Was kostet DSGVO-Software 2026? Kurzantwort: Für ein KMU mit 20 bis 250 Mitarbeitern liegt eine EU-Plattform mit den drei Kernmodulen — Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), Datenschutz-Folgenabschätzung (Art. 35) und Betroffenenanfragen (Art. 15-22) — bei 2.000 bis 12.000 Euro pro Jahr. Einstiegsbündel mit externem DSB beginnen bei rund 89 €/Monat, reine Einstiegs-Software bei etwa 79 €/Monat, und Enterprise-Suiten wie OneTrust liegen ab etwa 30.000 € aufwärts. Der eigentliche Kostentreiber ist aber nicht der Lizenzpreis, sondern die Handarbeit, die die Software ersetzt.
Dieser Beitrag zerlegt die Preise nach Modul und nach Unternehmensgröße, benennt die versteckten Posten und zeigt die deutschen Kostentreiber, die Anbieter im Angebot gerne verschweigen.
Key Takeaways
- DSGVO-Software kostet ein KMU 2.000-12.000 €/Jahr; Kleinstunternehmen 500-2.000 €, Enterprise ab 40.000 €.
- Preise werden pro Modul und pro juristischer Einheit berechnet — bei Konzernstrukturen vervielfacht sich der Betrag.
- Der Vergleichsmaßstab ist die manuelle Alternative: 300-800 Stunden Handarbeit pro Jahr für VVT, AVV und DSFA.
- Deutsche Kostentreiber: 18 Aufsichtsbehörden, koordinierte Prüfaktionen, gebündelte externe-DSB-Honorare (300-1.500 €/Monat).
- Bündelangebote immer in Software- und Beratungsanteil zerlegen, sonst ist kein Vergleich möglich.
Preise nach Modul
DSGVO-Software wird selten als Ganzes verkauft. Fast alle Anbieter modularisieren — und genau hier entstehen die Preisunterschiede. Die folgende Tabelle zeigt realistische Bandbreiten pro Modul für den deutschen Mittelstand (KMU-Segment, ein Standort).
| Modul | Funktion | Jährliche Bandbreite |
|---|---|---|
| Verzeichnis (Art. 30) | Strukturiertes VVT, deutscher Behörden-Export | 600 - 3.000 € |
| DSFA (Art. 35) | Geführte Folgenabschätzung, DSK-Muss-Liste | 500 - 2.500 € |
| AVV-Verwaltung (Art. 28) | Vertragsinventar, Subunternehmer-Ketten | 400 - 2.000 € |
| Betroffenenanfragen (Art. 15-22) | Fristenzähler, Identitätsprüfung, Auskunft | 500 - 2.500 € |
| Datenpannen-Meldung (Art. 33) | 72-Stunden-Workflow zur Behörde | im Kernpaket / 300 - 1.000 € |
| Consent-Management (CMP) | § 25 TDDDG Cookie-Einwilligung | 200 - 2.000 € (separat) |
| Schulung & Audit-Trail | Nachweise für die Aufsichtsbehörde | 300 - 1.500 € |
Zwei Dinge fallen auf. Erstens: Das Verzeichnis und die Betroffenenanfragen sind die teuersten Module — weil sie den größten Handarbeitsaufwand ersetzen und weil Behörden sie zuerst prüfen. Zweitens: Die CMP für die Website (Cookie-Einwilligung nach § 25 TDDDG) ist fast immer ein separates Produkt. Eine Compliance-Plattform ersetzt keine Consent-Management-Plattform und umgekehrt.
Preise nach Unternehmensgröße
Der zweite Preishebel ist die Volumetrie: Zahl der Verarbeitungstätigkeiten, Gesellschaften, Auftragsverarbeiter und Nutzer. Grob nach Mitarbeiterzahl:
| Segment | Jahresbudget Software | Typisches Setup |
|---|---|---|
| Kleinstunternehmen (<20 MA) | 500 - 2.000 € | Einstiegstool oder heyData-Bündel |
| KMU 20-250 (DSB-Pflicht) | 2.000 - 12.000 € | EU-Plattform + interner/externer DSB |
| Mittelstand 250-1.000 | 10.000 - 40.000 € | Plattform + CMP + Automatisierung |
| Enterprise 1.000+ | 40.000 - 150.000+ € | OneTrust/TrustArc + Integrationen |
Die 20-Personen-Schwelle ist in Deutschland kein Zufall: Nach § 38 BDSG muss ein Datenschutzbeauftragter benannt werden, sobald in der Regel mindestens 20 Personen ständig personenbezogene Daten automatisiert verarbeiten. Ab diesem Punkt braucht der DSB ein Werkzeug — und die Software-Rechnung beginnt ernsthaft.
Was die Anbieter konkret verlangen
Anhand öffentlich dokumentierter Preise und typischer Angebote im deutschen Markt:
Legiscope — EU-Plattform zur DSGVO-Automatisierung, von Datenschutzjuristen entwickelt. Positioniert im KMU- und Mittelstandssegment; Stärke ist die automatische Erzeugung juristisch belastbarer Dokumente (Verzeichnis, DSFA) ohne Beratungstagessätze. Ein detaillierter Software-Vergleich ordnet die Plattform in den Markt ein.
heyData — Berliner Anbieter, Bündel aus externem DSB und Plattform ab etwa 89 €/Monat. Guter Einstieg für Kleinstunternehmen; die Software selbst ist schlanker als dedizierte Plattformen.
Dastra — französischer EU-Pure-Player ab etwa 79 €/Monat, solides Verzeichnis- und Betroffenenrechte-Modul. Vorlagen sind französisch geprägt; BDSG-Spezifika selbst prüfen.
DataGuard — Münchner „Privacy-as-a-Service"-Anbieter: Plattform plus benannte Berater und externer DSB. Preise auf Anfrage, mit Beratung deutlich über reinen Software-Tools.
OneTrust — US-Enterprise-Referenz, breitester Modulkatalog. Üblich 30.000-100.000+ €/Jahr, Implementierung in Monaten. Unterhalb von etwa 1.000 Mitarbeitern überdimensioniert; eine faire Gegenüberstellung bieten unsere OneTrust-Alternativen.
Die versteckten Kosten
Der Listenpreis ist nur der Anfang. Vor Vertragsschluss immer klären:
- Onboarding-Gebühren — bei Enterprise-Suiten 2.000-15.000 €, oft einmalig.
- Preis pro juristischer Einheit — bei Konzernstrukturen verdreifacht sich das Budget schnell (Details für Gruppen: DSGVO-Software für Konzerne).
- Sitzlizenzen für reine Lese-Nutzer und SSO-Aufpreise.
- Datenmigration aus dem bestehenden Excel-Verzeichnis — im Preis enthalten oder als Dienstleistung berechnet?
- Gebündelte externe-DSB-Honorare (300-1.500 €/Monat) — die deutsche Besonderheit, die gedanklich von der Software zu trennen ist.
- Jährliche Preisindexierung — in mehrjährigen Verträgen ein realer Posten.
Deutsche Kostentreiber
Drei Faktoren machen den deutschen Markt teurer als andere EU-Länder. Erstens: 18 Aufsichtsbehörden. Neben dem BfDI beaufsichtigt in jedem Bundesland eine eigene Behörde die Privatwirtschaft. Mehrere führen koordinierte Prüfaktionen mit Fragebögen durch — wer dann kein aktuelles Verzeichnis vorlegt, hat sofort ein Problem.
Zweitens: die Bußgeldpraxis. Zu den größten deutschen Fällen zählen H&M (35,3 Mio. €, Hamburg 2020, Mitarbeiterüberwachung) und die BfDI-Entscheidung gegen 1&1 Telecom (9,55 Mio. €, 2019, vom LG Bonn 2020 auf 900.000 € reduziert). Dazu kommt die zivilgerichtliche Dimension: Deutsche Gerichte sprechen Schadensersatz nach Art. 82 DSGVO vergleichsweise häufig zu.
Drittens: Sprache und Formalismus. Behörden, Betriebsrat und Gerichte lesen Deutsch. Software mit englischen Vorlagen erzeugt Nachbearbeitungskosten, die im Angebot nicht auftauchen.
Der eigentliche Vergleichsmaßstab
Die entscheidende Zahl ist nicht der Lizenzpreis, sondern die Handarbeit, die die Software ersetzt. Verzeichnis, AV-Verträge und DSFA manuell zu pflegen kostet ein typisches KMU 300-800 Stunden pro Jahr. Bei 50 € Vollkosten pro Stunde sind das 15.000-40.000 € — vor jedem Bußgeldrisiko. Selbst eine 8.000-€-Plattform amortisiert sich damit mehrfach.
Der teuerste Fehler ist ein externer DSB, der seine abgerechneten Stunden mit Excel-Pflege verbringt. Gute Software verschiebt das Honorar vom Abtippen zur echten Beratung. Wer die Gesamtkosten seiner Compliance nach Unternehmensgröße durchrechnen will, findet die vollständige Aufstellung — DSB, Beratung, Schulung, laufender Aufwand — in unserem Leitfaden zu den DSGVO-Compliance-Kosten nach Unternehmensgröße.
Build vs. Buy: die Excel-Rechnung, die nie aufgeht
Viele Mittelständler starten mit einer selbstgebauten Excel-Landschaft: eine Tabelle für das Verzeichnis, eine für die AV-Verträge, eine für die Fristen der Betroffenenanfragen. Auf dem Papier kostet das nichts. In der Praxis entstehen drei Kostenblöcke, die kein Angebotsvergleich zeigt.
Erstens die laufende Pflege: Jede neue Software, jeder neue Dienstleister, jede geänderte Verarbeitung muss in mehreren Tabellen nachgezogen werden. Ohne automatische Verknüpfung zwischen AVV-Register und Verzeichnis driften die Dokumente auseinander — und genau diese Inkonsistenz fällt in der Prüfung auf. Zweitens die Personenabhängigkeit: Verlässt der Mitarbeiter, der die Tabellen gebaut hat, das Unternehmen, ist das Wissen weg. Drittens die Nachweislücke: Excel dokumentiert keine Bearbeitungshistorie. Wenn eine Aufsichtsbehörde fragt, wann die letzte Überprüfung stattfand, gibt es keine belastbare Antwort.
Der Umschlagpunkt liegt erfahrungsgemäß bei etwa 20-30 aktiven Verarbeitungstätigkeiten oder beim ersten koordinierten Prüffragebogen einer Landesbehörde. Ab hier ist eine Plattform nicht Luxus, sondern die günstigere Option — vorausgesetzt, sie erzeugt Dokumente, die eine deutsche Behörde akzeptiert, und nicht nur bunte Dashboards. Wer diesen Punkt ignoriert, zahlt die Differenz nicht in Lizenzgebühren, sondern in Arbeitszeit und Risiko: In der Prüfung zählt allein, ob das Verzeichnis am Stichtag vollständig und aktuell war.
Worauf der Preis nicht ankommen sollte
Zwei Posten treiben Angebote nach oben, ohne Compliance-Wert zu liefern. Der erste sind Zertifikats-Badges ohne rechtliche Aussagekraft — sie beeindrucken Einkäufer, nicht Aufsichtsbehörden. Der zweite sind überdimensionierte Modulkataloge (Ethik-Hotlines, ESG-Reporting, Third-Party-Risk-Suiten), die bezahlt und nie geöffnet werden. Für ein KMU zählt, dass die vier Kernartefakte dauerhaft prüfbereit sind: das Verzeichnis, die AV-Verträge, die DSFA-Dokumentation und der Nachweis der Betroffenenrechte-Bearbeitung. Alles darüber ist verhandelbar — und im Zweifel streichbar.
FAQ
Was kostet DSGVO-Software für ein KMU?
Für ein Unternehmen mit 20-250 Mitarbeitern etwa 2.000 bis 12.000 € pro Jahr für eine EU-Plattform mit VVT-, DSFA-, AVV- und Betroffenenanfragen-Modul. Einstiegsbündel mit externem DSB beginnen bei rund 89 €/Monat, reine Einstiegs-Software bei etwa 79 €/Monat.
Warum sind die Preise so intransparent?
Weil fast alle Anbieter pro Modul und pro Nutzer oder juristischer Einheit kalkulieren und Enterprise-Suiten grundsätzlich mit „Preis auf Anfrage" arbeiten. Fordern Sie immer die Gesamtkosten über drei Jahre an (Abonnement plus Onboarding plus Module plus Indexierung) — nur diese Zahl ist zwischen Anbietern vergleichbar.
Ist Software billiger als ein externer Datenschutzbeauftragter?
Sie ersetzt ihn nicht — nach § 38 BDSG bleibt der DSB ab 20 mit Datenverarbeitung befassten Personen Pflicht. Aber Software macht den DSB produktiv: Ein externer DSB, der Verzeichnis und DSFA per Tool pflegt, braucht weniger abgerechnete Stunden für Dokumentation und mehr für inhaltliche Beratung.
Reicht Excel statt bezahlter Software?
Für ein Kleinstunternehmen mit einer Handvoll Verarbeitungen vorübergehend ja. Ab etwa 20-30 Verarbeitungen, mehreren Standorten oder der ersten Behördenanfrage kippt die Rechnung: Excel erinnert an keine Überprüfung, versioniert nicht revisionssicher und erzeugt keine behördenfesten Dokumente.
Wie lässt sich der Preis verhandeln?
Der wirksamste Hebel ist die Volumetrie vor der Demo: Zählen Sie Verarbeitungstätigkeiten, Gesellschaften, Auftragsverarbeiter und voraussichtliche DSFA-Fälle. Diese Zahlen bestimmen die Preisstufe und Ihre Verhandlungsposition — nicht die Mitarbeiterzahl allein. Bestehen Sie außerdem auf einem Ausstiegsrecht, falls das erste vollständige Verzeichnis nicht innerhalb von 30 Tagen steht, und lassen Sie sich die Datenmigration aus dem bestehenden Excel-Verzeichnis vertraglich zusichern. Onboarding-Gebühren sind fast immer verhandelbar, wenn Sie einen Mehrjahresvertrag zeichnen.
Fazit
DSGVO-Software kostet ein KMU realistisch 2.000-12.000 € pro Jahr — der Preis hängt an den gebuchten Modulen und der Volumetrie, nicht an der Mitarbeiterzahl allein. Rechnen Sie gegen die 300-800 Stunden Handarbeit, die die Alternative kostet, zerlegen Sie jedes Bündelangebot in Software- und Beratungsanteil und fordern Sie die Drei-Jahres-Gesamtkosten an. Für die vollständige Marktübersicht mit Anbieterbewertung nutzen Sie unseren DSGVO-Software-Vergleich; für kleinere Betriebe die spezialisierte DSGVO-Software für KMU.
Siehe auch: Die Preisfrage einzelner Segmente vertiefen unsere Leitfäden zu DSGVO-Software für Startups und zu DSGVO für Marketing-Agenturen sowie die Tools zur Bußgeld-Prävention, die zeigen, wie sich die Investition gegen drohende Bußgelder rechnet.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo