Welche DSGVO-Software passt zu einem KMU mit 10 bis 300 Mitarbeitern? Kurzantwort: eine EU-basierte Plattform, die das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) automatisch pflegt, AV-Verträge verwaltet, DSFA-Fälle erkennt und Betroffenenanfragen mit Fristen überwacht — kombiniert mit einem internen oder externen Datenschutzbeauftragten. Das kostet realistisch 2.000 bis 12.000 Euro pro Jahr und ersetzt 300-800 Stunden Handarbeit. Reine Beratungsmodelle ohne Software werden ab dieser Unternehmensgröße zu teuer; reine Software ohne DSB ist in Deutschland ab 20 Datenverarbeitern nicht zulässig.
Dieser Vergleich zeigt, was ein Mittelständler tatsächlich braucht, welches Budget realistisch ist und wann die Kombination aus externem DSB und Software den klassischen Berater schlägt.
Key Takeaways
- Ein KMU braucht vier Kernfunktionen: VVT, AVV-Verwaltung, DSFA-Trigger und Betroffenenanfragen mit Fristen — der Rest ist optional.
- Realistisches Softwarebudget: 2.000-12.000 €/Jahr; Kleinstbetriebe unter 20 Mitarbeitern kommen mit 500-2.000 € aus.
- Ab 20 ständig mit Datenverarbeitung befassten Personen ist ein DSB nach § 38 BDSG Pflicht — Software ersetzt ihn nicht.
- Bayerische und andere Landesbehörden verschicken koordinierte Prüf-Fragebögen; ohne aktuelles Verzeichnis wird das teuer.
- Die Kombination externer DSB + Plattform ist ab etwa 50 Mitarbeitern günstiger als reine Beratungstagessätze.
Was ein Mittelständler wirklich braucht
Der Fehler vieler KMU-Käufe ist, dass sie sich von Modulkatalogen mit 40 Features beeindrucken lassen, obwohl vier Funktionen 90 % der Behördenanforderungen abdecken.
Verzeichnis von Verarbeitungstätigkeiten (Art. 30). Das ist das erste Dokument, das eine Aufsichtsbehörde anfordert. Es muss strukturiert, aktuell und auf Deutsch exportierbar sein. Eine Vorlage zeigt unser Verarbeitungsverzeichnis-Muster — ab 20-30 Verarbeitungen wird die Excel-Pflege allerdings zur Fehlerquelle.
AVV-Verwaltung (Art. 28). Jeder Cloud-Dienst, jeder Dienstleister, jedes Lohnbüro braucht einen Auftragsverarbeitungsvertrag. Ein Mittelständler hat schnell 30-80 davon. Ohne zentrales Register verliert man den Überblick über Laufzeiten und Subunternehmer.
DSFA-Trigger (Art. 35). Die Software muss erkennen, wann eine Datenschutz-Folgenabschätzung Pflicht ist — Videoüberwachung, Bewerber-Scoring, KI-Einsatz. Maßstab ist die Muss-Liste der Datenschutzkonferenz (DSK), nicht nur der Verordnungstext.
Betroffenenanfragen mit Fristen. Auskunfts- und Löschanträge müssen binnen eines Monats beantwortet werden. Unvollständige Auskünfte sind die häufigste Ursache für Schadensersatzklagen nach Art. 82 DSGVO vor deutschen Gerichten. Ein Fristenzähler ist Pflicht, kein Nice-to-have.
Diese vier Funktionen sind der harte Kern. Alles andere — Schulungsmodule, Audit-Trails, Berichtsgeneratoren — ist nützlich, aber sekundär. Ein Mittelständler, der diese vier Bereiche sauber abdeckt und dokumentiert, besteht die überwiegende Mehrheit der Behördenanfragen. Wer dagegen 40 Module bucht, aber sein Verzeichnis nicht aktuell hält, hat viel Geld ausgegeben und trotzdem das erste Prüfdokument nicht parat. Die Kunst beim KMU-Kauf ist Reduktion, nicht Vollständigkeit: Zahlen Sie für die vier Dinge, die eine deutsche Behörde tatsächlich sehen will, und verhandeln Sie den Rest weg.
Die Vergleichskriterien für KMU
| Kriterium | Warum entscheidend | Mindestanforderung |
|---|---|---|
| VVT (Art. 30) | Erstes Dokument jeder Prüfung | Strukturiert, deutscher Export |
| AVV-Register (Art. 28) | 30-80 Verträge bei KMU üblich | Zentrales Inventar, Fristen |
| DSFA-Modul (Art. 35) | DSK-Muss-Liste als Trigger | Geführter Workflow |
| Betroffenenanfragen | Monatsfrist, Art.-82-Risiko | Fristenzähler, Vorlagen |
| Deutsche Sprache | Behörde, Betriebsrat, Gericht | DE-Oberfläche und -Dokumente |
| EU-Hosting | Keine Drittlandanalyse in eigener Sache | EU-Rechenzentren |
| DSB-Arbeitsplatz | § 38 BDSG macht DSB zum Nutzer | Aufgaben, Berichte, Audit |
| Preistransparenz | KMU-Budget ist begrenzt | Veröffentlichte Preise |
Weniger wichtig als das Marketing suggeriert: riesige Third-Party-Risk-Suiten, ESG-Module und Ethik-Hotlines. Für ein KMU sind das bezahlte, aber ungenutzte Funktionen.
Realistische Budgets
| Unternehmensgröße | Softwarebudget/Jahr | DSB-Modell |
|---|---|---|
| 10-20 Mitarbeiter | 500 - 2.000 € | oft noch keine DSB-Pflicht |
| 20-50 Mitarbeiter | 2.000 - 5.000 € | externer DSB (300-800 €/Monat) |
| 50-150 Mitarbeiter | 4.000 - 9.000 € | externer oder interner DSB |
| 150-300 Mitarbeiter | 8.000 - 15.000 € | interner DSB + Plattform |
Die vollständige Preislogik nach Modul und die versteckten Kostenposten haben wir separat aufgeschlüsselt: Was kostet DSGVO-Software?. Wichtig für den KMU-Einkauf: Trennen Sie bei Bündelangeboten (heyData, DataGuard) immer den Software- vom Beratungsanteil, sonst vergleichen Sie Äpfel mit Birnen.
Wann Software den Berater schlägt
Bis etwa 20 Mitarbeiter genügt oft ein Berater, der einmal jährlich vorbeikommt. Ab 50 Mitarbeitern kippt die Rechnung: Ein Berater, der Verzeichnis und AVV-Register per Hand pflegt, rechnet Tagessätze von 1.000-1.800 € ab — für Arbeit, die eine Plattform automatisiert. Die rationale Struktur im Mittelstand ist deshalb externer DSB plus Plattform: Der DSB liefert die unabhängige Überwachung, die § 38 BDSG verlangt, die Software liefert die laufende Dokumentation.
Der Test in jeder Demo: Lassen Sie sich ein exportiertes Verzeichnis und eine generierte DSFA zeigen — nicht das Dashboard. Das Dokument muss vor einer Landesbehörde bestehen. Plattformen wie Legiscope erzeugen diese Dokumente automatisch auf einem Niveau, das der DSB nur noch prüfen statt schreiben muss; das verschiebt sein Honorar von der Fleißarbeit zur echten Beratung.
Rechnen Sie den Umschlagpunkt konkret durch. Ein externer DSB, der Verzeichnis, AVV-Register und DSFA von Hand pflegt, veranschlagt dafür im Mittelstand leicht 3-5 Tage pro Jahr — bei 1.200 € Tagessatz also 3.600-6.000 € allein für Dokumentation. Übernimmt eine Plattform diese laufende Pflege, sinkt der Dokumentationsaufwand des DSB auf einen Bruchteil, und die eingesparten Stunden fließen in Fragen, die tatsächlich juristisches Urteil verlangen: neue Verarbeitungen bewerten, Verträge prüfen, den Betriebsrat einbinden. Die Software zahlt sich damit nicht nur über das vermiedene Bußgeldrisiko, sondern schon über das umgeschichtete Beraterhonorar. Genau deshalb ist die reine Beratungsleistung ab etwa 50 Mitarbeitern das teuerste aller Modelle: Sie bezahlt Fachleute für Fleißarbeit, die ein Werkzeug erledigt.
Warum der deutsche Markt Software erzwingt
Deutschland hat 18 Aufsichtsbehörden. Zuständig ist die Behörde am Sitz der Niederlassung. Mehrere von ihnen — darunter das BayLDA in Bayern — führen koordinierte Prüfaktionen mit Fragebögen durch, etwa zu Online-Shops, Beschäftigtendatenschutz oder Tracking. Wer einen solchen Fragebogen erhält, hat wenige Wochen Zeit, ein vollständiges Verzeichnis und die passenden Nachweise vorzulegen.
Die Bußgeldpraxis ist ernst: H&M zahlte 35,3 Mio. € (Hamburg 2020, Mitarbeiterüberwachung), gegen 1&1 Telecom verhängte der BfDI 9,55 Mio. € (2019, vom LG Bonn 2020 auf 900.000 € reduziert). Auch KMU sind betroffen — die Landesbehörden veröffentlichen ihre Verfahren in den BfDI- und Landestätigkeitsberichten. Eine strukturierte Vorbereitung bietet unsere Datenschutz-Checkliste für KMU.
Für einen Mittelständler ist die entscheidende Erkenntnis nicht das theoretische Höchstbußgeld von 20 Mio. € oder 4 % des Konzernumsatzes, sondern der alltägliche Auslöser: ein Fragebogen im Briefkasten, eine Beschwerde eines Ex-Mitarbeiters, ein Auskunftsersuchen mit anwaltlichem Nachdruck. In all diesen Fällen entscheidet nicht die Rechtslage über den Ausgang, sondern ob Sie innerhalb der Frist ein aktuelles Verzeichnis, den passenden AV-Vertrag und eine dokumentierte Bearbeitung vorlegen können. Genau das ist der Wert einer Plattform: Sie hält die Nachweise vor, bevor jemand danach fragt.
Die häufigsten Fehler beim KMU-Softwarekauf
Aus der Praxis wiederholen sich vier teure Fehlentscheidungen. Der erste: Kauf nach Featureliste statt nach Ergebnis. Ein Katalog mit 40 Modulen wirkt gründlich, doch geprüft wird das exportierte Dokument. Wer sich in der Demo nur Dashboards zeigen lässt und nie ein fertiges Verzeichnis, kauft die Verpackung statt des Inhalts.
Der zweite Fehler: die CMP mit der Compliance-Plattform verwechseln. Ein Cookie-Consent-Tool nach § 25 TDDDG regelt die Website-Ebene — es erzeugt weder ein Verzeichnis noch eine DSFA. Beide Systeme sind nötig, aber sie ersetzen einander nicht. Viele KMU zahlen für eine CMP und glauben, damit sei die DSGVO erledigt.
Der dritte Fehler: Bündelpreise nicht zerlegen. Wenn ein Anbieter Software und externen DSB in einem Monatspreis bündelt, lässt sich der reine Softwarewert nicht mit anderen Tools vergleichen. Verlangen Sie eine getrennte Ausweisung — sonst zahlen Sie Beratungshonorar für ein Werkzeug oder Werkzeugpreise für Beratung.
Der vierte Fehler: kein Exit-Plan. Ein Tool ohne vollständigen Datenexport bindet Sie dauerhaft. Klären Sie vor Vertragsschluss, was die Plattform aus Ihrem Excel-Verzeichnis automatisch importiert und was sie bei Kündigung vollständig zurückgibt. Eine Plattform, die Ihre Daten nicht sauber herausgibt, bezahlen Sie zweimal.
Auswahl in vier Schritten
- Volumetrie zählen — Verarbeitungen, Gesellschaften, Auftragsverarbeiter, DSFA-Fälle. Das bestimmt die Preisstufe.
- Ergebnisdokument testen — exportiertes VVT und generierte DSFA in der Demo verlangen.
- Drei-Jahres-Gesamtkosten anfordern — Abonnement plus Onboarding plus Module, Bündel zerlegen.
- 30-Tage-Meilenstein vereinbaren — lauffähiges Verzeichnis binnen eines Monats, sonst Ausstiegsrecht.
FAQ
Braucht ein KMU überhaupt spezielle DSGVO-Software?
Bis etwa 20 Verarbeitungstätigkeiten reicht eine sauber geführte Excel-Lösung plus Berater. Darüber — oder spätestens beim ersten Prüf-Fragebogen einer Landesbehörde — wird Software zur günstigeren Option, weil sie Dokumente automatisch aktuell hält und eine Bearbeitungshistorie erzeugt, die Excel nicht liefert.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Nach § 38 BDSG muss ein DSB benannt werden, sobald in der Regel mindestens 20 Personen ständig personenbezogene Daten automatisiert verarbeiten — deutlich strenger als die DSGVO selbst. Software ersetzt diese Pflicht nicht, sondern macht den externen oder internen DSB produktiver.
Was kostet DSGVO-Software für ein mittelständisches Unternehmen?
Für 20-250 Mitarbeiter realistisch 2.000 bis 12.000 € pro Jahr, je nach Modulen und Volumetrie. Einstiegsbündel mit externem DSB beginnen bei rund 89 €/Monat, reine EU-Einstiegs-Software bei etwa 79 €/Monat.
Reicht ein deutscher Anbieter oder tut es auch eine EU-Plattform?
Entscheidend ist nicht die Nationalität des Anbieters, sondern EU-Hosting und deutsche Lokalisierung: DSK-konforme DSFA-Liste, deutsche Mustertexte und ein Workflow, der den 20-Personen-Schwellenwert des § 38 BDSG kennt. Übersetzte US-Software fällt bei diesem Test regelmäßig durch.
Fazit
Für ein KMU zählt nicht die Länge der Modulliste, sondern ob vier Dinge dauerhaft prüfbereit sind: Verzeichnis, AV-Verträge, DSFA-Dokumentation und der Nachweis der Betroffenenrechte — auf Deutsch, mit EU-Hosting, zu 2.000-12.000 € pro Jahr. Ab etwa 50 Mitarbeitern schlägt die Kombination aus externem DSB und Plattform den klassischen Berater. Die vollständige Marktübersicht mit Anbieterbewertung liefert unser DSGVO-Software-Vergleich; Startups mit anderem Bedarf finden ihre Variante unter DSGVO-Software für Startups.
Siehe auch: Für den DACH-Raum lohnt der Blick auf Datenschutz-Software für die Schweiz und DSGVO-Software in Österreich.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo