⚠️

Die Wahrheit aus dem Praxisalltag:

Die meisten Praxen, die wir übernehmen, haben irgendeine externe Festplatte unter dem Tisch und glauben, das sei eine Sicherung. Es ist keine. Wenn die Festplatte am Empfang stirbt oder ein Verschlüsselungstrojaner die Patientendaten ins Nirwana schickt, entscheidet eine Sache: ob Ihr Backup wirklich läuft — und ob es sich auch zurückspielen lässt.

Eine Arztpraxis verarbeitet sensible Patientendaten. Geht das Praxisverwaltungssystem verloren, geht der Betrieb verloren — Termine, Abrechnung, Anamnese, Befunde, Bilddaten aus Sonografie oder Röntgen. Ein Datenverlust ist hier nicht ärgerlich, er ist existenzbedrohend.

Hinzu kommt die rechtliche Seite. Nach Artikel 32 der DSGVO sind Sie verpflichtet, technische und organisatorische Maßnahmen zu treffen, die die Verfügbarkeit Ihrer Daten sicherstellen. Wer nach einem Vorfall nicht nachweisen kann, dass er sich ernsthaft um Backups gekümmert hat, hat ein Problem mit der Aufsichtsbehörde — und mit der eigenen Schweigepflicht.

Rechtliche Grundlage

Was KBV und DSGVO bei der
Datensicherung verlangen.

Die IT-Sicherheitsrichtlinie der KBV ist seit 2021 verbindlich und wird regelmäßig nachgeschärft. Wer nach einem Vorfall nicht liefern kann, hat ein Haftungsproblem.

📋 KBV-Richtlinie §75b SGB V

→
Regelmäßige Sicherung aller Praxisdaten — automatisiert, nicht manuell
→
Sicherungen müssen vor unbefugtem Zugriff geschützt sein — Verschlüsselung Pflicht
→
Wiederherstellbarkeit muss überprüft werden — Restore-Test dokumentiert
→
Bei größeren Praxen und MVZ: Verschlüsselung, Zutrittskontrolle, Dokumentation
→
Kein spezifisches Produkt vorgeschrieben — das Ergebnis muss stimmen

🇪🇺 DSGVO Artikel 32

→
Technische und organisatorische Maßnahmen zur Verfügbarkeitssicherung
→
Verschlüsselung personenbezogener Daten in Ruhe und bei Übertragung
→
Datenverarbeitung nur innerhalb der EU / EWR ohne Standardvertragsklauseln
→
Auftragsverarbeitungsvertrag mit jedem beteiligten Cloud-Dienstleister
→
Dokumentierte Löschfristen und nachvollziehbare Zugriffsrechte

Die Strategie

Die 3-2-1-Regel — konkret für Ihre Praxis.

Drei Kopien, zwei Medien, eine außerhalb der Praxis. Klingt einfach — in der Umsetzung steckt der Unterschied.

3

Kopien Ihrer Daten

Mindestens drei vollständige Kopien — damit ein einzelner Ausfall, eine beschädigte Datei oder eine Ransomware-Attacke nie alle Versionen gleichzeitig trifft.

Original auf dem Praxisserver + lokale NAS-Sicherung + Cloud-Backup

2

Verschiedene Medien

Zwei unterschiedliche Speichermedien — weil Festplatten-Controller ganze Platten mitnehmen können und NAS-Geräte denselben Netzanschluss wie der Server teilen.

NAS im abschließbaren Schrank + verschlüsseltes Cloud-Backup im deutschen Rechenzentrum

1

Kopie außerhalb der Praxis

Mindestens eine Kopie räumlich getrennt — weil Wasserschaden, Brand oder Einbruch lokale Sicherung und Server gleichzeitig vernichten. Cloud-Backup erfüllt das automatisch.

Was wir nicht empfehlen: USB-Stick, der freitags mit nach Hause genommen wird — nicht DSGVO-konform.

Zwei Bausteine

Lokales NAS und Cloud — warum beides nötig ist.

Weder das eine noch das andere allein reicht. Die Kombination macht das Backup belastbar — gegen Ransomware, Hardwareausfall und Katastrophenschäden.

Lokales NAS-Backup

Netzwerkspeicher im abschließbaren Schrank der Praxis

Schnelle Wiederherstellung — kein Internet nötig
Stündliche Snapshots während der Sprechzeiten möglich
Vollständige Kontrolle über Hardware und Zugriff
Kein Schutz bei Brand, Wasserschaden oder Einbruch
Ransomware verschlüsselt auch NAS, wenn es im selben Netz hängt
Erfordert immutable Snapshots um Überschreibung zu verhindern

Cloud-Backup Deutsches Rechenzentrum

Verschlüsselte Sicherung in EU-zertifiziertem Rechenzentrum

Räumliche Trennung — schützt vor Brand, Wasser, Einbruch
Versionierung — Datenstand von vor zwei Wochen wiederherstellbar
Logisch vom Praxisnetz getrennt — Ransomware erreicht es nicht
Schlüssel liegen bei Ihnen, nicht beim Anbieter
Wiederherstellung bei großen Datenmengen dauert länger
Monatliche Kosten je nach Speichervolumen

Wir nutzen Cloud-Lösungen mit Standort Deutschland und nachweisbarer DSGVO-Konformität — TeamDrive und vergleichbare Anbieter. Datenhoheit bleibt in der EU, Schlüssel bei Ihnen.

Wie Ransomware Praxen angreift — und warum das richtige Backup rettet

Verschlüsselungstrojaner sind das Hauptrisiko für Praxen geworden. Der typische Verlauf: Eine Mitarbeiterin öffnet eine Rechnung, die keine ist — die Schadsoftware verschlüsselt erst den Arbeitsplatz, dann den Server, am Ende auch alle erreichbaren Netzlaufwerke und angeschlossenen Datenträger.

Moderne Angreifer verschlüsseln gezielt auch verbundene Backup-Festplatten. Wer sein NAS als normales Netzlaufwerk eingebunden hat, verliert es genauso wie den Server.

Ein gutes Backup-System ist vom Praxisnetz logisch getrennt — über ein Cloud-Backup, auf das die Workstations keinen Schreibzugriff haben, oder über NAS-Snapshots die nicht überschrieben werden können. Wer beides kombiniert, hat im Angriffsfall echte Optionen.

Ohne Schönrechnerei: Wenn das Backup nicht getrennt ist, bezahlen Sie im Zweifelsfall das Lösegeld oder fangen bei Null an. Beides will keine Praxis erleben.

Typischer Ransomware-Verlauf

1

Phishing-Mail mit gefälschter Rechnung oder Mahnung wird geöffnet

2

Schadsoftware verschlüsselt den Arbeitsplatz-PC innerhalb von Minuten

3

Ausbreitung auf Praxisserver über das Netzwerk

4

Alle erreichbaren Netzlaufwerke werden ebenfalls verschlüsselt

!

Verbundene Backup-Festplatten werden gezielt mitverschlüsselt

✓

Cloud-Backup mit Versionen ist nicht erreichbar — Daten wiederherstellbar

Wie oft sichern?

Sicherungsintervalle — was für Praxen sinnvoll ist.

Manuelle Sicherungen sehen wir kritisch: Was Menschen tun müssen, vergessen Menschen. Eine automatisierte Lösung mit Monitoring meldet sich, wenn ein Job fehlschlägt.

🕐

Stündliche Snapshots

Auf dem lokalen NAS während der Sprechzeiten. Maximaler Datenverlust im Ernstfall: ein bis zwei Stunden — nicht ein ganzer Tag.

Lokal · NAS

🌙

Tägliche Vollsicherung

Automatisiert am Abend nach Praxisschluss. Geht ins Cloud-Backup, läuft unbeaufsichtigt, meldet sich nur wenn etwas schiefläuft.

Cloud · Automatisch

🔬

Jährlicher Restore-Test

Pflicht — nicht Kür. Wir spielen einen definierten Datenstand zurück und prüfen, ob das PVS damit startet. Dokumentiert für KBV und DSGVO.

Pflicht · Dokumentiert

Warum ein Backup ohne Wiederherstellungstest wertlos ist

Das wird oft übersehen: Eine Sicherung, die man nie zurückgespielt hat, ist nur eine Hoffnung. Wir machen mit jeder Praxis, die wir betreuen, mindestens einmal jährlich einen Wiederherstellungstest. Wir nehmen einen definierten Datenstand, spielen ihn auf einem Testsystem zurück und prüfen, ob das Praxisverwaltungssystem damit wieder startet.

Typische Befunde beim ersten Test: Die Sicherung ist unvollständig. Die Datenbank fehlt. Die Verschlüsselung ist so abgesichert, dass keiner mehr an den Schlüssel kommt. Das Backup läuft seit Wochen mit Fehlern, aber niemand hat geschaut.

Genau dafür macht man den Test. Nicht im Ernstfall, sondern jetzt. Danach wissen Sie, ob Ihre Datensicherung echt ist — und können das der KBV auf Nachfrage schriftlich nachweisen.

50%

der Praxen, die wir übernehmen: erster Restore-Test schlägt fehl

1×

jährlicher Restore-Test — von uns durchgeführt und dokumentiert

Der Test kostet Zeit. Ihn nicht zu machen kostet im Ernstfall den Praxisbetrieb.

Kein Einheitspaket

Kleine Praxis oder MVZ — das richtige Setup.

Wir bauen kein Setup von der Stange, sondern das, was Ihre Praxisgröße tatsächlich braucht — nicht mehr und nicht weniger.

Kleinpraxis / Einzelpraxis

Schlanke Lösung für wenige Arbeitsplätze

Eine Psychotherapie-Praxis oder Hausarztpraxis mit einem bis drei Arbeitsplätzen hat überschaubare Datenmengen. Das volle Setup mit dediziertem Praxisserver und großem NAS ist dort oft überdimensioniert.

Verschlüsseltes Cloud-Backup direkt vom Praxis-PC
Kleine lokale Sicherung als schnelle Wiederherstellung
Günstiger, DSGVO-konform und im Alltag wartungsarm
Jährlicher Restore-Test inklusive

MVZ / Größere Facharztpraxis

Vollständige Strategie mit Bilddaten

Facharztpraxen mit Sonografie, Röntgen oder CT erzeugen Datenmengen, die eine eigene Backup-Strategie brauchen. Hier kommt ein Rollen- und Rechtekonzept dazu.

NAS mit getrennten Sicherungspfaden je Anwendung
Bilddaten (PACS) separat gesichert und versioniert
Zentrales Backup-Monitoring mit Alert-System
Dokumentiertes Rechte- und Zugriffskonzept

Backup & Telematikinfrastruktur

Warum TI, KIM und Konnektor auch gesichert gehören.

Die Telematikinfrastruktur und der Konnektor sind für die Datensicherung kein eigenes Backup-Ziel — aber sie sind Teil Ihrer IT-Umgebung. Konfigurationen, Karten-PINs, KIM-Postfach-Einstellungen: all das gehört dokumentiert und gesichert.

Sonst stehen Sie nach einem Hardware-Tausch tagelang ohne TI-Anbindung da — und können weder eRezepte noch eAU versenden.

Wir betreuen TI und Backup aus einer Hand — weil das im Ernstfall die Wiederanlaufzeit halbiert, und weil nicht zwei Dienstleister mit dem Finger aufeinander zeigen sollen, wenn etwas nicht funktioniert.

Transparente Kalkulation

Was eine professionelle Datensicherung kostet.

Im Vergleich zu den Folgen eines Datenverlustes — Praxisstillstand, Meldepflichten, rechtliche Konsequenzen — ist das eine vergleichsweise kleine Investition.

💰 Einmalige Einrichtung

NAS-Hardware (je nach Modell)niedriger 4-stelliger Bereich
Konfiguration Backup-SoftwareFestpreis
Cloud-Backup Einrichtunginklusive
Erster Restore-Test & Dokumentationinklusive
Kleinpraxis ohne eigenes NASgünstiger Einstieg

Wir nennen Ihnen die Zahlen vor der Beauftragung — nicht danach.

📆 Laufende Kosten / Monat

Cloud-Backup (Hausarztpraxis 2–4 APs)niedriger 3-stelliger Bereich
NAS-Wartung & MonitoringBetreuungspauschale
Jährlicher Restore-Testinklusive
Dokumentationspflegeinklusive
MVZ mit Bilddatenskaliert entsprechend

Bei einem MVZ mit mehr Arbeitsplätzen und Bilddaten skaliert das entsprechend — aber immer mit schriftlichem Angebot vorher.

Häufige Fragen

Was Praxisinhaber uns fragen.

Wir haben eine externe Festplatte — reicht das nicht?+

Nein. Eine externe Festplatte erfüllt weder die DSGVO-Anforderungen noch die KBV-Richtlinie, wenn sie nicht verschlüsselt, nicht regelmäßig getestet und nicht räumlich getrennt aufbewahrt wird. Im Fall von Ransomware oder einem Brand ist sie außerdem gleichzeitig mit dem Server weg. Was wir auch nicht empfehlen: ein USB-Stick, der freitags mit nach Hause genommen wird — das ist gut gemeint, aber im Sinne der Schweigepflicht nicht haltbar.

Welcher Cloud-Anbieter ist DSGVO-konform?+

Wir nutzen Cloud-Lösungen mit Standort Deutschland und nachweisbarer DSGVO-Konformität — zum Beispiel TeamDrive. Wichtig: Die Schlüssel müssen bei Ihnen liegen, nicht beim Anbieter. Mit jedem Cloud-Dienstleister schließen wir einen Auftragsverarbeitungsvertrag ab. Hyperscaler wie AWS oder Azure sind für Patientendaten ohne sorgfältige Konfiguration und AVV problematisch.

Wie lange dauert die Wiederherstellung im Ernstfall?+

Vom lokalen NAS lässt sich eine typische Praxis-Datenbank in wenigen Stunden wiederherstellen — der Praxisbetrieb kann noch am selben Tag weiterlaufen. Aus dem Cloud-Backup dauert es länger, abhängig von Datenmenge und Internetanbindung. Deshalb empfehlen wir immer beides: NAS für die schnelle lokale Wiederherstellung, Cloud als Absicherung für den Katastrophenfall.

Was, wenn der Restore-Test fehlschlägt?+

Dann reparieren wir das Backup-System — genau dafür macht man den Test. Bei der Hälfte der Praxen, die wir übernehmen, schlägt der erste Test fehl: unvollständige Sicherung, fehlende Datenbank, verlorener Schlüssel. Das ist unangenehm festzustellen, aber viel besser als es im Ernstfall zu entdecken. Nach dem Test haben Sie ein Backup, das wirklich funktioniert.

Gilt die Backup-Pflicht auch für Psychotherapeuten?+

Ja. DSGVO Artikel 32 gilt für jeden, der personenbezogene Daten verarbeitet — also für jede Praxis, jeden Therapeuten, jedes MVZ. Die KBV-Richtlinie nach §75b SGB V gilt für alle Vertragsarzt- und Vertragszahnarztpraxen sowie psychologische Psychotherapeuten mit Kassenzulassung.

Kommen Sie auch außerhalb von Nordhausen?+

Ja. Wir betreuen Praxen in Nordhausen, Sondershausen, Bleicherode, Heiligenstadt, dem Eichsfeld und dem Südharz. Wenn in Bleicherode der Server nicht mehr startet oder in Heiligenstadt das Cloud-Backup nicht ansynchronisiert, sind wir in der Regel am selben Tag vor Ort.

🔒 Das Wichtigste auf einen Blick

Eine externe Festplatte unter dem Tisch ist kein Backup — sie ist eine Hoffnung, die im Ernstfall sehr oft enttäuscht
DSGVO Art. 32 und KBV-Richtlinie §75b verlangen nachweisbare, getestete Sicherungen — kein bestimmtes Produkt, aber ein funktionierendes Ergebnis
3-2-1-Regel: drei Kopien, zwei verschiedene Medien, eine außerhalb der Praxis — Cloud-Backup mit deutschem Rechenzentrum erfüllt die Offsite-Anforderung
Cloud-Backup mit Versionierung schützt vor Ransomware, Brand und Wasserschaden gleichzeitig — weil es logisch vom Praxisnetz getrennt ist
Ohne jährlichen Wiederherstellungstest weiß niemand, ob die Sicherung wirklich funktioniert — bei der Hälfte der übernommenen Praxen schlägt der erste Test fehl
Wir bauen das für Praxen in Nordhausen, Sondershausen, Bleicherode, Heiligenstadt, Eichsfeld und Südharz — kein Paket von der Stange, sondern das, was Ihre Praxis braucht

Backup-Check anfragen — kostenfrei.

Wir schauen uns Ihre aktuelle Datensicherung an und sagen Ihnen ehrlich, ob sie DSGVO-konform ist und ob sie im Ernstfall funktioniert. Eine Stunde — keine Rechnung.

Termin vereinbaren → ☎ 03631 463005