top of page

Alarm für Praxen

  • klauskilvinger
  • 16. Apr.
  • 4 Min. Lesezeit

Es gibt neue IT-Sicherheits-Regeln für Praxen und sie sind ab 2.4.25 gültig. Weiß das schon jede Praxis?


Die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung ist wichtig, um personenbezogene Daten zu schützen, aber auch den Betrieb sicherzustellen.


Daher hat der Gesetzgeber im § 390 SGB V (Fünftes Sozialgesetzbuch) das Ziel der IT-Sicherheit festgeschrieben und die Kassenärztlichen und Kassenzahnärztlichen Bundesvereinigungen (KBV und KZBV) schon 2019 dazu verpflichtet, die Anforderungen zur Gewährleistung der IT-Sicherheit in einer Richtlinie zu konkretisieren.


KBV veröffentlicht neue Richtlinie

Die KBV hat ihre Richtlinie aus 2020 nun am 1. April 2025 aktualisiert und veröffentlicht, sie gelten am Folgetag, also ab 2.4.2025! Nein, das ist kein Aprilscherz.


Für Praxen gelten am Risiko orientierte Anforderungen, die je nach Art und Größenordnung steigen. Es gibt in der Richtlinie verschiedene Kategorien von Praxen, die kleinste Kategorie ist eine Praxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen.


Es gibt insgesamt 92 Anforderungen in 5 Anhängen, der für alle relevanten Praxen geltende Anhang 1 hat immerhin nur 50 Anforderungen.


Die Richtlinie gilt seit 2.4.2025. Von diesem KBV-Termin ausgenommen sind einige Richtlinien, die aber spätestens bis 10. Oktober 2025 umgesetzt werden sollten. Je nach Größe der Praxis kommt also einiges auf die Organisationen zu. Und die Erneuerung der KZBV-Richtlinie ist auch demnächst zu erwarten.


Human Firewall


Das Thema "Kenntnisse" und "Bewusstsein" für IT-Sicherheit des Personals wird stärker in den Fokus gerückt. Denn die neue KBV-Richtlinie legt Wert darauf, dass Praxen - unabhängig von ihrer Größe - gezielte Maßnahmen zur Sensibilisierung ihrer Mitarbeitenden für die IT-Sicherheit ergreifen und so die "Security-Awareness" steigern. Damit soll der Mensch zur Verteidigung geschult werden, um so neben technischen HIlfen eine "Human Firewall" zu haben. Da heute sehr viele Attacken auf den Menschen zielen, ist das zu begrüßen.


Man nimmt hierfür die Praxisleitung in die Pflicht, von der ein gesteigertes Bewusstsein für Sicherheitsfragen verlangt wird und neben der Vorbildfunktion soll die Praxisleitung sämtliche Schulungsmaßnahmen und Sicherheitskampagnen unterstützen.


Das muss kein Nachteil sein, denn Awareness-Schulungen sind im Vergleich zu vielen anderen Maßnahmen wirkungsvoll, einfach, schnell und kostengünstig umsetzbar!


Neben Beratungsdienstleistern wie Opexa Advisory für die Konzeption und Beratung zur Umsetzung der KBV-Anforderungen können auch Awareness-Anbieter wie "SoSafe" aus Köln ihre Dienste mit Online-Hilfen, Phishing-Simulationen und Microlearnings effizient erbringen. Das sollte allerdings in koordinierter Form mit den gesamten Maßnahmen erfolgen, um erfolgreich und effizient zu sein.


Sanktionen

Es gibt keine direkten Sanktionen, falls die Richtlinie nicht umgesetzt wird. Aber indirekt ist die DSGVO relevant, die in Art. 32 Abs. 1 die Einführung geeigneter technischer und organisatorischer Maßnahmen (TOM) verlangt, wobei ausdrücklich auf den „Stand der Technik“ Bezug genommen wird, das entspricht ab sofort den o.g. KBV-Anforderungen.


Bei einem Vorfall mit negativen Datenschutzfolgen kann eine Aufsichtsbehörde das Unternehmen als mitverantwortlich für den Vorfall einstufen, nach Art. 83 DSGVO können empfindliche Bußgelder verhängt werden. Betroffene Personen können nach Art. 82 DSGVO Schadensersatz verlangen, wenn ihnen durch den unzureichenden Schutz ihrer Daten ein Schaden entsteht.

Die Datenschutzaufsichtsbehörde kann zusätzliche Auflagen oder sofortige Maßnahmen verfügen, z. B. den Betrieb bestimmter Systeme untersagen oder deren Nutzung einschränken (Art. 58 DSGVO). Hinzu kommen mögliche Reputationsschäden und Vertrauensverluste bei Kunden und Partnern.


ISO 27001

Die KBV-Richtlinien und die ISO/IEC 27001:2022 ergänzen sich in vielerlei Hinsicht. Während die KBV spezifische Anforderungen für medizinische Einrichtungen in Deutschland festlegt, bietet die ISO/IEC 27001:2022 einen umfassenden Rahmen für Informationssicherheitsmanagement, der weltweit und branchenübergreifend anwendbar ist. Und die ISO 27001 stand auch Pate für den B3S, also den Branchenspezifischen Sicherheitsstandard der Krankenhäuser, der von der Deutschen Krankenhausgesellschaft herausgegeben wurde. Wer heute schon die ISO 27001 oder den B3S der DKG umgesetzt hat, verfügt schon über eine sehr gute Basis. Da fehlt nicht mehr viel. In die Praxen hat dieser Standard aber sicherlich selten seinen Weg gefunden.


KBV-Anforderungen und ISO27001 folgen den gleichen Zielen der Vertraullichkeit, Verfügbarkeit und Integrität der Daten, sie haben aber etwas andere Anforderungen. Eine Kombination beider Ansätze kann dazu beitragen, sowohl gesetzlichen Anforderungen gerecht zu werden als auch international anerkannte Best Practices zu implementieren. Viele der Anforderungen überschneiden sich, damit ist der Zusatzaufwand überschaubar, wenn ich einen der Standards eingeführt habe.


Für große nationale oder internationale medizinische Einrichtungen kann es sinnvoll sein, beide Regelwerke zu berücksichtigen:

  • Die KBV-Richtlinien als verbindliche Grundlage für den Betrieb in Deutschland

  • Die ISO/IEC 27001:2022 als erweiterten Rahmen für ein ganzheitliches Informationssicherheitsmanagement für die Gesamtorganisation


Aufwand

Die Ziele der Richtlinie sind vernünftig und nachvollziehbar. Aber die Praxen kämpfen auch mit anderen Themen, u.a. Kostendruck, Personalmangel, einer unübersichtlichen Anbieterlandschaft von Softwarelösungen und Serviceanbietern sowie teils noch mit anderen Themen wie der ePA.


IT-Wissen und Kapazitäten sind nötig, aber wer hat das Wissen, wer kümmert sich um die IT in der Praxis, Ärztinnen und Ärzte oder das Fachpersonal, gibt es IT-Administratoren? Gibt es dafür finanzielle Mittel?


Zudem ist offen, ob wirklich alle Praxen die Anforderungen jetzt schon kennen und auch den Stichtag im Oktober einhalten werden. Es sind nur noch rund 6 Monate Zeit für die Umsetzung, hat die KBV ihre Mitglieder hier nicht etwas überschätzt?


Sicher ist: Viele Freunde in der Branche hat sich die KBV hiermit sicher nicht gemacht.


Fazit

IT-Sicherheit und Datenschutz sind wichtig, Kosten und Zeitaufwand sind sicher gut angelegt, aber angesichts der Situation in der Branche werden Widerstände zu erwarten sein.


Aber in Ermangelung von direkten Sanktionen ist die Vermutung naheliegend, dass die Praxisinhaber ihre Risiken und Mittel bewerten und nur das Nötigste umsetzen werden, man geht bewusst Risiken ein.

Der Verlauf der DSGVO-Umsetzung seit 2018 kann hier als Beispiel gelten. Letztlich wird zu vermuten sein, dass die Richtlinie für viele zur „freundlichen Empfehlung“ mit geringem Umsetzungsgrad degradiert werden wird, zumindest so lange kein Datenschutzvorfall passiert.


Call to Action


Wenn Sie unsicher sind, was sie tun sollen, sprechen Sie mit uns, wir helfen Ihnen, die richtigen Maßnahmen zu ergreifen und auch den "Faktor Mensch" einfach und effizient zum Thema IT-Sicherheit zu ertüchtigen



Siehe auch:

 
 
 

Yorumlar

bottom of page