zur Startseite
Praxis
Digitalisierung
IT-Sicherheit

Themenseite

IT-Sicherheit

lightfieldstudios – stock.adobe.com

In jeder Praxis müssen die verarbeiteten Daten und Informationen sicher sein, insbesondere wenn es sensible Daten sind. Verantwortlich dafür ist der Praxisinhaber. Er muss auch dafür sorgen, dass die Mitarbeiter sicher mit den Daten umgehen. Zu beachten sind dabei die berufsrechtlichen Vorgaben, etwa zur ärztlichen Schweigepflicht, aber auch die EU-Datenschutzgrundverordnung. Weil Daten zunehmend elektronisch erfasst und verarbeitet werden und weltweit die Cyberkriminalität zunimmt, wird die IT-Sicherheit immer wichtiger. Dabei spielt die IT-Sicherheitsrichtlinie der KBV eine wichtige Rolle. Sie bietet den verantwortlichen Praxisinhabern einen verlässlichen Rahmen und zugleich Orientierung, was sie bezüglich der IT-Sicherheit in ihrer Praxis tun müssen.

##tableofcontents-label##

Konkret beschreibt die IT-Sicherheitsrichtlinie eine Basis-Infrastruktur für die Datensicherheit – zum Beispiel aktueller Virenschutz, Firewall, Updates, Patches oder Backups. Die konkreten Anforderungen werden in den fünf Anlagen der Richtlinie erläutert. Dabei wird nach Praxisgröße und Ausstattung unterschieden. Je digitaler die eigene Praxis arbeitet, desto höher sind die Sicherheitsanforderungen – und entsprechend mehr muss der Praxisinhaber für IT-Sicherheit tun.

Generell muss sowohl die Hardware als auch Software geschützt werden, ebenso die Anbindung ans Internet und die dezentralen Komponenten der Telematikinfrastruktur, die in der Praxis stehen – also etwa das Kartenlesegerät oder der Konnektor. Aber auch das Praxispersonal gehört dazu: Es muss für Informationssicherheit geschult sein. Hierbei bietet die KBV den Praxen Unterstützung in Form von Musterdokumenten und Schulungsmaterialien.

Wichtig zu wissen: Die IT-Sicherheitsrichtlinie ist ein Gesetzesauftrag (Paragraf 390 SGB V). Die KBV erstellt und aktualisiert sie unter anderem im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und orientiert sich an dessen Vorgaben und Empfehlungen. Dabei wird darauf geachtet, den Aufwand für die ärztlichen und psychotherapeutischen Praxen möglichst gering zu halten.

Anforderungen, die alle Praxen erfüllen müssen

Seit 1. Oktober 2025 umzusetzen

Das Praxispersonal muss in den sicheren Umgang mit der Praxis-IT eingewiesen und sensibilisiert werden, soweit dies für die Arbeit relevant ist (Anlage 1 Nummer 9 der Richtlinie).
Das Praxispersonal muss regelmäßig geschult werden, insbesondere zur eingesetzten Technik / IT (Anlage 1 Nummer 6).
Das Praxispersonal sollte entsprechend seiner Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden (Anlage 1 Nummer 10).
Neue Mitarbeiter müssen in die Praxis-IT eingearbeitet werden (Anlage 1 Nummer 1). Tipp: Hierfür gibt es ein Musterdokument im Hub zur IT-Sicherheitsrichtlinie.
Bei Beendigung des Beschäftigungsverhältnisses muss die Praxisleitung der Person bekannte oder von ihr verwendete Passwörter und Zugangsdaten ändern oder vernichten (Anlage 1 Nummer 2). Auch hierfür gibt es ein Musterdokument im Hub.
Externes Personal, etwa von einem IT-Dienstleister zur Installation, Prüfung oder Reparatur von Technik, muss verpflichtet werden, Gesetze, Vorschriften und interne Regelungen einzuhalten. Bei kurzfristigem oder einmaligem Einsatz muss es beaufsichtigt werden (Anlage 1 Nummer 3).
In der Praxis ist der Umgang mit Spam bei E-Mails geregelt. Grundsätzlich sollten alle, die in der Praxis mit E-Mails arbeiten, Spam ignorieren und löschen (Anlage 1 Nummer 41).

Bereits seit 2021 umzusetzen

In der Praxis werden aktuelle Virenschutzprogramme eingesetzt (Anlage 1 Nummer 20).
Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden (Anlage 1 Nummer 42).
Es werden keine vertraulichen Daten über Apps versendet (Anlage 1 Nummer 44).
Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt (Anlage 1 Nummer 32).
Nach der Nutzung eines Gerätes meldet sich die Person ab (Anlage 1 Nummer 19).
Das interne Netzwerk ist anhand eines Netzplanes dokumentiert (Anlage 1 Nummer 12). Hierfür gibt es ein Musterdokument im Hub zur IT-Sicherheitsrichtlinie.
Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Web Application Firewall eingesetzt (Anlage 1 Nummer 47).
Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen (Anlage 1 Nummer 48).
Auf Endgeräten, zum Beispiel einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen (Anlage 1 Nummer 21).
Bei Verlust eines Diensthandys muss die darin verwendete SIM-Karte zeitnah gesperrt werden (Anlage 1 Nummer 34).
Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden (Anlage 1 Nummer 36).
Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern (Anlage 1 Nummer 43).
Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert (Anlage 5 Nummer 8).
Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt (Anlage 5 Nummer 9).

Praxisgröße und Ausstattung

Die IT-Sicherheitsrichtlinie der KBV unterscheidet nach Praxisgröße und Ausstattung. Je digitaler die Praxis arbeitet und je mehr digitale Komponenten und Anwendungen zum Einsatz kommen, desto mehr beziehungsweise höhere Anforderungen gelten.

Anlage 1: Anforderungen für Praxen

Die Basisanforderungen an Technik und Personal gelten für alle Praxen, in denen bis zu fünf Beschäftigte ständig mit der Datenverarbeitung betraut sind. Sie stehen in Anlage 1.

Anlage 2: Zusätzliche Anforderungen für mittlere Praxen

Sind in der Praxis sechs bis zwanzig Personen ständig mit der Datenverarbeitung betraut, müssen einige Zusatzanforderungen erfüllt werden. Diese stehen in Anlage 2.

Anlage 3: Zusätzliche Anforderungen für große Praxen

In manchen Praxen sind mehr als zwanzig Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um ein Groß-Labor oder Groß-MVZ mit krankenhausähnlichen Strukturen, wo die Datenverarbeitung über die normale Datenübermittlung hinausgeht. Dann müssen noch einmal weitere Zusatzanforderungen der Anlage 3 erfüllt werden.

Anlage 4: Zusätzliche Anforderungen für medizinische Großgeräte

CT, MRT, PET, Linearbeschleuniger: Betreibt eine Praxis medizinische Großgeräte, muss sie ebenfalls einige zusätzliche Anforderungen erfüllen.

Anlage 5: Anforderungen für dezentrale Komponenten der Telematikinfrastruktur

Konnektor, Kartenlesegerät, Praxisausweis: Die Anforderungen an die dezentralen Komponenten der Telematikinfrastruktur stehen in Anlage 5.

So unterstützt die KBV dabei

Hub zur IT-Sicherheit

Dort sind sämtliche Anforderungen an die IT-Sicherheit übersichtlich dargestellt und und es werden weitere Umsetzungshinweise bereitgestellt.

Auch gibt es Musterdokumente zum praxisindividuellen Anpassen, beispielsweise eine Verschwiegenheitserklärung für Angestellte oder ein Eintrittsformular für den Beschäftigungsbeginn.

Außerdem bietet der Hub Informationen zu Schulungen für Praxisangestellte. Praxisinhaber können diese nutzen, um ihr Personal zu sensibilisieren und fortzubilden. Dazu müssen Ärzte und Psychotherapeuten zunächst mit ihrem Account im Fortbildungsportal der KBV Zugänge für ihre Angestellten generieren. Diese Zugänge können die Angestellten dann im „Fortbildungsportal der KBV für Medizinische Fachangestellte“ nutzen und sich dort eigenständig anmelden, um die Fortbildungen zu absolvieren.

Hub zur IT-Sicherheit

Musterdokumente zur IT-Sicherheitsrichtlinie

Im Hub zur IT-Sicherheitsrichtlinie finden Sie alle Anforderungen sowie Musterdokumente, zum Beispiel: Muster-Eintrittsformular, Muster-Austrittsformular, Muster-Verschwiegenheitserklärung (intern), Muster-Verschwiegenheitserklärung (extern) sowie Muster-Netzplan.

Fragen und Antworten zur IT-Sicherheitsrichtlinie

PraxisWissen IT-Sicherheit

Das Serviceheft unterstützt Praxisinhaber bei der Umsetzung der Richtlinie und soll den Einstieg erleichtern. Es umfasst 16 Seiten und ist anschaulich gestaltet. Die KBV stellt darin ausgewählte Anforderungen vor, bietet eine Checkliste, Praxis-Tipps und Beispiele sowie weiterführende Informationen. Das Heft ergänzt den Hub.

Publikation

Aktualisierungsdatum: 11.06.2025
PraxisWissen

IT-Sicherheit (PDF)

Hinweise zur Richtlinie, Tipps zur Umsetzung, Beispiele für die Praxis

Fortbildung

Die KBV bietet eine Online-Fortbildung zur IT-Sicherheit an (2 CME-Punkte). Sie steht im Fortbildungsportal bereit (Login erforderlich). Die Fortbildung richtet sich an Vertragsärzte und Vertragspsychotherapeuten.

Um ihr Praxispersonal zu sensibilisieren und zu schulen, gibt es Schulungen im Fortbildungsportal der KBV für Medizinische Fachangestellte. Eine Anleitung, wie sie diese MFA-Schulungen nutzen können, finden Ärzte und Psychotherapeuten im Hub.

Tools & Services

20.11.2025

Fortbildungsportal

Das Fortbildungsportal der KBV ist ein kostenfreies Angebot für Ärzte und Psychotherapeuten. Eine Übersicht über alle Fortbildungen sowie Informationen zur Anmeldung im Fortbildungsportal gibt es auf der Themenseite.

Gesetzliche Vorgaben für Cybersicherheit

Für viele Unternehmen in Deutschland, darunter auch besonders große oder umsatzstarke Praxen und MVZ, gelten seit Dezember 2025 strengere Vorgaben für die Stärkung der Cybersicherheit – also für den Schutz vor Angriffen auf das eigene Netzwerk und die Informationssicherheit. Hintergrund ist die Umsetzung einer europäischen Richtlinie aus dem Jahr 2022 zur Harmonisierung und Stärkung der Cybersicherheit in nationales Recht.

Wer genau von diesen Vorgaben betroffen ist und was sie bedeuten, fasst die KBV in einer PraxisInfo zusammen.

Informationen für Praxen

Publikation
- Aktualisierungsdatum: 15.12.2025
- PraxisInfo
Neue Vorgaben für Cybersicherheit (PDF)
Publikation

Aktualisierungsdatum: 04.12.2025

Checkliste zur IT-Sicherheit: Darauf sollten Praxen bei Anbietern von Clouds und Rechenzentren achten (PDF)
KBV

Publikation

Aktualisierungsdatum: 07.08.2025

Checkliste zur IT-Sicherheit: So können sie vorgehen (PDF)
KBV
Publikation
- Aktualisierungsdatum: 11.06.2025
- PraxisWissen
IT-Sicherheit (PDF)
Publikation
- Aktualisierungsdatum: 31.07.2024
- PraxisInfo
IT-Sicherheit: Praxen im Visier von Hackern und Trojanern (PDF)

PraxisNachrichten zur IT-Sicherheit

- Aktualisierungsdatum: 04.12.2025
- Serie IT-Sicherheit
Festplatte, Rechenzentrum, Cloud: So können Praxen ihre Daten sichern
- Aktualisierungsdatum: 06.11.2025
- Serie IT-Sicherheit
Darum sind Updates so wichtig
- Aktualisierungsdatum: 02.10.2025
- Serie IT-Sicherheit
Das ist bei einem IT-Sicherheitsvorfall zu tun
- Aktualisierungsdatum: 04.09.2025
- Serie IT-Sicherheit
Cyberangriffe per E-Mail verhindern
- Aktualisierungsdatum: 14.08.2025
- IT-Sicherheit
Neue Online-Fortbildung zur IT-Sicherheit in der Praxis
- Aktualisierungsdatum: 07.08.2025
- Serie IT-Sicherheit
Basis-Schutz für die IT-Infrastruktur: Das gehört dazu und so können Praxen vorgehen
- Aktualisierungsdatum: 03.07.2025
- Serie IT-Sicherheit
Teamaufgabe IT-Sicherheit: Praxisteam sensibilisieren und schulen
- Aktualisierungsdatum: 19.06.2025
- IT-Sicherheit
KBV startet Informationsoffensive zur IT-Sicherheit in Praxen

Zertifizierte IT-Dienstleister

In einem Verzeichnis hat die KBV die IT-Dienstleister aufgeführt, die speziell für die Umsetzung der Vorgaben aus der IT-Sicherheitsrichtlinie zertifiziert wurden. Dies ist ein optionales Angebot. Praxisinhaber können sich auch für einen nicht zertifizierten Dienstleister entscheiden, wenn sie sich Hilfe holen möchten.

18.12.2025

IT-Sicherheitsrichtlinie: Liste zertifizierter IT-Dienstleister (PDF)

Zertifizierung

Sie sind Anbieter von Gesundheits-IT und streben eine Zertifizierung durch die KBV an? So gehen Sie vor.

IT-Sicherheit

Anforderungen, die alle Praxen erfüllen müssen

Praxisgröße und Ausstattung

Anlagen zur IT-Sicherheitsrichtlinie

So unterstützt die KBV dabei

Hinweis: Was tun im IT-Notfall?

Gesetzliche Vorgaben für Cybersicherheit

Informationen für Praxen

PraxisNachrichten zur IT-Sicherheit

Zertifizierte IT-Dienstleister

Rechtsgrundlagen

Passend zum Thema

IT-Sicherheit

Anforderungen, die alle Praxen erfüllen müssen

Praxisgröße und Ausstattung

Anlagen zur IT-Sicherheitsrichtlinie

So unterstützt die KBV dabei

Hinweis: Was tun im IT-Notfall?

Gesetzliche Vorgaben für Cybersicherheit

Informationen für Praxen

PraxisNachrichten zur IT-Sicherheit

Zertifizierte IT-Dienstleister

Rechtsgrundlagen

Passend zum Thema

Abonnieren Sie unsere kostenlosen Newsletter