Hub · Datenschutz im Wirtschaftsraum Hamburg

Datenschutz
in Hamburg.

Eine Aufsichtsbehörde mit Biss, ein Hafen voller Datenflüsse, ein Medien-Cluster mit Quellenschutz, ein Health-Cluster mit § 203 StGB. Datenschutz in Hamburg hat eigene Spielregeln — wir kennen sie aus laufenden Mandaten und beraten KMU vor Ort.

1 Behörde
HmbBfDI — zuständig für alle Hamburger Unternehmen
35,3 Mio.
Euro — höchstes Bußgeld der HmbBfDI (H&M Service Center)
20
rechtskräftige Bußgeld­verfahren 2024
72 h
Meldefrist bei Datenpannen — Art. 33 DSGVO
Inhalt

Sieben Kapitel, ein Standort.

Ein Themen-Hub für alle, die in Hamburg Datenschutz betreiben — Geschäftsführer, IT-Leiter, Datenschutz­koordinatoren. Aufsichtsbehörde, Bußgelder, Branchen-Cluster und der direkte Weg zu unseren Hamburger Leistungen.

01
Der Standort

Datenschutz in Hamburg — der Überblick

Hamburg ist nach Berlin und München der drittgrößte Wirtschafts­standort Deutschlands — und einer der datenschutz-intensivsten. Ein Hafen mit Tausenden Subunternehmern, ein Medien-Cluster rund um Gruner+Jahr, Spiegel und Bauer, ein Health-Standort mit dem UKE als europäischem Schwergewicht, eine Reederei-Tradition mit Crew-Daten aus der ganzen Welt. Wer hier Daten verarbeitet, bewegt sich täglich an mehreren DSGVO-Grenzlinien gleichzeitig. Für Mandanten in der Hauptstadt gibt es eine analoge Übersicht in unserer Berlin-Übersicht zum externen Datenschutzbeauftragten mit BlnBDI-Spezifika.

Datenschutz in Hamburg folgt dabei keinen Sonderregeln: Es gelten DSGVO und Bundes­datenschutz­gesetz (BDSG) wie überall in Deutschland. Was Hamburg ausmacht, ist die Aufsicht — der Hamburgische Beauftragte für Datenschutz und Informations­freiheit (HmbBfDI) mit eigenen Schwerpunkten, einer eigenen Verwaltungs­praxis und einer Geschichte spektakulärer Bußgelder.

Diese Seite ist ein Verteiler. Sie führt durch die wichtigsten Eckpunkte des Hamburger Datenschutzes — von der Aufsichts­behörde über reale Bußgeld-Fälle bis zu den Branchen-Clustern — und verlinkt von dort in die jeweiligen Service-Seiten und vertiefenden Leitfäden.

02
Die Aufsichts­behörde

HmbBfDI — die Hamburger Datenschutz­aufsicht

Der Hamburgische Beauftragte für Datenschutz und Informations­freiheit ist die zuständige Aufsichts­behörde für alle nicht-öffentlichen Stellen mit Sitz in Hamburg — Unternehmen, Vereine, Stiftungen, Selbst­ständige. Amtsinhaber ist seit 1. November 2021 Thomas Fuchs, vorher Direktor der Medienanstalt Hamburg/Schleswig-Holstein.

  • Adresse: Ludwig-Erhard-Straße 22, 7. OG, 20459 Hamburg.
  • Web: datenschutz-hamburg.de — mit Online-Meldeformular für Datenpannen und Beschwerden.
  • Aufgaben: Beratung, Kontrolle, Bescheid, Bußgeld. Die Behörde hat ausdrücklich auch eine beratende Funktion — KMU sollten das nutzen, statt sie zu fürchten.
  • Tätigkeits­bericht: Jährlich, öffentlich. Im Bericht für 2024 nennt der HmbBfDI 20 rechts­kräftige Bußgeld­verfahren mit über 1,2 Mio. Euro Gesamt­summe — das höchste Niveau seit 2020.
  • Schwerpunkte: Beschäftigten­datenschutz, Forderungs­management/Inkasso, Cookie-Compliance, KI-Tools im Unternehmens­einsatz. 2026 hat die Behörde eine Datenschutz-Offensive für AI Act und Data Act angekündigt.

In der Praxis erlebt man die HmbBfDI als technisch versiert, dialog­bereit und konsequent. Wer Beschwerden ignoriert oder Datenpannen verschweigt, sieht das in der Akte. Wer transparent kommuniziert und Verbesserungen nachweist, kommt in den meisten Fällen mit Beanstandung statt Bußgeld davon.

03
Sanktionen vor Ort

Hamburger Bußgeld-Fälle

Zahlen aus den Tätigkeits­berichten und Pressemitteilungen des HmbBfDI. Sie zeigen, welche Themen vor Ort tatsächlich verfolgt werden — nicht nur theoretisch im Gesetz stehen.

Jahr Fall Höhe Verstoß
2020 H&M Service Center 35,3 Mio. € Umfangreiche Mitarbeiter-Profilierung („Welcome-Back-Talks") — § 26 BDSG, Art. 5/6 DSGVO
2024 Forderungs­management Hamburg 900.000 € Personen­bezogene Daten ohne Rechts­grundlage bis zu 5 Jahre gespeichert — Art. 5 lit. e DSGVO
2024 Tätigkeits­bericht (Summe) > 1,2 Mio. € 20 rechts­kräftige Verfahren — höchstes Niveau seit 2020
2025 (Q1–Q3) Quartals­zahlen HmbBfDI ~ 775.000 € Schwerpunkte u. a. Cookie-Compliance, AVV-Verstöße, fehlende Auskunft

Die Botschaft aus diesen Fällen ist klar: Der HmbBfDI prüft strukturell — Schwerpunkt­prüfungen ganzer Branchen statt Einzelfall­zufall. Wer in Hamburg Inkasso, Beschäftigten­daten oder Cookie-Tracking betreibt, sollte mit einem Audit rechnen, nicht ob, sondern wann. Mehr zur Hamburger Bußgeld-Praxis im Bußgeld-Spiegel 2026.

04
Wirtschafts­raum

Branchen-Cluster im Hamburger Wirtschaftsraum

Hamburg ist ein Mosaik aus Branchen-Clustern, die jeweils eigene Datenschutz-Themen mitbringen. Ein Reedereierkenntnisstand löst andere Fragen aus als ein Online-Shop. Pro Cluster ein Satz — und ein Link in den Detail-Leitfaden.

Logistik & Hafenwirtschaft

GPS-Tracking, Telematik, Subunternehmer-Ketten, Zolldaten und Crew-Listen — der Hamburger Hafen ist Datenschutz-intensiv wie kaum eine andere Branche.

Zum Branchen-Leitfaden
Medien & Verlage

Quellenschutz, Abo-Datenbanken, Online-Tracking und Paywall-Systeme. Hamburg ist Deutschlands Medienhauptstadt — und bringt eigene Datenschutz-Spielregeln mit.

Zum Branchen-Leitfaden
Health-Cluster (UKE & Praxen)

Patientendaten nach § 203 StGB, ePA, Telemedizin und Forschungs­kooperationen. Gesundheitsdaten sind besondere Kategorien (Art. 9 DSGVO) — der HmbBfDI prüft hier streng.

Zum Branchen-Leitfaden
Anwaltskanzleien & Steuerberater

Mandantengeheimnis, Berufsgeheimnisträger­pflichten, sichere Aktenführung in Cloud-Umgebungen. Datenschutz und § 203 StGB greifen ineinander.

Zum Branchen-Leitfaden
E-Commerce & Online-Handel

Cookie-Consent, internationaler Datentransfer, Bewertungs­plattformen, Newsletter-Tracking. Der Klassiker für Abmahnungen — und damit für unseren Hugo Check.

Zum Branchen-Leitfaden
Finanzdienstleister

Banken, FinTechs und Versicherungen am Standort Hamburg unterliegen DSGVO plus BaFin-Vorgaben (BAIT, MaRisk) — Datenschutz ist hier Risiko­management.

Zum Branchen-Leitfaden
Immobilien & Hausverwaltung

Mieterdaten, Selbstauskunft, Bonitäts­prüfung, Bau­dokumentation. Pflichten aus DSGVO, GwG und MietR — relevant für Hamburger Verwaltungen und Makler.

Zum Branchen-Leitfaden
Gastronomie & Hotellerie

Reservierungs­systeme, Zugangs­karten, Mitarbeiter­zeit­erfassung. Hamburgs Hotellerie unter dem Hauptbahnhof, an der Alster und in HafenCity hat eigene Datenschutz-Themen.

Zum Branchen-Leitfaden
Handwerk & Mittelstand

Auftrags­bearbeitung, Foto­dokumentation auf Bau­stellen, Kunden-CRM. Datenschutz im Handwerk ist pragmatisch lösbar — wenn er denn angegangen wird.

Zum Branchen-Leitfaden
Startups

Pre-Seed bis Series B — Datenschutz ist beim Investoren-Audit oft ein Knackpunkt. Hamburgs Startup-Szene rund um Otto Digital Solutions, Beiersdorf-Lab und Airbus DACH wächst rasant.

Zum Branchen-Leitfaden
05
Service-Verteiler

Datenschutz-Leistungen für Hamburg

Elf Hamburger Schwerpunkte — Beratung, Audit, Schulung, Einzeldokumente und KI-Tool-Compliance. Jede Seite mit eigener Hamburg-Identität, lokalen Referenzen und Vor-Ort-Termin auf Wunsch.

Datenschutzberatung Hamburg

DSGVO-Beratung für KMU — pragmatisch, mit klarem Maßnahmen­plan.
Datenschutzschulung Hamburg

Online- und Vor-Ort-Schulungen für Mitarbeiter und Geschäfts­führung.
DSGVO-Audit Hamburg

Status-Bestandsaufnahme aller Datenverarbeitungen — Befund + Maßnahmen­plan.
Datenschutzerklärung Hamburg

Rechtssichere Datenschutz­erklärung für Website, Shop, App, Formulare.
AVV Hamburg

Auftrags­verarbeitungs­vertrag nach Art. 28 DSGVO — Vorlage, Prüfung, Verhandlung.
Verarbeitungs­verzeichnis Hamburg

VVT nach Art. 30 DSGVO erstellen — strukturiert, vollständig, prüfungs­fest.
Datenpanne melden Hamburg

72-Stunden-Frist nach Art. 33 DSGVO — Hilfe bei Meldung an den HmbBfDI.
Mitarbeiter­schulung Hamburg

Jährliche Sensibili­sierung mit Phishing-Simulation — DSGVO-Pflicht erfüllen.
Microsoft 365 DSGVO Hamburg

M365 datenschutz­konform betreiben — Konfiguration, AVV, Drittland-Transfer.
Microsoft Copilot Datenschutz

Copilot rechtssicher einführen — KI-Richtlinie, Mitarbeiter­information, AVV.
ChatGPT DSGVO-konform

OpenAI-Tools im Unternehmen einsetzen — Risiken, Workarounds, Enterprise-Lösung.
06
§ 38 BDSG

Datenschutz­beauftragter — die Pflicht in Hamburg

Ab 20 Mitarbeitern, die regelmäßig automatisiert mit personen­bezogenen Daten arbeiten, ist ein Datenschutz­beauftragter Pflicht. Bei sensiblen Verarbeitungen (Gesundheits­daten, Video­überwachung, umfangreiches Profiling) gilt die Pflicht unabhängig von der Mitarbeiter­zahl — Art. 37 DSGVO.

Hamburg hat besonders viele Unternehmen, die schnell in diese Pflicht hineinwachsen: Health-Praxen, Steuer- und Rechtsanwalts­kanzleien, Personal­dienstleister, Inkasso-Firmen, E-Commerce-Mittel­ständler. Ob die Funktion intern oder extern besetzt wird, ist eine Frage von Unabhängigkeit, Fortbildung und Wirtschaftlichkeit. In den meisten KMU ist eine externe Lösung pragmatischer — interne Mitarbeiter haben Interessen­konflikte (IT-Leiter darf nicht DSB sein, HR auch nicht), werden in der Tagesarbeit verschluckt und müssen sich in ein Spezialgebiet einarbeiten.

Sie suchen einen externen Datenschutz­beauftragten in Hamburg? Hier geht es zur Übersicht unseres DSB-Mandats — mit fester Monatspauschale, eigener Plattform und persönlichem Ansprechpartner.

Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern. Hamburger Mittelstand. Der Geschäftsführer dachte, er sei zu klein, um relevant zu sein — bis die HmbBfDI eine Beschwerde nachverfolgte.
Nils Oehmichen Nils Oehmichen · Datenschutzberater, frag.hugo Hamburg
07
Umsetzung

Datenschutz in Hamburg — der Fahrplan

Wer in Hamburg Datenschutz strukturiert angehen will, fährt diese Reihenfolge — unabhängig von Branche und Größe. Schnell pragmatisch, ohne Paragrafen-Lyrik.

  1. Ist-Aufnahme. Welche personen­bezogenen Daten werden wo verarbeitet? HR, CRM, Buchhaltung, Marketing, Website. Ohne dieses Inventar lässt sich nichts steuern.
  2. VVT erstellen. Verzeichnis von Verarbeitungs­tätigkeiten nach Art. 30 DSGVO. Pflicht ab dem ersten Mitarbeiter — und Grundlage jeder weiteren Maßnahme. Vorlage und Anleitung in unserem VVT-Leitfaden.
  3. AVV-Bestand prüfen. Mit welchen Cloud-Diensten arbeitet das Unternehmen? Microsoft, Google, HubSpot, Mailchimp — pro Dienst ein Auftrags­verarbeitungs­vertrag.
  4. Datenschutz­erklärung aktualisieren. Pflicht nach Art. 13 DSGVO auf jeder Website, in jedem Bewerbungs­formular, in jedem Kunden-Onboarding. Generator und Beratung.
  5. DSB benennen. Intern oder extern. Bei Pflicht-Konstellation auch offizielle Meldung an die HmbBfDI.
  6. TOM dokumentieren. Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO — Verschlüsselung, Backup, Zugriffs­rollen, MFA. Verbindung zu IT-Sicherheit.
  7. Schulen. Jährliche Mitarbeiter­schulung mit Phishing-Simulation. Online-Schulung von frag.hugo oder vor Ort in Ihrem Hamburger Büro.
  8. Audit. Einmal jährlich ein vollständiges DSGVO-Audit — interne Selbst­kontrolle oder durch externen Prüfer. Spätestens vor einer behördlichen Anfrage hilfreich.
Das Wichtigste in Kürze Datenschutz in Hamburg folgt DSGVO und BDSG, durchgesetzt vom HmbBfDI mit eigenen Schwerpunkten. Die Bußgeld-Praxis ist ernst — 35,3 Mio. Euro gegen H&M, 900.000 Euro gegen einen Inkasso-Dienstleister, über 1,2 Mio. Euro Gesamt­volumen 2024. Wer pragmatisch startet — VVT, AVV, Datenschutz­erklärung, DSB, TOM, Schulung, Audit — kommt strukturiert in den grünen Bereich. Branchen wie Hafen, Health, Medien und Kanzleien brauchen zusätzlich eine spezialisierte Hand.
Weiterlesen

Vertiefung

Pillar
Datenschutz — der Leitfaden
DSGVO, BDSG, die 7 Grundsätze, Pflichten und Umsetzung — bundesweit gültig.
 Pillar
DSGVO — der Leitfaden
Art. 5, Rechte, Pflichten, Bußgelder, 8-Schritte-Umsetzung.
 Service
Externer Datenschutz­beauftragter
DSB-Mandat ab 149 €/Monat — TÜV-zertifiziert, persönlich in Hamburg.
 Standorte
frag.hugo in der Region
Hamburg, Bremen, Kiel, Lübeck — wir betreuen die Metropolregion.
 Report
Bußgeld-Spiegel 2026
Aktuelle DSGVO-Bußgelder in Deutschland — sortiert nach Behörde und Branche.
 Praxis
Datenpanne in Hamburg melden
72-Stunden-Frist nach Art. 33 DSGVO — Hilfe bei der Meldung an den HmbBfDI.
Nils Oehmichen, Datenschutzberater
Ihr Datenschutzberater in Hamburg
Nils Oehmichen

Nils ist seit über einem Jahrzehnt als Datenschutzberater und externer Datenschutz­beauftragter tätig — TÜV-zertifiziert, Mitglied im BVMID, Absolvent der FH Lübeck. Er kennt den HmbBfDI aus laufender Korrespondenz und berät Hamburger KMU pragmatisch statt mit Paragrafen-Lyrik.

TÜV-zertifiziert BVMID-Mitglied FH Lübeck 10+ Jahre DSB-Praxis
Vollständiges Profil → LinkedIn
Häufige Fragen

Datenschutz in Hamburg — was Geschäfts­führer fragen.

Welche Aufsichtsbehörde ist für Datenschutz in Hamburg zuständig?
Für Unternehmen, Vereine und nicht-öffentliche Stellen mit Sitz in Hamburg ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) zuständig. Amtsinhaber ist seit November 2021 Thomas Fuchs. Die Behörde sitzt in der Ludwig-Erhard-Straße 22 in 20459 Hamburg und prüft DSGVO-Compliance, beantwortet Beschwerden und verhängt Bußgelder. Bundesbehörden mit Sitz in Hamburg fallen dagegen unter die Bundesbeauftragte für Datenschutz (BfDI).
Welche Bußgelder hat der HmbBfDI in den letzten Jahren verhängt?
Der prominenteste Fall ist nach wie vor das Bußgeld von 35,3 Mio. Euro gegen das H&M Service Center 2020 wegen umfangreicher Mitarbeiter-Profilierung — eines der höchsten DSGVO-Bußgelder in Deutschland. Im Tätigkeitsbericht 2024 weist die Behörde 20 rechtskräftige Bußgeldverfahren mit über 1,2 Mio. Euro Gesamtsumme aus, allein 900.000 Euro davon gegen einen Hamburger Inkasso-Dienstleister wegen rechtswidriger Datenspeicherung. In den ersten drei Quartalen 2025 lag das Volumen bei rund 775.000 Euro.
Was kostet ein DSGVO-Audit in Hamburg?
Ein vollständiges DSGVO-Audit für ein KMU mit 20 bis 100 Mitarbeitern liegt in Hamburg in der Regel zwischen 2.500 und 7.500 Euro netto. Der Preis hängt davon ab, ob nur eine Status-Bestandsaufnahme oder zusätzlich Maßnahmenplan und VVT-Erstellung gewünscht sind. Wer regelmäßig audited werden möchte, fährt mit einem DSB-Mandat ab 149 Euro monatlich günstiger — das Audit ist dort als laufende Leistung enthalten.
Welche Hamburger Branchen haben besondere Datenschutz-Anforderungen?
Im Hamburger Wirtschaftsraum sind vor allem fünf Cluster betroffen: Hafenwirtschaft und Logistik (GPS-Tracking, Zolldaten, Subunternehmer-AVV), Maritime und Reedereien (Crew-Daten, Schengen-Übermittlung), Health-Cluster rund um das UKE (Patientendaten, § 203 StGB, ePA), Medien und Verlage (Quellenschutz, Abo-Daten, Tracking) sowie Kanzleien und Steuerberater (Mandantengeheimnis, Berufsgeheimnisträger nach § 203 StGB). E-Commerce und Startups haben die typischen Web-Themen — Cookie-Banner, Tracking, internationaler Datentransfer.
Brauche ich in Hamburg einen Datenschutzbeauftragten?
In Deutschland — und damit auch in Hamburg — ist ein Datenschutzbeauftragter nach § 38 BDSG Pflicht, sobald mindestens 20 Mitarbeiter regelmäßig automatisiert mit personenbezogenen Daten arbeiten. Unabhängig von der Mitarbeiterzahl besteht die Pflicht, wenn Verarbeitungen mit hohem Risiko stattfinden (Art. 37 DSGVO) — etwa Videoüberwachung, Gesundheitsdaten oder umfangreiches Profiling.
Wie melde ich eine Datenpanne in Hamburg?
Eine Datenpanne nach Art. 4 Nr. 12 DSGVO muss innerhalb von 72 Stunden an den HmbBfDI gemeldet werden, wenn ein Risiko für die betroffenen Personen besteht. Die Meldung läuft über das Online-Formular der Behörde unter datenschutz-hamburg.de. Bei hohem Risiko sind zusätzlich die Betroffenen direkt zu informieren (Art. 34 DSGVO). Eine Schritt-für-Schritt-Anleitung haben wir unter Datenpanne melden Hamburg zusammengefasst.
Wie unterscheidet sich Hamburger Datenschutz von anderen Bundesländern?
Materiell ist das Recht überall gleich: DSGVO und BDSG gelten bundesweit identisch. Unterschiede liegen in der Auslegung der jeweiligen Aufsichtsbehörde und in deren Prüfungsschwerpunkten. Der HmbBfDI hat sich in der Vergangenheit auf Beschäftigtendatenschutz, Forderungsmanagement und Cookie-Compliance fokussiert. Das Hamburgische Datenschutzgesetz (HmbDSG) gilt zudem für öffentliche Stellen Hamburgs — Behörden, Hochschulen, Schulen.
Hamburg

Datenschutz mit Plan. Aus Hamburg, für Hamburg.

Wir übernehmen den Datenschutz in Ihrem Hamburger Unternehmen — persönlich, mit eigener Plattform, vor Ort oder digital. 15-Min-Erstgespräch mit Nils.

Erstgespräch buchen Website kostenlos prüfen

Lieber erstmal schreiben? Kontaktformular