Patientendaten = besondere Datenkategorien
Gesundheitsdaten unterliegen Art. 9 DSGVO. DSB-Pflicht ab dem ersten Mitarbeiter — unabhängig von der Praxisgröße. Bei Verstößen drohen Bußgelder bis 20 Mio. €.
Datenschutzbeauftragter für Arztpraxen in Hamburg.
Patientendaten nach Art. 9 DSGVO, KIM-Anbindung, KV-Hamburg-Anforderungen, Datenpannen-Meldung an den HmbBfDI binnen 72 Stunden — wir kennen die Regeln.
- TÜV-zertifiziert · DSB nach DSGVO Art. 37
- 43+ Mandate · seit 2024 betreut
- 0 € Bußgelder · in der Mandantschaft
- <24 h Reaktion · auf Anfragen werktags
TÜV-zertifizierter DSB BVMID-Mitglied 100 % Hosting in Deutschland
43+ Mandate · 19 Standorte Norddeutschland
Drei Themen, die Arztpraxen-Mandanten regelmäßig zum Telefon greifen lassen.
KIM, eAU und gematik
Telematik-Infrastruktur, elektronische Arbeitsunfähigkeit, ePA — jede Schnittstelle braucht eine Datenschutzfolgenabschätzung. Wir erstellen sie audit-fähig.
Patienten verlangen Auskunft
Anfragen nach Art. 15 DSGVO werden häufiger. Wer nicht binnen 30 Tagen antwortet, riskiert Beschwerden beim HmbBfDI — und der prüft Heilberufe gerade besonders genau.
Vier echte Cases. Vier konkrete Outcomes.
Datenschutz wirkt erst, wenn Druck da ist — Behördenanfrage, Phishing-Vorfall, Lieferanten-Audit, TÜV-Termin am Wochenende. Hier sind vier reale Fälle aus den letzten zwölf Monaten, anonymisiert nach Branche und Region.
IT-Dienstleister
Hamburg
0 € Bußgeld
Phishing auf Microsoft-365-Postfach des Geschäftsführers, MFA durch Hacker deaktiviert. Mehrere tausend Spam-Mails wurden an Geschäftspartner verschickt.
Datenpannen-Meldung an die Behörde innerhalb der 72-Stunden-Frist. Anschließend Schulungen zur Erkennung von Phishing über vermeintlich vertraute Absender.
„MFA muss doch davor schützen — das denken wir alle. Dieser Fall hat gezeigt: Selbst gute Sicherheitssysteme können umgangen werden. Am Ende zählt, wie schnell man reagiert."
— Nils Oehmichen, über diesen Fall
Pflegedienst
Schleswig-Holstein
24 h bis zur Klärung
Mandant wollte Kundenzufriedenheits-Befragung über externes Webportal durchführen. Personenbezogene Daten (IP-Adressen) wurden übertragen — AVV nötig.
Bestehender AVV des Anbieters geprüft (Subunternehmer, Drittlandtransfer, TOMs). Freigabe erteilt, Befragung gestartet.
„Innerhalb von 24 Stunden war der Fall geklärt. Genau so soll die Arbeit mit einem Datenschutzbeauftragten stattfinden."
— Nils Oehmichen, über diesen Fall
Komponentenfertigung
Niedersachsen
TÜV bestanden
Fünf Tage vor TÜV-Rezertifizierung ISO 9001: IT-Risikoanalyse, TOMs und Notfallplan fehlen. Auditor verlangt vollständige Dokumentation.
Übers Wochenende vollständige Risikoanalyse erstellt und am Folgetag eingereicht. Auditor war begeistert, Zertifizierung bestanden.
„Eine super schöne Dokumentation, zeigt viele Risiken auf, klar dokumentiert. Und der Kunde hat zum ersten Mal gesehen, wo seine echten Risiken liegen."
— Nils Oehmichen, über diesen Fall
Industriezulieferer
Norddeutschland
38 Audit-Fragen
Großkunde aus dem NIS2-Sektor verschickt Lieferanten-Audit mit 38 Fragen — Nachweispflicht zu Datenschutz und Informationssicherheit, sonst Geschäftsverlust.
Bestehende Richtliniensammlung und Datenschutzkonzept bereitgestellt. Audit sauber durchlaufen, Geschäftsbeziehung gesichert.
„Es trifft auch die kleineren Unternehmen, die nicht direkt unter NIS2 fallen — aber als Lieferant ein wichtiger Bestandteil sind. Ohne Vorbereitung verlieren sie ihre Großkunden."
— Nils Oehmichen, über diesen Fall
Ähnliche Situation in Ihrem Unternehmen?
Eigenen Fall besprechenArztpraxen-spezifische Erfahrung.
Unsere Mandantschaft hat uns die Zeit gegeben, branchenspezifische Vorlagen und Prozesse zu entwickeln — das spart Ihnen Wochen Doku-Aufbau.
- Erfahrung mit Praxen, MVZ und ambulanten Pflegediensten in Hamburg und Schleswig-Holstein
- Vorlagen für Datenschutzfolgenabschätzung (gematik, KIM, ePA, Praxisverwaltungssysteme)
- AVV-Standards für gängige Anbieter (Doctolib, Doctena, jameda, t2med, MEDISTAR)
- Schulungs-Module speziell für medizinisches Fachpersonal
Drei Schritte vom Erstkontakt bis zur Bestellung.
Wir machen kein Geheimnis aus dem Ablauf. Klar, schnell, ohne Termin-Pingpong.
- 01
Anfrage in 60 Sekunden
Online-Rechner ausfüllen oder anrufen. Wir melden uns werktags innerhalb von 24 Stunden mit einem Termin für ein 30-minütiges Erstgespräch.
- 02
Festpreis-Angebot
Nach dem kostenlosen Erstgespräch bekommen Sie ein schriftliches Angebot mit allen Inklusionen, Preisen und Vertragsbedingungen — keine versteckten Kosten.
- 03
Onboarding in 7 Tagen
Bestellung als DSB nach DSGVO Art. 37, Workshop bei Ihnen vor Ort oder per Teams, Mitarbeiter-Onboarding auf der Hugo-DSB-Plattform.
01 Brauchen wir als Praxis mit nur 5 Mitarbeitern wirklich einen DSB?
Ja. Nach § 38 BDSG ist ein DSB Pflicht, sobald „besondere Kategorien" personenbezogener Daten verarbeitet werden — und Patientendaten sind das per Definition. Die 20-Mitarbeiter-Schwelle gilt für Praxen nicht.
02 Wie schnell kann der DSB bei einer Datenpanne reagieren?
Reaktionszeit < 24 Stunden werktags, bei akuten Vorfällen (Hackerangriff, Datenpanne) < 4 Stunden. Wir bereiten die Meldung an den HmbBfDI innerhalb der 72-Stunden-Frist vor.
03 Übernimmt der externe DSB auch Mitarbeiterschulungen?
Ja, Schulungen finden vor Ort in Ihrer Praxis statt — branchenspezifisch zu Schweigepflicht, Patientenkommunikation, Datensparsamkeit und Phishing-Erkennung.
Datenschutz, der nicht im Posteingang liegen bleibt.
TÜV-zertifizierter externer DSB plus eigene KI-Plattform — Festpreis ab 149 €/Monat, in 7 Werktagen startklar, monatlich kündbar.
TÜV-zertifizierter DSB Festpreis Monatlich kündbar 0 € Bußgelder