Ihr IT-Systemhaus TTG Daten- und Bürosysteme GmbH für Unternehmen aus Nordthüringen und Südniedersachsen

KONTAKT

IT-Sicherheit in Arztpraxen: Die Checkliste für die neue KBV-Richtlinie

Inhaltsverzeichnis

Veröffentlicht: 01. Juni 2026 · Lesezeit: ca. 13 Minuten

Es ist ein gewöhnlicher Dienstagmorgen. Die Sprechstundenhelferin schaltet ihren PC ein – doch das Praxisverwaltungssystem startet nicht. Statt der Patientenliste erscheint eine unbekannte Meldung auf dem Bildschirm. Die Terminübersicht ist weg, Patientenakten sind nicht abrufbar, das elektronische Rezeptsystem reagiert nicht mehr. Im Wartezimmer sitzen bereits die ersten Patienten.

Was wie ein technisches Missgeschick wirkt, ist in zahlreichen Praxen in Deutschland bereits Realität geworden: ein Ransomware-Angriff, der den gesamten Praxisbetrieb innerhalb von Minuten lahmlegt. Kein Backup, kein Notfallplan, keine verschlüsselten Datenträger – und plötzlich steht die Frage im Raum, ob man Lösegeld zahlt oder Patienten stundenlang vertröstet.

Das Szenario klingt drastisch, ist aber statistisch betrachtet keineswegs unwahrscheinlich. Und das Gute ist: Mit der richtigen Vorbereitung lässt es sich in weiten Teilen verhindern. Diese Checkliste zeigt Ihnen, wo Sie ansetzen müssen – strukturiert, umsetzbar und ohne IT-Fachwissen vorauszusetzen.

Die IT-Sicherheit Arztpraxen betreffend hat sich die rechtliche Lage grundlegend verändert: Mit der überarbeiteten IT-Sicherheitsrichtlinie, die die Kassenärztliche Bundesvereinigung (KBV) gemeinsam mit der gematik und dem BSI im April 2025 verabschiedet hat, gelten ab dem 1. Oktober 2025 verbindliche Mindeststandards für alle Vertragsarztpraxen in Deutschland. Wer diese Anforderungen nicht erfüllt, riskiert nicht nur Bußgelder, sondern gefährdet den Praxisbetrieb und das Vertrauen seiner Patienten.

Besonders kleine und mittlere Praxen stehen vor einer echten Herausforderung: Ihnen fehlt oft die Zeit, das Budget oder das interne Know-how, um IT-Sicherheit systematisch anzugehen. Dabei sind sie bevorzugte Angriffsziele – Cyberkriminelle gehen laut BSI gezielt „den Weg des geringsten Widerstandes“ und wählen Einrichtungen mit geringem Sicherheitsniveau. Das betrifft Arztpraxen genauso wie mittelständische Unternehmen in jeder anderen Branche.

Dieser Artikel liefert Ihnen eine praxisnahe Checkliste mit den wichtigsten Prüfpunkten – von der organisatorischen Grundlage über technische Mindestanforderungen bis hin zu Dokumentation und Notfallplanung. Sie erfahren, welche Maßnahmen sofort umsetzbar sind und wo Sie einen erfahrenen IT-Partner hinzuziehen sollten.

KennzahlWertQuelle
Ransomware-Angriffe betreffen kleine und mittlere Unternehmen80 % aller Ransomware-Angriffe richten sich gegen KMUBSI Lagebericht Cybersicherheit 2025
Jährlicher Schaden durch Cyberangriffe in Deutschland202,4 Milliarden Euro durch Cyberangriffe (Teil von 289,2 Mrd. Gesamtschaden)Bitkom Wirtschaftsschutz 2025
Deutsche Unternehmen als Opfer von Cyberangriffen87 % der deutschen Unternehmen betroffen in den letzten 12 MonatenBitkom Wirtschaftsschutz 2025
Neue Sicherheitslücken pro Tag (Juli 2024 – Juni 2025)Durchschnittlich 119 neue Schwachstellen täglich – +24 % gegenüber VorjahrBSI Lagebericht Cybersicherheit 2025

Warum diese Checkliste für Ihre Praxis jetzt entscheidend ist

Warum diese Checkliste für Ihre Praxis jetzt entscheidend ist – IT-Sicherheit Arztpraxen

Der Gesundheitssektor ist eines der beliebtesten Angriffsziele von Cyberkriminellen – und Arztpraxen sind dabei besonders exponiert. Laut der Europäischen Kommission wurden im europäischen Gesundheitssektor über 300 Cybersicherheitsvorfälle in einem Jahr registriert – mehr als in jedem anderen kritischen Sektor. Der Grund liegt auf der Hand: Patientendaten gehören zu den sensibelsten und damit wertvollsten Datenkategorien überhaupt.

Hinzu kommt die neue Rechtslage: Die überarbeitete IT-Sicherheitsrichtlinie der KBV gilt ab dem 1. Oktober 2025 verbindlich. Sie schreibt konkrete Mindestmaßnahmen vor – von der Zugriffskontrolle über Datensicherung bis hin zur Schulung des Praxispersonals. Praxen, die diese Anforderungen nicht umsetzen, riskieren neben empfindlichen Bußgeldern auch den Verlust der Kassenzulassung.

Aus unserer täglichen Arbeit als ISO/IEC 27001 zertifiziertes IT-Systemhaus – TTG GmbH wissen wir: Viele Praxen in der Region – ob in Dingelstädt, im Eichsfeld oder in Südniedersachsen – haben zwar ein Bewusstsein für das Thema, aber noch keine strukturierte Umsetzung. Das ist kein Vorwurf, sondern eine Chance: Wer jetzt systematisch vorgeht, kann in wenigen Wochen einen erheblichen Sicherheitsgewinn erzielen.

  • Verschaffen Sie sich einen Überblick über alle IT-Systeme in Ihrer Praxis – inklusive mobiler Geräte und vernetzter Medizintechnik.
  • Bestimmen Sie eine verantwortliche Person für IT-Sicherheit in Ihrer Praxis (muss keine IT-Fachkraft sein).
  • Laden Sie die aktuelle KBV-IT-Sicherheitsrichtlinie herunter und markieren Sie, welche Punkte Sie bereits erfüllen.
  • Notieren Sie offene Lücken und ordnen Sie diese nach Dringlichkeit: sofort, innerhalb von 30 Tagen, langfristig.
  • Sprechen Sie mit Ihrem IT-Dienstleister darüber, welche Maßnahmen extern begleitet werden sollten.

Prüfpunkt 1 & 2: Organisatorische Grundlagen – das Fundament der IT-Sicherheit Arztpraxen

Viele Sicherheitslücken entstehen nicht durch fehlende Technik, sondern durch fehlende Regelungen. Wer darf auf welche Daten zugreifen? Was passiert, wenn ein Mitarbeiter die Praxis verlässt? Gibt es eine klare Passwort-Richtlinie? Diese Fragen klingen banal – sind in der Praxis aber häufig ungeklärt.

Laut BSI gehen Cyberkriminelle „den Weg des geringsten Widerstandes“ – und der führt sie immer öfter zu kleinen und mittleren Einrichtungen, die organisatorisch schlecht aufgestellt sind. 80 % aller Ransomware-Angriffe richten sich gegen KMU und vergleichbar aufgestellte Organisationen. Die gute Nachricht: Organisatorische Maßnahmen kosten wenig Geld, brauchen aber klare Entscheidungen.

Die IT-Sicherheitslösungen der TTG GmbH beginnen deshalb immer mit einer strukturierten Bestandsaufnahme der vorhandenen Regelungen – bevor wir technische Maßnahmen empfehlen. Denn Technik ohne Organisation schützt nur halb.

Prüfpunkt 1: Zugriffs- und Rollenkonzept

  • Legen Sie fest, welche Mitarbeiter auf welche Patientendaten zugreifen dürfen – und dokumentieren Sie das schriftlich.
  • Vergeben Sie individuelle Benutzerkonten – keine gemeinsam genutzten Passwörter oder Sammelaccounts.
  • Deaktivieren Sie Zugänge von ausgeschiedenen Mitarbeitern am selben Tag des Austritts.

Prüfpunkt 2: Passwort-Richtlinie und Zwei-Faktor-Authentifizierung

  • Führen Sie eine verbindliche Passwort-Richtlinie ein: mindestens 12 Zeichen, Sonderzeichen, kein Name oder Geburtsdatum.
  • Aktivieren Sie wo möglich die Zwei-Faktor-Authentifizierung (2FA) – besonders für Fernzugriffe und E-Mail-Postfächer.
  • Nutzen Sie einen Passwort-Manager, um sichere Passwörter praxisweit zu verwalten, ohne sie auf Notizzetteln zu notieren.
Situation in Ihrer PraxisEmpfehlungWarum
Gemeinsamer Praxis-PC mit einem AccountIndividuelle Benutzerprofile einrichtenNachvollziehbarkeit, Haftung, DSGVO
Mitarbeiter nutzt eigenes Smartphone für Praxis-E-MailsMobile Device Management einführenKontrolle über sensible Daten auf Privatgeräten
Passwörter werden mündlich weitergegebenPasswort-Manager einsetzenSicherheit und Effizienz steigen gleichzeitig

Prüfpunkt 3 & 4: Technische Mindestanforderungen – was jede Praxis braucht

Technische Schutzmaßnahmen sind das Rückgrat der IT-Sicherheit in Arztpraxen. Das BSI registrierte im aktuellen Berichtszeitraum durchschnittlich 119 neue Schwachstellen pro Tag – ein Anstieg von 24 Prozent gegenüber dem Vorjahr. Das bedeutet: Systeme, die heute als sicher gelten, können morgen bereits angreifbar sein. Regelmäßige Updates sind deshalb keine Option, sondern Pflicht.

Besonders kritisch ist die Absicherung der Verbindung zur Telematikinfrastruktur (TI). Der Konnektor ist das Tor zu sensiblen Patientendaten – und muss entsprechend geschützt sein. Gleichzeitig unterschätzen viele Praxen die Gefahr durch ihre eigene Netzwerkarchitektur: Sind Praxisnetz und WLAN für Patienten getrennt? Sind Medizingeräte in einem eigenen Segment? Zur vertieften Orientierung empfehlen wir die Ressourcen des BSI – IT-Grundschutz für Unternehmen, der konkrete Handlungsempfehlungen für unterschiedliche Betriebsgrößen bietet.

Eine Sichere IT-Infrastruktur für KMU – TTG GmbH beginnt immer mit der Analyse bestehender Netzwerkstrukturen, bevor neue Schutzlösungen aufgesetzt werden.

Prüfpunkt 3: Netzwerksicherheit und Firewall

  • Trennen Sie das Praxisnetzwerk vom öffentlichen WLAN für Patienten – am besten durch eine eigene SSID oder ein VLAN.
  • Prüfen Sie, ob Ihre Firewall aktuell ist und ob offene Ports (insbesondere RDP) geschlossen oder gesichert sind.
  • Stellen Sie sicher, dass Medizingeräte in einem separaten Netzwerksegment betrieben werden.

Prüfpunkt 4: Patch-Management und Virenschutz

  • Aktivieren Sie automatische Updates für Betriebssysteme und alle installierten Programme – oder legen Sie einen festen monatlichen Update-Termin fest.
  • Setzen Sie auf einen zentral verwalteten Virenschutz, der auf allen Endgeräten aktiv und aktuell ist.
  • Ersetzen Sie Geräte mit veralteten Betriebssystemen (z. B. Windows 7 oder 8), die keine Sicherheitsupdates mehr erhalten – das ist ein häufig unterschätztes Risiko in Praxen.
  • Kontrollieren Sie regelmäßig, ob alle Geräte tatsächlich durch den Virenschutz abgedeckt sind – auch Drucker, Scanner und vernetzte Medizintechnik.

Prüfpunkt 5 & 6: Datensicherung und Datenschutz – kein Spielraum bei Patientendaten

Prüfpunkt 5 & 6: Datensicherung und Datenschutz – kein Spielraum bei Patientendaten – TTG GmbH Dingelstädt

Patientendaten genießen den höchsten Schutz, den die DSGVO kennt. Ein Datenverlust oder ein unbefugter Zugriff ist nicht nur ein IT-Problem – er ist ein rechtliches und ethisches Problem. Und er kann die Existenz einer Praxis gefährden. Laut Bitkom beläuft sich der jährliche Schaden durch Datendiebstahl, Sabotage und Cyberangriffe in Deutschland auf 289,2 Milliarden Euro – Tendenz steigend.

Die häufigsten Schwachstellen bei der Datensicherung in Arztpraxen sind: kein regelmäßiges Backup, Backups, die nie auf Wiederherstellbarkeit getestet wurden, und Datensicherungen, die im selben Netzwerk liegen wie die Originaldaten – und damit bei einem Ransomware-Angriff ebenfalls verschlüsselt werden.

Unsere IT-Dienstleistungen der TTG GmbH umfassen unter anderem die Konzeption und Umsetzung revisionssicherer Backup-Strategien, die auch dem aktuellen Stand der KBV-Richtlinie entsprechen.

Prüfpunkt 5: Backup-Strategie nach der 3-2-1-Regel

  • Halten Sie mindestens drei Kopien Ihrer Daten vor – auf zwei verschiedenen Medien, davon eine außerhalb der Praxis (offsite oder Cloud).
  • Testen Sie mindestens einmal pro Quartal, ob Ihre Backups tatsächlich wiederherstellbar sind – ein Backup, das nicht getestet wurde, ist kein Backup.
  • Stellen Sie sicher, dass Backups nicht dauerhaft im selben Netzwerk erreichbar sind (kein gemountetes Netzlaufwerk als einzige Sicherung).

Prüfpunkt 6: DSGVO-konforme Verarbeitung und Auftragsverarbeitung

  • Prüfen Sie, ob für alle externen Dienstleister (IT, Cloud, Labor, Abrechnung) ein aktueller Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO vorliegt.
  • Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten – das ist ab einer bestimmten Praxisgröße gesetzlich vorgeschrieben und immer sinnvoll.
  • Stellen Sie sicher, dass keine Patientendaten über unsichere Kanäle wie private E-Mail-Adressen oder WhatsApp übermittelt werden.

Prüfpunkt 7 & 8: Laufende Kontrolle, Schulung und Dokumentation

IT-Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Das zeigt sich schon an der Bedrohungslage: 70 % aller Angriffe auf das Gesundheitswesen beinhalten Ransomware, die meist über Phishing, Social Engineering und schlecht gesicherte Fernzugänge eingeschleust wird – also über menschliche Schwachstellen, nicht über technische Lücken. Regelmäßige Schulungen sind deshalb genauso wichtig wie technische Schutzmaßnahmen.

Gleichzeitig verlangt die neue KBV-IT-Sicherheitsrichtlinie eine nachvollziehbare Dokumentation. Nicht nur zum Nachweis gegenüber Behörden – sondern auch, um im Ernstfall schnell reagieren zu können. Wer im Notfall erst suchen muss, wer welchen Zugang hat und wo das Backup liegt, verliert wertvolle Zeit.

Als regionaler IT-Partner – TTG GmbH empfehlen wir unseren Kunden, Sicherheitsüberprüfungen und Schulungen fest in den Jahreskalender zu integrieren – ähnlich wie eine jährliche Wartung technischer Geräte.

Prüfpunkt 7: Mitarbeiterschulung und Sicherheitsbewusstsein

  • Führen Sie mindestens einmal jährlich eine Schulung zu IT-Sicherheit und Phishing-Erkennung durch – auch für erfahrene Mitarbeitende.
  • Üben Sie konkrete Szenarien: Was tun bei einer verdächtigen E-Mail? Wer wird im Ernstfall zuerst informiert?
  • Machen Sie IT-Sicherheit zum Thema bei Teambesprechungen – kurze, regelmäßige Hinweise wirken nachhaltiger als einmalige Großschulungen.

Prüfpunkt 8: Notfallplan und Dokumentation

  • Erstellen Sie einen schriftlichen Notfallplan, der im Ernstfall auch ohne IT-Zugriff verfügbar ist (ausgedruckt, in einem Ordner).
  • Dokumentieren Sie alle eingesetzten Systeme, Zugangsdaten (sicher aufbewahrt) und Wartungsverträge in einem zentralen IT-Handbuch.
  • Definieren Sie klare Ansprechpartner und Eskalationswege – intern wie extern – für den Fall eines Sicherheitsvorfalls.
  • Prüfen Sie regelmäßig die Aktualität Ihres Notfallplans, insbesondere nach Personalwechseln oder Systemänderungen. Laut BSI Lagebericht Cybersicherheit sind veraltete oder fehlende Notfallpläne einer der häufigsten Gründe für übermäßig hohe Schadensverläufe.

Was tun, wenn ein Prüfpunkt nicht erfüllt ist? Risiken richtig einordnen

Nicht jede offene Lücke ist gleich gefährlich – aber jede offene Lücke hat einen Preis. Die entscheidende Frage ist: Welche Maßnahmen bringen den größten Sicherheitsgewinn bei überschaubarem Aufwand? Wir empfehlen, Lücken nach zwei Dimensionen zu priorisieren: Wie wahrscheinlich ist ein Angriff über diesen Weg? Und wie groß wäre der Schaden?

Fehlendes Backup, unsichere Fernzugänge (offene RDP-Ports) und kein Virenschutz auf allen Geräten stehen in dieser Bewertung ganz oben – sie sind häufig die ersten Einstiegspunkte für Angreifer. Fehlende Dokumentation oder ein unvollständiges Verarbeitungsverzeichnis sind dagegen rechtlich relevant, aber kurzfristig weniger existenzbedrohend. Eine Praxis in Dingelstädt, die wir begleitet haben, konnte durch die gezielte Priorisierung innerhalb von vier Wochen die kritischsten Lücken schließen – ohne den laufenden Betrieb zu unterbrechen.

Als ISO/IEC 27001-zertifizierter IT-Partner mit über 25 Jahren Erfahrung in Nordthüringen und dem Eichsfeld begleiten wir Arztpraxen und mittelständische Unternehmen systematisch auf diesem Weg – von der ersten Bestandsaufnahme bis zur vollständigen Umsetzung der KBV-Anforderungen. Das ist keine Werbung, sondern gelebte Praxis: Wir kennen die Strukturen, die Zeitdruck und die begrenzten Ressourcen kleiner Praxen aus eigener Erfahrung.

  • Sofort (diese Woche): Offene RDP-Ports schließen, Backup-Status prüfen, Virenschutz auf allen Geräten sicherstellen.
  • Kurzfristig (innerhalb von 30 Tagen): Passwort-Richtlinie einführen, individuelle Benutzerkonten anlegen, Notfallplan erstellen.
  • Mittelfristig (bis Oktober 2025): Schulungen durchführen, AVV-Verträge prüfen, vollständige KBV-Richtlinien-Konformität herstellen.

Weiterführende Orientierung bietet das BSI mit seinem IT-Grundschutz, der kostenfreie Leitfäden und Checklisten für unterschiedliche Unternehmensgrößen bereitstellt. Zusätzlich lohnt ein Blick auf die Cybersicherheits-Ressourcen des Bitkom, die praxisnahe Handlungsempfehlungen für den Mittelstand bündeln.

Zusammenfassung: IT-Sicherheit Arztpraxen – sofort, 30 Tage, langfristig

Die neue KBV-IT-Sicherheitsrichtlinie ist keine bürokratische Hürde – sie ist eine Chance, IT-Sicherheit in Arztpraxen endlich strukturiert anzugehen. Viele der geforderten Maßnahmen sind mit überschaubarem Aufwand umsetzbar, wenn man weiß, wo man anfangen soll. Die folgende Übersicht fasst zusammen, was wir Ihnen für die drei Zeithorizonte empfehlen.

Sofort – in dieser Woche:

  • Backup-Status prüfen: Gibt es überhaupt ein aktuelles, wiederherstellbares Backup?
  • Virenschutz auf allen Geräten verifizieren – kein Gerät ohne aktiven Schutz.
  • Offene oder ungesicherte Fernzugänge (RDP) identifizieren und schließen.
  • Gemeinsam genutzte Passwörter durch individuelle ersetzen.

In den nächsten 30 Tagen:

  • Schriftliche Passwort-Richtlinie einführen und an alle Mitarbeiter kommunizieren.
  • Notfallplan erstellen und ausdrucken – auch für den Fall eines IT-Totalausfalls.
  • Auftragsverarbeitungsverträge mit allen externen IT-Dienstleistern prüfen und aktualisieren.
  • Erste Mitarbeiterschulung zu Phishing und sicheren Verhaltensweisen durchführen.

Langfristig – bis Oktober 2025 und darüber hinaus:

  • Vollständige Konformität mit der KBV-IT-Sicherheitsrichtlinie herstellen und dokumentieren.
  • Netzwerksegmentierung umsetzen: Praxisnetz, Patientennetz und Medizintechnik trennen.
  • Regelmäßige Sicherheitsüberprüfungen und Schulungen als festen Bestandteil des Praxisbetriebs etablieren.
  • Einen IT-Sicherheitsbeauftragten oder verlässlichen externen IT-Partner benennen, der die laufende Kontrolle übernimmt.

IT-Sicherheit Arztpraxen ist kein Projekt mit Abschlussdatum. Sie ist eine laufende Verantwortung – gegenüber Ihren Patienten, Ihren Mitarbeitern und dem Fortbestand Ihrer Praxis. Wer heute anfängt, hat bis Oktober 2025 genug Zeit, die wichtigsten Punkte solide umzusetzen.

Ihre Checkliste: So starten Sie jetzt

  1. Prüfen Sie den aktuellen Backup-Status Ihrer Praxis: Gibt es ein tagesaktuelles Backup, das außerhalb des Praxisnetzwerks gespeichert ist?
  2. Vergewissern Sie sich, dass auf jedem PC, Notebook und vernetzten Gerät ein aktueller Virenschutz aktiv ist – lückenlos, nicht nur auf dem Empfangstresen.
  3. Stellen Sie sicher, dass alle Mitarbeiter individuelle Benutzerkonten nutzen und keine gemeinsamen Passwörter im Einsatz sind.
  4. Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Fernzugänge und E-Mail-Postfächer, die Patientendaten berühren.
  5. Erstellen Sie einen schriftlichen Notfallplan – wer wird wann kontaktiert, wo liegt das Backup, wie läuft der Betrieb ohne IT weiter?
  6. Sprechen Sie mit Ihrem IT-Dienstleister darüber, welche Anforderungen der neuen KBV-IT-Sicherheitsrichtlinie in Ihrer Praxis noch offen sind.
  7. Prüfen Sie, ob für alle externen Dienstleister (Abrechnung, Labor, Cloud) ein gültiger Auftragsverarbeitungsvertrag (AVV) vorliegt.
  8. Planen Sie eine Mitarbeiterschulung zu Phishing und sicheren IT-Verhaltensweisen – idealerweise noch in diesem Quartal.

Häufig gestellte Fragen

Was kostet die Umsetzung der KBV-IT-Sicherheitsrichtlinie für eine kleine Arztpraxis?

Die Kosten hängen stark davon ab, wie gut Ihre Praxis bereits aufgestellt ist. Viele organisatorische Maßnahmen – wie Passwort-Richtlinien, Notfallpläne oder Schulungen – verursachen kaum direkte Kosten, sondern erfordern vor allem Zeit. Technische Maßnahmen wie eine ordentliche Backup-Lösung oder Netzwerksegmentierung können einige hundert bis wenige tausend Euro betragen. Eine vorherige Bestandsaufnahme durch einen IT-Dienstleister hilft, unnötige Ausgaben zu vermeiden und gezielt zu investieren.

Gilt die neue KBV-IT-Sicherheitsrichtlinie auch für kleine Einzelpraxen?

Ja – die Richtlinie gilt verbindlich für alle Vertragsarztpraxen, unabhängig von ihrer Größe. Es gibt allerdings sogenannte größenabhängige Anforderungsstufen: Praxen mit weniger als fünf ständig mit dem Internet verbundenen Geräten haben einen reduzierten Mindestanforderungskatalog. Das bedeutet aber nicht, dass keine Maßnahmen nötig sind – auch kleine Praxen müssen die Grundanforderungen nachweislich erfüllen.

Was passiert, wenn meine Praxis die Anforderungen bis Oktober 2025 nicht erfüllt?

Die Richtlinie ist verbindlich und ihre Nichteinhaltung kann zu Konsequenzen im Rahmen der Kassenzulassung führen. Darüber hinaus drohen bei einem Sicherheitsvorfall – etwa einem Datenleck – erhebliche DSGVO-Bußgelder. Wichtig ist: Die zuständigen Stellen werden voraussichtlich nicht von heute auf morgen kontrollieren, aber die rechtliche Haftung beginnt mit dem Stichtag. Wer dokumentieren kann, dass er aktiv an der Umsetzung arbeitet, ist deutlich besser gestellt.

Brauche ich einen eigenen IT-Sicherheitsbeauftragten in meiner Praxis?

Nicht zwingend – aber Sie brauchen eine klar benannte verantwortliche Person, die das Thema koordiniert. Das kann auch die Praxismanagerin oder der Praxisinhaber selbst sein, unterstützt durch einen externen IT-Dienstleister. Wichtig ist, dass Verantwortlichkeiten dokumentiert sind und im Ernstfall jemand weiß, was zu tun ist. Ein externer Ansprechpartner wie die TTG GmbH kann diese Rolle beratend und operativ übernehmen.

Ist eine Cloud-Datensicherung für Patientendaten überhaupt DSGVO-konform?

Ja – unter bestimmten Voraussetzungen. Der Cloud-Anbieter muss einen Serverstandort in der EU haben, es muss ein gültiger Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen sein, und die Daten müssen verschlüsselt übertragen und gespeichert werden. Viele spezialisierte Anbieter für das Gesundheitswesen erfüllen diese Anforderungen. Entscheidend ist, dass Sie den Anbieter sorgfältig auswählen und die Vereinbarungen schriftlich dokumentieren.

Lesetipps – weitere Ratgeber der TTG GmbH

Über den Autor
Martin Trappe ist Geschäftsführer der TTG Daten- und Bürosysteme GmbH in Dingelstädt. Mit über 25 Jahren Erfahrung im IT-Mittelstand betreut er kleine und mittelständische Unternehmen in Nordthüringen, Eichsfeld und Südniedersachsen. Die TTG GmbH ist ISO/IEC 27001 zertifiziert – dem höchsten Standard für Informationssicherheit.

Kontakt aufnehmen · Über TTG GmbH

Wissen Sie heute mit Sicherheit, dass Ihre Patientendaten morgen noch zugänglich – und vor unbefugtem Zugriff geschützt – sind?

Ihre IT-Sicherheit jetzt stärken

Schützen Sie Ihr Unternehmen vor Cyberangriffen und Datenverlust. Die TTG GmbH berät KMU in Nordthüringen und Eichsfeld – ISO/IEC 27001 zertifiziert, persönlich vor Ort.

Kostenlose IT-Sicherheitsanalyse anfragen

Comments are closed.

Preview Image ProvenExpert.com entsperren ProvenExpert.com immer entsperren Mehr Informationen