Zum Inhalt springen
← Blog IT-Sicherheit

KBV & KZBV IT-Sicherheitsrichtlinie:
Was Praxen 2026 umsetzen müssen

Die IT-Sicherheitsrichtlinie nach § 390 SGB V verpflichtet alle Vertragsärzte und Vertragszahnärzte zu konkreten IT-Sicherheitsmaßnahmen. Wir erklären die Anforderungen – aufgeschlüsselt nach Praxisgröße.

IT-Sicherheit in der Arztpraxis – Schutzschild und Schloss-Symbol vor Monitoren

Was ist die KBV IT-Sicherheitsrichtlinie?

Die IT-Sicherheitsrichtlinie nach § 390 SGB V (ehemals § 75b) wurde von der Kassenärztlichen Bundesvereinigung (KBV) gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Sie definiert verbindliche Mindestanforderungen an die IT-Sicherheit in Vertragsarztpraxen. Die Richtlinie muss jährlich überprüft und alle zwei Jahre aktualisiert werden.

Die KZBV (Kassenzahnärztliche Bundesvereinigung) hat eine entsprechende Richtlinie für Vertragszahnarztpraxen veröffentlicht. Beide Richtlinien sind inhaltlich weitgehend identisch und seit 2021 verpflichtend.

KBV – Aktualisierung 2025

Umfassende Neufassung in Kraft seit 01.04.2025. Neue Anforderungen müssen bis 01.10.2025 umgesetzt werden.

KZBV – Aktualisierung 2025

Neue Fassung veröffentlicht in zm Nr. 7/2025. In Kraft seit 02.07.2025. Umsetzungsfrist bis 02.01.2026.

Gilt das auch für meine Praxis?

Ja – ausnahmslos. Die Richtlinie gilt für alle Vertragsärzte und Vertragszahnärzte in Deutschland, unabhängig von Fachrichtung und Praxisgröße. Auch Einzelpraxen, Berufsausübungsgemeinschaften (BAG) und MVZ sind betroffen. Bei Verstößen drohen Sanktionen durch die KV/KZV – Bußgelder bis zu 100.000 € und Honorarkürzungen.

Anforderungen nach Praxisgröße

Die Richtlinie ist in 5 Anlagen gegliedert. Anlagen 1–3 unterscheiden nach Praxisgröße, Anlage 4 regelt medizinische Großgeräte und Anlage 5 die dezentralen TI-Komponenten. Größere Praxen müssen alle Anforderungen der kleineren Kategorien plus zusätzliche Maßnahmen umsetzen:

Kleine Praxis (1–5 IT-Arbeitsplätze)

Die meisten Einzelpraxen und kleine Gemeinschaftspraxen

  • Aktuelle Betriebssysteme – Nur vom Hersteller unterstützte Versionen (kein Windows 10 mehr)
  • Virenschutz – Aktueller Virenscanner auf allen Geräten, automatische Updates
  • Firewall – Mindestens eine Firewall zwischen Praxisnetz und Internet
  • Datensicherung – Regelmäßige Backups, getestet, getrennt aufbewahrt
  • Zugriffsschutz – Individuelle Benutzerkonten, sichere Passwörter, Bildschirmsperre
  • Verschlüsselung mobiler Geräte – Laptops, USB-Sticks, Smartphones verschlüsseln
  • Keine Adminrechte im Alltag – Mitarbeiter arbeiten mit eingeschränkten Benutzerkonten
  • WLAN absichern – WPA3/WPA2, kein offenes Gast-WLAN im Praxis-Netz
  • Apps nur aus offiziellen Stores – Keine Sideloading-Installationen
  • Grundlegende Schulung – Mitarbeiter sensibilisieren für Phishing und Social Engineering

Mittlere Praxis (6–20 IT-Arbeitsplätze)

Gemeinschaftspraxen, BAG und kleinere MVZ

Alle Anforderungen der kleinen Praxis plus:

  • Netzwerksegmentierung – Trennung von Praxis-Netz, TI-Netz, Gäste-WLAN und Medizingeräte-Netz
  • Protokollierung – Anmeldeversuche und Zugriffe auf Patientendaten dokumentieren
  • Berechtigungskonzept – Dokumentierte Zugriffsrechte pro Mitarbeiter und Rolle
  • Notfallplan – Dokumentiertes Vorgehen bei IT-Ausfall, Datenverlust oder Cyberangriff
  • Regelmäßige Updates – Patch-Management-Prozess mit dokumentierter Durchführung
  • VPN für Fernzugriff – Externer Zugriff nur über verschlüsselte VPN-Verbindung

Große Praxis & MVZ (über 20 IT-Arbeitsplätze)

MVZ, große Gemeinschaftspraxen, Praxiskliniken

Alle Anforderungen der mittleren Praxis plus:

  • Intrusion Detection / Prevention – Systeme zur Erkennung und Abwehr von Angriffen (IDS/IPS)
  • Verschlüsselung interner Kommunikation – Interne Datenübertragung verschlüsseln
  • Mobile Device Management (MDM) – Zentrale Verwaltung aller mobilen Geräte
  • Erweiterte Protokollierung – Zentrale Log-Auswertung und Aufbewahrung
  • Regelmäßige Penetrationstests – Sicherheitsüberprüfung der IT-Infrastruktur
  • IT-Sicherheitsbeauftragter – Dedizierte Verantwortlichkeit für IT-Sicherheit

Anlage 4 – Medizinische Großgeräte

Betrifft CT, MRT, DVT und andere medizinische Großgeräte mit Netzwerkanbindung. Regelt Netzwerksegmentierung, Firmware-Management und Zugriffsschutz für diese Geräte.

Anlage 5 – Telematikinfrastruktur

Anforderungen an die dezentralen TI-Komponenten: Konnektor, Kartenterminals, eHBA und SMC-B. Zertifikatsverwaltung, Firmware-Updates und physischer Zugriffsschutz.

Neu seit 2025: Diese Anforderungen sind hinzugekommen

Die Aktualisierung 2025 bringt wesentliche Neuerungen, die über die bisherigen technischen Maßnahmen hinausgehen:

  • Dokumentierte Mitarbeiterschulung: Schulungen zu Phishing, Social Engineering, USB-Sticks und BYOD sind nicht mehr nur empfohlen, sondern müssen durchgeführt und dokumentiert werden.
  • Cloud-Dienste: Anbieter müssen alle gesetzlichen Anforderungen des Gesundheitswesens nachweislich erfüllen. Keine Schatten-IT.
  • Physische Serversicherheit: Abschließbare Serverräume sind explizit gefordert – der Server darf nicht frei zugänglich stehen.
  • Software-Lebenszyklus: Systeme mit nicht mehr unterstütztem Betriebssystem (z.B. Windows 10 ab Oktober 2025) müssen ersetzt, aktualisiert oder vom Netzwerk getrennt werden.
  • Mobile Device Management: Strengere Regeln für mobile Geräte und Bring-Your-Own-Device (BYOD) in der Praxis.

Geräte-Sicherheit in der Praxis

Die Richtlinie macht konkrete Vorgaben für verschiedene Gerätetypen in der Praxis:

PCs & Arbeitsplätze

  • Aktuelles Betriebssystem (Win 11+)
  • Virenscanner mit automatischen Updates
  • Bildschirmsperre nach 10 Min.
  • Keine Admin-Rechte im Alltag
  • Festplattenverschlüsselung (BitLocker)

Smartphones & Tablets

  • Geräteverschlüsselung aktivieren
  • Bildschirmsperre mit PIN/Biometrie
  • Apps nur aus offiziellen Stores
  • Kein Jailbreak oder Root
  • Bei Verlust: Remote-Löschung

Netzwerk & Internet

  • Hardware-Firewall (UTM)
  • WLAN: WPA3 oder WPA2-Enterprise
  • Gäste-WLAN vom Praxis-Netz trennen
  • TI-Netz segmentieren
  • Router-Firmware aktuell halten

Medizingeräte & Röntgen

  • Separates VLAN für Medizingeräte
  • Firmware-Updates dokumentieren
  • Kein direkter Internetzugang
  • GDT/DICOM-Schnittstellen absichern
  • → Siehe: HELD Dental Partnerschaft

KZBV: Besonderheiten für Zahnarztpraxen

Die KZBV-Richtlinie ist inhaltlich weitgehend identisch mit der KBV-Richtlinie, enthält aber einige zahnärztliche Besonderheiten:

  • Röntgengeräte (DVT, OPG, Intraoral): IT-Anbindung über DICOM muss abgesichert werden. Bildarchivierung (PACS) in das Backup-Konzept einbeziehen. Aufbewahrungsfristen von 10+ Jahren beachten.
  • Praxissoftware-Schnittstellen: GDT-Verbindungen zwischen PVS und Röntgen, Labor-Software und Abrechnungssystemen müssen verschlüsselt oder zumindest im abgesicherten Netzwerksegment laufen.
  • Abrechnungsdaten (KZBV-Portal): Der Zugang zum KZV-Portal muss mit starker Authentifizierung gesichert werden. Abrechnungsdaten dürfen nicht unverschlüsselt auf lokalen Geräten liegen.
  • Labor-Kommunikation: Digitale Laboraufträge und Rückmeldungen über sichere Kanäle (KIM, verschlüsseltes Portal) – nicht per unverschlüsselter E-Mail.

Datenschutz: DSGVO trifft KBV-Richtlinie

Die IT-Sicherheitsrichtlinie und die DSGVO ergänzen sich. Während die KBV-Richtlinie technische Mindeststandards definiert, verlangt die DSGVO:

  • Verarbeitungsverzeichnis: Alle Systeme, die Patientendaten verarbeiten, dokumentieren
  • Auftragsverarbeitung (AVV): Vertrag mit jedem externen IT-Dienstleister, der Zugang zu Patientendaten hat
  • Datenschutz-Folgenabschätzung: Bei besonders sensiblen Verarbeitungen (Gesundheitsdaten = Art. 9 DSGVO)
  • Meldepflicht: Datenpannen innerhalb von 72 Stunden an die Aufsichtsbehörde melden
  • Löschkonzept: Wann werden Patientendaten gelöscht? Aufbewahrungsfristen beachten (10 Jahre nach Behandlungsende)

JPLOY Compliance-Check

Wir prüfen Ihre Praxis-IT auf Konformität mit der KBV/KZBV IT-Sicherheitsrichtlinie und geben Ihnen einen konkreten Maßnahmenplan. Deutschlandweit per Remote, Vor-Ort in München und Bayern.

Compliance-Check anfragen →

Checkliste: Die 10 wichtigsten Maßnahmen

1

Aktuelle Betriebssysteme auf allen Geräten (Windows 11, macOS Sequoia, iOS/Android aktuell)

2

Hardware-Firewall mit UTM-Funktionen (Sophos, WatchGuard, Securepoint) – keine FritzBox als alleinige Firewall

3

Datensicherung nach 3-2-1-Regel: 3 Kopien, 2 Medien, 1 extern/offline

4

Individuelle Benutzerkonten mit sicheren Passwörtern (min. 12 Zeichen) oder MFA

5

Netzwerksegmentierung: Praxis-IT, TI, Röntgen/Medizingeräte, Gäste-WLAN trennen

6

Verschlüsselung: BitLocker auf allen PCs, mobile Geräte verschlüsselt, VPN für Fernzugriff

7

Regelmäßige Updates: Betriebssystem, Praxissoftware, Firmware (Firewall, Konnektor, Röntgen)

8

Mitarbeiterschulung: Phishing erkennen, sichere Passwörter, USB-Sticks nur verschlüsselt

9

Notfallplan: Was tun bei Ransomware, Datenverlust, TI-Ausfall? Schriftlich dokumentiert.

10

AVV mit allen IT-Dienstleistern, Verarbeitungsverzeichnis aktuell, Datenschutzbeauftragter (ab 20 MA)

Häufige Fragen

Ist die KBV IT-Sicherheitsrichtlinie gesetzlich verpflichtend?

Ja. Die Richtlinie basiert auf § 390 SGB V (ehemals § 75b SGB V) und ist für alle Vertragsärzte verbindlich. Die KZBV hat eine entsprechende Richtlinie für Vertragszahnärzte. Bei Nichteinhaltung können die KV/KZV Sanktionen verhängen – bis hin zu Honorarkürzungen.

Reicht eine FritzBox als Firewall aus?

Nein. Eine FritzBox ist ein Consumer-Router mit grundlegender NAT-Firewall, aber keine UTM-Firewall. Für Praxen fordert die Richtlinie eine professionelle Firewall mit Intrusion Prevention, Content Filtering und VPN-Funktionalität. Empfohlene Lösungen: Sophos XGS, WatchGuard T45/T85, Securepoint RC-Serie oder LANCOM UF-Serie.

Brauche ich als kleine Zahnarztpraxis (2 Behandler) ein Berechtigungskonzept?

Für kleine Praxen (1-5 Arbeitsplätze) verlangt die Richtlinie individuelle Benutzerkonten mit sicheren Passwörtern und die Einschränkung von Admin-Rechten. Ein formales Berechtigungskonzept mit dokumentierten Rollen wird ab der mittleren Praxis (6+ Arbeitsplätze) explizit gefordert – aber auch für kleine Praxen empfohlen.

Was passiert, wenn ich die IT-Sicherheitsrichtlinie nicht einhalte?

Die KV/KZV kann bei Prüfungen Mängel feststellen und Maßnahmen anordnen. Im Ernstfall drohen: Honorarkürzungen, Auflagen zur Nachbesserung, und bei einem Datenschutzvorfall zusätzlich DSGVO-Bußgelder (bis zu 20 Mio. Euro oder 4% des Jahresumsatzes). Zudem kann die Cyber-Versicherung die Leistung verweigern.

Wie oft muss ich meine Mitarbeiter in IT-Sicherheit schulen?

Die Richtlinie verlangt eine Sensibilisierung der Mitarbeiter, ohne ein genaues Intervall festzulegen. Empfohlen wird mindestens eine jährliche Schulung zu Themen wie Phishing, Passwortsicherheit und Umgang mit Patientendaten. Neue Mitarbeiter sollten vor dem ersten Arbeitstag geschult werden.

Muss ich meine Röntgengeräte (DVT, OPG) in die IT-Sicherheit einbeziehen?

Ja. Röntgengeräte mit Netzwerkanbindung (DICOM, PACS) sind IT-Systeme im Sinne der Richtlinie. Sie müssen in einem separaten Netzwerksegment betrieben werden, Firmware-Updates regelmäßig eingespielt und die Bildarchivierung ins Backup-Konzept einbezogen werden. Unser Partner HELD Dental in Rosenheim unterstützt bei der geräteseitigen Konfiguration.

Brauche ich einen Datenschutzbeauftragten?

Einen externen oder internen Datenschutzbeauftragten benötigen Sie, wenn mindestens 20 Mitarbeiter regelmäßig mit Patientendaten arbeiten. Unabhängig davon müssen alle Praxen die DSGVO einhalten: Verarbeitungsverzeichnis, AVV mit IT-Dienstleistern, Datenschutzerklärung, Löschkonzept und Meldeprozess bei Datenpannen.

Kann JPLOY die IT-Sicherheitsrichtlinie für meine Praxis umsetzen?

Ja – das ist einer unserer Kernbereiche. Wir führen einen Compliance-Check Ihrer IT-Infrastruktur durch, erstellen einen Maßnahmenplan und setzen alle technischen Anforderungen um: Firewall, Backup, Netzwerksegmentierung, Verschlüsselung, Update-Management und Monitoring. Remote deutschlandweit, Vor-Ort in München und Bayern.