In der DSFA-AV wird die Patientenverwaltung und Honorarabrechnung einzelner Ärzte von der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung generell ausgenommen. Diese Bestimmung steht jedoch nicht mit den unionsrechtlichen Vorgaben im Einklang. Vielmehr haben auch Einzelpraxen im Rahmen einer Einzelfallbeurteilung die in der DSGVO und den Leitlinien der Art 29-Datenschutzgruppe definierten Kriterien heranzuziehen, um zu beurteilen, ob von einem hohen Risiko für die Rechte und Freiheiten der Patienten auszugehen ist und sie daher der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung unterliegen.