AI ActKMU
AI Act für KMU: Was Mittelständler jetzt wissen müssen
AI Act für KMU: Pflichten, Fristen und Umsetzung ab August 2026. Was Hamburger Mittelständler jetzt konkret tun sollten.
Persönlicher Berater + KI-Plattform · ab 149 €/Monat Externer Datenschutzbeauftragter Hamburg.
Nils Oehmichen
Geschäftsführer · TÜV-zertifiziert
Anders als klassische Beratung kombinieren wir einen TÜV-zertifizierten externen Datenschutzbeauftragten mit einer KI-Plattform: Ihre Mitarbeiter stellen Datenschutzfragen direkt in der App und bekommen in Sekunden eine verständliche Antwort — automatisch dokumentiert.
Handwerk & Industrie IT & Agenturen Dienstleister Gesundheit
Lieber erstmal schreiben? Kontaktformular
Nils Oehmichen
Vortrag auf dem BVMID-Event
ab 149 € /Monat
Berater + KI-Plattform
Eine Lösung. Persönlich & digital.
Scrollen
500+ Websites geprüft 50+ KMU betreut 20+ Jahre IT-Erfahrung ISO 27001 & TISAX Beratung 100% DSGVO-konform 100% Datenverarbeitung in Deutschland Hamburg & deutschlandweit
Wann ein DSB Pflicht wird
Wann brauche ich einen externen Datenschutzbeauftragten?
Ab 20 Mitarbeitenden ist ein Datenschutzbeauftragter Pflicht. DSGVO, NIS2 und der EU AI Act treffen heute jedes Unternehmen — und die Geschäftsführung haftet persönlich.
01
DSGVO-Bußgelder
Bis zu 4% des Jahresumsatzes
Die Datenschutzbehörden verhängen zunehmend empfindliche Strafen – auch gegen KMU.
02
NIS2-Richtlinie
Geschäftsführer haften persönlich
Seit Dezember 2025 in Kraft – ohne Übergangsfrist. Ca. 29.000 Unternehmen betroffen. Die Haftung ist nicht delegierbar.
03
EU AI Act
Neue Pflichten ab August 2026
Der EU AI Act bringt neue Dokumentations- und Transparenzpflichten. 63% aller ChatGPT-Prompts enthalten personenbezogene Daten.
04
Abmahnwelle
Tausende Abmahnungen pro Jahr
Google Fonts, fehlerhafte Cookie-Banner, Tracking ohne Consent – vermeidbar mit dem richtigen Check.
DSGVO-konform
Daten 100 % in Deutschland
2024
Gegründet in Hamburg
Der Ansatz
Ihr externer Datenschutzbeauftragter für Hamburg
Ihr externer Datenschutzbeauftragter für Hamburg
— persönlich + digital
Als externer Datenschutzbeauftragter übernimmt Nils die DSGVO-Pflichten komplett für Sie. Die KI-Plattform nimmt Ihrem Team das Tagesgeschäft ab — und Ihr persönlicher Ansprechpartner ist nur einen Anruf entfernt.
Automatisiert & effizient. Website-Scanner, Verzeichnis von Verarbeitungstätigkeiten (VVT), Datenpannen-Meldung an die Aufsichtsbehörde Hamburg, Awareness-Module — alles in einer Plattform.
Persönlich. Ihr externer Datenschutzbeauftragter in Hamburg — TÜV-zertifiziert, kein Callcenter.
Transparent. Ab 149 €/Monat – 93% günstiger als ein interner DSB.
Leistungen
Externer Datenschutzbeauftragter, NIS2-Compliance & Pentests
Drei Produkte auf einer Plattform — für KMU im deutschen Mittelstand. Transparente Preise, ein persönlicher Ansprechpartner, alles in einem System.
92 /100
SSL gesichert
2 Cookie-Probleme
Impressum vollständig
Kostenlos
Hugo Check
29 DSGVO-Prüfpunkte + NIS2-Betroffenheitscheck in 60 Sekunden. Ampel-Report mit konkreten Fix-Anleitungen — nach deutschem Recht.
Mehr erfahren
DSGVO
VVT
Training
NIS2
Beliebtestes Produkt
Hugo DSB
Externer Datenschutzbeauftragter + All-in-One-Plattform: DSGVO & NIS2-Compliance, VVT, Awareness-Module, Vorfallmeldung, AI Act. Ab 149 €/Monat.
Mehr erfahrenEinzigartig in DE
Hugo Shield
NIS2-Lieferketten-Compliance – Nachweis für Ihre Auftraggeber. Zulieferer weisen nach, Sie behalten den Überblick.
Mehr erfahren
Individuelle Beratung
IT-Sicherheitsberatung
Kein Standardpaket: Wir schauen uns Ihre Ausgangslage an, entwickeln dazu ein passendes Sicherheitskonzept und begleiten Sie bei der Umsetzung.
Leistungen entdeckenRisikoanalyseSchwachstellen erkennen, bevor Angreifer es tun
PenetrationstestSchwachstellen finden, bevor es Angreifer tun
Incident ResponseNotfallplan, bevor der Ernstfall eintritt
ISO 27001Zertifizierung und ISMS-Aufbau begleiten
NIS2-ComplianceAnforderungen umsetzen und Haftung vermeiden
Security AwarenessMitarbeiter schulen, Angriffsfläche reduzieren
DatenschutzberatungDSGVO-Umsetzung, VVT, AVV und Maßnahmenplan
DSGVO-AuditSchwachstellen im Datenschutz systematisch aufdecken
CybersicherheitSchutzkonzept gegen Cyberangriffe und Ransomware
DatenschutzschulungPflichtschulungen nach Art. 39 DSGVO und NIS2
Externer CISOChief Information Security Officer auf Abruf
AI Act BeratungEU-KI-Verordnung verstehen und rechtzeitig umsetzen
BSI GrundschutzIT-Grundschutz nach BSI-Standard aufbauen
IT-SicherheitGanzheitliches Sicherheitskonzept für Ihr Unternehmen
Ihr persönlicher Ansprechpartner
Externer Datenschutzbeauftragter aus Hamburg — Nils Oehmichen
Geschäftsführer, TÜV-zertifizierter Datenschutzbeauftragter und Ihr persönlicher Berater. Nils weiß, was Mittelständler im Alltag bewegt — er kommt selbst aus der Praxis.
Gemeinsam mit Co-Founder Jens Hagel (IT-Unternehmer mit über 20 Jahren Erfahrung) hat er frag.hugo gegründet, damit Datenschutz und IT-Sicherheit auch für KMU bezahlbar werden.
Nils kennenlernen
Intern oder extern?
Externer Datenschutzbeauftragter im Vergleich zur internen Bestellung
Beide Varianten sind nach DSGVO zulässig. Die Unterschiede in Kosten, Haftung und Verfügbarkeit sind jedoch erheblich.
| Kriterium | Intern bestellt | frag.hugo (extern) |
|---|---|---|
| Jahreskosten | ~25.000 € inkl. Gehalt & Fortbildung | ab 1.788 € (149 €/Mo) |
| Kündigungsschutz | Besonderer Schutz nach § 6 BDSG | monatlich kündbar |
| Interessenkonflikt | Risiko bei IT-Leiter, HR, GF | ausgeschlossen |
| Fachkunde | muss aufgebaut werden | TÜV-zertifiziert, branchenübergreifend |
| Haftung | Arbeitnehmerhaftung (begrenzt) | Berufshaftpflicht-versichert |
| Verfügbarkeit | neben regulären Aufgaben | dediziertes Team, < 24h Reaktion |
| Plattform & Doku | muss selbst aufgebaut werden | VVT, AVV, TOMs sofort einsatzbereit |
Für KMU bis 250 Mitarbeitende ist die externe Variante fast immer die bessere Wahl — wirtschaftlich wie rechtlich. Die Verordnung fordert Unabhängigkeit, die ein interner Mitarbeiter mit Doppelrolle nur schwer einhalten kann. Wer Fragen zum Datenschutz täglich beantwortet haben will, ohne dafür eigenes Personal vorzuhalten, ist mit einem Beauftragten von außen besser bedient.
Transparente Preise
Kosten für einen externen Datenschutzbeauftragten — transparent und planbar
Bei uns ab 149 € im Monat — Plattform für das gesamte Datenschutz-Management und persönliche Beratung inklusive. Datenschutzrechtlich sauber, mit voller Einhaltung der DSGVO. Bis zu 93 % günstiger als die intern bestellte Variante (durchschnittlich 5.500 € im Monat).
Starter
149 €/Monat
netto · für Unternehmen bis 25 Mitarbeitende
- Externer Datenschutzbeauftragter (TÜV-zertifiziert)
- Datenschutz-Plattform mit VVT, AVV, TOMs
- Persönlicher Ansprechpartner
- Mitarbeiter-Awareness-Trainings
Beliebt
Professional
299 €/Monat
netto · für Unternehmen bis 100 Mitarbeitende
- Alles aus Starter
- Phishing-Simulationen
- NIS2-Vorbereitung inklusive
- Quartals-Review vor Ort
Enterprise
499 €/Monat
netto · ab 100 Mitarbeitende oder hochreguliert
- Alles aus Professional
- Audit-Begleitung & Behörden-Kommunikation
- ISO 27001 / TISAX-Vorbereitung
- Dedizierter Senior-Berater
Im Vergleich: ein intern bestellter Mitarbeiter schlägt mit Gehalt, Trainings, Haftung und Lohnnebenkosten mit rund 5.500 €/Monat zu Buche — bei frag.hugo ab 149 €/Monat.
Alle Preise & Leistungen
Kostenlos starten
Wie sicher ist Ihr Unternehmen?
Drei kostenlose Tools, mit denen Sie das in wenigen Minuten herausfinden.
29.000
Unternehmen direkt betroffen
83 %
haben laut BSI noch Nachholbedarf
NIS2 · seit Dezember 2025 Gesetz
Betrifft NIS2 Ihr Unternehmen?
3 Fragen, 30 Sekunden — und Sie wissen, ob Sie direkt oder über die Lieferkette betroffen sind. Mit konkreter Handlungsempfehlung.
Schnellcheck starten Kostenlose Checkliste
DSGVO-Checkliste 2026 — 59 Prüfpunkte
Prüfen Sie in 30 Minuten, ob Ihr Unternehmen die DSGVO-Grundlagen erfüllt. Mit Praxis-Tipps vom TÜV-zertifizierten Datenschutzberater.
Kostenloses Whitepaper
Persönliche Haftung unter NIS2
Was Geschäftsführer über §38 NIS2UmsuCG wissen müssen — und wie Sie sich absichern. Kompakt auf 12 Seiten.
Aktuelles
Aus dem Blog
Alle Artikel
Aus der Praxis
Was unsere Mandanten erleben.
43+
DSB-Mandate
0 €
Bußgelder
<24h
Reaktionszeit
15+
Branchen
Warum wir Firmennamen weglassen
Wir nennen Firmen und Klarnamen unserer Mandanten nicht öffentlich — Datenschutz beginnt bei uns selbst. Für Einkäufer-Due-Diligence verifizieren wir Referenzen gerne nach NDA. Bitten Sie einfach im Erstgespräch um zwei telefonische Referenzen aus Ihrer Branche — Sie erhalten binnen 48 Stunden Namen und Kontaktdaten. Ausführlichere, ebenfalls DSGVO-konform anonymisierte Case-Studies mit Branche, Herausforderung und Ergebnis finden Sie auf unserer Referenzen-Seite.
„Wir dachten, wir sind zu klein für einen externen DSB. Drei Mitarbeiter, Videoagentur. Aber unsere Auftraggeber aus dem Gesundheitswesen verlangten plötzlich AVVs und Nachweise. Nils hatte das in zwei Tagen aufgesetzt. Seitdem schlafen wir ruhiger."
VP
Geschäftsführer
Videoproduktion · 5 MA · Hamburg
Aus der Praxis
„Es kam häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern – und dann wurde es zur Chefsache."
Nils Oehmichen
über den typischen Einstieg ins Audit
„Fünf Tage vor unserer TÜV-Rezertifizierung fehlten uns die IT-Risikoanalyse und der Notfallplan. Nils hat das übers Wochenende geliefert. Der Auditor war begeistert – und wir haben unsere Zertifizierung behalten."
QM
Qualitätsmanager
Komponentenfertigung · 85 MA
Aus der Praxis
„Der Mandant war anfangs sehr skeptisch. Nach einem Jahr hat er sich bedankt: Das ist toll, dass wir das angegangen sind. Wir haben viele Prozesse hinterfragt, viel verändert. Der Datenschutz hat geholfen, sein Unternehmen besser zu verstehen."
Nils Oehmichen
über einen Industriekunden, 130+ MA
„Unser vorheriger DSB hat einmal im Jahr eine Checkliste geschickt. Nils kommt vorbei, kennt unsere Prozesse in der Schifffahrt – Besatzungsdaten, Hafenmeldungen, GPS-Tracking – und sagt konkret, was zu tun ist."
GF
Geschäftsführer
Reederei · 85 MA · Hamburg
„Ein Großkunde hat uns ein NIS2-Lieferantenaudit geschickt – 38 Fragen, Nachweise verlangt. Dank frag.hugo hatten wir alle Richtlinien und das Datenschutzkonzept bereits parat. Auftrag gerettet."
GF
Geschäftsführer
Industriezulieferer · 150 MA
„Innerhalb von 24 Stunden war klar, dass wir die Umfrage datenschutzkonform durchführen können. So schnell hat noch kein Berater reagiert. Genau so stellt man sich die Zusammenarbeit vor."
PL
Pflegedienstleitung
Ambulanter Pflegedienst · 48 MA
Aus der Praxis
„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen."
Nils Oehmichen
Datenschutzberater bei frag.hugo
„Unsere M365-Umgebung wurde gehackt – Phishing trotz MFA. Nils hat die Meldung an die Behörde innerhalb der 72-Stunden-Frist durchgebracht. Ohne ihn hätten wir die Frist gerissen."
IT
IT-Leiter
Dienstleister · 15 MA · Hamburg
Aufgaben & Praxis
Externer Datenschutzbeauftragter im Alltag — was wir konkret übernehmen.
DSGVO-Artikel zu kennen ist die eine Hälfte. Die andere ist, sie in Ihrem Tagesgeschäft zum Laufen zu bringen — wenn die Personalabteilung morgens um neun fragt, ob sie eine Bewerbung per E-Mail aufheben darf, und der Vertrieb wissen will, wie lange er die Adressliste vom letzten Messekontakt behalten darf.
Was Art. 39 in der Praxis bedeutet
Wir übernehmen die Pflichten, die das Gesetz einem internen Beauftragten zuschreibt — und erfüllen sie meist sauberer, weil keine Doppelrolle im Weg steht. Im Tagesgeschäft eines Mandats sieht das so aus:
- Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten. Welche personenbezogenen Daten fließen wohin, auf welcher Rechtsgrundlage, wie lange? Einmal sauber aufgesetzt, dann bei jedem neuen Tool aktualisiert — mit dem Fachwissen aus über hundert vergleichbaren Mandaten.
- Auftragsverarbeitung prüfen. Cloud, CRM, Lohnbuchhaltung — wer Daten Ihrer Kunden oder Mitarbeitenden sieht, braucht einen AVV. Wir holen die Verträge ein, prüfen sie und dokumentieren die technischen und organisatorischen Maßnahmen.
- Awareness aufbauen. Kein jährliches PDF, sondern kurze Module über die Plattform — branchenspezifisch. Der Vertrieb lernt anderes als die Buchhaltung.
- Ansprechpartner für betroffene Personen sein. Verlangt ein Kunde Auskunft über seine Daten, läuft die Anfrage über uns. Das schützt Sie vor Fristfehlern und peinlichen Antworten.
- Folgenabschätzungen begleiten. Bevor eine neue Videoüberwachung oder ein KI-Modul live geht, prüfen wir, ob eine DSFA nach Art. 35 nötig ist — und führen sie durch, wenn ja.
- Mit der Aufsichtsbehörde Hamburg kommunizieren. Wenn der HmbBfDI eine Beschwerde prüft oder eine Datenpanne gemeldet werden muss, sprechen wir mit der Behörde — Sie nicht.
Externer Datenschutzbeauftragter — wann das Bundesdatenschutzgesetz ihn vorschreibt
Die Schwelle steht in § 38 BDSG: ab 20 Personen, die regelmäßig automatisiert personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter Pflicht. Teilzeit zählt mit, Auszubildende auch. Daneben verlangt Art. 37 die Bestellung unabhängig von der Größe, wenn Ihre Kerntätigkeit in der regelmäßigen und systematischen Überwachung von Personen besteht — Videoüberwachung, GPS-Tracking, Profiling — oder Sie besondere Kategorien verarbeiten, etwa Gesundheits-, Religions- oder Gewerkschaftsdaten.
In der Praxis trifft das mehr Unternehmen in Hamburg als gedacht. Eine Personaldienstleistung mit 18 Festen und sieben Aushilfen liegt drüber. Eine Arztpraxis mit drei Mitarbeitenden ist allein wegen der Patientendaten dabei. Und eine kleine Agentur mit Newsletter-Datenbank von 80.000 Empfängern fällt unter „geschäftsmäßige Übermittlung". Wer die Pflicht ignoriert, riskiert ein Bußgeld — Art. 83 sieht bis zu 10 Millionen Euro oder 2 % des Vorjahresumsatzes vor.
Bei jedem Mandat ist klar: Wir unterstützen Sie bei der Erstellung aller Pflichtdokumente — vom Verzeichnis der Verarbeitungstätigkeiten gemäß DSGVO bis zum gesamten Datenschutzmanagementsystem. Ihr individuelles Angebot stellen wir nach einem Erstgespräch zusammen, in dem wir Ihr Unternehmen und Ihre Prozesse genau kennenlernen.
Den betrieblichen Datenschutz für Unternehmen in Hamburg und Umgebung halten wir auf dem neuesten Stand der Rechtsprechung — sowohl was den Umgang mit personenbezogenen Daten angeht als auch die Anforderungen, die eine zuständige Aufsichtsbehörde an Sie stellt. Die Umsetzung der DSGVO ist bei uns kein einmaliges Projekt, sondern ein laufender Prozess. So können Unternehmen aus Hamburg profitieren — und zwar nicht nur, indem sie die DSGVO einzuhalten lernen, sondern indem sie eine belastbare Datenschutz-Kultur entwickeln, die im Audit besteht.
Aus einem Mandat
„Eine Hamburger Reederei rief uns an einem Freitag an. Eine Mitarbeiterin hatte versehentlich eine Crew-Liste mit Reisepass-Nummern an einen Drittstaatkunden geschickt. 72-Stunden-Frist für die Meldung an den HmbBfDI."
Wir haben am Samstag bewertet, am Sonntag den Meldetext geschrieben, am Montag um neun war die Meldung raus. Die Behörde hat das Verfahren ohne Bußgeld abgeschlossen, weil die Mandantin reagiert hatte und ein Datenschutzmanagementsystem (DSMS) nachgewiesen werden konnte.
Nils Oehmichen
TÜV-zertifizierter Datenschutzbeauftragter
Aufsichtsbehörde Hamburg
Was die HmbBfDI 2026 prüft
- Cookie-Banner und Consent-Mode
- KI-Tools und ChatGPT-Nutzung im Mittelstand
- Beschäftigtendaten in Microsoft 365
- Drittlandtransfers nach Schrems II
- Auftragsverarbeitung bei Cloud-Anbietern
Quelle: Tätigkeitsberichte des HmbBfDI & Pressemitteilungen unter Behördenleiter Thomas Fuchs.
Datenschutz für Ihr Unternehmen in Hamburg — was die Hansestadt besonders macht
Die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit arbeitet aktiver als viele andere Landesbehörden. Hamburg ist auch deshalb herausfordernd, weil die hiesige Wirtschaft besondere Datenkategorien verarbeitet: Reedereien führen Crew-Daten und Hafenmeldungen, Logistiker bewegen Frachtdaten mit Personenbezug, Medienunternehmen Nutzerprofile, und der wachsende Health-Tech-Cluster Patientendaten.
Wer als externe Datenschutzbeauftragte hier arbeitet, kennt die typischen Stolperstellen. Nils sitzt seit Jahren in BVMID-Runden mit Hamburger Mittelständlern und hat in den meisten Branchen schon eine Datenschutz-Folgenabschätzung begleitet — vom Logistik-Tracking bis zur Telemedizin.
Das zweite, was Hamburg auszeichnet: kurze Wege. Wenn der HmbBfDI eine Auskunft anfordert, ist ein Vor-Ort-Termin in der Spaldingstraße schneller organisiert als jede Telefonkonferenz. Wir kennen die Sachbearbeiterinnen und Sachbearbeiter, wir wissen, wie ein Schreiben formuliert sein muss, damit es als ernsthafte Antwort durchgeht.
Das ist nichts, was Sie auf einer Compliance-Plattform aus München bekommen. Und es ist der Grund, warum viele Mandanten von uns sich bewusst für einen externen Datenschutzbeauftragten am Standort Hamburg entschieden haben — nicht für die billigste Hotline irgendwo im Internet.
Datenschutz und Informationssicherheit gehören zusammen
Eine reine Datenschutzkanzlei kann Ihnen sagen, was rechtlich gefordert ist. Sie kann Ihnen aber nicht zeigen, wie Sie die Berechtigungen in Ihrem Microsoft 365 sauber setzen, warum Ihre Backup-Strategie unter NIS2 neu bewertet werden muss oder wie ein Penetrationstest in Auftrag gegeben wird, ohne den eigenen Mitarbeitenden Schaden zuzufügen. frag.hugo deckt beides ab — Datenschutz und Informationssicherheit aus einer Hand.
Co-Founder Jens Hagel führt seit 20 Jahren ein IT-Systemhaus in Hamburg. Wenn ein DSGVO-Audit eine Schwachstelle in der Berechtigungsmatrix aufdeckt, schicken wir Ihnen keine Empfehlung, sondern setzen sie um. Das Ergebnis ist ein Datenschutzmanagementsystem (DSMS), das Datenschutz, Datensicherheit und IT-Sicherheit gemeinsam denkt — sauber dokumentiert, technisch wirksam und auf dem aktuellen Stand der Datenschutzgesetze.
Was Sie bei uns mitbringen — und was wir mitbringen
Im Bereich Datenschutz unterscheiden sich Mandate weniger durch die Theorie als durch die Praxis. Bei uns bringen Sie Ihr Unternehmen mit, wir bringen die Expertise. Wir kennen die Anforderungen der DSGVO aus über hundert Audits, das Bundesdatenschutzgesetz aus laufenden Verfahren mit der Aufsichtsbehörde Hamburg, und das Know-how aus dem Tagesgeschäft eines IT-Systemhauses. Beim Datenschutz hilft Erfahrung mehr als jedes Hochglanz-Konzept — und beim Bussgeld-Risiko erst recht: wer eine Datenpanne realistisch einschätzen kann, vermeidet die teuren Übermeldungen ebenso wie die gefährliche Verschleppung.
Datenschutz und Datensicherheit lassen sich am Standort in Hamburg nicht trennen — gerade nicht, wenn Reedereien, Logistiker oder Krankenhäuser Mandanten sind. Die Anforderungen des Datenschutzrechts an Ihr Unternehmen wachsen mit jeder neuen Verordnung. Wer einen internen Datenschutzbeauftragten bestellt, muss ihn dauerhaft schulen lassen. Wer einen externen Datenschutzbeauftragten wählt, bekommt diese Qualifikation bereits eingekauft — und kann sich auf den Datenschutz in Ihrem Unternehmen konzentrieren statt auf die Personalentwicklung der DSB-Rolle. Genau dafür sind wir da: damit Sie Datenschutz nicht aufbauen müssen, sondern ihn nutzen können.
Branchen-Praxis
Externer Datenschutzbeauftragter für sechs sehr unterschiedliche Branchen
Datenschutz funktioniert in jeder Branche anders. Eine Reederei verarbeitet andere personenbezogene Daten als eine Arztpraxis, ein Onlineshop andere als ein Industriebetrieb. Hier sechs Sparten, in denen wir als externer Datenschutzbeauftragter regelmäßig tätig sind — mit den typischen Stolperstellen, die wir aus echten Mandaten kennen.
Logistik & Reederei
Crew-Listen, Hafenmeldungen, GPS-Tracking von Frachten. Drittstaatkunden, die Reisepass-Nummern verlangen. Wir halten das Verzeichnis von Verarbeitungstätigkeiten aktuell, prüfen Auftragsverarbeitung mit Speditionspartnern und sind erreichbar, wenn am Freitagabend eine Datenpanne gemeldet werden muss.
Typische Mandatsgröße: 30–250 MA
Arztpraxis & Pflege
Patientendaten sind besondere Kategorien — der externe Datenschutzbeauftragte ist Pflicht ab Tag eins. Wir kennen die Anforderungen der Verordnung an Praxisverwaltung, Telematik-Infrastruktur und Pflegedokumentation und setzen Awareness-Module gezielt für medizinisches Personal um.
Typische Mandatsgröße: 5–50 MA
E-Commerce & Handel
Cookie-Banner, Newsletter-Datenbanken, Tracking, Bewertungssysteme. Hier ist Datenschutz täglicher Begleiter — und Abmahnungen sind real. Unser externer Datenschutzbeauftragter prüft Shop-Setups, Tracking-Skripte und die Auftragsverarbeitung mit dem Hosting-Anbieter — bevor jemand anderes es tut.
Typische Mandatsgröße: 10–80 MA
Industrie & Produktion
ISO 27001 oder TISAX im Hintergrund, Beschäftigtendaten, Maschinendaten mit Personenbezug, NIS2-Audits von Großkunden. Hier spielt der externe Datenschutzbeauftragte mit der IT-Sicherheit eng zusammen — etwas, was reine Datenschutzkanzleien selten leisten.
Typische Mandatsgröße: 50–250 MA
IT & SaaS
Auftragsverarbeitung als Geschäftsmodell, Schrems-II-Drittlandtransfers, Subprozessoren-Listen, NIS2-Lieferantenaudits. Wer SaaS verkauft, muss den eigenen Datenschutz nachweisen — wir liefern Vertragsmuster, halten das DSMS aktuell und schulen das Team auf Awareness in der Entwicklung.
Typische Mandatsgröße: 5–80 MA
Handwerk & Mittelstand
Lohnbuchhaltung, Fahrzeugflotten mit GPS, Kundenakten, Fotos auf der Baustelle. Klassischer Handwerksbetrieb mit 20+ Beschäftigten ist nach § 38 BDSG verpflichtet — und hat selten Lust auf seitenlange Compliance-Dokumente. Wir machen es schlank, pragmatisch und so, dass die Geschäftsführung im Audit-Fall sprechen kann.
Typische Mandatsgröße: 20–150 MA
Ihre Branche fehlt? Wir betreuen über 15 Sparten — von Personaldienstleistung über Anwaltskanzleien bis Maritime Wirtschaft. Vor allem Unternehmen aus Hamburg und der Metropolregion vertrauen uns die Einhaltung der DSGVO an. Im Erstgespräch klären wir die branchenspezifischen Anforderungen und finden den passenden Tarif für Ihren externen Datenschutzbeauftragten.
Begriffe kurz erklärt
Datenschutz-Glossar — die wichtigsten Begriffe rund um den externen Datenschutzbeauftragten
Wer einen Datenschutzbeauftragten in Hamburg sucht, stolpert schnell über Abkürzungen. Egal ob Sie intern bestellen oder einen externen Datenschutzbeauftragten beauftragen — die zehn wichtigsten Begriffe kurz erklärt, ohne juristische Fachsprache.
DSB — Datenschutzbeauftragter
Die natürliche Person, die in Ihrem Unternehmen die Einhaltung der Datenschutzgesetze überwacht. Intern bestellt aus dem Mitarbeiterkreis oder als externer DSB von außen — beides ist nach DSGVO zulässig.
DSGVO — Datenschutz-Grundverordnung
Die EU-weite Verordnung, die seit Mai 2018 den Datenschutz regelt. Sie gilt unmittelbar in allen Mitgliedstaaten und steht über den nationalen Datenschutzgesetzen.
BDSG — Bundesdatenschutzgesetz
Das deutsche Datenschutzgesetz, das die DSGVO ergänzt. § 38 BDSG regelt insbesondere, ab wann ein Datenschutzbeauftragter Pflicht ist — die berühmte 20-Personen-Schwelle.
VVT — Verzeichnis von Verarbeitungstätigkeiten
Die zentrale Datenschutz-Dokumentation: Was wird wo, wie und wozu verarbeitet. Das VVT ist nach Art. 30 DSGVO Pflicht und das erste, was eine Aufsichtsbehörde anfordert. Wir pflegen es laufend.
AVV — Auftragsverarbeitung
Der Vertrag nach Art. 28 DSGVO mit jedem Dienstleister, der für Sie personenbezogene Daten verarbeitet. Cloud, CRM, Newsletter-Tool — ohne AVV droht Bußgeld.
TOMs — Technische und organisatorische Maßnahmen
Konkret beschriebene Schutzmaßnahmen: Verschlüsselung, Zugriffskontrolle, Backup, Logging. TOMs sind Teil des AVV und müssen regelmäßig überprüft werden — meist im Audit oder durch den DSB.
DSFA — Datenschutz-Folgenabschätzung
Die strukturierte Risikoprüfung nach Art. 35 DSGVO bei Verarbeitungen mit hohem Risiko — etwa Videoüberwachung, Profiling, KI-Tools. Pflicht vor Inbetriebnahme. Wir führen sie als externer DSB durch.
DSMS — Datenschutzmanagementsystem
Der Überbau, in dem alle Datenschutz-Prozesse sauber aufeinander abgestimmt sind: VVT, AVV, TOMs, DSFA, Awareness-Trainings, Datenpannen-Workflow. Bei uns Bestandteil jedes Mandats.
HmbBfDI — Aufsichtsbehörde Hamburg
Die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit unter Thomas Fuchs. Zuständig für jedes Unternehmen mit Hauptsitz in Hamburg. Wir sprechen mit ihr — Sie nicht.
NIS2 — Network and Information Security Directive
Die EU-Richtlinie zur IT-Sicherheit, seit Dezember 2025 in Kraft. Trifft etwa 29.000 deutsche Unternehmen direkt — und Geschäftsführer haften persönlich. Wir betreuen Datenschutz und NIS2 aus einer Hand.
Häufige Fragen
Häufige Fragen zum externen Datenschutzbeauftragten
Antworten auf die Fragen, die uns Geschäftsführer im Erstgespräch am häufigsten stellen.
Wann brauche ich einen externen Datenschutzbeauftragten?
Pflicht wird die Bestellung ab 20 Mitarbeitenden, die regelmäßig
personenbezogene Daten verarbeiten — und unabhängig von der Größe, sobald
besonders sensible Kategorien dazukommen (Gesundheit, Finanzen, Personal).
Ein externer Beauftragter wie frag.hugo erfüllt die Vorgabe ohne
Trainingsbudget und ohne Haftungsrisiko für ein internes Team.
Was kostet ein externer Datenschutzbeauftragter?
Bei uns ab 149 €/Monat (netto) im Starter-Tarif inklusive Plattform und persönlichem
Ansprechpartner. Professional kostet 299 €, Enterprise 499 € — jeweils pro Monat.
Zum Vergleich: ein intern bestellter Mitarbeiter schlägt mit Gehalt, Trainings,
Lohnnebenkosten und Haftungsrisiko mit rund 5.500 € monatlich zu Buche —
die externe Variante ist also bis zu 93 % günstiger.
Externer oder interner Datenschutzbeauftragter — was ist besser?
Für KMU bis 250 Mitarbeitende ist die externe Variante fast immer die bessere
Wahl: keine Trainingskosten, kein Haftungsrisiko in den eigenen Reihen, sofort
verfügbar. Eine interne Bestellung lohnt sich erst bei Konzernen oder
hochregulierten Sparten. Hinzu kommt: ein externer Beauftragter ist rechtlich
unabhängig — das fordert die Verordnung ausdrücklich.
Wie schnell kann ich starten?
In der Regel sieben Tage. Nach dem Erstgespräch unterzeichnen wir die
Bestellung, melden Sie bei der Aufsichtsbehörde Hamburg (HmbBfDI) an und
richten das Datenschutzmanagementsystem auf der Plattform ein. Erste
Awareness-Module und das Verzeichnis der Verarbeitungstätigkeiten folgen
in den ersten vier Wochen.
Wie finde ich einen Datenschutzbeauftragten in Hamburg?
Sie haben in Hamburg drei Wege: einen eigenen Mitarbeiter intern bestellen,
eine Anwaltskanzlei mandatieren oder einen externen Datenschutzbeauftragten
wie frag.hugo beauftragen. Für KMU mit 10–250 Mitarbeitenden ist die
externe Variante in 9 von 10 Fällen die schnellste und günstigste —
kein Trainingsbudget, kein Haftungsrisiko im eigenen Team, sofort
verfügbar. Wichtig bei der Auswahl: TÜV-Zertifizierung, Sitz in Hamburg
(kurzer Draht zum HmbBfDI), Branchen-Erfahrung mit Mittelstand und
eine eigene Plattform für VVT, AVV und Awareness-Schulungen.
Übernehmen Sie auch NIS2-Beratung und IT-Sicherheit?
Ja. NIS2, IT-Sicherheit, Penetrationstests, ISO 27001 und der EU AI Act
kommen aus einer Hand. Co-Founder Jens Hagel führt seit über 20 Jahren ein
IT-Systemhaus in Hamburg; viele Mandanten lassen ihre Technik gleich mit
betreuen.
Welche Branchen betreuen Sie als externer Datenschutzbeauftragter?
Schwerpunkt KMU im deutschen Mittelstand mit 10–250 Mitarbeitenden: Handwerk, IT & Agenturen,
Logistik & Spedition, Gastronomie & Hotellerie, Arztpraxen, E-Commerce, Immobilien und Medien.
Wir sind in Hamburg ansässig und betreuen Kunden bundesweit.
Mehr Themen
Weitere Leistungen im Datenschutz
Neben dem externen Datenschutzbeauftragten begleiten wir Sie bei allen weiteren Themen rund um Datenschutz, IT-Sicherheit und Compliance — wahlweise im Rahmen eines bestehenden Mandats oder projektbasiert.
Datenschutzberatung Hamburg
DSGVO-Beratung für einzelne Projekte — ohne Mandatsvertrag.
DSGVO-Audit Hamburg
Strukturierte Prüfung Ihres Datenschutz-Status — mit Maßnahmenplan.
Datenschutzschulung Hamburg
Awareness-Trainings für Mitarbeitende — vor Ort oder digital.
Website-Datenschutz-Check
29 DSGVO-Punkte automatisch geprüft — kostenlos in 60 Sekunden.
Cookie-Banner Pflicht
TTDSG-konformer Consent-Banner — abmahnsicher umgesetzt.
Auftragsverarbeitungsverträge
AVV nach Art. 28 DSGVO — geprüft, abgeschlossen, dokumentiert.
VVT erstellen
Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
Datenpanne melden
72-Stunden-Meldung an die Aufsichtsbehörde Hamburg — wir begleiten.
Unverbindliches Erstgespräch mit Ihrem externen Datenschutzbeauftragten in Hamburg
Prüfen Sie Ihre Website kostenlos oder buchen Sie 15 Minuten mit Nils — Ihrem TÜV-zertifizierten externen Datenschutzbeauftragten aus Hamburg. Ab 149 €/Monat, in 7 Tagen startklar. Wir zeigen Ihnen unsere Leistungen im Datenschutz — unverbindlich, ohne Vertragsbindung.
Lieber erstmal schreiben? Kontaktformular
