Der externe Datenschutzbeauftragte im Mittelstand ist für viele Unternehmen längst keine reine Pflichtbestellung mehr, sondern eine zentrale Schnittstelle zwischen Recht, IT-Sicherheit und Tagesgeschäft. Wie sich diese Rolle in den vergangenen zehn Jahren verändert hat, welche Anforderungen Gesundheitseinrichtungen und kleine Unternehmen heute trennen, und warum gerade der Einsatz von Künstlicher Intelligenz im Alltag neue Risiken erzeugt, beantwortet Jörg Höschel, Geschäftsführer der Lcomply UG und der Lowcos GmbH, im folgenden Interview. Das Gespräch richtet sich an Geschäftsführer, IT-Verantwortliche und Praxis- beziehungsweise Klinikleitungen, die ihren Datenschutz nicht nur formell, sondern wirksam aufstellen wollen.
Über den Interviewpartner
Jörg Höschel ist Geschäftsführer der Lcomply UG und seit vielen Jahren als externer Datenschutzbeauftragter und Berater tätig. Sein Schwerpunkt liegt auf der datenschutzrechtlichen Betreuung von kleinen und mittelständischen Unternehmen sowie Einrichtungen im Gesundheitswesen. Durch seine langjährige Erfahrung kennt er die besonderen Abläufe und Herausforderungen in Krankenhäusern, Arztpraxen, Pflegeeinrichtungen und medizinischen Versorgungszentren sehr genau.
Neben der klassischen Datenschutzberatung beschäftigt er sich intensiv mit IT-Sicherheit, digitalen Prozessen und dem datenschutzkonformen Einsatz von Künstlicher Intelligenz im Gesundheitswesen. Sein Ansatz verbindet praxisnahe Beratung mit digitalen Lösungen, um Unternehmen nicht nur rechtlich abzusichern, sondern auch organisatorisch zu entlasten. Mit seiner Kombination aus technischer, organisatorischer und praktischer Erfahrung begleitet er Unternehmen dabei, Datenschutz verständlich, alltagstauglich und zukunftssicher umzusetzen.
Das Unternehmen hat seinen Sitz in Ostfriesland, betreut jedoch Mandanten in ganz Deutschland. Gerade durch digitale Strukturen, Online-Schulungen und moderne Kommunikationswege können Unternehmen heute unabhängig vom Standort persönlich und effizient begleitet werden. Gleichzeitig legt Jörg Höschel großen Wert darauf, bei wichtigen Projekten und sensiblen Themen auch direkt vor Ort präsent zu sein. Auf der Internetseite der Lcomply UG können Unternehmen ihre Webseite kostenlos auf Datenschutz-Konformität überprüfen lassen, um einen ersten Eindruck zu gewinnen.
Das Interview
Frage 1: Sie sind seit über zehn Jahren im Datenschutz aktiv. Was hat sich in dieser Zeit am stärksten verändert, und was unterschätzen Unternehmen heute noch immer?
Jörg Höschel: Der Datenschutz ist deutlich komplexer und gleichzeitig praxisnäher geworden. Früher ging es oft nur um Verfahrensverzeichnisse oder einzelne Richtlinien. Heute betrifft Datenschutz nahezu jeden Unternehmensprozess, von der Website über Cloud-Dienste bis hin zu KI-Anwendungen und mobilen Arbeitsplätzen.
Was viele Unternehmen noch immer unterschätzen, ist die Tatsache, dass Datenschutz kein einmaliges Projekt ist. Es reicht nicht, einmal Dokumente anzulegen und danach nichts mehr zu tun. Datenschutz muss im Alltag gelebt werden. Besonders kleine und mittelständische Unternehmen merken oft erst im Ernstfall, wie wichtig klare Prozesse, Mitarbeiterschulungen und technische Sicherheitsmaßnahmen sind.
Frage 2: Ihr Fokus liegt auf KMU und dem Medizinbereich. Wo liegen die größten Unterschiede in den Datenschutzanforderungen zwischen diesen beiden Zielgruppen?
Jörg Höschel: Im Gesundheitswesen arbeiten Unternehmen mit besonders sensiblen Daten. Gesundheitsdaten gehören zu den am stärksten geschützten personenbezogenen Daten überhaupt. Dadurch entstehen deutlich höhere Anforderungen an Zugriffsrechte, Dokumentation, IT-Sicherheit und Schweigepflicht.
Ein Handwerksbetrieb oder ein mittelständisches Unternehmen verarbeitet zwar ebenfalls personenbezogene Daten, aber meist nicht in dieser Sensibilität. Dafür fehlt dort häufig die organisatorische Struktur. In Arztpraxen oder Kliniken ist Datenschutz gesetzlich stärker verankert, während viele kleinere Unternehmen Datenschutz noch immer eher als Nebenthema betrachten.
Frage 3: Viele Unternehmer denken, Datenschutz sei vor allem ein Thema für große Konzerne. Was sagen Sie denen?
Jörg Höschel: Das ist ein großer Irrtum. Gerade kleine Unternehmen sind oft besonders gefährdet, weil dort Prozesse weniger geregelt sind und die IT-Sicherheit häufig nicht ausreichend mitgewachsen ist.
Außerdem betrifft Datenschutz jedes Unternehmen, das Kundendaten, Mitarbeiterdaten oder digitale Systeme nutzt, also praktisch jeden Betrieb. Die Datenschutzbehörden prüfen inzwischen auch verstärkt kleinere Unternehmen und Arztpraxen. Dazu kommt: Ein Datenschutzvorfall kann enormen Vertrauensverlust bei Kunden verursachen. Für viele Betriebe ist das wirtschaftlich gefährlicher als ein Bußgeld.
Frage 4: DSGVO-Bußgelder klingen abstrakt. Haben Sie ein konkretes Beispiel aus der Region, das zeigt, was im Ernstfall passieren kann?
Jörg Höschel: Konkrete laufende Fälle kann ich aus Gründen der Vertraulichkeit natürlich nicht nennen. Allerdings sehen wir zunehmend Beschwerden von Patienten, Mitarbeitern oder Kunden, die direkt bei Datenschutzbehörden eingehen. Besonders häufig geht es um unverschlüsselte Kommunikation, falsche Empfänger von E-Mails oder fehlende Zugriffsbeschränkungen.
Gerade im Gesundheitswesen reichen oft schon kleinere organisatorische Fehler aus, damit sensible Informationen an unbefugte Personen gelangen. Neben möglichen Bußgeldern entstehen dann häufig erhebliche interne Aufwände, Prüfungen durch Behörden und Vertrauensschäden.
Frage 5: Sie kombinieren Software und persönliche Beratung. Wie sieht ein typischer Start mit einem neuen Kunden bei Ihnen aus?
Jörg Höschel: Am Anfang steht immer die Analyse der tatsächlichen Abläufe im Unternehmen. Datenschutz funktioniert nur, wenn man die Praxis versteht. Deshalb schauen wir uns zunächst die Prozesse, die IT-Struktur und die Arbeitsweise der Mitarbeiter an.
Danach richten wir unsere Datenschutzplattform ein, erstellen die notwendigen Dokumentationen und priorisieren die wichtigsten Risiken. Gleichzeitig begleiten wir die Mitarbeiter persönlich, denn Datenschutz darf keine reine Papierlösung sein. Unser Ziel ist es, Unternehmen dauerhaft zu entlasten und Datenschutz verständlich in den Alltag zu integrieren.
Frage 6: KI verändert gerade vieles, auch im Datenschutz. Welche neuen Risiken sehen Sie, und was müssen Unternehmer jetzt wissen?
Jörg Höschel: Viele Unternehmen nutzen bereits KI-Systeme, ohne sich bewusst zu sein, welche Daten dort verarbeitet werden. Oft werden sensible Informationen in externe Systeme eingegeben, ohne zu prüfen, wo diese Daten gespeichert oder weiterverarbeitet werden.
Gerade im Gesundheitswesen ist das ein enormes Risiko. Unternehmer müssen verstehen, dass KI nicht einfach nur ein neues Werkzeug ist, sondern datenschutzrechtlich und organisatorisch sauber eingebunden werden muss. Dazu gehören klare Regeln für Mitarbeiter, technische Schutzmaßnahmen und die Prüfung, welche KI-Anwendungen überhaupt datenschutzkonform eingesetzt werden dürfen.
Frage 7: Was würden Sie einem Handwerksmeister oder Arzt aus dem Emsland raten, der heute mit Datenschutz anfangen möchte? Wo fängt man an?
Jörg Höschel: Der wichtigste Schritt ist, überhaupt anzufangen und Datenschutz nicht aufzuschieben. Niemand muss sofort alles perfekt machen. Entscheidend ist zunächst ein realistischer Überblick: Welche Daten verarbeite ich? Wer hat Zugriff? Wie sicher sind meine Systeme?
Danach sollte man die größten Risiken priorisieren, zum Beispiel E-Mail-Kommunikation, Passwörter, Zugriffsrechte oder die Datensicherung. Gerade kleine Unternehmen brauchen keine übertriebene Bürokratie, sondern praktikable Lösungen, die im Alltag funktionieren. Datenschutz muss verständlich, umsetzbar und wirtschaftlich sinnvoll sein.
Zentrale Erkenntnisse aus dem Interview
Aus dem Gespräch lassen sich vier Kernaussagen herausarbeiten, die für die Datenschutzpraxis in mittelständischen Unternehmen und im Gesundheitswesen unmittelbar handlungsleitend sind.
- Datenschutz ist Daueraufgabe, kein Projekt: Wer einmal Dokumentation aufgesetzt und dann nicht weitergepflegt hat, steht im Prüffall faktisch ohne wirksamen Schutz da.
- Gesundheitswesen verlangt eigene Schutzniveaus: Zugriffsrechte, Schweigepflicht, IT-Sicherheit und Dokumentation sind dort strenger als im klassischen Mittelstand und verlangen spezialisierte Begleitung.
- KMU sind verwundbarer als sie glauben: Häufig fehlen Prozesse und IT-Sicherheitsstandards, gleichzeitig prüfen Aufsichtsbehörden zunehmend auch kleinere Betriebe.
- KI-Einsatz braucht klare Regeln: Eingaben in externe KI-Systeme können sensible Daten unkontrolliert weitergeben. Ohne Regeln, technische Schutzmaßnahmen und eine Prüfung der Anwendungen entstehen erhebliche Risiken.
„Datenschutz muss verständlich, umsetzbar und wirtschaftlich sinnvoll sein.“ Diese Linie zieht sich durch das gesamte Interview und beschreibt eine Haltung, die in der Praxis häufig fehlt: Schutzniveau und Aufwand müssen zur Größe und Risikolage des Unternehmens passen.
Kontext: Was in der Aufsichtspraxis aktuell relevant ist
Die Antworten von Jörg Höschel decken sich mit dem Bild, das die Aufsichtsbehörden in ihren Tätigkeitsberichten zeichnen. Aktuell stehen drei Themen besonders im Fokus der Prüfungen: erstens die rechtmäßige Nutzung von Webtracking, Drittanbieter-Plugins und Cookie-Bannern, zweitens die Auftragsverarbeitung im Zusammenhang mit Cloud-Diensten und Drittlandstransfers, drittens die korrekte Behandlung von Patientendaten und der Schweigepflicht in der Gesundheitsbranche. Wer hier solide aufgestellt ist, reduziert die Wahrscheinlichkeit aufsichtsrechtlicher Beanstandungen deutlich.
Ein zweiter Faktor ist die zunehmende Schnittstelle zur IT-Sicherheit. Die NIS2-Richtlinie und das deutsche Umsetzungsgesetz verschärfen die Anforderungen an Cybersecurity für eine wachsende Zahl mittlerer Unternehmen. Datenschutzbeauftragte und Informationssicherheitsbeauftragte arbeiten dabei zunehmend eng zusammen, auch wenn die Rollen rechtlich getrennt bleiben. Wer den Datenschutz isoliert vom IT-Sicherheitsmanagement betrachtet, lässt einen wesentlichen Schutzhebel ungenutzt.
Typische Stolperfallen aus zehn Jahren Beratungspraxis
- Veraltete Verarbeitungsverzeichnisse: Einmal erstellt, jahrelang nicht aktualisiert. Im Prüffall wirkt das schlechter, als gar keine Dokumentation zu haben.
- Auftragsverarbeitungsverträge ohne Aktualisierung: Dienstleister werden gewechselt, neue Sub-Auftragsverarbeiter eingebunden, die Verträge bleiben aber unverändert.
- Schulungen nur einmal beim Eintritt: Mitarbeitende vergessen Inhalte ohne Wiederholung, neue Werkzeuge bringen neue Risiken, Wissen veraltet schnell.
- Praxissoftware mit Sammelnutzerkonten: Mehrere Mitarbeitende teilen sich ein Login. Eine personenbezogene Nachverfolgbarkeit ist nicht mehr möglich.
- KI-Eingaben ohne Regelwerk: Mitarbeitende kopieren sensible Texte in öffentliche KI-Werkzeuge, ohne Bewusstsein für die Folgen.
Praxisbox: Einstieg in den Datenschutz in fünf Schritten
- Bestandsaufnahme: Welche personenbezogenen Daten werden verarbeitet, wo liegen sie, wer hat Zugriff?
- Risiko-Priorisierung: Welche Verarbeitungen bergen das höchste Risiko (zum Beispiel E-Mail-Versand mit sensiblen Inhalten, Cloud-Tools, KI-Anwendungen)?
- Technische Grundabsicherung: Verschlüsselung, sichere Passwörter, Backup, Zugriffsbeschränkungen, sicheres E-Mail-Setup.
- Schulung und Sensibilisierung: Mitarbeiter regelmäßig schulen, Verantwortlichkeiten klären, Meldewege bei Datenschutzvorfällen festlegen.
- Dokumentation und Wiederkehr: Verarbeitungsverzeichnis, Auftragsverarbeitungen, technisch-organisatorische Maßnahmen sauber dokumentieren und mindestens jährlich überprüfen.
Was Geschäftsführer aus dem Interview mitnehmen sollten
Für die Steuerung eines mittelständischen Unternehmens oder einer Einrichtung im Gesundheitswesen lassen sich aus den Aussagen drei strategische Linien ableiten. Erstens: Datenschutz gehört in den Führungskreis, nicht nur in die Compliance-Abteilung. Wer die Verantwortung an einzelne Mitarbeitende delegiert, ohne Geschäftsführungsattention, verliert Steuerungswirkung. Zweitens: Investitionen in den Datenschutz müssen wie Investitionen in andere Schutzfunktionen behandelt werden, mit Budget, Plan und messbarer Wirkung. Drittens: Externe Expertise und eigene Verantwortung schließen sich nicht aus, sondern ergänzen sich. Die Geschäftsführung bleibt verantwortlich, der externe Datenschutzbeauftragte übernimmt Beratung, Schulung und Überwachung.
Wer diese drei Linien in den eigenen Steuerungstakt integriert, verschiebt Datenschutz aus dem Bereich diffuser Pflichten in den Bereich strukturierter, planbarer Unternehmenstätigkeit. Das reduziert Risiken, vereinfacht Aufsichtsverfahren und schafft Vertrauen bei Kunden, Patienten und Mitarbeitenden gleichermaßen.
Ein häufig unterschätzter Effekt ist die Wirkung auf die Mitarbeitergewinnung. Junge Fachkräfte erwarten heute, dass ihr Arbeitgeber den verantwortungsvollen Umgang mit Daten ernst nimmt. Eine sichtbare Datenschutzkultur wirkt sich damit auch auf die Arbeitgeberattraktivität positiv aus.
Über die Unternehmen Lcomply UG und Lowcos GmbH
Die Lcomply UG ist auf Datenschutzberatung und die Übernahme der Funktion des externen Datenschutzbeauftragten spezialisiert, ergänzt durch eine eigene Datenschutzplattform für Dokumentation und Steuerung. Die Lowcos GmbH ergänzt das Leistungsspektrum um Beratungs- und IT-Sicherheitsleistungen. Beide Unternehmen mit Sitz in Neuschoo (Ostfriesland) betreuen Mandanten bundesweit. Unter www.lcomply.de und www.lowcos.de finden Unternehmen weitere Informationen, einen kostenlosen Webseiten-Check sowie das öffentliche ProvenExpert-Profil unter provenexpert.com/lowcos-gmbh.
FAQ
Wann ist ein externer Datenschutzbeauftragter Pflicht?
Im Mittelstand greift die gesetzliche Bestellpflicht in vielen Fällen ab 20 ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen, im Gesundheitswesen meist deutlich früher, wenn besonders sensible Daten umfangreich verarbeitet werden. Maßgeblich sind §38 BDSG sowie Art. 37 DSGVO.
Worin liegt der Vorteil eines externen Datenschutzbeauftragten gegenüber einer internen Bestellung?
Externe Datenschutzbeauftragte bringen breite Fall- und Branchenerfahrung mit, sind weisungsunabhängig und genießen keinen besonderen Kündigungsschutz wie interne Beauftragte. Für kleine und mittlere Unternehmen ist die externe Lösung häufig wirtschaftlicher und fachlich tiefer.
Welche typischen Datenschutzfehler treten in Arztpraxen und Kliniken auf?
Unverschlüsselte E-Mails mit Patientenbezug, falsche Empfänger, fehlende Zugriffsbeschränkungen in Praxissoftware, unsichere mobile Geräte sowie veraltete Auftragsverarbeitungsverträge mit Dienstleistern stehen ganz oben.
Welche Datenschutzrisiken sind beim Einsatz von KI besonders kritisch?
Sensible oder personenbezogene Daten landen unkontrolliert in externen Systemen, deren Speicherorte, Trainingsnutzung und Subdienstleister unklar sind. Ohne dokumentierte Freigaben, klare Mitarbeiterregeln und Auftragsverarbeitungsverträge ist der Einsatz oft nicht datenschutzkonform.
Wie hoch sind die typischen Investitionen für einen sinnvollen Datenschutz im KMU?
Die Bandbreite ist groß und hängt von Größe, Branche und Reifegrad ab. Für viele KMU bewegt sich der Aufwand für eine externe DSB-Betreuung im niedrigen vierstelligen Bereich pro Jahr, plus einmalige Aufwände für Aufbau und Schulung. Im Gesundheitswesen liegt der Aufwand entsprechend höher.
Kann ein externer Datenschutzbeauftragter bundesweit betreuen?
Ja. Mit digitalen Plattformen, Online-Schulungen und etablierten Kommunikationswegen ist eine bundesweite Betreuung Standard. Vor-Ort-Termine für kritische Projekte oder Audits bleiben weiterhin sinnvoll.
Hinweis: Dieser Beitrag gibt ausschließlich die redaktionellen Ansichten der Redaktion von cyberschutzbetrieb.de sowie die Aussagen des Interviewpartners wieder. Er stellt keine Rechtsberatung dar und ersetzt nicht die Beratung durch eine qualifizierte Rechtsanwältin oder einen qualifizierten Rechtsanwalt. Für rechtlich verbindliche Auskünfte zu Ihrem konkreten Fall wenden Sie sich bitte an einen zugelassenen Rechtsbeistand oder einen Datenschutzbeauftragten.
