Nils Oehmichen – externer Datenschutzbeauftragter für Arztpraxen und MVZ
Branchen-DSB · Gesundheitswesen

Externer DSBfür Arztpraxen— bundesweit.

Externer Datenschutzbeauftragter für Arztpraxen, MVZ, Zahnarztpraxen und Heilberufe: Art. 9 DSGVO, § 203 StGB, TI und ePA — ab 79 €/Monat.

200+ Mandate seit 2013 betreut, mehrere medizinische Einrichtungen

Angebot in 60 Sekunden Website kostenlos prüfen

Lieber direkt sprechen? 15-Min-Termin buchen

betreut seit 2013
200+ Mandate
bei unseren Mandanten
0 Bußgelder
Berufshaftpflicht (Premium)
500.000
Reaktionszeit
< 24 h
Das Risiko

Datenschutz-Risiken in der Arztpraxis

Art. 9
DSGVO

Patientendaten = höchster Schutzbedarf

Diagnosen, Befunde, Laborwerte und Therapiepläne sind besondere Kategorien nach Art. 9 DSGVO. Bei umfangreicher Verarbeitung ist ein Datenschutzbeauftragter Pflicht — unabhängig von der Mitarbeiterzahl. Bußgelder bis 4 % vom Jahresumsatz oder 20 Mio. €.

§ 203
STGB

Schweigepflicht + DSGVO = doppelte Haftung

§ 203 StGB stellt jede Offenbarung eines Patientengeheimnisses unter Strafe — bis zu einem Jahr Freiheitsstrafe. Parallel droht ein DSGVO-Bußgeld. Ein einziges Datenleck kann strafrechtlich und datenschutzrechtlich gleichzeitig verfolgt werden.

≈ 30 %
DSGVO-BUSSGELDER DE

Rund 30 % aller Bußgelder treffen den Gesundheitssektor

Stochastische Auswertungen der deutschen Aufsichtsbehörden zeigen: Etwa jedes dritte DSGVO-Bußgeld in Deutschland fällt auf Akteure aus dem Gesundheitswesen — von der Einzelpraxis bis zur Klinik. Behörden wie BfDI, BayLDA und der HmbBfDI prüfen Praxen aktiv.

Nils Oehmichen & Jens Hagel – Ihr Datenschutz-Team bei frag.hugo
Die Lösung

Persönliche Beratung + digitale Plattform

Sie sprechen direkt mit Nils — TÜV-zertifizierter Datenschutzbeauftragter. Die digitale Plattform übernimmt Verzeichnis, AVVs, Schulungen und Doku, damit Sie nicht in Word-Dokumenten ertrinken.

Unabhängig — wir verkaufen keine Software, die wir später prüfen müssen
Aktuell gehalten — AI Act, NIS2 und neue Rechtsprechung sofort eingearbeitet
Plattform inklusive — VVT, AVV, TOMs, Schulungen an einem Ort
Vor Ort in Bundesweit — wir kommen zu Ihnen, kein Webinar-only
Ihre Vorteile

Warum Unternehmen in Bundesweit sich für frag.hugo entscheiden

Gesundheitsdaten-Expertise

Art. 9 DSGVO, § 203 StGB, ärztliche Schweigepflicht, KV-Anbindung, Telematikinfrastruktur — wir kennen die Besonderheiten Ihrer Branche.

DSFA für ePA & TI inklusive

Datenschutz-Folgenabschätzung für elektronische Patientenakte, eRezept, eAU und Videosprechstunde — aufsichtsbehördlich gefordert, sauber dokumentiert.

Praxis-Software geprüft

Medatixx, T2med, Dampsoft, CGM TURBOMED, Charly, evident — wir prüfen AVV, Konnektor und Betriebskonzept Ihres PVS-Anbieters.

MFA- & Team-Schulung

Praxisnahe Schulungen für Medizinische Fachangestellte, Zahnarzthelfer, Praxismanager und Ärzte — Hugo Learn inklusive Phishing-Simulation.

Ab 79 €/Monat

Vier transparente Tarife — vom Self-Service für die Einzelpraxis bis zur Premium-Begleitung für MVZ-Strukturen mit mehreren Standorten.

Bundesweit, persönlich erreichbar

Wir betreuen Praxen in ganz Deutschland 100 % digital — auf Wunsch mit Vor-Ort-Terminen und Audits in Ihrer Praxis.

So starten Sie

So starten Sie mit Ihrem externen DSB für die Praxis

01

Erstgespräch

Kostenlos und unverbindlich. Wir erfassen Praxistyp (Einzel-, Gemeinschafts-, MVZ), Fachrichtung, Mitarbeiterzahl und PVS.

02

Praxis-Audit & Onboarding

VVT, AVV, TOMs, Patienteninformation nach Art. 13 DSGVO, Einwilligungen, Löschkonzept — strukturiert in wenigen Tagen.

03

Offizielle Benennung & DSFA

Meldung bei der zuständigen Aufsichtsbehörde Ihres Bundeslandes. Datenschutz-Folgenabschätzung für ePA und TI inklusive.

04

Laufende Betreuung

Schweigepflicht-Belehrungen, MFA-Schulungen, TI-Updates, Datenpannen-Hotline und Behördenkommunikation — ganzjährig.

Kostenvergleich

Interner vs. externer DSB für Arztpraxen

Interne Lösung (Praxis-MFA oder Arzt) Empfohlen Externer DSB (frag.hugo)
Fachkunde nach Art. 37 Abs. 5 DSGVO Muss extern zugekauft und laufend nachgewiesen werdenTÜV-zertifiziert, kontinuierliche Weiterbildung
Interessenkonflikt Hoch — Praxisinhaber, IT-Verantwortliche oder QM können kein DSB seinAusgeschlossen — frag.hugo arbeitet unabhängig
Schweigepflicht § 203 StGB Bei interner Bestellung greift § 203 automatischExterner DSB wird vertraglich auf § 203 StGB verpflichtet (berufsmäßig tätiger Gehilfe)
Kosten p. a. ≈ 25.000 € (Gehalt + Fortbildung + Vertretung)Ab 948 € (79 €/Monat)
DSFA für ePA / TI Muss von der Praxis selbst erstellt werdenIm Standard- und Pro-Tarif inkludiert
Erreichbarkeit bei Datenpanne Nur während Praxis-Öffnungszeiten< 24h Reaktion, im Premium-Tarif 4h-SLA
Preise

Klare Preise. Monatlich kündbar.

Keine Setup-Gebühr, kein Kleingedrucktes. Onboarding macht Nils oder Jens persönlich.

Lite

79 €
  • Einzelpraxis bis 15 MA — Self-Service
  • VVT, AVV, Datenpannen, DSAR, TOMs
  • Löschkonzept Basic + 3 Online-Schulungs-Module
  • 50.000 € Berufshaftpflicht
  • 24 Monate Mindestlaufzeit
Angebot anfordern
Empfohlen

Standard

149 €
  • Gemeinschaftspraxis bis 25 MA
  • 12 h DSB-Beratung/Jahr mit Nils Oehmichen
  • DSFA-Vorlage für ePA, eRezept, eAU Datenschutz-Folgenabschätzung – erforderlich bei Verarbeitungen mit hohem Risiko für Betroffene (z. B. Videoüberwachung, Profiling, Gesundheitsdaten).
  • AVV-Pattern für PVS, Labor, KV-Anbindung
  • 100.000 € Berufshaftpflicht
Angebot anfordern

Pro

299 €
  • MVZ / größere Praxis bis 100 MA
  • 24 h DSB-Beratung/Jahr · 8h-SLA
  • Vollständige DSFA für TI + ePA + Videosprechstunde Datenschutz-Folgenabschätzung – erforderlich bei Verarbeitungen mit hohem Risiko für Betroffene (z. B. Videoüberwachung, Profiling, Gesundheitsdaten).
  • KI-Schulungen + Phishing-Simulation für MFAs
  • Schweigepflichtsbelehrungen-Workflow
  • 250.000 € Berufshaftpflicht
Angebot anfordern

Premium

499 €
  • MVZ-Verbund / Mehrstandort bis 250 MA
  • 48 h DSB-Beratung/Jahr + Kick-Off-Workshop
  • AskHugo 24/7 · 4h-SLA
  • Vor-Ort-Termine in Ihrer Praxis Persönliche Besuche in Ihrem Unternehmen für Schulungen, Audits oder Workshops – direkt vor Ort in der Metropolregion Hamburg.
  • Hugo Check Agentur unbegrenzt White-Label Professioneller PDF-Bericht mit allen Ergebnissen, Handlungsempfehlungen und Risikobewertung – perfekt zur Dokumentation oder Vorlage bei der Geschäftsführung.
  • 500.000 € Berufshaftpflicht
Angebot anfordern
Flexibel buchbar

Punktuelle Unterstützung — ohne Vertragsbindung

Sie brauchen keinen laufenden Vertrag, sondern ad-hoc Hilfe — z. B. bei einer Datenpanne, einer DSFA für die ePA oder einer Behördenanfrage? Wir beraten Praxen auch projektbasiert.

  • Einzelstunden: 159 €/h (netto) — exakt nach Aufwand abgerechnet
  • Stundenpaket 10h: 139 €/h (1.390 €) — gültig 12 Monate
  • Festpreis-DSFA für ePA-Einführung — Pauschalpreis nach Praxisgröße
  • Ad-hoc-Einsätze bei Datenpannen oder Behördenanfragen — sofort verfügbar
Unverbindlich anfragen
Kundenstimmen

Das sagen unsere Mandanten

„Wir haben drei Standorte und gut 60 Mitarbeitende. Vorher hatten wir einen DSB, der einmal jährlich eine Checkliste geschickt hat. Nils kommt vor Ort, kennt unsere Prozesse rund um ePA und KV-Abrechnung — und sagt uns konkret, was zu tun ist.“

GF
Geschäftsführung
MVZ · 60 MA · 3 Standorte

„Eine Mitarbeiterin hat aus Versehen einen Befund per E-Mail an den falschen Patienten geschickt. Innerhalb von zwei Stunden hatten wir Nils am Telefon, drei Stunden später war die Meldung an die Aufsichtsbehörde raus — fristgerecht, sauber dokumentiert.“

PM
Praxismanagerin
Hausarztpraxis · 8 MA

„Innerhalb von 24 Stunden war klar, dass wir die Patientenbefragung datenschutzkonform durchführen können. So schnell hat noch kein Berater reagiert. Genau so stellt man sich die Zusammenarbeit vor.“

PL
Pflegedienstleitung
Ambulanter Pflegedienst · 48 MA

„Wir betreiben eine kieferorthopädische Praxis mit digitalem Scanner und Cloud-Anbindung. Die Frage AVV mit dem Cloud-Anbieter hätte uns ein Bußgeld kosten können. Nils hat das innerhalb einer Woche geregelt — inklusive Drittland-Transfer-Prüfung.“

PI
Praxisinhaber
Kieferorthopädie · 12 MA

„Fünf Tage vor unserer QM-Rezertifizierung fehlten uns die IT-Risikoanalyse und der Notfallplan. Nils hat das übers Wochenende geliefert. Der Auditor war begeistert.“

QM
Qualitätsmanager
Komponentenfertigung · 85 MA

„Als Heilpraktiker dachte ich, DSGVO sei für mich eine Nummer zu groß. Nils hat das pragmatisch aufgesetzt — Patientenkartei, Einwilligungen, Aufbewahrungsfristen — alles ohne Overkill.“

HP
Inhaber
Heilpraktiker-Praxis · 2 MA
Nils Oehmichen

„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen — ohne dabei den Geschäftsbetrieb einzustellen.“

Nils Oehmichen — Geschäftsführer & Datenschutzberater, frag.hugo

Inhalt in Kürze

  • Arztpraxen, MVZ, Zahnarztpraxen und Heilberufe verarbeiten Gesundheitsdaten nach Art. 9 DSGVO — die sensibelste Kategorie personenbezogener Daten mit dem höchsten Bußgeldrisiko.
  • Die ärztliche Schweigepflicht (§ 203 StGB) und die DSGVO gelten parallel — ein Datenleck kann strafrechtlich und datenschutzrechtlich gleichzeitig verfolgt werden.
  • Bei umfangreicher Verarbeitung besonderer Kategorien ist ein Datenschutzbeauftragter Pflicht — unabhängig von der Mitarbeiterzahl. Praktisch ab 5 bis 10 MA greift die Pflicht für nahezu jede Praxis.
  • frag.hugo betreut Arztpraxen, MVZ, Zahn-, Physio- und Heilpraktiker-Praxen sowie Apotheken bundesweit ab 79 €/Monat — TÜV-zertifiziert, vertraglich auf § 203 StGB verpflichtet.

Was übernimmt der externe Datenschutzbeauftragte für Ihre Praxis?

Ein externer Datenschutzbeauftragter für Arztpraxen ist mehr als ein juristischer Berater — er ist der zentrale Ansprechpartner für alle datenschutzrechtlichen Pflichten Ihrer Einrichtung. Bei frag.hugo verbinden wir die Rolle des externen DSB mit einer digitalen Plattform für Ihr komplettes Datenschutz-Management. Wir übernehmen die Aufgaben nach Art. 39 DSGVO und sorgen für die Einhaltung der Datenschutz-Grundverordnung, des Bundesdatenschutzgesetzes (BDSG), des Patientenrechtegesetzes und der branchenspezifischen Vorgaben (z. B. gematik, KBV, KZBV, Heilpraktikergesetz).

Konkret übernimmt der DSB für Ihre Praxis:

  • Überwachung der DSGVO-Konformität in allen Praxisprozessen — Aufnahme, Behandlung, Abrechnung, Archivierung
  • Beratung bei Datenschutz-Folgenabschätzungen (DSFA) für ePA, eRezept, eAU und Videosprechstunde
  • Schulung Ihres Praxisteams — MFAs, ZFAs, Praxismanager, Ärzte — zu Schweigepflicht, sicherer Kommunikation und Datenpannen-Verhalten
  • Ansprechpartner für betroffene Personen (Patienten, die ihre Rechte nach Art. 15–21 DSGVO ausüben) und für die zuständige Aufsichtsbehörde Ihres Bundeslandes
  • Erstellung und Pflege aller datenschutzrelevanten Dokumente: Verarbeitungsverzeichnis (VVT), AVV, TOMs, Patienteninformation nach Art. 13 DSGVO, Einwilligungserklärungen, Löschkonzept
  • Vertragliche § 203-StGB-Verpflichtung — der externe DSB ist „berufsmäßig tätiger Gehilfe” und damit selbst der ärztlichen Schweigepflicht unterworfen

Bei frag.hugo arbeiten wir mit zertifizierten Datenschutzexperten, die das Gesundheitswesen kennen — von der Einzelpraxis bis zum MVZ-Verbund mit fünf Standorten. Unsere Lösung verbindet juristisches Fachwissen mit technischer Expertise in der Informationssicherheit und einem klar geregelten Service-Level — vertraglich monatlich kündbar.

Patientendaten richtig schützen — Art. 9 DSGVO in der Praxis

Warum Gesundheitsdaten der schärfste Datenschutz-Fall sind

Patientendaten gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO — gemeinsam mit Daten zur ethnischen Herkunft, politischen Meinung, religiösen Überzeugung, Gewerkschaftszugehörigkeit, genetischen und biometrischen Daten sowie Sexualleben. Die Datenschutz-Grundverordnung legt für diese Kategorie ein grundsätzliches Verarbeitungsverbot fest. Es gibt nur eng definierte Ausnahmen, unter denen die Verarbeitung zulässig ist.

Für Arztpraxen relevant ist vor allem Art. 9 Abs. 2 lit. h DSGVO: Die Verarbeitung ist zulässig, wenn sie für Zwecke der Gesundheitsversorgung, der Arbeitsmedizin, der medizinischen Diagnostik, der Versorgung oder Behandlung erforderlich ist — und durch einen Berufsgeheimnisträger erfolgt, der dem Berufsgeheimnis nach nationalem Recht unterliegt. Für Sie als Praxis heißt das: Die normale Behandlung deckt Art. 9 Abs. 2 lit. h DSGVO ab — Sie brauchen keine separate Einwilligung. Sobald die Verarbeitung aber über die reine Behandlung hinausgeht (Marketing, Forschung, Befund-Übermittlung an externe Stellen, Veröffentlichung von Patientenfotos), benötigen Sie eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.

§ 203 StGB — die strafrechtliche Schweigepflicht

Die DSGVO ist datenschutzrechtlich. § 203 StGB ist strafrechtlich. Beide gelten parallel und schützen Patientendaten aus unterschiedlichen Perspektiven. Wer als Arzt, Zahnarzt, Apotheker, Heilpraktiker, MFA oder berufsmäßig tätiger Gehilfe ein anvertrautes Geheimnis unbefugt offenbart, riskiert bis zu einem Jahr Freiheitsstrafe (§ 203 Abs. 1 StGB) — bei gewerbsmäßiger Tat bis zu zwei Jahren.

Wichtig: Bereits die Tatsache, dass jemand bei Ihnen Patient ist, fällt unter die Schweigepflicht. Ein vermeintlich harmloser Anruf eines „Familienangehörigen” („Ist mein Vater bei Ihnen in Behandlung?”) darf nicht bestätigt werden, ohne dass eine wirksame Schweigepflichtsentbindung vorliegt. Ein externer Datenschutzbeauftragter wird vertraglich auf § 203 StGB verpflichtet — bei frag.hugo ist diese Klausel Standard.

Bußgeld-Pattern Gesundheitssektor

Die deutschen Aufsichtsbehörden gehen den Gesundheitssektor strategisch an. Auswertungen der DSGVO-Bußgelder zeigen: Rund 30 % aller Bußgelder in Deutschland entfallen auf den Gesundheitssektor — vom Krankenhaus bis zur Einzelpraxis. Markante Fälle:

  • AOK PLUS Sachsen und AOK Nordrhein wegen unzureichender Sicherung von Versichertendaten
  • Universitätsklinikum Düsseldorf wegen einer Ransomware-Attacke mit Patientendaten-Leck
  • Bayerische Klinik 2024 durch das BayLDA wegen Patientenakten, die auf einem Sperrmüllhaufen gefunden wurden
  • Diverse Zahnarztpraxen wegen offener Patientenakten und ungesicherter Empfangsbereiche

Die Behörden prüfen auch ohne konkreten Anlass — der HmbBfDI, das BayLDA und der LfDI BW haben in den letzten Jahren turnusmäßige Praxisprüfungen durchgeführt. Wer zum Prüfzeitpunkt kein VVT, keine TOMs und keine DSFA vorweisen kann, riskiert sofort ein Bußgeld nach Art. 83 DSGVO.

TI-Anschluss, ePA und eRezept DSGVO-konform

Telematikinfrastruktur — gematik und Verantwortung

Die Telematikinfrastruktur (TI) ist seit 2019 für Vertragsärzte verpflichtend. Sie verbindet Praxen, Apotheken, Krankenhäuser und Krankenkassen über ein bundesweites, verschlüsseltes Netz der gematik. Technisch sicher konzipiert — datenschutzrechtlich verantworten Sie als Praxisinhaber dennoch die korrekte Konfiguration: Konnektor-Updates, eHBA- und SMC-B-Verwaltung, rollenbasierte Zugriffsrechte, Protokollierung aller Zugriffe.

Ein externer DSB prüft im Rahmen der DSFA Ihre TI-Anbindung und dokumentiert die Risikobewertung — wichtig bei jeder Aufsichtsprüfung.

Elektronische Patientenakte (ePA) — Opt-out seit 2025

Seit 2025 erhalten alle gesetzlich Versicherten automatisch eine ePA über ihre Krankenkasse — es sei denn, sie widersprechen (Opt-out-Modell). Für Praxen heißt das: Sie müssen die ePA befüllen können, wenn der Patient zustimmt, und Sie müssen die Einwilligung dokumentieren. Datenschutzrechtlich bringt die ePA neue Pflichten:

  • Einwilligung prüfen — Vor dem Befüllen der ePA muss die Patientenzustimmung vorliegen
  • Granulare Zugriffskontrolle — Nur medizinisch berechtigte Mitarbeiter dürfen auf gespeicherte Daten zugreifen, dokumentiert per Zugriffsprotokoll
  • Widerrufsmöglichkeit — Patienten können jederzeit der weiteren Verarbeitung widersprechen und Daten aus der ePA entfernen lassen
  • DSFA-Pflicht — Die Verarbeitung in der ePA ist nach Art. 35 DSGVO Datenschutz-Folgenabschätzungs-pflichtig

eRezept und eAU — neue digitale Schnittstellen

Das eRezept löst das Papierrezept schrittweise ab. Übertragung erfolgt über den Konnektor an den Rezept-Server der gematik, Patienten lösen es über die ePA-App oder die Versicherungskarte in der Apotheke ein. Datenschutzrechtlich relevant: Speicherort, Aufbewahrungsdauer, Übertragungsweg. Die eAU (elektronische Arbeitsunfähigkeitsbescheinigung) wird direkt an die Krankenkasse übermittelt — fertig nach KIM-Standard verschlüsselt. Sie müssen sicherstellen, dass keine ungewollten Empfänger einbezogen werden.

KV-Anbindung und Abrechnung

Die Kassenärztliche Vereinigung (KV) des Bundeslandes ist Empfänger Ihrer Quartalsabrechnungen. Die Übermittlung erfolgt verschlüsselt über die TI oder über das KV-eigene KVSafenet. Datenschutzrechtlich: Hier liegt eine Übermittlung nach Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung aus dem SGB V) vor — keine Einwilligung erforderlich, aber strenges Datenminimierungsprinzip (nur die für die Abrechnung notwendigen Daten dürfen übermittelt werden).

Branchen-Sub-Cluster — welche Praxisform sind Sie?

Nicht jede Praxis ist gleich. Wir betreuen alle Heilberufe und passen die DSGVO-Architektur an Ihre Struktur an:

  • Einzelpraxen — Hausarzt, Facharzt, Allgemeinmediziner mit 2–5 MA. Pragmatischer Datenschutz ohne Overkill — Lite-Tarif reicht meist aus.
  • Gemeinschaftspraxen / Berufsausübungsgemeinschaften (BAG) — Mehrere Ärzte, gemeinsame PVS-Nutzung, geteilte Patientenakten. Klare Regelung der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO erforderlich.
  • MVZ (Medizinische Versorgungszentren) — Konzernstruktur (oft GmbH), mehrere Standorte, zentrale IT. Komplexere DSGVO-Lage durch standortübergreifende Verfahren. Pro- oder Premium-Tarif empfohlen.
  • Zahnarztpraxen — KZV-Anbindung statt KV, digitales Röntgen, intraorale Scanner mit Cloud-Anbindung, KFO mit Modellscans. Eigenes AVV-Pattern.
  • Physiotherapie / Ergotherapie / Logopädie — Heilmittelerbringer ohne TI-Anschluss, aber mit Schweigepflicht und Befund-Dokumentation. Eigene Verordnungs-Verarbeitung.
  • Heilpraktiker — Schweigepflicht gilt analog (§ 203 StGB), aber kein KV-/KZV-System, oft Bargeldabrechnung. Pragmatische Mini-Lösung möglich.
  • Apotheken — Berufsgeheimnis nach Apothekenbetriebsordnung, eRezept-Empfang, Botendienste, Datenminimierung bei OTC-Verkauf. KIM-Anschluss verpflichtend.
  • Kliniken — Eigene Größenklasse, fast immer DSB-Pflicht, eigene IT-Sicherheits-Anforderungen aus KRITIS und NIS2. Hierzu separates Pro- oder Premium-Setup, oft mit ergänzendem Hugo Shield für NIS2-Lieferanten-Compliance.

Hugo Learn Praxis-Paket — Schulungen für MFA und Team

Schulung ist nach Art. 39 Abs. 1 lit. b DSGVO eine Pflichtaufgabe des Datenschutzbeauftragten. In der Praxis heißt das: Jeder MFA, jede ZFA, jeder Praxismanager und jeder Arzt sollte mindestens einmal jährlich datenschutzrechtlich geschult werden. Auf Papier ist das schnell gesagt, in der Realität scheitert es meist am Aufwand: Kein Termin, kein Trainer, keine Dokumentation des Schulungsnachweises.

Bei frag.hugo läuft die Schulung über Hugo Learn:

  • Microlearning-Module à 10 Minuten — passen in jede Pause, kein Schulungstag-Aufwand
  • Praxisrelevante Inhalte — Schweigepflicht § 203 StGB, Patientenrechte (DSAR), Datenpannen-Verhalten, sichere E-Mail-Kommunikation, Phishing-Erkennung, Passwort-Hygiene
  • Phishing-Simulation — Wir senden Ihrem Team kontrollierte Phishing-Mails (medizinischer Kontext: gefälschte KV-Mail, Pharmavertreter-Phishing). Wer klickt, landet in einem Aufklärungs-Modul
  • Zertifikats-Nachweis für die Personalakte — wichtiger Beleg bei Aufsichtsprüfungen
  • Nachweis der DSGVO-Schulungspflicht für die KZV-/KV-Audits und QM-Zertifizierungen (z. B. QEP, ISO 9001)

Im Pro- und Premium-Tarif ist Hugo Learn enthalten. Im Standard-Tarif sind die Basis-Schulungsmodule inkludiert, Phishing-Simulation kann zugebucht werden.

Was kostet ein externer DSB für die Praxis?

Die Kosten für einen externen DSB richten sich nach Praxisgröße, Komplexität und Beratungsumfang. Bei frag.hugo starten Sie ab 79 €/Monat (948 €/Jahr) im Lite-Tarif für Einzelpraxen mit Self-Service-Plattform. Der Standard-Tarif mit 12 Stunden persönlicher DSB-Beratung pro Jahr und vollständiger DSFA-Vorlage liegt bei 149 €/Monat. Pro (299 €/Monat) ist für MVZ und größere Praxen mit komplexer TI-Anbindung gedacht, Premium (499 €/Monat) für MVZ-Verbünde und Mehrstandort-Strukturen mit 4-Stunden-SLA und Vor-Ort-Terminen.

Ein interner DSB kostet eine Praxis durchschnittlich ca. 25.000 €/Jahr — Gehaltsanteil einer Vollzeitkraft mit DSB-Schulung, regelmäßige Fortbildungen, Vertretungskosten. Sie sparen mit uns also bis zu 96 % — bei höherer Qualität und Verfügbarkeit durch ein ganzes Team von Datenschutzexperten. Praktisch wichtig für Praxen: Da Praxisinhaber, IT-Verantwortliche und QM-Beauftragte aufgrund von Interessenkonflikten nach Art. 38 Abs. 6 DSGVO oft gar nicht zum internen DSB bestellt werden dürfen, scheidet die interne Lösung für die meisten Praxen ohnehin aus.

Alle Features und Preise von Hugo DSB ansehen →

So starten Sie mit Ihrem externen DSB

  1. Erstgespräch (kostenlos) — 15 Minuten mit Nils Oehmichen. Wir klären Praxistyp, Mitarbeiterzahl, PVS und Ihren konkreten Bedarf.
  2. Praxis-Audit — Wir erfassen alle Datenverarbeitungen Ihrer Praxis: Aufnahme, Behandlung, Abrechnung, ePA, KIM, KV-Anbindung, externe Dienstleister.
  3. Onboarding & Dokumentation — Plattform-Zugang, VVT, AVV-Vorlagen für Ihre Software, TOMs, Patienteninformation nach Art. 13 DSGVO, Einwilligungserklärungen, Löschkonzept — innerhalb von 2 Wochen.
  4. Offizielle Benennung & DSFA — Wir melden uns als externer DSB bei der zuständigen Aufsichtsbehörde Ihres Bundeslandes. DSFA für ePA, eRezept, eAU und ggf. Videosprechstunde erstellen wir parallel.
  5. MFA- und Team-Schulung — Hugo Learn rollt aus, Phishing-Simulation startet, Zertifikate werden in der Personalakte abgelegt.
  6. Laufende Betreuung — Datenpannen-Hotline, Behördenkommunikation, jährliche Schweigepflicht-Belehrung, Updates zu TI- und ePA-Neuerungen.

Sie haben Post von der Aufsichtsbehörde erhalten, eine Patientenbeschwerde liegt vor oder Sie müssen eine Datenpanne melden? Unsere Datenschutzexperten reagieren binnen 24 Stunden — im Premium-Tarif sogar innerhalb von 4 Stunden, auch außerhalb der Geschäftszeiten.

Praxen und MVZ in den großen Uniklinik-Städten betreuen wir auch standortbezogen — die Aufsichtsbehörden vor Ort haben unterschiedliche Prüfungsschwerpunkte: Im Charité-Umfeld ist der externe Datenschutzbeauftragte für Berlin der natürliche Einstieg, im Münsteraner Uniklinikum-Cluster unser DSB für Münster (UKM, Provinzial-Versicherer mit Gesundheitsdaten-Schnittstelle), und für Robert-Bosch-Krankenhaus / Stuttgart-21-Gesundheitscluster der Datenschutzbeauftragte für Stuttgart.

Testen Sie zuerst Ihre Praxis-Website

Bevor wir tiefer einsteigen: Mit dem Hugo Check prüfen Sie Ihre Praxis-Website in 60 Sekunden auf 29 DSGVO-Punkte — kostenlos, ohne Anmeldung. Sie sehen sofort, ob Cookie-Banner, Tracking, Newsletter-Anmeldung und Kontaktformular DSGVO-konform laufen. Anschließend vereinbaren Sie ein Erstgespräch mit Nils Oehmichen — bundesweit per Video oder vor Ort.

Alle Leistungen im Überblick | Kontakt | Über uns

Konfigurator

In 60 Sekunden zum passenden Tarif

Vier Fragen, vier Tarife, transparente Add-Ons. Kein Sales-Call.

  1. 1 Profil
  2. 2 Tarif
  3. 3 Add-Ons
  4. 4 Buchen
Ihr Unternehmens-Profil

Wir nutzen das nur, um Ihnen den passenden Tarif vorzuschlagen.

Jede zusätzliche Niederlassung kostet +25 €/Mo (ab 2).

Heilberufler und öffentliche Stellen brauchen unabhängig von der MA-Zahl einen DSB.

Wettbewerbs-Vergleich

Hugo DSB vs. heyData vs. Cortina vs. DPMS

15 Vergleichspunkte. Alle Daten aus öffentlich zugänglichen Quellen vom 10. Mai 2026. Wo Daten nicht öffentlich sind, ist das transparent markiert.

Vergleichspunkt Feature
Unsere Wahl Hugo DSB ab 79 €/Mo
heyData ab 59 €/Mo
Cortina Consult ab 125 €/Mo
DPMS / audatis auf Anfrage
Einstiegspreis (öffentlich) Der niedrigste öffentlich kommunizierte Preis. Bei heyData und Cortina sind das „ab"-Preise mit individueller Skalierung im Sales-Call.
79 €/Mo Lite, ohne Verhandlung
ab 59 €/Mo Starter, individuell
125 €/Mo DSB Starter (ohne Software)
auf Anfrage nicht öffentlich
Beratungsstunden transparent Wird die Anzahl inkludierter DSB-Stunden öffentlich kommuniziert?
0/12/24/48 h/Jahr klar pro Tarif
nein nur SLA-Reaktionszeit
nur Custom-Tarif 6/12/18 h/Jahr Add-On
nicht öffentlich
TÜV-Zertifizierung des DSB Ist der bestellte Datenschutzbeauftragte TÜV-zertifiziert? Quellenpflicht.
Ja — Nils Oehmichen TÜV-zertifiziert, namentlich
nicht kommuniziert DSB nicht namentlich genannt
Ja — TÜV Rheinland + Nord allgemein, nicht personenbezogen
unklar nicht öffentlich
Berufshaftpflicht Versicherungssumme der Berufshaftpflicht. Höher = besserer Schutz im Schadensfall.
50/100/250/500 k€ gestaffelt nach Tarif
50/100/unbegrenzt 50k Starter, ∞ Enterprise
nicht öffentlich
nicht öffentlich
Self-Service-Checkout Können Sie das Produkt komplett online ohne Sales-Call buchen?
Ja Stripe in 5 Klicks
Nein Sales-Call obligatorisch
Nein Konfigurator + Sales-Call
Nein Angebot nach Kontakt
Sales-Call vor Buchung nötig
Nein
Ja
Ja
Ja
Mindestlaufzeit Wie lange sind Sie an den Vertrag gebunden?
24 Monate für alle Tarife
24 Monate jährliche Abrechnung
monatlich Software; DSB ~12 Mo
12-24 Monate üblich, individuell
Carry-Over Stunden Können nicht verbrauchte Beratungsstunden ins nächste Jahr mitgenommen werden?
bis 25 % Vorjahres-Pool quartalsweise
nicht kommuniziert
nicht öffentlich vermutlich nein
nicht öffentlich
Add-Ons öffentlich gepreist Sind alle Zusatz-Services mit transparenten Festpreisen kommuniziert — oder nur „auf Anfrage"?
17 Add-Ons mit Preis alle online
teilweise HinSchG/Schulungen ja, Rest nein
teilweise im Konfigurator
auf Anfrage
Onboarding-Pauschale transparent Wird der initiale Setup-Aufwand transparent als Festpreis ausgewiesen?
490/990/1.890 € S/M/XL Festpreise
im Monatspreis versteckt wirkt günstig
0/900/1.350/2.700 € Reifegrad-Pauschale
unklar vermutlich Stundensatz
Vor-Ort-Termine möglich Können DSB-Termine bei Ihnen vor Ort stattfinden — ohne reine Remote-Bindung?
Ja, Hamburg + 200 km 1.490 € Vor-Ort-Tag
Nein rein digital
Nein Teams-Call only
Ja (regional) je nach Standort
Hamburg-basiert Wo sitzt das Unternehmen — räumliche Nähe und HmbBfDI-Erfahrung?
Ja Spaldingstr., Hamburg
Nein Berlin
Nein Münster (30+ Standorte bundesweit)
Nein audatis: Bielefeld
Reifegrad-Wizard (Self-Service) Können Sie online vorab Ihren Reifegrad einschätzen, bevor Sie kaufen?
Ja, im Konfigurator 4 Stufen + Empfehlung
Nein
nur Dropdown 4 Stufen, ohne Wizard
Nein
Live-Konfigurator vorhanden Können Sie sich Ihren Tarif inkl. Add-Ons live zusammenklicken?
Ja 4-Step-Konfigurator
Nein 3 statische Tarife
Ja sehr ausführlich
Nein
Software inklusive im Tarif Bekommen Sie eine SaaS-Plattform mit VVT/AVV/DSAR/etc. inkludiert — oder kostet die Software extra?
Ja, ab Lite volle Plattform
Ja, ab Starter volle Plattform
Nein, +45 €/Mo Compliance Hub separat
Ja audatis Manager
Quellen & Methodik anzeigen

Methodik: Alle Wettbewerbs-Daten wurden am 10. Mai 2026 direkt von den Hersteller-Websites extrahiert (WebFetch + interaktiver Konfigurator-Crawl bei Cortina). Wo Informationen nicht öffentlich verfügbar sind, ist das ausdrücklich markiert — keine Spekulation.

heyData: heydata.eu/preise, heydata.eu/datenschutz-management, heydata.eu/hinweisgebersystem (Stand 2026-05-10).

Cortina Consult: cortina-consult.com/externer-datenschutzbeauftragter/kosten, software/preise, Live-Konfigurator interaktiv durchgeklickt (Stand 2026-05-10).

DPMS / audatis: Pricing nicht öffentlich; Bewertung basiert auf veröffentlichten Produkt-Beschreibungen und Branchen-Erfahrung. „Nicht öffentlich" / „auf Anfrage" wird konsequent so kommuniziert.

Vollständiger Audit-Bericht: WETTBEWERB-HEYDATA-CORTINA-2026-05-10.md (interne Dokumentation, auf Anfrage einsehbar).

Einziger Anbieter mit TÜV-zertifiziertem DSB namentlich, Self-Service-Checkout, Hamburg-Standort und 17 Add-Ons mit transparenten Festpreisen.

Ihr persönlicher Berater

Wer am Telefon sitzt, wenn Sie anrufen.

Nils Oehmichen – Datenschutzberater & Geschäftsführer
Hamburg · persönlich · seit 2024

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Bei frag.hugo telefonieren Sie direkt mit Nils — kein Account-Manager, keine Hotline. Er ist seit über 13 Jahren TÜV-zertifizierter Datenschutzberater für Mittel­ständler und kennt Datenschutz, DSGVO, NIS2 und den EU AI Act aus über 200 Mandaten.

TÜV-zertifiziertBVMID Hamburg13+ Jahre externe DSB200+ Mandate
Vollständiges Profil Angebot anfordern 15-Min-Termin LinkedIn
FAQ

Häufige Fragen zum externen Datenschutzbeauftragten für Arztpraxen

In den allermeisten Fällen ja. Nach § 38 BDSG besteht eine Benennungspflicht ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten. Wichtiger für Arztpraxen: Sobald Sie im Sinne von Art. 37 Abs. 1 lit. c DSGVO umfangreich besondere Kategorien personenbezogener Daten (Gesundheitsdaten) verarbeiten, greift die DSB-Pflicht unabhängig von der Mitarbeiterzahl. Die deutschen Aufsichtsbehörden legen den Begriff „umfangreich“ für Praxen weit aus — praktisch ab 5 bis 10 Mitarbeitenden gilt die Verarbeitung von Patientendaten als umfangreich. Einzelpraxen mit drei Beschäftigten benötigen formal oft keinen DSB, profitieren aber trotzdem von einer dokumentierten Datenschutzorganisation, weil § 203 StGB und Art. 5 DSGVO ohnehin gelten.

Die ärztliche Schweigepflicht nach § 203 StGB und die DSGVO gelten parallel und schließen sich nicht aus — sie ergänzen sich. Schweigepflicht schützt das Vertrauensverhältnis Arzt–Patient strafrechtlich, DSGVO regelt die organisatorisch-technische Datenverarbeitung. Ein externer DSB muss explizit vertraglich auf § 203 StGB verpflichtet werden (als „berufsmäßig tätiger Gehilfe“ nach § 203 Abs. 3 StGB). Bei frag.hugo ist diese Schweigepflicht-Verpflichtung Standardbestandteil jedes Vertrages mit einer Praxis.

Die Telematikinfrastruktur (TI) ist nach den Vorgaben der gematik sicher konzipiert — Konnektor, eHBA, SMC-B und VPN-Tunnel sind verschlüsselt. Datenschutzrechtlich heikel wird es allerdings an den Schnittstellen: KIM/TIM-Mailversand, ePA-Zugriffsprotokollierung, eRezept-Übermittlung. Praxen tragen die Verantwortung für die korrekte Konfiguration ihres Konnektors, das Patch-Management und die rollenbasierte Zugriffskontrolle. Ein externer DSB prüft Ihre TI-Anbindung im Rahmen der DSFA und dokumentiert die Risikobewertung.

Ja — fast immer. Die elektronische Patientenakte (ePA) verarbeitet besondere Kategorien personenbezogener Daten in großem Umfang und ist damit nach Art. 35 DSGVO DSFA-pflichtig. Praktisch alle deutschen Aufsichtsbehörden führen die umfangreiche Verarbeitung von Gesundheitsdaten auf ihrer „Muss-Liste“ für Datenschutz-Folgenabschätzungen. Eine DSFA umfasst: Beschreibung der Verarbeitung, Bewertung der Risiken (Vertraulichkeit, Integrität, Verfügbarkeit), technisch-organisatorische Maßnahmen zur Risikominderung und regelmäßige Überprüfung. Im Standard- und Pro-Tarif ist die DSFA für ePA, eRezept und eAU enthalten.

Die Behandlung selbst stützt sich auf Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) — dafür brauchen Sie keine separate Einwilligung. Eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO benötigen Sie für: Weitergabe von Befunden an externe Stellen (Reha, Gutachter, Versicherung), Newsletter und Marketing-Kommunikation, Nutzung von Daten für Forschung oder Studien sowie Veröffentlichung von Patientenbildern. Jede Einwilligung muss freiwillig, informiert, spezifisch und widerrufbar sein und wird schriftlich oder digital dokumentiert. Wir liefern Ihnen rechtssichere Mustertexte und ein Einwilligungs-Management.

Jeder externe Dienstleister, der in Ihrem Auftrag Patientendaten verarbeitet, benötigt einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Das betrifft fast immer: Ihr PVS (Medatixx, T2med, Dampsoft, CGM TURBOMED, evident, Charly, Z1), die KV-Abrechnung, externe Labore, Online-Terminbuchungs-Tools (Doctolib, jameda, samedi), IT-Dienstleister, Cloud-Backup-Anbieter und externe Aktenarchivierung. Wir stellen für jede gängige Praxis-Software AVV-Vorlagen bereit und prüfen die Verträge, die Ihre Dienstleister Ihnen anbieten — denn viele AVVs enthalten unwirksame Klauseln oder fehlende TOMs.

Patienten haben nach Art. 15 DSGVO das Recht auf Auskunft und Kopie ihrer gespeicherten Daten — ergänzt durch § 630g BGB, der das Einsichtsrecht in die Behandlungsdokumentation regelt. Das Auskunftsrecht (DSAR — Data Subject Access Request) muss innerhalb von einem Monat erfüllt werden, kostenlos bei der Erstanforderung. Pflicht ist die Herausgabe einer Kopie der Patientenakte (digital oder Papier), nicht des Originals. Frag.hugo liefert einen klaren DSAR-Workflow: Identitätsprüfung des Anfragenden, Sichtung der Akte auf Drittpersonen-Bezüge (Anonymisierung erforderlich), Erstellung der Kopie, Dokumentation der Auskunftserteilung. Im Wiederholungsfall innerhalb kurzer Zeit darf eine angemessene Gebühr erhoben werden.

Die Aufbewahrungsfrist beträgt grundsätzlich 10 Jahre nach Abschluss der Behandlung — geregelt in § 630f Abs. 3 BGB. Für bestimmte Dokumente gelten abweichende Fristen: Röntgenbilder 10 Jahre (§ 28 RöV), Abrechnungsunterlagen 10 Jahre (§ 257 HGB), Betäubungsmittelbuch 3 Jahre (§ 13 BtMVV), Arbeitsunfähigkeitsbescheinigungen 1 Jahr. Nach Ablauf der Frist müssen Patientendaten gelöscht oder DSGVO-konform vernichtet werden (zertifizierte Aktenvernichtung nach DIN 66399, mindestens Sicherheitsstufe P-4 für Gesundheitsdaten). Ohne dokumentiertes Löschkonzept verstoßen Sie gegen Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung). Wir liefern Ihnen ein Löschkonzept und einen Löschturnus.

Bei einer Datenpanne läuft die Uhr: Nach Art. 33 DSGVO müssen Sie binnen 72 Stunden ab Kenntnis die zuständige Aufsichtsbehörde Ihres Bundeslandes informieren — sonst droht zusätzliches Bußgeld. Typische Praxis-Pannen: Befund per E-Mail an falschen Patienten, verlorener USB-Stick mit Patientendaten, Hackerangriff auf den Server, Diebstahl eines Praxis-Laptops. Erster Schritt: frag.hugo anrufen oder per E-Mail informieren. Wir bewerten den Vorfall innerhalb weniger Stunden, helfen bei Erstellung der Meldung an die Behörde, dokumentieren alles rechtskonform und entscheiden, ob die betroffenen Patienten informiert werden müssen (Art. 34 DSGVO). Im Premium-Tarif erreichen Sie uns mit 4-Stunden-SLA, auch außerhalb der Geschäftszeiten.

Nach Art. 39 Abs. 1 lit. b DSGVO gehört die Schulung der Mitarbeitenden zur Aufgabe jedes Datenschutzbeauftragten. Praktisch heißt das für eine Praxis: Jede MFA, jeder ZFA, jeder Praxismanager und jeder Arzt sollte mindestens einmal jährlich zu folgenden Themen geschult werden — Schweigepflicht § 203 StGB, korrekter Umgang mit Patientendaten am Telefon und am Empfang, sichere E-Mail-Kommunikation, Passwort- und Bildschirmsperren, Verhalten bei Datenpannen, Auskunftsrechte (DSAR), Phishing-Erkennung. Bei frag.hugo läuft die Schulung über Hugo Learn — Microlearning-Module à 10 Minuten, Phishing-Simulation und ein Zertifikats-Nachweis für Ihre Personalakte. Im Pro- und Premium-Tarif inklusive.

Nein — und das ist eindeutig. WhatsApp greift auf das Adressbuch des Smartphones zu und überträgt Telefonnummern an Meta in die USA. Bei einer Praxis-Nutzung bedeutet das: Sie übermitteln nicht nur Patientendaten an einen US-Konzern (Drittland-Transfer ohne ausreichende Rechtsgrundlage), Sie verletzen zugleich die Schweigepflicht nach § 203 StGB, weil bereits die Tatsache, dass jemand bei Ihnen Patient ist, ein Patientengeheimnis darstellt. Die Aufsichtsbehörden — z. B. das BayLDA und der HmbBfDI — haben dies in mehreren Stellungnahmen klar formuliert. Datenschutzkonforme Alternativen sind: KIM (gematik-Standard für Praxis-Kommunikation), Threema Work, Signal Business, sowie spezialisierte Patienten-Messenger wie siilo oder famedly. Wir richten Ihnen die passende Lösung ein.

MVZ haben eine komplexere DSGVO-Lage als Einzelpraxen, weil die Trägerstruktur (oft GmbH oder Konzernverbund) zusätzliche Pflichten auslöst. Typisch: Mehrere Standorte, gemeinsam genutzte PVS-Instanz, zentrale IT-Administration, gemeinsame Aktenarchivierung. Datenschutzrechtlich entscheidend ist, ob Standorte als ein Verantwortlicher (gemeinsam) oder als getrennte Verantwortliche fungieren — das beeinflusst Art. 26 DSGVO (gemeinsame Verantwortlichkeit) versus Art. 28 DSGVO (Auftragsverarbeitung) zwischen den Einheiten. Frag.hugo erstellt für MVZ ein konsolidiertes Datenschutzkonzept mit zentralem VVT, einheitlichen TOMs, einer DSFA pro digitalem Verfahren (ePA, KIM, PVS) und einem standortübergreifenden Datenpannen-Workflow. Der Pro- und Premium-Tarif sind hierfür konzipiert.

Ja, aber unter klaren Bedingungen. Eigene Studien und Auswertungen (Fallzahlen, Wirksamkeit von Therapien, Anonymisierte Statistiken) sind möglich, wenn die Daten korrekt verarbeitet werden. Wichtig ist die Unterscheidung: Anonymisierte Daten (kein Rückschluss auf Personen mehr möglich) fallen aus der DSGVO heraus — Sie können sie ohne Einwilligung nutzen. Pseudonymisierte Daten (Klarnamen ersetzt, aber technisch reversibel) bleiben personenbezogen und benötigen entweder eine Rechtsgrundlage (z. B. ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO oder ein Forschungsprivileg aus Art. 9 Abs. 2 lit. j DSGVO i. V. m. nationalem Landesrecht). Bei klinischen Studien gilt zusätzlich das Arzneimittelgesetz (AMG) und die Medizinprodukte-Verordnung (MDR). Frag.hugo prüft Ihre Forschungsvorhaben, formuliert die Einwilligungserklärungen und sorgt für eine saubere Pseudonymisierungs-Architektur.

Sie haben drei Wege: Buchen Sie direkt einen 15-minütigen Termin über meet.brevo.com/fraghugo/intro — wählen Sie einen Wunschtermin im Kalender von Nils Oehmichen, kostenlos und unverbindlich. Oder senden Sie eine E-Mail an info@fraghugo.de mit Praxistyp, Mitarbeiterzahl und Ihrem Anliegen — wir melden uns binnen eines Werktags. Oder rufen Sie an unter +49 40 22 86 32 33 (Mo–Fr 9–17 Uhr). Im Erstgespräch klären wir DSB-Pflicht für Ihre Praxisgröße, passenden Tarif, nächste Schritte und Onboarding-Timeline. Keine versteckten Kosten, keine Verkaufsdruck-Taktik.

Art. 9

besondere Datenkategorie

0 €

Bußgelder bei unseren Mandanten

72h

Meldefrist bei Datenpannen

Aufsichtsbehörden in DE prüfen Praxen zunehmend aktiv. Gesundheitsdaten stehen auf der DSFA-Blacklist nahezu jeder Landesbehörde. Wer ohne dokumentierten Datenschutz erwischt wird, riskiert Bußgeld, strafrechtliche Schweigepflicht-Folgen und Vertrauensverlust beim Patienten.

Jetzt absichern — Angebot anfordern

Oder 15-Min-Termin buchen

Vor Ort in Hamburg

Informations­sicherheit & Datenschutz in Hamburg

Logistik, Hafen, Medien, E-Commerce, Finanzdienstleister — jede Hamburger Branche hat ihre eigene Datenschutz-Baustelle. Wir kennen sie aus über 200 Mandaten.

Wir sitzen selbst in Hamburg und arbeiten regelmäßig mit der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) zusammen. Wir wissen, was die Behörde bei Prüfungen sehen will und was nicht.

Unser Büro in der Spaldingstraße 64-68, 20097 Hamburg ist gut mit dem ÖPNV erreichbar — Sie können vorbeikommen, statt nur zu telefonieren.

Kontakt

frag.hugo Informationssicherheit GmbH
Spaldingstr. 64-68
20097 Hamburg
040 57308220-0
info@fraghugo.de
Angebot anfordern

Oder lieber 15-Min-Termin buchen

Einzugsgebiet

Persönlich vor Ort in Arztpraxen

Wir betreuen Arztpraxen von Hamburg aus persönlich. Erstgespräche, Audits und Schulungen finden bei Ihnen vor Ort statt — Sie wissen, mit wem Sie sprechen.

  • Vor-Ort-Termine in Arztpraxen und Umgebung
  • Kurze Reaktionszeiten durch regionale Präsenz
  • Kenntnis der zuständigen Landes­datenschutzbehörde

Karte: Arztpraxen

Wir laden Google Maps erst nach Ihrer aktiven Zustimmung.

Karte von Arztpraxen

Beim Laden der Karte werden Daten an Google übertragen (u. a. Ihre IP-Adresse). Details in unserer Datenschutzerklärung.

Alternativ: In Google Maps öffnen ↗
Kostenlose Checkliste

DSGVO-Checkliste 2026 — 59 Prüfpunkte für Ihr KMU

Prüfen Sie in 30 Minuten, ob Ihr Unternehmen die DSGVO-Grundlagen erfüllt. Mit Praxis-Tipps vom TÜV-zertifizierten Datenschutzberater.

Checkliste herunterladen
Weitere Leistungen

Passend dazu

Datenschutzberatung Arztpraxis Hamburg
Lokal

Datenschutz Arztpraxis Hamburg

Lokale Variante für Praxen in Hamburg und Metropolregion.

Mehr erfahren
Externer Datenschutzbeauftragter
Hauptseite

Externer DSB bundesweit

Branchenübergreifend: Externer Datenschutzbeauftragter für alle KMU.

Mehr erfahren
Datenschutzschulung für Praxen
Schulung

Datenschutzschulung

Hugo Learn — Microlearning für MFAs, Ärzte und Praxisteam.

Mehr erfahren
Nils Oehmichen und Jens Hagel — Ihre Ansprechpartner bei frag.hugo

Nils Oehmichen & Jens Hagel — Ihre Ansprechpartner

Jetzt Erstgespräch für Ihre Praxis vereinbaren

Oder: Lassen Sie Ihre Praxis-Website kostenlos prüfen — in 60 Sekunden wissen Sie, wo Sie stehen.

Unverbindlich, persönlich, ohne versteckte Kosten.

100 % Datenverarbeitung in Deutschland · Hetzner · ISO 27001

Angebot anfordern Website kostenlos prüfen

Lieber erstmal schreiben? Kontaktformular