IT-Sicherheitsrichtlinie § 390 SGB V: Was Arztpraxen jetzt wissen müssen
Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Am 14. Juli 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die Umsetzung der neuen IT-Sicherheitsrichtlinie nach § 390 SGB V hingewiesen. Diese Richtlinie etabliert verbindliche Sicherheitsstandards für den Schutz sensibler Patientendaten und betrifft rund 99.000 Arzt- und Psychotherapiepraxen sowie fast 38.000 Zahnarztpraxen in Deutschland. Ziel ist es, die Informationssicherheit im niedergelassenen Bereich zu stärken und die Resilienz gegenüber Cyberangriffen zu erhöhen.
Der rechtliche Rahmen: Von § 75b zu § 390 SGB V
Die gesetzliche Grundlage für die neuen Anforderungen ist § 390 SGB V, der durch das Digital-Gesetz (DigiG) vom 22. März 2024 den bisherigen § 75b SGB V ersetzt. Die konkreten Vorgaben werden von der Kassenärztlichen Bundesvereinigung (KBV) und der Kassenzahnärztlichen Bundesvereinigung (KZBV) im Einvernehmen mit dem BSI festgelegt. Diese Zusammenarbeit stellt sicher, dass die Maßnahmen dem aktuellen Stand der Technik und der Bedrohungslage entsprechen. Um die Wirksamkeit dauerhaft zu gewährleisten, wird die Richtlinie jährlich geprüft und alle zwei Jahre angepasst.
Kernanforderungen der Richtlinie im Detail
Die Richtlinie fordert von allen Praxen einen strukturierten Umgang mit IT-Sicherheit. Die Anforderungen sind nach Praxisgröße gestaffelt, umfassen jedoch für alle verbindliche technische und organisatorische Maßnahmen:
- Sensibilisierung und Schulung: Alle Mitarbeitenden müssen regelmäßig über Sicherheitsrisiken und typische Angriffsmethoden aufgeklärt werden.
- Strukturierte Einarbeitung: Neue Teammitglieder sind gezielt in die IT-Systeme und den sicheren Umgang mit Patientendaten einzuweisen.
- Individuelle Zugangsdaten: Jeder Nutzer benötigt ein eigenes Konto, um Zugriffe nachvollziehbar zu machen und Berechtigungen gezielt zu steuern.
- Patch- und Änderungsmanagement: Betriebssysteme und Anwendungen müssen durch regelmäßige Updates aktuell gehalten werden, um bekannte Schwachstellen zu schließen.
- Sicherung von Endgeräten: Alle Geräte, die auf Praxisdaten zugreifen (PCs, Laptops, mobile Geräte), müssen angemessen geschützt werden.
- Prüfung von Cloud-Diensten: Der Einsatz externer Dienstleister und Cloud-Anwendungen muss bewertet und die Zusammenarbeit vertraglich geregelt werden.
Verbindliche Fristen und Nachweispflichten
Die Umsetzungsfristen für die Richtlinie sind bereits in Kraft. Praxen müssen die Einhaltung der Vorgaben nachweisen können:
- Arzt- und Psychotherapiepraxen (KBV): Die Anforderungen sind seit dem 1. Oktober 2025 verbindlich.
- Zahnarztpraxen (KZBV): Die Umsetzung ist seit dem 2. Januar 2026 verpflichtend.
Im Falle eines sicherheitsrelevanten Vorfalls sind Praxen zusätzlich zur IT-Sicherheitsrichtlinie nach Art. 33 DSGVO verpflichtet, Datenpannen innerhalb von 72 Stunden der zuständigen Datenschutz-Aufsichtsbehörde zu melden. Die IT-Sicherheitsrichtlinie und die datenschutzrechtlichen Meldepflichten greifen damit unmittelbar ineinander.
Compliance nach § 390 SGB V mit LocateRisk nachweisen
Die Umsetzung der IT-Sicherheitsrichtlinie erfordert eine genaue Kenntnis der eigenen IT-Infrastruktur und der eingesetzten externen Dienstleister. LocateRisk unterstützt Praxen und deren IT-Partner dabei, die für Compliance-Nachweise notwendige Transparenz zu schaffen.
Die Plattform liefert eine kontinuierliche Inventarisierung aller extern erreichbaren IT-Systeme – einschließlich vergessener Subdomains, nicht verwalteter Cloud-Assets und Schatten-IT, die im Praxisalltag entstehen kann. Diese Übersicht bildet die Grundlage für ein wirksames Patch-Management und dient als Nachweis für Audits im Sinne der Richtlinie. Das Modul für Vendor Risk Management (VRM) ermöglicht zudem die systematische Überprüfung von Cloud-Anbietern und anderen IT-Dienstleistern, wie es die Richtlinie explizit fordert. So können Praxen nachvollziehbar belegen, dass auch ihre Partner die geforderten Sicherheitsstandards erfüllen.
Als Lösung „Made in Germany“ wird LocateRisk in deutschen Rechenzentren mit ISO-27001-zertifizierten Partnern betrieben. Das Hosting in Deutschland unterstützt Praxen dabei, die Anforderungen an die Datenresidenz zu erfüllen und das Risiko eines Datenzugriffs durch außereuropäische Behörden zu reduzieren.
Quellen und weitere Infos
—
Hinweis in eigener Sache: Dieser Beitrag gibt die Rechtslage zum Zeitpunkt der Veröffentlichung wieder. Da IT-Recht und Compliance-Vorgaben hochkomplex sind, dient dieser Text lediglich als erste Orientierungshilfe und stellt keine rechtsverbindliche Beratung dar. Für die Umsetzung in Ihrem Unternehmen empfehlen wir, im Zweifel juristischen Rat einzuholen. Eine Haftung für die Inhalte wird ausgeschlossen.
Häufige Fragen
Die Richtlinie ist für alle an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Praxen in Deutschland verbindlich. Dies umfasst rund 99.000 Arzt- und Psychotherapiepraxen sowie fast 38.000 Zahnarztpraxen.
Die Umsetzungsfristen sind bereits abgelaufen. Für den KBV-Bereich gilt die Richtlinie seit dem 1. Oktober 2025, für den KZBV-Bereich seit dem 2. Januar 2026. Ein Nachweis der Umsetzung ist erforderlich.
Zu den zentralen Anforderungen gehören regelmäßige Schulungen der Mitarbeitenden, ein systematisches Patch-Management, die Absicherung von Endgeräten, die Verwendung individueller Zugangsdaten sowie die Prüfung und vertragliche Regelung von Cloud-Diensten. Die Anforderungen sind nach Praxisgröße gestaffelt.
Neben datenschutzrechtlichen Konsequenzen auf Basis der DSGVO besteht im Falle einer Datenpanne nach Art. 33 DSGVO eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden. Praxen sollten die Umsetzung der Anforderungen daher lückenlos dokumentieren können.