Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 
Stand 01.04.2025

Service

IT-Sicherheitsrichtlinie

Richtlinie zur Datensicherheit der Praxis-IT

IT-Systeme und sensible Daten in Praxen noch besser zu schützen: Das ist eines der Ziele der IT-Sicherheitsrichtlinie. Sie wurde von der KBV aufgrund eines gesetzlichen Auftrags erstellt und zum 1. April 2025 aktualisiert. So sollen klare Vorgaben dabei helfen, Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren. 

Eine weitere Richtlinie der KBV betrifft die Zertifizierung von IT-Dienstleistern, die Ärzte und Psychotherapeuten - falls gewünscht - in IT-Sicherheitsfragen beraten und die Vorgaben der IT-Sicherheitsrichtlinie umsetzen. 

Video: IT-Sicherheitsrichtlinie im Überblick

FeedbackFeedback Einbinden Einbinden Zur Mediathek
Wenn Sie das Video auf Ihren Seiten einbetten wollen, schicken Sie uns bitte Über das Feedback-Formular eine Nachricht
Textfassung des Videos



Den sicheren Umgang mit personenbezogen Daten regelt die DSGVO, kurz für Datenschutz-Grundverordnung. Europaweit, seit 2018.

Für die Praxen allerdings teils zu ungenau, oder nicht passend.

Daher hat der Gesetzgeber die KBV damit beauftragt, diese Regelungen für Praxen zu übersetzen, zu vereinheitlichen und verbindlich zu regeln: im Einvernehmen mit dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik – in der so genannten IT-Sicherheitsrichtlinie.

Wieviel Sicherheit nötig ist, richtet sich nach zwei Punkten: der Anzahl derjenigen, die ständig mit der Datenverarbeitung betraut sind und dem Umfang der Datenverarbeitung.

Obendrauf kommen zusätzliche Anforderungen für Praxen, die mit medizinischen Großgeräten arbeiten. Aber auch für die dezentralen Komponenten der Telematik Infrastruktur, wie zum Beispiel dem Konnektor.

Mit Blick auf neue Bedrohungsszenarien und technische Entwicklungen wird die Richtlinie immer wieder angepasst und weiterentwickelt. Die Praktikabilität für Praxen steht dabei immer im Vordergrund.

Eine zweite Richtlinie definiert die Zertifizierung der IT-Dienstleister, auch die wurde von der KBV erarbeitet.

Wer sich also mit der Umsetzung der IT-Sicherheitsrichtlinie in seiner Praxis unsicher ist, findet auf der Internetseite der KBV ein Verzeichnis zertifizierter Dienstleister.

Dort steht auch ein ganzes Infopaket für Praxen zur IT-Sicherheitsrichtlinie bereit.
Neben Anwendungshinweisen findet man dort auch Musterdokumente, zum Beispiel für den Einsatz von Diensthandys. Diese Musterdokumente können einfach an die jeweilige Praxissituation angepasst werden.


Ausführliche Informationen zu dem Thema finden Sie auf der Online-Plattform hub.kbv.de
Die Seite wird stetig aktualisiert und bei Bedarf um neue Informationen erweitert.

Vorgaben aus der IT-Sicherheitsrichtlinie

Virenschutz, Firewall, Sperrcodes: Welche konkreten Sicherheitsmaßnahmen muss meine Praxis ergreifen, um die Anforderungen der IT-Sicherheitsrichtlinie zu erfüllen?

Da die IT-Sicherheitsrichtlinie keine neuen Vorgaben „erfindet“, sondern bestehende konkretisiert und praxistauglich macht (beispielsweise aus der EU-Datenschutzgrundverordnung), werden die meisten Anforderungen bereits von den Praxen umgesetzt. Hier ein Überblick:

Anforderungen an alle Praxen*

Auswahl

Spätestens ab 1. Oktober 2025 umzusetzen:

  • Das Praxispersonal muss in den sicheren Umgang mit der Praxis-IT eingewiesen und sensibilisiert werden, soweit dies für die Arbeit relevant ist (Anlage 1 Nummer 9 der Richtlinie).
  • Das Praxispersonal muss regelmäßig geschult werden, insbesondere zur eingesetzten Technik/IT (Anlage 1 Nummer 6).
  • Das Praxispersonal sollte entsprechend seiner Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden (Anlage 1 Nummer 10).
  • Neue Mitarbeiterinnen und Mitarbeiter müssen in die Praxis-IT eingearbeitet werden (Anlage 1 Nummer 1). Tipp: Hierfür gibt es ein Musterdokument im Hub zur IT-Sicherheitsrichtlinie.
  • Bei Beendigung des Beschäftigungsverhältnisses muss die Praxisleitung der Person bekannte oder von ihr verwendete Passwörter und Zugangsdaten ändern oder vernichten (Anlage 1 Nummer 2). Auch hierfür gibt es ein Musterdokument im Hub.
  • Externes Personal, etwa von einem IT-Dienstleister zur Installation, Prüfung oder Reparatur von Technik, muss verpflichtet werden, Gesetze, Vorschriften und interne Regelungen einzuhalten. Bei kurzfristigem oder einmaligem Einsatz muss es beaufsichtigt werden (Anlage 1 Nummer 3).
  • In der Praxis ist der Umgang mit Spam bei E-Mails geregelt. Grundsätzlich sollten alle, die in der Praxis mit E-Mails arbeiten, Spam ignorieren und löschen (Anlage 1 Nummer 41).

Bereits seit 2021 umzusetzen:

  • In der Praxis werden aktuelle Virenschutzprogramme eingesetzt (Anlage 1 Nummer 20).
  • Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden (Anlage 1 Nummer 42).
  • Es werden keine vertraulichen Daten über Apps versendet (Anlage 1 Nummer 44).
  • Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt (Anlage 1 Nummer 32).
  • Nach der Nutzung eines Gerätes meldet sich die Person ab (Anlage 1 Nummer 19).
  • Das interne Netzwerk ist anhand eines Netzplanes dokumentiert (Anlage 1 Nummer 12). Hierfür gibt es ein Musterdokument im Hub zur IT-Sicherheitsrichtlinie.
  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Web Application Firewall eingesetzt (Anlage 1 Nummer 47).
  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen (Anlage 1 Nummer 48).
  • Auf Endgeräten, zum Beispiel einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen (Anlage 1 Nummer 21).
  • Bei Verlust eines Diensthandys muss die darin verwendete SIM-Karte zeitnah gesperrt werden (Anlage 1 Nummer 34).
  • Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden (Anlage 1 Nummer 36).
  • Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern (Anlage 1 Nummer 43).
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert (Anlage 5 Nummer 8).
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt (Anlage 5 Nummer 9).

Im Hub zur IT-Sicherheitsrichtlinie finden Sie alle Anforderungen sowie Musterdokumente, zum Beispiel:

  • Muster-Eintrittsformular
  • Muster-Austrittsformular
  • Muster-Verschwiegenheitserklärung (intern)
  • Muster-Verschwiegenheitserklärung (extern)
  • Muster-Netzplan

Anforderungen zusätzlich für mittlere Praxen*

  

Auswahl

  • App-Berechtigungen minimieren: Bevor eine App eingeführt wird, muss sichergestellt werden, dass sie nur die minimal benötigten App-Berechtigungen für ihre Funktion erhält; weitere müssen hinterfragt und gegebenenfalls unterbunden werden (vgl. Anlage 2 Nummer 10).
  • Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden (vgl. Anlage 2 Nummer 7). Hierfür gibt es ein Musterdokument im Hub zur IT-Sicherheitsrichtlinie.
  • Es sollte klare schriftliche Regeln dazu geben, ob, wie und zu welchen Anlässen Wechseldatenträger mitgenommen werden dürfen (Anlage 2 Nummer 9). Auch hierfür gibt es ein Musterdokument im Hub zur IT-Sicherheitsrichtlinie.

Anforderungen zusätzlich für große Praxen*

Auswahl

  • Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden (vgl. Anlage 3 Nummer 4). Hierfür gibt es ein Musterdokument im Hub zur IT-Sicherheitsrichtlinie.

Anforderungen zusätzlich für Praxen mit medizinischen Großgeräten*

Auswahl

  • Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können (Anlage 4 Nummer 1).
  • Für die Konfiguration und Wartung von medizinischen Großgeräten müssen sichere Protokolle genutzt werden (Anlage 4 Nummer 2).

*Praxistypen

Praxistyp:

  • Praxis: Hier sind bis zu fünf Personen ständig mit der Datenverarbeitung betraut.
  • Mittlere Praxis: Hier sind 6 bis 20 Personen ständig mit der Datenverarbeitung betraut.
  • Große Praxis: Hier sind mehr als 20 Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, bei der die Datenverarbeitung über die normale Datenübermittlung hinausgeht (z.B. Labor, Groß-MVZ mit krankenhausähnlichen Strukturen).
  • Medizinische Großgeräte: zum Beispiel CT, MRT, PET, Linearbeschleuniger.

Mehr zur Richtlinie

Hinter der IT-Sicherheitsrichtlinie steht der Gesetzgeber. Im Digitale-Versorgung-Gesetz beauftragte er die KBV und die Kassenzahnärztliche Bundesvereinigung (KZBV) damit, eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln. Darin sollten die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein.

Weitere Anforderungen an die IT-Sicherheitsrichtlinie: 

  • Sie muss im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und aktualisiert werden.
  • Sie soll nach dem Stand der Technik Sicherheitsanforderungen an Praxen festlegen. Dabei geht es um Punkte wie Sicherheitsmanagement, Organisation und Personal, IT-Systeme, Anwendungen und Dienste oder das Aufspüren von Sicherheitsvorfällen.  

Die IT-Sicherheitsrichtlinie trat erstmals zum 1. Januar 2021 in Kraft, die aktuelle Version gilt seit 1. April 2025.

Weitere Richtlinie zur Zertifizierung

Zudem erhielten KBV und KZBV die Aufgabe, mit einer weiteren Richtlinie die Zertifizierung von Dienstleistern zu regeln, welche die Praxen in IT-Sicherheitsfragen beraten und die Vorgaben der IT-Sicherheitsrichtlinie umsetzen. Die aktuelle Version dieser Richtlinie zur Zertifizierung gilt seit 13. Juli 2023. Im Einverständnis mit der KZBV wird das Verfahren zur Zertifizierung durch die KBV durchgeführt.

Gesetzliche Grundlage: Paragraf 390 SGB V

 

 

Übersicht: Zertifizierte IT-Dienstleister

In einem Verzeichnis sind IT-Dienstleister aufgeführt, die speziell zur Umsetzung der Vorgaben der IT-Sicherheitsrichtlinie zertifiziert wurden. Dies ist ein optionales Angebot. Praxisinhaber können sich auch für einen nicht zertifizierten Dienstleister entscheiden, wenn sie sich Hilfe holen möchten.

Zertifizierung von Dienstleistern

Informationen für Anbieter von Gesundheits-IT

Der Gesetzgeber hat eine weitere Richtlinie beauftragt: Diese soll die Zertifizierung von Dienstleistern regeln, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen. 

Download

IT-Sicherheitsrichtlinie