Infos für Zahnarztpraxen
Infos für Zahnarztpraxen
TI & Praxis-IT

IT-Sicherheitsrichtlinie für Zahnarztpraxen – Das Wichtigste auf einen Blick

Die Digitalisierung ist aus dem Praxisalltag nicht mehr wegzudenken: Patientenverwaltung, Abrechnung, Röntgenbilder und Kommunikation mit Laboren laufen längst digital. Damit wächst jedoch auch die Verantwortung, sensible Gesundheitsdaten zuverlässig zu schützen.
Erstellt am 04.12.2025
Ein Zahn mit einer künstlichen Ummantelung © viperagp – stock.adobe.com

Rechtzeitig mit Neuerungen befassen

Die aktualisierte IT-Sicherheitsrichtlinie wurde am 1. Juli 2025 veröffentlicht und trat am 2. Juli 2025 in Kraft. Neu eingeführte oder geänderte Anforderungen müssen ab dem 2. Januar 2026 umgesetzt werden. Praxen sollten sich daher rechtzeitig mit den Neuerungen und ihrer Einstufung nach Praxisgröße befassen, um vorbereitet zu sein.

Warum ist die Richtlinie wichtig?

Zahnarztpraxen verarbeiten besonders schützenswerte Gesundheitsdaten. Ein IT-Ausfall oder Datenleck kann genau diese Daten gefährden, und auch rechtliche und wirtschaftliche Folgen haben.

Die Richtlinie sorgt für ein einheitliches Sicherheitsniveau und unterstützt Praxen dabei, technische und organisatorische Risiken zu minimieren – unabhängig von ihrer Größe oder IT-Ausstattung.

Was ändert sich ab 2026?

Mit der überarbeiteten Version rückt der Faktor Mensch noch stärker in den Mittelpunkt. Neben technischen Anforderungen legt die Richtlinie besonderen Wert auf Schulung, Sensibilisierung und klare Handlungsabläufe im Ernstfall.

1. Schulung und Sensibilisierung

Alle Mitarbeitenden – einschließlich der Praxisleitung – müssen regelmäßig in IT-Sicherheit und Datenschutz geschult werden.
Ziel ist, dass jede Person im Team sicher mit IT-Systemen umgeht, Gefahren erkennt und richtig reagiert.

Warum das so wichtig ist:
Viele Vorfälle entstehen nicht durch komplexe Hackerangriffe, sondern durch menschliche Unachtsamkeit – etwa das Öffnen von Phishing-Mails, schwache Passwörter oder falsche Reaktionen im Notfall.

Darum gilt:

  • Neue Mitarbeitende müssen strukturiert eingearbeitet werden.
  • Das gesamte Team erhält mindestens jährlich Schulungen.
  • Die Praxisleitung trägt Verantwortung für gelebte Sicherheitskultur.
  • In größeren Praxen sind regelmäßige Erfolgskontrollen der Schulungen empfehlenswert.
  • Regelungen zum Einsatz von Fremdpersonal müssen festgelegt werden, z. B. externe Reinigungskräfte, IT-Techniker oder temporäre Kräfte
  • Überprüfung der Vertrauenswürdigkeit von Mitarbeitenden sollte erfolgen, z. B. durch Referenzen, Hintergrundinformationen oder Probearbeiten
  • Sicherheitsregeln gelten für alle Personen mit Zugriff auf Patientendaten oder IT-Systeme, auch temporäres Personal

2. Sicherer Umgang beim Ausscheiden von Mitarbeitenden

Ein oft unterschätztes Risiko ist das Ausscheiden von Mitarbeitenden.
Die Richtlinie schreibt vor, dass dieser Prozess geordnet und dokumentiert erfolgen muss.

Das bedeutet:

  • Sofortige Sperrung oder Löschung von Benutzerkonten und Zugängen
  • Rückgabe von Dienstgeräten, Schlüsseln und Ausweisen
  • Hinweis auf die Verschwiegenheitspflicht nach Beschäftigungsende
  • Nutzung von Checklisten, um alle Punkte nachzuhalten

Damit werden unbeabsichtigte oder unbefugte Zugriffe zuverlässig vermieden.

3. Weitere Neuerungen

Neben organisatorischen Aspekten wurden auch die technischen Anforderungen erweitert und konkretisiert – insbesondere im Bereich der Telematikinfrastruktur (TI), der Cloud-Nutzung und beim Notfallmanagement.

a) Anforderungen an die Telematikinfrastruktur (TI)

Die TI ist mittlerweile ein wichtiger Bestandteil des Gesundheitswesens. Ab 2026 gelten hier zusätzliche Sicherheitsmaßnahmen:

  • Regelmäßige Updates und sichere Konfiguration von Konnektor, Kartenlesegeräten, Praxisausweis (SMC-B) und elektronischem Heilberufsausweis (eHBA)
  • Das neue TI-Gateway ermöglicht den sicheren Zugriff auf die TI über den Highspeed-Konnektor, der durch einen zertifizierten Anbieter im Rechenzentrum betrieben wird. Diese Lösung ersetzt den Einbox-Konnektor in Ihrer Praxis.
  • Nur zertifizierte Anbieter des TI-Gateways dürfen genutzt werden

  • Zugangsdaten, Zertifikate und PINs sind vertraulich aufzubewahren

     

b) Nutzung von Cloud-Anwendungen – C5-Testat

Immer mehr Praxen nutzen Cloud-Dienste, z. B. für Datensicherung oder Praxissoftware. Ab 2026 gilt:

  • Nur Cloud-Anbieter mit gültigem C5-Testat (BSI) dürfen verwendet werden
  • Das Testat bestätigt, dass der Anbieter alle Sicherheitsanforderungen erfüllt (z. B. Zugriffsschutz, Verschlüsselung, Standort in der EU)
  • Praxen sollten sich das aktuelle C5-Testat schriftlich vorlegen lassen

  • Ohne C5-Testat dürfen Cloud-Anwendungen nicht zur Verarbeitung von Patientendaten genutzt werden

     

c) Notfallplan – richtig handeln im Ernstfall

Ein zentrales Element der Richtlinie ist der verbindliche Notfallplan, da bei kritischen IT-Vorfällen oft Stress und Zeitdruck herrschen. Das Team muss genau wissen, wie es reagiert.
Der Notfallplan sollte enthalten:

  • Klare Zuständigkeiten: Wer entscheidet, wer wird informiert?
  • Kontaktdaten auf Papier: Wichtige Telefonnummern, Kundennummern und Ansprechpartner des IT-Dienstleisters sollten griffbereit sein
  • Technische Sofortmaßnahmen:
    • Rechner vom Netzwerk trennen
    • Geräte herunterfahren
    • Internetverbindung trennen
    • IT-Dienstleister sofort kontaktieren
  • Meldung an Behörden:
    • Hackerangriff: Anzeige bei der Polizei
    • Datenschutzvorfall: Meldung innerhalb von 72 Stunden an die Aufsichtsbehörde (LDI NRW)
  • Dokumentation: Jeder Schritt vom Vorfall bis zur Wiederherstellung muss nachvollziehbar protokolliert werden

Regelmäßige Schulungen und kurze Übungen helfen dem Team, im Ernstfall sicher und routiniert zu handeln.

Alle Neuerungen im Detail finden Sie im neuen Merkblatt der KZBV.

Aufbau der Richtlinie – abgestuft nach Praxisgröße

Die IT-Sicherheitsrichtlinie ist in Anlagen gegliedert, die je nach Praxisgröße und Ausstattung gelten:

PraxisgrößeZu erfüllende
Anlagen		Beschreibung
Kleine Praxis (1–5 Mitarbeitende mit Datenzugriff)Anlage 1 + 5
(+ ggf. 4)		Grundanforderungen und TI-Sicherheit
Mittlere Praxis (6–20 Mitarbeitende)Anlage 1 + 2 + 5
(+ ggf. 4)		Erweiterte organisatorische und technische Vorgaben
Große Praxis (ab 21 Mitarbeitenden oder komplexer IT-Struktur)Anlage 1 + 2 + 3
+ 5 (+ ggf. 4)		Umfassende Sicherheits- und Managementpflichten
  • Anlage 4 gilt zusätzlich für Praxen mit medizinischen Großgeräten (z. B. Positronenemissionstomograph (PET), Computertomograph (CT), Linearbeschleuniger (LINAC) oder Magnetresonanztomograph (MRT, Dental-MRT)).

Hier gelangen Sie direkt zu den Anforderungen und Anlangen.
 

Unterstützung durch IT-Dienstleister und Softwareanbieter

Die Umsetzung der Richtlinie ist anspruchsvoll – Praxen müssen sie aber nicht allein bewältigen.

Viele Praxisverwaltungssystem-(PVS)-Anbieter und IT-Dienstleister bieten Unterstützung an, z. B. durch:

  • Sicherheitschecks der IT-Infrastruktur
  • Hilfe bei Dokumentationen, Netzwerk- und Notfallplänen
  • Einrichtung von Virenscannern, Firewalls, Backups und Update-Management
  • Schulungsmaterialien für Mitarbeitende

Sollte der eigene Anbieter keine ausreichende Unterstützung bieten, können sich Zahnarztpraxen jederzeit an zertifizierte IT-Dienstleister der KBV wenden:

Zertifizierte IT-Dienstleister der KBV (PDF)

Rückblick: Veranstaltung zum Thema Cybercrime

Am 26. November fand unsere Informationsveranstaltung „Cybercrime – Sicherheitsrisiken für Praxen“ statt.

Unter dem Motto „Cybercrime – Praxen im Fokus“ informierte Eric Dieden (Bundespolizei) über aktuelle Entwicklungen in der digitalen Kriminalität.
Er beleuchtete Themen wie:

  • Stärkung des Mindsets im Umgang mit digitalen Risiken
  • Angreiferperspektiven und Vorgehensweisen von Cyberkriminellen
  • Aktuelle Sicherheitsbedrohungen und Angriffsmuster im Gesundheitswesen
  • Kriminalitätsstatistiken und Fallzahlen aus dem Praxisumfeld

Im Anschluss folgte der Vortrag von Thomas Klug (IT-Sicherheitsexperte) mit dem Titel „Karies in der IT? – Was unbehandelt bleibt, tut später richtig weh“.
Er zeigte eindrucksvoll, wie IT-Schwachstellen entstehen, welche Rolle Awareness spielt und präsentierte praxisnahe Schadensfälle, die verdeutlichten, wie wichtig vorbeugende Maßnahmen sind.

Darüber hinaus gaben Frau Nicole Elias (Referentin Telematikinfrastruktur der KZV Nordrhein) und Dr. Thorsten Flägel (Vorstand der KZV Nordrhein) einen umfassenden Überblick über die aktualisierte IT-Sicherheitsrichtlinie und wertvolle Praxistipps zur Umsetzung.


Die Veranstaltung machte deutlich:

  • Cyberkriminelle nehmen Arzt- und Zahnarztpraxen gezielt ins Visier.
  • Die meisten Sicherheitsvorfälle entstehen durch menschliches Fehlverhalten.
  • Die IT-Sicherheitsrichtlinie ist ein zentrales Werkzeug, um Praxis, Team und Patientendaten wirksam zu schützen.

Wer die Richtlinie konsequent umsetzt, schafft Sicherheit auf allen Ebenen – technisch, organisatorisch und menschlich.

Sie hatten keine Gelegenheit, an der Veranstaltung teilzunehmen, oder möchten einzelne Inhalte noch einmal nachverfolgen? Kein Problem:

Unsere Aufzeichnung steht Ihnen hier zur Verfügung.
 

IT-Sicherheitsrichtlinie

Fazit

IT-Sicherheit ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess.
Die aktualisierte IT-Sicherheitsrichtlinie gibt Zahnarztpraxen einen klaren Rahmen, um technische, organisatorische und menschliche Faktoren in Einklang zu bringen.

Mit einem funktionierenden Notfallplan, regelmäßig geschultem Personal und der Unterstützung erfahrener IT-Dienstleister können Praxen die neuen Anforderungen bis 2026 sicher umsetzen – und das Vertrauen ihrer Patientinnen und Patienten langfristig stärken.