Nach Artikel 9 DSGVO (Datenschutz Grundverordnung) handelt es sich bei Gesundheitsdaten um „besondere Daten“, die durch spezielle technische und organisatorische Maßnahmen (TOM) geschützt werden müssen. Spezifiziert werden diese Anforderungen auf Bundesebene in §22 BDSG neu. Danach ist auch der Einsatz eines internen oder externen Datenschutzbeauftragten (DSB) für Praxen mit bis zu 19 Mitarbeitern zu prüfen (ab 20 Mitarbeitern ohnehin nach DSGVO verpflichtend).
Ab 3 Ärzten ist der Einsatz eines externen DSB in jedem Fall, unabhängig von der Mitarbeiteranzahl, zu empfehlen, da im Zweifelsfall die vorsorgliche DSB Benennung größere Sicherheit bei geringem wirtschaftlichen Einsatz bedeutet.