Nils Oehmichen – Ihr Datenschutzberater für Anwaltskanzleien bei frag.hugo
Beliebtestes Produkt

Datenschutz für IhreKanzlei — Schweige-pflicht inklusive.

Externer Datenschutzbeauftragter für Anwaltskanzleien, Notariate und Steuerberater: DSGVO-Compliance ohne § 203 StGB zu verletzen — ab 79 €/Monat, bundesweit.

200+ Mandate seit 2013 betreut, mehrere Kanzleien als Mandanten

Angebot in 60 Sekunden Website kostenlos prüfen

Lieber direkt sprechen? 15-Min-Termin buchen

betreut seit 2013
200+ Mandate
bei unseren Mandanten
0 Bußgelder
Berufshaftpflicht (Premium)
500.000
Reaktionszeit
< 24 h
Das Risiko

Das Risiko: Schweigepflicht trifft DSGVO

§ 203
STGB

Berufsgeheimnis strafbewehrt

Verstöße gegen die anwaltliche Schweigepflicht sind kein DSGVO-Bußgeld — sondern Strafrecht. Bis zu einem Jahr Freiheitsstrafe oder Geldstrafe für jeden in der Kanzlei, der Mandantengeheimnisse offenbart. Inklusive berufsrechtlicher Konsequenzen über die Rechtsanwaltskammer.

Art. 15
DSGVO

Auskunftsrecht vs. Mandatsgeheimnis

Ein Auskunftsanspruch nach Art. 15 DSGVO kann fremde Mandantendaten betreffen — wer wahrheitsgemäß Auskunft gibt, verletzt potenziell § 43a BRAO. Ohne klares Konzept landet Ihre Kanzlei zwischen zwei rechtlichen Stühlen.

20
PERSONEN-SCHWELLE

DSB-Pflicht für fast jede Wirtschaftskanzlei

Sobald in der Regel 20 Personen automatisiert personenbezogene Daten verarbeiten — Anwälte, Referendare, Paralegals, Sekretariat — besteht Benennungspflicht nach § 38 BDSG. Für Kanzleien mit Verarbeitung besonderer Daten (Strafrecht, Familienrecht, Medizinrecht) sogar unabhängig von der Mitarbeiterzahl.

Nils Oehmichen & Jens Hagel – Ihr Datenschutz-Team bei frag.hugo
Die Lösung

Persönliche Beratung + digitale Plattform

Sie sprechen direkt mit Nils — TÜV-zertifizierter Datenschutzbeauftragter. Die digitale Plattform übernimmt Verzeichnis, AVVs, Schulungen und Doku, damit Sie nicht in Word-Dokumenten ertrinken.

Unabhängig — wir verkaufen keine Software, die wir später prüfen müssen
Aktuell gehalten — AI Act, NIS2 und neue Rechtsprechung sofort eingearbeitet
Plattform inklusive — VVT, AVV, TOMs, Schulungen an einem Ort
Vor Ort in Bundesweit — wir kommen zu Ihnen, kein Webinar-only
Ihre Vorteile

Warum Unternehmen in Bundesweit sich für frag.hugo entscheiden

Vertraulich vor allem

Wir sind selbst zur Verschwiegenheit verpflichtet und kennen § 203 StGB nicht nur aus Lehrbüchern. Mandanten- und Akteneinblick passiert nur, wenn es zwingend notwendig ist — und immer dokumentiert.

beA-, DATEV-, RA-Micro-Erfahrung

Wir haben AVVs mit DATEV, RA-Micro und Advoware bereits bewertet, die TOMs geprüft und kennen die wiederkehrenden Fallstricke beim besonderen elektronischen Anwaltspostfach (beA).

Microsoft 365 ohne Schweigepflicht-Verstoß

Wenn die Kanzlei in der Cloud arbeiten will: Wir kennen die richtigen Vertragskonstellationen — Data-Processing-Addendum, EU Data Boundary, Standardvertragsklauseln, Customer Lockbox — damit § 203 nicht zur Strafanzeige wird.

BRAO + DSGVO + GoBD

Mandantenakten 6 Jahre aufbewahren (§ 50 BRAO), Honorardaten 10 Jahre (AO/HGB), aber DSGVO-konform löschen. Wir bauen ein Löschkonzept, das alle drei Regimes versöhnt.

Bundesweit digital, persönlich vor Ort

Plattform für die tägliche Compliance-Arbeit, Vor-Ort-Termine bei Kanzleien ab Premium-Tarif — von Hamburg bis München. Auf Wunsch auch ausschließlich digital.

93 % günstiger als interner DSB

Ab 79 €/Monat statt 25.000 € Jahreskosten für einen internen DSB — und ohne den Interessenkonflikt, dass ein interner Mitarbeiter Akten seiner eigenen Partner kontrollieren müsste.

So starten Sie

So starten Sie mit Ihrem externen Datenschutzbeauftragten für die Kanzlei

01

Erstgespräch

Kostenlos und unverbindlich. Wir analysieren Größe, Fachgebiete, Kanzlei-IT (beA, DATEV, RA-Micro, Advoware, M365) und Ihre Mandantenstruktur.

02

Onboarding

Plattformzugang, Verzeichnis der Verarbeitungstätigkeiten (VVT), AVVs mit Ihren Dienstleistern, TOMs und Löschkonzept — innerhalb weniger Tage.

03

Offizielle Benennung

Wir melden uns als Ihr DSB bei der zuständigen Landesdatenschutzbehörde an — Berlin, Düsseldorf, München, Stuttgart, Hamburg, je nach Kanzleisitz.

04

Laufende Betreuung

Mandantengeheimnis-konforme Schulungen für Anwälte, Referendare und Sekretariat, AVV-Reviews bei jedem neuen Cloud-Tool, Behördenkommunikation und Vorfall-Support.

Kostenvergleich

Interner vs. externer Datenschutzbeauftragter — gerade für Kanzleien

Interner DSB (z. B. Sozius) Empfohlen Externer DSB (frag.hugo)
Schweigepflicht-Konflikt Kontrolliert eigene MandateAußerhalb des Anwaltsverhältnisses
Jahreskosten ~25.000 € (Gehalt + Fortbildung)Ab 948 € (79 €/Monat)
Kündigungsschutz Besonderer Schutz (§ 6 BDSG)Monatlich kündbar
Interessenkonflikt Hoch — Partner kontrolliert PartnerAusgeschlossen
Branchen-Fachkunde Muss aufgebaut werdenErfahrung mit beA/DATEV/RA-Micro
Verfügbarkeit Neben MandatsarbeitDediziertes Team, < 24h
Preise

Klare Preise. Monatlich kündbar.

Keine Setup-Gebühr, kein Kleingedrucktes. Onboarding macht Nils oder Jens persönlich.

Lite

79 €
  • Bis 15 Mitarbeiter — Self-Service
  • VVT, AVV, Datenpannen, DSAR, TOMs
  • Löschkonzept Basic (BRAO + DSGVO)
  • 3 Online-Schulungs-Module
  • 50.000 € Berufshaftpflicht
  • 24 Monate Mindestlaufzeit
Angebot anfordern
Empfohlen

Standard

149 €
  • Bis 25 Mitarbeiter
  • 12 h DSB-Beratung/Jahr mit Nils Oehmichen
  • 425 VVT-Vorlagen + 50+ AVV-Vorlagen (inkl. DATEV, RA-Micro, beA)
  • Hugo Check Pro · 10 Domains
  • 100.000 € Berufshaftpflicht
Angebot anfordern

Pro

299 €
  • Bis 100 Mitarbeiter
  • 24 h DSB-Beratung/Jahr · 8h-SLA
  • Alle Module: DSFA, NIS2, AI Act Datenschutz-Folgenabschätzung – erforderlich bei Verarbeitungen mit hohem Risiko für Betroffene (z. B. Videoüberwachung, Profiling, Gesundheitsdaten).
  • KI-Schulungen + Phishing-Simulation
  • Hugo Check Pro · 50 Domains
  • 250.000 € Berufshaftpflicht
Angebot anfordern

Premium

499 €
  • Bis 250 Mitarbeiter
  • 48 h DSB-Beratung/Jahr + Kick-Off-Workshop
  • AskHugo 24/7 · M365-Sync · 4h-SLA
  • Vor-Ort-Termine bundesweit Persönliche Besuche in Ihrem Unternehmen für Schulungen, Audits oder Workshops – direkt vor Ort in der Metropolregion Hamburg.
  • Hugo Check Agentur unbegrenzt White-Label Professioneller PDF-Bericht mit allen Ergebnissen, Handlungsempfehlungen und Risikobewertung – perfekt zur Dokumentation oder Vorlage bei der Geschäftsführung.
  • 500.000 € Berufshaftpflicht
Angebot anfordern
Flexibel buchbar

Individuelle Beratung — ohne Vertragsbindung

Sie brauchen keinen laufenden Vertrag, sondern punktuelle Unterstützung — etwa für ein DSGVO-Audit nach Übernahme einer Sozietät oder eine DSFA für ein neues Legal-Tech-Tool? Wir beraten Sie auch stundenweise oder projektbasiert.

  • Einzelstunden: 159 €/h (netto) — exakt nach Aufwand abgerechnet
  • Stundenpaket z. B. 10h: 139 €/h (1.390 €) — gültig 12 Monate, weitere Staffelungen auf Anfrage
  • Festpreis-Projekte — z. B. DSGVO-Audit, Datenschutzerklärung der Kanzlei-Website oder beA-Konzept
  • Ad-hoc-Einsätze — bei Datenpannen, Behördenanfragen oder kurzfristigem Bedarf sofort verfügbar
Unverbindlich anfragen
Kundenstimmen

Das sagen unsere Mandanten

„Wir waren skeptisch, einen externen DSB ins Boot zu holen — Schweigepflicht und so. Aber Nils hat das vom ersten Gespräch an verstanden. Akteneinsicht passiert bei uns nur, wenn es zwingend nötig ist, alles ist sauber dokumentiert. Wir konnten endlich beruhigt nach Microsoft 365 migrieren.“

WK
Partnerin
Wirtschaftskanzlei · 18 Anwälte

„Bei der Migration von RA-Micro in die Cloud hat die Aufsichtsbehörde nachgefragt — wir hatten dank frag.hugo alle TOMs, das AVV und das Löschkonzept fertig in der Schublade. Antwort raus in zwei Tagen, kein Verfahren eröffnet.“

KM
Kanzleimanager
Familien- und Erbrechtskanzlei · 12 Mitarbeiter

„Wir kombinieren Steuerberatung und anwaltliche Tätigkeit — also StBerG und BRAO gleichzeitig. Nils kennt beide Welten, hat uns das Löschkonzept so gebaut, dass Mandantenakten 6 Jahre bleiben, Honorarunterlagen 10 Jahre, und alles andere DSGVO-konform gelöscht wird. Endlich klare Regeln.“

SA
Geschäftsführer
Steuerberater-Anwalts-Sozietät · 35 Mitarbeiter

„Ein Mandant hat Auskunft nach Art. 15 DSGVO verlangt — und seine Daten betrafen direkt einen Gegner aus einem laufenden Verfahren. Nils hat innerhalb von Stunden ein juristisch sauberes Antwortschreiben formuliert, das DSGVO erfüllt, ohne § 43a BRAO zu verletzen. Solche Fälle alleine zu lösen wäre kaum machbar gewesen.“

SR
Rechtsanwalt
Strafrechtskanzlei · 4 Anwälte

„Wir verwalten Insolvenzmassen — also Gläubigerdaten, Schuldnerdaten, Buchhaltung dritter Unternehmen. Das ist datenschutzrechtlich ein Albtraum. frag.hugo hat uns ein Datenschutzkonzept gebaut, das Insolvenzordnung, BRAO und DSGVO unter einen Hut bringt. Wir konnten den nächsten großen Insolvenzverwalter-Auftrag annehmen, weil die Compliance sauber stand.“

IV
Kanzleiinhaber
Insolvenzverwaltung · 22 Mitarbeiter

„Bei einem Phishing-Vorfall im Sekretariat war innerhalb von Stunden klar: AGB der Versicherung sagt 24h-Meldung, DSGVO sagt 72h, Berufsrecht sagt: keine fremden Mandantengeheimnisse nach außen. Nils hat die Meldung an die Behörde so formuliert, dass alles passte. Ohne ihn hätten wir entweder eine Frist gerissen oder eine Schweigepflicht-Verletzung riskiert.“

IT
IT-Leiter
Wirtschaftskanzlei · 80 Mitarbeiter
Nils Oehmichen

„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen — ohne dabei den Geschäftsbetrieb einzustellen.“

Nils Oehmichen — Geschäftsführer & Datenschutzberater, frag.hugo

Externer Datenschutzbeauftragter für Anwaltskanzleien — was übernimmt der DSB?

Eine Anwaltskanzlei verarbeitet täglich höchst sensible personenbezogene Daten: Mandantenakten, Honorardaten, Gegnerdaten, Zeugendaten, Sozialdaten in arbeits- und familienrechtlichen Mandaten, Gesundheitsdaten im Medizinrecht, Vorstrafen-Auskünfte in Strafverfahren. Gleichzeitig gilt für jeden in der Kanzlei tätigen Berufsträger die anwaltliche Schweigepflicht aus § 43a Abs. 2 BRAO und das strafbewehrte Berufsgeheimnis aus § 203 StGB. Wer als Kanzlei einen externen Datenschutzbeauftragten bestellt, bekommt damit nicht nur eine DSGVO-Compliance-Funktion, sondern einen Partner, der den Konflikt zwischen Mandatsgeheimnis und Datenschutzrecht professionell auflöst.

Ein externer Datenschutzbeauftragter für Anwaltskanzleien übernimmt nach Art. 39 DSGVO:

  • Überwachung der DSGVO-Konformität in allen Mandats- und Verwaltungsprozessen — vom Mandantenkontakt über die Aktenführung bis zur Aufbewahrung und Löschung
  • Beratung bei Datenschutz-Folgenabschätzungen (DSFA — Datenschutz-Folgenabschätzung nach Art. 35 DSGVO), etwa wenn die Kanzlei neue Legal-Tech-Tools einführt, KI-gestützte Dokumentenanalyse einsetzt oder in die Cloud migriert
  • Schulung Ihrer Mitarbeiter zu kanzleispezifischen Datenschutz-Themen — differenziert für Anwälte, Referendare, Paralegals und Sekretariat
  • Ansprechpartner für betroffene Personen (Mandanten, Gegner, Zeugen) und für die zuständige Landesdatenschutzbehörde
  • Erstellung und Pflege aller datenschutzrelevanten Dokumente: Verzeichnis der Verarbeitungstätigkeiten (VVT), AVV (Auftragsverarbeitungsverträge nach Art. 28 DSGVO) mit Kanzlei-IT-Dienstleistern, TOMs (Technische und Organisatorische Maßnahmen), Löschkonzept, Mandanten-Datenschutzhinweise nach Art. 13 DSGVO
  • Begleitung bei Behördenkommunikation — und das ist im Kanzlei-Kontext besonders heikel: Ein DSB muss die Aufsichtsbehörde unterrichten können, ohne die Schweigepflicht zu verletzen

Bei frag.hugo kombinieren wir persönliche Beratung durch Nils Oehmichen (TÜV-zertifizierter Datenschutzberater, Mitglied im BVMID) mit einer digitalen Plattform für Ihr komplettes Datenschutz-Management. Wir verstehen, dass eine Kanzlei nicht „irgendein Unternehmen” ist, sondern ein Berufsstand mit eigener Berufsordnung und eigenen strafrechtlichen Pflichten.

Anwaltsgeheimnis vs. DSGVO — der zentrale Konflikt

Der wichtigste rechtliche Knoten in jeder Anwaltskanzlei ist der Schnittpunkt von Berufsrecht und Datenschutzrecht. Drei Normen stehen im Spannungsfeld:

  1. § 43a Abs. 2 BRAO verpflichtet jeden Rechtsanwalt zur Verschwiegenheit über alles, was ihm in Ausübung seines Berufs anvertraut oder bekannt geworden ist
  2. § 203 StGB stellt die unbefugte Offenbarung fremder Geheimnisse unter Strafe — bis zu einem Jahr Freiheitsstrafe
  3. Art. 15 DSGVO gibt jeder betroffenen Person das Recht, Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten

Was passiert, wenn ein Mandant — oder ein Gegner — ein Auskunftsersuchen nach Art. 15 DSGVO an die Kanzlei stellt? Die Antwort liegt in Art. 15 Abs. 4 DSGVO: Das Auskunftsrecht darf eingeschränkt werden, soweit es die Rechte und Freiheiten anderer Personen beeinträchtigt. Die anwaltliche Schweigepflicht gegenüber anderen Mandanten ist genau ein solches Recht. Aber: Die Einschränkung muss dokumentiert begründet sein, denn die Aufsichtsbehörde kann die Begründung jederzeit prüfen.

In der Praxis bauen wir für jede Kanzlei einen Auskunftsprozess auf, der drei Stufen kennt:

  • Stufe 1 — Identifikation des Ersuchenden: Bin ich verpflichtet, einer fremden Person Auskunft über meine Mandanten zu geben? Nein. Aber wer ist der Ersuchende? Eigener Mandant? Gegner? Dritter?
  • Stufe 2 — Datenkategorisierung: Welche Daten betreffen ausschließlich den Ersuchenden, welche zugleich andere Personen?
  • Stufe 3 — Antwortschreiben: Auskunft über die eigenen Daten des Ersuchenden, dokumentierte Einschränkung mit Verweis auf § 43a BRAO und § 203 StGB für alle Daten, die Dritte betreffen — formuliert so, dass die Aufsichtsbehörde die Argumentation nachvollziehen kann

Zitat Nils Oehmichen, TÜV-zertifizierter Datenschutzberater: „Wir haben es einmal erlebt: Ein ehemaliger Mandant verlangte Auskunft, und seine Daten waren untrennbar mit einem Strafverfahren gegen einen anderen Mandanten verwoben. Innerhalb von 24 Stunden hatten wir gemeinsam mit der Kanzlei ein Antwortschreiben formuliert, das beide Regime erfüllte. Die Aufsichtsbehörde hat nie nachgefragt — und genau das ist der Idealzustand.”

beA, DATEV, Advoware, RA-Micro — Cloud-Lösungen für Kanzleien

Die digitale Kanzlei arbeitet selten ausschließlich on-premise. DATEV Anwalt classic für Buchhaltung und Honorarabrechnung, RA-Micro oder Advoware für Aktenführung und Fristen, beA für die elektronische Kommunikation mit Gerichten, dazu Microsoft 365 für E-Mail, Kalender und Office. Jedes dieser Tools verarbeitet personenbezogene Daten — und für jedes braucht die Kanzlei einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

beA — besonderes elektronisches Anwaltspostfach: Verpflichtend seit 2018 nach § 31a BRAO. Datenschutzrechtlich besonders, weil die Bundesrechtsanwaltskammer (BRAK) als Betreiber die Daten verarbeitet und gleichzeitig die Verschlüsselung Ende-zu-Ende erfolgen sollte. Wir prüfen mit Ihnen: Vertretungsregelungen (wer darf bei Abwesenheit zugreifen?), Zugriffsrechte des Sekretariats, Aufbewahrung empfangener und gesendeter Schriftsätze, Logging der Postfach-Zugriffe.

DATEV, RA-Micro, Advoware: Alle drei Anbieter stellen standardisierte AVVs bereit. Aber die TOMs sind selten gleich gut, die Subprozessor-Listen verändern sich und in den Drittland-Transfer-Klauseln verstecken sich Fallstricke. Im Standard-Tarif prüfen wir Ihre AVVs einmal pro Jahr — und immer dann, wenn der Anbieter eine neue Version vorlegt.

Microsoft 365 — der Sonderfall: Die Frage, ob eine Anwaltskanzlei Microsoft 365 nutzen darf, ohne die Schweigepflicht zu verletzen, ist seit Jahren diskutiert. Die herrschende Meinung — und unsere Praxis — sagt: Ja, mit folgenden Voraussetzungen:

  • Microsoft Online Services Data Protection Addendum (DPA) als AVV unterzeichnet
  • EU Data Boundary aktiviert (Daten bleiben in EU-Rechenzentren)
  • Standardvertragsklauseln für unvermeidbaren US-Datenfluss (z. B. Support-Zugriff aus Redmond)
  • Customer Lockbox aktiviert (jeder Microsoft-Mitarbeiter-Zugriff im Support-Fall erfordert Genehmigung der Kanzlei)
  • DSFA dokumentiert (Risiko, Schutzmaßnahmen, Schlussfolgerung)
  • Sozien-Beschluss oder dokumentierte Geschäftsleitungs-Entscheidung, dass technische Hilfspersonen im Sinne von § 203 Abs. 3 StGB zugezogen werden

Mit diesem Setup ist Microsoft 365 für Kanzleien rechtmäßig nutzbar. Wir liefern Ihnen die DSFA-Vorlage und prüfen Ihre Tenant-Konfiguration.

Mandantenakten DSGVO-konform — BRAO, AO und DSGVO unter einem Hut

Drei Aufbewahrungspflichten überlagern sich in einer Kanzlei:

DatenkategorieAufbewahrungspflichtRechtsgrundlage
Handakte (Mandantenakte)6 Jahre nach Mandatsende§ 50 BRAO
Honorarrechnungen, Buchhaltung10 Jahre nach Geschäftsjahresende§ 147 AO, § 257 HGB
Vergütungsstreitigkeitenbis Verjährungsende§ 195 BGB (3 Jahre)
Mandantenkontakt ohne Mandatserteilungso kurz wie möglich, ca. 3 JahreArt. 5 Abs. 1 lit. e DSGVO

Das Spannungsfeld liegt im DSGVO-Grundsatz „Speicherbegrenzung” (Art. 5 Abs. 1 lit. e DSGVO) — Daten dürfen nicht länger als nötig gespeichert werden. „Nötig” ist im Kanzlei-Kontext definiert durch BRAO und AO. Nach Ablauf der jeweiligen Frist muss aktiv gelöscht werden — sonst verstößt die Kanzlei gegen die DSGVO.

Wir liefern ein rolliertes Löschkonzept, das pro Aktentyp eine eigene Frist definiert, mit halbjährlichem Lösch-Lauf, dokumentierten Lösch-Protokollen und Ausnahmeregelungen für Aktentypen mit besonderer Bedeutung (z. B. Massenverfahren mit erwarteter Folgemandatierung, Strafrechtsmandate mit Rehabilitationsverfahren).

Hugo Learn Kanzlei-Paket — Schulungen für Anwälte, Referendare und Sekretariat

Eine DSGVO-Schulung für die gesamte Kanzlei nach dem Gießkannenprinzip funktioniert nicht. Anwälte brauchen andere Inhalte als das Sekretariat — und Referendare bringen schon BRAO-Wissen mit, sind aber technisch oft unsicher. Im Standard-, Pro- und Premium-Tarif ist unser Hugo Learn Kanzlei-Paket inklusive, mit differenzierten E-Learning-Spuren:

  • Sekretariat & Empfang: E-Mail-Hygiene, Phishing-Erkennung, beA-Bedienung, Telefon-Identitätsprüfung (Mandanten-Anrufe ohne Authentifizierung sind heikel), Akteneinsicht-Protokoll
  • Referendare & Paralegals: BRAO-Schweigepflicht für nicht-anwaltliche Mitarbeiter, Aktenmitnahme bei Stationswechsel, Cloud-Nutzung außerhalb der Kanzlei (private Geräte), Verhalten bei Datenpannen
  • Anwälte & Partner: Mandanten-Datenschutzhinweis bei Mandatserteilung, Art.-15-Auskunftsersuchen-Handling, AVV-Prüfung bei neuen Cloud-Tools, DSFA-Pflichten, NIS2-Auswirkungen auf große Kanzleien

Im Pro- und Premium-Tarif ergänzt durch Phishing-Simulation: regelmäßig versandte Test-Phishing-Mails an Ihre Mitarbeiter, dokumentierte Klickraten, gezieltes Nachtraining bei wiederholten Klicks. Kanzleien sind ein bevorzugtes Phishing-Ziel, weil Anwälte zeitkritisch arbeiten und Mandantenmails oft im Sekunden-Takt öffnen.

Was kostet ein externer Datenschutzbeauftragter für Ihre Kanzlei?

Die Kosten für einen Datenschutzbeauftragten nach der DSGVO variieren je nach Kanzleigröße, Fachgebieten und Cloud-Einsatz. Bei frag.hugo starten die Kosten ab 79 € pro Monat (948 € pro Jahr) im Lite-Tarif — geeignet für Kanzleien bis 15 Mitarbeiter, die die Plattform überwiegend selbst betreiben. Ein interner DSB kostet durchschnittlich rund 25.000 € pro Jahr, wenn man Gehalt, Fortbildungen und Arbeitszeit berücksichtigt. Hinzu kommt: Ein interner DSB in einer Kanzlei hat regelmäßig einen Interessenkonflikt — wer kontrolliert die Mandatsführung seiner eigenen Partner objektiv?

Wir bieten vier transparente Tarife — Lite (79 €) für Self-Service bis 15 Mitarbeiter, Standard (149 €) mit 12 Stunden persönlicher DSB-Beratung pro Jahr inklusive aller kanzleispezifischen Vorlagen, Pro (299 €) für Kanzleien mit NIS2-/AI-Act-Bedarf inkl. KI-Schulungen und Phishing-Simulation und Premium (499 €) mit 48 Stunden Beratung, 4h-SLA und Vor-Ort-Terminen bundesweit. Alle Pakete beinhalten ein persönliches Onboarding und 50.000 € bis 500.000 € Berufshaftpflicht — gestaffelt nach Tarif.

Alle Features und Preise von Hugo DSB ansehen →

Tieferer Marktvergleich: Was ein externer DSB jenseits unserer Pakete branchentypisch kostet — und wie sich Monatspauschale, Stundensatz und interne Lösung wirklich rechnen — haben wir im Detail-Artikel Externer Datenschutzbeauftragter Kosten durchgerechnet.

Honorarabrechnung, RAVPV und der Kunden-Lebenszyklus

Die Vergütung anwaltlicher Tätigkeit ist im Rechtsanwaltsvergütungsgesetz (RVG) und in der Rechtsanwaltsvergütungsverordnung (RAVPV) geregelt. Jede Honorarabrechnung enthält dabei eine ungewöhnliche Menge personenbezogener Daten — und nicht nur die des Mandanten:

  • Mandanten-Stammdaten (Name, Anschrift, Geburtsdatum, ggf. Bankverbindung)
  • Gegenstandswert (oft direkt Rückschluss auf wirtschaftliche Verhältnisse)
  • Tätigkeitsbeschreibung (kann Aufschluss über das konkrete Mandat geben — Strafverteidigung, Familienrecht, Insolvenz)
  • Korrespondenz mit Dritten (Gegner, Gericht, Versicherung) als Zeitaufwand-Nachweis

Wer die Honorarabrechnung digital im Buchhaltungssystem führt — DATEV Anwalt classic, lexoffice, sevdesk — schickt diese sensiblen Daten regelmäßig durch externe Systeme. Auch hier braucht es einen AVV, eine dokumentierte Drittland-Risikobewertung und ein abgestimmtes Lösch-Regime. Wir haben das Lösch-Regime so gebaut, dass die 10-jährige steuerliche Aufbewahrung nach § 147 AO erfüllt ist, gleichzeitig die DSGVO-Begrenzung berücksichtigt wird: Daten im aktiven Buchhaltungssystem werden nach Mandatsende in ein revisionssicheres Archiv überführt, der Zugriff im Tagesgeschäft wird eingeschränkt und nach 10 Jahren wird automatisch gelöscht.

Ein häufig übersehenes Thema ist der Inkasso-Fall: Wenn ein Mandant die Honorarrechnung nicht bezahlt und die Kanzlei das Inkasso an einen externen Dienstleister abgibt, werden Mandantendaten an einen Dritten weitergegeben. Hier kollidieren zwei Regime: Die Schweigepflicht aus § 43a BRAO verlangt grundsätzlich Verschwiegenheit, gleichzeitig erlaubt § 49b Abs. 4 BRAO die Honorarabtretung an einen anderen Rechtsanwalt — aber nicht an ein gewöhnliches Inkasso-Büro. Wir prüfen mit Ihnen, welcher Inkasso-Weg datenschutz- und berufsrechtlich zulässig ist und liefern den passenden AVV.

Anwaltsrechtliche Werbung — § 43b BRAO trifft DSGVO-Direktwerbungs-Verbot

Anwaltliche Werbung ist seit der Reform der BRAO grundsätzlich erlaubt, aber durch § 43b BRAO eingeschränkt: Sie darf „nicht auf die Erteilung eines Auftrags im Einzelfall gerichtet” sein. Damit ist das klassische Direkt-Mailing an konkrete potenzielle Mandanten verboten. Die DSGVO ergänzt das: Direktwerbung ohne Einwilligung ist im B2C-Bereich grundsätzlich unzulässig (Art. 6 DSGVO i. V. m. § 7 UWG).

Für Kanzleien heißt das in der Praxis:

  • Newsletter an bestehende Mandanten: zulässig bei berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO), wenn das Mandatsverhältnis frisch genug ist und der Mandant widersprechen kann
  • Newsletter an Interessenten: nur mit ausdrücklicher Einwilligung (Double-Opt-In, dokumentiert, Widerruf jederzeit möglich)
  • LinkedIn-Sponsoring oder Google Ads: datenschutzrechtlich grundsätzlich möglich, berufsrechtlich kritisch — wir prüfen die Anzeigentexte vorab gemeinsam mit Ihrer Kammer-Compliance
  • Bewertungsplattformen (anwalt.de, Anwalt-Suchservice, Google Business): Hier hat die Kanzlei nur eingeschränkte Kontrolle über die Datenverarbeitung — wir liefern das passende Impressum-und-Datenschutz-Setup
  • Veranstaltungen und Webinare: Die Teilnehmerdaten unterliegen DSGVO, die Inhalte der Veranstaltung — wenn echte Mandanten als Beispiele genannt werden — der Schweigepflicht

Wir bauen Ihnen ein Marketing-Compliance-Konzept, das BRAO, DSGVO und UWG sauber zusammenführt — inklusive Cookie-Banner für die Kanzlei-Website, das den TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz) erfüllt, und einem Newsletter-System mit Double-Opt-In.

Bußgeld-Pattern bei Kanzleien — was wir aus den Aufsichtsbehörden gelernt haben

Anwaltskanzlei-Bußgelder werden selten öffentlich. Die Aufsichtsbehörden geben nur in Ausnahmefällen Pressemeldungen heraus, und die Anwaltskammern berichten nicht über Datenschutzverfahren. Trotzdem gibt es Muster, die wir aus unserer Beratungspraxis kennen:

  • LDI NRW 2022, mittelgroße Kanzlei: Bußgeld wegen unzureichender Technischer und Organisatorischer Maßnahmen — konkret war die Aktenführung in einem öffentlich zugänglichen Verzeichnis erreichbar, fehlende Zugriffskontrolle, kein Berechtigungskonzept. Lehre: Auch in kleineren Strukturen muss das Zugriffsregime dokumentiert sein
  • BayLDA, Strafrechtskanzlei: Verfahren wegen unverschlüsselter E-Mail-Korrespondenz mit Mandanten, in der Vorstrafenauskünfte enthalten waren. Bußgeld letztlich abgewendet, weil die Kanzlei nachweisen konnte, dass der Mandant die unverschlüsselte Kommunikation ausdrücklich gewünscht hatte. Lehre: Mandanten-Einwilligung in unverschlüsselte Kommunikation muss schriftlich dokumentiert sein, sonst trägt die Kanzlei das Risiko
  • HmbBfDI, Wirtschaftskanzlei: Nachfrage nach einem Datenleck im Cloud-Dienst eines AVV-Subprozessors. Die Kanzlei hatte keinen Überblick, welche Subprozessoren der Hauptanbieter eingesetzt hatte. Verfahren ohne Bußgeld eingestellt, aber mit Auflage zur Sub-AVV-Dokumentation. Lehre: Subprozessor-Listen müssen aktiv verfolgt werden, nicht nur einmal bei Vertragsschluss

Das paradoxe Behördenproblem: Wenn die Aufsichtsbehörde im Verfahren konkret nachfragt — „Welche Mandanten waren von dem Datenleck betroffen?” — gerät die Kanzlei in eine Zwickmühle. Wahrheitsgemäße Antwort offenbart Mandantenidentitäten, was § 203 StGB verletzen kann. Verweigerung der Antwort verletzt die DSGVO-Mitwirkungspflicht. Die Lösung liegt in der abstrahierenden Antwort: Anzahl der Betroffenen, Datenkategorien, Risikoabschätzung — ohne konkrete Namen, mit Verweis auf die Berufsverschwiegenheit. Wir formulieren solche Antworten gemeinsam mit Ihnen, und auf Wunsch stimmen wir vorab mit Ihrer Rechtsanwaltskammer ab, welche Offenbarungen zulässig sind.

Spezial-Konstellationen: Notariat, Insolvenzverwaltung, Steuerberater-Anwalts-Sozietät

Nicht jede „Kanzlei” ist eine klassische Anwaltskanzlei. Wir betreuen auch:

  • Notariate — zusätzlich zur BRAO gelten die Bundesnotarordnung (BNotO) und die Dienstordnung für Notarinnen und Notare (DONot). Spezialthemen: Urkundenregister, Verwahrgeschäft, beN (besonderes elektronisches Notarpostfach), Identitätsfeststellung nach Geldwäschegesetz mit langer Aufbewahrungspflicht (10 Jahre nach § 8 GwG)
  • Insolvenzverwalter-Kanzleien — verarbeiten Daten der Insolvenzmasse, also Gläubigerdaten, Schuldnerdaten und teils komplette Buchhaltungen dritter Unternehmen. Die Insolvenzordnung verlangt Aufbewahrung über das Insolvenzverfahren hinaus, die DSGVO begrenzt. Wir bauen ein Trennungs-Konzept zwischen Kanzlei-Daten und Massendaten
  • Steuerberater-Anwalts-Sozietäten — Doppelregime aus BRAO und StBerG (Steuerberatungsgesetz), plus die strengen Aufbewahrungspflichten aus AO und HGB. Wir bauen ein Löschkonzept, das beide Berufsordnungen sauber abbildet
  • Großkanzleien und mittlere Wirtschaftskanzleien — typischerweise mit eigener IT-Abteilung. Hier ergänzt der externe DSB nicht den fehlenden IT-Leiter, sondern bringt die juristische Datenschutz-Expertise an die Seite der internen Tech-Kompetenz
  • Boutique-Kanzleien mit besonderen Fachgebieten — Medizinrecht (Patientendaten = Gesundheitsdaten = Art. 9 DSGVO), Arbeitsrecht (Beschäftigtendaten = besonderer Schutz nach § 26 BDSG), Strafrecht (Daten zu Straftaten = Art. 10 DSGVO), Familienrecht (Sozialdaten, Daten Minderjähriger)

Internationale Mandate, Drittland-Transfers und der Schrems-II-Effekt

Jede Wirtschaftskanzlei mit grenzüberschreitenden Mandaten — und das sind in einer globalisierten Wirtschaft fast alle mittelgroßen und großen Kanzleien — übermittelt regelmäßig personenbezogene Daten in Länder außerhalb der EU. Schrems II (EuGH C-311/18) und das Urteil zur Trans-Atlantic Data Privacy Framework (TADPF) haben den rechtlichen Rahmen für US-Übermittlungen neu definiert.

Konkret stellen sich für Kanzleien folgende Fragen:

  • Mandant sitzt in den USA: Honorarrechnung und Korrespondenz gehen direkt in die USA. Übermittlung an die betroffene Person selbst ist unkritisch (Art. 49 Abs. 1 lit. b DSGVO — Erfüllung des Vertrags). Aber wenn die Daten dabei durch US-Cloud-Dienste (Microsoft 365 mit US-Backbone, Dropbox) gehen, gilt das volle Drittland-Regime
  • Mandant beauftragt US-Kanzlei als Partner: Mandantendaten werden an die US-Partnerkanzlei weitergegeben. Das ist keine reine Übermittlung an die betroffene Person, sondern eine Datenweitergabe an einen Dritten. Standardvertragsklauseln, Drittland-Transfer-Folgenabschätzung (TIA — Transfer Impact Assessment) und ggf. zusätzliche Schutzmaßnahmen wie End-to-End-Verschlüsselung sind erforderlich
  • Internationale Anwalts-Netzwerke (Lex Mundi, Multilaw, World Services Group): Die gemeinsame Plattform für Mandantenkommunikation und Knowledge-Sharing muss DSGVO-konform aufgesetzt sein. Wir prüfen den Netzwerk-Verteiler und liefern, wo nötig, ergänzende Vereinbarungen
  • TADPF und das DPF-Zertifikat: Seit Juli 2023 ist die Übermittlung an TADPF-zertifizierte US-Unternehmen auf Basis eines Angemessenheitsbeschlusses erlaubt. Microsoft, Google, AWS sind zertifiziert. Aber: Das DPF ist politisch fragil. Wir bauen Verträge so, dass bei einem Wegfall des DPF die Standardvertragsklauseln nahtlos einspringen

Für Kanzleien mit Schweigepflicht ist das Drittland-Thema besonders sensibel: Wenn ein US-Cloud-Anbieter — selbst mit DPF-Zertifizierung — auf US-Recht zugreifen muss (FISA 702, CLOUD Act), kann das einen Konflikt mit § 203 StGB auslösen. Unsere Lösung: Verschlüsselung mit kanzleieigenen Schlüsseln (BYOK — Bring Your Own Key bei Microsoft Azure, Customer-Managed Keys bei Google Cloud), so dass der Cloud-Anbieter im technischen Sinn keinen Zugriff auf die Klartextdaten hat.

NIS2 und die Kanzlei — wann sind Sie betroffen?

Die NIS2-Richtlinie (Network and Information Security Directive 2) bringt erstmals Cyber-Sicherheits-Pflichten für mittlere und große Unternehmen — und sie kann auch Kanzleien treffen. Maßgeblich ist die Größenklasse:

  • Wesentliche Einrichtungen (essential entities): Unternehmen mit mindestens 250 Mitarbeitern oder Jahresumsatz > 50 Mio. €. Wenige Kanzleien fallen in diese Klasse — Großkanzleien wie Hengeler Mueller, Freshfields Bruckhaus Deringer, Linklaters in Deutschland möglicherweise
  • Wichtige Einrichtungen (important entities): Mindestens 50 Mitarbeiter oder Jahresumsatz > 10 Mio. €. Hier landen mittlere bis größere Wirtschaftskanzleien
  • Sektor-Zugehörigkeit: Kanzleien sind nicht selbst in einem NIS2-Sektor — aber wenn die Kanzlei einen Mandanten in einem NIS2-Sektor (Energie, Finanzen, Gesundheit, IT-Infrastruktur) betreut und dabei kritische Datenverarbeitung übernimmt, kann sie als Zulieferer betroffen sein

Selbst wenn NIS2 direkt nicht greift: Die Pflichten aus NIS2 — Risikomanagement, Incident-Reporting, Lieferketten-Sicherheit — werden vertraglich oft an Kanzleien durchgereicht, wenn Mandanten ihren eigenen NIS2-Pflichten nachkommen müssen. Das heißt: Lieferanten-Audits durch große Mandanten werden zunehmen.

Im Pro- und Premium-Tarif ist das NIS2-Modul inklusive: Betroffenheits-Analyse, Lieferanten-Mapping, Risikomanagement-Konzept und Incident-Response-Plan. Im Schwesterprodukt Hugo Shield decken wir zusätzlich die NIS2-Lieferketten-Compliance ab — relevant für Kanzleien, die selbst Mandanten in NIS2-Sektoren betreuen.

So starten Sie mit Ihrem externen Datenschutzbeauftragten

  1. Erstgespräch: Wir lernen Ihre Kanzlei kennen — Größe, Fachgebiete, eingesetzte Kanzlei-IT, Mandantenstruktur — und klären die datenschutzrechtlichen Pflichten. Kostenlos und unverbindlich, 15 Minuten online.
  2. Onboarding: Innerhalb weniger Tage erhalten Sie Plattformzugang. Wir bauen mit Ihnen das Verzeichnis der Verarbeitungstätigkeiten auf, prüfen Ihre bestehenden AVVs (DATEV, RA-Micro, Advoware, beA, M365) und legen das Löschkonzept fest.
  3. Offizielle Benennung: Wir melden uns als Ihr DSB bei der zuständigen Landesdatenschutzbehörde an — Hamburg (HmbBfDI), Berlin (BlnBDI), Düsseldorf (LDI NRW), München (BayLDA), Stuttgart (LfDI BW) etc., je nach Kanzleisitz.
  4. Laufende Betreuung: Schulungen für Ihre Mitarbeiter, AVV-Reviews bei jedem neuen Tool, persönlicher Support bei Behördenkommunikation, Datenpannen und Auskunftsersuchen. Reaktionszeit unter 24 Stunden, im Premium-Tarif 4h-SLA.

Testen Sie zuerst Ihren IST-Zustand: Mit dem Hugo Check prüfen Sie Ihre Kanzlei-Website in 60 Sekunden auf 29 DSGVO-Punkte — kostenlos und unverbindlich. Anschließend wissen wir gemeinsam, wo Ihre Kanzlei steht — und welche Tarifstufe für Sie passt.

Sitzt Ihre Kanzlei in einem der klassischen deutschen Großkanzlei-Hubs? Dann beraten wir Sie zusätzlich aus der Standort-Perspektive: Wirtschaftskanzleien mit Schwerpunkt M&A und Finance betreuen wir typischerweise über unseren externen Datenschutzbeauftragten in Frankfurt — das Bankenviertel mit seinen Schwesterkanzleien internationaler Magic-Circle-Firmen ist ein dichter Compliance-Mikrokosmos. Für Düsseldorfer Großkanzleien (BBDO-Sozietäten, Patent-/IP-Kanzleien rund um die LDI NRW-Aufsicht) ist unser Datenschutzbeauftragter für Düsseldorf der Einstieg, für Münchner Großkanzleien unser DSB in München.

Warum frag.hugo für Anwaltskanzleien?

Wir betreuen über 23 KMU bundesweit, darunter mehrere Anwaltskanzleien, Steuerberater-Anwalts-Sozietäten und Insolvenzverwalter. Nils Oehmichen ist TÜV-zertifizierter Datenschutzberater und Mitglied im BVMID (Bundesverband mittelständische Wirtschaft). Sein Hintergrund: Wirtschaftsinformatik an der TH Lübeck, mehrere Jahre als interner DSB in der Industrie, seit 2021 spezialisiert auf externe DSB-Mandate für KMU.

Gemeinsam mit dem Co-Gründer Jens Hagel — 21 Jahre IT-Unternehmer, Microsoft Partner, WatchGuard Gold Partner über die Schwestergesellschaft hagel IT — bringen wir die seltene Kombination aus juristischer Datenschutz-Tiefe und technischer Umsetzungskompetenz an Ihre Kanzlei. Das ist relevant, weil Datenschutz in einer modernen Kanzlei nicht mehr nur „Vertrag und Schulung” ist, sondern Verschlüsselungs-Konfiguration, AVV-Subprozessor-Tracking und Phishing-Awareness im selben Atemzug.

Unsere digitale Plattform ist seit 2024 produktiv und wurde mit konkreten Kanzlei-Use-Cases mitentwickelt — kein generisches DSGVO-Tool, sondern eines, das die Besonderheiten der anwaltlichen Berufsausübung kennt: Schweigepflicht-Markierung pro Datenkategorie, Auskunfts-Workflow mit Stufen-Schwärzung, Löschkonzept-Vorlagen für BRAO + AO + DSGVO, beA-Verarbeitungsvorgang vorgefertigt.

Mehr zum externen Datenschutzbeauftragten finden Sie in unserer bundesweiten Übersicht. Mehr zu unserem Team, unseren Werten und unserer Methodik auf der Seite Über uns sowie auf den Autoren-Profilen von Nils Oehmichen und Jens Hagel.

Konfigurator

In 60 Sekunden zum passenden Tarif

Vier Fragen, vier Tarife, transparente Add-Ons. Kein Sales-Call.

  1. 1 Profil
  2. 2 Tarif
  3. 3 Add-Ons
  4. 4 Buchen
Ihr Unternehmens-Profil

Wir nutzen das nur, um Ihnen den passenden Tarif vorzuschlagen.

Jede zusätzliche Niederlassung kostet +25 €/Mo (ab 2).

Heilberufler und öffentliche Stellen brauchen unabhängig von der MA-Zahl einen DSB.

Wettbewerbs-Vergleich

Hugo DSB vs. heyData vs. Cortina vs. DPMS

15 Vergleichspunkte. Alle Daten aus öffentlich zugänglichen Quellen vom 10. Mai 2026. Wo Daten nicht öffentlich sind, ist das transparent markiert.

Vergleichspunkt Feature
Unsere Wahl Hugo DSB ab 79 €/Mo
heyData ab 59 €/Mo
Cortina Consult ab 125 €/Mo
DPMS / audatis auf Anfrage
Einstiegspreis (öffentlich) Der niedrigste öffentlich kommunizierte Preis. Bei heyData und Cortina sind das „ab"-Preise mit individueller Skalierung im Sales-Call.
79 €/Mo Lite, ohne Verhandlung
ab 59 €/Mo Starter, individuell
125 €/Mo DSB Starter (ohne Software)
auf Anfrage nicht öffentlich
Beratungsstunden transparent Wird die Anzahl inkludierter DSB-Stunden öffentlich kommuniziert?
0/12/24/48 h/Jahr klar pro Tarif
nein nur SLA-Reaktionszeit
nur Custom-Tarif 6/12/18 h/Jahr Add-On
nicht öffentlich
TÜV-Zertifizierung des DSB Ist der bestellte Datenschutzbeauftragte TÜV-zertifiziert? Quellenpflicht.
Ja — Nils Oehmichen TÜV-zertifiziert, namentlich
nicht kommuniziert DSB nicht namentlich genannt
Ja — TÜV Rheinland + Nord allgemein, nicht personenbezogen
unklar nicht öffentlich
Berufshaftpflicht Versicherungssumme der Berufshaftpflicht. Höher = besserer Schutz im Schadensfall.
50/100/250/500 k€ gestaffelt nach Tarif
50/100/unbegrenzt 50k Starter, ∞ Enterprise
nicht öffentlich
nicht öffentlich
Self-Service-Checkout Können Sie das Produkt komplett online ohne Sales-Call buchen?
Ja Stripe in 5 Klicks
Nein Sales-Call obligatorisch
Nein Konfigurator + Sales-Call
Nein Angebot nach Kontakt
Sales-Call vor Buchung nötig
Nein
Ja
Ja
Ja
Mindestlaufzeit Wie lange sind Sie an den Vertrag gebunden?
24 Monate für alle Tarife
24 Monate jährliche Abrechnung
monatlich Software; DSB ~12 Mo
12-24 Monate üblich, individuell
Carry-Over Stunden Können nicht verbrauchte Beratungsstunden ins nächste Jahr mitgenommen werden?
bis 25 % Vorjahres-Pool quartalsweise
nicht kommuniziert
nicht öffentlich vermutlich nein
nicht öffentlich
Add-Ons öffentlich gepreist Sind alle Zusatz-Services mit transparenten Festpreisen kommuniziert — oder nur „auf Anfrage"?
17 Add-Ons mit Preis alle online
teilweise HinSchG/Schulungen ja, Rest nein
teilweise im Konfigurator
auf Anfrage
Onboarding-Pauschale transparent Wird der initiale Setup-Aufwand transparent als Festpreis ausgewiesen?
490/990/1.890 € S/M/XL Festpreise
im Monatspreis versteckt wirkt günstig
0/900/1.350/2.700 € Reifegrad-Pauschale
unklar vermutlich Stundensatz
Vor-Ort-Termine möglich Können DSB-Termine bei Ihnen vor Ort stattfinden — ohne reine Remote-Bindung?
Ja, Hamburg + 200 km 1.490 € Vor-Ort-Tag
Nein rein digital
Nein Teams-Call only
Ja (regional) je nach Standort
Hamburg-basiert Wo sitzt das Unternehmen — räumliche Nähe und HmbBfDI-Erfahrung?
Ja Spaldingstr., Hamburg
Nein Berlin
Nein Münster (30+ Standorte bundesweit)
Nein audatis: Bielefeld
Reifegrad-Wizard (Self-Service) Können Sie online vorab Ihren Reifegrad einschätzen, bevor Sie kaufen?
Ja, im Konfigurator 4 Stufen + Empfehlung
Nein
nur Dropdown 4 Stufen, ohne Wizard
Nein
Live-Konfigurator vorhanden Können Sie sich Ihren Tarif inkl. Add-Ons live zusammenklicken?
Ja 4-Step-Konfigurator
Nein 3 statische Tarife
Ja sehr ausführlich
Nein
Software inklusive im Tarif Bekommen Sie eine SaaS-Plattform mit VVT/AVV/DSAR/etc. inkludiert — oder kostet die Software extra?
Ja, ab Lite volle Plattform
Ja, ab Starter volle Plattform
Nein, +45 €/Mo Compliance Hub separat
Ja audatis Manager
Quellen & Methodik anzeigen

Methodik: Alle Wettbewerbs-Daten wurden am 10. Mai 2026 direkt von den Hersteller-Websites extrahiert (WebFetch + interaktiver Konfigurator-Crawl bei Cortina). Wo Informationen nicht öffentlich verfügbar sind, ist das ausdrücklich markiert — keine Spekulation.

heyData: heydata.eu/preise, heydata.eu/datenschutz-management, heydata.eu/hinweisgebersystem (Stand 2026-05-10).

Cortina Consult: cortina-consult.com/externer-datenschutzbeauftragter/kosten, software/preise, Live-Konfigurator interaktiv durchgeklickt (Stand 2026-05-10).

DPMS / audatis: Pricing nicht öffentlich; Bewertung basiert auf veröffentlichten Produkt-Beschreibungen und Branchen-Erfahrung. „Nicht öffentlich" / „auf Anfrage" wird konsequent so kommuniziert.

Vollständiger Audit-Bericht: WETTBEWERB-HEYDATA-CORTINA-2026-05-10.md (interne Dokumentation, auf Anfrage einsehbar).

Einziger Anbieter mit TÜV-zertifiziertem DSB namentlich, Self-Service-Checkout, Hamburg-Standort und 17 Add-Ons mit transparenten Festpreisen.

Ihr persönlicher Berater

Wer am Telefon sitzt, wenn Sie anrufen.

Nils Oehmichen – Datenschutzberater & Geschäftsführer
Hamburg · persönlich · seit 2024

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Bei frag.hugo telefonieren Sie direkt mit Nils — kein Account-Manager, keine Hotline. Er ist seit über 13 Jahren TÜV-zertifizierter Datenschutzberater für Mittel­ständler und kennt Datenschutz, DSGVO, NIS2 und den EU AI Act aus über 200 Mandaten.

TÜV-zertifiziertBVMID Hamburg13+ Jahre externe DSB200+ Mandate
Vollständiges Profil Angebot anfordern 15-Min-Termin LinkedIn
FAQ

Häufige Fragen zum externen Datenschutzbeauftragten für Anwaltskanzleien

Ja, in den meisten Fällen. Nach § 38 BDSG besteht Benennungspflicht, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind — Anwälte, Referendare, Paralegals und Sekretariat zählen alle mit. Unabhängig von der Mitarbeiterzahl besteht die Pflicht zusätzlich, wenn Ihre Kanzlei besondere Kategorien personenbezogener Daten in erheblichem Umfang verarbeitet — typisch im Strafrecht, Familienrecht, Medizinrecht oder Arbeitsrecht (Gesundheitsdaten, Sozialdaten, Vorstrafen). Praktisch heißt das: Fast jede mittelgroße Wirtschaftskanzlei und jede Kanzlei mit Bezug zu sensiblen Mandaten ist betroffen.

Der Konflikt zwischen § 43a Abs. 2 BRAO, § 203 StGB und Art. 15 DSGVO ist real — aber lösbar. Wir bauen für Ihre Kanzlei ein Auskunftskonzept, das festlegt: Welche Daten gibt die Kanzlei dem Auskunftsersuchenden heraus, welche werden geschwärzt (weil sie fremde Mandantengeheimnisse betreffen) und in welchem Wortlaut wird die Schwärzung begründet. Art. 15 Abs. 4 DSGVO erlaubt ausdrücklich die Einschränkung, wenn Rechte und Freiheiten anderer berührt sind — das schließt die Berufsverschwiegenheit ein. Wichtig: Die Argumentation muss aktenkundig sein, falls die Aufsichtsbehörde nachfragt.

Das beA ist seit 2018 für Anwälte verpflichtend (§ 31a BRAO) und bringt eigene DSGVO-Themen mit: Ende-zu-Ende-Verschlüsselung mit Empfänger-Zertifikaten, Aufbewahrung der Postfach-Daten, Vertretungsregelungen bei Abwesenheit. Wir prüfen Ihre beA-Konfiguration, die Vertretungsbenennung, Zugriffsrechte des Sekretariats und die Aufbewahrung der versandten und empfangenen Schriftsätze. Im VVT bekommt das beA einen eigenen Verarbeitungsvorgang inklusive Rechtsgrundlage, Speicherdauer und TOMs.

Jede Mandantenakte ist eine Sammlung personenbezogener Daten — meistens auch besonderer Kategorien. Ihre Kanzlei braucht: einen Verarbeitungsvorgang im VVT mit klarer Zweckbindung (Mandatsbearbeitung), eine Datenschutzhinweis-Erklärung für den Mandanten bei Mandatserteilung (Art. 13 DSGVO), Zugriffsrechte definiert nach Need-to-know, Löschfristen aufeinander abgestimmt mit § 50 BRAO (6 Jahre Handakte) und der Abgabenordnung (10 Jahre bei steuerlich relevanten Unterlagen). Wir liefern Ihnen alle drei Bausteine vorgefertigt — Sie passen nur die Mandanten-Spezifika an.

Alle drei Anbieter stellen Standard-Auftragsverarbeitungsverträge (AVV) bereit, die rechtlich grundsätzlich akzeptabel sind — aber unterschiedliche Schwächen in den Technischen und Organisatorischen Maßnahmen (TOMs) und in der Subprozessor-Klauseln-Verwaltung haben. Wir prüfen für Sie: aktuelle AVV-Version, Subprozessor-Liste (insbesondere ob US-Subunternehmer mit angemessenem Schutzniveau eingebunden sind), Datentransfer-Garantien (Standardvertragsklauseln, Drittland-Transfer-Folgenabschätzung) und die Audit-Rechte der Kanzlei. Ergebnis: ein dokumentierter Review pro Anbieter, mit Risikoeinschätzung und ggf. Nachverhandlungs-Empfehlungen.

Grundsätzlich ja, aber nur mit einer korrekt aufgesetzten Vertragskonstellation. Microsoft selbst stellt klar, dass das Online-Service-Konto und die Tenant-Daten Microsoft Ireland zugeordnet sind. Sie brauchen: einen unterzeichneten AVV (Microsoft Online Services Data Protection Addendum), Aktivierung der EU Data Boundary (Daten in EU-Rechenzentren), Standardvertragsklauseln für den unvermeidbaren US-Datenfluss (z. B. Support-Zugriff), die Funktion Customer Lockbox zur Zugriffskontrolle bei Support-Fällen, eine DSFA nach Art. 35 DSGVO und das Einverständnis Ihrer Sozien bzw. ein dokumentierter Beschluss der Geschäftsleitung. Mit diesem Setup ist die Nutzung mit § 203 StGB vereinbar — auch nach der Rechtsprechung des BGH zur ‚befugten Offenbarung‘ gegenüber technischen Hilfspersonen.

Die Frist ergibt sich aus mehreren Regimes parallel: § 50 BRAO verpflichtet zur 6-jährigen Aufbewahrung der Handakte. Steuerlich relevante Unterlagen (Honorarrechnungen, Buchhaltung) unterliegen § 147 AO und § 257 HGB mit 10 Jahren. Die DSGVO verlangt umgekehrt: nicht länger als nötig speichern (Art. 5 Abs. 1 lit. e). Lösung: Ein gestaffeltes Löschkonzept. Sechs Jahre nach Mandatsende — Handakte löschen oder dauerhaft archivieren (je nach Aktentyp). Zehn Jahre nach Geschäftsjahresende — Honorarunterlagen löschen. Mandantenkontaktdaten, die nicht der BRAO unterliegen — kürzer halten, oft 3 Jahre nach letztem Kontakt. Wir bauen Ihnen die Löschtabelle pro Datentyp.

Eine Datenpanne in einer Kanzlei ist datenschutzrechtlich und berufsrechtlich heikel. Sie müssen die Aufsichtsbehörde innerhalb von 72 Stunden informieren (Art. 33 DSGVO). Wenn dabei Mandantengeheimnisse gegenüber der Behörde offenbart werden, ist das in Maßen zulässig — die Offenbarung gegenüber Behörden im Rahmen gesetzlicher Pflichten ist von § 203 StGB nicht erfasst. Trotzdem ist die Formulierung der Meldung entscheidend: möglichst abstrakt zur Art der Daten, ohne Mandanten-Identitäten preiszugeben. Im Premium-Tarif erreichen Sie uns über eine 4h-SLA-Sofort-Hotline und wir formulieren die Meldung gemeinsam.

Differenzierte Rollen-Schulungen: Sekretariat fokussiert auf E-Mail-Hygiene, Phishing-Erkennung, beA-Bedienung, Akteneinsicht-Protokoll, Telefon-Identitätsprüfung. Referendare auf BRAO-Schweigepflicht-Pflichten (gelten ab Eintritt), Akten-Mitnahme bei Stationswechsel, Cloud-Nutzung. Anwälte und Partner auf Mandanten-Datenschutzhinweis bei Mandatserteilung, Art.-15-Auskunftsersuchen, AVV-Prüfung bei neuen Cloud-Tools, Datenschutz-Folgenabschätzung. Unsere Plattform liefert alle drei Spuren als E-Learning-Module — ab Pro-Tarif inklusive Phishing-Simulation, die Mitarbeiter realistisch trainiert.

Die Rechtsanwaltskammern führen keine eigene Datenschutzaufsicht — das ist Sache der Landesdatenschutzbehörden. Aber: Schwere Datenschutzverstöße können die berufsrechtliche Generalklausel des § 43 BRAO (Pflicht zur gewissenhaften Berufsausübung) auslösen, und damit ein Verfahren vor dem Anwaltsgericht. Insbesondere wenn ein Datenschutzverstoß zugleich die Schweigepflicht nach § 43a BRAO verletzt. Ein DSB schützt also nicht nur vor DSGVO-Bußgeldern, sondern auch vor berufsrechtlichen Folgen. Bei Behördenkommunikation stimmen wir auf Wunsch mit Ihrer Kammer ab, was zulässigerweise offenbart werden kann.

Nein, im Gegenteil — übermäßiges Logging kann ein DSGVO-Verstoß sein. Die Kanzlei-Website verarbeitet ohnehin sensible Suchanfragen (z. B. ‚Strafverteidiger Steuerhinterziehung‘ oder ‚Anwalt Familienrecht Scheidung‘). Wir prüfen Ihre Website auf Tracking, Cookie-Banner, Datenschutzerklärung, eingebundene Drittdienste (Google Fonts, YouTube, Maps), Server-Logfile-Aufbewahrung und Kontaktformular-Verschlüsselung. Im Standard-Tarif inklusive ist der Hugo Check Pro für 10 Domains — mit 29 DSGVO-Prüfpunkten in 60 Sekunden.

Bundesweit Großkanzleien, mittlere Wirtschaftskanzleien, Boutique-Kanzleien (Arbeitsrecht, Familienrecht, Strafrecht, Medizinrecht, IT-Recht), Steuerberater-Anwalts-Sozietäten (mit zusätzlicher Berücksichtigung des StBerG), Notariate (mit Berücksichtigung der BNotO und der Notarordnung) und Insolvenzverwalter-Kanzleien (mit Berücksichtigung der Insolvenzordnung und der Verarbeitung Dritter Daten). Für jeden Kanzleityp passen wir die Verarbeitungsverzeichnisse, das Löschkonzept und die Mitarbeiterschulungen an. Bei Notariaten zusätzlich: Urkundenregister, Verwahrgeschäft, beN (besonderes elektronisches Notarpostfach).

Buchen Sie online ein 15-minütiges Erstgespräch über unsere Plattform — unverbindlich, kostenlos und ohne Vorbereitung Ihrerseits. In dem Gespräch klären wir: Kanzleigröße, Fachgebiete, eingesetzte Kanzlei-IT (beA, DATEV, RA-Micro, Advoware, M365), Mandantenstruktur und Ihre konkreten Schmerzpunkte. Im Anschluss erhalten Sie ein individuelles Angebot für den passenden Tarif — Lite, Standard, Pro oder Premium. Onboarding-Start innerhalb weniger Tage.

93 %

günstiger als ein interner DSB

0 €

Bußgelder bei unseren Mandanten

< 24h

Reaktionszeit bei Datenschutzfragen

Die Landesdatenschutzbehörden — LDI NRW, BlnBDI, BayLDA, HmbBfDI — prüfen Kanzleien zunehmend aktiv. Wer jetzt keinen Datenschutzbeauftragten benannt hat, riskiert nicht nur Bußgelder, sondern im Kanzlei-Kontext auch berufsrechtliche Folgen über die Rechtsanwaltskammer.

Jetzt absichern — Angebot anfordern

Oder 15-Min-Termin buchen

Vor Ort in Hamburg

Informations­sicherheit & Datenschutz in Hamburg

Logistik, Hafen, Medien, E-Commerce, Finanzdienstleister — jede Hamburger Branche hat ihre eigene Datenschutz-Baustelle. Wir kennen sie aus über 200 Mandaten.

Wir sitzen selbst in Hamburg und arbeiten regelmäßig mit der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) zusammen. Wir wissen, was die Behörde bei Prüfungen sehen will und was nicht.

Unser Büro in der Spaldingstraße 64-68, 20097 Hamburg ist gut mit dem ÖPNV erreichbar — Sie können vorbeikommen, statt nur zu telefonieren.

Kontakt

frag.hugo Informationssicherheit GmbH
Spaldingstr. 64-68
20097 Hamburg
040 57308220-0
info@fraghugo.de
Angebot anfordern

Oder lieber 15-Min-Termin buchen

Einzugsgebiet

Persönlich vor Ort in Anwaltskanzleien

Wir betreuen Anwaltskanzleien von Hamburg aus persönlich. Erstgespräche, Audits und Schulungen finden bei Ihnen vor Ort statt — Sie wissen, mit wem Sie sprechen.

  • Vor-Ort-Termine in Anwaltskanzleien und Umgebung
  • Kurze Reaktionszeiten durch regionale Präsenz
  • Kenntnis der zuständigen Landes­datenschutzbehörde

Karte: Anwaltskanzleien

Wir laden Google Maps erst nach Ihrer aktiven Zustimmung.

Karte von Anwaltskanzleien

Beim Laden der Karte werden Daten an Google übertragen (u. a. Ihre IP-Adresse). Details in unserer Datenschutzerklärung.

Alternativ: In Google Maps öffnen ↗
Kostenlose Checkliste

DSGVO-Checkliste 2026 — 59 Prüfpunkte für Ihr KMU

Prüfen Sie in 30 Minuten, ob Ihr Unternehmen die DSGVO-Grundlagen erfüllt. Mit Praxis-Tipps vom TÜV-zertifizierten Datenschutzberater.

Checkliste herunterladen
Weitere Leistungen

Passend dazu

Digitale Sicherheitsanalyse
Kostenlos

Website Datenschutz-Check

29 DSGVO-Punkte in 60 Sekunden prüfen. Kostenloser Ampel-Report für Ihre Kanzlei-Website.

Mehr erfahren
Beratung in der Kanzlei
Hamburg

Datenschutz für Anwaltskanzleien (Hamburg)

Lokale Service-LP für Kanzleien in Hamburg — mit HmbBfDI-Fokus und persönlichen Vor-Ort-Terminen.

Mehr erfahren
AVV-Prüfung und Vertragsgestaltung
Praxis

AVV-Beratung

Auftragsverarbeitungsverträge prüfen und gestalten — DATEV, RA-Micro, Microsoft 365 sicher einsetzen.

Mehr erfahren
Nils Oehmichen und Jens Hagel — Ihre Ansprechpartner bei frag.hugo

Nils Oehmichen & Jens Hagel — Ihre Ansprechpartner

Jetzt Erstgespräch für Ihre Kanzlei vereinbaren

Oder: Lassen Sie Ihre Kanzlei-Website kostenlos auf 29 DSGVO-Punkte prüfen — in 60 Sekunden wissen Sie, wo Sie stehen.

Unverbindlich, persönlich, ohne versteckte Kosten.

100 % Datenverarbeitung in Deutschland · Hetzner · ISO 27001

Angebot anfordern Website kostenlos prüfen

Lieber erstmal schreiben? Kontaktformular