Für Arztpraxen, Zahnarztpraxen & MVZ
IT-Sicherheit nach KBV – ohne Stress für Ihre Praxis
Die IT-Sicherheitsrichtlinie der KBV (§75b SGB V) ist für jede Praxis Pflicht und wurde im Oktober 2025 noch einmal verschärft. Wir prüfen Ihre Praxis, schließen die Lücken und erstellen die geforderte Dokumentation. So kümmern Sie sich weiter um Ihre Patienten und wir uns um die Technik.

Was verlangt die KBV-IT-Sicherheitsrichtlinie?
Nach §75b SGB V muss jede Vertragsarztpraxis technische und organisatorische Mindeststandards erfüllen. Das ist kein freiwilliger Bonus: Ihre Kassenärztliche Vereinigung kann die Umsetzung verlangen, und im Schadensfall ist die Dokumentation Ihr Nachweis. Seit Oktober 2025 gehört auch die regelmäßige Schulung Ihres Teams dazu.
Die konkreten Vorgaben stehen in fünf offiziellen Anlagen der Richtlinie. Sie bauen aufeinander auf: Je mehr Personen bei Ihnen mit der Datenverarbeitung zu tun haben, desto mehr Anlagen gelten. Genau an dieser Staffelung richtet sich später auch der Umfang Ihres Pakets aus.
- Anlage 1: gilt für alle Praxen (bis 5 mit der Datenverarbeitung betraute Personen)
- Anlage 2: zusätzlich für mittlere Praxen (6 bis 20 Personen)
- Anlage 3: zusätzlich für große Praxen und MVZ (über 20 Personen)
- Anlage 4: für medizinische Großgeräte wie CT, MRT oder PET
- Anlage 5: für Komponenten der Telematikinfrastruktur (Konnektor, Kartenlesegerät)
Was bedeutet das konkret für Ihre Praxis?
In der Praxis sind das viele kleine, aber konkrete Schritte. Einzeln klingen sie unspektakulär, in Summe entscheiden sie aber darüber, ob ein Angriff Erfolg hat. Ein paar Beispiele:
- Zugangsdaten ändern, sobald Mitarbeitende die Praxis verlassen
- Regelmäßige Schulung des Teams zur eingesetzten IT (seit 2025 Pflicht)
- Schriftliche Vertraulichkeitsvereinbarungen mit externen Dienstleistern
- Sicherer Umgang mit E-Mails und verdächtigen Nachrichten
- Geregelte, regelmäßige Datensicherung nach festem Plan
- Schutz mobiler Geräte und Wechseldatenträger
Welches Paket passt zu Ihrer Praxis?
Welche Anlagen für Sie gelten, hängt allein von Ihrer Praxisgröße ab. Genau danach richten wir den Umfang aus, damit Sie nur das bezahlen, was Ihre Praxis wirklich braucht. Audit, Lückenschluss und prüffeste Dokumentation übernehmen wir dabei vollständig.
bis 5 Personen
Anforderungen nach Anlage 1
- Audit nach Anlage 1
- Priorisierter Maßnahmenplan
- Prüffeste Dokumentation
6–20 Personen
Anlage 1 + 2
- Zusätzlich Anlage 2
- Absicherung des Praxis-Netzwerks
- Mitarbeiter-Schulung inklusive
über 20 Personen
Anlage 1–3 (+ 4/5)
- Zusätzlich Anlage 3
- Großgeräte (Anlage 4) auf Wunsch
- Telematik-Komponenten (Anlage 5)
Und das Verzeichnis von Verarbeitungstätigkeiten?
Arztpraxen verarbeiten Gesundheitsdaten und müssen deshalb in aller Regel ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO führen.
Die Ausnahme für kleine Betriebe greift bei Gesundheitsdaten praktisch nicht, denn sie gilt nicht für die regelmäßige Verarbeitung besonders sensibler Daten. Wir erstellen oder aktualisieren dieses Verzeichnis gemeinsam mit Ihnen: verständlich, vollständig und prüffest. So sind Sie nicht nur bei der KBV-Richtlinie auf der sicheren Seite, sondern auch beim Datenschutz.
Häufige Fragen
Ist die KBV-IT-Sicherheitsrichtlinie wirklich Pflicht?
Ja. Nach §75b SGB V gilt sie verpflichtend für Vertragsarzt- und Vertragspsychotherapeutenpraxen. Der konkrete Umfang ist nach Praxisgröße gestaffelt.
Was hat sich 2025 geändert?
Durch das Digital-Gesetz kamen verpflichtende Maßnahmen zur Sensibilisierung und Schulung der Mitarbeitenden hinzu. Diese sind seit Oktober 2025 umzusetzen.
Müssen wir ein Verzeichnis nach Art. 30 DSGVO führen?
In aller Regel ja, da Ihre Praxis Gesundheitsdaten verarbeitet. Wir erstellen das Verzeichnis gemeinsam mit Ihnen.
Können Sie das remote umsetzen?
Vieles ja. Vor-Ort-Termine vereinbaren wir nur dort, wo sie wirklich nötig sind – und so, dass Ihr Praxisbetrieb ungestört bleibt.