Patrick Grihn

Update IT-Sicherheit: Was Arztpraxen zur neuen KBV-Richtlinie wissen sollten

Ein Computerbildschirm mit Sicherheitssymbolen in einer typischen Arztpraxisumgebung.
Symbolbild: Datenschutz in Arztpraxen

Die IT-Sicherheit in Arztpraxen rückt weiter in den Fokus. Angesichts zunehmender Cyber-Bedrohungen hat die Kassenärztliche Bundesvereinigung (KBV) Anfang April 2025 eine aktualisierte IT-Sicherheitsrichtlinie veröffentlicht. Diese basiert auf gesetzlichen Vorgaben (§ 390 SGB V) und konkretisiert wichtige Anforderungen zum Schutz Ihrer Systeme und der hochsensiblen Patientendaten. Die Erneuerung der KZBV-Richtlinie ist auch demnächst zu erwarten.

Warum ist die Richtlinie für Praxen wichtig?

  • Relevanz für Alle: Die grundlegenden Anforderungen gelten für jede vertragsärztliche Praxis.
  • Verbindung zur DSGVO: Die Richtlinie beschreibt wesentliche Aspekte des "Stands der Technik" bei der IT-Sicherheit. Die Einhaltung ist somit auch zentral für die Erfüllung Ihrer Pflichten nach der Datenschutz-Grundverordnung (DSGVO). Mängel können zu Beanstandungen durch Datenschutzbehörden führen.
  • Schutz vor Risiken: Eine solide IT-Sicherheit minimiert das Risiko von Datenpannen, Betriebsunterbrechungen und Vertrauensverlust.


Was sind die Kernpunkte der Aktualisierung?

  1. Fokus auf den "Faktor Mensch":
    • Mitarbeiter-Sensibilisierung: Regelmäßige Schulungen Ihres Teams zu IT-Gefahren (wie Phishing-Mails) und sicherem Umgang mit Daten und Geräten sind essenziell. Oft sind es kleine Unachtsamkeiten, die große Schäden ermöglichen.
    • Klare Prozesse: Definierte Abläufe bei der Einarbeitung neuer Mitarbeiter sowie beim Verlassen der Praxis (insbesondere die Verwaltung von Zugriffsrechten) sind unerlässlich.
    • Rolle der Leitung: Die Praxisleitung sollte diese Themen aktiv fördern und unterstützen.
  2. Sichere Nutzung von Cloud-Diensten:
    • Überprüfungspflicht Wenn Sie Cloud-Dienste für Gesundheitsdaten nutzen (z.B. Online-Terminvergabe, digitale Akten, Backups), müssen Sie sicherstellen, dass die Anbieter hohe, nachweisbare Sicherheitsstandards erfüllen.
    • Anerkannte Standards: Achten Sie auf anerkannte Zertifikate oder Testate (orientiert an Vorgaben des BSI), die belegen, dass der Anbieter die besonderen Anforderungen für Gesundheitsdaten erfüllt.

Was sollten Sie jetzt tun?

Die meisten Teile der Richtlinie gelten bereits. Für einige neu hinzugekommene Anforderungen gibt es eine Umsetzungsfrist bis zum 1. Oktober 2025.

Wir empfehlen Ihnen daher:

  • Informieren Sie sich über die für Ihre Praxis relevanten Kernanforderungen der Richtlinie.
  • Überprüfen Sie Ihre aktuellen Maßnahmen: Entsprechen Ihre Mitarbeiterschulungen den Anforderungen? Sind Ihre Cloud-Dienstleister konform? Sind Zugriffsrechte aktuell und passend?
  • Planen und handeln Sie: Leiten Sie notwendige Anpassungen zeitnah ein, um die Vorgaben fristgerecht zu erfüllen.

Die vollständige Richtlinie mit allen Anforderungen finden Sie hier (externer Link). Gerne unterstützen wir Sie bei der Einhaltung der Richtlinie.