Was kostet ein DSGVO-Audit — und wann ersetzt Software den Berater? Kurzantwort: Ein externes DSGVO-Audit kostet in Deutschland je nach Umfang zwischen 2.000 € für ein Kleinstunternehmen und 30.000 € oder mehr für einen komplexen Mittelständler, gerechnet über Berater-Tagessätze von etwa 1.000 bis 1.800 €. Automatisierte Audit-Software deckt die wiederkehrende Selbstprüfung — Gap-Analyse, Reifegradmessung, Nachverfolgung von Maßnahmen — zu einem Bruchteil davon ab. Die wirtschaftliche Lösung ist meist hybrid: Software für die laufende Selbstkontrolle, ein externes Audit für die unabhängige Bestätigung an neuralgischen Punkten. Dieser Beitrag rechnet beide Wege durch.
Key Takeaways
- Ein externes DSGVO-Audit läuft über Berater-Tagessätze von 1.000-1.800 €; der Umfang skaliert mit Größe und Datenintensität.
- Audit-Software deckt die kontinuierliche Selbstprüfung ab: Gap-Analyse gegen einen Kriterienkatalog, Reifegrad, Maßnahmen-Tracking.
- Auslöser für Audits sind meist die koordinierten Prüfaktionen der Landesbehörden mit ihren Prüfkatalogen.
- Die wirtschaftliche Empfehlung ist hybrid: Software als Dauerbetrieb, externes Audit punktuell zur unabhängigen Bestätigung.
Was ein externes DSGVO-Audit kostet
Ein externes Audit ist eine Beratungsleistung, kalkuliert in Tagen. Der Berater sichtet Verzeichnis, AV-Verträge, DSFA, technisch-organisatorische Maßnahmen, Betroffenenrechte-Prozesse und die Datenschutzorganisation, führt Interviews und erstellt einen Bericht mit Handlungsempfehlungen.
| Unternehmensgröße | Auditumfang | Realistische Kosten |
|---|---|---|
| Kleinstunternehmen (<20 MA) | Kurzaudit, 2-3 Tage | 2.000 - 5.000 € |
| KMU 20-100 MA | Standardaudit, 4-8 Tage | 5.000 - 14.000 € |
| Mittelstand 100-500 MA | Vollaudit, 8-20 Tage | 12.000 - 30.000 € |
| Konzern 500+ MA | Multi-Entity, 20+ Tage | 30.000 € aufwärts |
Die Tagessätze liegen bei spezialisierten Datenschutzberatern und Fachanwälten typischerweise zwischen 1.000 und 1.800 €. Der Umfang hängt weniger an der reinen Mitarbeiterzahl als an der Datenintensität: Ein Onlineshop mit intensivem Tracking oder eine Praxis mit Art.-9-Daten braucht ein tieferes Audit als ein B2B-Handwerksbetrieb gleicher Größe. Das methodische Vorgehen erklärt unser Beitrag zum Datenschutz-Audit.
Was Audit-Software stattdessen leistet
Automatisierte Audit-Software verfolgt einen anderen Ansatz: Sie ersetzt nicht den unabhängigen Prüfer, sondern macht die Selbstprüfung kontinuierlich und wiederholbar. Kernfunktionen:
- Gap-Analyse gegen einen strukturierten Kriterienkatalog (angelehnt an DSGVO-Pflichten und die Prüfkataloge der Behörden).
- Reifegradmessung — wo steht das Unternehmen je Themenblock, wo sind die Lücken.
- Maßnahmen-Tracking — offene Punkte mit Verantwortlichen, Fristen und Wiedervorlagen.
- Nachweisdokumentation — der Verlauf der Verbesserung, den die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verlangt.
Der Wert liegt in der Wiederholbarkeit. Ein externes Audit ist eine Momentaufnahme; nach sechs Monaten ist es veraltet. Software liefert einen laufenden Status — und macht das nächste externe Audit kürzer und billiger, weil die Vorarbeit schon dokumentiert ist. Für die strukturierte Selbstprüfung helfen unsere DSGVO-Prüfungs-Checkliste 2026 und die allgemeine DSGVO-Checkliste.
Der Auslöser: koordinierte Prüfaktionen
Die meisten Unternehmen auditieren nicht aus eigenem Antrieb, sondern weil ein Anlass droht. Der häufigste ist die koordinierte Prüfaktion einer Landesbehörde: Das BayLDA und andere Aufsichtsbehörden verschicken branchenbezogene Fragebögen auf Basis eigener Prüfkataloge und setzen Fristen. Wer dann keinen dokumentierten Compliance-Status hat, muss unter Zeitdruck rekonstruieren.
Genau hier zeigt sich der Wert der Kombination. Software hält den Status laufend bereit, sodass eine Behördenanfrage aus dem Bestand beantwortet wird. Ein vorheriges externes Audit liefert die unabhängige Bestätigung, dass der Status belastbar ist. Die laufende Enforcement-Praxis der Behörden dokumentiert der BfDI in seinen Tätigkeitsberichten — ein guter Indikator dafür, welche Themen als Nächstes geprüft werden.
Was ein Audit inhaltlich prüft
Unabhängig davon, ob extern oder per Software: Ein DSGVO-Audit deckt dieselben Themenblöcke ab. Wer die Struktur kennt, kann Angebote vergleichen und erkennt, ob ein günstiges Audit nur an der Oberfläche kratzt.
- Rechenschaft und Organisation. Gibt es einen bestellten DSB, Verantwortlichkeiten, Richtlinien? Ist die Datenschutzorganisation dokumentiert?
- Verzeichnis der Verarbeitungstätigkeiten. Vollständig, aktuell, mit TOM und Löschfristen? Das ist der erste Prüfpunkt jeder Behörde.
- Rechtsgrundlagen. Hat jede Verarbeitung eine tragfähige Grundlage nach Art. 6, bei besonderen Daten nach Art. 9?
- Auftragsverarbeitung. Existiert für jeden Dienstleister ein AVV? Sind Drittland-Transfers abgesichert?
- Betroffenenrechte. Gibt es Prozesse für Auskunft, Löschung, Widerspruch — mit Fristenkontrolle?
- Sicherheit (Art. 32) und Datenpannen. Sind TOM angemessen? Existiert ein Meldeprozess für die 72-Stunden-Frist?
- DSFA. Sind riskante Verarbeitungen erkannt und dokumentiert?
Ein billiges Kurzaudit prüft oft nur die ersten zwei Blöcke und übersieht Auftragsverarbeitung und DSFA — genau die Bereiche, in denen Behörden am häufigsten fündig werden. Beim Vergleich von Angeboten lohnt daher der Blick auf die Prüftiefe, nicht nur auf den Tagessatz. Software mit einem vollständigen Kriterienkatalog stellt sicher, dass alle Blöcke abgedeckt sind — auch die unbequemen.
Was ein Auditbericht enthalten muss — und wie man ausschreibt
Bevor Sie ein Audit beauftragen, sollten Sie wissen, was ein guter Bericht liefert — sonst zahlen Sie für eine PDF-Datei, die niemand umsetzen kann. Ein belastbarer Auditbericht enthält mindestens:
- Scope und Methodik. Welche Bereiche, Standorte und Systeme wurden geprüft, welche ausdrücklich nicht? Ein Bericht ohne klaren Scope verschleiert Lücken.
- Findings mit Risikoeinstufung. Jeder Mangel mit Schweregrad (hoch/mittel/niedrig), rechtlicher Grundlage und konkreter Fundstelle — nicht nur „Verzeichnis unvollständig", sondern welche Verarbeitung welches Pflichtfeld vermissen lässt.
- Priorisierte Maßnahmenliste. Handlungsempfehlungen mit Aufwand, Verantwortlichem und Frist — abarbeitbar, nicht abstrakt.
- Reifegrad-Bewertung je Themenblock, damit die Entwicklung über die Zeit messbar wird.
- Management Summary für die Geschäftsführung, die haftet.
Fehlt die Risikoeinstufung oder die Priorisierung, ist der Bericht akademisch — er beschreibt Probleme, ohne einen Weg zu weisen. Ein guter Bericht ist deshalb weniger ein Gutachten als ein Arbeitsplan, den der DSB direkt in seine Maßnahmenverfolgung übernehmen kann.
Die Ausschreibung zuschneiden. Wer ein externes Audit vergibt, sollte die Anfrage (RFP) präzise fassen, um vergleichbare Angebote zu erhalten. Nennen Sie den Scope konkret (Zahl der Verarbeitungen, Standorte, kritische Systeme), verlangen Sie einen festen Tagessatz und eine geschätzte Tagezahl statt einer intransparenten Pauschale, und fordern Sie ein Muster-Berichtskapitel an — daran erkennen Sie die Prüftiefe schon vor der Beauftragung. Klären Sie außerdem, ob eine Nachprüfung der umgesetzten Maßnahmen im Preis enthalten ist; ein Audit ohne Follow-up verpufft. Verlangen Sie schließlich, dass sich die Gap-Analyse an den Prüfkatalogen der zuständigen Landesbehörde orientiert — so prüft der Berater dieselben Punkte, die später die Aufsicht prüft. Eine sauber zugeschnittene Ausschreibung senkt nicht nur den Preis durch Vergleichbarkeit, sondern schützt vor dem Kurzaudit, das nur die einfachen Blöcke abhakt.
Die Hybrid-Rechnung
Rein extern zu auditieren ist teuer und liefert nur Momentaufnahmen. Rein per Software zu arbeiten, spart Geld, aber es fehlt die unabhängige Sicht — der eigene DSB prüft sich selbst. Die wirtschaftliche Lösung kombiniert beide:
- Dauerbetrieb per Software (KMU-Rahmen 2.000-12.000 € pro Jahr als Teil der Plattform): laufende Gap-Analyse, Maßnahmen-Tracking, Nachweis.
- Externes Audit punktuell (alle 12-24 Monate oder vor kritischen Ereignissen): unabhängige Bestätigung, 5.000-14.000 € für ein KMU.
So sinkt der externe Aufwand, weil der Prüfer auf einem dokumentierten Status aufsetzt statt bei null zu beginnen. Ein Faktor gehört in die Rechnung: der laufende externe Datenschutzbeauftragte, der die Software bedient und das externe Audit begleitet — sein Honorar ist gedanklich von den Auditkosten zu trennen. Den breiteren Marktvergleich der Plattformen liefert unser DSGVO-Software-Vergleich.
Eine einfache Dreijahresrechnung zeigt den Effekt. Wer alle 18 Monate ein Vollaudit für 12.000 € extern beauftragt, zahlt über drei Jahre 24.000 € für zwei Momentaufnahmen — ohne jede laufende Kontrolle dazwischen. Wer stattdessen eine Plattform für 8.000 € pro Jahr betreibt und alle zwei Jahre ein verkürztes externes Audit für 6.000 € hinzunimmt, kommt über drei Jahre auf rund 33.000 € — für einen kontinuierlichen Status plus unabhängige Bestätigung. Die zweite Variante kostet etwas mehr, liefert aber ein Vielfaches an tatsächlicher Sicherheit, weil die vielen Monate zwischen zwei reinen Audits nicht länger blind sind. Genau in diesen Zwischenräumen entstehen die Lücken, die eine Behördenprüfung findet.
FAQ
Was kostet ein DSGVO-Audit in Deutschland?
Für ein Kleinstunternehmen 2.000 bis 5.000 €, für ein KMU 5.000 bis 14.000 €, für einen Mittelständler 12.000 bis 30.000 € — kalkuliert über Berater-Tagessätze von 1.000 bis 1.800 €. Der Umfang hängt vor allem an der Datenintensität, nicht allein an der Mitarbeiterzahl.
Kann Software ein externes Audit ersetzen?
Für die laufende Selbstprüfung ja, für die unabhängige Bestätigung nein. Software liefert kontinuierliche Gap-Analyse, Reifegrad und Maßnahmen-Tracking. Was sie nicht liefert, ist der unabhängige Blick von außen — der eigene DSB prüft mit Software immer noch sich selbst. Für Nachweiszwecke gegenüber Dritten oder bei kritischen Vorhaben bleibt das externe Audit wertvoll.
Wie oft sollte ein DSGVO-Audit stattfinden?
Die Selbstprüfung sollte kontinuierlich laufen — dafür ist Software gedacht. Ein externes Audit ist alle 12 bis 24 Monate sinnvoll sowie anlassbezogen: vor einer erwarteten Behördenprüfung, nach einer größeren organisatorischen Änderung oder vor einer Transaktion mit Due-Diligence-Prüfung.
Was ist ein Prüfkatalog der Aufsichtsbehörde?
Ein strukturierter Fragen- und Kriterienkatalog, den eine Landesbehörde in ihren koordinierten Prüfaktionen verwendet. Er definiert, welche Nachweise erwartet werden — Verzeichnis, AV-Verträge, TOM, DSFA. Gute Audit-Software orientiert ihre Gap-Analyse an solchen Katalogen, damit die Selbstprüfung dieselben Punkte abdeckt wie die spätere Behördenprüfung.
Fazit
Ein DSGVO-Audit ist keine Frage von entweder Berater oder Software, sondern von beidem im richtigen Verhältnis. Software hält den Compliance-Status laufend prüfbereit und senkt den externen Aufwand; das externe Audit liefert die unabhängige Bestätigung, die Software nicht geben kann. Kalkulieren Sie gegen den realen Auslöser — die koordinierte Prüfaktion, die irgendwann kommt — und nicht gegen den Idealfall, in dem niemand fragt. Die Hybrid-Lösung ist fast immer die wirtschaftlichste.
Siehe auch: Weiterführend behandeln wir DSGVO-Kosten nach Unternehmensgröße und die Tools zur Bußgeld-Prävention.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo