Zum Inhalt springen
Fragen zur IT?0151 41431534
Zurück zur Übersicht
IT-Sicherheitsrichtlinie der KZBV: Was Zahnarztpraxen umsetzen müssen

IT-Sicherheitsrichtlinie der KZBV: Was Zahnarztpraxen umsetzen müssen

11. Juli 2026
Michael Jefremow
6 Min. Lesezeit

Viele Zahnarztpraxen wissen gar nicht, dass sie eine verbindliche IT-Sicherheitsrichtlinie erfüllen müssen – oder sie haben davon gehört, aber nie systematisch geprüft, ob ihre Praxis die Anforderungen tatsächlich einhält. Dabei ist die Sache eindeutig: Die IT-Sicherheitsrichtlinie der KZBV (Kassenzahnärztliche Bundesvereinigung) ist für jede Praxis verpflichtend, die an der vertragszahnärztlichen Versorgung teilnimmt. In diesem Artikel erkläre ich, was dahintersteckt, welche Anforderungen gelten und wo ich in der Praxis die häufigsten Lücken sehe.

Was ist die IT-Sicherheitsrichtlinie der KZBV?

Die gesetzliche Grundlage ist § 75b SGB V: Der Gesetzgeber hat die KZBV (für Zahnärzte) und die KBV (für Ärzte) verpflichtet, verbindliche Anforderungen zur IT-Sicherheit in der Praxis festzulegen – im Einvernehmen mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik). Die Richtlinie ist seit 2021 in Kraft und wird regelmäßig an die aktuelle Bedrohungslage angepasst.

Wichtig: Das ist keine Empfehlung, sondern eine Pflicht. Und sie gilt zusätzlich zur DSGVO – wer die Richtlinie umsetzt, hat automatisch auch einen großen Teil seiner Datenschutz-Hausaufgaben erledigt, aber die Richtlinie ersetzt die DSGVO nicht.

Für wen gilt was? Die drei Praxisgrößen

Die Richtlinie staffelt ihre Anforderungen nach Praxisgröße – gemessen an der Zahl der Personen, die ständig mit der Datenverarbeitung betraut sind:

KategorieTypische PraxisAnforderungen
Kleine PraxisEinzelpraxis mit wenigen MitarbeiternBasis-Anforderungen
Mittlere PraxisGrößere Praxis / GemeinschaftspraxisBasis + zusätzliche Anforderungen (u. a. App-Freigabeverfahren, erweiterte Netzwerk-Sicherheit)
Große Praxis / Praxis mit GroßgerätenMVZ, Praxen mit umfangreicher DatenverarbeitungAlle Anforderungen + eigene Vorgaben für Großgeräte

Für Praxen mit digitalem Röntgen, DVT oder anderen bildgebenden Großgeräten gelten eigene Zusatzanforderungen – etwa zur Netztrennung dieser Geräte. Und für die Anbindung an die Telematikinfrastruktur (TI-Konnektor und Kartenterminals) gibt es einen eigenen Anforderungsblock, der jede Praxis betrifft, denn ohne TI läuft heute kein eRezept und keine ePA.

Die wichtigsten Anforderungen im Überblick

Die Richtlinie umfasst Dutzende Einzelmaßnahmen. Das sind die Kernpunkte, die jede Praxis erfüllen muss:

Endgeräte & Software

  • Aktueller Virenschutz auf allen Praxisrechnern
  • Regelmäßige Updates für Betriebssystem, Praxissoftware und alle Programme – keine Rechner mit veralteten Windows-Versionen im Praxisnetz
  • Bildschirmsperre an allen Arbeitsplätzen (gerade am Empfang, wo Patienten mitschauen können)
  • Apps auf Praxis-Smartphones und -Tablets nur aus offiziellen Stores, keine Vermischung mit privaten Geräten ohne klare Regeln

Netzwerk

  • Firewall zwischen Praxisnetz und Internet
  • Gesichertes WLAN mit starker Verschlüsselung – und ein getrenntes Gäste-WLAN für Patienten, das keinen Zugriff auf das Praxisnetz hat
  • Netzwerksegmentierung: Medizingeräte, Praxisverwaltung und Gäste gehören nicht in dasselbe Netz

Daten & Dokumentation

  • Verschlüsselung mobiler Geräte und Datenträger – ein verlorener Praxis-Laptop ohne Verschlüsselung ist ein meldepflichtiger Datenschutzvorfall
  • Dokumentation der umgesetzten Maßnahmen und klarer Verantwortlichkeiten – bei einer Prüfung müssen Sie nachweisen können, was Sie umgesetzt haben
  • Geregelte Datensicherung: Patientendaten, Röntgenbilder und Abrechnungen müssen regelmäßig gesichert und die Wiederherstellung getestet werden (das fordert spätestens die DSGVO)

Telematikinfrastruktur

  • Der TI-Konnektor muss korrekt und sicher betrieben werden (Firmware aktuell, fachgerecht eingebunden)
  • Sichere Kommunikation über KIM für Befunde, eAU und Arztbriefe

Was passiert, wenn ich die Richtlinie nicht umsetze?

Sie möchten das für Ihr Unternehmen umsetzen?

Ich berate Sie kostenlos und unverbindlich – persönlich in Erfurt oder per Videocall.

Drei realistische Risiken:

  1. Beanstandungen: Die Umsetzung kann geprüft werden – wer nichts dokumentiert hat, steht bei einer Prüfung schlecht da.
  2. DSGVO-Bußgelder und Meldepflichten: Kommt es zu einem Datenleck und stellt sich heraus, dass verbindliche Sicherheitsmaßnahmen fehlten, wird es teuer. Gesundheitsdaten sind besondere Kategorien personenbezogener Daten – hier schauen Aufsichtsbehörden genau hin.
  3. Haftung und Praxisstillstand: Das größte Risiko ist praktischer Natur. Ein Ransomware-Angriff auf eine Praxis ohne getestete Backups bedeutet: keine Patientenakten, keine Röntgenbilder, keine Abrechnung. Praxen sind für Angreifer attraktive Ziele, weil Gesundheitsdaten wertvoll sind und der Handlungsdruck bei einem Ausfall enorm ist.

Die 5 häufigsten Lücken, die ich in Praxen sehe

Aus meiner Arbeit als IT-Dienstleister in Erfurt kenne ich die typischen Schwachstellen – sie ziehen sich durch fast alle kleinen Unternehmen mit sensiblen Daten, und Praxen bilden keine Ausnahme:

  1. Backup ohne Wiederherstellungstest: Es gibt eine Sicherung, aber niemand hat je geprüft, ob sie sich zurückspielen lässt. Ein Backup, das nicht getestet wurde, ist Hoffnung, kein Schutz.
  2. Ein Netz für alles: Röntgengerät, Empfangs-PC, privates Handy der Mitarbeiterin und Patienten-WLAN hängen im selben Netzwerk. Ein infiziertes Gerät gefährdet dann alles.
  3. Veraltete Systeme: Der Rechner am Röntgengerät läuft noch mit einem alten Windows, "weil die Software sonst nicht funktioniert". Genau solche Geräte gehören mindestens in ein isoliertes Netzsegment.
  4. Keine Dokumentation: Selbst wenn vieles richtig eingerichtet ist – ohne dokumentierte Maßnahmen und Zuständigkeiten lässt sich im Prüfungs- oder Schadensfall nichts nachweisen.
  5. Niemand fühlt sich zuständig: Die Praxissoftware betreut der Hersteller, den Konnektor "hat damals jemand eingerichtet", fürs Netzwerk gibt es niemanden. Genau in diesen Zuständigkeitslücken passieren die Vorfälle.

Wie Sie die Richtlinie praktisch umsetzen

Mein Vorgehen, wenn ich eine Praxis auf die KZBV-Richtlinie hin fit mache:

  1. Bestandsaufnahme: Welche Geräte, welche Software, welche Netzstruktur, welche TI-Komponenten sind vorhanden? Was ist dokumentiert?
  2. Abgleich mit der Richtlinie: Welche Anforderungen Ihrer Praxisgröße sind erfüllt, welche nicht? Daraus entsteht eine priorisierte Maßnahmenliste – zuerst das, was echte Risiken abstellt (Backup, Updates, Netztrennung), dann die Formalien.
  3. Umsetzung im laufenden Betrieb: Schrittweise und außerhalb der Sprechzeiten, damit die Praxis durchgehend arbeitsfähig bleibt.
  4. Dokumentation: Alle Maßnahmen werden prüfungssicher dokumentiert – das ist am Ende der Nachweis, der Sie schützt.
  5. Laufende Betreuung: IT-Sicherheit ist kein Projekt mit Enddatum. Updates, Monitoring und Backup-Kontrolle laufen danach kontinuierlich weiter.

Genau dieses Paket biete ich als IT-Betreuung für Zahnarztpraxen in Erfurt und Thüringen an – inklusive eines kostenlosen Praxis-IT-Checks, mit dem Sie in wenigen Minuten sehen, wo Ihre Praxis steht.

FAQ

Gilt die Richtlinie auch für kleine Einzelpraxen?

Ja. Die Basis-Anforderungen gelten für jede Praxis, die an der vertragszahnärztlichen Versorgung teilnimmt – unabhängig von der Größe. Kleinere Praxen müssen nur weniger Zusatzanforderungen erfüllen als große.

Reicht es, wenn mein Praxissoftware-Hersteller sich kümmert?

Nein. Der Hersteller betreut seine Software – aber die Richtlinie betrifft Ihre gesamte IT: Netzwerk, Endgeräte, WLAN, Backups, mobile Geräte, Dokumentation. Dafür braucht es jemanden, der die Infrastruktur als Ganzes verantwortet und sich bei Bedarf mit dem Hersteller-Support abstimmt.

Was kostet die Umsetzung?

Das hängt vom Ist-Zustand ab. Oft sind die wichtigsten Maßnahmen (Netztrennung, Backup-Konzept, Update-Management) mit überschaubarem Aufwand umsetzbar – teuer wird es meist erst, wenn jahrelang nichts gemacht wurde oder ein Vorfall eingetreten ist. Eine ehrliche Bestandsaufnahme zeigt schnell, was wirklich nötig ist.

Wie finde ich heraus, wo meine Praxis steht?

Starten Sie mit meinem kostenlosen Praxis-IT-Check: sechs Fragen zu Backup, TI, KZBV-Richtlinie, Verschlüsselung und Notfallplan – mit einer ehrlichen Ampel-Bewertung. Oder rufen Sie mich direkt an, dann schauen wir uns Ihre Praxis-IT gemeinsam an – gern außerhalb Ihrer Sprechzeiten.

IT-Probleme? Ich helfe. Kostenlosen IT-Check vereinbaren →

Brauchen Sie Unterstützung bei diesem Thema?

Ich bin Ihr IT-Partner vor Ort in Erfurt. Lassen Sie mich unverbindlich mit Ihnen darüber sprechen, wie ich Ihre IT sicherer und effizienter machen kann.

Haben Sie eine Frage?

Schreiben Sie mir direkt per WhatsApp – ich antworte schnellstmöglich.

Nachricht senden