Warum Praxisinhaber handeln müssen und wie Sie Ihre Praxis wirksam vor Risiken schützen

Aktualisierte IT-Sicherheitsrichtlinie - das müssen Zahnärzte wissen

Dr. Markus Heckner

21.08.2025

© Song_about_summer – stock.adobe.com

Seit Jahren steigt die Bedrohungslage durch Cyberangriffe im Gesundheitswesen und damit auch der Handlungsdruck auf Praxisteam und Praxisführung. Besonders betroffen sind Einrichtungen, die über sensible Patientendaten verfügen, aber oft nicht über ausreichende Schutzmaßnahmen. Die Kassen­zahnärztliche Bundesvereinigung (KZBV) wurde daher vom Gesetzgeber verpflichtet, die bestehende IT-Sicherheitsrichtlinie nach § 390 SGB V grundlegend zu überarbeiten. Diese aktualisierte Richtlinie ist am 2. Juli 2025 in Kraft getreten.

Eine Aktualisierung der IT-Sicherheitsrichtlinie soll klare, praxisnahe Vorgaben schaffen und verpflichtet alle Zahnärztinnen und Zahnärzte zur Umsetzung entsprechender technischer und organisatorischer Maßnahmen – abgestimmt auf die jeweilige Praxisgröße und das vorhandene IT-Inventar. Die neu eingeführten oder geänderten Anforderungen der Richtlinie sind ab dem 2. Januar 2026 umzusetzen, so die KZBV.

Warum eine neue IT-Sicherheitsrichtlinie?

Die bisherige IT-Sicherheitsrichtlinie für Zahnarztpraxen wurde kürzlich durch eine neue Fassung ersetzt, die dem heutigen Stand der Technik entspricht. Ziel ist es, mit klaren Anforderungen den Schutz sensibler Gesundheitsdaten zu erhöhen, Betriebsstörungen vorzubeugen und dabei den Praxisalltag nicht unnötig zu belasten.

In der neuen Richtlinie wird stärker differenziert: Zwischen kleinen Einzelpraxen, mittelgroßen Gemeinschaftspraxen und MVZs mit mehreren Standorten. Gleichzeitig werden aktuelle technische Entwicklungen wie die verstärkte Nutzung mobiler Endgeräte oder Cloud-Dienste berücksichtigt.

Umsetzungspflichten sind verbindlich für alle – abgestuft nach Praxisgröße

Die Umsetzungspflichten orientieren sich an der Zahl der Mitarbeitenden, die regelmäßig mit IT-Systemen arbeiten. Dabei gilt:

• Praxis mit bis zu 5 Personen: Umsetzung der Anlagen 1 und 5

• Mittlere Praxis mit 6–20 Personen: zusätzlich Anlage 2

• Großpraxis ab 21 Personen: zusätzlich Anlage 3

• Praxis mit Großgeräten (z. B. DVT): zusätzlich Anlage 4.

Die Nutzung bestimmter Technologien, wie Cloud, Smartphones oder medizinischer Großgeräte, zieht zusätzliche Sicherheitsanforderungen nach sich. Wer diese Technologien nicht einsetzt, muss die entsprechenden Punkte nicht umsetzen – die Richtlinie bleibt damit verhältnismäßig.

Was ändert sich für Zahnärztinnen und Zahnärzte gegenüber früher?

Neu ist unter anderem die Verpflichtung zur Berücksichtigung des BSI C5-Testats, wenn Cloud-Dienste in der Praxis eingesetzt werden. Damit wird ein Mindeststandard für Datenschutz und Informationssicherheit gesetzt, der sich an staatlichen Anforderungen orientiert. Wenn Sie eine cloudbasierte Praxissoftware nutzen, dann müssen Sie als Praxis sichergehen, dass der Hersteller für seine Softwarelösung ein gültiges C5-Testat besitzt, da ansonsten die Nutzung ein erhebliches rechtliches Risiko für die Praxis darstellen kann.

Ebenfalls neu sind klarere Vorgaben zur physischen Sicherung der Server (z. B. abschließbare Serverräume), zur Netzwerksegmentierung (z. B. Trennung von Patienten-PCs und Verwaltungsnetz) und zur mobilen Nutzung von Endgeräten. Auch die Sensibilisierung der Mitarbeitenden wird erstmals verpflichtend vorgeschrieben: Schulungen zum Umgang mit Phishing-Mails, Wechseldatenträgern oder BYOD-Szenarien (Bring Your Own Device) sind regelmäßig durchzuführen und zu dokumentieren.

Keine Umsetzung? Das kann unter Umständen teuer werden

Auch wenn die IT-Richtlinie der KZBV selbst keine direkten Sanktionen vorsieht, kann eine fehlende Umsetzung als Verstoß gegen geltende gesetzliche Vorgaben gewertet werden. Die Konsequenzen können gravierend sein:

• Bußgelder durch Aufsichtsbehörden bei Datenschutzverstößen

• Berufsrechtliche Maßnahmen, insbesondere bei grober Fahrlässigkeit

• Haftungsrisiken für den Praxisinhaber

• Ausschluss von Versicherungsleistungen, wenn nachgewiesen wird, dass Sicherheitsvorgaben grob missachtet wurden. Praxisinhaber sind damit in der Pflicht, sich proaktiv mit dem Thema auseinanderzusetzen – nicht zuletzt aus eigenem Interesse.

Lesen Sie mehr zu diesem Thema:

Cyberattacke: So schützen Sie Ihre Praxis mit einer Versicherung vor Folgeschäden

Von Gebäudeversicherung bis Berufshaftpflicht: Zahnärzte benötigen, wie viele Freiberufler, etliche Versicherungen. Vor allem mit Blick auf die IT-Systeme ist in vielen Praxen aber noch Luft nach oben.

Jetzt lesen

Was müssen Praxisinhaber konkret tun?

1. Bestandsaufnahme: Alle IT-Systeme, Software, Geräte und Netzwerke erfassen.

2. Zuständigkeiten klären: Interne IT-Verantwortliche benennen oder externen Dienstleister beauftragen.

3. Rechtslage prüfen: Welche Anforderungen gelten konkret für meine Praxis?

4. Technische und organisatorische Maßnahmen umsetzen

5. Dokumentation führen: Maßnahmen, Prüfungen, Schulungen nachvollziehbar dokumentieren.

6. Schulungen organisieren: Mitarbeiter mindestens jährlich sensibilisieren.

7. Regelmäßige Evaluation: Systeme und Risiken mindestens einmal pro Jahr überprüfen.

Fördermöglichkeiten und Unterstützung für Zahnarztpraxen

Die gute Nachricht: Viele der geforderten Maßnahmen sind schnell umsetzbar und erfordern kein extrem großes IT-Budget. Zudem gibt es teilweise auch regionale Förderprogramme (z. B. Digitalprämien), die Investitionen in IT-Sicherheit bezuschussen. Einige Kammern und KZVen bieten zudem Informationsveranstaltungen oder hilfreiche Leitfäden zur Umsetzung an.

Fazit: Prophylaxe gilt auch in der IT

Die IT-Sicherheitsrichtlinie ist kein bürokratischer Selbstzweck. Sie bietet Praxen einen strukturierten Fahrplan, um sich gegen aktuelle und zukünftige Cyber-Bedrohungen zu wappnen. Wer heute investiert, schützt morgen nicht nur Daten, sondern auch seine Praxis.