die Beratungszeit steigt auf 6 bis 12 Stunden monatlich. Wer Verarbeitungen mit besonderen Datenkategorien betreibt, etwa Gesundheits- oder biometrische Daten, landet typischerweise im oberen Drittel dieses Bandes, weil DSFA und Schulungstiefe zunehmen.

Im oberen Band (250 bis 1.000 und mehr Beschäftigte) bewegen sich Pauschalen zwischen 950 und 1.800 Euro netto pro Monat, bei Konzernen mit komplexer Auftragsverarbeitung auch deutlich darüber. Hinzu kommen Aufschläge für besondere Datenkategorien, internationale Datentransfers nach Kap. V DSGVO und sektorspezifische Anforderungen wie § 22 BDSG für Sozialdaten oder § 203 StGB für Berufsgeheimnisträger. Eine seriöse Kalkulation kennt Stundenkontingente, Reaktionszeiten und Eskalationspfade. Wer nur eine Pauschalsumme ohne Stundenobergrenze und ohne Sondervorfallklausel erhält, kauft eine Black Box und sollte nachverhandeln, bevor der erste Vorfall eintritt. CIVAC stellt 25 Beauftragten-Rollen unter einem einheitlichen Berichtsstandard bereit.

Stundensatz versus Pauschale: Wann sich welches Modell rechnet

Stundensatzmodelle bewegen sich 2026 zwischen 120 und 220 Euro netto pro Stunde. Sie wirken auf den ersten Blick günstig, weil die monatliche Grundgebühr entfällt. In der Praxis lohnt sich das Modell jedoch nur, wenn der jährliche Aufwand unter 24 Stunden liegt, also bei sehr kleinen Unternehmen mit stabilen Prozessen, geringer Mitarbeiterfluktuation und ohne Pflicht zur Datenschutzfolgenabschätzung. Sobald Audits, Schulungen oder Datenpannen hinzukommen, übersteigt der Stundenaufwand die Pauschale schnell, ohne dass die Reaktionsgeschwindigkeit innerhalb der 72-Stunden-Frist nach Art. 33 DSGVO vertraglich gesichert wäre.

Pauschalmodelle planen Aufgaben über das Jahr. Sie schaffen Reaktionssicherheit, weil Audit, Schulung und Meldepfade bereits abgedeckt sind. Eine Pauschale von 600 Euro netto pro Monat entspricht 7.200 Euro pro Jahr. Bei einem Stundensatz von 180 Euro wären das rund 40 Stunden, ein realistisches Mindestkontingent für Unternehmen mit 100 Beschäftigten und drei Verarbeitungstätigkeiten in besonderen Datenkategorien. Wer mit Stundensatz hochrechnet, übersieht häufig die Bereitschaftszeit für die 72-Stunden-Frist, die im Pauschalmodell implizit eingepreist ist, sowie den Aufwand für Onboarding neuer Mitarbeiter und die jährliche Verzeichnispflege.

Entscheidend ist der Leistungskatalog. Pauschalen ohne klare Stundenobergrenze führen zu Nacharbeitstickets, die separat abgerechnet werden. Hybride Modelle (Grundpauschale plus festes Stundenkontingent plus definierter Stundensatz für Mehraufwand) bilden die Realität am besten ab und vermeiden Konflikte bei Sondervorfällen. Der CIVAC-Workspace dokumentiert pro Auftrag, welche Stunden in Audit, Beratung und Meldung geflossen sind, und macht die Stundenkalkulation für Geschäftsführung und Aufsichtsbehörde nachvollziehbar. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Was die Pauschale enthalten muss

Ein belastbares Angebot listet sieben Leistungsblöcke, die jeweils mit Paragraf und Frist hinterlegt sein müssen. Erstens: Bestellurkunde mit Datum, Unterschrift, vollständigem Aufgabenkatalog nach Art. 39 DSGVO und Meldung an die zuständige Aufsichtsbehörde nach § 38 Abs. 1 Satz 2 BDSG. Zweitens: Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, inklusive jährlicher Pflege, Versionierung und einer revisionssicheren Ablage, aus der Veränderungen nachvollziehbar bleiben. Ohne Versionierung verliert das Verzeichnis im Aufsichtsverfahren an Beweiswert, weil die zeitliche Reihenfolge nicht mehr rekonstruierbar ist.

Drittens: Datenschutzfolgenabschätzungen nach Art. 35 DSGVO für Hochrisikoverarbeitungen, einschließlich der DSK-Positivliste und der branchenspezifischen Anlässe. Viertens: Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit Prüfung bestehender Verträge, Mustervertrag und Begleitung der Vertragsverhandlung mit kritischen Dienstleistern, insbesondere bei Cloud-Anbietern und Marketing-Tools mit Drittstaatentransfer. Fünftens: Reaktion auf Betroffenenanfragen nach Art. 15 bis 22 DSGVO innerhalb der Monatsfrist nach Art. 12 Abs. 3 DSGVO, inklusive Formulartextbausteinen, Identitätsprüfung und Eskalationspfad bei komplexen Auskunftsersuchen.

Sechstens: Datenpannenmeldung innerhalb von 72 Stunden nach Art. 33 DSGVO, inklusive vorbereiteter Meldetexte für die Aufsichtsbehörde und Benachrichtigungstexte für betroffene Personen nach Art. 34 DSGVO. Siebtens: Schulungen nach Art. 39 Abs. 1 lit. b DSGVO mit dokumentiertem Teilnahmenachweis und Frischauffrischung mindestens einmal jährlich. Fehlt einer dieser Blöcke, wird im Ernstfall nachverhandelt, meist unter Zeitdruck und zu schlechteren Konditionen. Audit-fest, dokumentiert, § 38-fest. Die FAQ-Seite zur Beauftragten-Bestellung listet die typischen Lücken auf. CIVAC stellt 490 einsatzbereite Audit-Vorlagen, eine vollständige Bestellurkunde und einen Workspace mit klarer Berichtslinie zur Geschäftsführung. Der Prüfer ruft an, der Nachweis liegt bereit.

Wirtschaftlichkeitsrechnung: Intern oder extern

Eine interne Lösung kostet selten weniger als die externe Variante, wenn man alle Bestandteile sauber kalkuliert. Ein interner Datenschutzbeauftragter mit Teilzeitkontingent von 20 Prozent kostet bei einem Bruttojahresgehalt von 80.000 Euro etwa 19.200 Euro reinen Personalaufwand, zuzüglich Lohnnebenkosten von rund 4.000 Euro. Hinzu kommen 1.200 bis 2.500 Euro für die Pflichtfortbildung nach Art. 38 Abs. 2 DSGVO, mit der das Unternehmen die erforderliche Fachkunde nachweisen muss. Hinzu treten Software-Lizenzen für Audit- und Dokumentationsplattformen (1.200 bis 4.800 Euro jährlich) sowie eine Stellvertreterregelung für Urlaub, Krankheit und Elternzeit, die separat zu budgetieren ist.

Im Vergleich liegt ein externer Datenschutzbeauftragter für ein Unternehmen mit 100 Beschäftigten bei rund 7.200 bis 11.400 Euro netto pro Jahr inklusive Vertretung, Audit und Behördenkommunikation. Die Differenz beträgt regelmäßig den Faktor 2 bis 3. Ein interner Beauftragter ist nur dann wirtschaftlich sinnvoll, wenn das Unternehmen mehr als 250 Beschäftigte hat, hochkomplexe Verarbeitungen betreibt oder branchenspezifische Anforderungen ein eingebettetes Mandat verlangen, etwa Bankgeheimnis nach § 32a KWG oder Sozialdaten nach §§ 67 ff. SGB X. Auch hier prüfen viele Unternehmen Mischmodelle aus internem Ansprechpartner plus externer Audit-Plattform.

Weniger sichtbar, aber wirtschaftlich relevant: die Risikokosten. Bußgelder nach Art. 83 DSGVO erreichen bis 20 Mio. Euro oder 4 Prozent des weltweiten Konzernumsatzes. Eine dokumentierte Bestellung mit klarer Berichtslinie reduziert nachweislich die Wahrscheinlichkeit eines Bußgeldverfahrens, weil Aufsichtsbehörden vorhandene Strukturen positiv werten und im Bußgeldzumessungsleitfaden der DSK explizit als mildernden Faktor anerkennen. Wer einen externen Beauftragten bestellt, kauft also nicht nur Beratungszeit, sondern messbare Risikoreduktion sowie eine zweite Verteidigungslinie gegenüber zivilrechtlichen Schadensersatzansprüchen nach Art. 82 DSGVO.

Versteckte Kosten und faire Aufschläge

Drei Kostenpositionen tauchen häufig erst nach Vertragsschluss auf. Erstens: der Initialaufwand. Eine seriöse Bestandsaufnahme bei einem Unternehmen mit 100 Beschäftigten umfasst 16 bis 32 Stunden und wird entweder als Einmalpauschale (2.500 bis 6.000 Euro netto) oder über erhöhte Monatsraten in den ersten drei Monaten abgebildet. Anbieter ohne Initialphase springen blind ins Mandat und liefern später lückenhafte Verzeichnisse, die in der ersten behördlichen Prüfung oder bei einer Kundenanfrage zur Vendor-Compliance auffallen.

Zweitens: Sondervorfälle. Eine Datenpanne mit Meldung nach Art. 33 DSGVO, Betroffenenbenachrichtigung nach Art. 34 DSGVO und Behördenkommunikation kann 8 bis 24 Stunden binden, in komplexen Fällen mit forensischer Analyse deutlich mehr. Faire Verträge regeln eindeutig, ob solche Vorfälle aus dem regulären Stundenkontingent kommen oder separat abgerechnet werden. Drittens: Audits vor Ort. Ein Standort-Audit kostet zwischen 800 und 1.800 Euro netto inklusive Anfahrt, je nach Region und Audit-Tiefe. Remote-Audits sind günstiger, decken aber physische Sicherheitsaspekte wie Zutrittskontrolle und Aktenvernichtung nicht vollständig ab.

Faire Aufschläge ergeben sich bei besonderen Datenkategorien (Art. 9 DSGVO), bei internationalen Transfers nach Kap. V DSGVO mit Standardvertragsklauseln und Transfer Impact Assessments und bei mehr als drei Auftragsverarbeitern. Diese Aufschläge sollten im Angebot vorab quantifiziert sein, nicht erst auf Rechnung erscheinen. Frist läuft ab Kenntnis. Wer den Vertrag genau liest, erkennt die seriösen Anbieter an der Transparenz ihrer Stundenkalkulation, an der Klarheit der Sondervorfallregelung und an der Bereitschaft, Aufschläge mit Stundenwerten zu hinterlegen statt mit pauschalen Prozentsätzen, die im Eskalationsfall nachverhandelt werden müssen. Verlangen Sie zudem eine schriftliche Mitteilung, sobald das jährliche Stundenkontingent zu 80 Prozent ausgeschöpft ist, damit kein Sondervorfall unbemerkt in den Mehraufwand rutscht und Sie Budgetkontrolle behalten.

Vergleichsmatrix: Drei Anbieterklassen

Am Markt finden sich 2026 drei Anbieterklassen mit unterschiedlichen Stärken. Erstens: Einzelkanzleien. Rechtsanwälte mit Datenschutz-Fokus rechnen oft nach RVG oder Stundensatz ab. Vorteil: hohe juristische Tiefe bei Bußgeldverfahren, in Aufsichtsverfahren oder bei zivilrechtlichen Schadensersatzansprüchen nach Art. 82 DSGVO. Nachteil: dünne Operativstruktur, in der Regel keine Vertretung, keine Plattform, kein 24-Stunden-Bereitschaftsdienst und kein standardisiertes Audit-Logbuch. Geeignet für Unternehmen mit eigenem Datenschutz-Team, das nur juristische Rückendeckung benötigt und die operative Dokumentation selbst führt.

Zweitens: Beratungshäuser. IT-Beratungen mit angeschlossenem Datenschutz-Team bieten Pauschalen ab 350 Euro netto pro Monat. Vorteil: standardisierte Prozesse, vorhandene Tools, schnelle Reaktion bei Routinefragen, oft mit Helpdesk und Ticketsystem. Nachteil: häufig Personalwechsel im Mandat, lückenhafte juristische Schärfe bei komplexen Fällen, Aufpreise für branchenspezifische Verfahren wie BAIT, KAIT oder VAIT. Auch die Vertretungsregelung ist oft auf eine einzige Person konzentriert, was bei Krankheit oder Kündigung Reaktionszeiten verlängert.

Drittens: Compliance-Plattformen mit Officer-as-a-Service. Hier verbinden sich Workspace, Beauftragter und Audit-Infrastruktur in einem einzigen Mandat. CIVAC zählt zu dieser Klasse und stellt 25 Beauftragten-Rollen mit identischem Berichtsstandard, von DSB über ISB bis GwB. Vorteil: dokumentierte Berichtslinie, zentrale Beweissicherung, ein SLA von 2 Werktagen statt der branchenüblichen 2 bis 6 Wochen, EU-Datenresidenz und ein einheitliches Audit-Logbuch. Aus dem Lesen einen Auftrag machen ergibt hier einen messbaren Effekt: Bestellung, Verzeichnis, Schulungsplan und Meldepfad sind in 14 Tagen lieferfähig. Wer mehrere Beauftragten-Rollen parallel braucht, reduziert mit dieser Klasse den Koordinationsaufwand erheblich, weil ein Verzeichnis, eine Risikobewertung und eine Berichtslinie für alle Mandate gelten. Auch die Schulungsteilnahme der Mitarbeiter lässt sich rollenübergreifend verwalten, was Doppelinhalte und doppelte Teilnahmebuchungen vermeidet.

Vertragslaufzeit, Kündigung und Übergabe

Marktüblich sind Vertragslaufzeiten von 12 oder 24 Monaten mit dreimonatiger Kündigungsfrist zum Vertragsende. Kürzere Laufzeiten von 6 Monaten gibt es bei spezialisierten Anbietern, allerdings mit Aufschlägen von 15 bis 25 Prozent auf die Monatspauschale. Für KMU empfiehlt sich eine erste Laufzeit von 12 Monaten mit automatischer Verlängerung, um den Wechselaufwand niedrig zu halten und die Initialphase nicht doppelt zu zahlen. Längere Laufzeiten über 24 Monate hinaus verhandeln sich nur mit klaren Preisgleitklauseln sinnvoll, weil sich Audit-Standards und Bußgeldpraxis innerhalb dieses Zeitraums spürbar verändern können.

Die Kündigung muss formal an den Vertragspartner und parallel an die zuständige Aufsichtsbehörde gemeldet werden, weil die Bestellung nach § 38 Abs. 1 Satz 2 BDSG meldepflichtig war. Wer den Wechsel plant, sollte eine Übergabephase von mindestens 30 Tagen einplanen, damit der alte Beauftragte das Verzeichnis nach Art. 30 DSGVO, Auftragsverarbeitungsverträge, offene Datenpannen-Vorgänge und alle Schulungsnachweise übergibt. Eine schriftliche Übergabe-Checkliste mit Quittung schützt vor Lücken und vor Streit über die Vollständigkeit der übergebenen Dokumentation. Auch laufende Betroffenenanfragen müssen formal weitergegeben und der antragstellenden Person mitgeteilt werden.

Bei einem Wechsel zu CIVAC erstellen wir eine 14-Tage-Onboarding-Sequenz: Tag 1 Bestellurkunde, Tag 3 Aufnahme aller Verarbeitungstätigkeiten, Tag 7 Risikobewertung, Tag 10 Schulungsplan, Tag 14 erste Berichtslinie an die Geschäftsführung. Dokumentation läuft im Workspace mit EU-Datenresidenz, sodass auch Behörden und Konzernrevisoren die Beweiskette nachvollziehen können, ohne dass Dateien außerhalb der EU verarbeitet werden. Die zweite Beauftragten-Rolle, etwa ein externer Informationssicherheitsbeauftragter, lässt sich modular ergänzen, was die Gesamtkosten gegenüber zwei getrennten Mandaten regelmäßig um 20 bis 30 Prozent senkt und die Doppelarbeit bei Risikobewertungen vermeidet.

Wie Sie Angebote vergleichen und entscheiden

Vergleichen Sie Angebote anhand von fünf Kennzahlen: Monatspauschale, Stundenkontingent, Reaktionszeit (SLA) bei Datenpannen, Audit-Frequenz und Vertretungsregelung. Lassen Sie sich pro Position eine Stundenkalkulation zeigen, nicht nur eine Pauschalsumme. Prüfen Sie die Berufshaftpflicht mit Deckungssumme und Geltungsbereich und fordern Sie zwei bis drei Referenzen aus Ihrer Branche an, idealerweise mit vergleichbarer Mitarbeiterzahl. Achten Sie auf Datenresidenz: Werkzeuge mit Servern außerhalb der EU benötigen Standardvertragsklauseln und ein Transfer Impact Assessment, was Folgekosten verursacht und die Reaktionszeit verlängert. Klären Sie außerdem, wer im Urlaub vertretungsberechtigt ist und ob dieselbe Person Zugriff auf das vollständige Verzeichnis hat.

Wenn Sie eine Lösung suchen, die Beauftragten-Mandat, Audit-Plattform und Berichtslinie in einem Paket liefert, prüfen Sie CIVAC als Compliance-Plattform und Officer-as-a-Service. Die Plattform stellt 93 Controls nach ISO/IEC 27001:2022, 490 Audit-Vorlagen und einen Workspace mit EU-Datenresidenz bereit. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, je nach interner Kapazität und Risikoprofil. Beide Wege münden in denselben Berichtsstandard und denselben Beweisstand, sodass die Wahl an Kosten und Steuerungsanspruch entschieden werden kann, nicht an Tooling.

Wer einen unverbindlichen Vergleich seines aktuellen Setups gegen die CIVAC-Pauschale wünscht, schreibt an info@civac.de oder nutzt das Kontaktformular auf der Rollen-Übersicht. Innerhalb von 2 Werktagen erhalten Sie ein konkretes Angebot mit Stundenkalkulation, Bestellurkunde-Entwurf und Meldepfad. Im Erstgespräch klären wir den Umfang der Bestandsaufnahme, die Reaktionszeit bei Datenpannen, den Audit-Rhythmus sowie die gewünschte Vertretungsregelung. Auf Wunsch erhalten Sie zusätzlich eine kurze Wirtschaftlichkeitsrechnung gegen Ihr aktuelles internes Setup, basierend auf Mitarbeiterzahl, Datenkategorien und der Zahl Ihrer Auftragsverarbeiter. Aus dem Lesen einen Auftrag machen.

FAQ

Ab welcher Mitarbeiterzahl ist ein Datenschutzbeauftragter Pflicht?

Nach § 38 Abs. 1 BDSG ist ein Datenschutzbeauftragter ab 20 Personen Pflicht, die ständig personenbezogene Daten automatisiert verarbeiten. Unabhängig von der Mitarbeiterzahl besteht die Pflicht außerdem nach Art. 37 DSGVO bei Kerntätigkeiten mit regelmäßiger Überwachung oder bei umfangreicher Verarbeitung besonderer Datenkategorien.

Was kostet ein externer Datenschutzbeauftragter pro Monat?

Für KMU mit 20 bis 49 Beschäftigten liegen Pauschalen 2026 zwischen 150 und 450 Euro netto pro Monat. Mittelständische Unternehmen mit 50 bis 249 Beschäftigten zahlen 450 bis 950 Euro. Größere Unternehmen ab 250 Beschäftigten kalkulieren mit 950 bis 1.800 Euro netto pro Monat, abhängig von Datenkategorie und Auditfrequenz.

Welche Leistungen muss die Pauschale enthalten?

Bestellurkunde nach § 38 BDSG, Verzeichnis nach Art. 30 DSGVO, Datenschutzfolgenabschätzungen nach Art. 35 DSGVO, Prüfung von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO, Reaktion auf Betroffenenanfragen, 72-Stunden-Meldepfad nach Art. 33 DSGVO und jährliche Mitarbeiterschulung nach Art. 39 DSGVO sind die sieben Pflichtbausteine.

Ist ein externer Datenschutzbeauftragter günstiger als eine interne Lösung?

Bei Unternehmen unter 250 Beschäftigten ist die externe Lösung regelmäßig 2- bis 3-fach günstiger. Ein interner Beauftragter mit Teilzeitkontingent kostet inklusive Schulung, Software und Vertretung 20.000 bis 30.000 Euro pro Jahr, ein externer Beauftragter 7.200 bis 11.400 Euro für vergleichbaren Leistungsumfang.

Welche Vertragslaufzeit ist üblich?

Marktüblich sind 12 oder 24 Monate mit dreimonatiger Kündigungsfrist. Kürzere Laufzeiten gehen mit 15 bis 25 Prozent Aufschlag einher. Für erstmalige Mandate empfiehlt sich eine 12-Monats-Laufzeit mit automatischer Verlängerung, um Wechselaufwand und Initialkosten in Einklang zu bringen.

Welche Haftung trägt der externe Datenschutzbeauftragte?

Externe Datenschutzbeauftragte tragen eigene Berufshaftpflicht, üblicherweise mit 1 bis 3 Mio. Euro Deckungssumme. Damit verlagert sich ein Teil des Schadenrisikos vom Unternehmen auf den Beauftragten. Interne Beauftragte arbeiten unter Geschäftsführerhaftung, was im Schadenfall zu höheren Eigenrisiken führen kann.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge