Was kostet DSGVO-Compliance wirklich — und wie skaliert die Rechnung mit der Unternehmensgröße? Kurzantwort: Der laufende Gesamtaufwand liegt bei einem Kleinstunternehmen realistisch bei 2.000 bis 6.000 € pro Jahr, bei einem KMU mit 50 Mitarbeitern bei 8.000 bis 25.000 €, bei einem Mittelständler mit 250 Mitarbeitern bei 30.000 bis 80.000 € und im Konzern ab etwa 150.000 € aufwärts. Diese Summe verteilt sich auf fünf Posten: Datenschutzbeauftragter (intern oder extern), Beratung, Software, Schulung und laufender interner Aufwand. Dieser Beitrag schlüsselt die Kosten Band für Band auf — und zeigt, wo Software den größten Posten, die Handarbeit, ersetzt.
Key Takeaways
- DSGVO-Compliance ist ein laufender Betriebskostenposten, kein einmaliges Projekt — der größte Anteil ist Personalaufwand.
- Der teuerste Einzelposten für KMU ist der externe DSB (300-1.500 €/Monat) plus die Zeit für Verzeichnis-, AVV- und DSFA-Pflege.
- Manuelle Compliance kostet ein KMU 300-800 Stunden pro Jahr — bei 50 € Vollkosten sind das 15.000-40.000 € reine Arbeitszeit.
- Software verschiebt den Aufwand vom Abtippen zur echten Beratung; sie ersetzt nicht den DSB, macht ihn aber produktiv.
Die fünf Kostenblöcke der DSGVO
Bevor wir nach Größe aufschlüsseln, die Struktur. Jede DSGVO-Rechnung besteht aus denselben fünf Blöcken:
- Datenschutzbeauftragter — intern (Personalkosten anteilig) oder extern (Honorar). Nach § 38 BDSG ab in der Regel 20 ständig mit Datenverarbeitung befassten Personen Pflicht.
- Beratung — punktuell für DSFA, Vertragsprüfungen, Behördenkommunikation.
- Software — DSMS-Plattform, Consent-Management, ggf. Löschkonzept-Tool.
- Schulung — jährliche Mitarbeitersensibilisierung (Art. 39 DSGVO).
- Laufender interner Aufwand — Verzeichnis pflegen, Betroffenenanfragen bearbeiten, AV-Verträge verwalten.
Der letzte Block ist der am meisten unterschätzte. Er ist unsichtbar, weil er in bestehenden Gehältern versteckt liegt — aber er ist der größte.
Kosten nach Unternehmensgröße
| Größe | DSB | Software | Beratung/Schulung | Interner Aufwand | Gesamt/Jahr |
|---|---|---|---|---|---|
| < 20 MA | extern, ~300 €/Mon. | 500-2.000 € | 500-1.500 € | gering | 2.000-6.000 € |
| 20-50 MA | extern, ~600 €/Mon. | 2.000-6.000 € | 1.500-4.000 € | 0,2 FTE | 8.000-25.000 € |
| 50-250 MA | extern/intern | 6.000-15.000 € | 4.000-10.000 € | 0,5 FTE | 30.000-80.000 € |
| 250-1.000 MA | interner DSB | 15.000-40.000 € | 10.000-25.000 € | 1-2 FTE | 80.000-200.000 € |
| 1.000+ MA | DSB-Team | 40.000-150.000+ € | 25.000+ € | 3+ FTE | 150.000+ € |
Die Zahlen sind Erfahrungswerte für den deutschen Markt und variieren mit Branche und Datenintensität. Ein Krankenhaus oder eine Marketing-Agentur mit Art.-9-Daten oder intensivem Tracking liegt am oberen Rand; ein B2B-Handwerksbetrieb am unteren.
Rechenbeispiel: ein KMU mit 50 Mitarbeitern. Machen wir die mittlere Zeile der Tabelle konkret. Ein B2B-Dienstleister mit 50 Beschäftigten, rund 35 Verarbeitungstätigkeiten, 20 Auftragsverarbeitern und moderatem Tracking auf der Website. Datenschutzbeauftragter: extern, 600 €/Monat = 7.200 € im Jahr. Software: eine DSMS-Plattform mit VVT, AVV und DSFA für 6.000 € im Jahr. Beratung: zwei Sonderfälle — eine DSFA für ein neues HR-Tool und die Prüfung eines US-Dienstleisters — zusammen rund 3.500 €. Schulung: jährliches E-Learning für alle Mitarbeiter, 1.500 €. Interner Aufwand: die Sachbearbeitung von Betroffenenanfragen, das Nachtragen neuer Verarbeitungen und das Einsammeln von AV-Verträgen — realistisch 0,2 FTE, also rund 12.000 € an gebundener Arbeitszeit. Summe: etwa 30.200 € pro Jahr, am unteren Ende der 30.000-80.000-€-Spanne für diese Größe.
Jetzt der Hebel. Ohne Software steigt der interne Aufwand auf 0,4 bis 0,5 FTE (24.000-30.000 €), weil Verzeichnis und AVV von Hand gepflegt werden — die 6.000 € Softwarekosten sparen also mehr als das Doppelte an Arbeitszeit ein. Der teure externe DSB verbringt seine Stunden dann mit inhaltlicher Beratung statt mit dem Abtippen von Excel-Tabellen. Rechnet man den vermiedenen internen Aufwand dagegen, ist die Plattform in diesem Szenario kein Kostenposten, sondern eine Nettoersparnis von rund 12.000 € im Jahr — und das, bevor ein einziges Bußgeldrisiko eingepreist ist. Genau diese Grenzbetrachtung, nicht der Listenpreis der Software, entscheidet über die Wirtschaftlichkeit. Wer die Auswahlkriterien für die passende Plattform sucht, findet sie in unserer DSGVO-Checkliste für KMU.
Der DSB: intern gegen extern gerechnet
Der Datenschutzbeauftragte ist der größte diskrete Kostenposten. Die Faustregel:
- Extern rechnet sich bis etwa 100-150 Mitarbeiter. Ein externer DSB kostet je nach Umfang 300 bis 1.500 € pro Monat, also 3.600 bis 18.000 € im Jahr — ohne Personalnebenkosten, mit Haftungsübernahme und aktuellem Fachwissen. Details in unserem Beitrag zu den Kosten eines externen Datenschutzbeauftragten.
- Intern lohnt ab dem Punkt, an dem der Datenschutz mehr als einen halben Vollzeitäquivalent bindet. Ein interner DSB verursacht anteilige Personalkosten plus Fortbildung — realistisch ab 30.000 € aufwärts, oft als Teilaufgabe eines vorhandenen Mitarbeiters.
Der teure Fehler: Einen hoch bezahlten externen DSB abgerechnete Stunden mit dem Abtippen von Excel-Verzeichnissen verbringen zu lassen. Das ist die teuerste denkbare Form der Dokumentenverwaltung. Ein häufig übersehener Zwischenschritt: der Wechsel von extern zu intern verläuft selten abrupt. Viele Mittelständler halten den externen DSB als Auditor und Haftungsträger, während ein interner Koordinator die tägliche Pflege übernimmt — ein Modell, das die Stärken beider Varianten kombiniert und die Übergangsphase überbrückt.
Wo Software die Rechnung verändert
Der interne Aufwand ist der Block, den Software direkt angreift. Verzeichnis, AV-Verträge und DSFA manuell zu pflegen, kostet ein typisches KMU 300 bis 800 Stunden pro Jahr. Bei 50 € Vollkosten pro Stunde sind das 15.000 bis 40.000 € — reine Arbeitszeit, bevor ein einziges Bußgeldrisiko eingepreist ist.
Eine DSMS-Plattform für 6.000 bis 12.000 € im Jahr, die diesen Aufwand halbiert, amortisiert sich damit mehrfach. Sie ersetzt nicht den DSB — sie verschiebt sein Honorar vom Abtippen zur inhaltlichen Beratung. Der messbare Effekt: die Zahl der Beratungsstunden, die nach der Einführung für echte Fragen frei werden. Der detaillierte Preisrahmen für Software steht in unserer Übersicht der DSGVO-Software-Kosten; die konkrete Auswahl behandelt unsere DSGVO-Checkliste für KMU-Kriterien.
Beratung und Schulung: die planbaren Posten
Zwei Blöcke lassen sich gut budgetieren, weil sie regelmäßig anfallen.
Beratung ist projektgetrieben: eine komplexe DSFA für ein neues KI-System, die Prüfung eines internationalen Datentransfers, die Begleitung einer Behördenkommunikation. Für ein KMU sind 1.500 bis 10.000 € im Jahr realistisch, je nach Zahl der Sonderfälle. Der Trick besteht darin, Routine (Verzeichnispflege, Standard-AVV) durch Software und den DSB abzudecken und externe Beratung auf die echten Sonderfälle zu konzentrieren — nicht umgekehrt.
Schulung verlangt Art. 39 DSGVO implizit über die Sensibilisierungspflicht des DSB. Eine jährliche Mitarbeiterschulung kostet je nach Format 500 bis 5.000 € — E-Learning ist günstiger und skaliert, Präsenzschulungen sind teurer, aber wirksamer bei sensiblen Bereichen wie HR oder Vertrieb. Wichtig ist der Nachweis: Die Teilnahme muss dokumentiert sein, sonst zählt sie in der Prüfung nicht. Für die Selbsteinschätzung des Reifegrads hilft unsere allgemeine DSGVO-Checkliste.
Die versteckten Kosten: interner Aufwand und Bußgeldrisiko
Der interne Aufwand ist deshalb so gefährlich, weil er nirgends als Rechnung erscheint. Er steckt in den Gehältern der Fachbereiche: die Sachbearbeiterin, die eine Betroffenenanfrage bearbeitet; der IT-Leiter, der eine neue Verarbeitung ins Verzeichnis nachträgt; die Assistenz, die AV-Verträge sammelt. Rechnet man diese Stunden zu Vollkosten, ist er bei einem 50-Personen-Unternehmen oft der größte der fünf Blöcke — größer als das DSB-Honorar.
Genau hier entscheidet sich die Wirtschaftlichkeit. Ein Unternehmen, das diesen Block nie beziffert, glaubt, Compliance sei „fast kostenlos", weil keine Rechnung kommt — und zahlt in Wahrheit am meisten. Wer ihn beziffert, erkennt Software und einen effizienten DSB als das, was sie sind: Hebel, die den größten Posten senken.
Die Kostenfalle Nichtstun. Der teuerste Posten fehlt in jeder Budgetierung: das Bußgeld. Zu den prägenden deutschen Fällen zählen H&M (35,3 Mio. €, HmbBfDI 2020) und Deutsche Wohnen (14,5 Mio. €, Berlin 2019). Hinzu kommt die zivilrechtliche Dimension: Deutsche Gerichte sprechen Schadensersatz nach Art. 82 DSGVO vergleichsweise häufig zu — oft in kleinen Beträgen, aber in großer Zahl. Eine Übersicht bietet unser Beitrag zu DSGVO-Bußgeldern; die laufende Enforcement-Praxis dokumentiert der BfDI in seinen Tätigkeitsberichten. Die Compliance-Kosten sind gegen dieses Risiko zu rechnen, nicht gegen null.
FAQ
Was kostet DSGVO-Compliance für ein kleines Unternehmen?
Für ein Kleinstunternehmen unter 20 Mitarbeitern realistisch 2.000 bis 6.000 € pro Jahr: ein externer DSB (falls über der Schwelle oder freiwillig), eine Einstiegsplattform und punktuelle Beratung. Der interne Aufwand ist noch gering. Für ein KMU mit 50 Mitarbeitern steigt die Summe auf 8.000 bis 25.000 € — vor allem durch den wachsenden internen Aufwand.
Ist ein externer oder interner DSB günstiger?
Extern ist bis etwa 100-150 Mitarbeiter günstiger und flexibler: 3.600 bis 18.000 € im Jahr ohne Personalnebenkosten, mit Haftungsübernahme. Intern lohnt erst, wenn der Datenschutz mehr als einen halben Vollzeitäquivalent bindet. Viele KMU fahren mit einem externen DSB plus Software am wirtschaftlichsten.
Rechnet sich DSGVO-Software für ein KMU?
In der Regel ja. Manuelle Pflege kostet 300 bis 800 Stunden pro Jahr; eine Plattform für 6.000 bis 12.000 € halbiert diesen Aufwand und amortisiert sich mehrfach. Software ersetzt den DSB nicht, sondern verlagert seine Zeit vom Abtippen zur Beratung — der eigentliche Wert.
Sind DSGVO-Kosten einmalig oder laufend?
Laufend. Datenschutz ist ein Betriebskostenposten, kein Projekt. Verzeichnis, AV-Verträge, Betroffenenanfragen und Schulungen fallen jedes Jahr an. Einmalige Kosten entstehen nur beim Aufsetzen (Erstverzeichnis, Erstschulung, Softwaremigration); der Großteil ist wiederkehrend.
Fazit
DSGVO-Compliance kostet, was die Handarbeit kostet — und die skaliert mit der Zahl der Verarbeitungen, nicht linear mit der Mitarbeiterzahl. Der DSB ist der sichtbare Posten, der interne Pflegeaufwand der große unsichtbare. Wer beide Blöcke sauber kalkuliert, sieht schnell, dass eine DSMS-Plattform kein Zusatzkosten-, sondern ein Einsparposten ist. Budgetieren Sie gegen das Bußgeldrisiko und den realen Stundenaufwand — nicht gegen null.
Siehe auch: Die Kosten einer Prüfung selbst behandelt unser Überblick der Kosten eines DSGVO-Audits.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo