Zentrale Anforderungen der KBV IT-Sicherheitsrichtlinie nach §75b SGB V im Überblick. Pflichtdokumente, Prüfkriterien und digitale Umsetzung für Arztpraxen jeder Größe.
Die KBV IT-Sicherheitsrichtlinie wurde von der Kassenärztlichen Bundesvereinigung auf Grundlage von §75b SGB V erlassen. Sie definiert verbindliche Mindestanforderungen an die IT-Sicherheit in vertragsärztlichen und vertragspsychotherapeutischen Praxen. Seit dem Inkrafttreten am 1. Januar 2021 müssen alle Praxen die Vorgaben umsetzen — unabhängig von ihrer Größe.
Die Richtlinie verfolgt ein klares Ziel: Patientendaten und Praxis-IT vor Cyberangriffen, Datenverlust und unbefugtem Zugriff zu schützen. Angesichts der zunehmenden Vernetzung über die Telematikinfrastruktur (TI) ist das Thema IT-Sicherheit in der Arztpraxis wichtiger denn je.
Die Richtlinie fordert eine Reihe konkreter Dokumente und Nachweise. Diese Pflichtdokumente müssen aktuell und jederzeit vorlegbar sein:
| # | Dokument | Inhalt |
|---|---|---|
| 1 | Netzplan / Netzwerkdokumentation | Alle Geräte, IP-Adressen, Verbindungen, TI-Konnektor, Router, Switches |
| 2 | Backup-Konzept | Sicherungsintervall, Speicherort, Verantwortlichkeiten, Wiederherstellungstests |
| 3 | Passwortrichtlinie | Mindestlänge, Komplexität, Wechselintervall, Mehrfachnutzung |
| 4 | Fernwartungsregelung | Zugelassene Tools, Authentifizierung, Protokollierung, Freigabeprozess |
| 5 | Regelung für mobile Geräte | Smartphones, Tablets: Verschlüsselung, PIN, Fernlöschung, erlaubte Apps |
| 6 | Regelung für Wechseldatenträger (USB) | Erlaubte Geräte, Verschlüsselung, Scan-Pflicht, Freigabeprozess |
| 7 | Schulungsnachweise | Jährliche Mitarbeiterschulung zu IT-Sicherheit und Datenschutz |
| 8 | Verantwortlichkeiten | Benennung eines IT-Verantwortlichen, Kontaktdaten IT-Dienstleister |
Die KBV IT-Sicherheitsrichtlinie staffelt die Anforderungen in drei Stufen. Je mehr Personen in der Praxis auf Patientendaten zugreifen, desto umfangreicher sind die Pflichten:
Grundlegende Anforderungen: aktueller Virenschutz auf allen Geräten, regelmäßige Betriebssystem- und Software-Updates, verschlüsselte Internetverbindung, Firewall am Internetübergang, automatische Bildschirmsperre nach Inaktivität, tägliches Backup, sichere Passwörter und mindestens eine jährliche Mitarbeiterschulung zur IT-Sicherheit.
Zusätzlich zu den Basisanforderungen: ein dokumentierter Netzplan aller IT-Komponenten, Protokollierung administrativer Zugriffe auf Systeme, schriftliche Regelung der Fernwartung durch externe Dienstleister, Richtlinie für Wechseldatenträger und USB-Geräte sowie ein Notfallkonzept für IT-Ausfälle mit definierten Wiederanlaufzeiten.
Höchste Anforderungsstufe: Netzwerksegmentierung zur Trennung kritischer Systeme, Intrusion-Detection-Systeme, verschlüsselte interne Datenübertragung, erweiterte Protokollierung aller sicherheitsrelevanten Ereignisse, regelmäßige Penetrationstests und ein dokumentiertes IT-Sicherheitsmanagement mit klar definierten Rollen und Eskalationswegen.
Die Einhaltung der KBV IT-Sicherheitsrichtlinie kann durch mehrere Stellen überprüft werden:
Die Konsequenzen bei Verstößen sind erheblich: Die KV kann Auflagen erteilen und Nachfristen setzen. Bei Datenpannen drohen DSGVO-Bußgelder bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes. Cyberversicherungen können die Leistung verweigern, wenn grundlegende Anforderungen nicht dokumentiert waren. In besonders schwerwiegenden Faellen mit systematischen und wiederholten IT-Sicherheitsmaengeln koennen weitere aufsichtsrechtliche Konsequenzen folgen.
| Kriterium | Manuelle Dokumentation | Custodio |
|---|---|---|
| Zeitaufwand Ersteinrichtung | 20-40 Stunden | 2-4 Stunden |
| Vorlagen | Selbst recherchieren und erstellen | Praxisfertige KBV-Vorlagen vorbefüllt |
| Netzplan | Manuell in Visio oder Word | Automatische Erkennung und Visualisierung |
| Aktualität | Verfällt schnell, kein Reminder | Automatische Erinnerungen bei Ablauf |
| Versionierung | Dateiname_v3_final2.docx | Automatisch mit vollständigem Audit-Log |
| Prüfungsnachweis | Ordner zusammensuchen | Strukturiertes Exportpaket |
| Verknüpfung | Einzeldokumente ohne Bezug | Verknüpft mit VVT, TOM, DSFA, AVV |
| Preis | Kostenlos (+ Arbeitszeit) | Ab 49 EUR/Monat |
Mit Custodio dokumentieren Sie zentrale KBV-Anforderungen in einer Plattform — mit praxisfertigen Vorlagen, automatischen Fristen und Audit-Log. Pruefungsunterlagen nachvollziehbar vorbereiten.
Kostenlos beraten lassen Kostenlos DSE erstellenDie KBV IT-Sicherheitsrichtlinie ist eine verbindliche Vorgabe der Kassenärztlichen Bundesvereinigung nach §75b SGB V. Sie definiert Mindestanforderungen an die IT-Sicherheit in Arztpraxen und psychotherapeutischen Praxen, gestaffelt nach Praxisgröße.
Sie benötigen mindestens: einen aktuellen Netzplan, ein Backup-Konzept, eine Passwortrichtlinie, Regelungen zur Fernwartung, Vorgaben für mobile Geräte und Wechseldatenträger sowie Nachweise über jährliche Mitarbeiterschulungen.
Die Kassenärztlichen Vereinigungen können die Einhaltung im Rahmen von Stichproben prüfen. Zusätzlich können Datenschutz-Aufsichtsbehörden und die gematik bei Anbindung an die Telematikinfrastruktur IT-Sicherheitsnachweise anfordern.
Verstöße können zu Auflagen und Nachforderungen der KV führen. Bei Datenpannen drohen DSGVO-Bußgelder bis zu 20 Mio. Euro. In besonders schwerwiegenden Faellen mit systematischen IT-Sicherheitsmaengeln koennen weitere aufsichtsrechtliche Konsequenzen folgen.