Zum Inhalt springen

DSGVO-konforme IT in der Arztpraxis: Die Checkliste 2026

Technische Maßnahmen, Datenschutzpflichten und was Ihre Praxissoftware leisten muss
24. April 2026 durch
DSGVO-konforme IT in der Arztpraxis: Die Checkliste 2026
heger.IT GmbH, Michael Heger

Von Michael Heger | Geschäftsführer heger.IT GmbH | tomedo® Premium-Partner seit 2014

Arztpraxen verarbeiten täglich hochsensible Gesundheitsdaten – und stehen damit unter besonders strengen DSGVO-Anforderungen (Art. 9 DSGVO: besondere Kategorien personenbezogener Daten). Datenschutzbehörden verhängen seit 2019 regelmäßig Bußgelder gegen Praxen, die technisch-organisatorische Maßnahmen vernachlässigen. In diesem Artikel erläutere ich, welche IT-seitigen Pflichten konkret bestehen und was eine DSGVO-konforme Praxis-IT auszeichnet.

Was fordert die DSGVO von Arztpraxen?

Art. 32 DSGVO schreibt „geeignete technische und organisatorische Maßnahmen" vor. Für Arztpraxen bedeutet das konkret:

  • Verschlüsselung von Patientendaten (at rest und in transit)
  • Zugriffsschutz: Nur befugte Personen dürfen auf Patientendaten zugreifen
  • Verfügbarkeit: Datenverlust durch technisches Versagen muss verhindert werden (Backup)
  • Wiederherstellbarkeit: Im Notfall müssen Daten schnell verfügbar sein
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen

Die DSGVO-IT-Checkliste für Arztpraxen

✅ Verschlüsselung

  • Festplattenverschlüsselung auf allen Macs aktiviert (FileVault 2) – betrifft Server, Arbeitsplätze und Laptops
  • HTTPS für alle Webanwendungen und Cloud-Dienste
  • E-Mail-Kommunikation mit Patientendaten nur verschlüsselt (KIM für Arzt-zu-Arzt, TLS für sonstige)
  • USB-Sticks und externe Laufwerke nur verschlüsselt verwenden

✅ Zugriffsschutz

  • Individuelle Benutzerkonten für jeden Mitarbeiter in tomedo® – keine gemeinsamen Logins
  • Rollenbasierte Berechtigungen: MFA, Arzthelferinnen und Ärzte haben unterschiedliche Zugriffsrechte
  • Bildschirmsperre nach spätestens 5 Minuten Inaktivität
  • Starke Passwörter oder biometrische Authentifizierung (Touch ID auf Mac)
  • WLAN-Netz segmentiert: Praxis-IT und Gäste-WLAN getrennt (VLAN)

✅ Backup und Notfallwiederherstellung

  • Tägliche automatische Backups der tomedo®-Datenbank (PostgreSQL)
  • 3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 externes/offsite Backup
  • Backup-Wiederherstellung regelmäßig testen (mindestens jährlich)
  • Maximale Wiederherstellungszeit (RTO) definiert und dokumentiert

✅ Netzwerksicherheit

  • Firewall mit aktueller Firmware zwischen Internet und Praxisnetz
  • Regelmäßige Firmware-Updates für alle Netzwerkgeräte
  • TI-Netz vom übrigen Praxisnetz getrennt (TI-Segmentierung)
  • Keine unbekannten Geräte im Praxisnetz (MAC-Filter oder 802.1X)

✅ Dokumentation

  • Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) geführt und aktuell
  • Auftragsverarbeitungsverträge (AVV) mit allen IT-Dienstleistern, Cloud-Anbietern und dem Praxissoftware-Anbieter
  • Datenschutzbeauftragter (DSB) bestellt, wenn mehr als 20 Personen regelmäßig Patientendaten verarbeiten

tomedo® und DSGVO: Was die Software leistet

tomedo® ist in Deutschland entwickelt und berücksichtigt DSGVO-Anforderungen nativ:

  • Daten liegen lokal auf dem Praxis-Server (kein Cloud-Zwang)
  • Granulare Benutzerrechte und vollständiges Zugriffsprotokoll
  • Datenbankbackup-Funktion integriert (PostgreSQL-Dump)
  • DSGVO-konforme Videosprechstunde (KBV-zertifiziert, Server in Deutschland)
  • Verschlüsselte Kommunikation über KIM (Kassenärztliches Institutionskennzeichen Messaging)

Zollsoft (tomedo®-Hersteller) stellt auf Anfrage einen AVV bereit.

Was passiert bei einem Datenschutzvorfall?

Bei einem Datenschutzvorfall (z.B. Datenverlust, Ransomware-Angriff) gilt: Sie müssen den Vorfall innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde melden (Art. 33 DSGVO). Bei Risiko für Betroffene auch die Patienten informieren (Art. 34 DSGVO).

Deshalb ist eine strukturierte Reaktion auf Sicherheitsvorfälle so wichtig: Wer zuerst die Backups prüft, spart Meldepflicht-Stress.

Fazit: Praxis-IT und DSGVO – kein Widerspruch

DSGVO-konforme IT in der Arztpraxis ist kein Selbstzweck. Sie schützt Ihre Patienten, Ihre Praxis vor Bußgeldern und Ihre Reputation. Mit der richtigen Infrastruktur – aktueller Hardware, segmentiertem Netzwerk, tomedo® auf aktuellem Stand und einem soliden Backup-Konzept – ist die technische Seite gut abgedeckt.

Wenn Sie unsicher sind ob Ihre Praxis-IT DSGVO-konform aufgestellt ist: Wir bieten IT-Sicherheitschecks für Arztpraxen an. Jetzt Termin anfragen.

Quellen & weiterführende Links

Verwandte Artikel

Telematikinfrastruktur 2026: Konnektor, Kosten und häufige Fehler

TI-Komponenten, Kosten und die häufigsten Fehlerquellen.

Apple-Hardware für Arztpraxen: Was Sie wirklich brauchen

Ehrliche Kaufberatung 2026 für Mac, iPad und Netzwerk.

Transparenzhinweis: heger.IT GmbH ist autorisierter tomedo® Premium-Partner von zollsoft und erbringt tomedo®-Installationen sowie IT-Dienstleistungen für Arztpraxen gewerblich. Dieser Artikel gibt nach bestem Wissen zusammengestellte Fachinformationen wieder und dient gleichzeitig der Darstellung unserer Leistungen.

eRezept in der Arztpraxis: Der vollständige Leitfaden 2026
Technische Einrichtung, häufige Fehler und was tomedo®-Praxen beachten müssen