Die KBV IT-Sicherheitsrichtlinie wurde aktualisiert, die Richtlinie enthält eine Umsetzungsfrist zum 1. Oktober 2025. Ziel ist es, Patientendaten besser zu schützen und Mitarbeitende in Arztpraxen stärker zu sensibilisieren. Mit unserer Online-Schulung können Sie dieser Pflicht unkompliziert nachkommen und Ihre Mitarbeitenden zu IT-Sicherheit sensibilisieren.
Mitarbeitende des Gesundheitswesens kommen tagtäglich mit den personenbezogenen Daten von Patienten in Kontakt. Diese Daten sind laut BDSG und DSGVO schützenswert. Handelt es sich dabei auch noch um Gesundheitsdaten, fallen diese unter die sensibelste Form der personenbezogenen Daten, welche besonders schützenswert sind.
Um diesen Schutz sicherzustellen, gelten seit dem 1. Oktober 2025 verschärfte Pflichten für Arztpraxen und Therapeuten, um die IT-Sicherheit zu verbessern und eine sichere Datenverarbeitung zu gewährleisten. Vor allem die Digitalisierungsprozesse kleinerer und mittelgroßer Einrichtungen werden hierdurch ins Visier genommen.
Was sind die Risiken bei mangelnder IT-Sicherheit in Arztpraxen?
Neben den Patientendaten werden auch die Systeme zur Behandlung zunehmend digital. Cyberangriffe und interne Sicherheitslücken können somit nicht nur den einzelnen Patienten, sondern auch den Abläufen in den Praxen schaden. Besonders die kleineren Arztpraxen sind oftmals noch nicht ausreichend aufgestellt, was IT-Sicherheitsmaßnahmen betrifft. Dadurch kommt es immer öfter zu digitalen Angriffen auf sie. Doch es sind nicht nur Angriffe von außen, die ein Risiko darstellen. Auch ungeschulte Mitarbeitende und fehlende Zugriffsbeschränkungen können zu einer Verletzung der Vertraulichkeit führen.
Was betrifft die Praxis-IT?
Bezüglich der IT-Sicherheit gilt, dass E-Mail-Clients und -Server sicher konfiguriert sein müssen, um Phishing-Attacken und Spam vorzubeugen. Gesundheits- und Sozialdaten dürfen zudem nur in Cloud-Diensten verarbeitet werden, die von Anbietern mit C5-Testat und BSI stammen. Arztpraxen sollten prüfen, ob Ihre Anbieter diese Anforderungen erfüllen und E-Mail-Server und -Clients sicher konfiguriert sind. Die Praxisleitung muss zudem zuständige Personen für IT-Sicherheit und Datenschutzkoordination benennen, auch müssen Berechtigungskonzepte festgelegt werden und es muss ein Prozess vorhanden sein, wie der Austritt von Mitarbeitenden gehandhabt wird (z.B
Was betrifft Mitarbeitende von Arzpraxen?
Besonderer Fokus der Richtlinie ist die Schulung und Sensibilisierung der Mitarbeitenden. Mindestens einmal jährlich müssen diese nun nachweislich zu Datenschutz und IT-Sicherheit geschult werden, insbesondere zum Umgang mit Phishing- und Spam-Mails. Die Form der Schulung ist dabei offen, es sind sowohl Präsenz- als auch Online-Schulungen, intern wie extern erlaubt. Die Lernerfolge müssen ausgewertet werden und betriebliche Regelungen müssen eine Regelmäßigkeit der Schulungen gewährleisten. Mitarbeitende müssen überdies in die Praxis-IT und alle zugehörigen Sicherheitsrichtlinien eingewiesen werden und eine Verschwiegenheitserklärung unterzeichnen. Dies gilt auch für Fremdpersonal. Einmalige Dienstleister sollten nur unter Aufsicht in sensible Bereiche gelassen werden. Fremdpersonal aller Art muss nach Ende der Tätigkeit alle Information und Untergaben zurückgeben.
Was sind häufige Schwachstellen in Arztpraxen?
Zu den Schwachstellen gehören oftmals gemeinsame Logins, bzw. eine fehlende Rechte-Trennung sowie eine mangelnde Dokumentation. Auch dass Gäste-WLAN und Praxisnetz häufig nicht getrennt sind, stellt ein Sicherheitsrisiko dar. Oft sind die Fernwartungswege unklar und es fehlen Protokolle, die vorhandenen Systeme sind veraltet und Mitarbeiterschulungen erfolgen ohne Teilnahmenachweise.
Was passiert bei Nichteinhaltung?
Werden die Vorgaben der IT-Sicherheitsrichtlinie nicht umgesetzt, drohen datenschutzrechtliche Konsequenzen und Sanktionen. Hierunter fallen etwa Bußgelder bis zu 100.000 € oder Honorarkürzungen durch die KV.
Fazit
Patientendaten sollten höchst umsichtig und diskret verarbeitet werden. Dies ist nicht nur wichtig, um der Schweigepflicht nachzukommen, sondern auch um den Anforderungen der Datenschutzgesetze nachzukommen. Wer die Anforderungen der KBV IT-Sicherheitsrichtlinie bisher noch nicht nachgekommen ist, sollte dies schnell tun, denn Sicherheitslücken in der Praxis-IT schaden dem Vertrauensverhältnis zu den Patienten und können hohe Geldbußen nach sich ziehen.
Sprechen Sie uns an, wenn Sie Beratung oder weitere Informationen wünschen!
Veröffentlicht am 28. Oktober 2025
Hermine Klehm ist Content-Managerin mit einem Hintergrund in Deutscher Literatur und Philosophie. Sie verfasst Inhalte für Blogs und Websites. Mit einem feinen Gespür für Sprache und Struktur verbindet sie kreative Textarbeit mit strategischem Content-Marketing.