LinkedInInstagramYoutube

IT-Sicherheit

Mit der IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) gelten für Praxen seit 2021 verbindliche Anforderungen an die IT-Sicherheit. 

Die  IT-Sicherheitsrichtlinie enthält Sicherheitsanforderungen, die sich am aktuellen Stand der Technik orientieren und die das Ziel haben, den Datenschutz in den Praxen mit der europäischen Datenschutzgrundverordnung (DSGVO) in Einklang zu bringen. Es geht um Punkte wie Sicherheitsmanagement, Organisation und Personal, IT-Systeme, Anwendungen und Dienste sowie das Aufspüren von Sicherheitsvorfällen. 

Der Gesetzgeber hatte die KBV im Digitale-Versorgung-Gesetz mit der Entwicklung der IT-Sicherheitsrichtlinie beauftragt. Sie wird jährlich im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesgesundheitsministerium aktualisiert.

Anforderungen unterscheiden sich hinsichtlich Praxisgröße und Umsetzungszeitpunkt

Je nach Größe der Praxis gelten die in der Richtlinie definierten Anforderungen in unterschiedlichem Umfang. Es werden drei Praxisgrößen unterschieden:

  1. Praxis: bis zu fünf ständig mit der Datenverarbeitung betrauten Personen.
  2. Mittlere Praxis: 6 bis 20 ständig mit der Datenverarbeitung betraute Personen.
  3. Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang:
    • über 20 Personen, die ständig mit der Datenverarbeitung betraut sind
    • eine Praxis, die in über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).

Viele der in der Richtlinie definierten Anforderungen müssen bereits seit dem 1. April 2021 in den Praxen umgesetzt werden. Zum 1. April 2025 wurde die IT-Sicherheitsrichtlinie aktualisiert. 

Die Anforderungen im Überblick

Die KBV gibt auf ihrer Website einen detaillierten Überblick über die Vorgaben aus der IT-Sicherheitsrichtlinie für Praxen. 

Hinweise zur Umsetzung:
Bitte achten Sie darauf, Ihre Bewertungen, Entscheidungen und Umsetzungen als Nachweis entsprechend zu dokumentieren. Die KV Berlin empfiehlt hierfür, die Anlagen der KBV mit den Prüfpunkten als Checkliste zu verwenden. Hier sollte je Punkt dokumentiert werden, wie dieser umgesetzt ist und welche Referenzdokumentation dazugehört (beispielsweise Passwortrichtlinie, Richtlinie zur Nutzung mobiler Endgeräte, Benutzerkonzept usw.). 
Bei Fragen zur Umsetzung der technischen Rahmenbedingungen, sollten Sie Rücksprache mit Ihrem IT-Dienstleister halten.

Beachten Sie auch das umfassende Schulungs- und Informationsangebot zur IT-Sicherheitsrichtlinie:
Online-Plattform der KBV
Fortbildung für Ärzt:innen und Psychotherapeut:innen: voraussichtlich ab August 2025 im Fortbildungsportal der KBV (Login erforderlich)
Fortbildungen für Praxispersonal: Fortbildungsportal der KBV für MFA (Login erforderlich, Anleitung im Hub zur IT-Sicherheit, siehe nächster Punkt)