Wie Arztpraxen sicher entscheiden, ob sie einen Datenschutzbeauftragten brauchen

Im laufenden Praxisbetrieb bleibt selten Zeit, sich mit organisatorischen Grundsatzfragen zu beschäftigen. Spätestens wenn neue Mitarbeitende dazukommen, zusätzliche IT-Lösungen eingeführt werden oder erste Datenschutzfragen auftauchen, stellt sich jedoch eine zentrale Frage: Muss unsere Praxis einen Datenschutzbeauftragten benennen – oder nicht?

Die Antwort darauf ist alles andere als trivial: DSGVO und BDSG knüpfen die Benennungspflicht an klare, aber in der Praxis schwer greifbare Kriterien. Schon kleine Fehleinschätzungen können hier zu Aufsichtsprüfungen, Beanstandungen oder Bußgeldern führen. Genau an diesem Punkt setzt die Arbeitshilfe „Benennung eines Datenschutzbeauftragten“ an: Sie führt Sie mit einer strukturierten Prüflogik Schritt für Schritt durch alle relevanten Entscheidungspunkte und schafft verlässliche Klarheit darüber, ob Ihre Praxis einen Datenschutzbeauftragten braucht – und in welcher Form.

Praxisleitung und Arzt bei einer Besprechung (Bildquelle: KI-Modell Gemini)
Nicht jede Praxis benötigt zwingend einen Datenschutzbeauftragten. Wichtig ist jedoch, die Voraussetzungen zu kennen – und im Zweifel fachlichen Rat einzuholen.

Was die DSGVO zur Benennung eines Datenschutzbeauftragten sagt

Die DSGVO legt verbindlich fest, wann eine Stelle zwingend einen Datenschutzbeauftragten benennen muss. Für Arztpraxen ist dabei ein Punkt zentral: Trotz der täglichen Arbeit mit hochsensiblen Gesundheitsdaten gelten sie in aller Regel nicht als öffentliche Stellen. Nur echte Behörden und ihnen gleichgestellte Einrichtungen fallen unter die automatische Benennungspflicht. Diese grundlegende Einordnung ist der erste Schritt der Prüflogik – und entscheidet darüber, ob Ihre Praxis überhaupt in die weiterführende Prüfung einsteigen muss.

„Kerntätigkeit“ als medizinischer Auftrag
Darunter fallen alle Verarbeitungstätigkeiten, die für Diagnostik, Behandlung oder Abrechnung unverzichtbar sind. Sie bilden den Mittelpunkt der datenschutzrechtlichen Bewertung.

Erst wenn feststeht, dass Ihre Praxis nicht als öffentliche Stelle gilt, beginnt die eigentliche Bewertung: Gibt es Verarbeitungsvorgänge, die aufgrund ihres Umfangs, ihrer Struktur oder ihres Risikopotenzials dennoch zur Benennungspflicht führen? Die Arbeitshilfe führt hier Schritt für Schritt durch typische Praxissituationen und trennt klar zwischen alltäglichen Abläufen und Vorgängen, die tatsächlich ein erhöhtes Risiko für die Rechte der Patienten darstellen.

Der gesetzliche Rahmen macht außerdem deutlich, dass die häufig zitierte Ausnahme für Gerichte in ihrer justiziellen Tätigkeit im Praxisumfeld keine Rolle spielt. Wichtiger ist die klare Reihenfolge des Prüfprozesses: Erst wird die Frage der Öffentlichkeit geklärt, anschließend werden die Kerntätigkeiten und deren Risiken bewertet. Das Prozessdiagramm der Arbeitshilfe zeigt diese Struktur anschaulich und unterstützt Sie dabei, Fehleinschätzungen frühzeitig zu vermeiden.

Kerntätigkeiten, die eine Benennungspflicht auslösen können

Im Mittelpunkt der nächsten Prüfphase stehen die Kerntätigkeiten, die Ihre Praxis täglich ausführt. Dazu gehört nahezu immer die Verarbeitung besonderer Kategorien personenbezogener Daten – allen voran Gesundheitsdaten, die zu den sensibelsten Informationen überhaupt zählen. Dennoch führt nicht jede Datenverarbeitung automatisch zu einer Benennungspflicht. Erst wenn diese Kerntätigkeiten eine umfangreiche Verarbeitung sensibler Gesundheitsdaten beinhalten oder wenn eine regelmäßige und systematische Überwachung von Personen stattfindet, entsteht eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten.

Warnung
Gesundheitsdaten sind hochsensibel – doch erst ihre umfangreiche Verarbeitung als Kerntätigkeit kann die Benennungspflicht auslösen.

Die Arbeitshilfe erläutert die Kriterien „umfangreiche Verarbeitung“ sowie „regelmäßige und systematische Überwachung“ und übersetzt sie in praxisnahe Entscheidungsfragen. Entscheidend ist für Ihre Praxis, wie intensiv digitale Systeme miteinander verknüpft sind: Praxisverwaltungssystem, elektronische Patientenakten, digitale Bildgebung, Laboranbindung oder automatisierte Terminverwaltung. Je mehr Datenflüsse zusammenlaufen, desto eher kann die Schwelle zur umfangreichen Verarbeitung erreicht sein – und genau hier setzt die sorgfältige Prüfung des Umfangs Ihrer Kerntätigkeit an.

Ebenso wichtig ist die Abgrenzung von Unterstützungsprozessen. Tätigkeiten wie Telefonannahme, Buchhaltung, Personalverwaltung oder reine IT-Wartung berühren zwar personenbezogene Daten, gehören aber nicht zum medizinischen Kernauftrag. Die Arbeitshilfe betont, dass solche Hilfsprozesse nicht als Grundlage für eine Benennungspflicht herangezogen werden dürfen. Für Ihre Praxis heißt das: Zuerst klar unterscheiden, welche Vorgänge unmittelbar der medizinischen Versorgung dienen und welche rein organisatorisch sind – denn „Kerntätigkeit“ meint ausschließlich den medizinischen Auftrag Ihrer Praxis.

Wann zusätzlich nationale Regeln bei der Benennungspflicht greifen

Auch wenn auf den ersten Blick keine Pflicht aus den europäischen Vorgaben entsteht, ist die Prüfung damit nicht beendet. Die Arbeitshilfe zeigt im Diagramm klar: Für Arztpraxen gelten zusätzlich nationale Regeln, die eine Benennungspflicht auslösen können. Der wichtigste Punkt ist die Schwelle von 20 Personen, die regelmäßig mit der Praxissoftware oder anderen digitalen Systemen arbeiten. Diese Grenze wird schneller erreicht, als viele Praxen erwarten – und sie wirkt unabhängig davon, wie umfangreich die medizinische Datenverarbeitung ist.

Tipp
Zählen Sie alle Teammitglieder mit, die routiniert am Computer arbeiten: Ärztinnen, MFA, Schreibkräfte, Auszubildende. Teilzeit zählt genauso wie Vollzeit.

Die Arbeitshilfe macht deutlich, dass die Zählung ausschließlich an der Tätigkeit hängt – nicht an Arbeitszeit oder Berufsgruppe. Sobald die 20-Personen-Schwelle erreicht ist, besteht eine klare Pflicht zur Benennung eines Datenschutzbeauftragten. Eine weitere Risikoabwägung ist dann nicht mehr nötig. Damit diese Entscheidung nicht übersehen wird, empfiehlt sich eine dokumentierte Personenzählung, die regelmäßig aktualisiert wird. Steigt die Teamgröße, entsteht die Pflicht automatisch und unmittelbar.

Zusätzlich benennt die Arbeitshilfe weitere nationale Auslöser: bestimmte besonders risikoreiche Verarbeitungsvorgänge und Konstellationen, bei denen Daten systematisch an externe Stellen übermittelt oder für Projekte bereitgestellt werden. Diese Fälle treten vor allem in Forschungspraxen, spezialisierten MVZ oder bei enger Zusammenarbeit mit externen Einrichtungen auf. Wird einer dieser Punkte erreicht, führt dies sofort zur Benennungspflicht – unabhängig von Teamgröße oder Technikumfang.

Spezielle Verarbeitungssituationen mit Benennungspflicht

Manche Praxen fallen nicht wegen ihrer Größe oder typischen Kerntätigkeiten unter die Benennungspflicht, sondern wegen einzelner besonders risikoreicher Verfahren. Die Arbeitshilfe zeigt deutlich: Sobald ein Vorgang so sensibel ist, dass eine Datenschutzfolgenabschätzung erforderlich wird, entsteht automatisch die Pflicht zur Benennung eines Datenschutzbeauftragten. Dieser Auslöser greift unabhängig von Teamgröße oder Praxisstruktur und ist damit einer der stärksten Indikatoren für eine Benennungspflicht. Wer eine DSFA durchführen muss, benötigt immer einen Datenschutzbeauftragten.

Datenschutzfolgenabschätzung (DSFA)
Eine DSFA wird notwendig, wenn ein Verfahren ein hohes Risiko birgt – etwa durch neue Technologien oder umfangreiche Datenverknüpfungen.

Ein weiterer Sonderfall sind Konstellationen, in denen personenbezogene Daten geschäftsmäßig an Dritte übermittelt oder für Projekte bereitgestellt werden. Das betrifft vor allem Praxen, die mit Forschungseinrichtungen, Studienzentren oder externen Dienstleistern in strukturierten Modellen zusammenarbeiten. Auch hier gilt laut Arbeitshilfe: Sobald Daten systematisch und entgeltlich oder projektbezogen weitergegeben werden, führt dies unmittelbar zur Benennungspflicht.

Wenn eine Benennungspflicht besteht: Was Praxen sofort erledigen müssen

Wenn die Prüfung ergibt, dass ein Datenschutzbeauftragter erforderlich ist, muss die Praxis schnell und sauber handeln. Der wichtigste Schritt ist die schriftliche Benennung – egal ob eine interne oder externe Person diese Rolle übernimmt. Diese Benennung enthält Name, Funktion, Aufgaben und die organisatorische Einbindung des DSB und wird im Datenschutzhandbuch oder in der Prozessdokumentation abgelegt. Erst dieser formale Schritt macht die Benennung nachweisbar und zeigt, dass die Praxis ihre Pflicht erfüllt hat.

Hinweis
Ein DSB arbeitet unabhängig: keine Weisungen, direkter Draht zur Praxisleitung und ausreichend Zeit für alle Aufgaben.

Für die Auswahl zählt vor allem die Qualifikation. Datenschutzrecht, Datenorganisation, IT-Grundverständnis und Kenntnisse medizinischer Abläufe müssen vorhanden sein – unabhängig davon, ob es sich um interne Mitarbeitende oder externe Dienstleister handelt. Die Arbeitshilfe empfiehlt daher, die Anforderungen an die Rolle schriftlich festzuhalten. Das schafft Transparenz und belegt später nachvollziehbar, warum genau diese Person benannt wurde und dass die Entscheidung fachlich begründet war.

Abschließend müssen alle organisatorischen Details sauber dokumentiert werden: Benennungsurkunde, Kommunikationswege, Zuständigkeiten, Zugangsrechte und die Information an Mitarbeitende. Diese Unterlagen gehören ins Datenschutzhandbuch oder in die Prozessakten. Die Arbeitshilfe betont klar, dass Dokumentation kein Zusatzaufwand ist – sie ist selbst Bestandteil der gesetzlichen Pflicht und erleichtert jede spätere Prüfung durch Behörden. Ohne vollständige Dokumentation gilt die Benennung im Zweifel als nicht erfolgt.

Sie haben nun einen klaren Überblick darüber, welche Faktoren für eine Benennungspflicht sprechen können. Für die Entscheidung in Ihrer eigenen Praxis braucht es jedoch eine strukturierte Prüfung, die alle relevanten Punkte sicher abdeckt. Die dazugehörige Arbeitshilfe führt Sie Schritt für Schritt durch diesen Entscheidungsprozess und liefert eine nachvollziehbare Dokumentation, die Sie direkt verwenden können.

Benennung eines Datenschutz­beauftragten

  • Schritt-für-Schritt-Prüfschema
  • Mit verständlichen Erläuterungen
  • Ideal für interne Abstimmungen

Jetzt bestellen

Schritt-für-Schritt-Anleitung: „Benennung eines Datenschutzbeauftragten“

Die Arbeitshilfe „Benennung eines Datenschutzbeauftragten“ unterstützt Sie gezielt bei der praktischen Umsetzung.

  • Rechtssicherheit gewinnen: Sie treffen die Benennungsentscheidung rechtssicher, weil alle DSGVO- und BDSG-Kriterien systematisch geprüft werden.
  • Haftungsrisiken reduzieren: Sie vermeiden Bußgelder und Beanstandungen, weil die Benennungspflicht transparent und nachvollziehbar dokumentiert ist.
  • Personenzahl korrekt zählen: Sie übersehen die 20-Personen-Grenze nicht, weil Tätigkeiten statt Stellenumfänge klar bewertet werden.
  • Spezialfälle sicher einordnen: Sie erkennen DSFA- und Übermittlungsfälle rechtzeitig, damit risikoreiche Verarbeitungen nicht unter dem Radar bleiben.
  • Nachweis für Prüfungen: Sie haben einen prüffähigen Entscheidungsnachweis, damit Aufsichtsbehörden Ihre Praxisentscheidung sofort nachvollziehen können.
Vorschaubild der Arbeitshilfe „Benennung eines Datenschutzbeauftragten“

Kompletten Artikel & Vorlage jetzt freischalten –
für Datenschutz, der in der Praxis funktioniert

  • Vollzugriff auf den gesamten Fachartikel inklusive konkreter Umsetzungstipps
  • Download der passenden Arbeitshilfe zur direkten Nutzung in Ihrer Praxis
  • Zugang zu allen praxiserprobten Vorlagen – Checklisten, Formulare, Anleitungen
Jetzt freischalten & Vorlage herunterladen