IT-Sicherheitsrichtlinie und DSGVO

Die IT-Sicherheitsrichtlinie basiert auf § 75b des Fünften Sozialgesetzbuches (SGB V) und trat vor dem Hintergrund der zunehmenden Digitalisierung im Gesundheitswesen erstmals 2021 in Kraft. Sie enthält Anforderungen zur Gewährleistung der IT-Sicherheit von Praxen in der vertragsärztlichen und vertragszahnärztlichen Versorgung und bietet den Zahnarztpraxen eine Übersicht, was hinsichtlich der IT-Sicherheit in der Praxis zu beachten ist. 

Alle vertragsärztlich und vertragszahnärztlich tätigen Praxen sind verpflichtet, die in der IT-Sicherheitsrichtlinie enthaltenen technischen und organisatorischen Maßnahmen (TOM) zur Sicherstellung der IT-Sicherheit umzusetzen.

Um die Umsetzung für Zahnarztpraxen so einfach wie möglich zu machen, sind die Anforderungen in Anlagen nach Praxisgröße definiert:

• Anlage 1: Basis-Anforderungen (gelten für alle Praxen) (1–5 Personen)
• Anlage 2: Anforderungen für mittlere Praxen (6–20 Personen)
• Anlage 3: Anforderungen für Großpraxen (ab 21 Personen)
• Anlage 4: Anforderungen für medizinische Großgeräte (gelten für alle Praxen, die diese Geräte im Einsatz haben)
• Anlage 5: Anforderungen zur Telematikinfrastruktur (gelten für alle Praxen)

Der bzw. die Praxisinhaber sind für die Einhaltung der Anforderungen der IT-Sicherheitsrichtlinie verantwortlich. Zudem muss auch das Praxispersonal entsprechend eingebunden werden. 

Ziel der IT-Sicherheitsrichtlinie ist es, die Patientendaten wirksam vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Insoweit handelt es sich bei den Anforderungen um eine Konkretisierung der technisch-organisatorischen Maßnahmen, die die Rechte und Freiheiten der Patienten und Patientinnen sicherstellen sollen. 

Zu beachten sind beim Umgang mit Patientendaten die berufsrechtlichen Vorgaben, etwa zur ärztlichen Schweigepflicht, aber auch die EU-Datenschutzgrundverordnung. Die Datenschutz-Grundverordnung (DSGVO) ist eine europaweit einheitliche Regelung zum Schutz personenbezogener Daten, welche am 25. Mai 2018 in Kraft getreten ist. Auch Zahnarztpraxen sind verpflichtet, die Anforderungen der DSGVO umzusetzen, um die Vertraulichkeit, Integrität und Sicherheit der sensiblen Patientendaten zu gewährleisten.

Weil Daten zunehmend elektronisch erfasst und verarbeitet werden und weltweit die Cyberkriminalität zunimmt, kommt der IT-Sicherheit eine immer größere Bedeutung zu. 

Ohne eine gut aufgestellte IT-Sicherheit ist der Datenschutz nach der Datenschutz-Grundverordnung (DSGVO) daher nicht zu gewährleisten. 

Datenschutzleitfaden von KZBV und BZÄK

Die IT-Sicherheitsrichtlinie ist ein praxisorientierter Leitfaden, der die Anforderungen zur IT-Sicherheit für Zahnarztpraxen festlegt, um den Schutz von Patientendaten und Praxis-IT zu gewährleisten.

Die IT-Sicherheitsrichtlinie ist ein Auftrag des Gesetzgebers an die Kassenzahnärztliche Bundesvereinigung (KZBV) sowie die Kassenärztliche Bundesvereinigung (KBV). 

Die KZBV erstellt und aktualisiert sie unter anderem im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und orientiert sich an dessen Vorgaben und Empfehlungen. Die Anforderungen und Konkretisierungen für die Digitalisierung in Zahnarzt- bzw. Arzt Praxen wurden im Digitalgesetz (DigiG) durch die Bundesregierung festgelegt.

Nach dem ausdrücklichen Willen des Gesetzgebers – konkret geregelt in § 390 Absatz 1 SGB V – ist die Richtlinie mindestens einmal jährlich zu überprüfen und alle zwei Jahre an den aktuellen Stand der Technik sowie an bestehende Gefährdungslagen anzupassen. Ziel ist es, die IT-Sicherheit in den vertragszahnärztlichen und vertragsärztlichen Praxen fortlaufend auf einem dem Risiko angemessenen Niveau zu halten.

Die KZBV hat sich bei der Erstellung der Richtlinie dafür eingesetzt, dass die gesetzlichen Vorgaben für Zahnarztpraxen mit vernünftigem und vertretbarem Aufwand umsetzbar sind und die Anforderungen auf das tatsächlich notwendige Maß konzentriert werden.

Mit der neuen Version der IT-Sicherheitsrichtlinie, die am 1. Juli 2025 verabschiedet wurde und am 2. Juli 2025 in Kraft getreten ist, wurden insbesondere aktuelle technische Entwicklungen sowie gestiegene Anforderungen an die Cybersicherheit berücksichtigt. Die Neuerungen umfassen unter anderem:

1. Erweiterte Anforderungen zur Mitarbeitereinarbeitung
   • Laut Anlage 1 – Anforderungen für Praxen ist eine strukturierte Einarbeitung neuer Mitarbeitender verpflichtend. Standardisierte Prozesse und Sicherheitsinstruktionen müssen dokumentiert und nachweisbar sein.
2. Sensibilisierung durch Security Awareness
   • Schulungen und regelmäßige Sensibilisierungsmaßnahmen zu IT‑ und Informationssicherheit (z. B. Phishing-Simulationen) sind neu vorgeschrieben.
3. Verantwortlichkeiten bei Datensicherung
   • Benennung von Verantwortlichen für regelmäßige Datensicherungen sowie Pflicht zur Durchführung und Dokumentation von Wiederherstellungstests.
4. Striktere Anforderungen an Updates und Support-Ende
   • Zeitnahe Installation von Updates zwingend.
   • Betriebssysteme oder Software ohne Sicherheitsupdates müssen abgeschaltet, ersetzt oder vom Netz getrennt werden (z. B. Support-Ende für Windows 10 ab 14. Oktober 2025).
5. Telematikinfrastruktur:
   • Neue Anforderungen bei der Nutzung des TI-Gateway.

Eine Übersicht aller Anforderungen und Neuerungen finden Sie unter:

• Infoseite der KZBV zur IT-Sicherheitsrichtlinie
• IT-Sicherheitsrichtlinie nach § 390 SGB V
• Praxisinformation: Die IT-Sicherheitsrichtlinie: Was ist neu? (Juli 2025)

Die neuen Anforderungen müssen bis spätestens 2. Januar 2026 vollständig umgesetzt werden. Folgende Schritte helfen beim strukturierten Einstieg:

1. Bestandsaufnahme der vorhandenen IT-Infrastruktur
2. Risikobewertung und Sicherheitslückenanalyse
3. Erstellung oder Anpassung eines IT-Sicherheitskonzepts
4. Mitarbeiterschulungen planen und durchführen
5. Geeignete IT-Dienstleister einbinden (sofern notwendig)
6. Dokumentation aller Maßnahmen

Achtung: Wenn Ihr bisheriger IT-Dienstleister nicht alle Anforderungen abdecken kann, empfiehlt sich ein Blick in die Liste der zertifizierten Dienstleister.

• Liste der zertifizierten Dienstleister (PDF)

Idealerweise sollte die gesamte IT-Betreuung aus einer Hand erfolgen, um Supportprobleme und unnötiges „Pingpong“ zwischen verschiedenen Dienstleistern zu vermeiden.

Patienten müssen über die Verarbeitung ihrer Daten informiert werden, z.  B. per Aushang im Wartezimmer oder durch ausgehändigte Informationsblätter. Eine Unterschrift des Patienten ist nicht erforderlich, jedoch sollte im Praxisverwaltungssystem dokumentiert werden, dass Sie den Patienten über den Datenschutz aufgeklärt haben.

• Ausfüllbeispiel der Zahnärztekammer Nordrhein
• Vorlage der Zahnärztekammer Nordrhein

Ein Auftragsverarbeitungsvertrag ist erforderlich, wenn eine Zahnarztpraxis externe Dienstleister beauftragt, die Zugriff auf personenbezogene Daten haben – z. B. IT-Dienstleister, Abrechnungszentren oder Cloud-Dienste.
Der AVV regelt, dass diese Dienstleister die Daten nur im Auftrag der Praxis und unter Einhaltung der DSGVO verarbeiten. Den AVV erhalten Sie in der Regel automatisch von Ihrem IT-Dienstleister. Prüfen Sie, ob dieser vorliegt.

• Infoblatt der Zahnärztekammer Nordrhein

Eine Datenschutz-Folgenabschätzung ist nötig, wenn in der Praxis ein besonders hohes Risiko für die Rechte der Patienten durch die Datenverarbeitung besteht – z. B. bei neuen Technologien, Videoaufnahmen oder umfassender digitaler Datenverarbeitung beispielsweise in der Cloud.
Die DSFA prüft vorab, welche Risiken bestehen und welche Schutzmaßnahmen getroffen werden müssen, um diese zu minimieren.

• Infoblatt der Zahnärztekammer Nordrhein

Für bestimmte Datenverarbeitungen, z.  B. bei Recall-Systemen oder bei einer Datenweitergabe, sollte eine Einwilligung eingeholt und dokumentiert werden. Diese muss den Hinweis enthalten, dass Patientinnen und Patienten ihre Einwilligung formlos und jederzeit widerrufen können.

• Vorlage Patienteneinwilligung Behandlungsverhältnis

Dieses Dokument muss alle Prozesse beschreiben, bei denen personenbezogene Daten verarbeitet werden – einschließlich der technischen und organisatorischen Maßnahmen (TOM), die ergriffen wurden, um den Schutz dieser Daten zu gewährleisten. Des Weiteren ist zu dokumentieren, welche Daten aus rechtlichen Gründen weitergeleitet werden. 

• Ausfüllbeispiel der Zahnärztekammer Nordrhein
• Vorlage der Zahnärztekammer Nordrhein

Hinweis: Dieses Dokument sollten Sie immer zusätzlich in Papierform vorliegen haben. Bei einem Datenschutzvorfall ist in der Regel der Zugriff auf digitale Dokumente beispielsweise aufgrund von Verschlüsselung nicht mehr möglich. Bei einem Datenschutzvorfall muss dieses Dokument der Aufsichtsbehörde zur Prüfung vorgelegt werden. Wichtig daher: mindestens einmal jährlich prüfen und bei Bedarf aktualisieren. 

• Webseiten von Praxen müssen verschlüsselt sein (https), wenn z. B. über ein Kontaktformular Daten erhoben und weitergeleitet werden oder externe Links vorhanden sind.
• Die Datenschutzerklärung auf Ihrer Webseite muss vorhanden und jederzeit innerhalb von zwei Klicks erreichbar sein.

Mehr Einzelheiten und Informationen zu weiteren Datenschutzthemen, z. B. zu Aufbewahrungsfristen, Datenschutzbeauftragten und das Recht auf Löschung, sowie auch Musterdokumente finden Sie auf der Seite der Zahnärztekammer Nordrhein.