Skip links

+49 221 650 881-40

info@mc-netzwerke.de

Sülzgürtel 86 D-50937 Köln

Linkedin Xing
Newsletter
MC-Netzwerke - IT Systemhaus und IT Security
Published in: News

Neue Richtlinien für Arztpraxen in der IT-Sicherheit ab 1. Oktober 2025

Author
Published on:

Lesezeit: 6 Minuten

IT-Sicherheit im Healthcare-Bereich: Warum der Schutz von Patientendaten oberste Priorität hat

Auch im Gesundheitswesen schreitet die Digitalisierung weiter voran. Das bringt vor allem wichtige Vereinfachungen und nicht zuletzt auch Arbeitserleichterungen mit sich. Manche digitalen Systeme und Strukturen sind notwendig, um den Praxisalltag zu gestalten.

Wo digitale Systeme immer komplexer werden, muss auch die IT-Sicherheit angepasst werden. Mit dem Stichtag zum 1. Oktober 2025 hat die Kassenärztliche Bundesvereinigung (KBV) daher die IT-Sicherheitsrichtlinien für medizinische Praxen überarbeitet und reagiert damit vor allem auf die Digitalisierung von kleinen Einrichtungen. Die neuen Anforderungen bringen einige wichtige Maßnahmen mit sich, die Verantwortliche jetzt beachten sollten.

Warum sind Gesundheitsdaten besonders schützenswert?

An dieser Stelle starten wir einmal mit der Grundlage, warum Gesundheits- oder Patientendaten besonders schützenswert sind. Gesundheitsdaten gehören zu den sensibelsten personenbezogenen Informationen – im Datenschutz zum Beispiel gehören sie zu den personenbezogenen Daten besonderer Kategorien. Daher gelten bei der Verarbeitung besondere Regeln. Diese Daten dürfen nur in wenigen Ausnahmen verarbeitet werden. Die Vorgaben im Datenschutz wirken sich daher auch maßgeblich auf die IT-Sicherheit aus.  

Aber auch über den Datenschutz hinaus sind Gesundheits- und Patientendaten besonders schützenswert. Sie enthalten Details zu Diagnosen, Behandlungsverläufen, Medikamenten und persönlichen Lebensumständen der Patienten. Ein unbefugter Zugriff kann nicht nur zu Identitätsdiebstahl oder finanziellen Schäden führen, sondern auch das Vertrauen zwischen Patienten und medizinischem Personal nachhaltig beeinträchtigen.

Natürlich gilt es als Basis auch die berufsrechtlichen Vorgaben wie die ärztliche Schweigepflicht zu beachten und umzusetzen. Nicht zuletzt sind die IT-Sicherheitsrichtlinien des KBV durch Arztpraxen umzusetzen.

Blog-Tipp: Bundeslagebild Cybercrime 2024 – anhaltende Bedrohungslage

Die größten Risiken: Cyberangriffe und interne Sicherheitslücken

Neben den Patientendaten entwickeln sich natürlich auch die Systeme zur Behandlung von Patienten stetig weiter. Cyberangriffe können also auch eine Gefahr für die Behandlung von Patienten oder auch für die Abläufe in Praxen darstellen.

Arztpraxen und Gesundheitseinrichtungen sind zunehmend Ziel von Cyberkriminellen. Ransomware-Angriffe, Phishing und gezielte Attacken auf medizinische IT-Systeme nehmen stetig zu. Oftmals sind es nicht nur große Kliniken, sondern gerade kleine und mittlere Praxen, die aufgrund mangelnder IT-Sicherheitsmaßnahmen ins Visier geraten. Häufig unterschätzt wird zudem das Risiko durch interne Sicherheitslücken – etwa durch unzureichend geschulte Mitarbeitende oder fehlende Zugriffsbeschränkungen.

IT-Sicherheit als Fundament für den Schutz von Patienten

Eine ganzheitliche IT-Sicherheitsstrategie ist im Healthcare-Bereich unerlässlich. Sie umfasst technische, organisatorische und personelle Maßnahmen, um den Schutz sensibler Daten zu gewährleisten. Zu den wichtigsten Bausteinen zählen:

  • Firewall- und Netzwerkschutz: Moderne Firewalls und segmentierte Netzwerke verhindern unbefugte Zugriffe von außen und innen.
  • Verschlüsselung: Die Verschlüsselung von Daten – sowohl bei der Speicherung als auch bei der Übertragung – schützt vor Datenverlust und Missbrauch.
  • Zugriffsmanagement: Nur autorisierte Personen erhalten Zugriff auf relevante Patientendaten. Hierzu gehören individuelle Benutzerkonten, starke Passwörter und Mehr-Faktor-Authentifizierung.
  • Regelmäßige Backups: Automatisierte und verschlüsselte Backups stellen sicher, dass im Ernstfall alle Daten schnell wiederhergestellt werden können.
  • Schulungen und Sensibilisierung: Mitarbeitende werden regelmäßig zu Themen wie Cyber Security, Phishing und Datenschutz geschult.

Blog-Tipp: Zero-Trust und die IT-Sicherheit

Daten müssen sicher sein

Die Verantwortung für die sichere Verarbeitung von Daten trägt der Inhaber der Praxis. Daher muss auch dieser dafür sorgen, dass die nötigen Vorkehrungen getroffen werden. Vor allem zum Schutz von Daten in den Praxen, müssen jetzt nach den neuen Richtlinien des KBV zusätzlich ab dem 1. Oktober 2025 neue Vorgaben umgesetzt werden.

Die Richtlinien des KBV wurden aufgebaut, weil die Vorgaben zum Beispiel im Datenschutz gerade für den sensiblen Bereich der Arztpraxen oft zu ungenau sind. Der Gesetzgeber hat daher den KBV damit beauftragt entsprechende Richtlinien im Einverständnis mit dem Bundesamt für Informationssicherheit (BSI) zu erarbeiten. Daraus entstanden sind die sogenannten IT-Sicherheitsrichtlinien.

In diesen Richtlinien wird klar definiert, wie viel IT-Sicherheit notwendig ist. Das resultiert aus zwei Parametern. Zum einen der Anzahl der Personen, die ständig mit der Verarbeitung von Daten beschäftigt sind. Und zum anderen ist der Umfang der Datenverarbeitung grundlegender Indikator laut IT-Sicherheitsrichtlinien.

Erweitert werden diese durch Anforderungen an Praxen, die mit medizinischen Großgeräten arbeiten und auch wenn dezentrale sogenannten Konnektoren eingesetzt werden.

Blog-Tipp: Der menschliche Faktor in der IT-Sicherheit

Anpassungen durch neue IT-Sicherheitsrisiken

Anpassungen der IT-Sicherheitsrichtlinien stellen sicher, dass diese sich den Ansprüchen an den Wandel in der Praxis anpassen. Auch Zerrtifizierungen der IT-Dienstleister werden in einer weiteren Richtlinie näher definiert.

Grundsätzlich gilt also: je digitaler eine Praxis arbeitet, desto höher sind die Ansprüche an die IT-Sicherheit, welche umgesetzt werden muss. Dazu gehören nicht nur die technischen Anforderungen, sondern auch die Schulung von Mitarbeitern. Diese sind ein wichtiger Bestandteil, um die IT-Sicherheitsrichtlinien umzusetzen.

Neue Basis-Anforderungen für alle Praxen

Mit der neuen Anpassung müssen alle Praxen zusätzlich zum 1. Oktober 2025 folgende Maßnahmen umsetzen (Quelle: Kassenärztliche Bundesvereinigung):

  • Das Praxispersonal muss in den sicheren Umgang mit der Praxis-IT eingewiesen und sensibilisiert werden, soweit dies für die Arbeit relevant ist (Anlage 1 Nummer 9 der Richtlinie).
  • Das Praxispersonal muss regelmäßig geschult werden, insbesondere zur eingesetzten Technik / IT (Anlage 1 Nummer 6).
  • Das Praxispersonal sollte entsprechend seiner Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden (Anlage 1 Nummer 10).
  • Neue Mitarbeiterinnen und Mitarbeiter müssen in die Praxis-IT eingearbeitet werden (Anlage 1 Nummer 1).
  • Bei Beendigung des Beschäftigungsverhältnisses muss die Praxisleitung der Person bekannte oder von ihr verwendete Passwörter und Zugangsdaten ändern oder vernichten (Anlage 1 Nummer 2).
  • Externes Personal, etwa von einem IT-Dienstleister zur Installation, Prüfung oder Reparatur von Technik, muss verpflichtet werden, Gesetze, Vorschriften und interne Regelungen einzuhalten. Bei kurzfristigem oder einmaligem Einsatz muss es beaufsichtigt werden (Anlage 1 Nummer 3).
  • In der Praxis ist der Umgang mit Spam bei E-Mails geregelt. Grundsätzlich sollten alle, die in der Praxis mit E-Mails arbeiten, Spam ignorieren und löschen (Anlage 1 Nummer 41).

Blog-Tipp: Cybersicherheitstraining als Baustein für die IT

Schulungen, Awareness-Training und E-Mail-Sicherheit aus einer Hand

Die Richtlinien zeigen vor allem, dass die Umsetzung der Sensibilisierung der Mitarbeiter einer Praxis einen wichtigen Bestandteil darstellen. MC-Netzwerke bietet Ihnen die entsprechenden Schulungen und Awareness-Trainings mit Simulationen und E-Mail-Sicherheit aus einer Hand. Der Wegfall von Konnektoren bietet darüber hinaus eine weitere Vereinfachung in der Umsetzung der Richtlinien. Fragen Sie unsere Lösungen gerne direkt bei uns an.

Sie möchten mehr über IT-Sicherheit im Healthcare-Bereich erfahren? Kontaktieren Sie uns für eine unverbindliche Beratung – wir unterstützen Sie gerne bei der Digitalisierung und dem Schutz Ihrer sensiblen Daten.

Das Team von MC-Netzwerke betreut Steuerberater, Unternehmen und andere Organisationen bundesweit im Bereich Digitalisierung und unterstützt diese auch im Bereich IT-Sicherheit und Cloud-Lösungen. Nehmen Sie einfach mit uns Kontakt auf und wir erstellen Ihnen gerne ein praxisnahes und individuelles Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Sollten Sie sich unsicher sein, ob Ihre IT-Lösung Schwachstellen hat, nehmen Sie gerne mit uns Kontakt auf.

Bewerte den Beitrag:

Durchschnittliche Bewertung: 0 / 5 (0 Bewertungen)

Tags:

Dennis Manz ist seit über 20 Jahren selbstständig in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Microsoft Certified Trainer, externer Datenschutzbeauftragter, Steuerfachangestellter und Fachassistent für Lohn und Gehalt. Als Gründer und Geschäftsführer von IT und Beratungsunternehmen betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen IT, Datenschutz und GoBD-Beratung.

Das könnte Ihnen auch gefallen