„Was kostet das denn?“ ist meist die zweite Frage im Erstgespräch – direkt nach der Frage, ob überhaupt ein Datenschutzbeauftragter nötig ist. Ich verstehe das gut, denn Datenschutz wird oft als reiner Kostenfaktor wahrgenommen. Eine pauschale Zahl kann ich seriös aber nicht nennen, ohne Ihr Unternehmen zu kennen. Wer im Internet feste Preise verspricht, verkauft entweder ein Standardpaket, das nicht passt, oder rechnet später nach.
In diesem Ratgeber lege ich offen, wovon die Kosten für einen externen Datenschutzbeauftragten abhängen, welche Preismodelle üblich sind und in welchem Rahmen sich kleine und mittlere Unternehmen bewegen. Und ich vergleiche ehrlich, was die externe Lösung im Vergleich zum internen DSB kostet – inklusive der Posten, die man auf den ersten Blick übersieht.
Warum es keine seriösen Fixpreise gibt
Datenschutz ist kein Produkt von der Stange. Ein Handwerksbetrieb mit acht Mitarbeitern hat einen völlig anderen Bedarf als eine Arztpraxis mit sensiblen Gesundheitsdaten oder ein Online-Händler mit Tracking, Newsletter und Dutzenden Dienstleistern. Der Aufwand richtet sich nach Ihrer konkreten Datenverarbeitung – nicht nach einer Tabelle.
Deshalb finden Sie auf meiner Seite keine festen Preise. Ich erstelle ein individuelles Angebot, nachdem ich in einem kurzen Gespräch verstanden habe, wie Ihr Betrieb arbeitet. Das ist kein Verkaufstrick, sondern die einzige faire Art, einen Preis zu nennen, der am Ende auch stimmt.
Die wichtigsten Kostentreiber
Vier Faktoren bestimmen den Aufwand und damit den Preis im Wesentlichen. Wenn Sie diese kennen, können Sie selbst grob einschätzen, wo Ihr Unternehmen steht.
| Kostentreiber | Geringer Aufwand | Höherer Aufwand |
|---|---|---|
| Unternehmensgröße | wenige Mitarbeiter, klare Prozesse | viele Standorte, viele Beschäftigte |
| Branche | klassisches B2B-Gewerbe | Gesundheit, Finanzen, sensible Daten |
| Anzahl der Verarbeitungen | wenige Standardprozesse | viele Tools, Tracking, KI-Einsatz |
| Zustand der Dokumentation | gepflegt und aktuell | gar nicht vorhanden |
Unternehmensgröße und Beschäftigtenzahl
Je mehr Menschen mit personenbezogenen Daten arbeiten, desto mehr Prozesse muss ich überblicken und desto mehr Schulungsbedarf entsteht. Ein Betrieb mit 15 Mitarbeitern an einem Standort ist überschaubar. Mehrere Niederlassungen mit eigenen Abläufen erhöhen den Aufwand spürbar.
Branche und Datenart
Wer mit besonderen Kategorien personenbezogener Daten arbeitet – Gesundheitsdaten, biometrische Daten – hat strengere Pflichten und oft eine Datenschutz-Folgenabschätzung zu stemmen. Eine Arztpraxis oder ein Steuerberater liegt deshalb naturgemäß höher als ein Handwerksbetrieb mit Standardabläufen.
Anzahl der Verarbeitungen
Jedes Tool, das Daten verarbeitet – CRM, Newsletter, Bewerbermanagement, Cloud-Speicher, KI-Anwendungen – muss erfasst und bewertet werden. Das Verzeichnis von Verarbeitungstätigkeiten wird mit jeder Anwendung umfangreicher. Gerade beim Einsatz von KI im Unternehmen kommen laufend neue Fragen hinzu.
Zustand der Dokumentation
Der größte einmalige Posten ist meist der Anfang. Liegt ein gepflegtes Verarbeitungsverzeichnis vor, gibt es ein Datenschutzkonzept und saubere Verträge zur Auftragsverarbeitung? Dann ist der Einstieg schlank. Fehlt alles, fällt zu Beginn mehr Arbeit an – die sich aber lohnt, weil sie das Fundament für die laufende Betreuung legt.
Übliche Preismodelle
In der Praxis haben sich drei Abrechnungsformen etabliert. Welche zu Ihnen passt, hängt davon ab, wie planbar Ihr Bedarf ist.
Monatliche Pauschale. Das verbreitetste Modell für die laufende Betreuung als externer Datenschutzbeauftragter. Sie zahlen einen festen Betrag pro Monat und haben mich als Ansprechpartner, der Anfragen bearbeitet, die Dokumentation pflegt und bei Vorfällen erreichbar ist. Für die meisten kleinen und mittleren Unternehmen ist das die übersichtlichste Variante, weil die Kosten kalkulierbar bleiben.
Stundensatz. Sinnvoll, wenn der Bedarf unregelmäßig ist oder es um eine punktuelle Datenschutzberatung geht. Sie zahlen nur die tatsächlich geleistete Zeit. Der Nachteil: Bei einer Datenpanne oder einer Behördenanfrage lässt sich der Aufwand vorab schwer abschätzen.
Projektpauschale. Für klar abgegrenzte Aufgaben – etwa den Aufbau eines Datenschutzkonzepts, ein einmaliges Datenschutz-Audit oder die Erstellung einer Datenschutzerklärung. Sie kennen den Preis vorab und wissen genau, was geliefert wird.
In der Regel kombiniere ich diese Modelle: eine Projektpauschale für den Aufbau am Anfang, danach eine monatliche Pauschale für die laufende Betreuung. So zahlen Sie den höheren Einstiegsaufwand nicht dauerhaft mit.
Was in einer Monatspauschale steckt
Damit Sie wissen, wofür Sie zahlen: Eine laufende Pauschale deckt in der Regel die Erreichbarkeit als Ansprechpartner, die Bearbeitung von Betroffenenanfragen, die Pflege der Dokumentation, die Begleitung neuer Tools und die Funktion als Schnittstelle zur Aufsichtsbehörde ab. Auch die Beratung bei einer Datenpanne gehört dazu – ein Vorfall, der ohne feste Betreuung schnell zum Notfall mit unkalkulierbaren Stundenkosten wird.
Was nicht in jeder Pauschale enthalten ist: umfangreiche Sonderprojekte wie eine vollständige DSFA oder der Aufbau eines Datenschutzkonzepts von null. Solche Aufgaben rechne ich transparent als Projekt ab, damit die Monatspauschale schlank bleibt. Was die laufende Betreuung im Detail umfasst, zeigt der Ratgeber Aufgaben eines Datenschutzbeauftragten.
Realistische Größenordnung für kleinere Unternehmen
Eine ehrliche Einordnung, ohne eine Zahl als Festpreis zu verkaufen: Für ein kleines KMU mit überschaubaren Verarbeitungen bewegt sich die laufende monatliche Pauschale meist im niedrigen bis mittleren dreistelligen Bereich. Bei sehr kleinen Betrieben mit wenigen Standardprozessen liegt sie eher am unteren Rand, bei datenintensiveren Branchen oder vielen Mitarbeitern entsprechend höher.
Diese Spanne ist bewusst grob. Sie soll Ihnen eine Hausnummer geben, kein verbindliches Angebot. Der einmalige Aufbau der Dokumentation kommt je nach Ausgangslage hinzu. Was Ihr Betrieb konkret kostet, sehe ich erst, wenn ich Ihre Situation kenne. Wer wissen will, ab welcher Größe diese Pflicht überhaupt greift, findet das im Ratgeber Datenschutzbeauftragter: ab wann Pflicht.
Der Einstiegsaufwand im Detail
Der erste Posten ist fast immer eine Bestandsaufnahme. Ich schaue mir an, was bereits vorhanden ist: Gibt es eine Datenschutzerklärung, sind Verträge zur Auftragsverarbeitung abgeschlossen, existiert ein Verzeichnis der Verarbeitungstätigkeiten? Aus dieser Analyse ergibt sich, wie viel zu Beginn aufzuholen ist.
Bei einem Betrieb, der bisher gar nichts dokumentiert hat, ist dieser Einstieg der größte Einzelposten – aber er fällt nur einmal an. Danach geht es in die deutlich günstigere laufende Betreuung. Wer von Anfang an sauber dokumentiert, etwa mit einem strukturierten Verarbeitungsverzeichnis, hält diesen Posten klein.
Extern gegen intern: der ehrliche Kostenvergleich
Viele Unternehmen überlegen, ob sie nicht einfach einen Mitarbeiter zum internen DSB ernennen. Das wirkt zunächst günstiger, weil keine externe Rechnung kommt. Die wahren Kosten stecken aber in den Posten, die in der Gehaltsabrechnung nicht auftauchen.
| Posten | Interner DSB | Externer DSB |
|---|---|---|
| Fachausbildung und Zertifizierung | selbst zu tragen, laufend | inklusive |
| Fortbildung und Updates | regelmäßig nötig | inklusive |
| Fachsoftware und Tools | anzuschaffen | inklusive |
| Arbeitszeit für Datenschutz | fehlt im Kerngeschäft | externe Leistung |
| Vertretung bei Urlaub und Krankheit | zusätzlich zu organisieren | durchgehend abgedeckt |
| Interessenkonflikt | je nach Funktion problematisch | ausgeschlossen |
| Sonderkündigungsschutz | besteht für internen DSB | entfällt |
Ein interner DSB muss geschult und laufend fortgebildet werden, braucht Software und – das wird oft vergessen – Arbeitszeit, die im eigentlichen Job fehlt. Dazu kommt der besondere Kündigungsschutz, der die Rolle dauerhaft an eine Person bindet. Und nicht jeder Mitarbeiter darf die Rolle übernehmen: Wer über Zweck und Mittel der Datenverarbeitung mitentscheidet, etwa in der IT-Leitung oder Geschäftsführung, gerät in einen Interessenkonflikt und scheidet aus.
Ein externer Datenschutzbeauftragter bringt Ausbildung, Software und Erfahrung mit, ist bei Urlaub und Krankheit immer vertreten und steht außerhalb jeder internen Hierarchie. Welche Aufgaben dabei genau anfallen, habe ich im Ratgeber Aufgaben eines Datenschutzbeauftragten beschrieben. Für die meisten kleineren und mittleren Unternehmen ist die externe Lösung am Ende nicht nur einfacher, sondern auch günstiger.
Ein Rechenbeispiel zur Einordnung: Schon eine fundierte Fachausbildung zum Datenschutzbeauftragten kostet einen vierstelligen Betrag, dazu jährliche Fortbildungen und Fachliteratur. Rechnet man die Arbeitszeit hinzu, die der Mitarbeiter dem Kerngeschäft entzieht, übersteigen die wahren internen Kosten in vielen kleinen Betrieben eine externe Jahrespauschale deutlich. Der vermeintlich kostenlose interne DSB ist also selten wirklich günstig.
Was teurer ist als jeder DSB
Ein Punkt zur Einordnung, ganz ohne Drohkulisse: Die Kosten für einen Datenschutzbeauftragten stehen in keinem Verhältnis zu den Folgen eines ernsten Verstoßes. Ein Bußgeld nach der DSGVO kann empfindlich ausfallen, und eine schlecht gehandhabte Datenpanne kostet neben Geld vor allem Vertrauen. Wie hoch Bußgelder ausfallen können, zeigt der Ratgeber DSGVO-Bußgeld.
Ich sehe meine Arbeit weniger als Kostenposten und mehr als Versicherung mit Mehrwert: Sie bekommen Rechtssicherheit, sparen interne Zeit und vermeiden teure Fehler. Das ist kein Argument für überteuerte Pakete, sondern dafür, den Preis im richtigen Verhältnis zu sehen.
So kommen wir zu Ihrem konkreten Preis
Damit aus der groben Spanne ein belastbares Angebot wird, brauche ich nur wenige Informationen. Im Erstgespräch gehe ich mit Ihnen ein paar Punkte durch: Wie viele Mitarbeiter arbeiten mit personenbezogenen Daten? Welche Tools und Dienstleister sind im Einsatz? Gibt es bereits eine Dokumentation, und in welchem Zustand ist sie? Verarbeiten Sie besonders sensible Daten?
Auf dieser Basis schätze ich den Einstiegsaufwand und den laufenden Betreuungsbedarf ein und nenne Ihnen einen Preis, der hält. Sie bekommen kein Standardpaket aufgedrückt und zahlen nicht für Leistungen, die Sie nicht brauchen. Wenn Sie zwischen einer einmaligen Datenschutzberatung und einer dauerhaften Betreuung schwanken, sage ich Ihnen ehrlich, was in Ihrer Situation sinnvoller ist. Einen Überblick über alle Bausteine finden Sie unter Leistungen.
Wenn Sie eine belastbare Zahl für Ihren Betrieb möchten, lade ich Sie zu einem kostenlosen Erstgespräch ein. In 20 bis 30 Minuten verstehe ich Ihre Ausgangslage und kann Ihnen ein konkretes, individuelles Angebot machen – ohne Verpflichtung und ohne Standardpaket, das nicht passt. Schreiben Sie mir über das Kontaktformular oder sehen Sie sich an, wie meine Betreuung als externer Datenschutzbeauftragter konkret aussieht.