Compliance-Investition
Was ein DSGVO-Audit in Deutschland kostet
Preisspannen, was das Audit wirklich prüft und wie Sie entscheiden, ob Sie jetzt eines brauchen. Konkrete Zahlen für technische Datenschutz-Audits in Deutschland und der EU.
Kurz gefasst
- Ein fokussiertes technisches DSGVO-Audit (eine Website oder Anwendung, Cookie- und Tracking-Review, Datenflusskartierung, Liste der Drittanbieter-Verarbeiter) kostet 3.500 bis 8.000 Euro.
- Ein vollständiges technisches und organisatorisches DSGVO-Audit über mehrere Systeme, Verarbeitungsverzeichnis, AVV-Review und Sanierungsroadmap kostet 8.000 bis 25.000 Euro.
- Enterprise-DSGVO-Compliance-Programme (mehrere Jurisdiktionen, Datenhaltungsort, KI-Act-Betrachtungen, Drittanbieter-Sorgfaltspflicht) kosten 25.000 bis 60.000 Euro oder mehr.
- Bußgelder unter der DSGVO können 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro erreichen, je nachdem was höher ist. Bei einem Unternehmen mit 10 Mio. Euro Umsatz bedeutet das ein Expositionspotenzial von bis zu 400.000 Euro aus einer einzigen Beschwerde oder Prüfung.
- Sehen Sie, wie wir technische Compliance-Audits inklusive DSGVO-Review für europäische Unternehmen angehen.
Was ein technisches DSGVO-Audit abdeckt
Die meisten DSGVO-Probleme sind <em>technisch</em>, nicht nur Richtliniendokumente.
Viele Unternehmen glauben, ihre DSGVO-Compliance sei durch eine Datenschutzerklärung und ein Cookie-Banner abgedeckt. Das ist nicht so. DSGVO-Compliance ist ebenso eine technische wie eine rechtliche Angelegenheit. Ein Consent-Banner, das auslöst, nachdem ein Google-Analytics-Script bereits geladen hat, ist nicht konform. Ein HubSpot-Formular, das personenbezogene Daten ohne Angemessenheitsbeschluss oder Standardvertragsklauseln an einen US-Server sendet, ist nicht konform. Ein Kontaktformular, das Einsendungen in einer gemeinsamen Datenbank ohne Aufbewahrungslimit speichert, ist nicht konform.
**Ein technisches DSGVO-Audit prüft, was die Systeme tatsächlich tun, nicht nur was die Richtlinie aussagt.** Das bedeutet: Netzwerkanfragen inspizieren, um Drittanbieter-Datenflüsse zu identifizieren, Consent-Management-Plattform-Konfiguration prüfen, Datenverarbeitungsverträge überprüfen, Cookie-Klassifikation auditieren, Server- und Datenbankonfigurationen auf Datensparsamkeit und Aufbewahrung prüfen und testen, ob Einwilligungswiderruf tatsächlich die Datenerfassung stoppt.
Das Audit liefert eine Gap-Liste und eine nach Risikograd geordnete Sanierungsroadmap. Hochrisiko-Befunde (Tracking ohne Einwilligung, Datenübertragungen ohne Rechtsgrundlage) kommen oben. Niedrigere Risikobefunde (fehlende Aufbewahrungsfristen in internen Logs) gehen in einen Wartungs-Backlog. Unternehmen, die zuerst bei den Hochrisiko-Befunden handeln, reduzieren ihr regulatorisches Expositionspotenzial erheblich, noch bevor die vollständige Sanierung abgeschlossen ist.
Kosten nach Audit-Scope
Was ein technisches DSGVO-Audit in Deutschland und der EU kostet, 2026.
| Audit-Scope | Typische Preisspanne | Zeitrahmen | Was abgedeckt ist | Beste Eignung |
|---|---|---|---|---|
| Fokussiertes Website-Audit | 3.500 bis 8.000 Euro | 2 bis 4 Wochen | Cookie- und Tracking-Audit, Consent-Management-Review, Drittanbieter-Datenflusskarte, Basis-AVV-Checkliste, schriftlicher Gap-Bericht | Unternehmen, die schnell eine Baseline für ihre Hauptwebsite oder Landing Page ermitteln wollen |
| Vollständiges technisches und organisatorisches Audit | 8.000 bis 25.000 Euro | 4 bis 8 Wochen | Alle fokussierten Punkte plus: Verarbeitungsverzeichnis-Review, Betroffenenrechte-Testing (Auskunft, Löschung), internes System-Audit, Aufbewahrung und Datensparsamkeit, AVV-Review für alle Verarbeiter, Sanierungsroadmap | B2B-Unternehmen, die sich auf ein Kunden-Audit, Investor-Due-Diligence oder proaktive Compliance vor einer behördlichen Anfrage vorbereiten |
| Multi-System-Compliance-Audit | 25.000 bis 60.000 Euro | 8 bis 16 Wochen | Alle vollständigen Audit-Punkte plus: Mehrländer-Jurisdiktions-Mapping, KI-Act-Pre-Screening, Datenhaltungs-Verifikation, Drittanbieter-Sorgfaltspflicht, Board-Level-Risikoübersicht | Mid-Market- oder Enterprise-Unternehmen mit mehreren Produkten, mehreren Datenhaltungsanforderungen oder regulierten Branchen |
Was den Preis erhöht
Vier Faktoren, die ein DSGVO-Audit über den Basistarif treiben.
01
Anzahl der Systeme und Datenverarbeiter
Jedes System, das personenbezogene Daten berührt, ist im Scope: CRM, E-Mail-Marketing, Analytics, Support-Tools, HR-Systeme, Zahlungsabwickler, Cloud-Infrastruktur. Ein Unternehmen mit acht Drittanbieter-Verarbeitern dauert dreimal länger zu auditieren als eines mit zwei. Erstellen Sie vor der Beauftragung eines Audits eine Liste aller Tools, die personenbezogene Daten erhalten. Das hilft beim Scopen des Audits und kann Überraschungen aufdecken.
02
Grenzüberschreitende Datenübertragungen
Datenübertragungen außerhalb der EU oder des EWR erfordern eine Rechtsgrundlage über DSGVO-Standardklauseln hinaus. Standardvertragsklauseln (SCCs), Angemessenheitsbeschlüsse oder Binding Corporate Rules müssen vorhanden sein. Übertragungen in die USA erfordern besondere Prüfung, da das EU-US-Datenschutzrahmenprogramm anfechtbar ist. Jede Transferroute braucht Dokumentation. Unternehmen mit US-ansässigen SaaS-Tools haben hier die größte Komplexität.
03
Besondere Datenkategorien
DSGVO-Artikel 9 definiert besondere Kategorien: Gesundheitsdaten, biometrische Daten, genetische Daten, politische Meinungen, religiöse Überzeugungen, Gewerkschaftsmitgliedschaft, sexuelle Orientierung. Die Verarbeitung einer davon erfordert ausdrückliche Einwilligung oder eine spezifische Rechtsgrundlage. Wenn ein Unternehmen besondere Kategorien verarbeitet, erweitert sich der Audit-Scope auf die Prüfung der Rechtsgrundlage, der Datensparsamkeitskontrollen und der Sicherheitsmaßnahmen.
04
Automatisierte Entscheidungsfindung und KI
DSGVO-Artikel 22 beschränkt vollautomatisierte Entscheidungsfindung, die Personen erheblich betrifft. Der EU-KI-Act fügt weitere Anforderungen für KI-Systeme hinzu, die Risiken bewerten, Empfehlungen machen oder Entscheidungen beeinflussen. Wenn ein Unternehmen KI für Personalwesen, Kreditbewertung oder personalisierte Preisgestaltung nutzt, muss ein DSGVO-Audit Artikel-22-Compliance und ein KI-Act-Pre-Screening einschließen.
Häufige Fragen
Was Unternehmen fragen, wenn sie entscheiden, ob sie ein DSGVO-Audit beauftragen.
Was kostet ein DSGVO-Audit in Deutschland?
Ein fokussiertes technisches DSGVO-Audit einer Website oder einzelnen Anwendung kostet in Deutschland 3.500 bis 8.000 Euro. Ein vollständiges technisches und organisatorisches Audit, das Verarbeitungsverzeichnis, Betroffenenrechte und eine Sanierungsroadmap abdeckt, kostet 8.000 bis 25.000 Euro. Multi-System- oder Enterprise-Audits kosten 25.000 bis 60.000 Euro. Das sind Gebühren nur für technische Audit-Arbeit; Rechtsberatung wird separat abgerechnet.
Ist ein DSGVO-Audit gesetzlich vorgeschrieben?
Die DSGVO schreibt kein formelles externes Audit namentlich vor. Sie verlangt jedoch, dass Verantwortliche Compliance auf Anfrage nachweisen, Verarbeitungsverzeichnisse führen, Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen durchführen und auf Betroffenenanfragen innerhalb eines Monats reagieren. Ein technisches Audit ist der praktische Weg zu überprüfen, dass Systeme tatsächlich konform sind, nicht nur dass Richtlinien es behaupten.
Was ist das größte DSGVO-Risiko für B2B-Websites?
Tracking und Analytics ohne gültige Einwilligung ist der häufigste Hochrisiko-Befund in Website-Audits. Google Analytics, Meta Pixel, LinkedIn Insight Tag und HubSpot Tracking erfassen alle personenbezogene Daten. Sie vor einer aufgezeichneten Einwilligung zu laden oder bei abgelehnter Einwilligung zu laden, ist ein DSGVO-Verstoß. Bußgelder in Deutschland für Fehler im Consent-Management lagen zwischen 50.000 und über 300.000 Euro aus einzelnen Beschwerden bei der DPA.
Wie lange dauert ein DSGVO-Audit?
Ein fokussiertes Website-Audit dauert zwei bis vier Wochen vom Kick-off bis zum Abschlussbericht. Ein vollständiges technisches und organisatorisches Audit dauert vier bis acht Wochen. Der Zeitrahmen hängt davon ab, wie schnell der Kunde Systemzugang, Verarbeiterlisten und bestehende Dokumentation bereitstellen kann. Unternehmen ohne vorherige Compliance-Dokumentation dauern länger als solche mit einem bestehenden Verarbeitungsverzeichnis.
Was passiert nach dem DSGVO-Audit?
Das Audit liefert einen nach Risikograd geordneten Gap-Bericht. Hochrisiko-Befunde sollten innerhalb von 30 bis 60 Tagen behoben werden. Mittlere Risikobefunde können im Folgequartal adressiert werden. Niedrige Risikobefunde gehen in einen Wartungsplan. Sanierung ist nicht im Audit-Preis enthalten, kann aber separat gescoped werden. Einige Befunde (Richtlinienaktualisierungen, Consent-Banner-Konfiguration) sind schnell zu beheben. Andere (Datenhaltungsänderungen, Verarbeiterersatz) dauern Monate.
Wie wir DSGVO-Audits bei SomeTech.work angehen
Wir starten mit der <em>technischen Ebene</em>, wo die meisten Verstöße tatsächlich sitzen.
Unsere DSGVO-Audits beginnen mit einer Netzwerk-Ebenen-Inspektion: Welche Daten verlassen den Browser, wann, an wen und unter welchem Einwilligungsstatus. **Die meisten Unternehmen sind überrascht von der Lücke zwischen dem, was ihre Datenschutzerklärung sagt, und dem, was ihr Analytics- und Marketing-Stack tatsächlich sendet.** Wir erstellen einen schriftlichen Gap-Bericht mit spezifischen technischen Befunden, Risikograden und Sanierungsschritten. Rechtliche Interpretation verweisen wir an unsere Datenschutzrechts-Partner.
Wir decken Website- und Anwendungs-Audits, Verarbeitungsverzeichnis-Reviews, Datenverarbeiter-Sorgfaltspflicht und Consent-Management-Plattform-Konfiguration ab. Für Unternehmen, die noch nie ein technisches DSGVO-Review hatten, ist das fokussierte Website-Audit zu 3.500 bis 8.000 Euro der richtige Ausgangspunkt. Es bringt die Hochrisiko-Probleme schnell an die Oberfläche, ohne die Kosten eines vollständigen Audits. Sehen Sie unsere technischen Compliance- und Strategy-Leistungen für Scope-Details.
Konkrete Lösung
Bringen Sie das operative Risiko.Sie erhalten eine klare Diagnose und den nächsten Schritt.
Passend, wenn Sie ein Team wollen, das widerspricht, wenn es zählt. Ergebnisse und Kennzahlen →
Erst prüfen?
Belege auf der Site.
Ergebnisse unter Referenzen. Team und Arbeitsweise unter Über uns. Nichts zum Download. Prüfen Sie, bevor Sie ein Gespräch buchen. Offen zur Prüfung. Commit, wenn es passt.