Grundlagen der Richtlinie

Rechtliche Basis bleibt die Datenschutz-Grundverordnung (DSGVO). Die IT-Sicherheitsrichtlinie übersetzt deren Anforderungen in praxisnahe Vorgaben für Zahnarztpraxen und unterscheidet dabei nach Praxisgröße und technischer Ausstattung.

Die Richtlinie umfasst fünf Anlagen: Anlage 1 definiert die grundlegenden Anforderungen für alle Praxen, während Anlagen 2 und 3 zusätzliche Vorgaben für größere Praxen enthalten. Anlage 4 betrifft medizinische Großgeräte wie beispielsweise CT-Systeme oder andere umfangreiche bildgebende Anlagen. Anlage 5 regelt die Sicherheitsanforderungen rund um die Telematikinfrastruktur. Für die meisten Zahnarztpraxen sind insbesondere die Regelungen aus Anlage 1 und Anlage 5 relevant.

Was heißt das konkret für den Praxisalltag?

Ein wichtiger Schritt ist ein gut abgesichertes Praxisnetzwerk. Ein aktueller Netzwerkplan hilft, alle Geräte und Verbindungen im Überblick zu behalten. Firewall und Virenschutz sollten selbstverständlich sein, ebenso regelmäßige, verschlüsselte Datensicherungen. Externe Datenträger müssen vor Nutzung geprüft werden, und Administrationszugänge gehören sicher verwahrt.

Auch mobile Geräte verdienen Aufmerksamkeit: Installiert werden sollten nur notwendige Apps aus offiziellen Quellen. Diensthandys und Tablets müssen stets mit PIN oder biometrischer Sperre geschützt sein. Vertrauliche Daten dürfen nicht unverschlüsselt verschickt werden, und Zugangsdaten sollten nicht dauerhaft gespeichert werden. Geht ein Gerät verloren, muss die SIM-Karte sofort gesperrt werden.

Zunehmend rückt der menschliche Faktor in den Fokus. Mitarbeitende spielen eine Schlüsselrolle für die IT-Sicherheit. Deshalb sollten alle im Team die grundlegenden Sicherheitsregeln und Notfallabläufe kennen. Neue Mitarbeitende profitieren von einer strukturierten Einarbeitung mit klar vergebenen Zugriffsrechten. Zuständigkeiten im IT-Bereich sollten festgelegt und regelmäßig überprüft werden, ebenso Vertretungen bei Abwesenheiten.

Regelmäßige Schulungen – etwa zum Erkennen von Phishing-Mails oder zum Verhalten bei Cyberangriffen – helfen, Risiken zu minimieren. Beim Ausscheiden von Mitarbeitenden müssen sämtliche Zugänge sofort gesperrt werden; die Verschwiegenheitspflicht bleibt bestehen. Auch externe IT-Dienstleister sollten nur die nötigen Zugriffsrechte erhalten und entsprechend begleitet werden.

Technisch sinnvoll ist zudem die Trennung von Praxisnetz und Gäste-WLAN. Administratorrechte gehören nicht auf normale Benutzerkonten, und Software-Updates sollten zeitnah installiert werden. Datensicherungen müssen geschützt und regelmäßig überprüft werden. Komponenten der Telematikinfrastruktur sind stets aktuell zu halten und gemäß Vorgaben zu betreiben.

Beim Surfen im Internet gilt: nur vertrauenswürdige Seiten nutzen und Daten ausschließlich über verschlüsselte Verbindungen übertragen. Werden Cloud-Dienste eingesetzt, sollten diese anerkannte Sicherheitszertifizierungen wie ein C5-Testat vorweisen.

Die nächsten Schritte

Zunächst sollte geprüft werden, welche Anforderungen für die eigene Praxis gelten und wo noch Handlungsbedarf besteht. Häufig lohnt sich dabei die Unterstützung durch einen erfahrenen IT-Dienstleister. Ebenso wichtig ist ein klarer Notfallplan: Im Ernstfall wird das Netzwerk getrennt und der IT-Dienstleister kontaktiert. Datenschutzvorfälle müssen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden.

Fazit

IT-Sicherheit ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Wer technische Schutzmaßnahmen, klare Abläufe und ein sensibilisiertes Team miteinander verbindet, schafft eine stabile Grundlage, um Praxisbetrieb und Patientendaten dauerhaft zu schützen.

Alexandra Schrei, KZV Nordrhein