Mitarbeiter-Schulungen

Hugo Learn KI-gestützte Datenschutz- und Cyber-Awareness-Schulungen für Ihre Mitarbeiter

Phishing-Simulation · auditfester Nachweis · DSGVO & NIS2 · ab 14,90 €/Mitarbeiter/Jahr

Hugo Learn ist die Schulungsplattform für KMU, die Datenschutz-Grundverordnung Die EU-weite Verordnung, die seit Mai 2018 den Datenschutz regelt. Sie gilt unmittelbar in allen Mitgliedstaaten und steht über den nationalen Datenschutzgesetzen. , NIS2-Richtlinie EU-Richtlinie zur IT-Sicherheit, seit Dezember 2025 in Kraft. Trifft etwa 29.000 deutsche Unternehmen direkt — und Geschäftsführer haften persönlich. und den KI-Verordnung der EU Die EU-Verordnung zur Regulierung Künstlicher Intelligenz. Stuft KI-Systeme nach Risikoklassen ein und verpflichtet Anbieter und Betreiber zu Transparenz, Dokumentation und Schulung. ernst nehmen – ohne IT-Abteilung zu brauchen. Browser-basiert, in Deutschland gehostet, auf Deutsch geschrieben. Mit echtem Menschen am anderen Ende der Leitung.

Erstgespräch buchen (15 Min) Tarife ansehen
TÜV-zertifizierter DSB BVMID Hamburg Server in Deutschland 200+ Mandate
Hörsaal mit Online-Lernumgebung auf der Leinwand – Sinnbild für strukturierte Mitarbeiter-Schulung
Warum jetzt

Ungeschulte Mitarbeiter sind das teuerste Sicherheitsrisiko Ihres Unternehmens

Nicht der Server in der Ecke, nicht die fehlende Firewall, nicht der vergessene Patch – sondern der Kollege, der den Anhang einer „Rechnungs-Mail" öffnet. Drei Zahlen, die Sie kennen sollten:

68 %

aller Datenpannen weltweit involvieren laut Verizon DBIR 2024 den Menschen – fast immer durch Phishing, Pretexting oder schlichten Fehler. Technik allein reicht nicht.

60 %

der initialen Eindringversuche in EU-Unternehmen erfolgten 2024 über Phishing, berichtet ENISA. Über 80 % dieser E-Mails nutzen mittlerweile KI – das macht sie für ungeschulte Mitarbeiter kaum noch erkennbar.

20 Mio. €

oder 4 % des weltweiten Konzernumsatzes – das ist der Bußgeld-Rahmen nach Art. 83 DSGVO. Im Verfahren berücksichtigt die Behörde, ob Sie Ihre Mitarbeiter regelmäßig geschult haben. Ein fehlender Schulungsnachweis kann als organisatorisches Versäumnis bußgelderhöhend wirken.

Pflicht ohne Wenn und Aber

§ 26 Bundesdatenschutzgesetz Das deutsche Datenschutzgesetz, das die DSGVO ergänzt. § 38 BDSG regelt insbesondere, ab wann ein Datenschutzbeauftragter Pflicht ist — die berühmte 20-Personen-Schwelle. sowie Art. 32 und 39 DSGVO verpflichten Sie zu regelmäßigen Schulungen; für NIS2-pflichtige Unternehmen (18 Sektoren ab den jeweiligen Größenschwellen) kommen die Pflichten nach BSIG hinzu. „Regelmäßig" heißt in der Auslegung der deutschen Aufsichtsbehörden: mindestens einmal pro Jahr, besser quartalsweise.

Niemand hat Zeit für PowerPoint-Schulungen

Vor-Ort-Schulungen kosten 2.500–5.000 € pro Termin, sperren halbe Belegschaften für einen Tag und sind nach zwei Wochen vergessen. Mitarbeiter brauchen 15-Minuten-Häppchen, die zwischen zwei Calls passen.

Ein Vorfall – und niemand weiß was zu tun ist

Bei einer Datenpanne haben Sie 72 Stunden Meldefrist. Wenn der erste Mitarbeiter im Eskalationspfad nicht weiß, was eine Datenpanne ist und wen er anrufen muss, ist die Frist verstrichen, bevor das Problem bei Ihnen ankommt.

Die drei Zahlen aus dem oberen Kasten – 68 % menschliches Versagen, 60 % Initialzugang über Phishing, 20 Millionen Bußgeld – stehen nicht beziehungslos nebeneinander. Sie beschreiben die gleiche Mechanik aus drei Perspektiven: Angreifer wissen, dass der Mensch die schwächste Stelle ist; sie greifen ihn gezielt an; und der deutsche Gesetzgeber hat die Strafrahmen dafür gemacht, dass Unternehmen den Menschen schützen müssen. Wer Schulung als „nice to have" abtut, hat eine der drei Perspektiven nicht verstanden.

Was uns immer wieder bei Mandanten begegnet: Geschäftsführer wissen, dass sie schulen müssten, schieben es aber auf, weil sie die Aufgabe als groß und mühsam empfinden. Vor-Ort-Schulungen passen nicht in den Terminplan, die Auswahl eines Anbieters überfordert ohne IT-Hintergrund, und die Sorge, dass „etwas Falsches" geschult wird, lähmt zusätzlich. Hugo Learn ist unsere Antwort auf genau diese drei Hürden: keine Terminkollision (jeder schult, wann er Zeit hat), eine kuratierte Module-Auswahl statt unendlicher Katalog, und Inhalte, die ein TÜV-zertifizierter Datenschutzberater geschrieben und freigegeben hat – nicht ein Werbetexter.

Die Plattform

Was Hugo Learn ist – und was nicht

Eine Browser-basierte Lernumgebung, integriert in die Hugo DSB Plattform. Keine App, kein Zwang, keine Frickelei – und kein 90-Minuten-Schulungsvideo, das niemand zu Ende guckt.

So funktioniert es

  • 1

    Mandanten-Setup: Wir legen Ihre Organisation an, importieren Mitarbeiter über CSV oder M365-Auto-Sync (Enterprise) und richten Standard-Pfade pro Abteilung ein.

  • 2

    Einladung per E-Mail: Jeder Mitarbeiter bekommt eine Einladung mit personalisiertem Link. Single-Sign-On über Microsoft 365 oder Google Workspace, optional eigene SAML-Anbindung.

  • 3

    Modul absolvieren: 15–25 Minuten Inhalt, dazu ein Quiz mit 5–10 Fragen. Bei ≥ 80 % Score gibt es ein Zertifikat, sonst Wiederholung der falsch beantworteten Bausteine.

  • 4

    Reporting fließt automatisch: In der DSB-Plattform sehen Sie als Geschäftsführer Teilnahme-Quoten, Score-Durchschnitt und Risiko-Heatmap pro Abteilung.

  • 5

    Auffrischung nach 12 Monaten: Zertifikate haben ein Ablaufdatum. Die Plattform schickt rechtzeitig vorher die nächste Welle an Einladungen – Sie müssen nichts anstoßen.

Was wir bewusst nicht tun

  • Keine App-Pflicht. Privat-Smartphones bleiben privat. Alles läuft im Browser.

  • Keine 90-Minuten-Videos. Wer 90 Minuten am Stück schult, hat die Lerneffizienz verfehlt – ab Minute 25 hört niemand mehr zu.

  • Keine US-Cloud. Hetzner Falkenstein/Nürnberg. ISO 27001. Kein Drittland-Transfer, keine Schrems-II-Diskussion.

  • Kein Übersetzungs-Englisch. Jedes Modul ist auf Deutsch geschrieben, von einem deutschen Datenschutzberater geprüft. Beispiele aus der DACH-Praxis – nicht aus Kalifornien.

  • Kein Helpdesk-Roulette. Bei Fragen telefonieren Sie direkt mit Nils oder Jens, nicht mit einem Ticket-System.

Inhalte

Vom Grundkurs bis zur Geschäftsführer-Schulung

Jedes Modul ist ein in sich abgeschlossenes Lernpaket mit interaktiven Elementen, Praxisszenarien und Abschlussquiz – viele zusätzlich mit Erklärvideo. Sie wählen pro Mitarbeitergruppe, welche Module Pflicht sind und welche optional.

01

DSGVO-Grundlagen für alle Mitarbeiter

15 Min · Basis · Pflicht

Was ist ein personenbezogenes Datum? Wann darf ich es verarbeiten? Was bedeutet Zweckbindung? Die wichtigsten DSGVO-Grundlagen an Alltagsbeispielen aus dem Büro – ohne Juristen-Deutsch, mit interaktiver Zuordnungs-Aufgabe.

02

E-Mail & sichere Kommunikation

15 Min · Basis · Pflicht

Richtige Adressierung, BCC statt offenem Verteiler, der sichere Umgang mit Anhängen und Links und Vertraulichkeit in der täglichen Kommunikation – mit interaktivem Phishing-Erkenner.

03

Passwörter & Zugänge

15 Min · Basis · Pflicht

Warum „Sommer2024!" kein gutes Passwort ist, wie Passwort-Manager funktionieren und warum die App-basierte Zwei-Faktor-Authentifizierung der SMS überlegen ist – mit praktischen Beispielen.

04

Home-Office & mobiles Arbeiten

15 Min · Basis · Pflicht

Wie sieht ein sicherer Arbeitsplatz zu Hause und unterwegs aus? Familien-WLAN, privates Notebook, Sichtschutz im Zug und der Umgang mit dem Diensthandy – die Regeln fürs Arbeiten außerhalb des Büros.

05

Social Engineering erkennen

20 Min · Basis · Pflicht

Wie Angreifer mit Psychologie statt Technik zum Ziel kommen: Autorität, Dringlichkeit, Hilfsbereitschaft. Echte Maschen aus dem deutschen Mittelstand – und wie Sie sie durchschauen.

06

Datenpannen erkennen & sofort reagieren

15 Min · Vertieft · Empfohlen

Was eine Datenpanne ist, warum die 72-Stunden-Frist ab Kenntnis des Unternehmens läuft und was Sie im Ernstfall sofort tun müssen: intern melden, nichts vertuschen, dokumentieren – mit Entscheidungs-Szenario.

07

Clean Desk & physische Sicherheit

15 Min · Vertieft · Empfohlen

Aufgeräumter Schreibtisch, gesperrter Bildschirm, der Umgang mit Besuchern (Tailgating), Akten und gefundenen USB-Sticks. Physische Sicherheit nach BSI IT-Grundschutz und ISO 27001 – mit Praxis-Check.

08

Sicheres Surfen, Updates & Schatten-IT

15 Min · Vertieft · Empfohlen

Warum Updates die wichtigste Schutzmaßnahme sind, der Schloss-Irrtum bei „https", Drive-by-Downloads und die Gefahr eigenmächtiger Tools (Schatten-IT) – mit Entscheidungs-Szenarien.

09

Ransomware: Wenn Daten als Geisel genommen werden

15 Min · Vertieft · Empfohlen

Wie Erpressungssoftware ins Unternehmen kommt, wie ein Angriff abläuft und wie Sie im Ernstfall richtig reagieren: Netz trennen, IT melden, kein Lösegeld – nach den Empfehlungen des BSI.

10

Deepfakes & KI-Betrug erkennen

15 Min · Vertieft · Empfohlen

Gefälschte Stimmen und Videos, CEO-Fraud per KI-Stimmklon, manipulierte Anrufe. Wie KI moderne Betrugsmaschen befeuert – und an welchen Signalen Sie sie erkennen.

11

Sicheres Arbeiten mit KI-Tools

15 Min · Vertieft · Empfohlen

Was Sie ChatGPT, Copilot & Co. anvertrauen dürfen – und was nicht. Prompt-Hygiene, Datenabfluss und die KI-Kompetenz-Pflicht aus Art. 4 KI-Verordnung der EU Die EU-Verordnung zur Regulierung Künstlicher Intelligenz. Stuft KI-Systeme nach Risikoklassen ein und verpflichtet Anbieter und Betreiber zu Transparenz, Dokumentation und Schulung. – mit klaren Do's und Don'ts.

12

Datenschutz im Marketing

15 Min · Vertieft · Empfohlen für Marketing/Vertrieb

Einwilligung für Newsletter, Cookies und Tracking, Fotos von Mitarbeitern und Kunden, Werbung per E-Mail. Die Datenschutz-Regeln, die im Marketing am häufigsten gebrochen werden.

13

NIS2 für Geschäftsführer

Spezial · für Geschäftsführung & IT-Leitung

Die Geschäftsführer-Schulung zur NIS2-Richtlinie: Betroffenheit, Pflichten und die persönliche Verantwortung der Leitung nach § 38 BSIG – kompakt für Geschäftsführung und IT-Leitung.

Drei Dinge fallen auf, wenn man die Modulliste mit anderen Awareness-Anbietern vergleicht. Erstens: Wir trennen Basis-Inhalte für alle Mitarbeiter klar von Vertiefungs-Modulen für Spezialgruppen. Buchhaltung und Geschäftsführung brauchen CEO-Fraud- und Deepfake-Training, das Marketing braucht Marketing-Datenschutz, die Geschäftsführung braucht NIS2 – und niemand soll mit Inhalten zugeschüttet werden, die für ihn irrelevant sind. Zweitens: Wir schreiben jedes Modul aus deutscher Perspektive und belegen die Inhalte mit Primärquellen (BSI, DSGVO, EU AI Act). Wenn wir Phishing-Beispiele zeigen, sind das echte Mails aus deutschen Postfächern – nicht „Dear Sir/Madam, please find attached our invoice for $4,200". Drittens: Wir aktualisieren die Inhalte laufend, weil sich Phishing-Muster, KI-Tools und Rechtsprechung in hoher Geschwindigkeit ändern.

Im Standard-Tarif kommt monatlich eine neue, KI-generierte Lektion dazu – aktuelle Vorfälle aus deutschen Aufsichtsbehörden, neue Phishing-Wellen, frische Rechtsprechung. Damit bleibt das Wissen aktuell, ohne dass Sie etwas tun müssen. Sie bekommen am Monatsersten eine kompakte Lektion „Was war zuletzt datenschutzrechtlich los?" – und können sie als Pflicht oder optional einstufen.

Phishing-Simulation

Lieber selbst angeln als angegriffen werden

Wir verschicken realistische Phishing-Mails an Ihre Mitarbeiter – legal, kontrolliert, mit sofortigem Lerneffekt. Wer klickt, lernt in dem Moment, woran er den Angriff hätte erkennen können. Niemand wird vor der Belegschaft bloßgestellt.

Stufe 1 · Standard

Massen-Phishing

Typische „Rechnungs-Mail", gefälschte Paket-Benachrichtigung, falsche Microsoft-365-Login-Warnung. Solche Massen-Mails erkennen geschulte Teams nach kurzer Zeit in aller Regel zuverlässig.

Beispiel-Betreff: „Ihre DHL-Sendung kann nicht zugestellt werden"
Empfohlen
Stufe 2 · Anspruchsvoll

Gezielte Branchen-Mails

Personalisiert auf Ihre Branche, mit echtem Firmen-Logo-Wording im Absender. Beispiel für eine Anwaltskanzlei: „Beschwerde zur Mandatsführung – Aktenzeichen 14/2026". Hier trennt sich Aufmerksamkeit von Routine – ein Teil klickt erfahrungsgemäß trotz Schulung.

Beispiel-Betreff: „Ihre Office-365-Lizenz läuft am 31.05. ab"
Stufe 3 · Spear-Phishing

CEO-Fraud-Szenario

Persönliche Ansprache von Buchhaltung und GF-Sekretariat, mit recherchierten Geschäftsdetails (Lieferanten-Namen, anstehende Projekte aus öffentlichen Quellen). Gegen diese Stufe sind auch geschulte Teams verwundbar – hier zeigt sich, wo zusätzlich feste Prozess-Regeln greifen müssen.

Beispiel-Betreff: „Vertraulich – Überweisung zum Notar-Termin"

Eine Phishing-Simulation ist kein Selbstzweck und schon gar keine Mitarbeiter-Falle. Sie ist Messinstrument und Lerngelegenheit in einem. Ohne Simulation bauen Sie Schulung auf Hoffnung – mit Simulation auf Daten. Wer den Wert nicht sieht, sollte einmal beobachten, wie sich Klickraten innerhalb eines Jahres entwickeln: Mit regelmäßigen, zwischen­geschalteten Trainings gehen die Klickraten typischerweise deutlich zurück.

Rechtlich ist die Simulation in Deutschland zulässig – wenn sie ordentlich angekündigt und mitbestimmungsrechtlich behandelt wird. § 87 Abs. 1 Nr. 6 BetrVG verlangt eine Betriebsvereinbarung, wenn Sie personenbezogene Klick-Daten auswerten. Wir liefern eine Vorlage mit, die sich in der Praxis bewährt hat: Klickraten werden auf Abteilungsebene aggregiert, nur „Wiederholungs-Klicker" werden persönlich angesprochen und nur durch den eigenen Vorgesetzten, niemals zentral.

So läuft die Simulation

1. Klick-Tracking

Jeder Klick wird erfasst – wir wissen, wer geklickt hat, wann und auf welchem Gerät. Mitarbeiter werden nicht öffentlich gezeigt, das Ergebnis fließt anonymisiert in die Heatmap.

2. Sofort-Schulung

Wer auf den Phishing-Link klickt, landet nicht in der Hölle, sondern auf einer Lern-Landingpage: „Das war eine Übung. Hier sind die 5 Warnsignale, die Sie übersehen haben." 8-Minuten-Mini-Modul direkt im Anschluss.

3. Re-Test nach 4 Wochen

Wer geklickt hat, bekommt nach 4 Wochen automatisch eine Variante – um zu sehen, ob das Training gewirkt hat. Die Quote „Re-Klick" liegt nach Schulung typisch unter 5 %.

4. Quartals-Reporting

Pro Quartal ein Bericht für die Geschäftsleitung: Klickrate gesamt, Verbesserung über Zeit, Risiko-Heatmap pro Abteilung. Liest sich wie ein Geschäfts-KPI, nicht wie ein IT-Bericht.

Wie Sie wissen, ob es wirkt

Quiz, Zertifikat, Audit-Nachweis

Jedes Modul endet mit einem Quiz. Wer es besteht, bekommt ein personalisiertes Zertifikat. Wer durchfällt, wiederholt die Bausteine, die er falsch beantwortet hat – nicht das ganze Modul.

Beispiel-Quiz · Modul 03 · Frage 4 von 8

Welche der folgenden E-Mail-Eigenschaften ist kein verlässliches Phishing-Warnzeichen?

A Absender-Adresse mit Tippfehler („microsft.com" statt „microsoft.com")
B Die Mail ist auf Deutsch und nicht auf Englisch Richtig – KI-gestütztes Phishing produziert mittlerweile fehlerfreies Deutsch. Sprache allein ist kein Warnzeichen mehr.
C Dringlichkeit („Bitte sofort antworten – Frist heute Abend")
D Aufforderung, einen Login-Link zu klicken
Quiz-Modus: Wer eine Frage falsch beantwortet, sieht die richtige Antwort plus eine Mikro-Erklärung. Am Ende werden falsch beantwortete Themen automatisch in einen 5-Minuten-Wiederholungs-Block gepackt.

Beispiel-Zertifikat (PDF, 1 Seite)

Was auf dem Zertifikat steht

Schulungs-Zertifikat

nach Art. 39 Abs. 1 lit. b DSGVO

frag.hugo

Max Mustermann

Mustermann GmbH · Buchhaltung

ModulPhishing-Erkennung (M03)
Dauer22 Minuten
Score87 % (7/8)
Bestanden am14. Mai 2026
Gültig bis14. Mai 2027
Ausstellerfrag.hugo InfoSec GmbH
HL-2026-M03-9F3A-2B7C-E81D verify.fraghugo.de

Jedes Zertifikat hat eine eindeutige GUID und einen Verifikations-Link. Auditoren (ISO 27001, TISAX, KRITIS) prüfen die Echtheit online. Zertifikate sind 12 Monate gültig, danach erneuert die Plattform automatisch.

Warum das wichtig ist: Aufsichtsbehörden und Auditoren akzeptieren nur Schulungsnachweise, die personenbezogen, datiert und mit Inhaltsangabe versehen sind. Pauschale Aussagen wie „Alle Mitarbeiter wurden geschult" reichen nicht. Hugo Learn produziert das Format, das ein Auditor erwartet – mit einem Klick als Sammel-Export im ZIP für die ganze Belegschaft.

Die Quiz-Logik ist absichtlich nicht prüfungs-, sondern lernzentriert: Wer eine Frage falsch beantwortet, sieht sofort die richtige Antwort plus eine 2-Satz-Erklärung – nicht erst am Ende. Wer mit weniger als 80 % besteht, bekommt eine Liste der falsch beantworteten Themen und kann sie als 5-Minuten-Refresh nacharbeiten, bevor er den Quiz wiederholt. Das spart Zeit (kein doppeltes Lernen von Themen, die sitzen) und erhöht die Behaltequote messbar – wir sehen in unseren Mandaten nach sechs Monaten typisch 30 % bessere Quiz-Ergebnisse im Wiederholungsbreaking als zum Zeitpunkt der Erst-Schulung.

Branchen-Tiefe

Zusatzpakete für regulierte Branchen

Ab Hugo DSB Professional. Jedes Branchenpaket bringt 3–5 Tiefenmodule mit echten Fällen aus der jeweiligen Praxis – inklusive Vorlagen für branchenspezifische Richtlinien.

Logistik & Spedition

  • Telematik-Daten und Fahrer-Tracking – Beschäftigtendatenschutz
  • Subunternehmer-Audits nach NIS2 Art. 21 Abs. 2 lit. d
  • Verkehrslagedaten und KRITIS-Verkehr Schwellwert 1.500 Tsd. Tonnen
  • GPS-Tracking von Privat-Pkw bei Außendienst

Pharma, Health & MedTech

  • Patientendaten nach Art. 9 DSGVO – besondere Kategorien
  • GxP-Compliance und Datenintegrität in QM-Systemen
  • Telematikinfrastruktur, KIM, ePA-Anbindung
  • Pseudonymisierung in klinischen Studien

Anwaltskanzlei & Notariat

  • Mandantengeheimnis (§ 43a BRAO) vs. DSGVO-Auskunft
  • beA und sichere Mandantenkommunikation
  • RAVPV-Konformität bei IT-Dienstleistern
  • Verschwiegenheitspflichten externer Mitarbeiter

Versicherung & Finanzberatung

  • Bestandsdaten, Schadensdaten, Bonitätsdaten – die drei Säulen
  • VVG und DSGVO – Pflichten beim Vertragsabschluss
  • Wirecard-Lehren: Subunternehmer-IT-Sicherheit
  • DORA-Schwellen für kleine Vermittler

Bau & Handwerk

  • Mitarbeiter-Daten auf wechselnden Baustellen (Stundenzettel-Apps)
  • GPS-Tracking von Firmen-Pkw und Baumaschinen
  • Kundenfotos und Bauprojekt-Dokumentation
  • Auftragsverarbeitung mit Subunternehmern

Steuerberatung & WP

  • Mandantendaten in DATEV-, Addison-, Sage-Umgebungen
  • Berufsgeheimnis (§ 57 StBerG) und IT-Dienstleister
  • Lohnbuchhaltung – besondere Kategorien aus Art. 9
  • Belegausgabepflicht und Kassensysteme
Wie schnell läuft das?

Von der Bestellung bis zum ersten Zertifikat – 30 Tage

Wir haben den Prozess in 30 Tagen sauber durchgetaktet. Sie machen Onboarding-Kickoff, wir machen den Rest.

Tag 1

Kickoff & Mandanten-Setup

45-Minuten-Videocall mit Nils. Wir legen Ihre Organisation an, klären Abteilungsstruktur, definieren Pflichtmodule pro Gruppe und richten Single-Sign-On ein.

Tag 2–3

Mitarbeiter-Einladungen

CSV-Import oder M365-Sync. Einladungs-Mail geht raus mit Erklärtext und SSO-Login. Erinnerungen automatisch nach 7 und 14 Tagen.

Tag 7

Erste Phishing-Simulation (Stufe 1)

Baseline-Messung – ohne Schulung. Wir wissen jetzt, wo Sie stehen. Klicker bekommen die Sofort-Schulung, Nicht-Klicker eine kurze Lob-Mail („Gut erkannt, weiter so").

Tag 14

Erste Pflichtmodule abgeschlossen

Bei den meisten Mandanten haben 70–80 % nach zwei Wochen die ersten zwei Basis-Module durch. Säumige bekommen einen freundlichen Reminder mit „Ihr Vorgesetzter sieht Ihre Quote".

Tag 30

Erstes Quartals-Reporting

PDF-Bericht für die Geschäftsleitung: Teilnahmequote, Quiz-Score-Durchschnitt, Phishing-Klickrate Stufe 1 vs. Re-Test. Plus Empfehlung für die nächsten 90 Tage.

Was Sie in den ersten 30 Tagen leisten müssen: Ein 45-Minuten-Kickoff, eine CSV-Liste Ihrer Mitarbeiter (oder Microsoft-365-Zugang), eine Entscheidung über Pflichtmodule pro Abteilung. Das war's. Den Rest macht die Plattform. Wir haben in den letzten 18 Monaten mehr als 60 Mandanten onboarded und den Prozess auf das Wesentliche reduziert – jede Frage, die in mehr als drei Kickoffs gestellt wurde, ist jetzt vorbeantwortet im Setup-Wizard.

Was Sie ab Tag 30 leisten müssen: Einmal pro Quartal 30 Minuten Zeit für das Reporting. Wir senden Ihnen den PDF-Bericht vorab, gehen ihn auf Wunsch in einem Videocall mit Ihnen durch und entscheiden gemeinsam, was die nächsten 90 Tage Priorität bekommt. Mehr Aufwand ist nicht.

Preise

Ab 14,90 € pro Mitarbeiter und Jahr

Eigenständig buchbar — inklusive Phishing-Simulation und auditfestem Nachweis, ab dem ersten Mitarbeiter und ohne Vertriebsgespräch. Schon Hugo-DSB-Kunde? Dann sind die Schulungen ab dem Standard-Tarif bereits enthalten.

Free

0 €

bis 5 Mitarbeiter · dauerhaft kostenlos

  • 3 Basis-Module (DSGVO, Passwörter, Phishing-Grundlagen)
  • Abschlusstest & personalisiertes Zertifikat
  • Fortschritts-Tracking pro Mitarbeiter
Kostenlos starten →
Empfohlen

Standard

14,90 €

pro Mitarbeiter/Jahr · netto · Mengenrabatt ab 25 MA

  • Kompletter Modul-Katalog (IT-Sicherheit + Datenschutz)
  • Monatlich neue KI-Lektion zur aktuellen Bedrohungslage
  • Phishing-Simulation inkl. Klick-Tracking
  • Just-in-time-Training nach einem Klick
  • Auditfester Nachweis (PDF/CSV) + Compliance-Ampel
  • Automatische jährliche Rezertifizierung
  • Gamification: Punkte, Abzeichen, Leaderboard
Standard buchen →

Jährliche Abrechnung, netto zzgl. 19 % USt. Mengenrabatt automatisch ab 25 / 50 / 100 / 500 Mitarbeitern. Der Nachweis unterstützt Ihre Dokumentationspflicht (DSGVO Art. 32, NIS2); die Verantwortung verbleibt beim Unternehmen.

Ihr persönlicher Berater

Wer am Telefon sitzt, wenn Sie anrufen.

Nils Oehmichen – Datenschutzberater & Geschäftsführer
Hamburg · persönlich · seit 2024

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Bei frag.hugo telefonieren Sie direkt mit Nils — kein Account-Manager, keine Hotline. Er ist seit über 13 Jahren TÜV-zertifizierter Datenschutzberater für Mittel­ständler und kennt DSGVO-Schulungen und Cyber-Awareness im Mittelstand aus über 200 Mandaten.

TÜV-zertifiziertBVMID Hamburg13+ Jahre externe DSB200+ Mandate
Vollständiges Profil Angebot anfordern 15-Min-Termin LinkedIn
Häufige Fragen

Was Geschäftsführer vor dem Kauf wissen wollen

Ja. Art. 39 Abs. 1 lit. b DSGVO verpflichtet jeden Verantwortlichen, seine Beschäftigten zu sensibilisieren und zu schulen. § 26 BDSG konkretisiert das für den deutschen Beschäftigtenkontext. Ohne Schulungsnachweis greift im Bußgeldfall der Verschärfungsfaktor „mangelnde organisatorische Maßnahme" – bis zu 20 Mio. € oder 4 % des weltweiten Konzernumsatzes. Mit dem deutschen NIS2-Umsetzungsgesetz (NIS2UmsuCG, in Kraft seit 6. Dezember 2025) trifft betroffene Unternehmen – abhängig von Sektor und Schwellenwerten – zusätzlich eine Schulungspflicht der Geschäftsleitung (§ 38 BSIG).

Sie als Geschäftsführer bleiben verantwortlich – Sie müssen nachweisen, dass Sie die Schulung angeboten und die Teilnahme nachgehalten haben. Hugo Learn schickt automatische Erinnerungen nach 7 und 14 Tagen, das Reporting zeigt offene Quoten. Bei wiederholter Verweigerung haben Sie eine arbeitsrechtliche Grundlage (Weisungsrecht aus § 106 GewO), die Teilnahme als Arbeitspflicht durchzusetzen. Wir liefern auf Anfrage eine vorformulierte Betriebsvereinbarung, die genau diesen Fall regelt.

Die meisten Module dauern rund 15–20 Minuten, inklusive Quiz; das Geschäftsführer-Modul zu NIS2 ist etwas umfangreicher. Wir empfehlen, pro Quartal ein bis zwei Module zu absolvieren – genug Wiederholung, ohne dass es zur Last wird. Die Lektionen lassen sich pausieren und am nächsten Tag fortsetzen.

Die Module sind bewusst branchenneutral gehalten, damit sie für jedes Unternehmen passen – die Beispiele kommen aus dem typischen Büroalltag. Für Hugo-DSB-Mandate ergänzen wir auf Wunsch branchenspezifische Fallbeispiele (etwa Mandantengeheimnis vs. DSGVO für Kanzleien oder Telematik-Daten für Speditionen).

Im Enterprise-Tarif ja: Sie können eigene Slides oder Videos hochladen, eigene Quiz-Fragen formulieren und ein internes Modul „Unsere Richtlinie zur Nutzung von ChatGPT" oder „Umgang mit Mandantendaten in unserer Kanzlei" einbinden. Wir prüfen den Inhalt einmalig kostenlos auf rechtliche Korrektheit und integrieren ihn in die Lernumgebung.

Auf eigenen Servern bei Hetzner Online GmbH in Falkenstein und Nürnberg. ISO 27001 zertifiziert, ausschließlich in Deutschland. Kein US-Cloud-Anbieter, kein Drittland-Transfer, keine Schrems-II-Problematik. Verschlüsselung in transit (TLS 1.3) und at rest (AES-256). Backups täglich, Aufbewahrung 30 Tage.

Vor Vertragsende erhalten Sie auf Knopfdruck einen vollständigen Export aller Schulungsnachweise und Zertifikate als ZIP (PDF + CSV). Nach Vertragsende laufen 30 Tage Schutzfrist, in denen Sie den Export erneut anfordern können. Danach werden personenbezogene Daten irreversibel gelöscht – Mitarbeiter-Namen, E-Mail-Adressen, Quiz-Antworten. Aggregierte Statistiken (anonym) bleiben in unseren Benchmark-Daten.

Ja. Hugo Learn ist responsiv aufgebaut, die Module funktionieren in Mobile-Safari, Chrome und Firefox auf iOS und Android. Keine App-Installation nötig – das ist Absicht, weil Privat-Smartphones nicht mit Firmen-Apps belegt werden sollen. Wer pendelt, kann das Phishing-Quiz auf dem Weg zur Arbeit erledigen.

Quartalsweise PDF-Report mit den wichtigsten Kennzahlen: Teilnahmequote (Soll vs. Ist), Quiz-Durchschnittsscore, Phishing-Klickrate (relevant bei Pro/Enterprise), Top-5-Risikoabteilungen, To-dos für das nächste Quartal. Plus Excel-Export der Rohdaten. Für ISO-27001- oder TISAX-Audits liegt der Report im erforderlichen Format vor – Auditoren akzeptieren ihn als Nachweis nach Annex A.7.2.2.

Drei Punkte. (1) Sprache und Recht: Hugo Learn ist von Anfang an auf Deutsch geschrieben, mit deutschem Datenschutzrecht im Mittelpunkt – nicht aus dem Englischen übersetzt. (2) Mensch dahinter: Bei Fragen telefonieren Sie mit Nils Oehmichen (TÜV-zertifizierter Datenschutzberater) oder Jens Hagel (21 Jahre IT-Unternehmer), nicht mit einem Support-Ticket. (3) Preis-Modell: Hugo Learn ist eigenständig ab 14,90 €/Mitarbeiter/Jahr buchbar (oder ab dem Standard-Tarif in Hugo DSB enthalten). Etablierte internationale Awareness-Anbieter wie SoSafe oder KnowBe4 liegen laut öffentlich einsehbaren Angaben meist spürbar höher – Hugo Learn ist günstiger und bringt die Phishing-Simulation mit, die reine Datenschutz-Schulungsanbieter oft gar nicht haben.

Hugo Learn ist eigenständig buchbar: Free für bis zu 5 Mitarbeiter (3 Basis-Module + Zertifikat, dauerhaft kostenlos) und Standard für 14,90 € pro Mitarbeiter/Jahr (netto, Mengenrabatt ab 25 MA) – mit komplettem Modul-Katalog, monatlicher KI-Lektion, Phishing-Simulation, Just-in-time-Training und auditfestem Nachweis. Ab dem ersten Mitarbeiter, online buchbar, ohne Vertriebsgespräch. Als Hugo-DSB-Kunde sind die Schulungen ab dem Standard-Tarif bereits enthalten.

Ja, sobald Sie eine Phishing-Simulation einsetzen oder Schulungsfortschritt personenbezogen auswerten. § 87 Abs. 1 Nr. 6 BetrVG (technische Einrichtungen zur Verhaltens-/Leistungskontrolle) ist einschlägig. Wir liefern eine Muster-Betriebsvereinbarung, die Themen wie Anonymisierung der Klickraten auf Abteilungsebene, Aufbewahrungsfristen und Zweckbindung regelt. Bei Bedarf nehmen wir an einem Termin mit Ihrem Betriebsrat teil.

Vertiefen Sie das Thema

Kostenlose Ressourcen für Ihre Schulungs-Planung

15 Minuten reichen, um zu sehen, ob das passt

Im Erstgespräch klären wir, wie viele Mitarbeiter Sie schulen müssen, welche Module Pflicht sind und was ein realistischer Zeitplan ist. Kein Verkaufsdruck – Sie entscheiden danach in Ruhe.

Erstgespräch buchen (15 Min) Hugo DSB ansehen

Lieber erstmal schreiben? Kontaktformular

Nils Oehmichen – Gründer und Datenschutzberater bei frag.hugo
„Keine Frage ist doof. Wenn Mitarbeiter im Zweifel sind, sollen sie fragen – nicht klicken.“
Nils Oehmichen

Passt zu Hugo Learn

Hauptprodukt

Hugo DSB

Externe Datenschutzbeauftragten-Plattform mit VVT, AVV, TOMs, Datenpannen-Workflow, Schulung. Ab 149 €/Monat.
Ergänzend

Hugo Shield

NIS2-Lieferketten-Compliance. Self-Assessment für Zulieferer, Dashboard für Auftraggeber. Ab 0 € für Zulieferer.
Beratung

Externer DSB Hamburg

Nils als externer Datenschutzbeauftragter. TÜV-zertifiziert, BVMID, über 200 Mandate aus dem norddeutschen Mittelstand.