Externer Datenschutzbeauftragter in Hamburg, Berlin und München: Bestellung in zwei Werktagen

Nach Art. 37 DSGVO und § 38 BDSG müssen Unternehmen in Deutschland einen Datenschutzbeauftragten benennen, sobald in der Regel mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten oder eine Kerntätigkeit eine umfangreiche regelmäßige Beobachtung erfordert. Wer Standorte in Hamburg, Berlin und München gleichzeitig betreibt, steht vor der Frage, ob drei lokale Beauftragte bestellt werden oder eine einheitliche externe Lösung gewählt wird. Die Antwort entscheidet über Kosten, Berichtslinie und Audit-Festigkeit der gesamten Dokumentation und prägt zugleich, wie schnell Aufsichtsanfragen, Datenpannen und Betroffenenrechte bearbeitet werden können.

Dieser Leitfaden adressiert die Standortfrage konkret. Sie erfahren, welche Pflichten sich aus der gleichzeitigen Präsenz in drei Stadtstaaten und Bundesländern ergeben, welche Aufsichtsbehörde für welchen Standort zuständig ist und wie Sie eine externe Bestellung organisieren, die alle drei Sitze abdeckt. Sie lesen, welche Bußgelder im Raum stehen, wie die drei Behörden HmbBfDI, BlnBDI und BayLDA in der Praxis arbeiten und welche Verfahrensbesonderheiten an jedem Standort gelten. Sie sehen, welche Kostenstruktur ein Multi-Standort-Mandat realistisch hat und welche Bausteine in einer Plattformlösung enthalten sind. Am Ende steht ein konkretes Vorgehen mit Bestellurkunde, Berichtslinie und 490 Audit-Vorlagen, das innerhalb von zwei Werktagen einsatzbereit ist und nicht erst nach mehreren Wochen Vertragsverhandlung im Anwaltsbüro. Die Sie-Form ist durchgehend gewahrt, sämtliche Pflichten sind mit Paragraph und Norm belegt.

Die Bestellpflicht ergibt sich aus Art. 37 Abs. 1 DSGVO in Verbindung mit § 38 Abs. 1 BDSG. Sobald in der Regel mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter zu benennen. Diese Schwelle gilt unternehmensweit und nicht pro Standort. Wer in Hamburg 8, in Berlin 9 und in München 7 Mitarbeitende beschäftigt, überschreitet bei 24 Köpfen die Schwelle und muss benennen, auch wenn kein einzelner Standort allein die 20-Personen-Marke erreicht. Die Schwelle ist ein Indikator, kein Schutzschild, und gilt auch dann, wenn die Mitarbeitenden in Teilzeit oder im Homeoffice arbeiten.

Hinzu kommt die Kerntätigkeitsklausel aus Art. 37 Abs. 1 lit. b und c DSGVO. Wer regelmäßig und systematisch Beobachtungen oder besondere Datenkategorien nach Art. 9 DSGVO verarbeitet, ist unabhängig von der Mitarbeiterzahl bestellpflichtig. Typische Fälle sind HR-Tech-Plattformen, Gesundheitsdienste, Marketing-Analytics mit Tracking, Fintechs mit Bonitätsprüfungen oder Versicherungsvermittler mit Schadensdaten. In diesen Konstellationen ist die Pflicht ab dem ersten Mitarbeitenden gegeben und wird von den Aufsichtsbehörden bei Anlassprüfungen regelmäßig kontrolliert. Verstöße gegen die Bestellpflicht sind nach Art. 83 Abs. 4 DSGVO bußgeldbewehrt mit bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Vorjahresumsatzes.

Praktisch heißt das: Ein einziger DSB für alle drei Standorte ist nicht nur möglich, sondern aus Sicht der Aufsichtsbehörden meist wünschenswert, weil er eine konsistente Anlaufstelle bietet. Verantwortlich bleibt das Unternehmen als juristische Person, die Bestellurkunde wird zentral erstellt und im Verfahrensverzeichnis nach Art. 30 DSGVO referenziert. Wer dabei einen externen Datenschutzbeauftragten bestellt, vermeidet Loyalitätskonflikte mit der Linie, Vertretungslücken im Urlaub und das fachliche Risiko, dass ein interner Beauftragter ohne Vorerfahrung Aufsichtsanfragen lösen muss. Hinzu kommt der besondere Kündigungsschutz interner Beauftragter nach § 6 Abs. 4 BDSG, der bei externen Mandaten keine Rolle spielt. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Hamburg, Berlin und München werden von drei unterschiedlichen Landesaufsichtsbehörden überwacht. Zuständig in Hamburg ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), in Berlin die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) und in München das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) für die Privatwirtschaft. Welche Behörde im Einzelfall federführend ist, bestimmt sich nach dem Sitz der Hauptverwaltung, regelmäßig dem Ort der Hauptniederlassung gemäß Art. 4 Nr. 16 DSGVO. Bei grenzüberschreitenden Sachverhalten greift zusätzlich das One-Stop-Shop-Verfahren nach Art. 56 DSGVO und führt die federführende Behörde mit den betroffenen Aufsichten in einen abgestimmten Beschluss.

Die drei Behörden unterscheiden sich in der Aufsichtspraxis spürbar. Der HmbBfDI hat in den letzten Jahren auffallend früh zu Tracking, Telemetrie und internationalem Datentransfer publiziert und arbeitet eng mit Verbraucherschutzverbänden zusammen. Die BlnBDI ist bekannt für eine konsequente Linie bei Beschäftigtendaten und HR-Tools und hat in mehreren Fällen Bußgelder im sechs- und siebenstelligen Bereich erlassen, unter anderem im Bereich Bewerbermanagement und Mitarbeiterüberwachung. Das BayLDA hat operative Schwerpunkte bei Direktmarketing, B2B-Adressen, Cookies und Bildverarbeitung in Industriebetrieben und veröffentlicht detaillierte Tätigkeitsberichte mit Bußgeldindikationen. Wer in allen drei Räumen arbeitet, muss die jeweiligen Auslegungen kennen und in Stellungnahmen berücksichtigen.

Operativ bedeutet das eine zentrale Berichtslinie. Der externe DSB berichtet an die Geschäftsführung als verantwortliche Stelle nach Art. 38 Abs. 3 DSGVO, koordiniert Anfragen der jeweiligen Aufsicht und führt das Verfahrensverzeichnis pro Verarbeitungstätigkeit, nicht pro Standort. CIVAC arbeitet als Compliance-Plattform und Officer-as-a-Service genau in dieser Logik: eine Berichtslinie, eine Dokumentation, drei adressierbare Aufsichtsbehörden mit standortspezifischer Korrespondenzhistorie und sauber getrennten Aktenständen. Korrespondenz, Schriftsätze, Fristenkalender und interne Stellungnahmen liegen versioniert vor und sind im Audit-Fall innerhalb von Minuten reproduzierbar. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer dieses Konstrukt zuvor in drei separaten Anwaltskanzleien koordiniert hat, kennt den Unterschied.

Kosten für einen externen Datenschutzbeauftragten richten sich nach drei Faktoren: Mitarbeiterzahl, Komplexität der Verarbeitungstätigkeiten und Art der Datenkategorien. Für Unternehmen mit 30 bis 80 Beschäftigten und Standardverarbeitungen bewegen sich klassische Mandate in Deutschland in einer Spanne von etwa 600 bis 1.800 Euro monatlich. Bei Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO oder Profiling steigen die Honorare in Bereiche ab 2.000 Euro aufwärts. Reise- und Begehungstermine werden gesondert abgerechnet, oft mit Stundensätzen zwischen 180 und 280 Euro netto. Hinzu kommen einmalige Aufwände für Initial-Audit, Risikobewertung und das Aufsetzen des Verfahrensverzeichnisses, die je nach Kanzlei zwischen 3.000 und 8.000 Euro liegen können.

Mehrere Standorte erhöhen den Aufwand selten linear. Wer in Hamburg, Berlin und München tätig ist, hat in der Regel zentralisierte HR-, Marketing- und Vertriebsstrukturen. Die meisten Verarbeitungstätigkeiten laufen über zentrale Systeme wie CRM, HRIS und Ticketing. Was tatsächlich pro Standort variiert, sind örtliche Begehungen, Betriebsratsthemen, Beschäftigtendatenschutz, lokale Marketingaktionen und gelegentliche Anfragen lokaler Aufsichtsbehörden. Der inhaltliche Kern bleibt der gleiche, die Korrespondenz wird differenziert geführt. Wer diese Differenzierung sauber abbildet, spart messbar Zeit bei jeder Aufsichtskorrespondenz.

Bei einem Plattformmodell sind die Kosten typischerweise flacher und transparenter. Die Bestellurkunde wird einmal erstellt, der Workspace dokumentiert alle drei Standorte in einer Mandantenstruktur, Audit-Vorlagen und Datenschutzfolgenabschätzungen sind wiederverwendbar. Wer drei separate lokale Anwaltskanzleien beauftragt, zahlt drei Grundpauschalen plus Reisezeit und hat drei verschiedene Schreibstile, drei verschiedene Mandatsleiter und drei verschiedene Eskalationswege. Wer den externen Datenschutzbeauftragten über eine Plattform mandatiert, hat einen Vertrag, eine Rechnung und eine Eskalationsadresse. Das senkt nicht nur die direkten Kosten um typischerweise 25 bis 45 Prozent, sondern auch den Koordinationsaufwand im Tagesgeschäft und das Risiko widersprüchlicher Bewertungen identischer Verfahren. Im internen Reporting an die Geschäftsführung bedeutet das einen einzigen Statusbericht statt drei einzelner Anwaltsmemos.

Die Bestellung nach Art. 37 DSGVO erfolgt durch die Geschäftsführung in Schriftform. Inhalt sind die Identifikation des Bestellten, der Geltungsbereich, der Beginn der Bestellung sowie die Berichtslinie an die höchste Managementebene gemäß Art. 38 Abs. 3 DSGVO. Bei mehreren Standorten muss der Geltungsbereich alle drei Niederlassungen ausdrücklich umfassen. Ein bloßer Verweis auf die Hauptniederlassung genügt nicht, wenn andere Standorte selbst Verantwortliche im Sinne der DSGVO sind oder gegenüber Beschäftigten und Betroffenen als eigener Datenverarbeiter auftreten.

Der Aufgabenkatalog ergibt sich aus Art. 39 DSGVO und umfasst Beratung, Überwachung, Schulungen, die Zusammenarbeit mit der Aufsichtsbehörde und die Anlaufstellenfunktion für Betroffene. In der Praxis kommen Aufgaben hinzu, die nicht zwingend gesetzlich vorgegeben sind: Pflege des Verzeichnisses nach Art. 30 DSGVO, Begleitung von Datenschutzfolgenabschätzungen nach Art. 35 DSGVO, Prüfung von Auftragsverarbeitungs-Verträgen mit Dienstleistern, Stellungnahmen zu neuen Tools und die Meldung von Datenpannen innerhalb von 72 Stunden nach Art. 33 DSGVO an die zuständige Aufsicht. Frist läuft ab Kenntnis.

Im CIVAC-Workspace wird die Bestellurkunde als versioniertes Dokument geführt, die Aufgaben sind als Checkliste hinterlegt, und die Berichtslinie ist mit Geschäftsführungs-Terminen verknüpft. Aufsichtsanfragen werden im Workspace erfasst, mit Frist versehen und mit Antwortentwurf in die Berichtslinie eingespielt. Schulungen werden mit Teilnehmerlisten dokumentiert, Datenpannen werden im 72-Stunden-Meldepfad bearbeitet, Betroffenenanfragen nach Art. 15 DSGVO werden in Standardvorlagen beantwortet. Der Prüfer ruft an, der Nachweis liegt bereit. Wer klassische Excel-Listen und PDF-Ordner pflegt, bekommt diese Transparenz nicht ohne erheblichen manuellen Aufwand. Das ist der praktische Unterschied zwischen Compliance als Aktenschrank und Compliance als Software.

Hamburg ist Sitz vieler Medien-, Werbe- und E-Commerce-Unternehmen. Der HmbBfDI hat entsprechende Themen früh und konsequent aufgegriffen. Cookie-Banner, Pixel-Tracking, Server-Side-Tagging, CRM-Profiling und Drittlandstransfers sind regelmäßige Themen in Prüfverfahren und im Tätigkeitsbericht der Behörde. Wer in Hamburg sitzt und mit US-Anbietern arbeitet, sollte die Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie das Transfer Impact Assessment ernst nehmen und für jeden relevanten Dienst dokumentieren. Stichprobenprüfungen durch den HmbBfDI starten meist mit einer Anfrage nach Verzeichnis und TIA, nicht mit einer Vor-Ort-Begehung.

Praktisch sind drei Bereiche relevant. Erstens die Auswahl der Tracking-Tools mit Fokus auf Server-Side- und First-Party-Architekturen, einschließlich der Frage, welche Identifier vor dem Setzen eingewilligt werden müssen. Zweitens die Dokumentation der Rechtsgrundlage für Profiling und Direktwerbung gemäß Art. 6 Abs. 1 DSGVO sowie der Widerspruchsrechte nach Art. 21 DSGVO. Drittens der Umgang mit internationalen Datentransfers in die USA, nach Großbritannien und in weitere Drittländer, ergänzt um den EU-US Data Privacy Framework. Bei Verstößen drohen Bußgelder nach Art. 83 DSGVO bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist. Hinzu kommen Abmahnrisiken nach UWG durch Wettbewerber und Verbände.

Der externe Datenschutzbeauftragte am Standort Hamburg konsolidiert in der Regel die Marketing- und Vertriebsverarbeitung. Er prüft Cookie-Banner-Konfigurationen, schreibt Datenschutzerklärungen mit, begleitet Kampagnen-Setups und führt Datenschutzfolgenabschätzungen, sobald systematisches Profiling stattfindet. Ein zentraler Workspace, in dem Hamburger Verarbeitungen mit ihren Rechtsgrundlagen, Verträgen und Transfer-Risiken dokumentiert sind, ist die Voraussetzung für eine geordnete Kommunikation mit dem HmbBfDI. Audit-fest, dokumentiert, Art. 30-fest. CIVAC stellt dafür eine Vorlagenbibliothek bereit, in der Cookie-Audit, TIA-Template und Drittlandstransfer-Checkliste vorbereitet sind und nur noch standortspezifisch ausgefüllt werden müssen.

Berlin ist Standort einer hohen Dichte an Tech-Unternehmen, HR-Tech-Anbietern und Start-ups. Die BlnBDI hat in den vergangenen Jahren wiederholt zu Beschäftigtendatenschutz, People Analytics und HR-Tools Stellung bezogen. Themen waren unter anderem Hintergrundprüfungen, Bewerberscoring, Performance-Tracking, der Einsatz von Kollaborationstools mit Telemetriefunktion und die Frage, wann Künstliche Intelligenz im HR-Kontext eine Datenschutzfolgenabschätzung erfordert. Bei automatisierten Entscheidungen greift zusätzlich Art. 22 DSGVO mit zwingenden Informations- und Eingriffsrechten der Beschäftigten.

Rechtlich relevant ist § 26 BDSG für den Beschäftigtenkontext, ergänzt durch Mitbestimmungspflichten nach § 87 Abs. 1 Nr. 6 BetrVG, sobald technische Einrichtungen zur Überwachung von Verhalten oder Leistung eingesetzt werden. Wer in Berlin HR-Tools wie Personio, Workday, BambooHR, Lattice oder ähnliche Plattformen einsetzt, sollte Betriebsvereinbarungen, Datenschutzfolgenabschätzungen und Auftragsverarbeitungs-Verträge in einer geschlossenen Akte führen. Lücken in dieser Kette werden in Aufsichtsverfahren regelmäßig moniert und führen in der Vergangenheit zu spürbaren Bußgeldern, etwa wenn Bewerberdaten ohne Rechtsgrundlage länger als notwendig gespeichert wurden oder Performance-Daten ohne Mitbestimmung ausgewertet wurden.

Der externe DSB am Standort Berlin arbeitet typischerweise eng mit HR und Betriebsrat. Er prüft neue Tools vor der Einführung, formuliert die Datenschutzhinweise für Bewerbende und Beschäftigte, begleitet Verhandlungen über Betriebsvereinbarungen aus datenschutzrechtlicher Sicht und sorgt für eine konsistente Dokumentation. Im CIVAC-Workspace ist die HR-Verarbeitung als eigene Verfahrensgruppe mit Rechtsgrundlage, Betriebsvereinbarung, Auftragsverarbeitungs-Vertrag und Transfer-Dokumentation verknüpft. Anfragen Betroffener nach Art. 15 DSGVO werden im Ticketing erfasst, der Antworttext aus Vorlagen gebaut und innerhalb der Monatsfrist nach Art. 12 Abs. 3 DSGVO beantwortet. Wer mit den Standardprozessen arbeitet, gewinnt im Schnitt mehrere Werktage pro Anfrage gegenüber freier Sachbearbeitung und reduziert das Risiko von Folgeanfragen oder Beschwerden bei der BlnBDI.

München und das BayLDA stehen für eine ausgeprägte Linie bei Direktmarketing, Cookies und B2B-Adresshandel. Die Behörde hat Prüfaktionen zu Cookie-Bannern und Telefonwerbung durchgeführt und veröffentlicht detaillierte Tätigkeitsberichte mit konkreten Erwartungshaltungen an Unternehmen. Daneben sind im bayerischen Wirtschaftsraum klassische Industrieunternehmen relevant, bei denen Verfahren mit Lieferanten- und Kundendaten, Bildverarbeitung in Fertigungshallen, Zutrittskontrollsysteme und Werkschutzthemen im Vordergrund stehen. Hinzu kommen wachsende Verfahren rund um vernetzte Maschinen, Predictive Maintenance und IoT-Telemetrie, die ebenfalls personenbeziehbare Daten erzeugen können.

Für die Aufsichtspraxis sind besonders zwei Aspekte zu beachten. Erstens fordert das BayLDA stringente Einwilligungsdokumentation für Marketingaktivitäten gemäß § 7 UWG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Zweitens prüft die Behörde Video- und Bildverarbeitung in Produktion und auf Werksgeländen sehr genau, einschließlich der Frage, ob § 4 BDSG, Art. 6 Abs. 1 lit. f DSGVO oder eine konkrete Betriebsvereinbarung als Rechtsgrundlage trägt. Wer in München produziert und gleichzeitig im B2B-Marketing aktiv ist, hat zwei sehr unterschiedliche Risikofelder gleichzeitig zu beherrschen und sollte beides in einer einheitlichen Verfahrensdokumentation abbilden. Bei Verstößen werden regelmäßig Anordnungen erlassen, die binnen 14 Tagen umzusetzen sind.

Der externe Datenschutzbeauftragte koordiniert hier Marketing, Vertrieb und Produktion. In der Praxis heißt das: ein Verarbeitungsverzeichnis, das Marketingkampagnen, Vertriebsleads, Servicedaten und Werksdaten getrennt führt, eine sauber dokumentierte Einwilligungs- und Widerspruchsverwaltung sowie eine Risikobewertung für jede Form von Bildverarbeitung. Wer hier strukturiert vorgeht und Standardprozesse in einer Plattform abbildet, beantwortet Aufsichtsanfragen aus München mit derselben Logik wie aus Hamburg oder Berlin und vermeidet, dass identische Verfahren in zwei Schriftsätzen unterschiedlich beschrieben werden. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Klassische Mandate für einen externen Datenschutzbeauftragten dauern in der Regel zwei bis sechs Wochen vom Erstkontakt bis zur unterschriebenen Bestellurkunde. Gründe sind Vertragsabstimmungen, Anwaltsabklärungen, Onboarding-Workshops, Datenraum-Setup und individuell formulierte Aufgabenkataloge. Für Unternehmen, die bereits in Hamburg, Berlin und München aktiv sind und dort möglicherweise eine offene Aufsichtsanfrage liegen haben, ist dieser Zeitraum operativ kritisch. Aufsichtsanfragen warten nicht auf interne Vertragsverhandlungen, und auch Betroffenenanfragen nach Art. 15 DSGVO laufen mit ihrer Monatsfrist weiter.

CIVAC arbeitet mit einem standardisierten Bestellpfad, der innerhalb von zwei Werktagen abgeschlossen ist. Tag eins: Kick-off-Call, Übergabe der bestehenden Dokumentation, Identifikation der Standorte, Verarbeitungstätigkeiten und offenen Themen. Tag zwei: Bestellurkunde, Vertrag und erste Risikobewertung sind unterschrieben, der Workspace ist eingerichtet, die Berichtslinie steht, die 25 Beauftragten-Rollen mit ihren Schnittstellen sind hinterlegt. Ab diesem Zeitpunkt ist der externe Datenschutzbeauftragte mit allen 490 Audit-Vorlagen und allen Standardprozessen sofort handlungsfähig. Auch der 72-Stunden-Meldepfad für Datenpannen nach Art. 33 DSGVO ist ab Tag zwei aktiv, einschließlich der Meldetexte für die drei Aufsichten.

Die zentrale Frage ist nicht, wie schnell ein Vertrag unterschrieben werden kann, sondern wie schnell der Beauftragte tatsächlich Vorgänge bearbeiten kann. Das setzt voraus, dass der Workspace, der Aufgabenkatalog und die Berichtslinie vom ersten Tag an existieren. Wer drei lokale Anwälte für Hamburg, Berlin und München mandatiert, hat drei Onboarding-Phasen parallel, drei Kanzleisysteme, drei Sekretariate. Wer Officer-as-a-Service nutzt, hat eine Plattform, eine Berichtslinie und ein gemeinsames Verfahrensverzeichnis. Die EU-Datenresidenz und ein nach ISO/IEC 27001:2022 geführtes ISMS bilden den technischen Unterbau. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Für Multi-Standort-Mandate bedeutet das eine Mandantenstruktur im Workspace mit zentraler Bestellurkunde, standortspezifischen Verfahrensverzeichnissen und einer einheitlichen Berichtslinie an die Geschäftsführung. Die 490 Audit-Vorlagen, der 72-Stunden-Meldepfad nach Art. 33 DSGVO und die Schnittstellen zu den drei zuständigen Aufsichtsbehörden sind vorkonfiguriert. Die Datenhaltung erfolgt mit EU-Datenresidenz, eine nach ISO/IEC 27001:2022 mit ihren 93 Controls geführte Informationssicherheitsorganisation begleitet die Plattform und sichert die Vertraulichkeit der Mandate.

Sie haben zwei Wahlmöglichkeiten. Variante eins: Sie haben bereits einen oder mehrere interne Datenschutzbeauftragte und lizenzieren den Workspace, damit Ihre internen Beauftragten in Hamburg, Berlin und München konsistent arbeiten. Sie behalten die personelle Hoheit, gewinnen aber Audit-Vorlagen, Dokumentationsstandards, EU-Datenresidenz und einen Standardablauf für Aufsichtsanfragen. Variante zwei: Sie übergeben das Mandat. Ein externer Datenschutzbeauftragter wird für alle drei Standorte bestellt, die Arbeit findet im Workspace statt, die Geschäftsführung erhält monatliche Berichte mit konkreten Status- und Fristübersichten und einer Bewertung offener Risiken. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

Wenn Sie heute prüfen wollen, ob ein Multi-Standort-Mandat in zwei Werktagen aufsetzbar ist, dann schreiben Sie uns. Aus dem Lesen einen Auftrag machen: info@civac.de oder das Kontaktformular auf civac.de. Sie erhalten innerhalb eines Werktags eine erste Einschätzung, eine grobe Aufwandsindikation und einen Vorschlag für den Bestellpfad für Hamburg, Berlin und München. Im Erstgespräch klären wir, ob ein einheitliches Mandat oder ein hybrides Modell aus internen und externen Beauftragten zu Ihrer Struktur passt, welche Verfahren als Erstes audit-fest zu dokumentieren sind und wie sich die laufende Berichtslinie an Ihre Geschäftsführung einbettet. Bestellurkunde, unterschrieben, abgelegt, belegbar.