KBV-IT-Sicherheitsrichtlinie 2025: Was Praxen jetzt tun müssen

Die KBV hat mit der neuen IT-Sicherheitsrichtlinie die Anforderungen an den Datenschutz und die Cyber-Resilienz in niedergelassenen Praxen verschärft. Ziel ist es, die Sensibilität des Personals zu steigern und technische wie organisatorische Sicherheitsvorkehrungen zu verbessern. Eine zentrale Neuerung: sämtliche Mitarbeitenden der Praxis – unabhängig von Position oder Einsatz – müssen in IT-Sicherheit geschult werden.

Wer ist betroffen?
Die Anforderungen gelten für alle Vertragsärzt:innen und Psychotherapeut:innen mit Verbindlichkeit auch auf Mitarbeiterebene. Die Praxisgröße bestimmt den Umfang der Anforderungen:

• Kleine Praxen: bis zu 5 Personen mit datenverarbeitendem Zugang
• Mittlere Praxen: 6 bis 20 Personen
• Große Praxen: über 20 Personen oder Praxen mit besonderen Geräten (z. B. CT, MRT) oder besonderen Verarbeitungsanforderungen (HÄVBW)

Die Richtlinie trat bereits am 1. April 2025 in Kraft und muss bis zum 1. Oktober 2025 umgesetzt sein.

Wichtig: Die Nichtumsetzung zieht laut aktuellen Informationen keine Honorarkürzung oder Bußgelder durch die KBV nach sich. Dennoch steigt das Risiko für datenschutzrechtliche Sanktionen oder Sicherheitsvorfälle erheblich.

Damit du ein fundiertes Verständnis hast, hier sind die wichtigsten rechtlichen Bezüge:

Datenschutz-Grundverordnung (DSGVO)

Nach Art. 32 DSGVO müssen Verantwortliche geeignete technische und organisatorische Maßnahmen (TOM) treffen, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Das schließt Schulungen und Sensibilisierung des Personals ein.

Außerdem verlangt Art. 24 DSGVO die Rechenschaftspflicht („accountability“): Du musst nachweisen können, dass du die DSGVO-Anforderungen tatsächlich umgesetzt hast – und das schließt Dokumentation und Schulungsmaßnahmen ein.

§ 75b-SGB V (bei Arztpraxen)

Bei vertragsärztlicher Versorgung kommen zusätzlich bundesspezifische Vorschriften ins Spiel: etwa Anforderungen an IT-Sicherheit auf Grundlage von Sozialgesetzgebung und Vereinbarungen mit Kassenärztlichen Vereinigungen. Die KBV-Richtlinie konkretisiert, wie Praxen auf dieser Vertragsebene ihre Sicherheitspflichten gestalten sollen.

IT-Sicherheitsgesetz / BSI-Grundschutz / ISO 27001 (als Orientierung)

Zwar gelten diese Normen nicht unmittelbar flächendeckend für jede Arztpraxis, aber sie dienen oft als Maßstab in Audits oder bei Gutachter Bewertungen. Wer in der Praxis nach „Stand der Technik“ fragt, kann sich an etablierten Standards orientieren.

Kurz gesagt: Die neue KBV-Richtlinie verstärkt gesetzliche Anforderungen und macht die Schulung von Mitarbeitenden zu einem Pflichtbestandteil der Sicherheitsstrategie.

Ein richtig gestaltetes Training sollte sowohl technische als auch organisatorische Aspekte adressieren und idealerweise modular aufgebaut sein. Hier sind die Kernelemente:

Pflichtmodule für alle Mitarbeitenden

• Grundbegriffe der IT-Sicherheit (Phishing, Social Engineering, Passwort Hygiene)
• Richtiger Umgang mit sensiblen Daten, Patientenakten und Zugriffskontrollen
• Erkennen und Melden von Sicherheitsvorfällen
• Umgang mit mobilen Endgeräten, USB-Sticks und Cloud-Diensten
• Nutzung von E-Mail, VPN, Fernzugriffen unter sicheren Bedingungen

Vertiefungsmodule je nach Rolle

• Administratorinnen / IT-Verantwortliche: Firewall, Netzsegmentierung, Patch-Management
• Leitung / Management: Governance, Risikomanagement, Reporting
• Labor, Diagnostik oder Bildgebung: sichere Verarbeitung großer Datensätze, Schnittstellen

Prüfungs- oder Kontrollmechanismen

• Kleine Tests oder Quiz am Ende jedes Moduls
• Dokumentation: wer hat wann welches Modul absolviert
• Auffrischung: jährliche oder halbjährliche Updates

Formate und Tools

• E-Learning-Plattformen (on-demand)
• Präsenzschulungen oder Workshops
• Gamification-Elemente (Simulatoren, interaktive Szenarien)
• Awareness-Kampagnen (Wöchentliche Tipps, Poster, Simulation von Phishing)

Hier ist ein pragmatischer Fahrplan, um die Vorgabe zu erfüllen:

Schritt 1: Status quo analysieren

• Erstelle eine Übersicht aller Mitarbeitenden, inklusive ihrer Aufgaben und IT-Zugänge
• Führe eine Risikoanalyse durch: Wo sind Schwachstellen (z. B. Bring-your-own-Device, Homeoffice)
• Prüfe bereits vorhandene Schulungen, Richtlinien und Dokumentationen

Schritt 2: Trainingskonzept entwickeln

• Wähle ein Schulungsformat (E-Learning, Präsenz, Hybrid)
• Lege Schulungsinhalte und Pflichtmodule fest
• Definiere Verantwortliche für Planung, Durchführung und Dokumentation
• Kalkuliere Ressourcen: Zeit, Kosten, technische Infrastruktur

Schritt 3: Umsetzung starten

• Kommuniziere transparent im Team: wozu das Training dient, welche Pflichten bestehen
• Starte mit einem Basismodul für alle Mitarbeitenden
• Setze Deadlines und Erinnerungen
• Baue Feedbackschleifen ein

Schritt 4: Monitoring und Nachweise

• Führe Protokolle, wer wann welches Modul abgeschlossen hat
• Prüfe die Ergebnisse (Quiz, Tests)
• Dokumentiere Fortbildungsprozesse im Compliance- und Datenschutzkonzept
• Integriere Auffrischungen und Updates (z. B. bei neuen Bedrohungen)

Schritt 5: Integration in das Gesamtsicherheitskonzept

• Verknüpfe das Training eng mit technischen Maßnahmen (z.B. Zugangskontrollen, Verschlüsselung)
• Verpflichte Mitarbeitende auf Schulungsrichtlinien
• Verankere IT-Sicherheit in deinem organisatorischen Rahmen (z. B. Verantwortlichkeiten, Eskalationswege)

• Widerstand im Team: Manche Mitarbeitenden sehen Schulungen als lästige Pflicht. Binde sie früh ein, erkläre Nutzen und bringe Beispiele aus der Praxis.
• Zeitknappheit: Plane Zeitfenster gezielt, z. B. kurze tägliche Einheiten statt ganztägiger Workshops.
• Technische Umsetzung: Eine robuste E-Learning-Plattform, wie die von heyData kann helfen. Achte auf Bedienbarkeit, Benutzerfreundlichkeit und Tracking-Funktionen.
• Nachhaltigkeit: Ohne Auffrischung verblasst das Wissen. Etabliere regelmäßige Updates oder Mini-Refreshers.
• Nachweisführung: Dokumentation ist Pflicht. Automatisierte Reports und Audit-Logs erleichtern das.

Wie oft muss das Training wiederholt werden?
Als gute Praxis solltest du jährlich Auffrischungen einplanen. Bei neuen Bedrohungen oder Vorfällen kann auch ein sofortiges Update notwendig sein.

Was passiert, wenn jemand das Training nicht absolviert?
Du solltest klar kommunizieren, dass Schulung Pflicht ist. Für Verweigerung kannst du interne Maßnahmen vorsehen – im Extremfall Einschränkungen im IT-Zugang, sofern rechtlich zulässig.

Kann ich externe Schulungsdienstleister nutzen?
Ja, externe Anbieter mit nachweislicher Fachkompetenz sind oft sinnvoll. Wichtig: Vertragliche Regelungen zum Datenschutz (z. B. Auftragsverarbeitung) sind zu berücksichtigen. Wir unterstützen euch gerne bei diesem Schritt mit unseren, von Anwälten bestätigten IT Sicherheitsschulungen über unsere Plattform

Muss ich den Erfolg des Trainings messen?

Ja. Durch Tests, simulierte Phishing-Kampagnen oder gemeldete Sicherheitsfälle kannst du evaluieren, wie wirksam das Training war.

Die KBV-Richtlinie setzt einen klaren Standard: IT-Sicherheit darf in Arztpraxen nicht länger ein optionales Zusatzangebot sein. Du musst in jedem Fall ein Training für alle Mitarbeitenden einführen. Das geht auch in kleinen Praxen mit einfachen Mitteln, in großen mit ausgefeilten Konzepten.

Langfristig lohnt sich ein professionell eingesetztes Lernmanagementsystem (LMS), gekoppelt mit Awareness-Kampagnen und Technikmaßnahmen. So etablierst du eine Sicherheitskultur, die über die Mindestanforderung hinausgeht.

Als Nächstes solltest du:

1. Sofort einen Fahrplan skizzieren (wer, wann, womit)
2. Geeignete Schulungsanbieter evaluieren
3. Kommunikation im Team starten

Technische Infrastruktur prüfen (z. B. Tracking, Plattformen)

Mit der neuen KBV-Richtlinie wird das IT-Sicherheitstraining zur Pflicht in Arztpraxen. Sie wird zur Säule eines wirksamen Datenschutz- und Sicherheitskonzepts. Für dich als Compliance-Verantwortliche oder IT-Entscheider ist klar: du musst handeln. Mit einem durchdachten Konzept, nachvollziehbarer Dokumentation und passenden Schulungsformaten kannst du die Anforderungen erfüllen und gleichzeitig die Cyberresilienz deiner Praxis nachhaltig steigern.