· Ratgeber · 3 Min. Lesezeit
Braucht meine Praxis einen externen Datenschutzbeauftragten?
Wann eine Praxis einen Datenschutzbeauftragten benennen muss, warum es bei Gesundheitsdaten früher so weit sein kann und was ein externer DSB konkret leistet.

„Brauchen wir eigentlich einen Datenschutzbeauftragten?” Diese Frage höre ich in Erstgesprächen mit Praxen und kleinen Betrieben regelmäßig, oft verbunden mit der Hoffnung, dass die Antwort „nein” lautet. Die ehrliche Antwort: Es kommt darauf an, und bei Praxen lohnt ein genauer Blick.
Vorweg: Ich gebe die Rechtslage hier verständlich wieder. Das ersetzt keine Rechtsberatung, eine rechtsverbindliche Beurteilung trifft im Zweifel ein Anwalt.
Wann ist ein Datenschutzbeauftragter Pflicht?
Zwei Regelungen sind entscheidend:
- §38 BDSG: Pflicht ist ein Datenschutzbeauftragter u. a. ab in der Regel 20 Personen, die ständig personenbezogene Daten automatisiert verarbeiten. (Stand 2026; eine Streichung des §38 BDSG ist angekündigt.)
- Art. 37 DSGVO: Bei umfangreicher Verarbeitung sensibler Daten, und Gesundheitsdaten nach Art. 9 DSGVO gehören dazu, kann die Pflicht früher greifen, unabhängig von der Personenzahl.
Für Praxen heißt das: Die reine Kopfzahl des Teams ist nicht das einzige Kriterium. Weil hier täglich Gesundheitsdaten verarbeitet werden, kann die Benennungspflicht auch kleinere Einheiten treffen. Ob das in Ihrem Fall so ist, kläre ich im DSGVO-Quickcheck, einem kompakten Erst-Check mit verständlichem Ampel-Report.
Warum Praxen besonders hinschauen sollten
Auch jenseits der Benennungspflicht gilt: Gesundheits- und Sozialdaten sind besonders geschützt (Art. 9 DSGVO), Verstöße werden strenger geahndet. Dazu kommt die ärztliche bzw. berufliche Schweigepflicht: Wer mit Patientendaten arbeitet, haftet nach §203 StGB auch strafrechtlich für deren Schutz. Und selbst ohne Pflicht verlangen Auftraggeber, Versicherer und Patienten zunehmend belegbaren Datenschutz. Ein Ordner mit Textbausteinen aus dem Internet reicht dafür nicht.
Extern oder intern, was spricht wofür?
Theoretisch können Sie eine Mitarbeiterin oder einen Mitarbeiter zum internen DSB benennen. In kleinen Praxen spricht aus meiner Sicht einiges für die externe Lösung:
- Unabhängigkeit: kein Interessenkonflikt zwischen DSB-Rolle und Tagesgeschäft
- Kein eigener Schulungsaufwand: die Qualifikation bringt der Externe mit
- Kein Sonderkündigungsschutz, wie er beim internen DSB entsteht
- Bei mir zusätzlich: Datenschutz und IT-Sicherheit aus einer Hand. Ich kenne die Technik hinter den TOMs, weil ich sie selbst umsetze, von Backup über Verschlüsselung bis Zugriffskontrolle, statt Maßnahmen nur auf dem Papier zu fordern.
Was ein externer DSB konkret übernimmt
Als externer Datenschutzbeauftragter übernehme ich für Sie:
- Benennung und Meldung an die Aufsichtsbehörde, laufendes Mandat
- Verzeichnis von Verarbeitungstätigkeiten (VVT) aufbauen und pflegen
- AVV-Management: Auftragsverarbeitungsverträge mit Ihren Dienstleistern (PVS, Cloud, IT) prüfen und verwalten
- Technisch-organisatorische Maßnahmen (TOMs) definieren und dokumentieren, mit echtem IT-Hintergrund
- Mitarbeiterschulung und Sensibilisierung, inklusive Nachweis
- Betroffenenanfragen und Datenpannen: Prozesse aufsetzen und im Ernstfall unterstützen
- Datenschutz-Folgenabschätzung vorbereiten, sofern erforderlich
Datenschutz greift dabei eng in die IT-Sicherheit: Viele TOMs sind am Ende Technik. Einen Überblick, welche IT-Sicherheitspflichten für Praxen ohnehin gelten, finden Sie unter IT-Sicherheitspflichten. Und wie Datenschutz, IT-Betrieb und Praxis-Software zusammenspielen, zeige ich auf der Seite IT für Arztpraxen.
Was kostet ein externer DSB?
Das Monats-Mandat liegt für kleine Praxen und Betriebe bei ab 79–170 €/Monat, abhängig von Größe und Verarbeitungsumfang; größere Einheiten und MVZ kalkuliere ich individuell. Dazu kommt ein einmaliges Onboarding als Festpreis: Ist-Aufnahme, VVT und TOM-Dokumentation. Wer möchte, bündelt den Datenschutz mit Managed IT und Informationssicherheit, ein Ansprechpartner, ein abgestimmtes Konzept. Preise netto.
So läuft der Einstieg ab
Der sinnvolle erste Schritt ist nicht das Mandat, sondern die Standortbestimmung. Deshalb starte ich immer gleich:
- DSGVO-Quickcheck: Ampel-Report zu Ihrem Datenschutz-Status, wo stehen Sie, wo sind die größten Lücken, was ist Pflicht?
- Angebot: DSB-Mandat und/oder Umsetzungspaket, mit Festpreis-Onboarding
- Onboarding: Benennung, VVT, AVV, TOMs, Schulung
- Laufende Betreuung als Ihr externer Datenschutzbeauftragter
So wissen Sie nach dem ersten Schritt, ob überhaupt Handlungsbedarf besteht, bevor Sie sich auf ein laufendes Mandat festlegen.
Klarheit statt Bauchgefühl: Mit dem DSGVO-Quickcheck bekommen Sie einen verständlichen Ampel-Report mit priorisierten nächsten Schritten, unverbindlich. Alle Details auf der Seite Datenschutz & externer Datenschutzbeauftragter.

Alex Jabi
Ich betreue IT, Informationssicherheit und Datenschutz für KMU und Praxen an der Bergstraße und im Odenwald, persönlich, dokumentiert und ohne Cloud-Zwang.
Mehr über mich