zur Startseite
Praxis
Digitalisierung
IT-Sicherheit

Themenseite

IT-Sicherheit

lightfieldstudios – stock.adobe.com

In jeder Praxis müssen die verarbeiteten Daten und Informationen sicher sein, insbesondere wenn es sensible Daten sind. Verantwortlich dafür ist stets der Praxisinhaber oder die Praxisinhaberin. Er oder sie muss auch dafür sorgen, dass die Mitarbeiterinnen und Mitarbeiter sicher mit den anvertrauten und verarbeiteten Daten umgehen. Zu beachten sind dabei die berufsrechtlichen Vorgaben, etwa zur ärztlichen Schweigepflicht, aber auch die EU-Datenschutzgrundverordnung. Weil Daten zunehmend elektronisch erfasst und verarbeitet werden und weltweit die Cyberkriminalität zunimmt, kommt der IT-Sicherheit eine immer größere Bedeutung zu. Dabei spielt die IT-Sicherheitsrichtlinie der KBV eine wichtige Rolle. Sie bietet den verantwortlichen Praxisinhabern und Praxisinhaberinnen einen verlässlichen Rahmen und zugleich Orientierung, was sie bezüglich der IT-Sicherheit in ihrer Praxis tun müssen.

##tableofcontents-label##

Basis-Infrastruktur für die Datensicherheit

Konkret beschreibt die Richtlinie eine Basis-Infrastruktur für die Datensicherheit – zum Beispiel aktueller Virenschutz, Firewall, Updates, Patches oder Backups. Die konkreten Anforderungen stehen in den fünf Anlagen der Richtlinie und werden dort erläutert (siehe unten).

Dabei wird nach Praxisgröße und Ausstattung unterschieden. Hierbei gilt: Je digitaler die eigene Praxis arbeitet, desto höher sind die Sicherheitsanforderungen – und entsprechend mehr muss der Praxisinhaber oder die Praxisinhaberin für IT-Sicherheit tun.

Generell muss sowohl die Hardware als auch die Software geschützt werden, ebenso die Anbindung ans Internet und die dezentralen Komponenten der Telematikinfrastruktur, die in der Praxis stehen, also etwa das Kartenlesegerät oder der Konnektor.

Aber auch das Praxispersonal gehört dazu: Es muss für Informationssicherheit sensibilisiert und entsprechend geschult werden. Hierbei bietet die KBV den Praxen Unterstützung in Form von Musterdokumenten und Schulungsmaterialien.

Wichtig zu wissen: Die Richtlinie ist ein Gesetzesauftrag (Paragraf 390 SGB V). Die KBV erstellt und aktualisiert sie unter anderem im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und orientiert sich an dessen Vorgaben und Empfehlungen. Dabei achtet die KBV darauf, den Aufwand für die ärztlichen und psychotherapeutischen Praxen möglichst gering zu halten.

Basis-Anforderungen, die alle Praxen erfüllen müssen

Spätestens ab 1. Oktober 2025 umzusetzen

Das Praxispersonal muss in den sicheren Umgang mit der Praxis-IT eingewiesen und sensibilisiert werden, soweit dies für die Arbeit relevant ist (Anlage 1 Nummer 9 der Richtlinie).
Das Praxispersonal muss regelmäßig geschult werden, insbesondere zur eingesetzten Technik / IT (Anlage 1 Nummer 6).
Das Praxispersonal sollte entsprechend seiner Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden (Anlage 1 Nummer 10).
Neue Mitarbeiterinnen und Mitarbeiter müssen in die Praxis-IT eingearbeitet werden (Anlage 1 Nummer 1). Tipp: Hierfür gibt es ein Musterdokument im Hub zur IT-Sicherheitsrichtlinie.
Bei Beendigung des Beschäftigungsverhältnisses muss die Praxisleitung der Person bekannte oder von ihr verwendete Passwörter und Zugangsdaten ändern oder vernichten (Anlage 1 Nummer 2). Auch hierfür gibt es ein Musterdokument im Hub.
Externes Personal, etwa von einem IT-Dienstleister zur Installation, Prüfung oder Reparatur von Technik, muss verpflichtet werden, Gesetze, Vorschriften und interne Regelungen einzuhalten. Bei kurzfristigem oder einmaligem Einsatz muss es beaufsichtigt werden (Anlage 1 Nummer 3).
In der Praxis ist der Umgang mit Spam bei E-Mails geregelt. Grundsätzlich sollten alle, die in der Praxis mit E-Mails arbeiten, Spam ignorieren und löschen (Anlage 1 Nummer 41).

Bereits seit 2021 umzusetzen

In der Praxis werden aktuelle Virenschutzprogramme eingesetzt (Anlage 1 Nummer 20).
Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden (Anlage 1 Nummer 42).
Es werden keine vertraulichen Daten über Apps versendet (Anlage 1 Nummer 44).
Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt (Anlage 1 Nummer 32).
Nach der Nutzung eines Gerätes meldet sich die Person ab (Anlage 1 Nummer 19).
Das interne Netzwerk ist anhand eines Netzplanes dokumentiert (Anlage 1 Nummer 12). Hierfür gibt es ein Musterdokument im Hub zur IT-Sicherheitsrichtlinie.
Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Web Application Firewall eingesetzt (Anlage 1 Nummer 47).
Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen (Anlage 1 Nummer 48).
Auf Endgeräten, zum Beispiel einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen (Anlage 1 Nummer 21).
Bei Verlust eines Diensthandys muss die darin verwendete SIM-Karte zeitnah gesperrt werden (Anlage 1 Nummer 34).
Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden (Anlage 1 Nummer 36).
Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern (Anlage 1 Nummer 43).
Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert (Anlage 5 Nummer 8).
Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt (Anlage 5 Nummer 9).

Praxisgröße und Ausstattung

Die IT-Sicherheitsrichtlinie unterscheidet nach Praxisgröße und Ausstattung. Je digitaler die Praxis arbeitet und je mehr digitale Komponenten und Anwendungen zum Einsatz kommen, desto mehr beziehungsweise höhere Anforderungen gelten.

Anlage 1: Anforderungen für Praxen

Die Basisanforderungen an Technik und Personal gelten für alle Praxen, in denen bis zu fünf Beschäftigte ständig mit der Datenverarbeitung betraut sind. Sie stehen in Anlage 1.

Anlage 2: Zusätzliche Anforderungen für mittlere Praxen

Sind in der Praxis sechs bis zwanzig Personen ständig mit der Datenverarbeitung betraut, müssen einige Zusatzanforderungen erfüllt werden. Diese stehen in Anlage 2.

Anlage 3: Zusätzliche Anforderungen für große Praxen

In manchen Praxen sind mehr als zwanzig Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um ein Groß-Labor oder Groß-MVZ mit krankenhausähnlichen Strukturen, wo die Datenverarbeitung über die normale Datenübermittlung hinausgeht. Dann müssen noch einmal weitere Zusatzanforderungen der Anlage 3 erfüllt werden.

Anlage 4: Zusätzliche Anforderungen für medizinische Großgeräte

CT, MRT, PET, Linearbeschleuniger: Betreibt eine Praxis medizinische Großgeräte, muss sie ebenfalls einige zusätzliche Anforderungen erfüllen.

Anlage 5: Anforderungen für dezentrale Komponenten der Telematikinfrastruktur

Konnektor, Kartenlesegerät, Praxisausweis: Die Anforderungen an die dezentralen Komponenten der Telematikinfrastruktur stehen in Anlage 5.

So unterstützt die KBV

Hub zur IT-Sicherheit

Dort sind sämtliche Anforderungen an die IT-Sicherheit übersichtlich dargestellt und und es werden weitere Umsetzungshinweise bereitgestellt.

Auch gibt es Musterdokumente zum praxisindividuellen Anpassen, beispielsweise eine Verschwiegenheitserklärung für Angestellte oder ein Eintrittsformular für den Beschäftigungsbeginn.

Außerdem bietet der Hub Informationen zu Schulungen für Praxisangestellte. Praxisinhaber können diese nutzen, um ihr Personal zu sensibilisieren und fortzubilden. Dazu müssen Ärzte und Psychotherapeuten zunächst mit ihrem Account im Fortbildungsportal der KBV Zugänge für ihre Angestellten generieren. Diese Zugänge können die Angestellten dann im „Fortbildungsportal der KBV für Medizinische Fachangestellte“ nutzen und sich dort eigenständig anmelden, um die Fortbildungen zu absolvieren.

Hub zur IT-Sicherheit

Musterdokumente zur IT-Sicherheitsrichtlinie

Im Hub zur IT-Sicherheitsrichtlinie finden Sie alle Anforderungen sowie Musterdokumente, zum Beispiel: Muster-Eintrittsformular, Muster-Austrittsformular, Muster-Verschwiegenheitserklärung (intern), Muster-Verschwiegenheitserklärung (extern) sowie Muster-Netzplan.

Fragen und Antworten zur IT-Sicherheitsrichtlinie

PraxisWissen IT-Sicherheit

Das Serviceheft unterstützt Praxisinhaberinnen und Praxisinhaber bei der Umsetzung der Richtlinie und soll den Einstieg erleichtern. Es umfasst 16 Seiten und ist anschaulich gestaltet. Die KBV stellt darin ausgewählte Anforderungen vor, bietet eine Checkliste, Praxis-Tipps und Beispiele sowie weiterführende Informationen. Das Heft ergänzt den Hub.

Top-Thema
Publikation

Aktualisierungsdatum: 11.06.2025
PraxisWissen

IT-Sicherheit (PDF)

Hinweise zur Richtlinie, Tipps zur Umsetzung, Beispiele für die Praxis

Fortbildung

Die KBV bietet eine Online-Fortbildung zur IT-Sicherheit an (2 CME-Punkte). Sie steht im Fortbildungsportal bereit (Login erforderlich). Die Fortbildung richtet sich an Vertragsärzte und Vertragspsychotherapeuten.

Um ihr Praxispersonal zu sensibilisieren und zu schulen, gibt es Schulungen im Fortbildungsportal der KBV für Medizinische Fachangestellte. Eine Anleitung, wie sie diese MFA-Schulungen nutzen können, finden Ärzte und Psychotherapeuten im Hub.

Tools & Services

15.07.2025

Fortbildungsportal

Das Fortbildungsportal der KBV ist ein kostenfreies Angebot für Ärzte und Psychotherapeuten. Eine Übersicht über alle Fortbildungen sowie Informationen zur Anmeldung im Fortbildungsportal gibt es auf der Themenseite.

PraxisNachrichten zur IT-Sicherheit

- Aktualisierungsdatum: 04.09.2025
- Serie IT-Sicherheit
Cyberangriffe per E-Mail verhindern
- Aktualisierungsdatum: 14.08.2025
- IT-Sicherheit
Neue Online-Fortbildung zur IT-Sicherheit in der Praxis
- Aktualisierungsdatum: 07.08.2025
- Serie IT-Sicherheit
Basis-Schutz für die IT-Infrastruktur: Das gehört dazu und so können Praxen vorgehen
- Aktualisierungsdatum: 03.07.2025
- Serie IT-Sicherheit
Teamaufgabe IT-Sicherheit: Praxisteam sensibilisieren und schulen
- Aktualisierungsdatum: 19.06.2025
- IT-Sicherheit
KBV startet Informationsoffensive zur IT-Sicherheit in Praxen

Top-Thema
Publikation

Aktualisierungsdatum: 11.06.2025
PraxisWissen

IT-Sicherheit (PDF)

Top-Thema
Video

Aktualisierungsdatum: 10.07.2024
Dauer: 02:15 Min.

Publikation

Aktualisierungsdatum: 31.07.2024
PraxisInfo

IT-Sicherheit: Praxen im Visier von Hackern und Trojanern (PDF)

Zertifizierte IT-Dienstleister

In einem Verzeichnis hat die KBV die IT-Dienstleister aufgeführt, die speziell für die Umsetzung der Vorgaben aus der IT-Sicherheitsrichtlinie zertifiziert wurden. Dies ist ein optionales Angebot. Praxisinhaberinnen und Praxisinhaber können sich auch für einen nicht zertifizierten Dienstleister entscheiden, wenn sie sich Hilfe holen möchten.

05.09.2025

IT-Sicherheitsrichtlinie: Liste zertifizierter IT-Dienstleister (PDF)

Zertifizierung

Sie sind Anbieter von Gesundheits-IT und streben eine Zertifizierung durch die KBV an? So gehen Sie vor.

IT-Sicherheit

Basis-Infrastruktur für die Datensicherheit

Hinweis: Was tun im IT-Notfall?

Basis-Anforderungen, die alle Praxen erfüllen müssen

Praxisgröße und Ausstattung

Anlagen zur IT-Sicherheitsrichtlinie

So unterstützt die KBV

PraxisNachrichten zur IT-Sicherheit

Zertifizierte IT-Dienstleister

Rechtsgrundlagen

Passend zum Thema

IT-Sicherheit

Basis-Infrastruktur für die Datensicherheit

Hinweis: Was tun im IT-Notfall?

Basis-Anforderungen, die alle Praxen erfüllen müssen

Praxisgröße und Ausstattung

Anlagen zur IT-Sicherheitsrichtlinie

So unterstützt die KBV

PraxisNachrichten zur IT-Sicherheit

Zertifizierte IT-Dienstleister

Rechtsgrundlagen

Passend zum Thema

Abonnieren Sie unsere kostenlosen Newsletter