IT-Sicherheit in Arztpraxen ist 2026 keine Kür mehr, sondern gesetzliche Pflicht. Wer als Vertragsarzt in der Region Wertheim, Main-Tauber oder Baden-Württemberg die Anforderungen aus KBV §75b und DSGVO nicht erfüllt, riskiert Honorarkürzungen, Bußgelder und den Verlust des Patientenvertrauens. Dieser Artikel zeigt, was konkret verlangt wird — und was viele Praxen noch immer übersehen.
Warum IT-Sicherheit in Arztpraxen Pflicht ist
Arztpraxen verarbeiten täglich hochsensible personenbezogene Daten: Diagnosen, Medikamentenpläne, psychische Befunde. Diese Daten fallen nach Art. 9 DSGVO unter die besondere Kategorie sensibler Daten — mit entsprechend strengen Anforderungen an deren Schutz.
Gleichzeitig sind Arztpraxen ein attraktives Ziel für Cyberangriffe. Ransomware-Vorfälle in Praxen und Krankenhäusern haben in den letzten Jahren massiv zugenommen. Der Grund: Patientendaten sind wertvoll, und Praxen zahlen im Zweifel schnell — weil ein Systemausfall den Betrieb sofort lahmlegt.
Bußgeldrisiko: Ein Datenschutzverstoß kann nach Art. 83 DSGVO Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes nach sich ziehen — zuzüglich zivilrechtlicher Schadensersatzansprüche betroffener Patienten.
KBV §75b: Was die Richtlinie konkret verlangt
Seit dem Inkrafttreten der KBV-Richtlinie zur IT-Sicherheit (§75b SGB V) sind alle Vertragsärzte und Vertragspsychotherapeuten verpflichtet, konkrete technische und organisatorische Maßnahmen umzusetzen. Die Anforderungen staffeln sich nach Praxisgröße.
| Praxisgröße | Maßnahmen-Stufe | Beispiele |
|---|---|---|
| Bis 5 Personen | Basis | Firewall, Virenschutz, automatische Updates, Datensicherung |
| 6–20 Personen | Erhöht | + Netzwerksegmentierung, Zugriffskontrollen, Notfallkonzept |
| Über 20 Personen / MVZ | Hoch | + Sicherheitsaudits, dedizierter IT-Verantwortlicher, Protokollierung |
Bei Nichterfüllung drohen Honorarkürzungen von 2,5 bis 3,5 % — eine empfindliche Summe, die sich bei einer mittelgroßen Praxis schnell auf mehrere tausend Euro pro Quartal summiert.
Die häufigsten KBV-Lücken in der Praxis
- Kein getrenntes Netzwerk für Praxis-IT und Patientenbereich (WLAN)
- Veraltete Windows-Versionen ohne Sicherheitsupdates
- Keine dokumentierte Datensicherung mit Wiederherstellungstest
- Fehlende Passwortrichtlinien und gemeinsam genutzte Zugänge
- Kein schriftliches Notfallkonzept für IT-Ausfälle
- Kein Auftragsverarbeitungsvertrag (AVV) mit IT-Dienstleistern
DSGVO in der Praxis: Die häufigsten Fehler
Viele Praxen glauben, mit dem Praxisverwaltungssystem und einem Passwort sei die DSGVO erfüllt. Das ist ein Irrtum. Die DSGVO verlangt ein Gesamtkonzept — technisch und organisatorisch.
Kein AVV mit dem IT-Dienstleister
Sobald ein externer Dienstleister Zugriff auf Systeme mit Patientendaten hat, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwingend erforderlich. Viele Praxen haben diesen Vertrag nie abgeschlossen — ein klarer Verstoß.
Datensicherung ohne Verschlüsselung
Backup ist gut. Verschlüsseltes Backup ist Pflicht. Geht eine externe Festplatte mit unverschlüsselten Patientendaten verloren, ist das ein meldepflichtiger Vorfall — innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde.
Unsichere Fernwartungsverbindungen
IT-Dienstleister, die per unverschlüsselter Fernwartung auf Praxissysteme zugreifen, stellen ein Haftungsrisiko dar. Zulässig sind nur verschlüsselte, protokollierte Verbindungen mit dokumentiertem Zugriff.
Gemeinsam genutzte Zugänge
Teilen mehrere Mitarbeiter ein Login, ist eine Nachvollziehbarkeit von Datenzugriffen nicht möglich. Die DSGVO verlangt individuelle Zugänge mit rollenbasierter Rechtevergabe.
Praxisbeispiel aus der Region: Eine Allgemeinarztpraxis im Main-Tauber-Kreis nutzte jahrelang einen gemeinsamen Windows-Benutzer für alle Mitarbeiter und ließ Fernwartung über einen Consumer-Dienst zu. Nach einem externen Datenschutz-Check wurden beide Punkte als kritische Mängel eingestuft. CoKom GmbH hat die Umstellung auf individuelle Konten und eine verschlüsselte Fernwartungslösung innerhalb weniger Tage umgesetzt — inklusive AVV und Dokumentation.
Telematikinfrastruktur: eRezept, ePA und Co.
Die Telematikinfrastruktur (TI) ist das sichere digitale Netzwerk des deutschen Gesundheitswesens. Seit 2024 ist das eRezept bundesweit Pflicht — weitere Anwendungen sind bereits im Einsatz oder folgen.
| TI-Anwendung | Status 2026 | Was es bedeutet |
|---|---|---|
| eRezept | Pflicht seit 2024 | Digitale Ausstellung und Einlösung von Rezepten |
| ePA (elektronische Patientenakte) | Rollout 2025–2026 | Zentrale Patientenakte, Praxen müssen Daten einpflegen können |
| eAU | Pflicht | Elektronische Arbeitsunfähigkeitsbescheinigung direkt an Kassen |
| KIM | Pflicht | Verschlüsselte Kommunikation mit Kliniken, Laboren und Kassen |
Wichtig: Für die TI-Anbindung entstehen Kosten, die über die TI-Pauschale der Kassenärztlichen Vereinigung anteilig erstattet werden. Viele Praxen lassen diese Erstattung ungenutzt liegen, weil sie die Beantragung nicht kennen oder die Voraussetzungen nicht vollständig erfüllen. Sprechen Sie Ihre zuständige KV-Stelle und Ihren IT-Dienstleister gezielt darauf an.
Checkliste: Ist Ihre Praxis-IT DSGVO-konform?
Wenn Sie mehr als zwei Punkte mit "Nein" beantworten, besteht konkreter Handlungsbedarf.
- Alle Geräte laufen mit aktuellen Betriebssystemen und erhalten automatische Sicherheitsupdates
- Es existiert ein getrenntes Netzwerksegment für die Praxis-IT — kein gemeinsames WLAN mit Patienten
- Datensicherungen erfolgen automatisch, verschlüsselt und werden regelmäßig auf Wiederherstellbarkeit getestet
- Mit dem IT-Dienstleister besteht ein aktueller Auftragsverarbeitungsvertrag (AVV)
- Fernwartungszugriffe sind protokolliert und erfolgen nur über verschlüsselte Verbindungen
- Alle Mitarbeiter haben individuelle Zugänge — keine gemeinsamen Passwörter
- Ein schriftliches Notfallkonzept für IT-Ausfälle existiert und ist dem Team bekannt
- Die Praxis ist vollständig an die Telematikinfrastruktur angebunden (eRezept, KIM, eAU)
- Die TI-Pauschale der KV wird vollständig in Anspruch genommen
Fazit: IT-Sicherheit in Arztpraxen ist keine Option
Die Anforderungen an die IT-Sicherheit in Arztpraxen sind in den letzten Jahren deutlich gestiegen — und sie werden weiter zunehmen. Wer jetzt handelt, schützt nicht nur seine Patienten, sondern auch seine Praxis vor Honorarkürzungen und Bußgeldern.
CoKom GmbH betreut Arztpraxen in Wertheim, dem Main-Tauber-Kreis und ganz Baden-Württemberg mit einem vollständigen Medizin-IT-Paket: von der KBV-konformen IT-Infrastruktur über verschlüsselte Backup-Lösungen und Fernwartung bis hin zum rechtssicheren AVV und der TI-Anbindung. Ein erster IT-Check deckt auf, wo die größten Lücken liegen — ohne großen Aufwand für Ihre Praxis.
Sprechen Sie uns an — wir sind erreichbar über unsere Leistungsseite oder direkt per Telefon.