Externer Datenschutzbeauftragter für Arztpraxen: Bestellpflicht, Kosten, Berichtslinie
Arztpraxen verarbeiten besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Wer einen externen Datenschutzbeauftragten bestellt, braucht klare Bestellurkunde, Berichtslinie und 72-Stunden-Meldepfad. Dieser Leitfaden zeigt Pflicht, Kosten und Workflow im Detail.
Arztpraxen verarbeiten nach Art. 9 Abs. 1 DSGVO besondere Kategorien personenbezogener Daten, weshalb für nahezu jede Praxis mit angestelltem Personal eine Bestellpflicht nach Art. 37 Abs. 1 lit. c DSGVO in Verbindung mit § 38 BDSG greift. Die Praxisleitung haftet persönlich, wenn diese Bestellung fehlt oder nur formal erfolgt. Bußgelder reichen nach Art. 83 Abs. 4 DSGVO bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Hinzu kommen Aufsichtsmaßnahmen wie Anordnungen, Tätigkeitsuntersagungen, Veröffentlichungen und im schweren Fall berufsrechtliche Folgen über die zuständige Landesärztekammer. Versicherungstechnisch ist die Vermögensschadenhaftung des Arztes selten so weit gefasst, dass DSGVO-Bußgelder gedeckt sind.
Dieser Beitrag erklärt, wann die Bestellpflicht greift, was ein externer Datenschutzbeauftragter für Arztpraxen konkret tut, welche Kosten realistisch sind und wie Berichtslinie, Bestellurkunde und 72-Stunden-Meldepfad nach Art. 33 DSGVO so dokumentiert werden, dass der Prüfer der Landesdatenschutzbehörde keine Lücke findet. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wir zeigen die Wahl zwischen interner Bestellung mit Plattformunterstützung und externer Bestellung an einen Officer-as-a-Service, beide Modelle mit identischer Nachweistiefe und einheitlicher Berichtslinie an die Praxisleitung. Wer den Praxisbetrieb von formaler Erfüllung in nachweisfähige Substanz überführen will, findet in den folgenden neun Abschnitten den vollständigen Pfad inklusive Rechtsgrundlagen, Kostenrahmen, Meldewege und Übergaberegeln bei Anbieterwechsel.
Auf einen Blick
- Eine Arztpraxis muss nach Art. 37 Abs. 1 lit. c DSGVO und § 38 BDSG bestellen, sobald Kerntätigkeit oder Personalstand Gesundheitsdaten regelmäßig verarbeiten.
- Externe Bestellung kostet typischerweise 180 bis 480 Euro pro Monat und umfasst Berichtslinie, Vorlagen, Audits und 72-Stunden-Meldepfad.
- Ohne Bestellurkunde, Schulungsnachweis und Verarbeitungsverzeichnis fehlt die Aufsichtsfähigkeit, unabhängig davon, ob intern oder extern bestellt wird.
Wann eine Arztpraxis bestellen muss
Die Bestellpflicht für Arztpraxen ergibt sich aus zwei Vorschriften zugleich. Art. 37 Abs. 1 lit. c DSGVO verlangt einen Datenschutzbeauftragten, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Gesundheitsdaten fallen nach Art. 9 Abs. 1 DSGVO eindeutig darunter, ebenso genetische und biometrische Daten zur eindeutigen Identifizierung. Ergänzend greift § 38 Abs. 1 BDSG, wonach jeder Verantwortliche mit mindestens 20 ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen einen DSB bestellen muss. In der Praxis trifft das auf die meisten Gemeinschaftspraxen, MVZ und Berufsausübungsgemeinschaften zu, häufig auch auf Einzelpraxen mit drei bis vier MFA, sobald jeder davon mit Praxissoftware, Abrechnungssystem und Patientenportal arbeitet. Auch Teilzeitkräfte zählen voll, sofern sie regelmäßig automatisierte Verarbeitung durchführen.
Die Aufsichtsbehörden bewerten Arztpraxen seit dem BfDI-Tätigkeitsbericht 2026 strenger. Geprüft werden Bestellurkunde, Kontaktdaten beim zuständigen Landesbeauftragten, Verarbeitungsverzeichnis nach Art. 30 DSGVO, technische und organisatorische Maßnahmen nach Art. 32 DSGVO sowie der Meldepfad nach Art. 33 und 34 DSGVO. Wer einen externen Datenschutzbeauftragten bestellt, lagert die operative Verantwortung aus, behält aber die Letztverantwortung als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. CIVAC dokumentiert die Bestellung über eine ausstellbare Bestellurkunde, hinterlegt sie im Workspace und macht die Berichtslinie an die Praxisleitung im System nachvollziehbar. Die Aufsicht prüft nicht den guten Willen, sondern Zeitstempel, Versionen und Unterschriften. Wer das versteht, baut Datenschutz wie Software, nicht wie einen Aktenordner im Hinterzimmer. Genau diese Aufsichtsfähigkeit unterscheidet die formale Bestellung von der prüfungsfesten Wahrnehmung. Eine bewusste Entscheidung gegen die Bestellung sollte mit Begründung, Verarbeitungsumfang und Personalliste schriftlich vorliegen, sonst gilt der formale Rechtsverstoß im Zweifel als nachgewiesen.
Was ein externer DSB konkret leistet
Ein externer Datenschutzbeauftragter nach Art. 39 DSGVO unterrichtet und berät die Praxis und ihr Personal, überwacht die Einhaltung der DSGVO, des BDSG und weiterer datenschutzrechtlicher Vorschriften, berät bei der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und arbeitet mit der Aufsichtsbehörde zusammen. In einer Arztpraxis bedeutet das konkret: Aufbau und Pflege des Verarbeitungsverzeichnisses, Prüfung von Auftragsverarbeitungsverträgen mit Abrechnungsstelle, Praxisverwaltungssystem-Anbieter, IT-Dienstleister und Hosting-Provider, Schulung des Praxisteams mindestens einmal jährlich sowie die Bearbeitung von Betroffenenanfragen nach Art. 15 bis 22 DSGVO. Ergänzend gehören dazu Stellungnahmen zu neuen Technologien wie Video-Sprechstunde, Online-Terminbuchung, Praxis-Apps oder KI-gestützter Befund-Vorerfassung sowie Begleitung der Telematikinfrastruktur-Anbindung.
Im Notfall trägt der DSB die Meldung von Datenpannen nach Art. 33 DSGVO innerhalb von 72 Stunden ab Kenntnis. Frist läuft ab Kenntnis. In CIVACs Workspace liegen 490 einsatzbereite Audit-Vorlagen, darunter Meldepfad, Betroffenenanfrage, AV-Vertrags-Check und Risikoanalyse. Die Praxis lizenziert den Workspace für ihre interne Beauftragte oder lässt die Bestellung an einen CIVAC-Datenschutzbeauftragten übergeben. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle führen zur gleichen Bestellurkunde, beide werden über dieselbe Plattform geführt, und beide ergeben einen prüffähigen Nachweispfad ohne Brüche zwischen E-Mail-Ablage, Aktenordner und Software. Die Plattform ist eine Compliance-Plattform und Officer-as-a-Service mit EU-Datenresidenz und ISO/IEC 27001:2022-ISMS im Hintergrund. So bleibt die Praxis arbeitsfähig, wenn die Aufsicht anruft, und die Beauftragte kann sich auf die fachliche Bewertung konzentrieren statt auf die Suche nach Vorlagen, Versionen oder Anschriften der zuständigen Landesbehörde. Ergänzend übernimmt der externe DSB die Vorbereitung der jährlichen Aufsichtskommunikation, sodass die Praxisleitung den Vorgang nur noch freigeben muss, anstatt selbst Texte und Anlagen zu erstellen.
Bestellpflicht im Detail: Einzelpraxis, Gemeinschaftspraxis, MVZ
Die Aufsichtsbehörden differenzieren zwischen Praxisformen. Eine Einzelpraxis mit einer Ärztin und zwei MFA verarbeitet Gesundheitsdaten regelmäßig, aber meist nicht in einem Umfang, der den Schwellenwert des § 38 BDSG überschreitet. Sobald jedoch das gesamte Personal mit Praxisverwaltungssoftware arbeitet, gilt jeder Mitarbeiter als ständig mit automatisierter Verarbeitung beschäftigt, womit die 20-Personen-Schwelle in größeren Praxen schnell erreicht ist. Unabhängig davon greift Art. 37 Abs. 1 lit. c DSGVO über den Begriff der Kerntätigkeit, da Gesundheitsdaten den Kern jeder ärztlichen Tätigkeit bilden und nicht nur ein Nebenprodukt sind. Eine kleine Einzelpraxis ohne Personal kann eine Bestellung erübrigen, sollte die Entscheidung gegen eine Bestellung aber dokumentieren.
Eine Gemeinschaftspraxis nach § 33 Abs. 2 Ärzte-ZV ist datenschutzrechtlich gemeinsam Verantwortliche nach Art. 26 DSGVO. Die Vereinbarung über die gemeinsame Verantwortlichkeit muss schriftlich vorliegen und die Aufgabenverteilung regeln, insbesondere die Wahrnehmung der Betroffenenrechte. Ein MVZ in der Rechtsform der GmbH bestellt regelmäßig pflichtig, da der Schwellenwert nach § 38 BDSG fast immer überschritten wird und zusätzlich die Konzernstruktur erhöhte Anforderungen an Berichtswege auslöst. Für jede dieser Konstellationen unterscheidet sich die Bestellurkunde in den Vertragsparteien, der inhaltliche Pflichtenkreis nach Art. 39 DSGVO bleibt identisch. CIVAC stellt für jede Rechtsform eine geprüfte Vorlage bereit, sodass die Bestellung in 48 Stunden formal abgeschlossen ist. Hinzu kommen Anlagen zur Aufgabenverteilung, zur Vertretungsregelung im Urlaubsfall sowie zur dokumentierten Berichtslinie. Wer die Bestellung sauber führt, schließt die häufigste Beanstandung der Aufsichtsbehörden bereits in den ersten 14 Tagen aus und legt die Grundlage für ein belastbares Datenschutz-Management-System im Praxisalltag.
Kosten und Vertragsmodelle 2026
Kosten für einen externen Datenschutzbeauftragten in einer Arztpraxis bewegen sich 2026 zwischen 180 und 480 Euro pro Monat zuzüglich Umsatzsteuer, abhängig von Praxisgröße, Anzahl der Verarbeitungstätigkeiten und Servicetiefe. Eine Einzelpraxis ohne Telematik-Sonderkonstellation startet typischerweise bei 180 bis 240 Euro monatlich, eine MFA-starke Gemeinschaftspraxis mit Online-Termin, App-Anbindung und Video-Sprechstunde liegt bei 320 bis 420 Euro, ein MVZ mit Filialstruktur oder ambulanten Operationsbereichen bei 380 bis 580 Euro. Stundenhonorare im Projektgeschäft ohne Dauermandat sind selten unter 180 Euro netto pro Stunde zu sehen, decken dann aber weder Verfügbarkeit noch laufende Pflege noch Notfallreaktion auf eine Datenpanne ab. Pauschalangebote unter 100 Euro decken in der Regel weder Schulung noch Verarbeitungsverzeichnis noch Meldepfad und sind im Audit wirkungslos.
CIVAC wickelt das Mandat zum Festpreis ab und macht alle Leistungen im Workspace sichtbar: Bestellurkunde, Schulungsnachweise, Verarbeitungsverzeichnis, AV-Vertragsspeicher, Meldepfad, Betroffenenanfragen-Postfach. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle führen zur EU-Datenresidenz und zum dokumentierten Bestellnachweis. Wer auf jährliche Pauschalen ohne Audit-Vorlagen, Berichtslinie und definierte Reaktionszeit setzt, kauft formale Erfüllung ohne Substanz. Die Aufsichtsbehörde fragt im Zweifel nicht nach dem Vertrag, sondern nach Tickets, Nachweisen und Schulungsnachweisen. Das CIVAC-SLA garantiert Bestellung binnen zwei Werktagen statt klassischer zwei bis sechs Wochen Vorlauf. Hinzu kommt die jährliche Kostenklarheit ohne versteckte Aufschläge für zusätzliche Vorgänge oder Schulungswiederholungen, weil diese Bausteine im Festpreis bereits enthalten sind und im Workspace abgerufen werden können. Die Vergleichbarkeit von Angeboten erfordert immer den Blick auf die enthaltenen Stunden, das SLA und die Übergaberegel am Vertragsende.
Berichtslinie und Bestellurkunde sauber dokumentiert
Nach Art. 38 Abs. 3 DSGVO muss der Datenschutzbeauftragte unmittelbar an die höchste Managementebene berichten. In der Arztpraxis bedeutet das die Praxisleitung oder die Geschäftsführung des MVZ. Die Berichtslinie ist schriftlich festzulegen, ihre tatsächliche Einhaltung im Alltag wird geprüft. Wer nur formal an die Praxisleitung berichtet, in der Praxis aber faktisch an die Praxismanagerin, riskiert eine Beanstandung wegen unzureichender Unabhängigkeit. Die Bestellurkunde regelt Vertragsparteien, Bestellzeitpunkt, Kündigungsfristen, Vergütung, Haftung, Verschwiegenheitspflicht nach § 203 StGB analog und die Anforderungen an die fachliche Qualifikation nach Art. 37 Abs. 5 DSGVO. Auch der ausdrückliche Hinweis, dass der DSB wegen seiner Aufgaben nicht abberufen oder benachteiligt werden darf, gehört in jede saubere Bestellurkunde.
Die Meldung der Kontaktdaten an die zuständige Landesbeauftragte für den Datenschutz erfolgt nach Art. 37 Abs. 7 DSGVO unverzüglich nach Bestellung. Versäumt die Praxis diesen Schritt, fehlt ein Pflichtnachweis, selbst wenn der DSB ordnungsgemäß bestellt ist. CIVAC erstellt die Bestellurkunde, hinterlegt sie in der DSB-Rolle im Workspace und führt die Pflicht-Meldungen an die Aufsichtsbehörde inklusive Statuskontrolle. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Prüfer ruft an, der Nachweis liegt bereit. Die Berichtslinie wird ergänzt um eine dokumentierte Reaktionszeit, eine Vertretungsregelung bei Urlaub und Krankheit und einen jährlichen Tätigkeitsbericht des DSB an die Praxisleitung, der gleichzeitig als Audit-Vorlage für die Aufsichtsbehörde dient. So entsteht aus einer formalen Pflicht ein steuerbarer Compliance-Pfad mit klar zugeordneter Verantwortung, dokumentierter Eskalationslogik und überprüfbaren Stichtagen für Schulung, Verzeichnisaktualisierung und AV-Vertragsprüfung. Wer die Berichtslinie schriftlich, technisch und faktisch deckungsgleich führt, vermeidet die häufigste Aufsichtsfrage zur Unabhängigkeit und gewinnt im Prüfungsfall sofort Glaubwürdigkeit.
72-Stunden-Meldepfad bei Datenpannen
Datenpannen in Arztpraxen sind keine Ausnahme, sondern Routine: verlorene USB-Sticks mit Patientendaten, fehlversandte Arztbriefe, Phishing-Mails an MFA-Konten, Diebstahl eines Praxis-Laptops, irrtümliche Einsicht in fremde Patientenakten durch nicht zugriffsberechtigtes Personal, fehlerhafte E-Mail-Verteiler bei Patientenkommunikation. Jeder dieser Vorfälle löst nach Art. 33 Abs. 1 DSGVO eine Meldepflicht innerhalb von 72 Stunden ab Kenntnis aus, sofern ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Bei besonderen Kategorien nach Art. 9 DSGVO ist diese Schwelle praktisch immer überschritten, weshalb in der Arztpraxis die Meldung den Regelfall darstellt, nicht die Ausnahme. Bei hohem Risiko kommt die Benachrichtigung der Betroffenen nach Art. 34 DSGVO hinzu.
Der Meldepfad muss in der Praxis dokumentiert, geprobt und auditierbar sein. Wer im Ernstfall erst eine Vorlage suchen muss, verliert wertvolle Stunden. Im CIVAC-Workspace liegt der 72-Stunden-Meldepfad als geprüfte Audit-Vorlage bereit, inklusive Eskalations-Checkliste, Meldeformular für die zuständige Landesbehörde, Vorlage für die Benachrichtigung Betroffener nach Art. 34 DSGVO und Logging-Funktion für die Kenntnis-Zeitstempel. Audit-fest, dokumentiert, § 33-fest. Die Praxis trifft im Ernstfall innerhalb von zwei Stunden eine entscheidungsfähige Lage, statt nachträglich rekonstruieren zu müssen. Diese Eskalationsfähigkeit unterscheidet eine pflichtgemäß bestellte Funktion von einer formalen Bestellung ohne Substanz. Ergänzend dokumentiert das System die Entscheidung gegen eine Meldung, wenn das Risiko nach pflichtgemäßer Abwägung nicht meldepflichtig ist, was im Audit ebenso prüfungsrelevant ist wie die positive Meldung selbst. Diese Negativ-Dokumentation ist ein häufiges Prüffeld der Aufsicht. Hinzu kommt die nachgelagerte Lessons-Learned-Analyse, die in der Praxis konkrete Maßnahmen wie Berechtigungsanpassung, Schulungstermine oder zusätzliche Verschlüsselung auslöst.
Schulung, TOMs und Verarbeitungsverzeichnis
Drei operative Bausteine entscheiden über die Aufsichtsfähigkeit einer Arztpraxis. Erstens die Schulung des Personals nach Art. 39 Abs. 1 lit. b DSGVO, durchzuführen mindestens einmal jährlich, mit Teilnehmerliste, Unterzeichnung und Themenkatalog. Schwerpunkte sind Schweigepflicht, Umgang mit Telefon- und E-Mail-Anfragen, Telematikinfrastruktur, Patientenrechte, sichere Aktenführung und Umgang mit Datenpannen. Zweitens die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, dokumentiert nach Risikoklasse, mit konkreten Maßnahmen zu Zugangskontrolle, Zugriffskontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungsgebot. Drittens das Verarbeitungsverzeichnis nach Art. 30 DSGVO, das jede Verarbeitungstätigkeit von Patientenaufnahme über Befundkommunikation bis zur Aktenarchivierung erfasst, mit Rechtsgrundlage, Aufbewahrungsfristen und Empfängerkategorien.
In der Praxis fehlt es oft nicht am Bewusstsein, sondern an der einheitlichen Quelle der Wahrheit. Schulungsnachweise liegen im Personalordner, AV-Verträge im E-Mail-Postfach, TOMs im veralteten Word-Dokument von 2022, Verarbeitungsverzeichnis als Excel ohne Versionierung. CIVAC bündelt diese Artefakte in einem einzigen Workspace pro Praxis. Die FAQ-Sammlung beantwortet die häufigsten 40 Aufsichtsfragen, die Rollen-Übersicht zeigt, welche weiteren Beauftragten in einer Praxis ergänzend in Frage kommen, von Hygienebeauftragter bis Brandschutzbeauftragter. Die Plattform verknüpft Schulungsnachweise mit dem Verarbeitungsverzeichnis, sodass eine Aufsichtsanfrage zu einer Verarbeitungstätigkeit sofort die zugehörigen Schulungen, TOMs und AV-Verträge mitliefert. Das verkürzt die Reaktionszeit im Audit von Tagen auf Minuten und reduziert die Belastung der Praxisleitung im Tagesgeschäft erheblich. Ohne diese Verknüpfung bleibt jede Aufsichtsanfrage ein mehrtägiges Recherche-Projekt. Audit-fest, dokumentiert, § 30-fest. Die Plattform speichert zudem die Versionsstände der Schulungsfolien, sodass im Audit der konkrete Stand des Schulungsmaterials zum Schulungsdatum belegbar ist und nicht nur das Datum selbst.
Risiken bei Wahl des falschen DSB
Die größten Risiken bei der Wahl eines externen Datenschutzbeauftragten für eine Arztpraxis liegen nicht in der Bestellurkunde selbst, sondern in der Folgepraxis. Ein DSB ohne Branchenkompetenz im Gesundheitswesen wendet allgemeine DSGVO-Logik an, übersieht aber spezielle Regelungen wie § 203 StGB zur Schweigepflicht, § 630f BGB zur Dokumentationspflicht, Telematikinfrastruktur-Verordnungen, das Patientendaten-Schutz-Gesetz und kassenarztrechtliche Sondervorschriften. Ein DSB ohne Reaktionszeit-SLA ist im Ernstfall unerreichbar, der 72-Stunden-Meldepfad scheitert nicht an der Vorlage, sondern am Telefon, das nicht abgehoben wird. Wer im Wettbewerb auf den billigsten Anbieter setzt, kauft im Audit das teuerste Versäumnis. Häufig fehlt zudem die nachweisbare Fortbildung des DSB, die nach Art. 37 Abs. 5 DSGVO und Erwägungsgrund 97 vorausgesetzt wird.
Ein DSB ohne Plattform liefert Dokumente per E-Mail, die in keinem Audit auffindbar sind. Ein DSB ohne Schulungsangebot überlässt die Praxis sich selbst, ein DSB ohne Aufsichtskontakt schreckt vor Behördenbriefen zurück. Die Konsequenz sind Bußgelder, Imageschaden und im schlimmsten Fall Approbationsfragen über die Landesärztekammer. CIVAC arbeitet als Compliance-Plattform und Officer-as-a-Service mit definierten Reaktionszeiten, EU-Datenresidenz, ISO/IEC 27001:2022-ISMS und 93 Controls im Hintergrund. Die externe Bestellung wird im Workspace transparent, nicht in der E-Mail-Ablage versteckt. Wer beauftragt, muss prüfen, nicht hoffen. Die Bestellurkunde ist der Anfang, der Nachweispfad ist die Substanz. Eine seriöse Vorauswahl prüft Branchenreferenzen, dokumentierte Reaktionszeiten, ISO-Zertifikate des Anbieters und die Übergabefähigkeit am Vertragsende, idealerweise in Form eines vollständigen Datenexports. Wer diese vier Kriterien dokumentiert vor Vertragsschluss prüft, schließt die häufigsten Lieferantenrisiken bereits im Auswahlprozess aus und macht die Entscheidung im Audit nachvollziehbar.
Aus dem Lesen einen Auftrag machen
Eine Arztpraxis braucht keine zusätzliche Belastung der Praxisleitung, sondern eine entlastende, prüffähige Datenschutz-Funktion mit klarer Berichtslinie. Die Entscheidung zwischen interner und externer Bestellung folgt der Frage, ob das Praxisteam die Pflichten nach Art. 39 DSGVO mit der notwendigen Unabhängigkeit, Zeit und Branchenkompetenz erfüllen kann. Wer intern bestellt, braucht eine Plattform, die Vorlagen, Schulungsnachweise und Meldepfade strukturiert. Wer extern bestellt, braucht einen Partner mit definierten Reaktionszeiten, EU-Datenresidenz und prüffähiger Dokumentation. Beides ist legitim, beides muss substanziell sein, beides muss im Audit denselben Nachweispfad ergeben.
CIVAC liefert beide Modelle aus einer Hand. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Die Bestellung wird typischerweise in zwei Werktagen vollzogen, statt klassischer zwei bis sechs Wochen Vorlauf. 25 Beauftragten-Rollen sind live, 490 Audit-Vorlagen einsatzbereit, 93 Controls nach ISO/IEC 27001:2022 sichern die Plattform. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de für eine erste Einschätzung Ihrer Praxis. Sie erhalten innerhalb von zwei Werktagen eine Bestellurkunde-Vorlage, eine konkrete Kostenposition und einen Meldepfad-Vorschlag, abgestimmt auf Praxisform, Personalgröße und eingesetzte Praxissoftware. So wird aus einer abstrakten Pflicht eine konkrete, prüffähige Lösung mit klarem Zeitplan und Übergabeplan an die Aufsichtsbehörde. Wer den Schritt heute geht, hat in zwei Werktagen eine prüffähige Bestellurkunde, einen aktivierten Meldepfad und eine dokumentierte Berichtslinie. Damit ist die häufigste Beanstandung der Aufsicht bei Arztpraxen bereits in der ersten Woche erledigt. Die laufende Pflege übernimmt CIVAC mit dokumentierten Reaktionszeiten, jährlicher Schulung und automatischer Erinnerung an Folgepflichten, sodass die Praxis sich auf medizinische Kernleistungen konzentriert.
FAQ
Muss meine Einzelpraxis zwingend einen Datenschutzbeauftragten bestellen?
In den meisten Fällen ja. Sobald Sie regelmäßig Gesundheitsdaten verarbeiten und das Personal mit Praxissoftware arbeitet, greift Art. 37 Abs. 1 lit. c DSGVO über den Begriff der Kerntätigkeit. Spätestens bei 20 ständig mit automatisierter Verarbeitung beschäftigten Personen gilt zusätzlich § 38 BDSG. Eine rechtssichere Einzelfallprüfung sollte vor der Bestellung erfolgen und die Begründung dokumentieren.
Wie hoch ist das Bußgeld bei fehlender oder fehlerhafter Bestellung?
Nach Art. 83 Abs. 4 DSGVO drohen Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. In der Praxis verhängen Aufsichtsbehörden für Arztpraxen Beträge zwischen 5.000 und 50.000 Euro, je nach Größe, Vorsatz, Schwere der Pflichtverletzung sowie nachgewiesener Kooperationsbereitschaft. Vorsätzliches Unterlassen verteuert die Sanktion erheblich.
Kann meine Praxismanagerin gleichzeitig Datenschutzbeauftragte sein?
Nein, das wäre regelmäßig ein Interessenkonflikt nach Art. 38 Abs. 6 DSGVO. Die Praxismanagerin entscheidet selbst über Verarbeitungstätigkeiten und kann sich nicht unabhängig kontrollieren. Geeignet sind dagegen externe Bestellungen oder interne MFA in nicht-leitender Funktion, die unmittelbar an die Praxisleitung berichten, ausreichend Zeitbudget erhalten, nachweisbar geschult sind und nicht zugleich IT-Verantwortung tragen.
Welche Reaktionszeit muss ein externer DSB im Notfall liefern?
Es gibt keine gesetzliche Frist für die Erreichbarkeit, aber Art. 33 DSGVO zwingt zur Meldung innerhalb von 72 Stunden ab Kenntnis. CIVAC garantiert vertraglich zwei Werktage Reaktionszeit auf Standardanfragen und definierte Notfall-Erreichbarkeit für Datenpannen, dokumentiert im SLA der Bestellurkunde, nachvollziehbar im Workspace und mit klarer Vertretungsregelung im Urlaubsfall sowie definierter Eskalationsstufe.
Wie wechsle ich den externen DSB ohne Compliance-Lücke?
Die alte Bestellung bleibt bis zur neuen Bestellurkunde wirksam. Übergeben werden Verarbeitungsverzeichnis, Schulungsnachweise, AV-Verträge und offene Vorgänge mit dokumentiertem Zeitstempel und Versionshistorie. CIVAC importiert diese Artefakte in den Workspace und meldet den Wechsel binnen 14 Tagen an die zuständige Landesbehörde nach Art. 37 Abs. 7 DSGVO, sodass kein dokumentarisches Vakuum entsteht und die Berichtslinie nahtlos weiterläuft.
Brauche ich neben dem DSB weitere Beauftragte für meine Praxis?
Häufig ja. Eine Arztpraxis benötigt regelmäßig zusätzlich einen Hygienebeauftragten nach Landeshygieneverordnung, eine Fachkraft für Arbeitssicherheit nach ASiG, einen Brandschutzbeauftragten ab Praxisgröße und einen Betriebsarzt nach DGUV Vorschrift 2. Die Rollen-Übersicht auf civac.de zeigt alle 25 Funktionen, ihre rechtlichen Auslöser, typischen Stundenbudgets und mögliche Bündelungen über die Plattform mit gemeinsamer Berichtslinie.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.