Was kostet ein externer Datenschutzbeauftragter: Kosten, Modelle und Kalkulation

Art. 37 DSGVO verpflichtet Unternehmen bestimmter Kategorien zur Benennung eines Datenschutzbeauftragten – und in vielen Fällen ist der externe Beauftragte die wirtschaftlich sinnvollere Lösung. Die Frage nach den Kosten ist dabei legitim und wichtig: Sie entscheidet darüber, ob eine Organisation dauerhaft regelkonform handeln kann oder ob der Beauftragten-Posten intern besetzt wird, obwohl das Fachwissen fehlt.

Der Markt für externe Datenschutzbeauftragte zeigt eine erhebliche Preisspanne – von unter 100 Euro monatlich bis zu mehreren Tausend Euro pro Monat bei intensiver Betreuung. Dieser Beitrag legt die Kostenfaktoren transparent offen, erläutert gängige Vergütungsmodelle und zeigt, welche Leistungen ein professionelles Mandat umfassen sollte, damit Sie Angebote sachlich bewerten können.

Bevor die Kostenfrage sinnvoll beantwortet werden kann, muss die Bestellpflicht geklärt sein. Art. 37 DSGVO in Verbindung mit § 38 BDSG schreibt die Bestellung eines DSB vor, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Auch Unternehmen, die umfangreiche Datenverarbeitungen im Sinne von Art. 37 Abs. 1 lit. b oder c DSGVO durchführen, sind unabhängig von der Beschäftigtenzahl verpflichtet.

Viele mittelständische Unternehmen im Gesundheitswesen, in der Finanzbranche oder im verarbeitenden Gewerbe unterschreiten formal die 20-Personen-Schwelle, erfüllen aber dennoch die Bestellpflicht, weil sie sensible Datenkategorien nach Art. 9 DSGVO verarbeiten. Prüfen Sie daher nicht nur die Mitarbeiterzahl, sondern auch die Art der verarbeiteten Daten.

Steht fest, dass eine Bestellpflicht besteht, schließt sich die Frage an: intern oder extern? Beide Optionen sind nach DSGVO zulässig. Der externe DSB wird auf Basis eines Dienstleistungsvertrags tätig und unterliegt denselben Pflichten wie ein interner – insbesondere der Verschwiegenheitspflicht nach Art. 38 Abs. 5 DSGVO. Für viele Unternehmen ist der externe Weg die pragmatischere Lösung, weil sofort einsatzbereites Fachwissen eingekauft wird. Weitere Informationen zur Rolle finden Sie auf der CIVAC-Seite zum externen Datenschutzbeauftragter.

Auf dem Markt dominieren drei Vergütungsmodelle. Das erste ist der Monatspauschalen-Vertrag: Ein fester monatlicher Betrag deckt ein vorab definiertes Leistungspaket ab – typischerweise eine jährliche Mindestanzahl an Arbeitsstunden, regelmäßige Berichterstattung an die Geschäftsleitung, eine Anzahl von Mitarbeiterschulungen sowie Erreichbarkeit per E-Mail. Dieses Modell bietet Planungssicherheit, birgt aber das Risiko, dass außergewöhnliche Aufwände (z. B. Datenpannenmeldungen nach Art. 33 DSGVO oder behördliche Anfragen) nicht enthalten sind.

Das zweite Modell ist der Stundensatzvertrag: Abgerechnet wird nach tatsächlich erbrachten Stunden. Stundensätze für qualifizierte DSBs liegen je nach Region und Spezialisierung zwischen 120 und 280 Euro. Dieses Modell ist transparent, macht Kosten jedoch schwer planbar – insbesondere wenn ein Datenschutzvorfall eintritt und intensive Unterstützung erforderlich wird.

Das dritte Modell ist der Jahresretainer: Eine Abschlagszahlung reserviert ein Kontingent an Arbeitsstunden oder -tagen pro Jahr. Nicht verbrauchte Kontingente verfallen oder werden gutgeschrieben. Retainer eignen sich für Unternehmen mit schwankendem Bedarf.

In der Praxis kombinieren viele Anbieter Elemente aller drei Modelle: ein Grundpauschalpreis für den regulären Betrieb, ergänzt durch Stundensätze für außerplanmäßige Tätigkeiten. Lesen Sie diesen Zusatz genau, bevor Sie einen Vertrag unterzeichnen.

Konkrete Zahlen helfen beim Vergleich. Als grobe Orientierung für den deutschen Markt gelten folgende Preisspannen:

• Kleinunternehmen (unter 50 Mitarbeiter, einfache Verarbeitungsstruktur): 80 bis 250 Euro pro Monat. Häufig Pauschalpakete mit begrenztem Stundenumfang (3-6 Stunden/Jahr) und einer jährlichen Schulung.
• Mittelstand (50 bis 500 Mitarbeiter, mehrere Abteilungen, gelegentlich sensitive Daten): 250 bis 800 Euro pro Monat. Das Paket umfasst regelmäßige Abstimmungsgespräche, Verarbeitungsverzeichnis-Pflege, Datenschutz-Folgenabschätzungen (DSFA nach Art. 35 DSGVO) und Schulungen.
• Größerer Mittelstand (500 bis 2.000 Mitarbeiter, mehrere Standorte, komplexe Verarbeitungen): 800 bis 2.500 Euro pro Monat. Häufig mit dedizierten Stunden für Projektbegleitung, Auftragsverarbeitungsverträge nach Art. 28 DSGVO und Behördenkommunikation.

Diese Spannen sind Marktrichtwerte, keine bindenden Tarife. Qualitätsunterschiede zwischen Anbietern sind erheblich. Ein DSB mit einschlägiger Zertifizierung (z. B. TÜV-Zertifikat Datenschutzbeauftragter oder ISO-Qualifikation) kostet in der Regel mehr – liefert aber Nachweise, die im Prüfungsfall belegbar sind.

Ein niedriger Monatspreis ist erst dann ein gutes Angebot, wenn klar ist, welche Leistungen er einschließt. Folgende Positionen sollte ein professioneller DSB-Vertrag explizit regeln:

1. Verarbeitungsverzeichnis (Art. 30 DSGVO): Erstanlage und laufende Pflege. Ohne aktuelles Verzeichnis fehlt die Grundlage für jede Behördenauskunft.
2. Risikoanalyse und DSFA (Art. 35 DSGVO): Wann wird eine Datenschutz-Folgenabschätzung durchgeführt? Ist deren Erstellung im Preis enthalten?
3. Datenpannenmeldung (Art. 33-34 DSGVO): Die 72-Stunden-Frist läuft ab Kenntnis. Stehen Sie im Notfall in Kontakt mit Ihrem DSB – oder ist dieser außerhalb der Geschäftszeiten nicht erreichbar?
4. Mitarbeiterschulungen: Anzahl, Format (Online oder Präsenz), Zertifikat und Protokoll.
5. Behördenkommunikation: Anfragen der Aufsichtsbehörde, Beschwerden nach Art. 77 DSGVO, Auskunftsersuchen Betroffener.
6. Auftragsverarbeitungsverträge (AVV nach Art. 28 DSGVO): Prüfung und Verhandlung mit Dienstleistern.

Fehlen einzelne dieser Punkte im Vertrag, sind sie entweder nicht enthalten oder werden nach Aufwand berechnet. Beides sollten Sie vor Vertragsschluss wissen.

Ein direkter Kostenvergleich zwischen interner Stelle und externem Mandat wird häufig vereinfacht dargestellt. Die vollständige Rechnung ist komplexer. Ein intern bestellter DSB benötigt – unabhängig davon, dass dies seine Hauptaufgabe oder eine Nebenfunktion ist – Zugang zu laufender Weiterbildung, denn das Datenschutzrecht entwickelt sich kontinuierlich weiter. Die DSGVO-Leitlinien des Europäischen Datenschutzausschusses (EDSA) werden regelmäßig aktualisiert; Urteile des Europäischen Gerichtshofs (z. B. Schrems II, 2020) verändern die Praxis erheblich.

Für eine realistische Vollkostenbetrachtung interner DSB-Stelle (Mittelstand, ca. 200 Mitarbeiter, Nebenfunktion):

• Anteiliges Jahresgehalt für die Nebenaufgabe: 8.000 bis 15.000 Euro
• Externe Weiterbildung und Zertifizierung: 1.500 bis 3.000 Euro jährlich
• Ggf. Haftpflichtversicherung für Fehler in Amtsausübung: 500 bis 1.500 Euro

Gesamtkosten intern: 10.000 bis 19.500 Euro pro Jahr. Im Vergleich dazu liegt ein professioneller externer DSB für ein Unternehmen gleicher Größe bei 3.600 bis 9.600 Euro jährlich (300 bis 800 Euro monatlich). Der externe Weg ist in der Mehrzahl der Fälle nicht nur günstiger, sondern auch nachweislich kompetenter – was bei einer Prüfung durch die Aufsichtsbehörde zählt.

Preis allein ist kein Qualitätsmerkmal. Folgende Kriterien helfen bei der Bewertung:

• Nachgewiesene Qualifikation: Einschlägige Zertifizierung (TÜV, GDD, CIPP/E der IAPP) ist kein Luxus, sondern ein Mindeststandard für Unternehmen mit nennenswerten Datenverarbeitungen.
• Branchenerfahrung: Ein DSB, der ausschließlich Einzelhändler betreut hat, ist für ein Medizinproduktunternehmen mit Verarbeitungen nach Art. 9 Abs. 2 lit. h DSGVO möglicherweise nicht geeignet.
• Reaktionszeit bei Datenpannen: 72 Stunden sind knapp. Klären Sie im Vertrag, wie schnell Ihr DSB im Notfall erreichbar ist und welche Rufbereitschaft besteht.
• Dokumentationsstandard: Kann der Anbieter nachweisen, welche Verarbeitungsverzeichnisse, DSFAs und Schulungen er für Vergleichskunden erstellt hat? Der Prüfer ruft an, der Nachweis liegt bereit.
• Unabhängigkeit: Art. 38 Abs. 3 DSGVO schreibt die Unabhängigkeit des DSB vor. Prüfen Sie, ob der externe Anbieter Interessenkonflikte hat, z. B. durch gleichzeitige Tätigkeit als IT-Dienstleister beim selben Unternehmen.

Ein Angebot, das deutlich unter dem Marktpreis liegt, sollte mit Skepsis betrachtet werden – insbesondere wenn die Leistungsbeschreibung vage bleibt.

Die haftungsrechtliche Dimension wird im Preisvergleich häufig ignoriert. Nach Art. 82 DSGVO haftet der Verantwortliche (das Unternehmen) für Schäden durch DSGVO-verstöße. Der DSB selbst kann nach Art. 82 Abs. 2 DSGVO von der Haftung befreit werden, wenn er nachweist, dass er nicht schuldhaft gehandelt hat. Im Innenverhältnis kann das Unternehmen seinen DSB jedoch unter bestimmten Voraussetzungen in Regress nehmen.

Seriöse externe DSB-Dienstleister verfügen über eine Berufshaftpflichtversicherung, die Schäden durch fehlerhafte Beratung absichert. Fragen Sie ausdrücklich nach Deckungssumme und Geltungsbereich. Deckungssummen unter 500.000 Euro sind für Unternehmen mit komplexen Verarbeitungen unzureichend.

Außerdem sollten Sie prüfen, ob die Versicherung des Anbieters auch Bußgelder Dritter abdeckt – das ist in den meisten EU-Ländern ausgeschlossen, aber Rechtsverteidigungskosten können versicherbar sein. Diese Transparenz über Versicherungsschutz ist ein Qualitätsmerkmal, das günstigere Anbieter häufig nicht bieten. Prüfen Sie diese Frage vor Vertragsschluss – nach einem Vorfall ist es zu spät.

Für Unternehmen, die bereits eine D&O-Versicherung (Directors and Officers) oder eine Cyberversicherung haben: Klären Sie, ob die Police auch Haftungsrisiken aus DSGVO-Verstößen abdeckt. Lücken zwischen Versicherungen können erhebliche finanzielle Konsequenzen haben.

Die Konditionen für externe DSB-Mandate sind verhandelbar. Einige Punkte, die sich in Verhandlungen erfahrungsgemäß bewegen:

• Mindestvertragslaufzeit: Viele Anbieter setzen 12 Monate als Standard an. Bei mehrjähriger Laufzeit (24 oder 36 Monate) sind Preisnachlässe von 5 bis 15 Prozent üblich.
• Stundenkontingent: Verhandeln Sie das Kontingent auf Basis Ihrer tatsächlichen Verarbeitungsstruktur, nicht nach Standardpaketen.
• Notfallregelung: Legen Sie schriftlich fest, welche Reaktionszeiten für Datenpannensituationen gelten. Frist läuft ab Kenntnis – das muss im Vertrag stehen.
• Schulungsumfang: Klären Sie, ob Schulungen für alle Mitarbeiter oder nur für bestimmte Gruppen vorgesehen sind. E-Learning-Module sparen Zeit und ermöglichen Nachweisführung per Protokoll und Zertifikat.
• Kündigungsfristen: Drei Monate zum Quartalsende sind marktüblich. Längere Fristen binden Sie stärker und sollten durch bessere Konditionen kompensiert werden.

Achten Sie darauf, dass die Vertragsdokumentation die Bestellurkunde für den DSB enthält. Eine formlose E-Mail genügt nicht. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Aufsichtsbehörde verlangt den Nachweis der formalen Bestellung, nicht nur den Nachweis der geleisteten Arbeit.

CIVAC bietet als Compliance-Plattform und Officer-as-a-Service den externen Datenschutzbeauftragten über ein zertifiziertes Partnernetzwerk an. Das Besondere am CIVAC-Modell: Die Bestellung – Vertrag, Bestellurkunde, erste Berichtslinie – erfolgt in der Regel innerhalb von zwei Werktagen. Klassische Bestellprozesse über Kanzleien oder Beratungshäuser dauern zwei bis sechs Wochen.

Für Unternehmen, die bereits einen internen Datenschutzbeauftragten haben, bietet CIVAC die Workspace-Lizenz: Der interne DSB arbeitet in einem strukturierten Workspace mit Aufgabenmanagement, 37 einsatzbereiten Audit-Vorlagen, einem Schulungsmodul mit Zertifikatsvergabe und einem KI-Assistenten mit Quellenangabe und Konfidenz-Score. Beides – externes Mandat und interner Workspace – läuft auf derselben Plattform mit demselben Audit-Log.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie unsere Beauftragten bestellen. Das CIVAC-Preismodell ist transparent und umfasst alle Kernleistungen ohne versteckte Stundensatzfallen für Standardsituationen.

Wenn Sie die Kosten für Ihren konkreten Fall kalkulieren möchten, sprechen Sie mit einem CIVAC-Spezialisten. Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.