Erfahrung aus über 190 Unternehmen —
für Ihre Sicherheit.
Unsere Gründer führen zusammen ein Team von über 42 Mitarbeitern im IT-Sicherheits- und IT-Service-Bereich und bringen über 45 Jahre gemeinsame Erfahrung mit. Aufgrund der Sensibilität unseres Tätigkeitsbereichs bleiben unsere Kunden anonym. Die Ergebnisse sprechen für sich.
Ausgewählte Referenzen.
Metallverarbeitung · 135 Mitarbeiter · Metropolregion Hamburg
Ausgangslage
Mai 2018, vier Wochen vor Inkrafttreten der DSGVO. Der Geschäftsführer eines Metallverarbeiters hatte das Thema Datenschutz bis dahin ignoriert. Keine Dokumentation, kein Verarbeitungsverzeichnis, keine Mitarbeiterschulungen. Und dann kamen die ersten Anfragen von Großkunden: Wie steht ihr beim Datenschutz da?
Was wir gemacht haben
- Persönliches Erstgespräch mit der Geschäftsleitung – Bestandsaufnahme in 2 Stunden
- Erstellung aller Pflichtdokumente: VVT, Datenschutzkonzept, TOMs
- Prüfung und Abschluss aller Auftragsverarbeitungsverträge mit Dienstleistern
- Schulung der Fachabteilungen Personal, Buchhaltung und IT
„Der Mandant war anfangs sehr skeptisch. Nach einem Jahr hat er sich bedankt und gesagt: Mensch, das ist toll, dass wir das angegangen sind. Wir haben viele Prozesse hinterfragt, viel verändert. Der Datenschutz hat geholfen, sein Unternehmen besser zu verstehen."
— Nils Oehmichen, über dieses Projekt
Ambulanter Pflegedienst · 48 Mitarbeiter · Schleswig-Holstein
Ausgangslage
Der Pflegedienst wollte eine Kundenzufriedenheitsmessung durchführen – anonymisiert, per Online-Tool. Klingt harmlos. Aber: Die Kunden geben auf dem Portal eines externen Anbieters ihre Bewertung ab. Dabei wird die IP-Adresse übertragen. Ergo: personenbezogene Daten, Auftragsverarbeitungsvertrag nötig. Ohne Prüfung wäre die Umfrage rechtswidrig gewesen.
Was wir gemacht haben
- Datenschutzrechtliche Bewertung des Umfrage-Tools innerhalb von 4 Stunden
- Anforderung und Prüfung des AVV beim Toolanbieter (Subunternehmer, Drittlandtransfer, TOMs)
- Freigabe und datenschutzkonformer Start der Kundenbefragung
- Dokumentation im Verarbeitungsverzeichnis als neue Verarbeitungstätigkeit
„Innerhalb von 24 Stunden war der Fall geklärt. Der Mandant wusste: Er kann jetzt datenschutzkonform eine Umfrage an seine Kunden losschicken. Genau so soll die Arbeit mit einem Datenschutzbeauftragten stattfinden."
— Nils Oehmichen, über dieses Projekt
IT-Beratung · 15 Mitarbeiter · Hamburg
Ausgangslage
Der Geschäftsführer öffnete eine E-Mail, die tatsächlich von einem echten Geschäftspartner stammte. Darin: ein OneDrive-Link. Er gab seine M365-Zugangsdaten ein – samt MFA-Code. Nichts passierte. Augenscheinlich. Im Hintergrund hatte ein Angreifer Zugriff auf sein Postfach und verschickte die gleiche E-Mail an alle Geschäftskontakte. Ein Schneeballsystem, das sich über die gesamte Lieferkette ausbreitete.
Was wir gemacht haben
- Sofortige Sperrung des kompromittierten Kontos und Passwort-Reset
- Datenpannen-Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden
- Forensische Analyse der M365-Logs – Identifikation des MFA-Bypass-Vektors
- Intensiv-Schulung aller Mitarbeiter zu Phishing-Erkennung und sicherem Login
„MFA muss doch davor schützen – das denken wir alle. Dieser Fall hat gezeigt: Selbst gute Sicherheitssysteme können umgangen werden. Am Ende zählt, wie schnell man reagiert und wie gut die Mitarbeiter geschult sind."
— Nils Oehmichen, über dieses Projekt
Komponentenfertigung · 85 Mitarbeiter · Niedersachsen
Ausgangslage
10. Oktober: E-Mail vom Mandanten. Am 15. Oktober – also fünf Tage später – steht die TÜV-Rezertifizierung ISO 9001 an. Der Auditor hat vorab mitgeteilt, welche Dokumente fehlen: IT-Risikoanalyse, technisch-organisatorische Maßnahmen, IT-Notfallplan. Keines davon existierte. Die Zertifizierung stand auf der Kippe.
Was wir gemacht haben
- Erstellung einer vollständigen IT-Risikoanalyse über das Wochenende
- Dokumentation aller technisch-organisatorischen Maßnahmen (TOMs)
- Ausarbeitung eines IT-Notfallplans mit Wiederanlaufprozeduren
- Bereitstellung am Dienstag – einen Tag vor dem Audit
„Der Auditor war begeistert. Eine super schöne Dokumentation, zeigt viele Risiken auf, klar dokumentiert. Und der Kunde hat zum ersten Mal gesehen, wo eigentlich seine echten Risiken liegen."
— Nils Oehmichen, über dieses Projekt
Industriezulieferer · 150 Mitarbeiter · Norddeutschland
Ausgangslage
Das Unternehmen produziert Komponenten für kritische Infrastrukturen. Obwohl es selbst nicht unter NIS2 fällt, kamen plötzlich Fragebögen von Großkunden – öffentliche Auftraggeber und Konzerne. 38 Fragen, zwei Seiten, Nachweise verlangt. Wer nicht liefert, fliegt aus der Lieferkette. Die Geschäftsbeziehungen standen auf dem Spiel.
Was wir gemacht haben
- Bestandsaufnahme: Welche Nachweise sind vorhanden, welche fehlen?
- Erstellung einer umfassenden Richtliniensammlung (Datenschutzkonzept, IT-Sicherheitsrichtlinie)
- Dokumentation aller TOMs mit konkreten Nachweisen für den Fragebogen
- Beantwortung des Lieferantenaudits und Einreichung beim Auftraggeber
„Es trifft auch die kleineren Unternehmen, die nicht direkt unter NIS2 fallen – aber aufgrund der Lieferkette ein wichtiger Bestandteil der Unternehmen sind, die unter das Gesetz fallen. Ohne Vorbereitung verlieren sie ihre Großkunden."
— Nils Oehmichen, über dieses Projekt
Branchenübergreifend · 43+ Mandate · Industrie, Schifffahrt, Gesundheit, Dienstleistung u.v.m.
Was uns unterscheidet
Viele externe Datenschutzbeauftragte arbeiten nach Schema F – eine Vorlage für alle. Durch 43+ Mandate in völlig unterschiedlichen Branchen kennen wir die realen Herausforderungen: Die Reederei mit Besatzungsdaten und GPS-Tracking hat andere Probleme als der Pflegedienst mit Gesundheitsdaten oder die Grafikagentur mit drei Mitarbeitern, die plötzlich AVVs für Großkunden braucht.
Wie wir arbeiten
- Jährlicher Schulungsplan – auf Deutsch und Englisch, vor Ort oder per Teams
- Pragmatische AVV-Prüfung bei neuen Tools und Dienstleistern (Reaktionszeit < 24h)
- Audit mit 140+ Fragen an Fachabteilungen, Maßnahmenplan für die Geschäftsleitung
- Datenpannen-Management: Meldung, Dokumentation, Behördenkontakt
Erfahrung in über 15 Branchen
„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen."
Die Köpfe hinter frag.hugo.
Nils Oehmichen
Geschäftsführer & zert. Datenschutzberater
Nils betreut persönlich alle Datenschutz-Mandate und steht als direkter Ansprechpartner zur Verfügung. Mit über 25 Jahren Erfahrung in IT-Sicherheit und Datenschutz kennt er die Herausforderungen jeder Branche — von der Reederei bis zum Produktionsbetrieb.
Online-Termin buchen
Jens Hagel
Technischer Geschäftsführer
Jens verantwortet die technische Seite von frag.hugo. Als Geschäftsführer der hagel IT-Services GmbH führt er ein Team von über 35 IT-Spezialisten, betreut mehr als 150 Unternehmen und bringt 22 Jahre Erfahrung als Unternehmer in IT-Sicherheit und IT-Service mit. Zusammen mit Nils' Team beschäftigen die Gründer über 42 Mitarbeiter — kein Zwei-Mann-Betrieb, sondern echte Umsetzungskraft.
Detaillierte Fallstudien
auf Anfrage.
Wir haben ausführliche Projekt-Dokumentationen mit konkreten Ergebnissen vorbereitet, die wir Ihnen vertraulich zusenden. Vereinbaren Sie ein unverbindliches Erstgespräch.
