Kleine Praxis (bis 5 Personen)

KBV-Anforderungen für kleine Praxen¶

Das Mindest-Set für Praxen bis 5 Personen¶

Eine kleine Arztpraxis – ein Arzt oder eine Ärztin, vielleicht ein bis zwei Medizinische Fachangestellte – braucht nicht weniger Sicherheit als eine große Praxis. Sie braucht nur weniger komplexe Infrastruktur. Die KBV-Anforderungen für kleine Praxen sind daher reduziert, aber nicht minimal.

Alle folgenden Anforderungen stammen aus Anlage 1 der KBV IT-Sicherheitsrichtlinie. Sie sind nicht optional. Sie sind konkrete, überprüfbare Maßnahmen, die bis Oktober 2025 implementiert sein müssen.

1. Einarbeitung neuer Mitarbeiter¶

Anforderung: Jeder neue Mitarbeiter muss zur Einhaltung von Datenschutz und Schweigepflicht verpflichtet werden – bevor er oder sie Zugang zu Patientendaten erhält.

Was konkret zu tun ist: - Eine schriftliche Verpflichtungserklärung nach Art. 32 Abs. 4 DSGVO aufbewahren. Sie muss enthalten: welche personenbezogenen Daten wird diese Person verarbeiten, was darf damit nicht getan werden, wie lange bleibt die Verpflichtung nach Kündigung bestehen? - Für medizinische Berufe zusätzlich: Eine förmliche Verpflichtung nach § 203 Abs. 4 StGB (Schweigepflicht). Diese muss vor dem ersten Zugang zu geschützten Daten unterschrieben sein. - Die Unterschriften aufbewahren – in der Personalakte oder einem separaten Datenschutz-Ordner.

Praktisch: Ein einseitiges Dokument ("Verpflichtung zur Vertraulichkeit und Einhaltung der Schweigepflicht") unterschreiben lassen – fertig. Das kostet 10 Minuten. Die KBV bietet Muster.

2. Austrittsverfahren¶

Anforderung: Wenn ein Mitarbeiter die Praxis verlässt, müssen seine Zugänge sofort gesperrt werden – nicht irgendwann, sondern am letzten Arbeitstag.

Was konkret zu tun ist: - Am letzten Tag oder sofort danach: - [ ] PVS-Zugang deaktivieren - [ ] E-Mail-Konto sperren oder weiterleiten - [ ] WLAN-Passwort ändern - [ ] Gegebenenenfalls eHBA oder andere Authentifizierungs-Token einsammeln - [ ] Firmeneigene Geräte (Laptop, Smartphone, Schlüssel) zurückfordern - Dokumentieren: Wann war der letzte Arbeitstag? Wann wurden Zugänge gesperrt?

Besonderheit für Ärzte: Der eHBA (elektronischer Heilberufsausweis) bleibt beim Arzt. Aber ein Praxis-Mitarbeiter, der geht, darf ihn nicht mitnehmen. Klären Sie, wer den eHBA verwaltet.

Praktisch: Eine Ein-Seiten-Checkliste "Offboarding" ausdrucken und beim Austritt abarbeiten.

3. Fremdpersonal-Regelung¶

Anforderung: Wenn externe IT-Dienstleister, Reparateure oder andere externe Personen Zugang zur Praxis-IT erhalten, muss das geregelt sein.

Was konkret zu tun ist: - Einen Auftragsverarbeitungsvertrag (AVV) mit Ihrem IT-Dienstleister haben – schriftlich, unterzeichnet - Der AVV regelt: welche Daten darf der IT-Dienstleister verarbeiten, wie behandelt er diese, welche Sicherheitsmaßnahmen trifft er? - Für andere externe Personen (Geräte-Reparateure): Eine einfache Verpflichtung auf Vertraulichkeit ist ausreichend - Dokumentieren: Wer hatte wann Zugang? Welche IT-Dienstleister sind im Einsatz?

Praktisch: Mit Ihrem IT-Dienstleister klären, ob ein AVV bereits existiert. Falls nicht, einen aufsetzen oder von der KBV ein Muster-AVV verwenden.

4. IT-Sicherheitsschulungen (Neu ab Oktober 2025)¶

Anforderung: Alle Mitarbeiter müssen mindestens einmal jährlich zu IT-Sicherheitsthemen geschult oder unterwiesen werden.

Was konkret zu tun ist: - Mindestens einmal jährlich ein Gespräch (30 Minuten) oder eine Schulung durchführen zu: - Phishing und verdächtige E-Mails - Passwort-Sicherheit - Umgang mit Patientendaten - Was tun bei Verdacht auf einen Sicherheitsvorfall? - Die Teilnahme dokumentieren (mit Unterschriften)

Praktisch: Im Januar ein kurzes Treffen mit allen Mitarbeitern. Der Arzt oder die Ärztin führt durch ein Gespräch über die wichtigsten Punkte. Teilnehmerliste unterschreiben. Fertig.

Alternativ: KBV stellt Online-Schulungs-Module zur Verfügung – zum Selbststudium.

5. Datensicherung (Backup)¶

Anforderung: Alle Patientendaten müssen regelmäßig gesichert werden – und die Sicherung muss funktionieren (getestet sein).

Was konkret zu tun ist: - Ein automatisiertes Backup-System einrichten für: - Das PVS (Patientendatenbank) - Alle lokal gespeicherten Patientendaten (Briefe, Befunde, Scans) - Alle anderen geschäftskritischen Dateien - Das Backup muss mindestens täglich erfolgen – besser mehrmals täglich - Das Backup muss außerhalb der Praxis aufbewahrt werden (Cloud oder externe Festplatte an anderem Ort) - Einmal im Quartal testen: Kann ich Daten aus dem Backup zurückspielen? Funktioniert es? - Dokumentieren: Welches Backup-System? Welcher Rhythmus? Wann wurde zuletzt getestet?

Praktisch: Mit dem IT-Dienstleister klären: Ist ein Backup eingerichtet? Wenn ja, Restore-Test machen. Wenn nein, eines einrichten (kostet typischerweise 100-200 Euro Initial, dann 20-50 Euro/Monat).

6. Virenschutz und Firewall¶

Anforderung: Alle Computer und Netzwerk-Geräte müssen durch Antivirus und Firewall geschützt sein.

Was konkret zu tun ist: - Auf jeden Praxis-Computer: Antivirus-Software installiert und aktiv. Das kann Windows Defender (kostenlos, bei Windows 10+ integriert) oder ein Drittanbieter sein. - Eine Firewall auf dem Router oder dem Netzwerk (bei modernen Routern integriert) - Alles sollte automatisch aktualisiert werden

Praktisch: Das ist meist schon vorhanden. Mit IT-Dienstleister klären: Ist Antivirus auf allen Computern aktiv? Ist die Firewall aktiviert?

7. Zugriffsschutz – Passwörter und Gerätesperren¶

Anforderung: Nur Berechtigte dürfen auf Patientendaten zugreifen. Das wird durch Passwörter und Gerätesperren durchgesetzt.

Was konkret zu tun ist: - Im PVS: Jeder Mitarbeiter hat einen eigenen Benutzer mit Passwort. Keine geteilten Accounts. - Starke Passwörter: Mindestens 8 Zeichen, gemischte Klein-/Großbuchstaben, Zahlen, Sonderzeichen. Oder: Passwort-Manager verwenden (Bitwarden, 1Password). - Windows-Anmeldung: Jeder Praxis-Computer braucht eine Benutzer-Anmeldung mit Passwort – kein Auto-Logon - Bildschirmsperre: Nach 15 Minuten Inaktivität sperrt sich der Bildschirm automatisch – Passwort erforderlich zum Entsperren - Keine Post-its: Passwörter nicht aufschreiben und ins Netzwerk hängen

Praktisch: Im Windows einmalig einrichten, dann ist es Standard. Im PVS mit dem Hersteller klären.

8. Mobile Geräte¶

Anforderung: Wenn Mitarbeiter auf mobilen Geräten (Laptops, Tablets, Smartphones) auf Praxis-Daten zugreifen, muss das sicher sein.

Was konkret zu tun ist: - Mobile Geräte müssen verschlüsselt sein (BitLocker auf Windows, FileVault auf Mac, Standard auf modernen Smartphones) - Wenn das Gerät verloren geht, muss es ferngelöscht werden können (Find My iPhone, Find My Device für Android) - Bildschirmsperre und Passwort müssen aktiv sein - WLAN nur über WPA2/WPA3, nicht über WEP oder offen

Praktisch: Moderne Geräte haben das meist schon integriert. Mit IT-Dienstleister klären: Sind die Verschlüsselung und Fern-Lösch-Funktionen aktiviert?

Praktische Umsetzungs-Schritte für kleine Praxen¶

Inventur (1 Tag): Was haben wir bereits? Welche Anforderungen sind erfüllt, welche nicht?
Dokumentation (2 Tage): Verpflichtungserklärungen für alle Mitarbeiter ausfüllen und unterschreiben lassen
Backup-Test (1 Stunde): Mit IT-Dienstleister klären und ggf. einrichten
Schulung (2 Stunden): Ein erstes Schulungs-Gespräch mit dem Team
Jährliche Nachpflege (2 Stunden/Jahr): Einmal im Jahr überprüfen und Schulung wiederholen

Kosten: Meist zwischen 0-1000 Euro (für externe Beratung oder Backup-Service). Die Anforderungen sind mit bestehenden Mitteln erfüllbar.