📞 03631 463005 ✉ info@thuemedien-itservice.de Standort Nordhausen Erstberatung kostenfrei
Thümedien IT-Service
03631 463005 Erstberatung anfordern →
Home Arztpraxen §75b SGB V IT-Sicherheitsrichtlinie
Arztpraxen · §75b SGB V

IT-Sicherheits­richtlinie —
seit 2021 Pflicht,
sauber umgesetzt.

Die KBV-Richtlinie nach §75b SGB V gilt für jede Vertragsarztpraxis. Was Anlage 1, 2 und 3 konkret bedeuten — und wie wir die Umsetzung für Praxen in Nordhausen, Sondershausen und im Eichsfeld übernehmen.

Kostenlosen Check anfragen → 03631 463005
  • Bestandsaufnahme, Umsetzung & Dokumentation aus einer Hand
  • Anlage 1, 2 und 3 — je nach Praxisgröße
  • Prüfungsfeste Dokumentation für KBV & DSGVO
IT-Sicherheitsrichtlinie §75b SGB V Umsetzung für Arztpraxen durch Thümedien IT-Service Nordhausen
§
§75b SGB V UmsetzungNordthüringen seit 2021
Die Richtlinie ist seit 2021 verbindlich — kein Kann, sondern Muss. Bei Verstößen drohen Haftungsfragen nach DSGVO und Meldepflichten. Cyberkriminelle greifen Arztpraxen gezielt an — in Thüringen ist das bereits mehrfach passiert.
Anlage 1Anlage 2Anlage 3DSGVO Art. 32

Die Kassenärztliche Bundesvereinigung hat im Einvernehmen mit dem BSI eine Richtlinie erarbeitet, die festlegt, welche technischen und organisatorischen Maßnahmen in vertragsärztlichen und vertragszahnärztlichen Praxen Pflicht sind. Die Anforderungen gelten für alle Praxen — die Frage ist nicht ob, sondern welche Anlage für Ihre Praxis zutrifft.

Kein Goldstandard, kein Wunschprogramm — sondern das Minimum, das eine Praxis erfüllen muss, damit Patientendaten vor unbefugtem Zugriff geschützt sind. Wer welche Anforderungen erfüllen muss, hängt an der Zahl der Personen, die ständig mit der Datenverarbeitung betraut sind. Nicht am Bauchgefühl.

Drei Stufen

Welche Anlage gilt für Ihre Praxis?

Die Anforderungen sind gestaffelt nach Praxisgröße — nicht nach Umsatz oder Fachrichtung, sondern nach der Zahl der Personen, die ständig mit Datenverarbeitung zu tun haben.

Anlage 1
Bis zu 5 Personen
ständig mit Datenverarbeitung betraut

Basisanforderungen — die Pflichtgrundlage für jede Praxis

Apps dürfen nur aus offiziellen App-Stores heruntergeladen werden. Bildschirme müssen beim Verlassen des Arbeitsplatzes gesperrt werden. Netzwerkdienste sind abzusichern, Patientendaten werden verschlüsselt übertragen. Dazu kommen organisatorische Punkte: Zuständigkeiten festlegen, Rollen für die Datenverarbeitung definieren, Mitarbeiter sensibilisieren.

Eine kurze Schulung am Anfang reicht nicht — das muss regelmäßig wiederholt werden. Wir setzen das mit einer schlanken Dokumentation um, die ein Prüfer akzeptiert, ohne dass Ihre MFA jeden Monat ein neues Konzept lesen muss.

Gängiger Fehler: Viele kleine Praxen glauben, die Richtlinie betreffe sie kaum. Anlage 1 ist der Mindeststandard — ohne ihn ist keine Praxis regelkonform, egal wie klein.
Anlage 2
6 – 20 Personen
ständig mit Datenverarbeitung betraut

Erweiterte IT-Infrastruktur-Anforderungen

Zusätzlich zu Anlage 1: Mobilgerätemanagement, strengere Vorgaben für die Datenübermittlung, klarere Trennung zwischen Praxis- und Privatnetzwerk, Protokollierung von Zugriffen auf sensible Daten.

In der Praxis sehen wir bei mittleren Praxen oft historisch gewachsene Netzwerke: der eine Drucker hängt an einer Fritzbox aus 2014, das WLAN nutzen Mitarbeiter mit privaten Handys, irgendwo läuft ein altes XP-Gerät, weil ein Röntgengerät den Treiber nur dafür hat. Diese Realität ist mit der Richtlinie nicht vereinbar. Wir gehen das pragmatisch an — ohne dass die Praxis drei Tage stillsteht.

Typische Situation: Gewachsene Netzwerke mit privaten Geräten, fehlender Netzwerktrennung und nicht protokollierten Zugriffen — ein Prüfer findet das sofort.
Anlage 3
Über 20 Personen
oder medizinische Großgeräte

Informationssicherheitsmanagement für große Praxen & MVZ

Anlage 1 + 2 plus: ein etabliertes Informationssicherheitsmanagement, das mehr ist als eine Checkliste. Notfallkonzepte, regelmäßige Audits, dokumentierte Verantwortlichkeiten, technische Maßnahmen wie Netzsegmentierung und zentrales Logging.

Für ein MVZ in Nordthüringen ist das eine andere Hausnummer als für eine Einzelpraxis. Wir arbeiten in solchen Fällen mit einem festen Ansprechpartner bei Ihnen und liefern die Dokumentation in einer Form, die auch eine Prüfung durch die KBV oder ein externes Audit übersteht.

Gilt auch für: Praxen, die medizinische Großgeräte (MRT, CT, Röntgen) betreiben — unabhängig von der Mitarbeiterzahl.
Was konkret umzusetzen ist

Typische Maßnahmen aus der Richtlinie.

Kein Auszug aus einem 80-Seiten-Dokument — sondern die Maßnahmen, die wir in Praxen am häufigsten nachrüsten müssen.

🔐

Passwörter & Zugangskontrolle

Individuelle Benutzerkonten, sichere Passwörter, automatische Bildschirmsperre, Passwort-Manager. Kein gemeinsam genutzter Praxisnutzer für alle MFAs.

Anlage 1
🔄

Updates & Patch-Management

Windows-Updates, PVS-Updates, TI-Firmware zeitnah einspielen. Veraltete Betriebssysteme (XP, Windows 7) dürfen nicht im Praxisnetz betrieben werden.

Anlage 1
🛡️

Virenschutz & Firewall

Aktueller Virenschutz auf allen Geräten, Firewall konfiguriert und überwacht. Nicht deaktiviert, weil irgendjemand einen Fehlalarm weggeklickt hat.

Anlage 1
💾

Datensicherung (Backup)

Regelmäßige, getestete Backups — nicht nur auf einer internen Festplatte. 3-2-1-Regel, Verschlüsselung, vierteljährliche Restore-Tests.

Anlage 1
🌐

Netzwerktrennung

Praxisnetz getrennt vom Gäste-WLAN und von privaten Geräten. TI-Komponenten in eigenem Segment. Keine Fritzbox als einzige Netzwerksicherung.

Anlage 2
📱

Mobile Geräte (MDM)

Dienstliche Mobilgeräte mit Mobile Device Management verwaltet — PIN-Pflicht, Remote-Wipe möglich, kein unkontrollierter Zugriff auf Praxisdaten.

Anlage 2
📋

Protokollierung

Zugriffe auf sensible Patientendaten werden protokolliert. Wer hat wann was eingesehen oder verändert — nachvollziehbar und unveränderbar gespeichert.

Anlage 2
👥

Mitarbeitersensibilisierung

Regelmäßige Schulungen zu Phishing, sicherem Umgang mit Passwörtern und Patientendaten. Dokumentiert, damit die Praxis den Nachweis erbringen kann.

Anlage 1
🚨

Notfallkonzept

Was passiert bei Ausfall der TI, bei Ransomware, bei Stromausfall? Dokumentierter Notfallplan — nicht erst improvisieren, wenn es brennt.

Anlage 3

§75b und Telematikinfrastruktur — zwei Themen, ein Netz

Die TI-Komponenten — Konnektor, eHBA, SMC-B, KIM — sind ein eigenes Thema, das eng mit der IT-Sicherheit verknüpft ist, aber nicht identisch. Die Richtlinie nach §75b SGB V regelt die Sicherheit Ihrer gesamten Praxis-IT.

Auch wer alle TI-Komponenten sauber installiert hat, ist nicht automatisch richtlinienkonform. Das Praxisnetzwerk drumherum, die Arbeitsplätze, der Drucker mit Scan-to-Mail, die Backup-Lösung — das alles fällt unter die Richtlinie und muss passen.

Wir betreuen beides aus einer Hand, damit nicht zwei Dienstleister mit dem Finger aufeinander zeigen, wenn etwas nicht funktioniert.

Was die Richtlinie umfasst — über die TI hinaus
  • Alle Arbeitsplatz-PCs und Notebooks im Praxisnetz
  • Drucker, Scanner, Multifunktionsgeräte mit Netzwerkanbindung
  • WLAN-Infrastruktur — inklusive Gastnetz-Trennung
  • Backup-System und Datensicherungskonzept
  • Mobile Geräte die auf Praxisdaten zugreifen
  • Röntgen- und Medizingeräte mit Netzwerkanschluss
  • E-Mail-Kommunikation und Anhänge mit Patientendaten
Was auf dem Spiel steht

Was passiert, wenn die Anforderungen nicht erfüllt werden.

Die Einhaltung ist verbindlich. Die KBV kann Stichproben durchführen — und im Schadensfall haftet der Praxisinhaber persönlich.

⚖️

Haftung bei Datenpanne

Nach einem Cyberangriff wird gefragt, ob der Stand der Technik eingehalten wurde — konkret die KBV-Vorgaben und Art. 32 DSGVO. Wer das nicht belegen kann, hat ein Haftungsproblem und eine meldepflichtige Datenschutzverletzung gleichzeitig.

💰

Honorarkürzungen

Die KBV kann bei Nicht-Umsetzung der IT-Sicherheitsanforderungen Honorarkürzungen verhängen. Stichproben sind möglich — und der Nachweis liegt bei der Praxis, nicht bei der KBV.

🦠

Ransomware-Angriffe

Cyberkriminelle greifen Arztpraxen gezielt an, weil dort sensible Daten liegen und die IT-Sicherheit oft schwächer ist als bei größeren Unternehmen. Ransomware in einer Praxis bedeutet Tage ohne Zugriff auf Patientenakten. In Thüringen bereits mehrfach passiert.

📢

Meldepflicht nach DSGVO

Jeder Abfluss von Patientendaten ist meldepflichtig — an den Landesdatenschutzbeauftragten und in vielen Fällen an die betroffenen Patienten. Das ist ein Reputationsschaden, der sich nicht so schnell reparieren lässt.

Wie wir vorgehen

Von der Bestandsaufnahme zur prüfungsfesten Praxis.

Wir starten mit einer Bestandsaufnahme vor Ort und arbeiten uns durch — nicht in IT-Sprech, sondern so, dass Arzt und MFA verstehen, was warum gemacht wird.

01

Bestandsaufnahme

Welche Geräte sind im Netz, welche Software läuft, wer hat Zugriff worauf, wie sieht das Backup aus, was passiert beim Stromausfall — eine Stunde, kostenlos.

02

Lückenliste & Plan

Aus der Bestandsaufnahme entsteht eine klare Liste, was fehlt. Priorisiert, mit Festpreisangebot — keine offenen Stunden-Positionen.

03

Umsetzung

Technische und organisatorische Maßnahmen werden umgesetzt — außerhalb der Sprechzeiten, ohne Praxisunterbrechung.

04

Dokumentationspaket

Sie erhalten alles was Sie für eine Prüfung brauchen: Dokumentation, Schulungsunterlagen, Richtliniennachweis — schriftlich, revisionssicher.

Was Sie erhalten

Das Umsetzungspaket — alles aus einer Hand.

🖥️
Technisch sauber aufgesetzte Praxis-ITAlle Maßnahmen aus Anlage 1/2/3 technisch umgesetzt und konfiguriert
📄
Richtlinien-DokumentationPrüfungsfest, nach KBV-Vorgaben strukturiert — für Stichproben und externe Audits
👩‍💼
Schulungsunterlagen für das TeamVerständlich, praxisnah — nicht als Einmalereignis, sondern als wiederkehrendes Format
🔔
Laufende AktualisierungDie Anforderungen werden regelmäßig angepasst — wir behalten das für Sie im Blick
🤝
Fester AnsprechpartnerKein Ticket-System — derselbe Mensch, der Ihre Praxis kennt und bleibt
📊
QuartalsberichtAktueller Stand der Umsetzung, offene Punkte, anstehende Fristen — schriftlich
Transparente Kalkulation

Was die Umsetzung kostet.

Die Kosten hängen an der Praxisgröße und am Ausgangszustand. Wir nennen die Zahl vorab schriftlich — kein „wir schauen mal“.

💰 Erstumsetzung (einmalig)

  • Kleine Praxis (Anlage 1) mit aktueller ITniedriger 4-stelliger Bereich
  • Mittlere Praxis (Anlage 1+2)je nach Ausgangslage
  • MVZ / große Praxis (Anlage 1+2+3)individuelles Angebot
  • Dokumentationspaketinklusive
  • Schulung Arzt & MFAinklusive
Wenn beim Vor-Ort-Termin etwas auftaucht, das wir vorher nicht sehen konnten, sprechen wir das vorher an — bevor wir loslegen.

📆 Laufende Betreuung

  • Monatliche IT-BetreuungspauschaleFestpreis je Praxisgröße
  • Jährliche Wiederholung Mitarbeiterschulunginklusive
  • Aktualisierung Dokumentation bei Richtlinienänderunginklusive
  • Quartalsbericht §75b-Standinklusive
  • Bestandsaufnahme (Erstkontakt)kostenfrei
Ein Termin für die Bestandsaufnahme kostet Sie nichts und dauert etwa eine Stunde. Dann wissen wir beide, was auf uns zukommt.
Häufige Fragen

Was Praxisinhaber uns fragen.

Gilt die Richtlinie auch für Zahnärzte und Psychotherapeuten?+
Ja. Die IT-Sicherheitsrichtlinie gilt für alle Vertragsarztpraxen, vertragszahnärztlichen Praxen und Psychotherapeuten mit Kassenzulassung. Auch hier gelten Anlage 1, 2 und 3 je nach Größe. Die Anforderungen sind identisch — der Funktionsumfang der TI-Anwendungen kann je nach Fachgruppe abweichen.
Wir haben gerade einen IT-Betreuer. Reicht das nicht?+
Das kommt auf den Betreuer an. Wir erleben regelmäßig Praxen, die einen allgemeinen IT-Dienstleister haben, der die §75b-Anforderungen nicht kennt oder die Dokumentation nicht erbringt. Eine kostenfreie Bestandsaufnahme zeigt schnell, wo Sie stehen — ohne dass Sie wechseln müssen.
Wie oft werden die Anforderungen aktualisiert?+
Die KBV aktualisiert die Richtlinie regelmäßig, in der Regel alle ein bis zwei Jahre. Neue Anlagen oder verschärfte Anforderungen können dazukommen. Wir behalten das für unsere Betreuungskunden im Blick und informieren proaktiv, wenn Handlungsbedarf entsteht.
Was wenn bei uns noch ein altes Windows läuft — für ein Röntgengerät?+
Das ist eine der häufigsten Situationen, die wir antreffen. Ein veraltetes Betriebssystem im Praxisnetz ist ein klarer Verstoß gegen die Richtlinie. Die Lösung ist meist Netzwerksegmentierung: Das Altgerät bekommt ein eigenes isoliertes Netz und hat keinen Zugang zum Rest der Praxis-IT. Das ist technisch machbar ohne das Gerät zu ersetzen.
Wie wird die Umsetzung gegenüber der KBV nachgewiesen?+
Sie erhalten eine schriftliche Dokumentation nach der Struktur der KBV-Richtlinie — pro Maßnahme: Was wurde umgesetzt, von wem, wann, welche technischen Kontrollen greifen. Diese Dokumentation reichen Sie bei Stichproben oder einer Praxisbegehung ein. Wir strukturieren das so, dass ein Prüfer es akzeptiert.
Kommen Sie auch außerhalb von Nordhausen?+
Ja. Wir betreuen Praxen in Nordhausen, Sondershausen, Bleicherode, Heiligenstadt, dem Eichsfeld und dem Südharz. Wenn etwas brennt, sind wir in der Regel innerhalb von ein bis zwei Stunden vor Ort — nicht erst am übernächsten Werktag.

§ Das Wichtigste auf einen Blick

  • Die IT-Sicherheitsrichtlinie nach §75b SGB V ist seit 2021 verbindlich für alle vertragsärztlichen und vertragszahnärztlichen Praxen
  • Welche Anlage gilt, hängt von der Zahl der Personen ab, die ständig mit der Datenverarbeitung betraut sind: Anlage 1 bis 5, Anlage 2 ab 6, Anlage 3 ab 20 oder bei medizinischen Großgeräten
  • Die Telematikinfrastruktur ist nur ein Teil der Richtlinie — das gesamte Praxisnetzwerk, alle Arbeitsplätze, Drucker und mobilen Geräte gehören dazu
  • Bei Verstößen drohen Honorarkürzungen, Haftungsfragen nach DSGVO und Meldepflichten — besonders nach Cyberangriffen
  • Ransomware greift Arztpraxen gezielt an — in Thüringen bereits mehrfach passiert; gute IT-Sicherheit ist kein theoretisches Thema
  • Wir setzen die Richtlinie pragmatisch um, inklusive Dokumentation die einer Prüfung standhält — Einzugsgebiet: Nordhausen, Sondershausen, Bleicherode, Heiligenstadt, Eichsfeld, Südharz

Kostenlosen Vor-Ort-Check vereinbaren.

Eine Stunde Bestandsaufnahme — Sie bekommen einen ehrlichen Bericht, was fehlt, was passt und was es kostet. Egal ob Sie wechseln oder nicht.

Termin vereinbaren → ☎ 03631 463005