· Mehdi Aroui · Medical IT  · Lesedauer von ca. 3 Min.

KBV IT-Sicherheitsrichtlinie: Anforderungen für Arztpraxen

Die KBV-Sicherheitsrichtlinie nach §75b (ab 2025: §390 SGB V) standardisiert IT-Sicherheitsmaßnahmen in Arztpraxen. Was die Vorgaben konkret bedeuten und welche Ressourcen die KBV bereitstellt.

Die KBV-Sicherheitsrichtlinie nach §75b (ab 2025: §390 SGB V) standardisiert IT-Sicherheitsmaßnahmen in Arztpraxen. Was die Vorgaben konkret bedeuten und welche Ressourcen die KBV bereitstellt.

Hinweis: Ab 2025 gilt für neu abzuschließende Anforderungen §390 SGB V als aktueller Rechtsrahmen. Die §75b-Richtlinie bleibt für bestehende Praxisinfrastruktur und laufende Verträge weiterhin relevant.

Die Kassenärztliche Bundesvereinigung (KBV) hat in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Sicherheitsrichtlinien erarbeitet, die DSGVO-Anforderungen nach Artikel 32 praxistauglich in konkrete technisch-organisatorische Maßnahmen übersetzen.

Abgestufte Anforderungen nach Praxisgröße

Die Richtlinie unterscheidet Anforderungen nach zwei Faktoren: der Anzahl der Mitarbeitenden, die Daten verarbeiten, und dem Volumen der verarbeiteten Daten. Praxen mit bildgebenden Diagnosegeräten oder mit Telematikinfrastruktur-Komponenten (Konnektoren, eHealth-Kartenterminals) unterliegen zusätzlichen Vorgaben.

Dieses Stufenmodell ermöglicht es, die Anforderungen proportional zur tatsächlichen IT-Komplexität einer Praxis zu skalieren.

Was die Richtlinie konkret fordert

Zu den zentralen Anforderungen gehören:

  • Schriftlich dokumentierte IT-Sicherheitsrichtlinien für die Praxis
  • Antivirus-Schutz auf allen Endgeräten
  • Firewall an allen Netzübergangspunkten
  • Regelmäßige Datensicherung nach dokumentierter Strategie
  • Festplattenverschlüsselung auf allen Geräten mit Patientendaten
  • Automatische Bildschirmsperrung nach Inaktivität
  • Patch-Management für Betriebssysteme und Anwendungen
  • Unterbrechungsfreie Stromversorgung (USV) für Server
  • Notfalldokumentation und definierte Wiederherstellungsprozesse

Wie die Umsetzung in einer Praxis konkret ablaeuft

Viele Praxen wissen, dass Handlungsbedarf besteht, aber nicht, wo anfangen. Eine bewaehrte Reihenfolge:

  1. Bestandsaufnahme. Welche Geraete verarbeiten Patientendaten? Welche Software ist im Einsatz, und ist sie aktuell gepatcht? Welche Konnektor-Version laeuft an der TI?
  2. Dokumentation. Schriftliche IT-Sicherheitsrichtlinie erstellen, Mobile-Device-Policy definieren, Backup-Strategie verschriftlichen. Die KBV stellt über hub.kbv.de fertige Vorlagen bereit.
  3. Technische Massnahmen. Antivirus und Firewall pruefen und aktualisieren, Festplattenverschluesselung aktivieren, automatische Bildschirmsperrung einschalten, USV für den Praxisserver installieren.
  4. Nachweis. Dokumentierte Massnahmen zusammenfuehren und auf Anfrage vorlegen koennen. Bei TI-Konnektoren gehoert dazu auch die aktuelle Konfigurations-Dokumentation.

Kleine Praxen sollten mit Bestandsaufnahme und Dokumentation beginnen, da beides Grundlage für alle weiteren Schritte ist und sich ohne grosse Investitionen sofort angehen laesst.

Haeufige Fragen

Gilt für meine Praxis noch §75b oder schon §390 SGB V?

§390 SGB V gilt ab 2025 für neu abzuschliessende Anforderungen und loest §75b als aktuellen Rechtsrahmen ab. Für bestehende Praxisinfrastruktur und laufende Vertraege bleibt §75b weiterhin massgeblich. In der Praxis bedeutet das: Wer 2024 bereits konform war, muss nicht sofort alles neu aufsetzen, muss aber bei Erweiterungen und Neuabschluessen §390 beruecksichtigen.

Was muss eine kleine Praxis zuerst umsetzen?

Erstens die schriftliche IT-Sicherheitsrichtlinie anlegen, zweitens Antivirus und automatische Bildschirmsperrung auf allen Geraeten aktivieren, drittens eine dokumentierte Backup-Strategie in Betrieb nehmen. Diese drei Massnahmen sind preiswert, schnell umsetzbar und decken die haeufigsten Schwachstellen ab.

Unterstützung durch die KBV

Die KBV stellt über hub.kbv.de Vorlagen, Anwendungshinweise und Lehrvideos bereit. Vorlagen wie Mobile-Device-Richtlinien können Praxen direkt an ihre Gegebenheiten anpassen, ohne von Null anzufangen.

Für Praxen, die unsicher sind, ob ihre aktuelle IT den Anforderungen entspricht, empfiehlt die KBV die Beratung durch einen zertifizierten IT-Dienstleister.

Netzleiter als zertifizierter Dienstleister

Netzleiter ist von der KBV nach §75b SGB V zertifiziert. Wir führen IT-Sicherheitsprüfungen durch, erstellen die notwendige Dokumentation und setzen alle technischen Anforderungen um, sowohl für Neuinstallationen als auch für bestehende Praxisinfrastruktur.

Wie Netzleiter die Umsetzung in Praxen konkret begleitet, von der TI-Anbindung bis zur laufenden Betreuung, lesen Sie unter Medical IT für Arztpraxen.

Für Praxen in Hamburg: Termin vereinbaren unter /kontakt oder direkt beim Vertrieb: 040 20 94 97 67, vertrieb@netzleiter.com. Weiterfuehrende Informationen zum gesamten Leistungsspektrum finden Sie unter /leistungen/medical-it-arztpraxen und /branchen/healthcare.


Diesen Beitrag gibt es als vertiefte Fassung speziell für Arztpraxen und MVZ auf medical-it.org, der Praxis-IT-Marke von Netzleiter.

Back to Blog

Related Posts

View All Posts »
IT-Sicherheitsanforderungen für Ihre Praxis

IT-Sicherheitsanforderungen für Ihre Praxis

Arztpraxen unterliegen seit 2022 erweiterten IT-Sicherheitspflichten. Was §390 SGB V und das IT-Sicherheitsgesetz 2.0 konkret verlangen und wie Netzleiter Praxen dabei unterstützt.