Ratgeber · Compliance · 11 Min Lesezeit

Arztpraxis-IT 2026: Was KBV, TI und DSGVO wirklich verlangen

Pflichten, Fristen und Praxis-Fallen bei Praxis-IT — TI-Konnektor, KIM, eRezept, KBV-Sicherheitsrichtlinie und DSGVO Art. 32. Mit Anforderungs-Tabelle nach Praxisgröße und Audit-Checkliste.

23. April 2026

Kurzantwort: Für Arztpraxis-IT gelten 2026 drei Pflichtsäulen. Erstens der TI-Anschluss mit Konnektor, eHBA und SMC-B (gematik/KBV); zweitens die KBV-IT-Sicherheits-Richtlinie nach § 75b SGB V mit 22 bis 40+ Pflichtmaßnahmen je nach Praxisgröße; drittens die DSGVO Art. 32 TOMs für die besonderen Kategorien von Gesundheitsdaten (Art. 9). eRezept ist seit 1.1.2024 Pflicht für verschreibungspflichtige Medikamente, KIM seit 2021 für Versand und 2023 für Empfang.

Dieser Ratgeber zeigt im Detail, was die drei Regulatoren verlangen, welche Frist wirklich greift — und wo bei NRW-Praxen regelmäßig die kritischen Lücken liegen.

1. Drei Regulatoren für Praxis-IT — wer gibt was vor

Regulator	Gibt vor	Geltungsbereich
KBV / Kassenärztliche Vereinigungen	IT-Sicherheits-Richtlinie (§ 75b SGB V), TI-Ausstattungsvorgaben	Alle vertragsärztlichen Praxen
Landesdatenschutzbehörde (in NRW: LDI)	DSGVO-Umsetzung, Prüfung bei Datenschutzvorfällen, Meldepflichten	Alle Praxen als Verantwortliche
BSI / gematik	Technische Spezifikationen TI (Konnektor, KIM, eRezept, ePA)	Über die KBV-Richtlinie indirekt verpflichtend

Dazu: Ihre zuständige Apothekenkammer und ggf. die Berufskammer bei bestimmten Fachrichtungen. Privat-Krankenversicherung und KZV (Zahnärzte) haben eigene, analoge Regelwerke.

Sanktionsrisiko: Die KBV kann bei Nicht-Umsetzung der IT-Sicherheits-Richtlinie Honorarkürzungen vornehmen — in einzelnen KVen bereits praktiziert. Die Landesdatenschutzbehörde kann nach Art. 83 DSGVO Bußgelder verhängen (Rahmen: bis 20 Mio. Euro oder 4 % des Vorjahresumsatzes — real werden bei Praxen eher fünfstellige Summen fällig, wenn es zu Vorfällen kommt).

2. TI-Konnektor 2026 — was gilt und was kommt

Der TI-Konnektor ist die Brücke zwischen Praxisnetz und Telematik-Infrastruktur. Er terminiert die VPN-Verbindung zur gematik-TI, verwaltet Zertifikate und kommuniziert mit eHBA (elektronischer Heilberufsausweis), SMC-B (Security Module Card Betriebsstätte) und PVS.

Pflichtbestandteile pro Praxisstandort:

TI-Konnektor (Box im 19-Zoll-Rack oder an der Wand)
eHBA für jeden Arzt (persönlicher Ausweis mit Signaturfunktion)
SMC-B pro Praxisstandort (institutioneller Ausweis)
KIM-Adresse pro Postfach

Was sich ändert: TI 2.0

Die gematik hat den langfristigen Umstieg auf TI 2.0 mit Cloud-Konnektor (TI-Gateway) beschlossen. Statt Hardware-Konnektor in der Praxis gibt es dann einen zertifizierten Cloud-Zugang. Ab Ende 2025 / Anfang 2026 laufen erste Pilotbetriebe in einzelnen Bundesländern, flächendeckender Umstieg voraussichtlich ab 2027. Bis dahin bleibt der heutige Hardware-Konnektor Pflicht.

Fallstrick Zertifikatsablauf: Konnektor-Zertifikate laufen typisch nach 3–5 Jahren aus. Die gematik verschickt Hinweise — die landen aber oft im falschen Postfach oder werden ignoriert. Folge: Konnektor geht offline, kein eRezept, kein KIM, Praxis steht still. Ein gepflegter IT-Dienstleister überwacht diese Fristen automatisch.

3. KIM und eRezept — die Pflicht-Anwendungen im Alltag

KIM (Kommunikation im Medizinwesen) ist der sichere Nachrichtenkanal zwischen Leistungserbringern. Integriert direkt im PVS — keine separate Mailbox.

Pflicht seit 2021 für den Versand (eArztbriefe, eAU, eMedikationsplan)
Pflicht seit 2023 auch für den Empfang
Ersetzt schrittweise unverschlüsseltes Fax, das seit Oktober 2023 von der Datenschutzkonferenz als DSGVO-Verstoß eingestuft wird

eRezept läuft in drei Varianten:

eRezept-App der gematik auf dem Patienten-Smartphone (Push-Signatur mit eGK + PIN)
Ausdruck des eRezept-Tokens (Papier-QR-Code, in der Apotheke gescannt) — praktisch im Alltag am häufigsten
eGK-Stecken in der Apotheke ohne zusätzlichen Token

Pflicht seit 1.1.2024 für alle verschreibungspflichtigen Medikamente in der vertragsärztlichen Versorgung. Ausnahmen: BTM-Rezepte waren bis Juli 2025 ausgenommen und sind seitdem schrittweise integriert. Reha-Verordnungen, Heil- und Hilfsmittel laufen weiterhin auf Papier. Privatrezepte sind nicht pflichtig, aber möglich.

Typische PVS-Systeme am Markt: CGM Medistar / Turbomed, medatixx, Duria, ifap, Tomedo, Arzt Direkt. Alle größeren Anbieter haben TI-, KIM- und eRezept-Module integriert. Für Patiententerminverwaltung werden oft Zusatztools wie Doctolib oder samedi genutzt — wichtig dabei: Auftragsverarbeitungsvertrag prüfen und Daten-Trennung zum PVS dokumentieren.

4. DSGVO Art. 32 in der Arztpraxis

Gesundheitsdaten sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO — mit Schutzanforderungen über dem normalen Niveau. Die Art. 32 DSGVO TOMs (technisch-organisatorische Maßnahmen) sind in Arztpraxen konkret:

Verschlüsselung der Übertragung (KIM, kein offenes Fax, TLS bei Web-Zugriffen) und der Speicherung (BitLocker oder vergleichbares auf PVS-Server und Notebooks)
Zugriffskontrolle rollenbasiert: Helferin sieht Termin und Stammdaten, nicht die Laborwerte; Arzt voll
Netzwerksegmentierung: Patienten-WLAN strikt getrennt vom Praxisnetz (getrenntes VLAN oder zweiter Router)
Authentifizierung mit individuellen Accounts (keine gemeinsamen „Praxis-Logins”), Passwortrichtlinie, idealerweise Zweiter Faktor für externen Zugriff
Backup täglich, verschlüsselt, getrennt aufbewahrt, regelmäßig getestet
Protokollierung kritischer Zugriffe (Stichwort: wer hat wann welche Akte geöffnet)
Auftragsverarbeitungsverträge mit PVS-Hersteller, IT-Dienstleister, Terminbuchungs-Anbieter, Cloud-Dienstleister

Dokumentationspflicht: Die KBV-IT-Sicherheits-Richtlinie verlangt ausdrücklich die schriftliche Dokumentation der Umsetzung. Eine Praxis, die alle Maßnahmen umsetzt aber nichts dokumentiert, gilt im Audit als nicht-compliant.

5. KBV-Anforderungen nach Praxisgröße

Die IT-Sicherheits-Richtlinie staffelt sich in drei Anlagen:

Kategorie	Praxisgröße	Typische Maßnahmen-Zahl	Beispielhafte Zusatzforderungen
Anlage 1 — Basis	1–5 Nutzer	ca. 22	Firewall, segmentiertes WLAN, verschlüsseltes Backup, dokumentierte Passwortpolicy, getestete Wiederherstellung
Anlage 2 — Erhöht	6–20 Nutzer	ca. 30	Zusätzlich: zentrales Patch-Management, Endpoint Protection mit EDR-Funktion, Zugriffsprotokollierung, Rollen-Berechtigungskonzept
Anlage 3 — Hoch	über 20 Nutzer oder MVZ mit zentraler Datenverarbeitung	40+	Zusätzlich: SIEM-Monitoring, formales IT-Sicherheitsmanagement-System (ISMS), regelmäßige Penetrationstests, ISB (IT-Sicherheitsbeauftragter) benannt

Merke: „Nutzer” ist nicht „Mitarbeiter”. Ein Heilpraktiker in einer 3-Ärzte-Praxis mit 5 Helferinnen und 1 Laborkraft = 9 Nutzer = Anlage 2.

6. Die 6 häufigsten IT-Probleme in Arztpraxen

Wiederkehrende Muster aus den Praxis-Audits bei unseren Niederrhein-Kunden:

TI-Konnektor offline — Zertifikat abgelaufen, niemand wurde benachrichtigt. Folge: kein eRezept, kein KIM.
PVS-Server unter dem Empfangstresen — Windows-Server ohne USV, ohne Monitoring, Kabel erreichbar für Reinigungskräfte. Körperliche Zugriffssicherung fehlt.
Gemeinsames Praxis-Passwort am Empfang — alle Helferinnen melden sich unter demselben Account an. Protokollierung unmöglich, Ausscheiden aus der Praxis → keine Passwortrotation.
Backup vorhanden, nie getestet — externe Festplatte liegt in der Schublade, letzte Wiederherstellung 2022. Im Ernstfall stellt sich heraus: korrupt oder inkompatibel mit neuer PVS-Version.
Wartezimmer-WLAN im Praxisnetz — „Das hat der vorherige IT-Mensch so eingerichtet, läuft ja.” Ein infiziertes Patienten-Notebook kann direkt die PVS-Arbeitsplätze angreifen.
Faxgerät als „letzter Rückweg” — Arztbriefe, Befunde, Überweisungen werden noch per Fax verschickt. Seit Oktober 2023 eindeutig DSGVO-widrig (Datenschutzkonferenz-Beschluss). KIM ist der Ersatz, das ist vielen nicht bewusst.

Nächster Schritt

Wir betreuen seit 2009 Arztpraxen am Niederrhein — in Viersen, Mönchengladbach, Krefeld und Düsseldorf. Der Fokus liegt auf vertragsärztlichen Einzel- und Gemeinschaftspraxen sowie MVZ mit 1 bis 15 Mitarbeitern: TI-Konnektor-Betrieb, KIM- und eRezept-Support, KBV-Richtlinien-Umsetzung nach Anlage 1 und 2, Backup und PVS-Integration.

Wenn unklar ist, ob Ihre Praxis die IT-Sicherheits-Richtlinie vollständig umgesetzt hat: ein strukturiertes 45-Minuten-Gespräch reicht für eine belastbare Einschätzung mit Priorisierung der offenen Punkte. Mehr dazu auf der Branchenseite Arztpraxen.

Häufige Fragen zu diesem Thema

Was verlangt die KBV-IT-Sicherheits-Richtlinie konkret?

Die IT-Sicherheits-Richtlinie nach § 75b SGB V verpflichtet jede vertragsärztliche Praxis zu technisch-organisatorischen Maßnahmen — gestaffelt nach Praxisgröße. Anlage 1 (bis 5 Nutzer): Basisschutz, 22 Maßnahmen. Anlage 2 (6–20 Nutzer): erhöhte Anforderungen, ca. 30 Maßnahmen. Anlage 3 (über 20 Nutzer oder Datenverarbeitung in der Praxis als Hauptzweck, z. B. MVZ): hohe Anforderungen, 40+ Maßnahmen. Jede Praxis muss die Umsetzung dokumentieren — stichprobenartige KV-Prüfungen sind üblich.

Was ist der TI-Konnektor und brauche ich ihn noch?

Der TI-Konnektor verbindet die Praxis sicher mit der Telematik-Infrastruktur (eRezept, KIM, ePA). Die gematik hat den Ablösungsprozess der heutigen Standalone-Konnektoren beschlossen — in Richtung TI 2.0 mit Cloud-Konnektor (TI-Gateway). Bis zum flächendeckenden Umstieg bleibt der Hardware-Konnektor Pflicht. Wichtig: alle drei bis fünf Jahre laufen die Zertifikate ab, Austausch ist dann notwendig. Ab Ende 2025/Anfang 2026 starten erste Bundesländer mit TI-Gateway-Pilotbetrieben — flächendeckender Umstieg voraussichtlich 2027.

Ab wann gilt die eRezept-Pflicht und wer ist davon ausgenommen?

Seit 1.1.2024 ist das elektronische Rezept für verschreibungspflichtige (apothekenpflichtige) Arzneimittel in der vertragsärztlichen Versorgung Pflicht. Ausnahmen: Betäubungsmittel-Rezepte (BTM) waren bis Juli 2025 ausgenommen und sind seitdem schrittweise integriert, Reha- und Heilmittel-Verordnungen sowie Hilfsmittel-Verordnungen laufen noch auf Papier. Privatrezepte sind nicht pflichtig, aber technisch seit 2024 möglich.

Was ist KIM und warum ist es wichtiger als E-Mail?

KIM (Kommunikation im Medizinwesen) ist der gematik-Standard für verschlüsselten Nachrichtenaustausch zwischen Leistungserbringern — Ärzte, Apotheken, Krankenhäuser, Krankenkassen. Seit 2021 Pflicht für den Versand, seit 2023 auch für den Empfang. KIM ersetzt schrittweise Fax und unverschlüsselte E-Mail. Typische Nutzung: eArztbrief, eAU (elektronische Arbeitsunfähigkeit), eVerordnungen. Technisch läuft KIM im PVS integriert — eine separate E-Mail-Oberfläche ist nicht mehr nötig.

Wie sichere ich Patientendaten DSGVO-konform?

Patientendaten sind „besondere Kategorien" nach Art. 9 DSGVO und erfordern strengere Schutzmaßnahmen als normale personenbezogene Daten. Konkret: Verschlüsselte Übertragung (KIM, nicht unverschlüsseltes Fax), verschlüsselte Speicherung (PVS-Server mit Festplatten-Verschlüsselung), rollenbasierte Zugriffskontrolle (Helferinnen nur auf Terminbuchung, Ärzte vollständig), Auftragsverarbeitungsverträge mit PVS-Hersteller und IT-Dienstleister, regelmäßige Zugriffsprotokoll-Prüfungen, Löschkonzept nach Aufbewahrungsfristen.

Darf ich das Wartezimmer-WLAN gleichzeitig fürs Praxisnetz nutzen?

Nein. Patienten-WLAN und Praxisnetz müssen strikt getrennt sein — typisch über VLAN oder zwei getrennte Router. Ein Patient mit infiziertem Laptop im gemeinsamen Netz kann sonst die PVS-Arbeitsplätze angreifen. Die KBV-Richtlinie verlangt diese Trennung in Anlage 1 unter „Netzwerksegmentierung". Bei der KV-Prüfung ist das ein Standard-Stichprobenpunkt.

Was kostet eine sichere Praxis-IT für eine Einzelpraxis?

Typische Einzelpraxis mit 3–5 Arbeitsplätzen: einmalig etwa 8.000–15.000 Euro für Server-Hardware, TI-Konnektor, eHBA/SMC-B, Firewall, Backup-System, WLAN-Trennung, initiale DSGVO-Dokumentation. Laufend 250–500 Euro pro Monat für Wartung, Monitoring, Backup-Überwachung, KIM- und eRezept-Support, TI-Zertifikatsverwaltung. Zuschüsse: die KBV zahlt Pauschalen für TI-Ausstattung — Höhe variiert nach Anlage.

Wie oft muss ein Backup getestet werden?

Mindestens quartalsweise — besser monatlich. Ein Backup, das nie zurückgespielt wurde, ist kein Backup. In der Praxis bedeutet das: eine Test-Wiederherstellung auf einem separaten System, Nachweis dass das PVS mit den Daten startet, Protokoll mit Datum und Ergebnis. Die KBV-Richtlinie Anlage 1 verlangt dokumentierte Backup-Prüfungen — ohne Protokoll gilt der Punkt als nicht umgesetzt.