Die IT-Sicherheitsrichtlinien gelten deutschlandweit für vertragsärztliche, vertragspsychotherapeutische und vertragszahnärztliche Praxen. Für die Einhaltung der Anforderungen sind die jeweiligen Praxisinhaber verantwortlich. Erste Schritte in der praktischen Umsetzung der Richtlinie – wie bspw. der Einsatz aktueller Virenschutzprogramme – sind für Vertragsärzte bereits zum 01.04.2021 zu realisieren, alle anderen Anforderungen gelten ab Januar bzw. Juli 2022. Dagegen gilt die Richtlinie für Vertragszahnärzte bereits ab dem 01.02.2021.

Größe der Praxis entscheidend
Die Richtlinie definiert für unterschiedliche Praxisgrößen unterschiedlich hohe Anforderungen an die IT-Sicherheit. Dabei wird nicht auf die Anzahl der in der Praxis tätigen Ärzte, sondern auf die Anzahl der „ständig mit der Datenverarbeitung betrauten Personen“ abgestellt.

Als „Kleine Praxis“ werden Einheiten mit bis zu 5 Personen gezählt. Zudem gibt es „Mittlere Praxen“ (6 bis 20 Personen) und – ab 20 Personen oder einer „krankenhausähnlichen“ Struktur bei der Datenübermittlung – die „Großpraxis“. Vorsorglich sollte bei einer Steigerung der Anzahl des – ärztlichen und/oder nichtärztlichen – Personals (die im Übrigen auch arbeitsrechtlich relevant werden kann) zwingend darauf geachtet werden, das IT-Sicherheitskonzept entsprechend der Richtlinie fortlaufend anzupassen.

Je nach Größe der Praxis müssen die Vorgaben, die in den Anlagen zur Richtlinie zusammengefasst sind, beachtet und umgesetzt werden. Dabei gelten die Anlagen 1 und 5 für alle Praxen. Die größeren Einheiten müssen weitere Anlagen beachten (Mittlere Praxen zusätzlich Anlage 2, Großpraxen zusätzlich Anlage 2 und 3). Für Praxen mit medizinischen Großgeräten, wie CT, MRT, etc. ist ergänzend die Anlage 4 umzusetzen.

Die wichtigsten – größenunabhängigen – Vorgaben sind:

• Verzicht auf Cloud-Speicherung
• Nutzung verschlüsselter Apps (ab 2022)
• Nutzung von Firewall, Verschlüsselter Internet-Anwendungen, etc.
• Regelmäßige Datensicherung, regelmäßiges Abmelden an den Endgeräten
• Grundsatz der Datensparsamkeit
• Anschluss an die Telematik-Infrastruktur (TI)

Zudem müssen in größeren Einheiten u.a. eine restriktive Rechtevergabe, verbindliche Richtlinien zur Nutzung mobiler Endgeräte, ein weitgehender Verzicht auf Sprachassistenten („Siri“ & „Alexa“), verschlüsselte Datenübermittlung, Festlegung und Freigabe von Apps, die genutzt werden dürfen sowie die Protokollierung des Netzwerkes umgesetzt werden.

Dabei dürfte es sinnvoll sein, die Vorgaben und Änderungen an die mit der Datenverarbeitung betrauten Angestellten der Praxis mittels schriftlicher Dienstanweisung (bspw. als Anlage zu den Arbeitsverträgen) weiterzugeben. Die im Vorfeld kontrovers diskutierte Frage, inwieweit Praxen zur Umsetzung finanzielle Unterstützung erhalten können, wird in der Richtlinie nicht erwähnt. Abzuwarten bleibt, ob und in welcher Form mit Kontrollen in der Umsetzung zu rechnen ist; in diesem Zusammenhang muss insbesondere an die weitreichenden Befugnisse der Landesdatenschutzbehörden seit Einführung der Datenschutzgrundverordnung (DS-GVO) gedacht werden.Die Maßstäbe aus der KV-Richtlinie dürften im Übrigen auch – als (Mindest-)Standard – für Privatpraxen entsprechend anzusetzen sein.