In der Arztpraxis gelten für IT-Sicherheitsmaßnahmen gesetzliche und vertragliche Fristen, die sich aus dem SGB V, der DSGVO sowie den Vorgaben der Kassenärztlichen Vereinigungen und der Telematikinfrastruktur (TI) ergeben.
Praxen mit Kassenarztzulassung müssen seit dem 1. Januar 2021 an die Telematikinfrastruktur angeschlossen sein. Für technische Schutzmaßnahmen nach DSGVO bestehen keine starren Jahresfristen, aber Verstöße können sofort bußgeldbewehrt sein; Meldepflichten bei Datenpannen greifen binnen 72 Stunden.
Hintergrund
Das SGB V verpflichtet zugelassene Vertragsärzte, die technischen Komponenten der Telematikinfrastruktur (Konnektor, eHealth-Kartenterminal) zu betreiben und aktuell zu halten. Seit 2022 müssen Konnektoren regelmäßig aktualisiert werden; die gematik setzt hierfür konkrete Update-Deadlines, die über die KV kommuniziert werden. Daneben schreibt die DSGVO (Art. 32) vor, dass Praxen geeignete technische und organisatorische Maßnahmen (TOM) dauerhaft vorhalten. Bei einer Datenpanne ist die zuständige Datenschutzbehörde innerhalb von 72 Stunden zu informieren (Art. 33 DSGVO). Für die Umstellung auf die elektronische Patientenakte (ePA) gilt seit dem 15. Januar 2025 eine bundesweite Einführungspflicht.
Wann gilt das nicht?
Rein privatärztlich tätige Praxen ohne Kassenarztzulassung sind nicht an die TI-Anbindungspflicht nach SGB V gebunden, müssen aber gleichwohl die DSGVO-Anforderungen erfüllen. Praxen in strukturschwachen Regionen können bei der KV Ausnahmeregelungen für TI-Fristen beantragen.
Quellen
Ärzteversichert informiert niedergelassene Ärzte über die Wechselwirkung von IT-Sicherheitspflichten und dem Versicherungsschutz durch Cyberversicherungen.
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →