· Mehdi Aroui · Medical IT · Lesedauer von ca. 5 Min.
IT-Sicherheitsrichtlinie §390 SGB V: Pflicht-Schutzmaßnahmen für Praxen
Medical IT (medical-it.org), die Praxis-IT-Marke des Hamburger Systemhauses Netzleiter, erklärt die acht Pflicht-Schutzmaßnahmen der KBV-IT-Sicherheitsrichtlinie §390 SGB V für Arztpraxen und MVZ.
Für Arztpraxen und MVZ gilt seit Oktober 2025 die überarbeitete KBV-IT-Sicherheitsrichtlinie, die nun unter §390 SGB V firmiert. Der Paragraf hat sich geändert, der Inhalt nicht: Praxen müssen konkrete technische und organisatorische Maßnahmen nachweisbar umsetzen. Was das im Praxisalltag bedeutet und worauf es wirklich ankommt, erläutern wir hier aus der Perspektive der spezialisierten Praxis-IT.
Rechtliche Grundlage und Geltungsbereich
Die Kassenärztliche Bundesvereinigung (KBV) verabschiedet auf Basis von §390 SGB V eine verbindliche IT-Sicherheitsrichtlinie für die vertragsärztliche Versorgung. Sie betrifft alle Arzt- und Psychotherapiepraxen sowie Zahnarztpraxen, die an der gesetzlichen Krankenversicherung teilnehmen. Der genaue Pflichtenkatalog richtet sich nach der Zahl der Personen, die regelmäßig mit der Datenverarbeitung in der Praxis befasst sind. Eine Einzelpraxis hat andere Anforderungen als ein MVZ mit eigenem IT-Betrieb.
Die KBV prüft die Richtlinie jährlich und schärft sie alle zwei Jahre in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nach. Die Oktober-2025-Fassung verschärft drei Bereiche: kontrolliertes Patch-Management, definierter Schutzstand für alle Endgeräte mit Patientendatenzugriff und klare Regeln für den Einsatz von Cloud-Diensten.
Acht Maßnahmen, die jede Praxis kennen muss
Antivirenschutz mit laufender Pflege
Auf jedem Gerät, das Patientendaten verarbeitet oder auf sie zugreift, ist Antivirensoftware Pflicht. Entscheidend ist die Aktualität: Virensignaturen müssen täglich aktualisiert werden, und der Schutz muss auch dann greifen, wenn ein Gerät kurzzeitig offline war. Wir setzen für unsere Praxis-IT-Kunden auf ESET, das über eine zentrale Verwaltungskonsole betrieben wird, damit kein Gerät im Verborgenen schutzlos läuft.
Firewall als Netzwerk-Trennlinie
Eine korrekt konfigurierte Firewall schirmt das Praxisnetz vom Internet ab und ist für die Anbindung an die Telematikinfrastruktur technische Pflichtvoraussetzung. Firewalls veralten schneller als viele Praxen annehmen: Regelwerke, die vor zwei Jahren aktuell waren, bilden die heutige Bedrohungslage oft nicht mehr ab. Die laufende Konfigurationspflege ist Teil eines soliden Wartungsvertrags.
Tägliches Backup mit belegter Wiederherstellung
Die Richtlinie verlangt automatisierte tägliche Sicherungen, eine Kopie an einem vom Praxisstandort räumlich getrennten Ort und den regelmäßigen Nachweis, dass sich die gesicherten Daten tatsächlich zurückspielen lassen. Dieser Wiederherstellungstest ist der Punkt, an dem viele Praxen noch Nachholbedarf haben. Ein Backup, das nie getestet wurde, ist keine gesicherte Basis für den Ernstfall. Wir betreiben das Backup-Monitoring auf Veeam-Basis und halten das Testprotokoll für KBV-Nachfragen bereit.
Zentrale Rechte- und Benutzerverwaltung
Jeder Zugang erhält nur die Rechte, die seine konkrete Aufgabe erfordert. Das Prinzip des minimalen Privilegs verhindert, dass eine kompromittierte Anmeldung den gesamten Patientenbestand öffnet. In der Praxis gelingt die technische Einrichtung meist noch gut. Was häufiger fehlt: eine aktive Pflege, die ausscheidende Mitarbeiter sofort deaktiviert und neue Rollen sauber einordnet. Über Windows Server oder Entra ID lässt sich das zuverlässig regeln.
Patch-Management ohne Praxisausfall
Betriebssysteme, Praxisverwaltungssystem, Browser und Sicherheitssoftware brauchen regelmäßige Updates. Die Herausforderung besteht darin, Updates so einzuspielen, dass die Praxissoftware danach weiter stabil läuft. Die Oktober-2025-Fassung hat diesen Bereich gezielt nachgeschärft. Unser Managed-RMM-Dienst auf NinjaOne-Basis rollt Updates außerhalb der Sprechzeiten aus, prüft anschließend den Start der kritischen Anwendungen und dokumentiert den Vorgang lückenlos.
Notfalldokumentation, die im Schrank nicht veraltet
Wer kümmert sich, wenn ein Server ausfällt? Wer informiert Patienten? Wo liegen die Zugangsdaten für das Backup-Medium? Ohne schriftlich festgehaltene Antworten geht im Notfall wertvolle Zeit verloren. Die Richtlinie fordert eine aktuelle Notfalldokumentation. Wir erstellen sie und halten sie im laufenden Betrieb nach, weil ein veraltetes Dokument denselben Schaden anrichtet wie keines.
Automatische Bildschirmsperre an jedem Arbeitsplatz
Alle Praxisrechner sperren sich nach einer definierten Leerlaufzeit selbst. Die technische Einstellung ist unkompliziert. Schwieriger ist es, sicherzustellen, dass die Richtlinie praxisweit gilt und nicht an einzelnen Geräten stille deaktiviert wurde. Wir setzen die Sperrzeit zentral per Gruppenrichtlinie und prüfen die Einhaltung regelmäßig.
Festplattenverschlüsselung für alle Datenträger
Geräte mit Patientendaten müssen so verschlüsselt sein, dass ein Diebstahl nicht zu einem Datenschutzvorfall führt. Microsoft BitLocker ist eine verbreitete Lösung und in vielen Windows-Editionen bereits enthalten. Pflicht ist die Verschlüsselung selbst, nicht ein bestimmtes Produkt. Gleichwertige Alternativen sind zulässig. Der entscheidende Schritt nach der Aktivierung: die Wiederherstellungsschlüssel müssen sicher und vom verschlüsselten Gerät getrennt hinterlegt werden.
Wie die Maßnahmen im Wartungsvertrag gebündelt werden
Das Besondere an der Richtlinie ist nicht die einmalige Einrichtung, sondern die laufende Nachweispflicht. Wer bei einer KBV-Prüfung belegen muss, dass Antivirensoftware aktuell, Backups getestet und Benutzerrechte gepflegt sind, braucht dafür Protokolle aus dem laufenden Betrieb.
Netzleiter ist als IT-Dienstleister nach der KBV-IT-Sicherheitsrichtlinie zertifiziert und hält zudem eine Gematik-Zertifizierung. Geschäftsführer Mehdi Aroui hat die zugehörige Fachprüfung abgelegt. Über Medical IT bündeln wir alle acht Pflichtmaßnahmen in einem Wartungsvertrag, der die Nachweisdokumentation von Anfang an mitdenkt.
| Pflicht-Maßnahme §390 SGB V | Wie wir sie umsetzen |
|---|---|
| Antivirenpflege | ESET, zentral verwaltet |
| Firewall | Konfiguration und Pflege im Wartungsvertrag |
| Backup mit Wiederherstellungsnachweis | Veeam, externes Rechenzentrum in Deutschland |
| Patch-Management | NinjaOne RMM, außerhalb der Sprechzeiten |
| Rechteverwaltung | Windows Server oder Entra ID |
| Notfalldokumentation | Erstellung und laufende Pflege |
| Bildschirmsperre | Zentrale Gruppenrichtlinie |
| Festplattenverschlüsselung | BitLocker, Schlüssel-Hinterlegung gesichert |
Einen Überblick über unser gesamtes Sicherheitsportfolio für Praxen finden Sie auf unserer Seite zur IT-Sicherheit und Expertise für Praxen. Für eine erste Bestandsaufnahme Ihrer aktuellen Schutzmaßnahmen nutzen Sie unsere kostenlose Erstprüfung: Telefonisch unter 040 20 949 767 oder über das Kontaktformular auf medical-it.org. Wenn Sie wissen möchten, wie Ihre Netzwerkinfrastruktur im Vergleich zu den Richtlinienanforderungen aufgestellt ist, starten wir dort.
Häufige Fragen
Was ist der Unterschied zwischen §75b und §390 SGB V? Es handelt sich um dieselbe Richtlinie der Kassenärztlichen Bundesvereinigung. Mit der Neufassung des Sozialgesetzbuchs V hat sich lediglich die Paragrafennummer verschoben: früher §75b, heute §390. Die inhaltlichen Anforderungen an Praxen sind identisch geblieben.
Für welche Praxen ist die Richtlinie verpflichtend? Für alle Praxen in der vertragsärztlichen, vertragspsychotherapeutischen und vertragszahnärztlichen Versorgung. Das umfasst rund 99.000 Arzt- und Psychotherapiepraxen sowie knapp 38.000 Zahnarztpraxen. Welcher Maßnahmenkatalog im Einzelnen gilt, richtet sich nach der Größe der Praxis.
Muss ich für die Festplattenverschlüsselung BitLocker einsetzen? Nein. Die Richtlinie schreibt Verschlüsselung vor, kein konkretes Produkt. BitLocker ist verbreitet, weil es in zahlreichen Windows-Editionen bereits enthalten ist. Technisch gleichwertige Lösungen sind zulässig, sofern sie denselben Schutz bieten.
Wie oft wird die Richtlinie angepasst? Die KBV prüft die Richtlinie jährlich und passt sie alle zwei Jahre in Abstimmung mit dem BSI an den aktuellen Stand der Technik an. Das bedeutet: ein einmalig hergestellter Schutzstand reicht langfristig nicht aus, die Maßnahmen müssen dauerhaft gepflegt und dokumentiert bleiben.
Weiterlesen aus unserem Praxis-IT-Blog:
