IT-Service für Arztpraxen 2026 – Der komplette Leitfaden

Die IT einer Arztpraxis ist kein technisches Beiwerk mehr. Sie ist die Infrastruktur, von der Diagnose, Abrechnung, Kommunikation mit Krankenkassen und der Schutz der Patientendaten abhängt. Wer hier 2026 noch wie 2020 arbeitet, verstößt nicht nur gegen Gesetze, sondern riskiert Praxisausfälle, Bußgelder und Vertrauensverlust.

Dieser Leitfaden zeigt Ihnen, was eine moderne Praxis-IT leisten muss, welche Pflichten Sie als Vertragsarzt haben und wo die häufigsten Schwachstellen liegen. Geschrieben für Praxisinhaber, Praxismanager und alle, die Verantwortung für eine medizinische Einrichtung tragen.

Warum Praxis-IT 2026 anders aussieht als noch vor zwei Jahren

Drei Entwicklungen haben die Anforderungen grundlegend verändert.

Erstens: Die Telematikinfrastruktur ist erwachsen geworden. TI 2.0 startet die Migration weg von der reinen Konnektor-Lösung hin zu Zero-Trust-Architekturen. Konnektoren der ersten Generation laufen aus ihrer Hardware-Lebensdauer. Wer 2026 keine Migrationsstrategie hat, fliegt aus der Abrechnung.

Zweitens: Cyberangriffe auf Arztpraxen haben stark zugenommen. Praxen gelten in der Ransomware-Szene als weiches Ziel: kleine IT-Abteilung, hoher Druck auf schnelle Verfügbarkeit, sensible Daten mit hohem Erpressungspotenzial. Ein erfolgreicher Angriff legt die Praxis typischerweise mehrere Tage lahm – in der Zeit läuft keine Abrechnung.

Drittens: Die Aufsichtsbehörden kontrollieren. KBV und KZBV prüfen die Einhaltung der IT-Sicherheitsrichtlinie nach §75b SGB V. Einzelne Landesdatenschutzbehörden haben Praxen direkt angeschrieben und Nachweise angefordert.

Was das bedeutet: Eine "läuft schon irgendwie"-IT ist keine tragfähige Strategie mehr. Praxis-IT ist heute ein eigenes Fachgebiet mit eigenen gesetzlichen Pflichten und eigenen Risiken.

Die rechtlichen Pflichten im Überblick

Bevor wir über Technik reden, der unbequeme Teil: Was Sie als Vertragsarzt gesetzlich umsetzen müssen.

Pflicht Quelle Was es bedeutet
Anbindung an die Telematikinfrastruktur §291 SGB V Konnektor, eHBA, SMC-B – ohne TI keine Abrechnung
IT-Sicherheitsrichtlinie §75b SGB V Mindestmaßnahmen für IT-Sicherheit, gestaffelt nach Praxisgröße
Datenschutz für Patientendaten DSGVO + BDSG + ärztliche Schweigepflicht Schutz, Dokumentation, Auftragsverarbeitungsverträge
Berufsrechtliche Schweigepflicht §203 StGB Strafbar bei unbefugter Offenbarung – auch durch technische Schlamperei
Pflicht zur Patientenakte §630f BGB Lückenlose, manipulationssichere Dokumentation

Die Nichteinhaltung ist keine Lappalie. Honorarkürzungen, Bußgelder bis 20 Millionen Euro nach DSGVO, im Wiederholungsfall Approbations-Folgen.

§75b SGB V – die Pflicht, die viele unterschätzen

Die IT-Sicherheitsrichtlinie nach §75b SGB V ist seit 2021 verbindlich und wird regelmäßig fortgeschrieben. Sie staffelt die Anforderungen nach Praxisgröße:

  • Praxen ohne medizinisches Großgerät, bis 5 ständig genutzte Geräte: Basis-Anforderungen
  • Praxen ab 6 Geräten: zusätzliche Anforderungen (Netzwerksicherheit, Protokollierung)
  • Praxen mit medizinischem Großgerät: umfangreiche Anforderungen (Notfallplanung, Audit)

Konkret heißt das: Sie brauchen ein dokumentiertes Sicherheitskonzept, dokumentierte Verfahren für Backup und Wiederherstellung, geprüfte Zugriffsrechte, regelmäßige Mitarbeiterschulungen, ein Notfallmanagement und – je nach Größe – einen externen IT-Sicherheitsbeauftragten.

Telematikinfrastruktur (TI) – das Fundament

Die TI ist das geschlossene, hochsichere Netzwerk des deutschen Gesundheitswesens. Sie verbindet Ärzte, Zahnärzte, Krankenhäuser, Apotheken und Krankenkassen. Ohne Anbindung keine Abrechnung mit den Krankenkassen – Punkt.

Die Hardware-Komponenten

Komponente Funktion Was Sie wissen müssen
Konnektor Sicheres Gateway zur TI Erste Generation läuft aus der Lebensdauer – Tausch nötig
eHBA (elektronischer Heilberufsausweis) Persönliche Identifikation des Arztes Pflicht für qualifizierte Signaturen, eRezept, KIM
SMC-B Praxisausweis Identifiziert die Praxis gegenüber der TI
Kartenterminal Liest eGK und Heilberufsausweise Muss zugelassen sein, Updates sicherstellen
VPN-Zugangsdienst Verbindung Konnektor zur TI Vertrag mit zugelassenem Anbieter

TI 2.0 – die Migration steht an

Die Telematikinfrastruktur wird umgebaut. Ziel ist, vom hardware-gebundenen Konnektor zu einer Zero-Trust-Architektur zu kommen, in der Anwendungen direkt sicher kommunizieren. Für Praxen bedeutet das:

  • Bestehende Konnektoren bekommen 2026/2027 Nachfolgeregelungen
  • Frühzeitig planen, Migration nicht aussitzen
  • Lieferzeiten für neue Hardware können lang sein – Engpässe bei Massenwechseln sind absehbar

Praxisbeispiel: Eine Hausarztpraxis in Heiligenstadt verlor 2024 acht Tage Abrechnungszeit, weil der Konnektor nach einem Firmware-Update streikte und keine Reserve-Hardware verfügbar war. Schaden: rund 14.000 Euro Honorarverlust plus Notfall-Service-Kosten.

KIM, ePA und eRezept – die tägliche Kommunikation

Die TI liefert die Sicherheit. Drei Anwendungen darauf prägen den Praxisalltag.

KIM – Kommunikation im Medizinwesen

KIM ist verschlüsselter E-Mail-Verkehr innerhalb der TI. Ersetzt Fax, Post, unverschlüsselte E-Mails für ärztliche Kommunikation. Sie brauchen:

  • Eine KIM-Adresse (über zugelassenen Anbieter)
  • Eine TI-fähige Praxissoftware, die KIM integriert
  • Geschultes Personal, das KIM tatsächlich nutzt

In der Realität wird KIM oft installiert, aber kaum genutzt – das Personal weicht weiter auf Fax aus. Man zahlt dann für beides.

ePA – die elektronische Patientenakte

Seit 2025 erhalten alle gesetzlich Versicherten automatisch eine ePA, sofern sie nicht widersprechen ("Opt-out"-Modell). Praxen müssen technisch in der Lage sein:

  • Daten in die ePA einzustellen
  • Daten aus der ePA zu lesen
  • Patienten ePA-Berechtigungen einzuräumen oder zu entziehen

eRezept

Pflicht für alle gesetzlich versicherten Patienten. Ausgestellt mit dem eHBA, übermittelt über die TI an Apotheken. Praktische Konsequenzen:

  • Ohne eHBA kein eRezept – jeder verordnende Arzt braucht einen
  • Praxissoftware muss eRezept-fähig sein
  • Workflow muss angepasst werden (Stempel und Unterschrift entfallen)

Praxisverwaltungssoftware (PVS) und ihre Schnittstellen

Die PVS ist das zentrale Nervensystem Ihrer Praxis. Sie verwaltet Termine, Patientenakten, Abrechnung, Dokumentation und TI-Kommunikation. In Deutschland gibt es über 50 zugelassene Systeme – Marktführer sind Medatixx, CompuGroup, T2med und Tomedo.

Was eine PVS heute können muss

  • TI-Integration für Konnektor, KIM, ePA, eRezept
  • Schnittstellen zu Laboren (LDT), Krankenhäusern, Befundern
  • Saubere Berechtigungs- und Protokollierungsfunktionen für §75b
  • Backup-Schnittstellen für externe Sicherung
  • Mobile Zugriffsmöglichkeiten (wo sinnvoll, dann sicher)

PVS-Migration – wann sie sich lohnt

Anlässe für einen PVS-Wechsel: Anbieter stellt Produkt ein, Funktionalitäten reichen nicht mehr, Bedienung ist veraltet, Kosten zu hoch. Was zu erwarten ist:

  • Vorbereitung: 4–8 Wochen
  • Migration: 1–3 Tage (oft Wochenende oder Praxisschluss)
  • Nachbereitung: 4–12 Wochen
  • Kosten: 5.000 bis 30.000 Euro je nach Größe, inklusive Datenmigration und Schulung

Wichtig: Niemals während laufender Quartalsabrechnung migrieren. Niemals ohne dokumentiertes Daten-Backup vor Beginn.

IT-Sicherheit nach §75b SGB V – konkret umgesetzt

Basis-Anforderungen (alle Praxen)

Endpoint Protection. Auf jedem Praxis-PC muss eine aktuelle, professionelle Schutzlösung laufen. Kein kostenloses Antivirus, keine Heimanwender-Lizenz. Empfohlen: Endpoint Detection and Response (EDR) statt klassischer Antivirus.

Firewall. Eine professionelle Hardware-Firewall an der Schnittstelle Praxis-Internet ist Pflicht. Die FritzBox vom Provider reicht nicht. Geräte wie Sophos, Fortinet, Watchguard – mit aktiviertem Intrusion Prevention.

Verschlüsselung. Festplatten in Praxis-PCs müssen verschlüsselt sein. Mit BitLocker, VeraCrypt oder gleichwertig. Bei Diebstahl oder Verlust eines Geräts ohne Verschlüsselung haben Sie sofort einen meldepflichtigen DSGVO-Vorfall.

Zugriffsverwaltung. Jeder Mitarbeiter hat ein eigenes, persönliches Konto. Kein gemeinsames "Praxis"-Konto. Berechtigungen nach dem Need-to-Know-Prinzip.

Software-Updates. Betriebssystem, PVS, Browser, Plugins – aktuell halten. Wer noch Windows 10 oder ältere Systeme im Einsatz hat: dringend planen, der Support läuft aus.

Mitarbeiter-Sensibilisierung. Mindestens einmal jährlich Schulung zu Phishing, sicheren Passwörtern, Social Engineering. Dokumentieren.

Erweiterte Anforderungen (Praxen ab 6 Geräten)

  • Strukturiertes Netzwerk mit Trennung von Praxis-, Verwaltungs- und Gäste-Netz
  • Protokollierung sicherheitsrelevanter Ereignisse
  • Definierte Verfahren für Software-Beschaffung und -Freigabe
  • Schriftliches IT-Sicherheitskonzept

Backup und Notfall-Wiederherstellung

Wenn alles andere brennt, ist das Backup Ihre Versicherung. Wenn das Backup nicht funktioniert oder mit verschlüsselt wird, ist die Versicherung wertlos.

Die 3-2-1-Regel für Praxen

  • 3 Kopien Ihrer Daten (Original + 2 Backups)
  • 2 verschiedene Medien (z.B. NAS und Cloud)
  • 1 Kopie offsite oder offline (außerhalb der Praxis oder physisch getrennt)

Plus eine vierte Anforderung: immutable Backup – unveränderliche Sicherungen, die selbst ein Angreifer mit Admin-Rechten nicht löschen kann.

Was ein gutes Praxis-Backup leistet

  • Tägliche automatische Sicherung aller relevanten Daten (PVS, Bilddaten, Dokumente, E-Mail)
  • Mehrere Wiederherstellungspunkte (gestern, vorgestern, vor einer Woche, vor einem Monat)
  • Regelmäßige automatisierte Tests der Wiederherstellbarkeit
  • Klare Dokumentation, was wann gesichert wird und wo

Notfallplan

Auf dem Papier, ausgedruckt, an der Pinwand im Praxisflur. Nicht nur auf dem Server, der gerade verschlüsselt wird. Inhalte:

  • Wer wird im IT-Notfall angerufen (mit Handynummer, nicht nur Praxis-Mail)
  • Welche Daten sind kritisch und müssen zuerst wiederhergestellt werden
  • Notfall-Workflows für Patienten (Termine, Rezepte) ohne IT
  • Kommunikationsplan: Wer informiert Patienten, KV, Datenschutzbehörde

DSGVO in der Arztpraxis

Patientendaten sind besondere Kategorien personenbezogener Daten (Art. 9 DSGVO). Das verschärft alles.

Die Pflichten kurzgefasst:

  • Verzeichnis von Verarbeitungstätigkeiten: Was tun Sie mit welchen Daten, wer hat Zugriff, wie lange aufbewahrt
  • Technische und organisatorische Maßnahmen (TOM): Dokumentiert, gepflegt, regelmäßig aktualisiert
  • Auftragsverarbeitungsverträge (AVV): Mit jedem Dienstleister, der Patientendaten verarbeitet
  • Patienteninformationen nach Art. 13 DSGVO: Was passiert mit den Daten – sichtbar im Wartezimmer und auf der Webseite
  • Datenschutzbeauftragter: In Arztpraxen ab regelmäßiger Datenverarbeitung Pflicht
  • Meldung von Datenschutzvorfällen: Innerhalb von 72 Stunden an die Aufsichtsbehörde

Was gute Praxis-IT-Betreuung wirklich leistet

Sie können IT-Betreuung auf drei Wegen organisieren.

Variante 1: Selber machen. Funktioniert in kleinen Praxen mit IT-affinen Inhabern für eine Weile. Skaliert nicht. Reißt im Krankheitsfall.

Variante 2: Stundenweise auf Zuruf. Der klassische IT-Dienstleister, der kommt, wenn etwas brennt. Günstig in der Anschaffung, teuer im Ausfall. Keine proaktive Sicherheit.

Variante 3: Managed Service. Fester Vertrag, definierte Leistungen, proaktive Überwachung und Wartung. Höhere monatliche Kosten, dafür planbar und mit deutlich niedrigerer Ausfallwahrscheinlichkeit.

Eine gute Praxis-IT-Betreuung umfasst typischerweise:

  • 24/7-Monitoring aller relevanten Systeme (Server, Backup, Konnektor)
  • Proaktives Patching und Update-Verwaltung
  • Backup-Überwachung mit täglichem Status
  • Festen Ansprechpartner mit Praxis-Kenntnis
  • Garantierte Reaktionszeiten im Störungsfall
  • Jährliches IT-Sicherheits-Audit nach §75b
  • Mitarbeiter-Schulungen mindestens einmal jährlich

Ihr erster Schritt: das Praxis-IT-Audit

Bevor Sie irgendetwas an Ihrer IT umbauen, brauchen Sie eine ehrliche Bestandsaufnahme. Ein professionelles Praxis-IT-Audit liefert das. Es prüft Hardware-Inventar, Software-Lizenzen, Netzwerkstruktur, TI-Komponenten, §75b-Konformität, Backup-Fähigkeit, DSGVO-Dokumentation, Zugriffsrechte und Mitarbeiter-Awareness.

Nach dem Audit erhalten Sie einen schriftlichen Bericht mit Befundstatus, eine priorisierte Maßnahmenliste und eine Kosten-Schätzung. Ein Audit kostet typischerweise zwischen 500 und 2.000 Euro je nach Praxisgröße. Verglichen mit den Kosten eines Praxis-Ausfalls ist das eine günstige Versicherung.

Häufige Fragen zur Praxis-IT

Muss ich als kleine Einzelpraxis wirklich §75b SGB V umsetzen?
Ja. Die Richtlinie gilt für alle Vertragsärzte unabhängig von der Praxisgröße. Die konkreten Anforderungen sind nach Größe gestaffelt, aber Basis-Anforderungen gelten für jede Praxis.

Was passiert, wenn der Konnektor ausfällt?
Ohne Konnektor keine Versichertenstammdaten-Aktualisierung, kein eRezept, kein KIM, keine ePA. Sie können kurzfristig auf Papier-Ersatzverfahren ausweichen, das ist aber nicht dauerhaft tragfähig. Deshalb: Konnektor-Status überwachen, Ersatz-Hardware verfügbar haben, schnellen Service-Anbieter im Hintergrund.

Was kostet eine professionelle Praxis-IT-Betreuung im Monat?

  • Einzelpraxis, 3–5 Geräte: 250–500 Euro/Monat
  • Gemeinschaftspraxis, 6–15 Geräte: 500–1.500 Euro/Monat
  • Größere Praxis, 15+ Geräte oder medizinische Großgeräte: ab 1.500 Euro/Monat

Sind Cloud-Lösungen für Arztpraxen DSGVO-konform?
Ja, sofern der Anbieter geeignete Zusicherungen liefert: AVV nach Art. 28 DSGVO, Datenverarbeitung in der EU, technische Schutzmaßnahmen, transparente Subunternehmer-Liste. Praxis-spezialisierte Cloud-Anbieter sind in der Regel sauberer aufgestellt als allgemeine US-Hyperscaler.

JT
Stephan Tacke
Inhaber · Thümedien IT-Service Nordhausen

Seit über 30 Jahren IT-Dienstleister in Nordthüringen. Spezialisiert auf Praxis-IT, Telematikinfrastruktur und KBV-Sicherheitsrichtlinie. Betreut Arztpraxen vor Ort und deutschlandweit per Fernwartung.