· Mehdi Aroui · Medical IT  · Lesedauer von ca. 3 Min.

KBV-Richtlinie §75b: Was Arztpraxen zur IT-Sicherheit wissen müssen

Ein Arzt in Hamburg prüft auf einem Tablet die IT-Sicherheitsanforderungen der KBV-Richtlinie §75b für seine Praxis, unterstützt von Medical IT und dem Hamburger Systemhaus Netzleiter.

Ein Arzt in Hamburg prüft auf einem Tablet die IT-Sicherheitsanforderungen der KBV-Richtlinie §75b für seine Praxis, unterstützt von Medical IT und dem Hamburger Systemhaus Netzleiter.

Wer eine Arztpraxis betreibt, verarbeitet täglich Daten, die unter die strengsten Schutzanforderungen des Datenschutzrechts fallen. Die KBV-Richtlinie nach §75b SGB V hat dafür verbindliche technisch-organisatorische Maßnahmen (TOMs) definiert, die auf Artikel 32 DSGVO aufbauen. Seit 2025 gilt für neu abzuschließende Anforderungen §390 SGB V als aktueller Rechtsrahmen. Die §75b-Richtlinie bleibt für bestehende Praxisinfrastruktur und laufende Verträge weiterhin maßgeblich.

Wofür steht §75b SGB V?

Die Kassenärztliche Bundesvereinigung (KBV) hat mit §75b eine einheitliche IT-Sicherheitsbasis für alle vertragsärztlichen und vertragszahnärztlichen Einrichtungen geschaffen, unabhängig davon, ob die Praxis drei oder dreißig Behandlungsplätze hat. Kern der Richtlinie ist die Forderung nach dokumentierten Schutzmaßnahmen für Vertraulichkeit, Integrität und Verfügbarkeit der Patientendaten sowie für alle digitalen Prozesse im Praxisalltag.

Das schafft Klarheit nach zwei Seiten: Aufsichtsbehörden sehen, was die Praxis nachweislich unternimmt. Patienten und Kostenträger erhalten belegbare Sicherheit, dass ihre Daten ordnungsgemäß verwaltet werden.

Was die Richtlinie konkret verlangt

Die Anforderungen lassen sich in fünf Bereiche gliedern:

  1. IT-Sicherheitsrichtlinien. Die Praxis braucht schriftlich dokumentierte Regeln, die den Umgang mit Systemen, Zugängen und Daten verbindlich regeln.
  2. Technisch-organisatorische Maßnahmen. Dazu zählen Zugangsschutz, Verschlüsselung und regelmäßige Datensicherung mit getesteter Wiederherstellung.
  3. Datenschutz-Folgenabschätzung. Für kritische Verarbeitungsprozesse ist eine Risikoanalyse erforderlich.
  4. Personalschulungen. Das gesamte Praxisteam muss im sicheren Umgang mit IT und Patientendaten regelmäßig unterwiesen werden.
  5. IT-Dokumentation. Alle Systeme, Prozesse und Schutzmaßnahmen müssen nachvollziehbar dokumentiert und aktuell gehalten werden.

Was die Umsetzung in der Praxis bedeutet

Viele Praxisinhaber erleben die Anforderungsliste zunächst als bürokratische Last. Der eigentliche Aufwand hängt davon ab, ob die Praxis einen zertifizierten IT-Partner einbindet oder alles selbst koordiniert.

Mit einem nach KBV zertifizierten IT-Dienstleister werden Dokumentation, Monitoring und laufende Updates pauschal abgedeckt. Die Praxis muss nicht selbst nachverfolgen, ob Patches eingespielt oder Backups getestet wurden. Das senkt den Aufwand deutlich und schließt gleichzeitig Haftungsrisiken, die bei einer Datenpanne ohne nachweisbares Schutzkonzept entstehen können.

Einen Überblick über die technischen Schutzmaßnahmen, die Medical IT für Praxen bereitstellt, finden Sie auf der Seite zur IT-Sicherheit und Expertise.

Womit Netzleiter die Anforderungen abdeckt

Das Hamburger Systemhaus Netzleiter ist als IT-Dienstleister KBV-zertifiziert nach §390 SGB V und Gematik-Partner für den KoCoBox-Konnektor. Unter der Praxis-IT-Marke Medical IT betreut Netzleiter Arztpraxen in Hamburg mit den Leistungen, die §75b und §390 SGB V verlangen:

  • Firewall-Management gegen unautorisierten Zugriff
  • Endpoint Security mit ESET für alle Arbeitsplätze
  • Veeam-Backup mit dokumentierter und getesteter Wiederherstellung
  • Festplattenverschlüsselung für alle Praxisgeräte
  • Unterbrechungsfreie Stromversorgung für den laufenden Betrieb
  • KoCoBox-Betrieb und TI-Pflege nach Gematik-Standard
  • Patch-Management ohne Unterbrechung des Sprechstundenbetriebs
  • Proaktives Monitoring, damit Störungen erkannt werden, bevor sie den Praxisalltag treffen

Eine Überprüfung der eigenen IT-Sicherheit können Sie kostenfrei anfragen, bevor Sie investieren. Die Details dazu stehen auf der Seite Netzwerkanalyse und Sicherheitsprüfung.

Häufige Fragen

Gilt §75b auch für kleine Einzelpraxen? Ja. Die Richtlinie unterscheidet nicht nach Praxisgröße. Alle vertragsärztlichen und vertragszahnärztlichen Einrichtungen sind verpflichtet, die geforderten Maßnahmen umzusetzen und zu dokumentieren.

Was hat sich mit §390 SGB V geändert? Ab 2025 gilt §390 SGB V als aktueller Rechtsrahmen für neu abzuschließende Anforderungen. §75b bleibt für bestehende Praxisinfrastruktur und laufende Verträge weiterhin relevant. Inhaltlich bauen beide Regelungen auf denselben TOMs auf.

Was passiert, wenn eine Praxis die Anforderungen nicht erfüllt? Praxen riskieren Haftungsrisiken bei Datenpannen und Einschränkungen bei der Telematikinfrastruktur-Anbindung. Hochsensible Patientendaten sind das schützenswerteste Gut einer Praxis. Fehlende Nachweise können bei Datenschutzverstößen zu regulatorischen Konsequenzen führen.

Was kostet die KBV-konforme IT-Betreuung? Mit einem KBV-zertifizierten Partner wie Netzleiter werden Dokumentation, Monitoring und Updates in einem Paket abgedeckt. Preise auf Anfrage unter 040 20949767 oder über das Kontaktformular auf medical-it.org.

Weiterlesen aus unserem Praxis-IT-Blog:

Share:
Back to Blog

Related Posts

View All Posts »