Neue IT-Sicherheitsrichtlinie der KZVB: Was Zahnarztpraxen wissen müssen
Ein Klick auf den falschen Anhang – und plötzlich steht die Praxis still. Patientendaten sind verschlüsselt, Termine können nicht mehr koordiniert werden, der Betrieb ist lahmgelegt. Was wie ein Ausnahmefall klingt, ist längst Realität in vielen medizinischen Einrichtungen. Genau deshalb verschärft die KZVB ab 2026 die Anforderungen an die IT-Sicherheit in Zahnarztpraxen deutlich.
Die neue IT-Sicherheitsrichtlinie verpflichtet Praxen dazu, ihre technischen und organisatorischen Maßnahmen auf den aktuellen Stand zu bringen. Dabei geht es nicht nur um gesetzliche Vorgaben, sondern vor allem um den Schutz sensibler Patientendaten und die Sicherstellung eines reibungslosen Praxisbetriebs.
Im Mittelpunkt steht die Praxisleitung. Sie trägt die Verantwortung für die IT-Sicherheit – auch dann, wenn Aufgaben an Mitarbeitende oder externe Dienstleister delegiert werden. IT-Sicherheit wird damit zur Führungsaufgabe, die klare Zuständigkeiten, strukturierte Abläufe und eine konsequente Dokumentation erfordert.
Ein wichtiger Aspekt der Richtlinie ist die Differenzierung nach Praxisgrößen. Während grundlegende Anforderungen für alle gelten, steigen mit der Größe der Praxis auch die Pflichten. Größere Praxen und MVZ müssen zusätzliche organisatorische und technische Maßnahmen umsetzen. Damit trägt die Richtlinie den unterschiedlichen Strukturen in der Versorgung Rechnung.
Besondere Aufmerksamkeit gilt sensiblen Bereichen der Praxis-IT. Dazu zählen insbesondere medizinische Großgeräte wie DVT oder digitale Röntgensysteme. Diese sind häufig über viele Jahre im Einsatz und lassen sich nicht immer problemlos aktualisieren. Gleichzeitig sind sie in das Praxisnetz eingebunden und können so zu einem Sicherheitsrisiko werden. Entsprechend fordert die Richtlinie eine gezielte Absicherung, regelmäßige Wartung und eine Einbindung in das Gesamtkonzept der IT-Sicherheit.
Auch die Telematikinfrastruktur steht im Fokus. Sie verbindet die Praxis mit dem digitalen Gesundheitsnetz und ermöglicht Anwendungen wie elektronische Patientenakte oder eRezept. Gerade weil hier besonders sensible Daten verarbeitet werden, gelten strenge Anforderungen an den sicheren Betrieb, den Schutz von Zugängen und die regelmäßige Aktualisierung der Systeme.
Neben der Technik rückt vor allem der Mensch in den Mittelpunkt. Denn viele Cyberangriffe beginnen mit einem scheinbar harmlosen Fehler – etwa dem Öffnen einer manipulierten E-Mail. Die Richtlinie setzt deshalb stark auf Schulung und Sensibilisierung des Praxisteams. IT-Sicherheit wird zur Teamaufgabe, bei der jede und jeder Einzelne eine wichtige Rolle spielt.
Gleichzeitig sind klare organisatorische Prozesse notwendig. Neue Mitarbeitende müssen sicher in die Abläufe eingebunden werden, während beim Ausscheiden von Beschäftigten Zugriffsrechte konsequent entzogen werden müssen. Nur so lassen sich unnötige Risiken vermeiden.
Technisch kommt es vor allem auf aktuelle Systeme, klar geregelte Zugriffe und eine verlässliche Datensicherung an. Regelmäßige Updates schließen Sicherheitslücken, während Backups im Ernstfall die schnelle Wiederherstellung ermöglichen. Gerade angesichts zunehmender Ransomware-Angriffe ist dies ein entscheidender Faktor für die Handlungsfähigkeit der Praxis.
Ein häufig unterschätztes Risiko bleibt die E-Mail-Kommunikation. Phishing-Angriffe gehören nach wie vor zu den häufigsten Einfallstoren für Schadsoftware. Umso wichtiger ist es, dass verdächtige Nachrichten erkannt und nicht vorschnell geöffnet werden.
Auch die technische Infrastruktur insgesamt muss konsequent abgesichert sein. Firewalls, klar strukturierte Netzwerke und der sichere Einsatz von Cloud-Diensten bilden dabei die Grundlage. Sensible Daten müssen jederzeit geschützt und verschlüsselt verarbeitet werden.
Und was passiert im Ernstfall? Die Richtlinie verlangt ein funktionierendes Notfallmanagement. Denn ein Cyberangriff kann den Praxisbetrieb innerhalb kürzester Zeit zum Erliegen bringen. Wer vorbereitet ist, kann schnell reagieren, Schäden begrenzen und den Betrieb zügig wieder aufnehmen.
Die Botschaft ist klar: IT-Sicherheit ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Für Zahnarztpraxen bedeutet das, jetzt aktiv zu werden, bestehende Strukturen zu überprüfen und gezielt nachzusteuern. Denn am Ende geht es um mehr als Technik – es geht um Vertrauen, Sicherheit und die Zukunftsfähigkeit der eigenen Praxis.
Michael Wagner, M.B.L.T.
Fachanwalt für Medizinrecht