Die IT-Sicherheitsrichtlinie nach §75b SGB V ist seit 2021 verbindlich — und wird regelmäßig verschärft. Viele Praxen haben die Pflicht dem Namen nach gehört, aber nicht umgesetzt. Diese Checkliste zeigt Ihnen konkret, was je nach Praxisgröße Pflicht ist, und wo die häufigsten Lücken liegen.
Vorab die wichtigste Klarstellung: Die Richtlinie gilt für alle Vertragsärzte, unabhängig von Größe oder Fachrichtung. Es gibt keine Ausnahme für Einzelpraxen, keine Übergangsfristen mehr. Die KBV kann Verstöße über die KV weiterleiten — im schlimmsten Fall mit Honorarkürzung.
Die drei Stufen der Richtlinie
Die Anforderungen sind nach Praxisgröße gestaffelt. Maßgeblich ist die Anzahl der ständig genutzten IT-Geräte, nicht die Mitarbeiterzahl.
| Stufe | Praxistyp | Anforderungsniveau |
|---|---|---|
| 1 | Bis 5 Geräte, kein medizinisches Großgerät | Basis-Anforderungen |
| 2 | Ab 6 Geräten | Basis + erweiterte Anforderungen |
| 3 | Medizinisches Großgerät vorhanden | Basis + erweitert + umfangreiche Anforderungen |
Ein Kartenterminal, ein Drucker, ein Laptop — das sind bereits drei Geräte. Die meisten Einzelpraxen kommen schnell auf 5–8 Geräte und landen damit in Stufe 2.
Checkliste: Basis-Anforderungen (alle Praxen)
Professioneller Virenschutz auf allen Geräten
Kein kostenloses oder Heimanwender-Produkt. Benötigt wird eine zentral verwaltbare Lösung, idealerweise mit EDR (Endpoint Detection & Response).
Hardware-Firewall am Internetzugang
Die FritzBox des Providers reicht nicht. Professionelle Geräte (Sophos, Fortinet, Watchguard) mit aktiviertem Intrusion Prevention System.
Festplattenverschlüsselung auf allen Geräten
BitLocker (Windows) oder FileVault (macOS). Ohne Verschlüsselung ist ein verlorenes Gerät sofort ein meldepflichtiger DSGVO-Vorfall.
Individuelle Benutzerkonten für jeden Mitarbeiter
Kein gemeinsames "Praxis"-Konto. Berechtigungen nach Need-to-Know. Separate Admin-Konten.
Regelmäßige Software-Updates
Betriebssystem, Praxissoftware (PVS), Browser und Plugins zeitnah aktualisieren. Windows 10 läuft bald aus dem Support — jetzt planen.
Jährliche Mitarbeiter-Schulung (dokumentiert)
Phishing, Passwörter, Social Engineering. Die Dokumentation ist Pflicht — ein mündliches Gespräch reicht nicht.
Schriftliches Backup-Konzept
Wer sichert wann was? Wo wird gesichert? Wer stellt wieder her? Muss dokumentiert und regelmäßig getestet sein.
Sicherheitskonzept (auch für kleine Praxen)
Keine umfangreiche Dokumentation nötig, aber: Inventarliste, Verantwortlichkeiten, Notfallkontakte müssen schriftlich vorliegen.
Praxiserfahrung: In unserem Audit-Alltag fehlen am häufigsten: Mitarbeiter-Schulungsnachweise, Festplattenverschlüsselung auf älteren Geräten und ein testbares Backup. Drei Punkte, die sich in 1–2 Tagen beheben lassen.
Checkliste: Erweiterte Anforderungen (ab 6 Geräten)
Netzwerksegmentierung
Praxis-Netz, Verwaltungs-Netz und Gäste-WLAN müssen voneinander getrennt sein. Medizingeräte idealerweise im eigenen Segment.
Protokollierung sicherheitsrelevanter Ereignisse
Fehlgeschlagene Anmeldeversuche, Konfigurationsänderungen, Verbindungen aus dem Ausland — müssen protokolliert und aufbewahrt werden.
Definierte Software-Freigabeprozesse
Nicht jeder Mitarbeiter darf beliebig Software installieren. Freigabeliste und Genehmigungsprozess dokumentieren.
Erweitertes schriftliches IT-Sicherheitskonzept
Umfasst zusätzlich: Netzwerkplan, Protokollierungskonzept, Zugriffskontrolle, Dienstleister-AVVs.
Checkliste: Großgeräte-Anforderungen (MRT, CT, Röntgen etc.)
Detaillierter IT-Notfallplan
Schriftlich, ausgedruckt, an mehreren Stellen verfügbar. Nicht nur auf dem Server, der gerade angegriffen wird.
Externer IT-Sicherheitsbeauftragter
Kann intern oder extern besetzt werden. Muss nachweisbare Qualifikation haben und regelmäßig tätig sein.
Jährliches externes Sicherheits-Audit
Nicht nur intern prüfen — ein unabhängiger Dienstleister muss die Umsetzung der Maßnahmen bestätigen.
Die 5 häufigsten Fehler in der Praxis
1. "Wir haben Antivirus — das reicht."
Klassischer Antivirus erkennt bekannte Schadsoftware. Moderne Angriffe nutzen Skripte, Makros und legitime Tools — dafür braucht man EDR mit verhaltensbasierter Erkennung. Kostendifferenz: oft nur 20–30 Euro pro Gerät und Jahr mehr.
2. Schulung ohne Dokumentation
Eine mündliche Einweisung beim Onboarding zählt nicht. Sie brauchen eine Teilnehmerliste mit Datum, Thema und Unterschrift. Bei einer Prüfung durch die KV ist die Dokumentation das Einzige, was zählt.
3. Backup vorhanden, aber nie getestet
Ein Backup, das nicht wiederhergestellt werden kann, ist kein Backup. Testen Sie mindestens vierteljährlich eine vollständige Wiederherstellung auf einem Testgerät. Dokumentieren Sie das Ergebnis.
4. Alle Mitarbeiter als Administrator
Wenn jeder Admin-Rechte hat, kann jeder (und jede Schadsoftware) alles installieren. Entzug von Admin-Rechten ist eine der wirksamsten Maßnahmen gegen Ransomware — und kostet nichts.
5. Keine AVVs mit Dienstleistern
Ihr IT-Dienstleister, Ihr Abrechnungsdienstleister, Ihr Cloud-Anbieter — alle verarbeiten Patientendaten. Ohne Auftragsverarbeitungsvertrag (AVV) ist das ein DSGVO-Verstoß, unabhängig von §75b.
Ihre nächsten Schritte
Wenn Sie unsicher sind, wie Ihre Praxis aufgestellt ist: Beginnen Sie mit einer ehrlichen Bestandsaufnahme.
- Geräteinventar erstellen — alle IT-Geräte, Alter, Betriebssystem, Verantwortlicher
- Checkliste durchgehen — welche Punkte sind erfüllt, welche fehlen?
- Prioritäten setzen — was ist kritisch (Firewall, Verschlüsselung), was kann warten?
- Dokumentation anlegen — auch laufende Maßnahmen schriftlich festhalten
- Dienstleister einbinden — für Punkte, die externe Kompetenz erfordern
Ein professionelles Praxis-IT-Audit deckt alle offenen Punkte in 4–8 Stunden auf und liefert eine priorisierte Roadmap mit Kostenschätzung.