· Mehdi Aroui · Medical IT  · Lesedauer von ca. 3 Min.

KBV IT-Sicherheitsrichtlinie: gestaffelte Anforderungen und TI-Maßnahmen

Welche IT-Schutzmaßnahmen die KBV-Sicherheitsrichtlinie nach §75b und §390 SGB V von Arztpraxen verlangt, wie das Stufenmodell nach Praxisgröße funktioniert und was TI-Komponenten dabei besonders erfordern.

Welche IT-Schutzmaßnahmen die KBV-Sicherheitsrichtlinie nach §75b und §390 SGB V von Arztpraxen verlangt, wie das Stufenmodell nach Praxisgröße funktioniert und was TI-Komponenten dabei besonders erfordern.

Seit 2025 gilt für neu abzuschließende Anforderungen §390 SGB V als maßgeblicher Rechtsrahmen. Die ursprüngliche Richtlinie nach §75b SGB V bleibt für laufende Verträge und bestehende Praxisinfrastruktur weiterhin verbindlich.

Hinter beiden Paragraphen steht dasselbe Ziel: einheitliche, verbindliche IT-Sicherheitsstandards für alle Einrichtungen, die an der kassenärztlichen Versorgung teilnehmen. Die Kassenärztliche Bundesvereinigung hat die Anforderungen gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik erarbeitet und dabei DSGVO-Pflichten aus Artikel 32 in praxistaugliche technische und organisatorische Maßnahmen übersetzt.

Stufenmodell: Anforderungen nach Praxisgröße

Die Richtlinie setzt keine Einheitsvorgabe für alle. Stattdessen richten sich Art und Umfang der geforderten Maßnahmen nach zwei Faktoren: der Zahl der Beschäftigten, die Patientendaten verarbeiten, und dem Volumen der verarbeiteten Daten.

Praxen mit bildgebenden Diagnosegeräten oder mit Telematikinfrastruktur-Komponenten wie Konnektoren und eHealth-Kartenterminals fallen in eine höhere Anforderungsklasse. Das Stufenmodell erlaubt es, die Vorgaben proportional zur tatsächlichen IT-Komplexität zu skalieren. Eine kleine Einzelpraxis ohne Bildgebung trägt damit deutlich weniger Aufwand als ein MVZ mit angebundener Radiologie.

Konkrete Schutzmaßnahmen im Überblick

Unabhängig von der Stufe gelten bestimmte Grundanforderungen für alle Praxen. Dazu gehören:

  • Schriftlich dokumentierte IT-Sicherheitsrichtlinien, die im Praxisalltag tatsächlich gelebt werden
  • Antivirus-Schutz auf sämtlichen Endgeräten
  • Firewall an allen Übergangspunkten zwischen internem Netz und externen Verbindungen
  • Regelmäßige Datensicherung nach dokumentierter Strategie mit nachweisbarer Wiederherstellung
  • Festplattenverschlüsselung auf allen Geräten, auf denen Patientendaten gespeichert sind
  • Automatische Bildschirmsperrung nach einer definierten Inaktivitätszeit
  • Patch-Management für Betriebssysteme und Praxisanwendungen
  • Unterbrechungsfreie Stromversorgung für Server und kritische Netzwerkkomponenten
  • Notfalldokumentation mit definierten Wiederherstellungsprozessen

Für Praxen mit Telematikinfrastruktur-Anbindung kommen spezifische Vorgaben für Konnektoren, Kartenterminals und die Absicherung des TI-Segmentes hinzu. Gerade hier entstehen im Praxisalltag häufig Lücken, weil die TI-Komponenten zwar installiert sind, die begleitende Dokumentation und regelmäßige Prüfung aber fehlen.

Unterstützung durch die KBV

Die KBV stellt über hub.kbv.de Vorlagen und Anwendungshinweise bereit, die Praxen direkt einsetzen können. Fertige Richtlinien-Muster, etwa für Mobile Devices, lassen sich an die eigenen Gegebenheiten anpassen, ohne von Grund auf neu zu beginnen.

Für Praxen, die unsicher sind, ob ihr aktueller IT-Stand den Vorgaben entspricht, empfiehlt die KBV die Beratung durch einen zertifizierten Dienstleister. Diese Empfehlung ist nicht zufällig: Die Richtlinie enthält technische Details, deren Vollständigkeit sich ohne Fachkenntnisse kaum beurteilen lässt.

Medical IT und Netzleiter: zertifiziert für die Umsetzung

Medical IT ist die auf Arztpraxen spezialisierte Praxis-IT-Marke des Hamburger Systemhauses Netzleiter. Netzleiter ist nach §75b SGB V zertifizierter IT-Dienstleister und verfügt über die Gematik-Zertifizierung für den KoCoBox-Konnektor. Zu unserem Leistungsangebot gehören IT-Sicherheitsprüfungen, die vollständige technische Dokumentation und die Umsetzung aller geforderten Maßnahmen, für Neuinstallationen ebenso wie für bestehende Praxisinfrastruktur.

Einen Überblick über die gesamte Bandbreite der IT-Sicherheits- und Praxis-Expertise finden Sie auf unserer Leistungsseite. Für ein kostenloses Erstgespräch erreichen Sie uns telefonisch unter 040 20949767.

Häufige Fragen

Was unterscheidet §75b von §390 SGB V? §75b SGB V war der ursprüngliche Rechtsrahmen für die KBV-IT-Sicherheitsrichtlinie. Seit 2025 gilt §390 SGB V als aktueller Paragraf für neu abzuschließende Anforderungen. Die inhaltlichen Schutzpflichten bleiben vergleichbar, der Rechtsanker hat sich verschoben. Für bestehende Praxisinfrastruktur und laufende Verträge bleibt §75b weiterhin relevant.

Gelten für meine Praxis höhere Anforderungen, weil ich eine TI-Anbindung habe? Ja. Praxen mit Telematikinfrastruktur-Komponenten wie Konnektoren oder eHealth-Kartenterminals unterliegen einer höheren Anforderungsklasse. Dazu gehören spezifische Vorgaben für die Absicherung des TI-Segmentes, die Pflege der Komponenten und die begleitende Dokumentation.

Brauche ich einen zertifizierten IT-Dienstleister? Die Richtlinie schreibt keinen Pflichtdienstleister vor, empfiehlt aber ausdrücklich die Beratung durch zertifizierte Fachleute. Ein nach §75b zertifizierter Dienstleister wie Netzleiter kann die Konformität nachweisen und ist haftungsrechtlich eindeutig positioniert.

Was passiert, wenn meine Praxis die Anforderungen nicht erfüllt? Fehlende IT-Sicherheitsmaßnahmen können im Fall eines Datenschutzvorfalls zu Bußgeldern nach DSGVO führen. Zusätzlich drohen bei Kassenärztlichen Vereinigungen Rückfragen oder Sanktionen, wenn die Dokumentation fehlt oder die Maßnahmen nicht nachweisbar umgesetzt wurden.

Weiterlesen aus unserem Praxis-IT-Blog:

Share:
Back to Blog

Related Posts

View All Posts »