MenuKZBV Startseite
  • Leichte Sprache

Direkt zu Ihrer KZV

  • Baden-Württemberg
  • Bayern
  • Berlin
  • Brandenburg
  • Bremen
  • Hamburg
  • Hessen
  • Mecklenburg-Vorpommern
  • Niedersachsen
  • Nordrhein
  • Westfalen-Lippe
  • Rheinland-Pfalz
  • Saarland
  • Sachsen
  • Sachsen-Anhalt
  • Schleswig-Holstein
  • Thüringen
  • Zahnärzte
    • Rechtsgrundlagen
    • Berufsausübung
    • Digitales
      • Elektronische Patientenakte (ePA)
      • Digitale Anwendungen
      • IT‐Sicherheit
        • Datenschutz und IT-Sicherheit in der Zahnarztpraxis
        • Hintergrund und FAQ
        • Anlage 1 - Anforderungen für Praxen
        • Anlage 2 - Anforderungen für mittlere Praxen
        • Anlage 3 - Anforderungen für Großpraxen
        • Anlage 4 - Anforderungen für medizinische Großgeräte
        • Anlage 5 - Anforderungen zur Telematikinfrastruktur
      • Praxissoftware
      • Telematikinfrastruktur (TI)
    • Qualitätsförderung
    • Rund um die Praxis
  • Patienten
    • Medizinische Infos
    • Qualitätsförderung
    • Patient und Krankenkasse
    • Zahnarztsuche
  • Presse
    • Pressekontakt
    • Bildarchiv
    • Pressemitteilungen
    • Reden des Vorstands
  • Politik
    • Positionen
    • Konzepte und Berichte
    • Vertreterversammlung
    • Veranstaltungen
  • Service
    • Infomaterialien
    • Statistische Basisdaten
    • Geschäftsberichte
    • Adressen
  • Karriere
    • Übersicht
    • Arbeitgeber
    • Aufgabengebiete
    • Bewerben
    • Stellenangebote
  • Suche 

Hintergrund und FAQ

  • Datenschutz und IT-Sicherheit in der Zahnarztpraxis
  • Hintergrund und FAQ
  • Anlage 1 - Anforderungen für Praxen
  • Anlage 2 - Anforderungen für mittlere Praxen
  • Anlage 3 - Anforderungen für Großpraxen
  • Anlage 4 - Anforderungen für medizinische Großgeräte
  • Anlage 5 - Anforderungen zur Telematikinfrastruktur
  1. Startseite
  2. Zahnärzte
  3. Digitales
  4. IT‐Sicherheit
  5. Hintergrund und FAQ

IT‐Sicherheitsrichtlinie - neuer gesetzlicher Rahmen für den Schutz hochsensibler Gesundheits- und Patientendaten

Mit dem Digitale-Versorgung-Gesetz (DVG) will die Bundesregierung den Digitalisierungsprozess im Gesundheitswesen weiter vorantreiben und legt Anforderungen und Konkretisierungen für die digitale Zukunft in Praxen fest. Mit dem DVG hat der Gesetzgeber die KZBV und die Kassenärztliche Bundesvereinigung (KBV) be­auftragt, die IT-Sicherheitsanforderungen für Zahnarzt- und Arztpraxen verbindlich in einer IT-Sicherheitsrichtlinie festzulegen. Die Richtlinie wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und muss nach dem Willen des Gesetzgebers jährlich aktualisiert werden. Die KZBV hat sich bei der Erstellung der Richtlinie dafür eingesetzt, dass die gesetzlichen Vorgaben für Zahnarztpraxen mit vernünftigem und vertretbarem Aufwand umsetzbar sind und die Anforderungen auf das tatsächlich notwendige Maß konzentriert wurden.

Die neuen Regelungen treten ab dem 2. Februar 2021 in Kraft, die Umsetzungstermine der verschiedenen Maßnahmen sind gestaffelt, beginnend mit dem 1. April 2021.

Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit (IT‐Sicherheitsrichtlinie)

BSI: Die IT-Sicherheitsrichtlinie nach § 75b SGB V – Hinweise für Anwenderinnen und Anwender

Erläuterungen zu den Anforderungen
Anlage 1 Anlage 2 Anlage 3 Anlage 4 Anlage 5

Gesundheitsdaten künftig besser schützen – ohne überbordenden Aufwand

Übergeordnetes Ziel der Richtlinie ist es, mittels klarer Vorgaben Zahnärzte, Ärzte und Psychotherapeuten dabei zu unterstützen, Gesundheitsdaten in den Praxen künftig noch besser zu schützen. Für die Zahnärzteschaft bedeutet das mehrheitlich: business as usual. Die neue Richtlinie regelt nämlich weitestgehend das, was den Praxen auf Grundlage bisheriger Bestimmungen in der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) ohnehin bereits vorgeschrieben wird. Der Aufwand für die Erfüllung der „neuen“ Vorgaben durch die IT-Sicherheitsrichtlinie ist für die meisten Praxen also vergleichsweise gering.

Die Zertifizierungsrichtlinie – Nachweis der Sachkunde für IT-Dienstleister

Neben der IT-Sicherheitsrichtlinie wurden KZBV und KBV durch den Gesetzgeber des Weiteren dazu verpflichtet, eine Zertifizierungsrichtlinie zu erstellen. Auf Grundlage dieser Richtlinie können Dienstleister, die entsprechende Sachkunde nachweisen und fortan ein Zertifikat erwerben. Im Einverständnis mit der KZBV wird das Zertifizierungsverfahren durch die KBV durchgeführt.

Für Zahnärztinnen und Zahnärzte muss klar ersichtlich sein, dass, wenn Sie sich schon einen IT-Experten in die Praxis holen, dieser nachweislich mit den Inhalten der IT-Sicherheitsrichtlinie und deren Umsetzung in Zahnarzt- und Arztpraxen bestens vertraut ist. Solche Anbieter können Praxen bei der sachgerechten Umsetzung der IT-Sicherheitsrichtlinie unterstützen, wenn die Praxis dies wünscht – eine Verpflichtung zur Beauftragung solcher Dienstleister besteht nicht.

Informationen zur IT-Sicherheitsrichtlinie und zur Zertifizierung bei der KBV

Verzeichnis zertifizierter Dienstleister nach § 75b Abs. 5 SGB V bei der KBV

 

Datenschutz und IT-Sicherheit in der Zahnarztpraxis

Dieser Leitfaden berücksichtigt die Weiterentwicklung des Datenschutz­rechtes und gibt zugleich einen erweiterten Überblick über die Anforderungen an die IT-Sicherheit. Er zeigt in Praxistipps, mit welchen Maßnahmen diese möglichst praxisnah und aufwandsarm umgesetzt werden können. Berücksichtigt werden auch der inzwischen obligatorische Anschluss an die Telematikinfrastruktur sowie der Einsatz mobiler Anwendungen und Geräte wie Smartphones und Tablets.

Leitfaden und Empfehlungen zur Umsetzung der IT-Sicherheitsrichtlinie

 

Wichtige Fragen und Antworten (FAQ)

Welchen Zweck erfüllt die IT-Sicherheitsrichtlinie?

Die Umsetzung der Digitalisierung des Gesundheitswesens schreitet immer weiter voran. Datenschutz und Datensicherheit von sensiblen Patienten- und Gesundheitsdaten haben dabei für Praxen einen besonders hohen Stellenwert. Die „Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit“ soll Vertragszahnärztinnen und Vertragszahnärzte sowie Vertragsärztinnen und Vertragsärzte bei der Umsetzung der IT-Sicherheit in ihren Praxen unterstützen.

Wer ist für die Erstellung der IT-Sicherheitsrichtlinie verantwortlich?

KZBV und Kassenärztliche Bundesvereinigung (KBV) sind durch den Gesetzgeber verpflichtet, eine „Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung“ zu erstellen. Die IT-Sicherheitsrichtlinie wurde wie gesetzlich gefordert von KZBV und KBV im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie im Benehmen mit dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft und den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen sowie der gematik (in Bezug auf die Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur) erarbeitet.

Auf welcher Rechtsgrundlage fußt die IT-Sicherheitsrichtlinie?

Die KZBV und die Kassenärztliche Bundesvereinigung (KBV) sind nach § 75b Abs. 1 Satz 1 SGB V gesetzlich verpflichtet eine „Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung“ zu erstellen.

Gilt die IT-Sicherheitsrichtlinie für alle Zahnarztpraxen unabhängig von ihrer Struktur und Mitarbeiterzahl?

Die Anforderungen, die verbindlich umgesetzt werden müssen, richten sich zunächst stufenweise nach der Größe der Praxis. Berücksichtigt wird dabei die Anzahl der ständig mit der Datenverarbeitung betrauten Personen sowie Umfang und Komplexität der Praxisausstattung.

Was ist unter „ständig mit der Datenverarbeitung betrauten Personen“ zu verstehen?

Diese Beschreibung stammt aus dem Datenschutzrecht und definiert die Notwendigkeit, einen betrieblichen Datenschutzbeauftragten verbindlich zu bestellen. Dabei müssen Voll- und Teilzeitbeschäftigte gezählt werden, die regelmäßig – unabhängig von tatsächlicher Zeit und Umfang – Daten verarbeiten. In der Regel zählen somit alle Mitglieder eines Praxisteams sowie die Praxisinhaberin oder der Praxisinhaber dazu, die mit dem Praxisverwaltungssystem (PVS) arbeiten, aber etwa auch mit der Lohnbuchhaltung beschäftigt sind. Hinzugerechnet werden auch Mitarbeiterinnen und Mitarbeiter eines hauseigenen zahntechnischen Labors. Ausgenommen sind dagegen zum Beispiel Reinigungskräfte oder sonstige Mitarbeiter, die keinen Zugang zu datenverarbeitenden Systemen der Praxis haben oder die Service-Technik, die dort lediglich sporadisch im Auftrag der Praxis arbeitet.

Was regelt die IT-Sicherheitsrichtlinie?

Die Sicherheitsrichtlinie legt die relevanten sicherheitstechnischen Anforderungen für verschiedene Bereiche der Praxis-IT fest und beschreibt damit das Mindestmaß der Maßnahmen, die in der vertragszahnärztlichen Praxis ergriffen werden müssen. Sie adressiert die Schutzziele „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ der IT-Systeme in der vertragszahnärztlichen Praxis. Mit der Umsetzung der Anforderungen werden die Risiken der IT-Nutzung minimiert und die IT-Sicherheit insgesamt erhöht.

Was regelt die Zertifizierungsrichtlinie?

Auf Grundlage der Zertifizierungsrichtlinie können Anbieter von IT-Dienstleistungen ein Zertifikat erwerben, das bei Zahnärztinnen und Zahnärzten sowie niedergelassenen Ärztinnen und Ärzten die nötige Sachkunde dokumentiert, um entsprechende Dienstleistungen für die Umsetzung der IT-Sicherheit in den Praxen erbringen zu dürfen. Zertifizierungen auf Basis der Richtlinie werden durch die Kassenärztliche Bundesvereinigung (KBV) angeboten und sind sowohl in der ärztlichen und als auch in der zahnärztlichen Versorgung anerkannt.

Müssen zur Umsetzung der IT-Sicherheitsrichtlinie „zertifizierte Dienstleister“ beauftragt werden?

Nein, es müssen keine zertifizierten Dienstleister beauftragt werden. Wer die Maßnahmen in der Praxis konkret umsetzt, ist rechtlich nicht vorgegeben. Die zertifizierten Dienstleister sind lediglich als Angebot zu verstehen, um die Praxen bei der Auswahl geeigneter Dienstleister zu unterstützen, die die Umsetzung nicht selbst vornehmen wollen oder dabei die Unterstützung erfahrener Fachkräfte nutzen möchten.

Sind Kontrollen in Form von Audits oder Praxisbegehungen in Zahnarztpraxen vorgesehen?

Nein, aktuell sind keine Kontrollen in Praxen zur Überprüfung der IT-Sicherheit oder der Umsetzung der Sicherheitsrichtlinie nach § 75b SGB V vorgesehen.

Mit welchem Aufwand bei der Umsetzung der IT-Sicherheitsrichtlinie muss in Zahnarztpraxen in der Regel gerechnet werden?

Die IT-Sicherheitsrichtlinie regelt weitestgehend das, was den Praxen auf Grundlage bisheriger Bestimmungen in der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) bereits vorgeschrieben wird. Der zusätzliche Aufwand zur Erfüllung der Vorgaben der IT-Sicherheitsrichtlinie dürfte für die meisten Praxen somit vergleichsweise gering sein. Da Ausstattung und bisheriger Stand der IT-Sicherheit in einer Praxis jedoch nicht pauschal beurteilt werden können, lässt sich der individuelle Aufwand, der sich in Einzelfällen ergeben kann, nicht über generalisierte Annahmen darstellen.

Wie werden Zahnärztinnen und Zahnärzte über die Inhalte der IT-Sicherheitsrichtlinie informiert?

Die IT-Sicherheitsrichtlinie wurde in der Ausgabe Nr. 3/2021 der „Zahnärztlichen Mitteilungen“ (zm) am 1. Februar 2021 veröffentlicht. Die KZBV hat zudem unter www.kzbv.de einen gesonderten Bereich eingerichtet, der verschiedene Informationen rund um die IT-Sicherheitsrichtlinie zusammenfasst. Die dort verfügbaren Informationen werden fortlaufend ergänzt und bei Bedarf aktualisiert.

Wird es eine Art Anleitung oder ein Nachschlagewerk geben, welches zum Überprüfen der eigenen Praxis herangezogen werden kann?

Ja. Um den Praxen die Überprüfung der eigenen Praxis und die Umsetzung der Maßnahmen zu erleichtern, entwickelt die KZBV derzeit den Leitfaden „Datenschutz und Datensicherheit“ von KZBV und BZÄK inhaltlich weiter. (Die aktuelle, allerdings noch nicht angepasste Version finden Sie hier.) Dieser wird in Kürze die Vorgaben der Richtlinie in die allgemeinen Empfehlungen und Hilfestellungen einbinden und allgemeinverständliche Hilfestellungen für deren Umsetzung in der Praxis geben. Der überarbeitete Leitfaden wird im 1. Quartal 2021 als PDF-Datei kostenfrei abrufbar sein.

Stehen Fortbildungsangebote zur Verfügung, die über die Umsetzung der IT-Sicherheitsrichtlinie unterrichten?

Um alle Zahnärztinnen und Zahnärzte auf die Regelungen der IT-Sicherheitsrichtlinie hinreichend vorzubereiten, planen viele Kassenzahnärztliche Vereinigungen der Länder (KZVen) spezielle Fortbildungsveranstaltungen. Dabei können Zahnärztinnen und Zahnärzte erfahren, was mit Blick auf die IT-Sicherheit in der Praxis genau beachtet oder noch angepasst werden muss, um mit den Inhalten der IT-Sicherheitsrichtlinie konform zu gehen. Bitte wenden Sie sich als Zahnärztin oder Zahnarzt für weitere Informationen zu konkreten Fortbildungsangeboten direkt an Ihre jeweilige KZV. Die Kontaktdaten der Kassenzahnärztlichen Vereinigungen sind hier zu finden.

Ab wann ist die IT-Sicherheitsrichtlinie für Zahnarztpraxen verbindlich?

Die aktuelle Fassung der IT-Sicherheitsrichtlinie ist am 2. Februar 2021 in Kraft getreten. Seit diesem Zeitpunkt können der Richtlinientext und weitere Informationsmaterialien auch auf der Website der KZBV abgerufen werden. Für die Geltung der verschiedenen Anforderungen definiert die Richtlinie unterschiedliche Umsetzungszeiträume (1. April 2021 bis 1. Juli 2022), die den Zahnarztpraxen vorgibt, bis wann welche Anforderungen erreicht werden müssen.

Wer trägt die Verantwortung für die Datensicherheit in der Zahnarztpraxis?

Die Verantwortung für die Datensicherheit der Praxis-IT liegt zunächst beim Praxisinhaber, das gilt auch für den Internetanschluss. Dass die Telematikinfrastruktur (TI) hinter dem Konnektor sicher ist, dafür sind Hersteller und gematik verantwortlich. In diesem Bereich hat der Gesetzgeber zuletzt im „Patientendatenschutzgesetz“ (PDSG) klarere Bestimmungen zur Haftung in Bezug auf Datensicherheit und Datenschutz vorgesehen. Zahnärztinnen und Zahnärzte sind demnach für die bestimmungsgemäße Nutzung und Betrieb des Konnektors im Rahmen des Beherrschbaren zuständig, nicht aber für die Nutzung dezentraler TI-Komponenten oder der von der gematik spezifizierten Anwendungen in der TI. Diese Verantwortung kann sich immer nur in der Praxis maximal bis vor den Konnektor selbst erstrecken – und nicht darüber hinaus.

Welchen Stellenwert haben Datenschutz und Datensicherheit?

Ein grundlegender Anspruch der Vertragszahnärzteschaft an digitale Strukturen lautet: Das höchste Gut ist das Vertrauen der Patientinnen und Patienten. Aus diesem Grund müssen Datenschutz und Datensicherheit ohne Abstriche jederzeit gewährleistet und die informationelle Selbstbestimmung der Patienten gewahrt sein. Das Zahnarzt-Patientenverhältnis muss auch in einer digitalen Welt im Vordergrund stehen und vollumfänglich geschützt bleiben. Zahnärztinnen und Zahnärzte bleiben zuallererst ihren Patienten verpflichtet, deren Daten müssen geschützt sein. Gleichzeitig sind Datenschutz und Datensicherheit auch als Investitionsschutz für die Zahnarztpraxis zu sehen. Ein Verlust aller Daten der Praxis würde enorme finanzielle und zeitliche Aufwände mit sich bringen, die je nach Auslöser durch geeignete Schutzmaßnahmen verhindert oder durch eine geeignete Backup-Strategie deutlich vermindert werden könnten. Nicht zuletzt entstehen spätestens durch die hohen Strafen, die die Datenschutzgrundverordnung (DSGVO) grundsätzlich ermöglicht, in diesem Bereich auch finanzielle Risiken, die durch das Einhalten der aktuellen Datenschutz- und Datensicherheitsanforderungen, insbesondere der IT-Sicherheitsrichtlinie, erfolgreich verringert werden können.

Welche Sanktionen gibt es, wenn die Vorgaben der IT-Sicherheitsrichtlinie nicht eingehalten werden?

Das Digitale Versorgung-Gesetz (DVG), mit dem die IT-Sicherheitsrichtlinie eingeführt wurde (§ 75 SGB V), sieht derzeit keine eigenen Sanktionen vor. Das bedeutet jedoch nicht, dass diese Vorgaben nicht eingehalten werden müssen. Die Richtlinie definiert Maßnahmen, die die Einhaltung der verschiedenen rechtlichen Vorgaben unterstützen. Gerade die DSGVO hat den Behörden die Möglichkeit gegeben, hohe Strafen durchzusetzen und auch im Straf- und Berufsrecht sind entsprechende Sanktionen vorgesehen.

Stand: Februar 2021
Bild: © AdobeStock - meenkulathiamma

  • Seite drucken
  • nach oben

Allgemeine Seiteninformationen

  • Feed
  • YouTube
  • Twitter
  • Facebook
  • LinkedIn
Newsletter abonnieren
  • Die KZBV

    • Aufgaben / About us
    • Organisation
    • Mitglieder
    • Forschungsprojekte
  • Allgemeines

    • Kontakt
    • Datenschutz
    • Impressum
    • Seitenübersicht
    • Erklärung zur Barrierefreiheit
  • Partnerseiten

    • Zahnärztliche Mitteilungen
    • Institut der Deutschen Zahnärzte
    • CIRS dent - Jeder Zahn zählt!
    • Zahnärztliche Patientenberatung
    • Informationen zum Zahnersatz
Cookie-Einstellungen

Hinweis zu Cookies

Die KZBV setzt während Ihres Besuchs Cookies, die technisch notwendig sind. Darüber hinaus nutzt die KZBV ein Webstatistik-Programm, das zur Analyse und Verbesserung unserer Seiten hilfreich ist. Personenbezogene Daten werden dabei nicht gespeichert. Sie können entscheiden, ob Sie uns bei der Optimierung unserer Website unterstützen möchten. Datenschutzerklärung