Die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) legt verbindlich fest, welche technischen und organisatorischen Schutzmaßnahmen jede vertragsärztliche und psychotherapeutische Praxis umsetzen muss. Sie konkretisiert den allgemeinen Datenschutz nach Art. 32 DSGVO und übersetzt ihn in praxisnahe Vorgaben: sichere Passwörter, regelmäßige Updates, Zugriffsschutz, Protokollierung, Datensicherung, Schulungen, sichere E-Mail-Kommunikation u. v. m.

Damit wird sichergestellt, dass der Schutz sensibler Patientendaten nicht dem Zufall überlassen bleibt.

Alle Praxen – unabhängig von Größe oder Fachrichtung – müssen bis dahin alle relevanten Maßnahmen umgesetzt und dokumentiert haben. Die KBV gewährt keine Übergangsfrist: Bei Prüfungen oder Vorfällen muss die Praxis sofort nachweisen, dass sie die Anforderungen erfüllt.

Alle Vertragsärztinnen, Vertragsärzte und Psychotherapeut:innen, die an der vertragsärztlichen Versorgung teilnehmen.

Egal ob Einzelpraxis, Berufsausübungsgemeinschaft oder MVZ – jede Einheit ist verpflichtet, ein angemessenes IT-Sicherheitsniveau nachzuweisen. Auch externe IT-Dienstleister müssen nachweislich nach denselben Sicherheitsstandards arbeiten.

Offiziell droht derzeit keine „Honorarkürzung“.

Aber: Bei Datenschutzvorfällen oder technischen Ausfällen prüft die Aufsichtsbehörde, ob die Richtlinie umgesetzt wurde.

Fehlen Nachweise, drohen Bußgelder nach DSGVO (bis 4 % des Jahresumsatzes), Haftungsansprüche und im schlimmsten Fall ein vorübergehender Praxisstillstand.

Auch Versicherungen können Leistungen verweigern, wenn grobe Fahrlässigkeit vorliegt.

Kurz gesagt: Nicht-Umsetzen ist deutlich teurer als jede präventive Maßnahme.

• Kein dokumentiertes Patch-Management
• Fehlende oder veraltete Sicherheitsrichtlinien
• Keine regelmäßige Datensicherung / keine Wiederherstellungstests
• Unzureichende Zugriffskontrollen oder veraltete Benutzerkonten
• Mitarbeiter ohne Awareness-Schulung
• Offene E-Mail-Kommunikation ohne Verschlüsselung
• Fehlende Nachweise über IT-Dienstleister (AV-Verträge)

Diese Punkte sind genau die, die Prüfer und Versicherer zuerst ansprechen – und sie lassen sich mit uns rasch schließen.

Die KBV selbst überwacht nicht aktiv jede Praxis, aber sie kann bei auffälligen IT-Vorfällen oder Datenschutzverletzungen Unterlagen anfordern.

Zudem kontrollieren Datenschutzbehörden, Berufsgenossenschaften und Versicherer zunehmend, ob die KBV-Richtlinie eingehalten wird.

Wer keine Dokumentation vorlegen kann, steht bei einer Prüfung sofort im Risiko.

Wir bieten ein komplettes Praxis-Sicherheitskonzept:

• Schnellcheck & Gap-Analyse – wir prüfen Ihren Status gegenüber der Richtlinie.
• Umsetzungsplan & Maßnahmenpaket – wir schließen die Lücken mit klaren Prioritäten.
• Mitarbeiterschulung & Awareness-Kampagne – Pflichtbestandteil der Richtlinie.
• Nachweis- und Dokumentationspaket – audit-fähig für Aufsichtsbehörden und Versicherer.
• Regelmäßige Updates & Betreuung – damit Sie dauerhaft compliant bleiben.

So sparen Sie Zeit, Kosten und Nerven – während wir Ihr Haftungsrisiko minimieren.

Dann kommt es auf Sekunden an:

Haben Sie Backups, Notfallplan und Meldeverfahren vorbereitet?

Können Sie nachweisen, dass Sie alle Pflichtmaßnahmen umgesetzt haben?

Wenn ja, reduziert das Ihr Haftungsrisiko drastisch – und die Praxis kann schnell weiterarbeiten.

Ohne Vorbereitung droht hingegen Stillstand, Datenverlust und Regress.

Wir erstellen mit Ihnen ein individuelles Notfallkonzept und übernehmen im Ernstfall auch die Koordination der Meldung an KV, Datenschutzbehörde und ggf. Gematik.