TÜV-zertifizierter externer Datenschutzbeauftragter mit fundierter Qualifikation — kombiniert mit smarter KI-Plattform für DSGVO-Routine. In 7 Tagen startklar, ab 79 €/Monat. Festpreis statt Stundensatz, kein Callcenter.
Handwerk & Industrie IT & Agenturen Dienstleister Gesundheit
Lieber direkt sprechen? 15-Min-Termin buchen
TÜV-zertifizierter externer Datenschutzbeauftragter — deutschlandweit, mit Sitz in Hamburg. Ab 79 €/Monat, in 7 Tagen einsatzbereit. Persönlich + Plattform — keine Anwaltskanzlei, kein Callcenter.
Vor Ort an der Elbe: Externer Datenschutzbeauftragter Hamburg · alle Standorte
Ab 20 Mitarbeitenden ist ein Datenschutzbeauftragter Pflicht. Datenschutz-Grundverordnung Die EU-weite Verordnung, die seit Mai 2018 den Datenschutz regelt. Sie gilt unmittelbar in allen Mitgliedstaaten und steht über den nationalen Datenschutzgesetzen. , NIS2-Richtlinie EU-Richtlinie zur IT-Sicherheit, seit Dezember 2025 in Kraft. Trifft etwa 29.000 deutsche Unternehmen direkt — und Geschäftsführer haften persönlich. und der KI-Verordnung der EU Die EU-Verordnung zur Regulierung Künstlicher Intelligenz. Stuft KI-Systeme nach Risikoklassen ein und verpflichtet Anbieter und Betreiber zu Transparenz, Dokumentation und Schulung. treffen heute jedes Unternehmen — und die Geschäftsführung haftet persönlich.
Die Datenschutzbehörden verhängen zunehmend empfindliche Strafen – auch gegen KMU.
Seit Dezember 2025 in Kraft – ohne Übergangsfrist. Ca. 29.000 Unternehmen betroffen. Die Haftung ist nicht delegierbar.
Der EU AI Act bringt neue Dokumentations- und Transparenzpflichten. 63% aller ChatGPT-Prompts enthalten personenbezogene Daten.
Google Fonts, fehlerhafte Cookie-Banner, Tracking ohne Consent – vermeidbar mit dem richtigen Check.
Als externer Datenschutzbeauftragter Die natürliche Person, die in Ihrem Unternehmen die Einhaltung der Datenschutzgesetze überwacht. Intern aus dem Mitarbeiterkreis bestellt oder als externer DSB von außen — beides ist nach DSGVO zulässig. übernimmt Nils die DSGVO-Pflichten komplett für Sie. Die KI-Plattform nimmt Ihrem Team das Tagesgeschäft ab — und Ihr persönlicher Ansprechpartner ist nur einen Anruf entfernt.
Keine Slide-Präsentation, kein 60-Seiten-PDF. Drei Bausteine, die Ihr Team täglich nutzt — und die wir gemeinsam mit Ihnen befüllen.
Wo stehen Sie? Welche Aufgaben sind offen? Ihr Datenschutz-Cockpit zeigt es in Echtzeit — kein Excel-Friedhof.
Mitarbeiter fragen direkt in der App — Antwort konkret, dokumentiert, mit verlinkter Vorlage.
Jedes Tool, jede Verarbeitung, jede TOM auf einen Blick. Audit-fähig, immer aktuell.
Diese Mockups sind illustrativ — die Live-Plattform zeigen wir Ihnen im Erstgespräch und richten sie für Ihr Unternehmen ein. 15 Min reservieren →
Vom ersten Anruf bis zum laufenden Datenschutz-Management. Keine endlosen Workshops, kein Audit-Theater.
Wir schauen uns Ihr Unternehmen an: Mitarbeiter, Tools, Branche, akute Themen (Behördenanfrage, NIS2, Datenpanne?). Sie bekommen eine ehrliche Einschätzung — auch wenn die heißt: Sie brauchen aktuell gar keinen DSB.
Sie unterschreiben die Datenschutzbeauftragter Die natürliche Person, die in Ihrem Unternehmen die Einhaltung der Datenschutzgesetze überwacht. Intern aus dem Mitarbeiterkreis bestellt oder als externer DSB von außen — beides ist nach DSGVO zulässig. -Bestellung digital, wir melden Sie offiziell bei der Aufsichtsbehörde Hamburg Die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit unter Thomas Fuchs. Zuständig für jedes Unternehmen mit Hauptsitz in Hamburg. an. Plattform-Zugang für Sie und Ihr Team wird eingerichtet, Auftragsverarbeitungsvertrag Der Vertrag nach Art. 28 DSGVO mit jedem Dienstleister, der für Sie personenbezogene Daten verarbeitet — Cloud, CRM, Newsletter-Tool. Ohne AVV droht Bußgeld. werden gesammelt, die ersten Pflichtdokumente entstehen.
Das Datenschutz-Management-System ist aufgesetzt: Verzeichnis von Verarbeitungstätigkeiten Die zentrale Datenschutz-Dokumentation: Was wird wo, wie und wozu verarbeitet. Pflicht nach Art. 30 DSGVO und das erste, was eine Aufsichtsbehörde anfordert. vorbereitet, AVVs geprüft, erste Awareness-Module ausgespielt. Mitarbeiter stellen Fragen direkt in der Plattform — Sie haben einen festen Ansprechpartner.
Vier Produkte auf einer Plattform — für KMU im deutschen Mittelstand. Transparente Preise, ein persönlicher Ansprechpartner, alles in einem System.
29 DSGVO-Prüfpunkte + NIS2-Betroffenheitscheck in 60 Sekunden. Ampel-Report mit konkreten Fix-Anleitungen — nach deutschem Recht.
Mehr erfahren
Externer Datenschutzbeauftragter + All-in-One-Plattform: DSGVO & NIS2-Compliance, VVT, Awareness-Module, Vorfallmeldung, AI Act. Vier Tarife ab 79 €/Monat.
Mehr erfahrenNIS2-Lieferketten-Compliance – Nachweis für Ihre Auftraggeber. Zulieferer weisen nach, Sie behalten den Überblick.
Mehr erfahrenInformationssicherheits-Managementsystem für KMU 50–250 MA. NIS2-ready in 4 Wochen statt 6 Monaten. Cross-Modul-Bridge zum VVT — niemand sonst hat das. Ab 149 €/Monat.
Mehr erfahrenEine Plattform · sieben Bereiche · ein Login
Was als DSGVO-Scan startet, wird zur Compliance-Suite. Sieben Module, in app.fraghugo.de.
Alle Module unter einem Login — Cross-Modul-Bridge zwischen DSB ↔ ISMS ↔ Shield aktiv.
Plattform öffnenKein Standardpaket: Wir schauen uns Ihre Ausgangslage an, entwickeln dazu ein passendes Sicherheitskonzept und begleiten Sie bei der Umsetzung.
Leistungen entdeckenGeschäftsführer, TÜV-zertifizierter Datenschutzbeauftragter und Ihr persönlicher Berater. Nils weiß, was Mittelständler im Alltag bewegt — er kommt selbst aus der Praxis.
Gemeinsam mit Co-Founder Jens Hagel (IT-Unternehmer mit über 20 Jahren Erfahrung) hat er frag.hugo gegründet, damit Datenschutz und IT-Sicherheit auch für KMU bezahlbar werden.
Angebot in 60 Sekunden Beide Varianten sind nach DSGVO zulässig. Die Unterschiede in Kosten, Haftung und Verfügbarkeit sind jedoch erheblich.
| Kriterium | Intern bestellt | frag.hugo (extern) |
|---|---|---|
| Jahreskosten | ~25.000 € inkl. Gehalt & Fortbildung | ab 948 € (79 €/Mo Lite) |
| Kündigungsschutz | Besonderer Schutz nach § 6 BDSG | monatlich kündbar |
| Interessenkonflikt | Risiko bei IT-Leiter, HR, GF | ausgeschlossen |
| Fachkunde | muss aufgebaut werden | TÜV-zertifiziert, branchenübergreifend |
| Haftung | Arbeitnehmerhaftung (begrenzt) | Berufshaftpflicht-versichert |
| Verfügbarkeit | neben regulären Aufgaben | dediziertes Team, < 24h Reaktion |
| Plattform & Doku | muss selbst aufgebaut werden | VVT, AVV, TOMs sofort einsatzbereit |
Für KMU bis 250 Mitarbeitende ist die externe Variante fast immer die bessere Wahl — wirtschaftlich wie rechtlich. Die Verordnung fordert Unabhängigkeit, die ein interner Mitarbeiter mit Doppelrolle nur schwer einhalten kann. Wer Fragen zum Datenschutz täglich beantwortet haben will, ohne dafür eigenes Personal vorzuhalten, ist mit einem Beauftragten von außen besser bedient.
Vier Tarife ab 79 € im Monat — Plattform für das gesamte Datenschutz-Management und persönliche Beratung inklusive. Datenschutzrechtlich sauber, mit voller Einhaltung der Datenschutz-Grundverordnung Die EU-weite Verordnung, die seit Mai 2018 den Datenschutz regelt. Sie gilt unmittelbar in allen Mitgliedstaaten und steht über den nationalen Datenschutzgesetzen. . Bis zu 93 % günstiger als die intern bestellte Variante (durchschnittlich 5.500 € im Monat).
netto · bis 15 Mitarbeitende · Self-Service
netto · bis 25 Mitarbeitende · 12 h Beratung/Jahr
netto · bis 100 Mitarbeitende · 24 h Beratung/Jahr
netto · bis 250 Mitarbeitende · 48 h Beratung/Jahr
Im Vergleich: ein intern bestellter Mitarbeiter schlägt mit Gehalt, Trainings, Haftung und Lohnnebenkosten mit rund 5.500 €/Monat zu Buche — bei frag.hugo ab 79 €/Monat.
Monatlich kündbar Keine Setup-Gebühr Erstgespräch unverbindlich
Drei kostenlose Tools, mit denen Sie das in wenigen Minuten herausfinden.
Unternehmen direkt betroffen
haben laut BSI noch Nachholbedarf
NIS2 · seit Dezember 2025 Gesetz
3 Fragen, 30 Sekunden — und Sie wissen, ob Sie direkt oder über die Lieferkette betroffen sind. Mit konkreter Handlungsempfehlung.
Schnellcheck startenPrüfen Sie in 30 Minuten, ob Ihr Unternehmen die DSGVO-Grundlagen erfüllt. Mit Praxis-Tipps vom TÜV-zertifizierten Datenschutzberater.
Was Geschäftsführer über §38 NIS2UmsuCG wissen müssen — und wie Sie sich absichern. Kompakt auf 12 Seiten.
Warum wir Firmennamen weglassen
Wir nennen Firmen und Klarnamen unserer Mandanten nicht öffentlich — Datenschutz beginnt bei uns selbst. Für Einkäufer-Due-Diligence verifizieren wir Referenzen gerne nach NDA. Bitten Sie einfach im Erstgespräch um zwei telefonische Referenzen aus Ihrer Branche — Sie erhalten binnen 48 Stunden Namen und Kontaktdaten. Ausführlichere, ebenfalls DSGVO-konform anonymisierte Case-Studies mit Branche, Herausforderung und Ergebnis finden Sie auf unserer Referenzen-Seite.
„Wir dachten, wir sind zu klein für einen externen DSB. Drei Mitarbeiter, Videoagentur. Aber unsere Auftraggeber aus dem Gesundheitswesen verlangten plötzlich AVVs und Nachweise. Nils hatte das in zwei Tagen aufgesetzt. Seitdem schlafen wir ruhiger."
„Es kam häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern – und dann wurde es zur Chefsache."
„Fünf Tage vor unserer TÜV-Rezertifizierung fehlten uns die IT-Risikoanalyse und der Notfallplan. Nils hat das übers Wochenende geliefert. Der Auditor war begeistert – und wir haben unsere Zertifizierung behalten."
„Der Mandant war anfangs sehr skeptisch. Nach einem Jahr hat er sich bedankt: Das ist toll, dass wir das angegangen sind. Wir haben viele Prozesse hinterfragt, viel verändert. Der Datenschutz hat geholfen, sein Unternehmen besser zu verstehen."
„Unser vorheriger DSB hat einmal im Jahr eine Checkliste geschickt. Nils kommt vorbei, kennt unsere Prozesse in der Schifffahrt – Besatzungsdaten, Hafenmeldungen, GPS-Tracking – und sagt konkret, was zu tun ist."
„Ein Großkunde hat uns ein NIS2-Lieferantenaudit geschickt – 38 Fragen, Nachweise verlangt. Dank frag.hugo hatten wir alle Richtlinien und das Datenschutzkonzept bereits parat. Auftrag gerettet."
„Innerhalb von 24 Stunden war klar, dass wir die Umfrage datenschutzkonform durchführen können. So schnell hat noch kein Berater reagiert. Genau so stellt man sich die Zusammenarbeit vor."
„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen."
„Unsere M365-Umgebung wurde gehackt – Phishing trotz MFA. Nils hat die Meldung an die Behörde innerhalb der 72-Stunden-Frist durchgebracht. Ohne ihn hätten wir die Frist gerissen."
DSGVO-Artikel zu kennen ist die eine Hälfte. Die andere ist, sie in Ihrem Tagesgeschäft zum Laufen zu bringen — wenn die Personalabteilung morgens um neun fragt, ob sie eine Bewerbung per E-Mail aufheben darf, und der Vertrieb wissen will, wie lange er die Adressliste vom letzten Messekontakt behalten darf.
Wir übernehmen die Pflichten, die das Gesetz einem internen Beauftragten zuschreibt — und erfüllen sie meist sauberer, weil keine Doppelrolle im Weg steht. Im Tagesgeschäft eines Mandats sieht das so aus:
Die Schwelle steht in § 38 BDSG: ab 20 Personen, die regelmäßig automatisiert personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter Pflicht. Teilzeit zählt mit, Auszubildende auch. Daneben verlangt Art. 37 die Bestellung unabhängig von der Größe, wenn Ihre Kerntätigkeit in der regelmäßigen und systematischen Überwachung von Personen besteht — Videoüberwachung, GPS-Tracking, Profiling — oder Sie besondere Kategorien verarbeiten, etwa Gesundheits-, Religions- oder Gewerkschaftsdaten.
In der Praxis trifft das mehr Unternehmen in Hamburg als gedacht. Eine Personaldienstleistung mit 18 Festen und sieben Aushilfen liegt drüber. Eine Arztpraxis mit drei Mitarbeitenden ist allein wegen der Patientendaten dabei. Und eine kleine Agentur mit Newsletter-Datenbank von 80.000 Empfängern fällt unter „geschäftsmäßige Übermittlung". Wer die Pflicht ignoriert, riskiert ein Bußgeld — Art. 83 sieht bis zu 10 Millionen Euro oder 2 % des Vorjahresumsatzes vor.
Bei jedem Mandat ist klar: Wir unterstützen Sie bei der Erstellung aller Pflichtdokumente — vom Verzeichnis der Verarbeitungstätigkeiten gemäß DSGVO bis zum gesamten Datenschutzmanagementsystem. Ihr individuelles Angebot stellen wir nach einem Erstgespräch zusammen, in dem wir Ihr Unternehmen und Ihre Prozesse genau kennenlernen.
Den betrieblichen Datenschutz für Unternehmen in Hamburg und Umgebung halten wir auf dem neuesten Stand der Rechtsprechung — sowohl was den Umgang mit personenbezogenen Daten angeht als auch die Anforderungen, die eine zuständige Aufsichtsbehörde an Sie stellt. Die Umsetzung der DSGVO ist bei uns kein einmaliges Projekt, sondern ein laufender Prozess. So können Unternehmen aus Hamburg profitieren — und zwar nicht nur, indem sie die DSGVO einzuhalten lernen, sondern indem sie eine belastbare Datenschutz-Kultur entwickeln, die im Audit besteht.
„Eine Hamburger Reederei rief uns an einem Freitag an. Eine Mitarbeiterin hatte versehentlich eine Crew-Liste mit Reisepass-Nummern an einen Drittstaatkunden geschickt. 72-Stunden-Frist für die Meldung an den HmbBfDI."
Wir haben am Samstag bewertet, am Sonntag den Meldetext geschrieben, am Montag um neun war die Meldung raus. Die Behörde hat das Verfahren ohne Bußgeld abgeschlossen, weil die Mandantin reagiert hatte und ein DSMS Datenschutz-Management-System — strukturierter, dokumentierter Prozess, mit dem Sie Datenschutz im Unternehmen organisiert betreiben (Verantwortlichkeiten, Dokumentation, Audits, Schulungen). Senkt das Bußgeld-Risiko bei Datenpannen erheblich. nachgewiesen werden konnte.
Quelle: Tätigkeitsberichte des HmbBfDI & Pressemitteilungen unter Behördenleiter Thomas Fuchs.
Die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit arbeitet aktiver als viele andere Landesbehörden. Hamburg ist auch deshalb herausfordernd, weil die hiesige Wirtschaft besondere Datenkategorien verarbeitet: Reedereien führen Crew-Daten und Hafenmeldungen, Logistiker bewegen Frachtdaten mit Personenbezug, Medienunternehmen Nutzerprofile, und der wachsende Health-Tech-Cluster Patientendaten.
Wer als externe Datenschutzbeauftragte hier arbeitet, kennt die typischen Stolperstellen. Nils sitzt seit Jahren in BVMID-Runden mit Hamburger Mittelständlern und hat in den meisten Branchen schon eine Datenschutz-Folgenabschätzung begleitet — vom Logistik-Tracking bis zur Telemedizin.
Das zweite, was Hamburg auszeichnet: kurze Wege. Wenn der HmbBfDI eine Auskunft anfordert, ist ein Vor-Ort-Termin in der Spaldingstraße schneller organisiert als jede Telefonkonferenz. Wir kennen die Sachbearbeiterinnen und Sachbearbeiter, wir wissen, wie ein Schreiben formuliert sein muss, damit es als ernsthafte Antwort durchgeht.
Das ist nichts, was Sie auf einer Compliance-Plattform aus München bekommen. Und es ist der Grund, warum viele Mandanten von uns sich bewusst für einen externen Datenschutzbeauftragten am Standort Hamburg entschieden haben — nicht für die billigste Hotline irgendwo im Internet.
Eine reine Datenschutzkanzlei kann Ihnen sagen, was rechtlich gefordert ist. Sie kann Ihnen aber nicht zeigen, wie Sie die Berechtigungen in Ihrem Microsoft 365 sauber setzen, warum Ihre Backup-Strategie unter NIS2 neu bewertet werden muss oder wie ein Penetrationstest in Auftrag gegeben wird, ohne den eigenen Mitarbeitenden Schaden zuzufügen. frag.hugo deckt beides ab — Datenschutz und Informationssicherheit aus einer Hand.
Co-Founder Jens Hagel führt seit 20 Jahren ein IT-Systemhaus in Hamburg. Wenn ein DSGVO-Audit eine Schwachstelle in der Berechtigungsmatrix aufdeckt, schicken wir Ihnen keine Empfehlung, sondern setzen sie um. Das Ergebnis ist ein Datenschutzmanagementsystem (DSMS), das Datenschutz, Datensicherheit und IT-Sicherheit gemeinsam denkt — sauber dokumentiert, technisch wirksam und auf dem aktuellen Stand der Datenschutzgesetze.
Im Bereich Datenschutz unterscheiden sich Mandate weniger durch die Theorie als durch die Praxis. Bei uns bringen Sie Ihr Unternehmen mit, wir bringen die Expertise. Wir kennen die Anforderungen der DSGVO aus über hundert Audits, das Bundesdatenschutzgesetz aus laufenden Verfahren mit der Aufsichtsbehörde Hamburg, und das Know-how aus dem Tagesgeschäft eines IT-Systemhauses. Beim Datenschutz hilft Erfahrung mehr als jedes Hochglanz-Konzept — und beim Bussgeld-Risiko erst recht: wer eine Datenpanne realistisch einschätzen kann, vermeidet die teuren Übermeldungen ebenso wie die gefährliche Verschleppung.
Datenschutz und Datensicherheit lassen sich am Standort in Hamburg nicht trennen — gerade nicht, wenn Reedereien, Logistiker oder Krankenhäuser Mandanten sind. Die Anforderungen des Datenschutzrechts an Ihr Unternehmen wachsen mit jeder neuen Verordnung. Wer einen internen Datenschutzbeauftragten bestellt, muss ihn dauerhaft schulen lassen. Wer einen externen Datenschutzbeauftragten wählt, bekommt diese Qualifikation bereits eingekauft — und kann sich auf den Datenschutz in Ihrem Unternehmen konzentrieren statt auf die Personalentwicklung der DSB-Rolle. Genau dafür sind wir da: damit Sie Datenschutz nicht aufbauen müssen, sondern ihn nutzen können.
Datenschutz funktioniert in jeder Branche anders. Eine Reederei verarbeitet andere personenbezogene Daten als eine Arztpraxis, eine Steuerkanzlei andere als eine Werbeagentur. Hier neun Sparten, in denen wir als externer Datenschutzbeauftragter regelmäßig tätig sind — mit den typischen Stolperstellen, die wir aus echten Mandaten kennen.
Crew-Listen, Hafenmeldungen, GPS-Tracking von Frachten. Drittstaatkunden, die Reisepass-Nummern verlangen. Wir halten das Verzeichnis von Verarbeitungstätigkeiten aktuell, prüfen Auftragsverarbeitung mit Speditionspartnern und sind erreichbar, wenn am Freitagabend eine Datenpanne gemeldet werden muss.
Typische Mandatsgröße: 30–250 MA
Patientendaten sind besondere Kategorien — der externe Datenschutzbeauftragte ist Pflicht ab Tag eins. Wir kennen die Anforderungen der Verordnung an Praxisverwaltung, Telematik-Infrastruktur und Pflegedokumentation und setzen Awareness-Module gezielt für medizinisches Personal um.
Typische Mandatsgröße: 5–50 MA
Cookie-Banner, Newsletter-Datenbanken, Tracking, Bewertungssysteme. Hier ist Datenschutz täglicher Begleiter — und Abmahnungen sind real. Unser externer Datenschutzbeauftragter prüft Shop-Setups, Tracking-Skripte und die Auftragsverarbeitung mit dem Hosting-Anbieter — bevor jemand anderes es tut.
Typische Mandatsgröße: 10–80 MA
ISO 27001 oder TISAX im Hintergrund, Beschäftigtendaten, Maschinendaten mit Personenbezug, NIS2-Audits von Großkunden. Hier spielt der externe Datenschutzbeauftragte mit der IT-Sicherheit eng zusammen — etwas, was reine Datenschutzkanzleien selten leisten.
Typische Mandatsgröße: 50–250 MA
Auftragsverarbeitung als Geschäftsmodell, Schrems-II-Drittlandtransfers, Subprozessoren-Listen, NIS2-Lieferantenaudits. Wer SaaS verkauft, muss den eigenen Datenschutz nachweisen — wir liefern Vertragsmuster, halten das DSMS aktuell und schulen das Team auf Awareness in der Entwicklung.
Typische Mandatsgröße: 5–80 MA
Lohnbuchhaltung, Fahrzeugflotten mit GPS, Kundenakten, Fotos auf der Baustelle. Klassischer Handwerksbetrieb mit 20+ Beschäftigten ist nach § 38 BDSG verpflichtet — und hat selten Lust auf seitenlange Compliance-Dokumente. Wir machen es schlank, pragmatisch und so, dass die Geschäftsführung im Audit-Fall sprechen kann.
Typische Mandatsgröße: 20–150 MA
Steuer-, Anwalts-, Wirtschaftsprüfungs- und Unternehmensberatungen. Hier kollidiert das Mandantengeheimnis (§ 43a BRAO, § 102 AO) mit dem DSGVO-Auskunftsrecht. Wir kennen die Kollisionsregeln, halten Ihre Mandantenakten datenschutzrechtlich sauber und prüfen DATEV-, RA-Micro- und Kanzleisoftware-AVVs.
Typische Mandatsgröße: 10–80 MA
Marketing-, Werbe-, PR- und Designagenturen. Kunden- und Talent-Datenbanken, Mailing-Tools, Tracking-Pixel, Foto- und Videoproduktion mit Modellen. Wir bringen Ordnung in die Tool-Vielfalt — von HubSpot bis Notion, von Adobe Stock bis Vimeo — und sorgen für rechtssichere Modelverträge, Tracking-Setups und Newsletter-Opt-Ins.
Typische Mandatsgröße: 8–60 MA
Bildungsträger, Sport- und Kulturvereine, Verbände, gemeinnützige Einrichtungen. Mitglieder- und Teilnehmerdaten, Foto-Veröffentlichungen, ehrenamtliche Helfer mit eigenem E-Mail-Verkehr. Hier ist Datenschutz oft chronisch unterausgestattet — wir bauen ein DSMS, das auch ohne IT-Abteilung trägt.
Typische Mandatsgröße: 5–80 MA + Ehrenamt
Ihre Branche fehlt? Wir betreuen über 15 Sparten — von Personaldienstleistung über Anwaltskanzleien bis Maritime Wirtschaft. Vor allem Unternehmen aus Hamburg und der Metropolregion vertrauen uns die Einhaltung der DSGVO an. Im Erstgespräch klären wir die branchenspezifischen Anforderungen und finden den passenden Tarif für Ihren externen Datenschutzbeauftragten.
Wer einen Datenschutzbeauftragten in Hamburg sucht, stolpert schnell über Abkürzungen. Egal ob Sie intern bestellen oder einen externen Datenschutzbeauftragten beauftragen — die zehn wichtigsten Begriffe kurz erklärt, ohne juristische Fachsprache.
Die natürliche Person, die in Ihrem Unternehmen die Einhaltung der Datenschutzgesetze überwacht. Intern bestellt aus dem Mitarbeiterkreis oder als externer DSB von außen — beides ist nach DSGVO zulässig.
Die EU-weite Verordnung, die seit Mai 2018 den Datenschutz regelt. Sie gilt unmittelbar in allen Mitgliedstaaten und steht über den nationalen Datenschutzgesetzen.
Das deutsche Datenschutzgesetz, das die DSGVO ergänzt. § 38 BDSG regelt insbesondere, ab wann ein Datenschutzbeauftragter Pflicht ist — die berühmte 20-Personen-Schwelle.
Die zentrale Datenschutz-Dokumentation: Was wird wo, wie und wozu verarbeitet. Das VVT ist nach Art. 30 DSGVO Pflicht und das erste, was eine Aufsichtsbehörde anfordert. Wir pflegen es laufend.
Der Vertrag nach Art. 28 DSGVO mit jedem Dienstleister, der für Sie personenbezogene Daten verarbeitet. Cloud, CRM, Newsletter-Tool — ohne AVV droht Bußgeld.
Konkret beschriebene Schutzmaßnahmen: Verschlüsselung, Zugriffskontrolle, Backup, Logging. TOMs sind Teil des AVV und müssen regelmäßig überprüft werden — meist im Audit oder durch den DSB.
Die strukturierte Risikoprüfung nach Art. 35 DSGVO bei Verarbeitungen mit hohem Risiko — etwa Videoüberwachung, Profiling, KI-Tools. Pflicht vor Inbetriebnahme. Wir führen sie als externer DSB durch.
Der Überbau, in dem alle Datenschutz-Prozesse sauber aufeinander abgestimmt sind: VVT, AVV, TOMs, DSFA, Awareness-Trainings, Datenpannen-Workflow. Bei uns Bestandteil jedes Mandats.
Die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit unter Thomas Fuchs. Zuständig für jedes Unternehmen mit Hauptsitz in Hamburg. Wir sprechen mit ihr — Sie nicht.
Die EU-Richtlinie zur IT-Sicherheit, seit Dezember 2025 in Kraft. Trifft etwa 29.000 deutsche Unternehmen direkt — und Geschäftsführer haften persönlich. Wir betreuen Datenschutz und NIS2 aus einer Hand.
Antworten auf die Fragen, die uns Geschäftsführer im Erstgespräch am häufigsten stellen.
Neben dem externen Datenschutzbeauftragten begleiten wir Sie bei allen weiteren Themen rund um Datenschutz, IT-Sicherheit und Compliance — wahlweise im Rahmen eines bestehenden Mandats oder projektbasiert.
DSGVO-Beratung für einzelne Projekte — ohne Mandatsvertrag.
Strukturierte Prüfung Ihres Datenschutz-Status — mit Maßnahmenplan.
Awareness-Trainings für Mitarbeitende — vor Ort oder digital.
29 DSGVO-Punkte automatisch geprüft — kostenlos in 60 Sekunden.
TTDSG-konformer Consent-Banner — abmahnsicher umgesetzt.
AVV nach Art. 28 DSGVO — geprüft, abgeschlossen, dokumentiert.
Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
72-Stunden-Meldung an die Aufsichtsbehörde Hamburg — wir begleiten.
Spaldingstraße 64–68, mitten in Hamburg-Hammerbrook. Wir sind Mo–Fr 9–18 Uhr für Sie da.
S-Bahn Hammerbrook (3 Min) · Parkhaus Spaldingstraße direkt nebenan
Prüfen Sie Ihre Website kostenlos oder buchen Sie 15 Minuten mit Nils — Ihrem TÜV-zertifizierten externen Datenschutzbeauftragten aus Hamburg. Ab 79 €/Monat, in 7 Tagen startklar. Wir zeigen Ihnen unsere Leistungen im Datenschutz — unverbindlich, ohne Vertragsbindung.
Lieber erstmal schreiben? Kontaktformular
