Mitarbeiter-Schulungen

Hugo Learn KI-gestützte Datenschutz- und Cyber-Awareness-Schulungen für Ihre Mitarbeiter

12+ Module · Phishing-Simulation · DSGVO-konform · ab 149 € inkl. Hugo DSB

Hugo Learn ist die Schulungsplattform für KMU, die Datenschutz-Grundverordnung Die EU-weite Verordnung, die seit Mai 2018 den Datenschutz regelt. Sie gilt unmittelbar in allen Mitgliedstaaten und steht über den nationalen Datenschutzgesetzen. , NIS2-Richtlinie EU-Richtlinie zur IT-Sicherheit, seit Dezember 2025 in Kraft. Trifft etwa 29.000 deutsche Unternehmen direkt — und Geschäftsführer haften persönlich. und den KI-Verordnung der EU Die EU-Verordnung zur Regulierung Künstlicher Intelligenz. Stuft KI-Systeme nach Risikoklassen ein und verpflichtet Anbieter und Betreiber zu Transparenz, Dokumentation und Schulung. ernst nehmen – ohne IT-Abteilung zu brauchen. Browser-basiert, in Deutschland gehostet, auf Deutsch geschrieben. Mit echtem Menschen am anderen Ende der Leitung.

Erstgespräch buchen (15 Min) Tarife ansehen
TÜV-zertifizierter DSB BVMID Hamburg Server in Deutschland 200+ Mandate
Hörsaal mit Online-Lernumgebung auf der Leinwand – Sinnbild für strukturierte Mitarbeiter-Schulung
Warum jetzt

Ungeschulte Mitarbeiter sind das teuerste Sicherheitsrisiko Ihres Unternehmens

Nicht der Server in der Ecke, nicht die fehlende Firewall, nicht der vergessene Patch – sondern der Kollege, der den Anhang einer „Rechnungs-Mail" öffnet. Drei Zahlen, die Sie kennen sollten:

68 %

aller Datenpannen weltweit involvieren laut Verizon DBIR 2024 den Menschen – fast immer durch Phishing, Pretexting oder schlichten Fehler. Technik allein reicht nicht.

60 %

der initialen Eindringversuche in EU-Unternehmen erfolgten 2024 über Phishing, berichtet ENISA. Über 80 % dieser E-Mails nutzen mittlerweile KI – das macht sie für ungeschulte Mitarbeiter kaum noch erkennbar.

20 Mio. €

oder 4 % des weltweiten Konzernumsatzes – das ist der Bußgeld-Rahmen nach Art. 83 DSGVO. Im Verfahren prüft die Behörde explizit, ob Sie Ihre Mitarbeiter regelmäßig geschult haben. Ohne Nachweis: voller Strafrahmen.

Pflicht ohne Wenn und Aber

§ 26 Bundesdatenschutzgesetz Das deutsche Datenschutzgesetz, das die DSGVO ergänzt. § 38 BDSG regelt insbesondere, ab wann ein Datenschutzbeauftragter Pflicht ist — die berühmte 20-Personen-Schwelle. , Art. 32 und 39 DSGVO sowie NIS2 Art. 20 verpflichten Sie zu regelmäßigen Schulungen. „Regelmäßig" heißt in der Auslegung der deutschen Aufsichtsbehörden: mindestens einmal pro Jahr, besser quartalsweise.

Niemand hat Zeit für PowerPoint-Schulungen

Vor-Ort-Schulungen kosten 2.500–5.000 € pro Termin, sperren halbe Belegschaften für einen Tag und sind nach zwei Wochen vergessen. Mitarbeiter brauchen 15-Minuten-Häppchen, die zwischen zwei Calls passen.

Ein Vorfall – und niemand weiß was zu tun ist

Bei einer Datenpanne haben Sie 72 Stunden Meldefrist. Wenn der erste Mitarbeiter im Eskalationspfad nicht weiß, was eine Datenpanne ist und wen er anrufen muss, ist die Frist verstrichen, bevor das Problem bei Ihnen ankommt.

Die drei Zahlen aus dem oberen Kasten – 68 % menschliches Versagen, 60 % Initialzugang über Phishing, 20 Millionen Bußgeld – stehen nicht beziehungslos nebeneinander. Sie beschreiben die gleiche Mechanik aus drei Perspektiven: Angreifer wissen, dass der Mensch die schwächste Stelle ist; sie greifen ihn gezielt an; und der deutsche Gesetzgeber hat die Strafrahmen dafür gemacht, dass Unternehmen den Menschen schützen müssen. Wer Schulung als „nice to have" abtut, hat eine der drei Perspektiven nicht verstanden.

Was uns immer wieder bei Mandanten begegnet: Geschäftsführer wissen, dass sie schulen müssten, schieben es aber auf, weil sie die Aufgabe als groß und mühsam empfinden. Vor-Ort-Schulungen passen nicht in den Terminplan, die Auswahl eines Anbieters überfordert ohne IT-Hintergrund, und die Sorge, dass „etwas Falsches" geschult wird, lähmt zusätzlich. Hugo Learn ist unsere Antwort auf genau diese drei Hürden: keine Terminkollision (jeder schult, wann er Zeit hat), eine kuratierte Module-Auswahl statt unendlicher Katalog, und Inhalte, die ein TÜV-zertifizierter Datenschutzberater geschrieben und freigegeben hat – nicht ein Werbetexter.

Die Plattform

Was Hugo Learn ist – und was nicht

Eine Browser-basierte Lernumgebung, integriert in die Hugo DSB Plattform. Keine App, kein Zwang, keine Frickelei – und kein 90-Minuten-Schulungsvideo, das niemand zu Ende guckt.

So funktioniert es

  • 1

    Mandanten-Setup: Wir legen Ihre Organisation an, importieren Mitarbeiter über CSV oder M365-Auto-Sync (Enterprise) und richten Standard-Pfade pro Abteilung ein.

  • 2

    Einladung per E-Mail: Jeder Mitarbeiter bekommt eine Einladung mit personalisiertem Link. Single-Sign-On über Microsoft 365 oder Google Workspace, optional eigene SAML-Anbindung.

  • 3

    Modul absolvieren: 15–25 Minuten Inhalt, dazu ein Quiz mit 5–10 Fragen. Bei ≥ 80 % Score gibt es ein Zertifikat, sonst Wiederholung der falsch beantworteten Bausteine.

  • 4

    Reporting fließt automatisch: In der DSB-Plattform sehen Sie als Geschäftsführer Teilnahme-Quoten, Score-Durchschnitt und Risiko-Heatmap pro Abteilung.

  • 5

    Auffrischung nach 12 Monaten: Zertifikate haben ein Ablaufdatum. Die Plattform schickt rechtzeitig vorher die nächste Welle an Einladungen – Sie müssen nichts anstoßen.

Was wir bewusst nicht tun

  • Keine App-Pflicht. Privat-Smartphones bleiben privat. Alles läuft im Browser.

  • Keine 90-Minuten-Videos. Wer 90 Minuten am Stück schult, hat die Lerneffizienz verfehlt – ab Minute 25 hört niemand mehr zu.

  • Keine US-Cloud. Hetzner Falkenstein/Nürnberg. ISO 27001. Kein Drittland-Transfer, keine Schrems-II-Diskussion.

  • Kein Übersetzungs-Englisch. Jedes Modul ist auf Deutsch geschrieben, von einem deutschen Datenschutzberater geprüft. Beispiele aus der DACH-Praxis – nicht aus Kalifornien.

  • Kein Helpdesk-Roulette. Bei Fragen telefonieren Sie direkt mit Nils oder Jens, nicht mit einem Ticket-System.

Inhalte

14 Module – vom Grundkurs bis zur Vorstands-Schulung

Jedes Modul ist ein in sich abgeschlossenes Lernpaket mit Video, interaktiven Elementen und Quiz. Sie wählen pro Mitarbeitergruppe, welche Module Pflicht sind, welche optional.

01

DSGVO-Grundlagen für alle Mitarbeiter

25 Min · Basis · Pflicht

Was ist ein personenbezogenes Datum? Wann darf ich es verarbeiten? Was ist Zweckbindung? Wir erklären die sechs Rechtsgrundlagen aus Art. 6 DSGVO an Alltagsbeispielen aus dem Büro – ohne Juristen-Deutsch.

02

Sicherer Umgang mit personenbezogenen Daten am Arbeitsplatz

20 Min · Basis · Pflicht

Clean-Desk-Prinzip, sichere E-Mail-Adressierung, Drucker-Hygiene, Bildschirmsperre. Die zehn Verhaltensregeln, die 80 % aller Datenpannen verhindern – mit Bilderquiz „Was ist hier falsch?".

03

Phishing erkennen – die 7 typischen Muster

20 Min · Basis · Pflicht

Absender-Spoofing, Sub-Domain-Tricks, Dringlichkeits-Rhetorik, gefälschte Anhänge, QR-Code-Phishing, Browser-in-Browser-Angriffe, Reply-Chain-Phishing. Echte Beispiele aus deutschen Postfächern – inklusive solcher, die durch unsere Mandanten kamen.

04

Passwort-Hygiene & Multi-Faktor-Authentifizierung

15 Min · Basis · Pflicht

Warum „Sommer2024!" kein gutes Passwort ist, was Passwort-Manager wirklich tun und warum SMS-2FA schlechter ist als App-2FA. Mit Step-by-Step-Anleitung zum Einrichten in Microsoft 365 und Google Workspace.

05

E-Mail-Verschlüsselung – S/MIME und PGP-Basics

25 Min · Vertieft · Optional

Wann muss ich verschlüsseln (Art. 32 DSGVO)? Wie unterscheide ich Transport- von Inhaltsverschlüsselung? Setup für S/MIME-Zertifikate in Outlook und Apple Mail – ohne IT-Abteilung.

06

Datenpannen – was tun in den ersten 4 Stunden?

20 Min · Basis · Pflicht

Sie haben 72 Stunden für die Meldung an die Aufsichtsbehörde. Die ersten 4 Stunden entscheiden, ob Sie diese Frist halten. Wir trainieren den konkreten Ablauf: Wer informiert wen? Welche Beweise sichern? Wer macht die Bewertung „meldepflichtig oder nicht"?

07

Auftragsverarbeitung – Art. 28 DSGVO in der Praxis

35 Min · Vertieft · Empfohlen für Einkauf/Personal

Wann brauche ich einen Auftragsverarbeitungsvertrag Der Vertrag nach Art. 28 DSGVO mit jedem Dienstleister, der für Sie personenbezogene Daten verarbeitet — Cloud, CRM, Newsletter-Tool. Ohne AVV droht Bußgeld. ? Wer prüft den AVV? Wie unterscheide ich Auftragsverarbeitung von gemeinsamer Verantwortlichkeit? Mit Checkliste „Diese sieben Klauseln müssen drinstehen".

08

Mobile Geräte & BYOD-Risiken

15 Min · Basis · Empfohlen

Firmen-Mail auf dem Privat-Handy ist nicht harmlos. Wir zeigen, was geht (Outlook-App mit Intune-Profil) und was nicht (Mail-Account ohne MDM). Plus: Was tun, wenn das Handy in der S-Bahn liegen bleibt?

09

Cloud-Services & Drittland-Transfers – Schrems II in Klartext

30 Min · Vertieft · Empfohlen

Warum ein US-SaaS-Tool ohne Standardvertragsklauseln + Transfer Impact Assessment 2026 kein zulässiges Werkzeug mehr ist. Mit Liste der häufigsten Tools (ChatGPT, Slack, Zoom, Salesforce) und konkretem Risiko-Status.

10

Social Engineering & CEO-Fraud

25 Min · Vertieft · Empfohlen für Buchhaltung/GF-Sekretariat

„Ich bin im Termin, überweisen Sie bitte sofort 23.500 € an den neuen Lieferanten." Wir analysieren echte Fälle aus dem deutschen Mittelstand – inklusive der durch KI-Stimm-Klonung gefälschten Anrufe.

11

NIS2-Grundlagen für den Mittelstand

40 Min · Spezial · Pflicht für GF und IT-Leitung

Bin ich betroffen? Was sind „wesentliche" vs. „wichtige" Einrichtungen? Welche zehn Maßnahmen aus Art. 21 muss ich umsetzen? Persönliche Haftung der Geschäftsleitung nach § 38 NIS2UmsuCG – und wie Sie sie minimieren.

12

AI Act – sicherer Umgang mit KI-Tools am Arbeitsplatz

30 Min · Spezial · Pflicht ab August 2026

Welche KI-Tools sind in welcher Risikoklasse? Was darf ich ChatGPT/Claude/Copilot füttern – und was nicht? Mit der Vorlage „KI-Richtlinie für unser Unternehmen" zum Anpassen – inklusive Hinweispflicht aus Art. 4 KI-Verordnung der EU Die EU-Verordnung zur Regulierung Künstlicher Intelligenz. Stuft KI-Systeme nach Risikoklassen ein und verpflichtet Anbieter und Betreiber zu Transparenz, Dokumentation und Schulung. .

13

Home-Office und mobiles Arbeiten

15 Min · Basis · Empfohlen

Wie sieht ein DSGVO-konformer Home-Office-Arbeitsplatz aus? Was ist mit dem Familien-WLAN, dem Drucker in der Wohnzimmer-Ecke, dem privaten Notebook? Plus: Welche Klauseln gehören in eine Home-Office-Vereinbarung?

14

Aufsichtsbehörden – Was tun, wenn die Behörde anfragt?

20 Min · Vertieft · Empfohlen für GF

Die Aufsichtsbehörde meldet sich – Pflichten, Fristen, Rechte. Wir zeigen, warum Behörden eher beraten als bestrafen wollen und wie Sie das Gespräch konstruktiv führen. Mit Nils' Erfahrungen aus über 200 Mandaten.

Drei Dinge fallen auf, wenn man die Modulliste mit anderen Awareness-Anbietern vergleicht. Erstens: Wir trennen Basis-Inhalte für alle Mitarbeiter strikt von Vertiefungs-Modulen für Spezialgruppen. Buchhaltung braucht CEO-Fraud-Training, Einkauf braucht AVV-Wissen, die Geschäftsführung braucht NIS2 – und niemand soll mit Inhalten zugeschüttet werden, die für ihn irrelevant sind. Zweitens: Wir schreiben jedes Modul aus deutscher Perspektive. Wenn wir Phishing-Beispiele zeigen, sind das echte Mails aus deutschen Postfächern – nicht „Dear Sir/Madam, please find attached our invoice for $4,200". Drittens: Wir aktualisieren die Inhalte quartalsweise, weil sich Phishing-Muster, KI-Tools und Rechtsprechung in dieser Geschwindigkeit ändern.

Ab Hugo DSB Professional kommen monatlich neue KI-generierte Mikro-Lektionen dazu – aktuelle Vorfälle aus deutschen Aufsichtsbehörden, neue Phishing-Wellen, frische Rechtsprechung. Damit bleibt das Wissen aktuell, ohne dass Sie etwas tun müssen. Sie bekommen am Monatsersten eine 8-Minuten-Lektion „Was war im Mai 2026 datenschutzrechtlich los?" – und können sie als Pflicht oder optional einstufen.

Phishing-Simulation

Lieber selbst angeln als angegriffen werden

Wir verschicken realistische Phishing-Mails an Ihre Mitarbeiter – legal, kontrolliert, mit sofortigem Lerneffekt. Wer klickt, lernt in dem Moment, woran er den Angriff hätte erkennen können. Niemand wird vor der Belegschaft bloßgestellt.

Stufe 1 · Standard

Massen-Phishing

Typische „Rechnungs-Mail", gefälschte Paket-Benachrichtigung, falsche Microsoft-365-Login-Warnung. Erkennungsquote nach drei Monaten Schulung: durchschnittlich 92 % in unseren Mandaten.

Beispiel-Betreff: „Ihre DHL-Sendung kann nicht zugestellt werden"
Empfohlen
Stufe 2 · Anspruchsvoll

Gezielte Branchen-Mails

Personalisiert auf Ihre Branche, mit echtem Firmen-Logo-Wording im Absender. Beispiel für eine Anwaltskanzlei: „Beschwerde zur Mandatsführung – Aktenzeichen 14/2026". Erkennungsquote: 60–75 %.

Beispiel-Betreff: „Ihre Office-365-Lizenz läuft am 31.05. ab"
Stufe 3 · Spear-Phishing

CEO-Fraud-Szenario

Persönliche Ansprache von Buchhaltung und GF-Sekretariat, mit recherchierten Geschäftsdetails (Lieferanten-Namen, anstehende Projekte aus öffentlichen Quellen). Erkennungsquote selbst nach Schulung: 40–55 %. Hier zeigt sich, wo Prozess-Regeln greifen müssen.

Beispiel-Betreff: „Vertraulich – Überweisung zum Notar-Termin"

Eine Phishing-Simulation ist kein Selbstzweck und schon gar keine Mitarbeiter-Falle. Sie ist Messinstrument und Lerngelegenheit in einem. Ohne Simulation bauen Sie Schulung auf Hoffnung – mit Simulation auf Daten. Wer den Wert nicht sieht, sollte einmal beobachten, wie sich Klickraten innerhalb eines Jahres entwickeln: typisch von 28 % Klickrate beim Erst-Test auf unter 5 % nach vier Quartalen mit zwischen­geschalteten Trainings.

Rechtlich ist die Simulation in Deutschland zulässig – wenn sie ordentlich angekündigt und mitbestimmungsrechtlich behandelt wird. § 87 Abs. 1 Nr. 6 BetrVG verlangt eine Betriebsvereinbarung, wenn Sie personenbezogene Klick-Daten auswerten. Wir liefern eine Vorlage mit, die in der Praxis in 95 % der Fälle ohne Diskussion durchgeht: Klickraten werden auf Abteilungsebene aggregiert, nur „Wiederholungs-Klicker" werden persönlich angesprochen und nur durch den eigenen Vorgesetzten, niemals zentral.

So läuft die Simulation

1. Klick-Tracking

Jeder Klick wird erfasst – wir wissen, wer geklickt hat, wann und auf welchem Gerät. Mitarbeiter werden nicht öffentlich gezeigt, das Ergebnis fließt anonymisiert in die Heatmap.

2. Sofort-Schulung

Wer auf den Phishing-Link klickt, landet nicht in der Hölle, sondern auf einer Lern-Landingpage: „Das war eine Übung. Hier sind die 5 Warnsignale, die Sie übersehen haben." 8-Minuten-Mini-Modul direkt im Anschluss.

3. Re-Test nach 4 Wochen

Wer geklickt hat, bekommt nach 4 Wochen automatisch eine Variante – um zu sehen, ob das Training gewirkt hat. Die Quote „Re-Klick" liegt nach Schulung typisch unter 5 %.

4. Quartals-Reporting

Pro Quartal ein Bericht für die Geschäftsleitung: Klickrate gesamt, Verbesserung über Zeit, Risiko-Heatmap pro Abteilung. Liest sich wie ein Geschäfts-KPI, nicht wie ein IT-Bericht.

Wie Sie wissen, ob es wirkt

Quiz, Zertifikat, Audit-Nachweis

Jedes Modul endet mit einem Quiz. Wer es besteht, bekommt ein personalisiertes Zertifikat. Wer durchfällt, wiederholt die Bausteine, die er falsch beantwortet hat – nicht das ganze Modul.

Beispiel-Quiz · Modul 03 · Frage 4 von 8

Welche der folgenden E-Mail-Eigenschaften ist kein verlässliches Phishing-Warnzeichen?

A Absender-Adresse mit Tippfehler („microsft.com" statt „microsoft.com")
B Die Mail ist auf Deutsch und nicht auf Englisch Richtig – KI-gestütztes Phishing produziert mittlerweile fehlerfreies Deutsch. Sprache allein ist kein Warnzeichen mehr.
C Dringlichkeit („Bitte sofort antworten – Frist heute Abend")
D Aufforderung, einen Login-Link zu klicken
Quiz-Modus: Wer eine Frage falsch beantwortet, sieht die richtige Antwort plus eine Mikro-Erklärung. Am Ende werden falsch beantwortete Themen automatisch in einen 5-Minuten-Wiederholungs-Block gepackt.

Beispiel-Zertifikat (PDF, 1 Seite)

Was auf dem Zertifikat steht

Schulungs-Zertifikat

nach Art. 39 Abs. 1 lit. b DSGVO

frag.hugo

Max Mustermann

Mustermann GmbH · Buchhaltung

ModulPhishing-Erkennung (M03)
Dauer22 Minuten
Score87 % (7/8)
Bestanden am14. Mai 2026
Gültig bis14. Mai 2027
Ausstellerfrag.hugo InfoSec GmbH
HL-2026-M03-9F3A-2B7C-E81D verify.fraghugo.de

Jedes Zertifikat hat eine eindeutige GUID und einen Verifikations-Link. Auditoren (ISO 27001, TISAX, KRITIS) prüfen die Echtheit online. Zertifikate sind 12 Monate gültig, danach erneuert die Plattform automatisch.

Warum das wichtig ist: Aufsichtsbehörden und Auditoren akzeptieren nur Schulungsnachweise, die personenbezogen, datiert und mit Inhaltsangabe versehen sind. Pauschale Aussagen wie „Alle Mitarbeiter wurden geschult" reichen nicht. Hugo Learn produziert das Format, das ein Auditor erwartet – mit einem Klick als Sammel-Export im ZIP für die ganze Belegschaft.

Die Quiz-Logik ist absichtlich nicht prüfungs-, sondern lernzentriert: Wer eine Frage falsch beantwortet, sieht sofort die richtige Antwort plus eine 2-Satz-Erklärung – nicht erst am Ende. Wer mit weniger als 80 % besteht, bekommt eine Liste der falsch beantworteten Themen und kann sie als 5-Minuten-Refresh nacharbeiten, bevor er den Quiz wiederholt. Das spart Zeit (kein doppeltes Lernen von Themen, die sitzen) und erhöht die Behaltequote messbar – wir sehen in unseren Mandaten nach sechs Monaten typisch 30 % bessere Quiz-Ergebnisse im Wiederholungsbreaking als zum Zeitpunkt der Erst-Schulung.

Branchen-Tiefe

Zusatzpakete für regulierte Branchen

Ab Hugo DSB Professional. Jedes Branchenpaket bringt 3–5 Tiefenmodule mit echten Fällen aus der jeweiligen Praxis – inklusive Vorlagen für branchenspezifische Richtlinien.

Logistik & Spedition

  • Telematik-Daten und Fahrer-Tracking – Beschäftigtendatenschutz
  • Subunternehmer-Audits nach NIS2 Art. 21 Abs. 2 lit. d
  • Verkehrslagedaten und KRITIS-Verkehr Schwellwert 1.500 Tsd. Tonnen
  • GPS-Tracking von Privat-Pkw bei Außendienst

Pharma, Health & MedTech

  • Patientendaten nach Art. 9 DSGVO – besondere Kategorien
  • GxP-Compliance und Datenintegrität in QM-Systemen
  • Telematikinfrastruktur, KIM, ePA-Anbindung
  • Pseudonymisierung in klinischen Studien

Anwaltskanzlei & Notariat

  • Mandantengeheimnis (§ 43a BRAO) vs. DSGVO-Auskunft
  • beA und sichere Mandantenkommunikation
  • RAVPV-Konformität bei IT-Dienstleistern
  • Verschwiegenheitspflichten externer Mitarbeiter

Versicherung & Finanzberatung

  • Bestandsdaten, Schadensdaten, Bonitätsdaten – die drei Säulen
  • VVG und DSGVO – Pflichten beim Vertragsabschluss
  • Wirecard-Lehren: Subunternehmer-IT-Sicherheit
  • DORA-Schwellen für kleine Vermittler

Bau & Handwerk

  • Mitarbeiter-Daten auf wechselnden Baustellen (Stundenzettel-Apps)
  • GPS-Tracking von Firmen-Pkw und Baumaschinen
  • Kundenfotos und Bauprojekt-Dokumentation
  • Auftragsverarbeitung mit Subunternehmern

Steuerberatung & WP

  • Mandantendaten in DATEV-, Addison-, Sage-Umgebungen
  • Berufsgeheimnis (§ 57 StBerG) und IT-Dienstleister
  • Lohnbuchhaltung – besondere Kategorien aus Art. 9
  • Belegausgabepflicht und Kassensysteme
Wie schnell läuft das?

Von der Bestellung bis zum ersten Zertifikat – 30 Tage

Wir haben den Prozess in 30 Tagen sauber durchgetaktet. Sie machen Onboarding-Kickoff, wir machen den Rest.

Tag 1

Kickoff & Mandanten-Setup

45-Minuten-Videocall mit Nils. Wir legen Ihre Organisation an, klären Abteilungsstruktur, definieren Pflichtmodule pro Gruppe und richten Single-Sign-On ein.

Tag 2–3

Mitarbeiter-Einladungen

CSV-Import oder M365-Sync. Einladungs-Mail geht raus mit Erklärtext und SSO-Login. Erinnerungen automatisch nach 7 und 14 Tagen.

Tag 7

Erste Phishing-Simulation (Stufe 1)

Baseline-Messung – ohne Schulung. Wir wissen jetzt, wo Sie stehen. Klicker bekommen die Sofort-Schulung, Nicht-Klicker eine kurze Lob-Mail („Gut erkannt, weiter so").

Tag 14

Erste Pflichtmodule abgeschlossen

Bei den meisten Mandanten haben 70–80 % nach zwei Wochen die ersten zwei Basis-Module durch. Säumige bekommen einen freundlichen Reminder mit „Ihr Vorgesetzter sieht Ihre Quote".

Tag 30

Erstes Quartals-Reporting

PDF-Bericht für die Geschäftsleitung: Teilnahmequote, Quiz-Score-Durchschnitt, Phishing-Klickrate Stufe 1 vs. Re-Test. Plus Empfehlung für die nächsten 90 Tage.

Was Sie in den ersten 30 Tagen leisten müssen: Ein 45-Minuten-Kickoff, eine CSV-Liste Ihrer Mitarbeiter (oder Microsoft-365-Zugang), eine Entscheidung über Pflichtmodule pro Abteilung. Das war's. Den Rest macht die Plattform. Wir haben in den letzten 18 Monaten mehr als 60 Mandanten onboarded und den Prozess auf das Wesentliche reduziert – jede Frage, die in mehr als drei Kickoffs gestellt wurde, ist jetzt vorbeantwortet im Setup-Wizard.

Was Sie ab Tag 30 leisten müssen: Einmal pro Quartal 30 Minuten Zeit für das Reporting. Wir senden Ihnen den PDF-Bericht vorab, gehen ihn auf Wunsch in einem Videocall mit Ihnen durch und entscheiden gemeinsam, was die nächsten 90 Tage Priorität bekommt. Mehr Aufwand ist nicht.

Preise

Hugo Learn ist in jedem Hugo-DSB-Tarif enthalten

Bewusste Entscheidung: Wir bündeln Schulung mit der DSB-Plattform. Geschulte Mitarbeiter ohne dokumentiertes Verzeichnis von Verarbeitungstätigkeiten Die zentrale Datenschutz-Dokumentation: Was wird wo, wie und wozu verarbeitet. Pflicht nach Art. 30 DSGVO und das erste, was eine Aufsichtsbehörde anfordert. , ohne AVV-Management und ohne Datenpannen-Prozess sind kein Compliance-Nachweis. Beides zusammen ergibt erst Sinn.

Starter

149 €

netto/Monat · zzgl. USt

  • 5 Basis-Module
  • bis 25 Mitarbeiter
  • Quiz & Zertifikat
  • jährliches Reporting
Details bei Hugo DSB →
Empfohlen

Professional

299 €

netto/Monat · zzgl. USt

  • Alle 14 Module
  • bis 100 Mitarbeiter
  • Phishing-Simulation Stufe 1+2
  • monatliche KI-Lektion
  • Branchen-Zusatzpakete
  • Quartals-Reporting
Details bei Hugo DSB →

Enterprise

499 €

netto/Monat · zzgl. USt

  • Alle Features
  • bis 250 Mitarbeiter
  • Phishing-Simulation alle Stufen
  • M365 Auto-Sync
  • KI-Chatbot „Hugo" für Mitarbeiter
  • eigene Inhalte einbindbar
  • SLA & benannter Ansprechpartner
Details bei Hugo DSB →

Brutto-Preise (inkl. 19 % USt): 177,31 € Starter · 355,81 € Professional · 593,81 € Enterprise. Monatlich kündbar, keine Setup-Gebühr, 30 Tage Geld-zurück-Garantie.

Ihr persönlicher Berater

Wer am Telefon sitzt, wenn Sie anrufen.

Nils Oehmichen – Datenschutzberater & Geschäftsführer
Hamburg · persönlich · seit 2024

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Bei frag.hugo telefonieren Sie direkt mit Nils — kein Account-Manager, keine Hotline. Er ist seit über 13 Jahren TÜV-zertifizierter Datenschutzberater für Mittel­ständler und kennt DSGVO-Schulungen und Cyber-Awareness im Mittelstand aus über 200 Mandaten.

TÜV-zertifiziertBVMID Hamburg13+ Jahre externe DSB200+ Mandate
Vollständiges Profil Angebot anfordern 15-Min-Termin LinkedIn
Häufige Fragen

Was Geschäftsführer vor dem Kauf wissen wollen

Ja. Art. 39 Abs. 1 lit. b DSGVO verpflichtet jeden Verantwortlichen, seine Beschäftigten zu sensibilisieren und zu schulen. § 26 BDSG konkretisiert das für den deutschen Beschäftigtenkontext. Ohne Schulungsnachweis greift im Bußgeldfall der Verschärfungsfaktor „mangelnde organisatorische Maßnahme" – bis zu 20 Mio. € oder 4 % des weltweiten Konzernumsatzes. Mit NIS2 (seit 17. Oktober 2024 in Kraft, ab 2026 vollständig umgesetzt) kommt die Schulungspflicht auch für die Geschäftsleitung dazu – persönlich haftend.

Sie als Geschäftsführer bleiben verantwortlich – Sie müssen nachweisen, dass Sie die Schulung angeboten und die Teilnahme nachgehalten haben. Hugo Learn schickt automatische Erinnerungen nach 7 und 14 Tagen, das Reporting zeigt offene Quoten. Bei wiederholter Verweigerung haben Sie eine arbeitsrechtliche Grundlage (Weisungsrecht aus § 106 GewO), die Teilnahme als Arbeitspflicht durchzusetzen. Wir liefern auf Anfrage eine vorformulierte Betriebsvereinbarung, die genau diesen Fall regelt.

Die Basis-Module dauern 15–25 Minuten, inklusive Quiz. Tiefenmodule (z. B. NIS2-Grundlagen, AI Act, Auftragsverarbeitung) gehen bis 45–60 Minuten. Wir empfehlen, pro Quartal ein Modul zu absolvieren – das ist genug Wiederholung, ohne dass es zur Last wird. Die Lektionen lassen sich pausieren und am nächsten Tag fortsetzen.

Im Starter sind die fünf Basis-Module branchenneutral. Ab Hugo DSB Professional liefern wir branchenspezifische Pakete – Logistik, Pharma/Healthcare, Anwaltskanzlei, Versicherung, Bau/Handwerk, Steuerberatung. Jedes Paket bringt 3–5 zusätzliche Module mit echten Fallbeispielen aus der jeweiligen Branche (etwa Mandantengeheimnis vs. DSGVO für Kanzleien oder Telematik-Daten für Speditionen).

Im Enterprise-Tarif ja: Sie können eigene Slides oder Videos hochladen, eigene Quiz-Fragen formulieren und ein internes Modul „Unsere Richtlinie zur Nutzung von ChatGPT" oder „Umgang mit Mandantendaten in unserer Kanzlei" einbinden. Wir prüfen den Inhalt einmalig kostenlos auf rechtliche Korrektheit und integrieren ihn in die Lernumgebung.

Auf eigenen Servern bei Hetzner Online GmbH in Falkenstein und Nürnberg. ISO 27001 zertifiziert, ausschließlich in Deutschland. Kein US-Cloud-Anbieter, kein Drittland-Transfer, keine Schrems-II-Problematik. Verschlüsselung in transit (TLS 1.3) und at rest (AES-256). Backups täglich, Aufbewahrung 30 Tage.

Vor Vertragsende erhalten Sie auf Knopfdruck einen vollständigen Export aller Schulungsnachweise und Zertifikate als ZIP (PDF + CSV). Nach Vertragsende laufen 30 Tage Schutzfrist, in denen Sie den Export erneut anfordern können. Danach werden personenbezogene Daten irreversibel gelöscht – Mitarbeiter-Namen, E-Mail-Adressen, Quiz-Antworten. Aggregierte Statistiken (anonym) bleiben in unseren Benchmark-Daten.

Ja. Hugo Learn ist responsiv aufgebaut, die Module funktionieren in Mobile-Safari, Chrome und Firefox auf iOS und Android. Keine App-Installation nötig – das ist Absicht, weil Privat-Smartphones nicht mit Firmen-Apps belegt werden sollen. Wer pendelt, kann das Phishing-Quiz auf dem Weg zur Arbeit erledigen.

Quartalsweise PDF-Report mit den wichtigsten Kennzahlen: Teilnahmequote (Soll vs. Ist), Quiz-Durchschnittsscore, Phishing-Klickrate (relevant bei Pro/Enterprise), Top-5-Risikoabteilungen, To-dos für das nächste Quartal. Plus Excel-Export der Rohdaten. Für ISO-27001- oder TISAX-Audits liegt der Report im erforderlichen Format vor – Auditoren akzeptieren ihn als Nachweis nach Annex A.7.2.2.

Drei Punkte. (1) Sprache und Recht: Hugo Learn ist von Anfang an auf Deutsch geschrieben, mit deutschem Datenschutzrecht im Mittelpunkt – nicht aus dem Englischen übersetzt. (2) Mensch dahinter: Bei Fragen telefonieren Sie mit Nils Oehmichen (TÜV-zertifizierter Datenschutzberater) oder Jens Hagel (21 Jahre IT-Unternehmer), nicht mit einem Support-Ticket. (3) Preis-Modell: Hugo Learn ist Teil von Hugo DSB – ab 149 €/Monat ist alles drin (Schulung + DSB-Plattform + Hugo Check). SoSafe liegt bei rund 4–7 €/Mitarbeiter/Monat, KnowBe4 ähnlich, das macht bei 50 Mitarbeitern 200–350 €/Monat nur für Awareness – ohne DSB-Funktionen.

Hugo Learn ist aktuell nicht als Stand-alone-Produkt buchbar. Wir bündeln es bewusst mit Hugo DSB, weil Schulung ohne DSB-Strukturen (VVT, AVV, TOMs, Datenpannen-Prozess) wirkungslos bleibt – geschulte Mitarbeiter ohne dokumentierte Verarbeitungen sind kein Compliance-Nachweis. Wenn Sie nur Phishing-Simulation und Awareness suchen, verweisen wir ehrlich auf SoSafe oder Hornetsecurity. Wenn Sie DSGVO-Compliance ganzheitlich aufbauen wollen, beginnen Sie bei Hugo DSB Starter ab 149 €.

Ja, sobald Sie eine Phishing-Simulation einsetzen oder Schulungsfortschritt personenbezogen auswerten. § 87 Abs. 1 Nr. 6 BetrVG (technische Einrichtungen zur Verhaltens-/Leistungskontrolle) ist einschlägig. Wir liefern eine Muster-Betriebsvereinbarung, die Themen wie Anonymisierung der Klickraten auf Abteilungsebene, Aufbewahrungsfristen und Zweckbindung regelt. Bei Bedarf nehmen wir an einem Termin mit Ihrem Betriebsrat teil.

Vertiefen Sie das Thema

Kostenlose Ressourcen für Ihre Schulungs-Planung

15 Minuten reichen, um zu sehen, ob das passt

Im Erstgespräch klären wir, wie viele Mitarbeiter Sie schulen müssen, welche Module Pflicht sind und was ein realistischer Zeitplan ist. Kein Verkaufsdruck – Sie entscheiden danach in Ruhe.

Erstgespräch buchen (15 Min) Hugo DSB ansehen

Lieber erstmal schreiben? Kontaktformular

Nils Oehmichen – Gründer und Datenschutzberater bei frag.hugo
„Keine Frage ist doof. Wenn Mitarbeiter im Zweifel sind, sollen sie fragen – nicht klicken.“
Nils Oehmichen

Passt zu Hugo Learn

Hauptprodukt

Hugo DSB

Externe Datenschutzbeauftragten-Plattform mit VVT, AVV, TOMs, Datenpannen-Workflow, Schulung. Ab 149 €/Monat.
Ergänzend

Hugo Shield

NIS2-Lieferketten-Compliance. Self-Assessment für Zulieferer, Dashboard für Auftraggeber. Ab 0 € für Zulieferer.
Beratung

Externer DSB Hamburg

Nils als externer Datenschutzbeauftragter. TÜV-zertifiziert, BVMID, über 200 Mandate aus dem norddeutschen Mittelstand.