OneTrust

Kurzfazit

OneTrust ist der unangefochtene Marktführer für Privacy-Management, und das spürst du im Funktionsumfang ebenso wie im Preisschild. Die Plattform deckt DSAR-Automatisierung, Cookie-Consent, ROPA, Datenschutz-Folgenabschätzungen und seit 2024 auch AI Governance unter einem Dach ab. Für deutsche Konzerne und gehobenen Mittelstand mit komplexer Systemlandschaft und EU-Hosting-Pflicht ist OneTrust eine der wenigen Plattformen, die alle Anforderungen aus einer Hand erfüllt. Wer unter 200 Mitarbeitende hat oder weniger als 50 Auskunftsanfragen pro Jahr verarbeitet, fährt mit schlankeren Lösungen schneller und günstiger.

Für wen ist OneTrust?

Konzerne und gehobener Mittelstand: Versicherungen, Banken, Energieversorger, Pharma, überall dort, wo Auskunftsanfragen nach Art. 15 DSGVO im dreistelligen Bereich pro Quartal anfallen und manuell nicht mehr beherrschbar sind. OneTrust skaliert problemlos auf Tausende Anfragen pro Monat.

Datenschutzbeauftragte mit Mehrjurisdiktion: Wer DSGVO, CCPA, LGPD und perspektivisch den EU AI Act parallel managen muss, braucht eine Plattform mit vorkonfigurierten Frameworks. OneTrust deckt nach eigenen Angaben über 50 Regelwerke ab, niemand sonst auf dem Markt liegt in der Breite vergleichbar.

Compliance- und Risikoteams: Die Module für Third-Party-Risk, GRC und AI Governance lassen sich mit der Privacy-Suite verzahnen. Ein zentrales Inventar von Datenflüssen, Vendoren und KI-Systemen reduziert Doppelarbeit zwischen Datenschutz, Informationssicherheit und IT-Einkauf.

Unternehmen mit eigenem KI-Einsatz: Das AI-Governance-Modul katalogisiert KI-Systeme, Modelle und Datensätze, mappt sie auf EU AI Act, NIST AI RMF und ISO 42001 und legt Runtime-Guardrails (Prompt-/Output-Filter) über produktive Modelle. Für Mittelständler mit eigenen LLM-Deployments oder Agenten-Architekturen ein wertvoller Baustein.

Weniger geeignet für: Kleine Unternehmen unter 50 Mitarbeitenden (überdimensioniert und zu teuer), reine Cookie-Consent-Anwender (für die ist Usercentrics oder Cookiebot deutlich günstiger), Organisationen ohne dedizierten Datenschutzbeauftragten (ohne Fachpersonal lässt sich die Plattform nicht sinnvoll betreiben).

Preise im Detail

OneTrust veröffentlicht keine Listenpreise. Alles läuft über den Vertrieb, der Preis hängt von der Modulauswahl, der Zahl der angebundenen Systeme, dem Datensubjekt-Volumen und der Vertragslaufzeit ab. Belastbare Anhaltspunkte liefern Beschaffungsplattformen, die reale Vertragsabschlüsse auswerten.

Position	Preisindikation	Quelle / Hinweis
Typischer Jahresvertrag (Median)	ca. 11.500 USD/Jahr	Vendr, Auswertung realer Abschlüsse
Spanne über alle Verträge	ca. 1.600 bis 44.800 USD/Jahr	Vendr, je nach Modulen und Umfang
Übliche Verhandlungsrabatte	20 bis 30 Prozent	Vendr, bei Mehrjahresverträgen und Wettbewerbsdruck
Professional Services (Implementierung)	20 bis 40 Prozent der Jahreslizenz	zusätzlich, projektabhängig
AI-Governance-Modul	auf Anfrage	separat lizenziert
File Redaction / weitere Module	auf Anfrage	separat lizenziert

Einordnung: Die einzelnen Modulpreise sind nicht öffentlich, und kursierende GBP- oder EUR-Tabellen lassen sich gegen die Quelle nicht sauber belegen. Verlässlich ist die Spannweite aus realen Abschlüssen: vom kleinen, einzelmodularen Vertrag im niedrigen vierstelligen Bereich bis zu rund 45.000 USD pro Jahr für breit ausgebaute Setups. Größere Konzerninstallationen mit vielen Modulen und Business Units können darüber liegen, dafür gibt es aber keine öffentlich nachprüfbare Zahl, deshalb nennen wir sie hier nicht als Fakt. Hinzu kommen die Implementierungs-Services, die je nach Komplexität noch einmal 20 bis 40 Prozent der Jahreslizenz ausmachen. OneTrust verhandelt, plane Vergleichsangebote von Securiti oder BigID ein, um Preisdruck aufzubauen. Mit transparenten Konditionen wie bei SaaS-Standardprodukten solltest du nicht rechnen.

Stärken im Detail

Konsolidierter DSAR-Workflow von A bis Z. Wo andere Tools nur Teilstrecken abdecken (z. B. nur das Eingangsformular oder nur die Schwärzung), bildet OneTrust den vollständigen Prozess ab: Anfrage entgegennehmen, Identität verifizieren, betroffene Systeme parallel durchsuchen, Treffer aggregieren, Drittdaten automatisch schwärzen, Antwortpaket zusammenstellen, Audit-Log archivieren. Diese Durchgängigkeit ist der größte Effizienzhebel und zugleich das Hauptargument gegen Eigenbau-Lösungen.

Konnektoren für hunderte Standardsysteme. Salesforce, HubSpot, Microsoft 365, Workday, ServiceNow, AWS, GCP, Snowflake, SAP, die wichtigsten Datensilos eines mittelgroßen Unternehmens lassen sich ohne Eigenentwicklung anbinden. Für proprietäre Systeme gibt es eine REST-API und einen No-Code-Connector-Builder. Das spart in der Regel 60 bis 80 Prozent gegenüber dem Aufbau einer eigenen Integrationsschicht.

EU-Datenresidenz und deutscher Support. OneTrust bietet eine EU-Datenresidenz an, ein Standard-DPA (AVV) nach Art. 28 DSGVO sowie Standard Contractual Clauses sind über das Trust Center verfügbar. Welche Region genau bereitgestellt wird, solltest du im Vertrag explizit fixieren statt dich auf mündliche Zusagen zu verlassen. Der Support spricht Deutsch, die UI ist lokalisiert, und regulatorische Templates für deutsches Datenschutzrecht sind vorgefertigt. Für eine US-Plattform ein vergleichsweise reibungsloses Setup.

AI Governance als zukunftssicheres Add-on. Das AI-Governance-Modul ist mehr als ein Marketing-Aufkleber: Es führt ein zentrales Inventar über Modelle, Datensätze, Agenten und Vendoren, ordnet sie per Templates dem EU AI Act, NIST und ISO 42001 zu und bietet Runtime-Guardrails mit Prompt- und Output-Filtern sowie Maskierung und Redaction. Integrationen für AWS Bedrock, Google Vertex AI, Databricks und Amazon SageMaker sind laut Produktseite enthalten. Wer KI im Unternehmen einsetzt und ohnehin OneTrust für Privacy nutzt, hat hier den niedrigsten Friction-Pfad zu AI-Act-Compliance.

Schwächen ehrlich betrachtet

Intransparente Preise und harte Verhandlungen. Auf der Website findest du keine vollständige Preisliste, alles läuft über Sales. Die Modularisierung führt dazu, dass das, was im ersten Angebot steht, fast nie reicht: File Redaction, zusätzliche Konnektoren, Sandbox, höhere Anfragevolumen, alles kostet extra. Plane mindestens zwei Verhandlungsrunden ein und hol Vergleichsangebote von Securiti oder BigID, um Preisdruck aufzubauen.

Implementierung dauert sechs Monate, nicht sechs Wochen. OneTrust verkauft “Time-to-Value in Wochen”, aber realistisch dauert ein produktiver Rollout mit drei bis fünf Systemen vier bis sechs Monate inklusive Identitätsverifikation, Workflow-Mapping und User-Schulung. Wer mit einer “wir machen das mal nebenbei”-Erwartung startet, verbrennt Budget. Der Hauptaufwand liegt nicht im Tool selbst, sondern im Datenfluss-Mapping davor, und das nimmt OneTrust dir nicht ab.

Steile Lernkurve für die Administratoren. Die Plattform ist mächtig und entsprechend komplex. Workflow-Konfiguration, Konnektor-Setup und Reporting erfordern dedizierte Admins mit OneTrust-Schulung (kostenpflichtig). In den ersten Monaten brauchst du fast immer einen Implementierungspartner, was die TCO weiter erhöht. Self-Service-Onboarding wie bei modernen SaaS-Tools gibt es nicht.

Funktionsfülle als Nachteil. Wer nur DSAR-Automatisierung sucht, bekommt zwangsläufig eine Plattform, die auch Cookie-Consent, ROPA, Vendor-Risk und vieles mehr kann, und bezahlt dafür. Die Versuchung, Module hinzuzubuchen, ist groß; die Realität ist, dass viele Features ungenutzt bleiben. Schlankere Spezialtools wie Cookiebot (Consent) oder Securiti (Discovery) liefern für ihren Teilbereich oft die bessere User Experience zum Bruchteil des Preises.

Alternativen im Vergleich

Wenn du…	…nimm stattdessen
Generative KI im Unternehmen nutzbar machen willst (mit DSGVO-Schutz)	Microsoft 365 Copilot

Im direkten DSAR- und Privacy-Management-Wettbewerb stehen Securiti.ai und BigID, beide spielen funktional in der gleichen Liga und sollten in jedem Auswahlprozess als Vergleichsangebote angefordert werden. Für reine Cookie-Consent-Management-Plattformen sind Usercentrics (deutsches Produkt, sehr verbreitet im DACH-Raum) und Cookiebot deutlich günstiger und schneller einsatzbereit. Externe Datenschutzberatung mit Plattform-Betrieb bietet DataGuard, was sich für Mittelständler ohne eigene Datenschutz-Kapazität anbietet. Wer ganz ohne Plattform auskommen will, sollte die Anfragenzahl ehrlich messen: unter 20 DSAR pro Jahr lohnt sich ein gut dokumentierter Excel-Workflow mit klaren Eskalationsstufen meist mehr als ein sechsstelliger Plattformvertrag.

So steigst du ein

Schritt 1: Demo bei OneTrust anfragen, die Plattform ist nicht selbst-onboardingfähig. Vor dem ersten Gespräch klären: Wie viele Anfragen pro Jahr, welche Systeme sollen angebunden werden, welche Frameworks (nur DSGVO oder auch CCPA/LGPD/EU AI Act). Hol parallel Angebote von mindestens einem Konkurrenten (Securiti oder BigID), ohne Vergleichsangebot bekommst du keinen guten Preis.

Schritt 2: Anforderungs-Workshop mit OneTrust oder einem zertifizierten Implementierungspartner. Die Modulauswahl entscheidet über die Lizenzkosten, Privacy Rights Automation ist die Basis, File Redaction, Data Discovery und AI Governance kommen separat dazu. Lass dir Referenzkunden in deiner Branchengröße zeigen, nicht nur DAX-Konzerne.

Schritt 3: Pilotphase mit zwei bis drei Schlüsselsystemen (typisch: CRM, Marketing-Automation, ERP). Erst danach den Rollout auf weitere Datenquellen ausweiten, ein zu breiter Start verzögert die Live-Schaltung erheblich. Plane parallel die interne Schulung der Datenschutz- und IT-Teams: Ohne dedizierten Admin verstaubt das Tool.

Ein konkretes Beispiel

Ein deutsches Versicherungsunternehmen mit 600 Mitarbeitenden bekam pro Monat 35 bis 50 Auskunftsanfragen nach Art. 15 DSGVO. Nach einem viermonatigen OneTrust-Rollout (Salesforce, Outlook, internes Schadenssystem, Marketing-Automation) sank die durchschnittliche Bearbeitungszeit von 3,5 Stunden auf 35 Minuten je Anfrage. Die Lizenz lag im oberen Bereich der für OneTrust üblichen Vertragsspanne, dazu kamen einmalige Implementierungs-Services in Höhe von rund einem Drittel der Jahreslizenz. Amortisiert hat sich das nach etwas weniger als einem Jahr, allein durch eingesparte Sachbearbeiter-Stunden im Datenschutzteam. Die Datenschutzbeauftragte berichtet, dass ihr Team seitdem erstmals seit Jahren wieder Kapazität für strategische Themen wie ROPA-Pflege und Mitarbeiterschulungen hat.

DSGVO & Datenschutz

• Datenhosting: EU-Datenresidenz verfügbar, die konkrete Region muss bei Vertragsabschluss explizit vereinbart werden (das Trust Center nennt keine garantierte Standardregion)
• Auftragsverarbeitung: Standard-DPA (AVV) nach Art. 28 DSGVO sowie Standard Contractual Clauses über das Trust Center verfügbar
• Subprozessoren: Liste über das Trust Center bzw. auf Anfrage einsehbar
• Zertifizierungen: ISO 27001, ISO 27701, ISO 27017, SOC 2 Type II, TISAX, PCI DSS und HITRUST (laut Trust Center)
• Datennutzung: Nutzungsbedingungen und DPA regeln die Verarbeitung, eine pauschale Trainingsfreiheit lässt sich öffentlich nicht eindeutig belegen, kläre die Verwendung deiner Daten daher vertraglich
• Empfehlung für Unternehmen: EU-Region im Vertrag explizit fixieren, DPA und SCCs vor Implementierung prüfen lassen, Subprozessoren-Liste dem internen Datenschutzbeauftragten zur Freigabe vorlegen

Gut kombiniert mit

• Microsoft 365 Copilot, OneTrust überwacht und dokumentiert die KI-Nutzung im Unternehmen, Copilot ist eines der Systeme, das im AI-Governance-Inventar erfasst und mit Guardrails belegt werden sollte
• Usercentrics oder Cookiebot, viele deutsche Unternehmen kombinieren OneTrust für DSAR/ROPA mit einer schlanken Consent-Plattform für die Website, weil deutsche Frontend-Tools im Cookie-Banner näher an den Erwartungen lokaler Datenschutzaufsichten liegen und schneller einzurichten sind
• Externe Datenschutzberatung (z. B. DataGuard, ePrivacy), die Beratung übernimmt den OneTrust-Betrieb für ihre Mandanten, sinnvoll wenn intern keine Kapazität für dedizierte Admin-Rollen aufgebaut werden soll

Unser Testurteil

OneTrust verdient 4 von 5 Sternen. Funktional ist die Plattform die Referenz im Privacy-Management-Markt, niemand sonst bietet vergleichbare Breite, Tiefe und Framework-Abdeckung. Den fünften Stern verliert OneTrust durch die intransparente Preispolitik, die hohen Total Cost of Ownership und die Tatsache, dass die Plattform für viele deutsche Mittelständler schlicht überdimensioniert ist. Wer in der Zielgruppe (gehobener Mittelstand, Konzerne, hohes Anfragevolumen) liegt und EU-Hosting plus Multi-Framework-Compliance braucht, hat zu OneTrust kaum echte Alternativen. Wer darunterliegt, sollte sich gründlich überlegen, ob ein schlankeres Setup nicht besser passt.

Was wir bemerkt haben

• Juni 2026, Quellenprüfung: Die früher hier genannten festen Modulpreise in GBP (z. B. 360/1.080/2.884 GBP pro Monat) ließen sich gegen keine belastbare Quelle verifizieren und wurden entfernt. Belegbar ist die Preisspanne aus realen Vertragsabschlüssen (Vendr): Median rund 11.500 USD, Spanne ca. 1.600 bis 44.800 USD pro Jahr. Auch die zuvor genannte feste Frankfurt-Region und die pauschale Trainingsfreiheit der Daten wurden auf das abgeschwächt, was das Trust Center tatsächlich belegt (EU-Datenresidenz, DPA, SCCs).
• Mai 2026, OneTrust wurde in Analystenberichten zu Privacy- und Third-Party-Risk-Management weiterhin prominent positioniert; die Marktführerschaft im Privacy-Management bleibt stark, der Wettbewerbsdruck durch Securiti und BigID nimmt aber spürbar zu.
• 2024, Das AI-Governance-Modul wurde gestartet und positioniert OneTrust frühzeitig auf den EU AI Act. Mappings auf NIST AI RMF und ISO 42001 sind out-of-the-box enthalten, ein klarer Vorteil gegenüber Plattformen, die AI-Compliance erst nachrüsten müssen.
• 2023–2024, Mehrere Wellen von Stellenstreichungen bei OneTrust (medial gut dokumentiert) führten zu Unsicherheit bei Bestandskunden; das Produktportfolio blieb davon unbenommen, aber Reaktionszeiten im Customer Success haben sich phasenweise verschlechtert. Bei Vertragsverhandlung explizit nach dedizierten Ansprechpartnern fragen.