Zum Inhalt

Grundlagen – Warum Ihre Praxis IT-Sicherheit braucht

Was unterscheidet eine Arztpraxis von anderen Unternehmen – und welche Grundprinzipien helfen, die IT-Sicherheit dauerhaft auf solidem Fundament zu halten?

Morgens um acht Uhr – und nichts geht mehr

Stellen Sie sich diese Situation vor: Sie öffnen morgens die Praxistür. Der Praxismanager sitzt schon am Computer – und schaut Sie mit besorgter Miene an. "Die Praxissoftware antwortet nicht. Der Server ist aus. Und der TI-Konnektor blinkt rot." Sie probieren es selbst. Nichts. Kein Zugriff auf Patientendaten, keine Rezepte, keine eRezepte. Und die erste Patientin sitzt schon im Wartezimmer.

Das klingt nach Horror-Szenario. Es ist aber Alltag in vielen Praxen – und es passiert regelmäßig: Nicht weil Ärzte schlecht arbeiten, sondern weil digitale Systeme ausfallen, gehackt werden oder nicht richtig gepflegt werden. Und wer als Arzt nicht auf seine Daten zugreifen kann, kann auch nicht arbeiten. Nicht für eine Stunde, nicht für einen halben Tag – sondern für unbestimmte Zeit. Die Patienten müssen abgesagt werden. Rezepte können nicht ausgestellt werden. Notfallpatienten, die Sie sehen könnten, müssen Sie wegschicken.

Das ist nicht nur ein praktisches Problem. Es ist auch ein rechtliches Problem. Denn wenn Ihre Praxis-IT unsicher ist und Patientendaten in fremde Hände geraten – nicht weil Sie das wollten, sondern weil Sie ein Ransomware-Opfer wurden, weil ein Update fehlte oder weil Ihr Passwort zu schwach war – dann sind Sie nach deutschem Strafrecht haftbar. Das ist keine Frage von Schuld oder nicht schuld, sondern von strafrechtlicher Verantwortung.

Warum IT-Sicherheit für Arztpraxen eine besondere Qualität hat

Eine Steuerberaterin mit Datenleck bekommt ein Bußgeld. Ein IT-Dienstleister mit Ransomware verliert vielleicht Kunden. Aber eine Arztpraxis mit Datenleck oder Systemausfall – das ist etwas anderes. Das sind nicht irgendwelche Daten, die geflossen sind. Das sind Patientendaten. Und Patientendaten sind nach deutschem Recht besonders geschützt.

Das Strafgesetzbuch, § 203, schützt Berufsgeheimnisse. Wenn Sie als Arzt oder Ärztin ein Patientengeheimnis unbefugt offenbaren – sei es durch aktives Handeln oder durch Unterlassen –, das ist eine Straftat. Keine Verwarnung, keine Ordnungswidrigkeit: Straftat, mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe.

Das ist nur eine Ebene. Daneben kommt die DSGVO – die Datenschutz-Grundverordnung. Sie sagt: Wer personenbezogene Daten verarbeitet, muss sie schützen. Technische Maßnahmen, organisatorische Maßnahmen, Verschlüsselung, Backups. Und bei Verstößen gibt es Bußgelder, die durchaus in fünfstelliger Höhe liegen können.

Und dann gibt es noch das Berufsrecht. Die KBV, die Kassenärztliche Bundesvereinigung, hat für alle Vertragsärzte eine IT-Sicherheitsrichtlinie erlassen. Diese Richtlinie ist nicht unverbindlicher Ratschlag – sie ist geltendes Recht mit Bußgeldandrohungen bis zu 100.000 Euro.

Das sind drei verschiedene Regelungsebenen. Sie ersetzen sich nicht gegenseitig. Sie stehen nebeneinander. Das heißt: Ihre Praxis muss gleichzeitig strafrechtliche Anforderungen, datenschutzrechtliche Anforderungen und berufsrechtliche Anforderungen erfüllen.

Merksatz: Schlechte IT in einer Arztpraxis ist nicht ein technisches Problem, das man irgendwann beheben könnte. Es ist eine Verletzung der ärztlichen Sorgfaltspflicht, die Konsequenzen nach sich zieht – strafrechtlich, datenschutzrechtlich und berufsrechtlich.

Das bedeutet nicht, dass Sie zum IT-Sicherheits-Experten werden müssen. Es bedeutet aber, dass Sie verstehen müssen, was Ihre Verantwortung ist und wie Sie sie erfüllen.

Was ist Resilienz?

In diesem Ratgeber sprechen wir nicht von Perfektion. Wir sprechen von Resilienz.

Resilienz bedeutet: Ihre Praxis funktioniert auch wenn Dinge schiefgehen. Nicht, weil nichts schieflaufen kann – sondern weil Sie vorbereitet sind. Weil Ihre Patientendaten nicht an einem einzigen Ort existieren. Weil Ihre wichtigsten Systeme Backups haben. Weil Sie nicht hilflos sind, wenn Ihr Computer gehackt wird oder die Praxissoftware abraucht.

Resilienz bedeutet auch: Sie erfüllen Ihre Pflichten nicht perfekt nach Lehrbuch, sondern praktisch und konsequent. Es ist nicht schlimm, wenn Sie nicht alle allerneuesten Sicherheitsstandards haben. Es ist schlimm, wenn Sie wissen, dass Sie etwas nicht richtig machen, und es trotzdem nicht ändern.

Merksatz: Resilienz heißt nicht: Keine Probleme. Resilienz heißt: Ich bin vorbereitet, wenn Probleme kommen – und ich kann damit umgehen.

Die vier Grundprinzipien dieses Ratgebers

Bevor wir in die konkreten Themen einsteigen, lohnt es sich, vier Prinzipien zu verstehen, die sich durch den gesamten Ratgeber ziehen.

Prinzip 1: Redundanz – Verlassen Sie sich nie auf ein einziges System

Redundanz bedeutet: Wenn etwas ausfällt, gibt es einen Ersatz. Nicht Panik, nicht Stillstand – nur ein Umschalten auf Plan B. In der Praxis heißt das: Ihre wichtigsten Patientendaten existieren an mehr als einem Ort. Ihre Praxissoftware lässt sich auch dann noch betreiben, wenn der Server temporär ausfällt. Sie haben einen definierten Notfallplan für den Fall, dass Ihre Praxis-IT stundenlang nicht erreichbar ist.

Redundanz ist nicht kompliziert – aber sie braucht Planung. Wer erst dann überlegt, wie die Praxis ohne ihre IT läuft, wenn gerade die IT zusammengebrochen ist, hat keinen Plan B.

Prinzip 2: Unabhängigkeit – Wer kontrolliert Ihre Infrastruktur wirklich?

Sie nutzen einen Praxis-Software-Anbieter, einen Cloud-Dienst für Backups, vielleicht einen IT-Dienstleister vor Ort. Diese Anbieter können ihre Geschäftsbedingungen ändern, den Dienst einstellen, den Preis erhöhen – oder in seltenen Fällen Ihr Konto sperren.

Das Prinzip der Unabhängigkeit bedeutet nicht, alle externen Dienste zu meiden. Es bedeutet: Verstehen Sie, wovon Sie abhängig sind. Stellen Sie sicher, dass Sie im Notfall an Ihre Daten herankommen – auch wenn ein Anbieter ausfällt. Ihre Patientendaten gehören Ihnen, nicht Ihrem IT-Dienstleister. Die Zugangsdaten zu kritischen Systemen sollten Sie kennen – nicht nur Ihr Praxismanager oder ein externer Techniker.

Prinzip 3: Worst-Case-Denken – Was passiert, wenn X morgen ausfällt?

Stellen Sie sich schlimmstmögliche Szenarien vor – nicht um Angst zu haben, sondern um vorbereitet zu sein. Was tun Sie, wenn Ihr Praxis-Software-Server nicht mehr hochfährt? Was tun Sie, wenn Ransomware Ihre Festplatte verschlüsselt? Was tun Sie, wenn der IT-Dienstleister unerwartet die Zusammenarbeit beendet? Diese Fragen haben konkrete Antworten – wenn Sie sie sich vorher gestellt haben.

Prinzip 4: Pragmatismus – Fertig ist besser als perfekt

IT-Sicherheit kann immer besser sein. Aber eine Maßnahme, die Sie heute konsequent umsetzen, schützt Sie mehr als ein perfektes System, das Sie nächstes Jahr irgendwann mal anfangen wollen. In diesem Ratgeber gilt: Lieber eine einfache Maßnahme, die Sie konsequent durchziehen, als eine aufwendige Lösung, die Sie nicht umsetzen.