Zum Inhalt

Teil 7: KBV IT-Sicherheitsrichtlinie

Die KBV IT-Sicherheitsrichtlinie ist nicht optional. Sie ist eine gesetzliche Anforderung mit Bußgeld-Konsequenzen. Aber sie ist auch praxisnah und machbar.

Was ist die KBV IT-Sicherheitsrichtlinie?

Die "Richtlinie zur Sicherheit und zum Datenschutz sowie zum Schutz des Verbrauchervermögens in Arztpraxen, Zahnarztpraxen und Psychotherapie-Praxen" – so der offizielle Name – ist eine Regelwerk der Kassenärztlichen Vereinigung (KBV), das IT-Sicherheit für niedergelassene Ärzte, Zahnärzte und Psychotherapeuten vorschreibt.

Rechtsgrundlage: § 390 SGB V (Sozialgesetzbuch). Diese Norm beauftragt die KBV, Richtlinien zu erlassen, die die Sicherheit und den Datenschutz in Vertragsarztpraxen regeln.

Gelber im April 2025 überarbeitet, ab Oktober 2025 vollständig verpflichtend: Die KBV hat die Richtlinie 2025 grundlegend überarbeitet. Die neue Fassung tritt Oktober 2025 in Kraft. Danach müssen alle Vertragsärzte und -zahnärzte die neuen Anforderungen erfüllen. Die Übergangsfrist von sechs Monaten erlaubt, bestehende Systeme anzupassen – aber nicht, die Anforderungen zu ignorieren.

Für wen gilt die Richtlinie?

Gilt für: - Alle niedergelassenen Vertragsärzte (Allgemeinmedizin, Fachärzte) - Alle Vertragszahnärzte - Alle Vertragstherapeuten (Psychotherapeuten, Verhaltenstherapeuten) - Alle Praxen, die mit den Krankenkassen abrechnen

Gilt nicht für: - Privatärzte (die nicht mit Krankenkassen abrechnen) – aber: Die KBV-Richtlinie ist ein guter Referenzrahmen auch für sie - Kliniken und Krankenhäuser (die haben andere Regelwerke)

Besonderheit: Zahnärzte und Psychotherapeuten unterliegen zusätzlich ihren eigenen Kammer-Regelungen, die aber inhaltlich ähnlich sind.

Wenn Sie als Arzt oder Zahnarzt eine Praxis betreiben und mit Krankenkassen abrechnen, gilt diese Richtlinie für Sie.

Staffelung nach Praxisgröße

Die KBV stellt Anforderungen nicht als "one size fits all". Die Richtlinie unterscheidet drei Kategorien nach Praxisgröße und Infrastruktur:

Kleine Praxen (bis 5 Personen): - Grundanforderungen zu Passwort-Verwaltung, Datensicherung, Zugriffskontrolle - Vereinfachte Anforderungen, aber nicht weniger wichtig - Typischerweise: Ein Arzt mit 1-4 Mitarbeitern, einfache Netzwerk-Infrastruktur

Mittlere Praxen (6-20 Personen): - Alle Anforderungen der kleinen Praxis plus zusätzliche Anforderungen - Netzwerk-Segmentierung (Trennung von Medizingeräten, TI, Praxis-IT) - Schriftliche IT-Sicherheitsrichtlinie (eigene Policy-Dokumente) - Formale Protokollierung von Zugriffen - Typischerweise: Ein Arzt mit 5-20 Mitarbeitern, eventuell mehrere Ärzte in einer Gemeinschaftspraxis

Große Praxen (über 20 Personen oder medizinische Großgeräte): - Alle Anforderungen der mittleren Praxis plus: - Dedizierter IT-Sicherheitsbeauftragter (intern oder extern) - Regelmäßige Penetrationstests (externe Sicherheitsprüfungen) - Formales ISMS (Information Security Management System) - Typischerweise: Mehrere Ärzte, Gemeinschaftspraxen, oder Praxen mit CT/MRT/Labor-Automation

Sanktionen bei Nichterfüllung

Die KBV Richtlinie ist nicht optional. Das wird durch Sanktionen unterstrichen:

Bußgelder: Bis zu 100.000 Euro bei Verstößen gegen die Richtlinie Honorarkürzungen: Die KBV kann Honorare kürzen oder aussetzen Ausschluss: Im schlimmsten Fall kann eine Praxis aus dem Netzwerk der Vertragsärzte ausgeschlossen werden

Diese Konsequenzen sind nicht theoretisch. Die KBV überprüft Compliance immer stärker. Digitalisierung in Gesundheitsberufen wird kontrolliert. Wenn ein Sicherheitsvorfall bekannt wird – Ransomware, Datenverlust, Datenpanne – überprüft die KBV, ob die Richtlinien-Anforderungen erfüllt waren. Waren sie nicht, folgen Konsequenzen.

Wichtig: Auch die Datenschutzbehörde prüft – unabhängig von der KBV. Ein Verstoß gegen die IT-Sicherheitsrichtlinie ist oft auch ein Verstoß gegen DSGVO-Anforderungen (Sicherheitsmaßnahmen nach Art. 32 DSGVO). Das kann zu zusätzlichen Bußgeldern der Datenschutzbehörde führen – bis zu 20 Millionen Euro oder 4% des Umsatzes.

Das Wichtigste: KBV stellt Unterstützung bereit

Die gute Nachricht: Die KBV bietet Unterstützung. Es sind nicht einfach abstrakte Anforderungen, sondern es gibt konkrete Hilfsmittel:

  • Checklisten für kleine, mittlere und große Praxen
  • Musterdokumente für Verpflichtungserklärungen, Policies, Verarbeitungsverzeichnisse
  • Schulungs-Materialien für Mitarbeiter
  • Beratungs-Kontakte zu IT-Sicherheitsexperten

Diese Materialien sind kostenlos und finden sich auf der KBV-Website. Sie sind ein solider Startpunkt.

Checkliste: Die KBV-Richtlinie verstehen

  • Ich kenne die Anforderungen, die für meine Praxisgröße gelten.
  • Ich habe die Muster-Dokumente der KBV heruntergeladen (Checklisten, Verpflichtungserklärungen, Policies).
  • Mein IT-Dienstleister kennt die KBV-Anforderungen.
  • Ich weiß, welche Sanktionen bei Nichterfüllung drohen.
  • Ich habe einen Plan, bis Oktober 2025 die neuen Anforderungen umzusetzen.