§390-Checkliste: Pflichtmaßnahmen für Ihre Praxis zum Abhaken

Die IT-Sicherheitsrichtlinie nach §390 SGB V (vormals §75b), übersetzt in verständliche Punkte. Gehen Sie die Liste Gruppe für Gruppe durch und haken Sie ab, was bereits erfüllt ist. Die Kürzel (z. B. A1-14) entsprechen den Maßnahmen-Nummern der Richtlinie.

Teil A · Anlage 1: Pflicht für alle Praxen

Basis-Anforderungen, unabhängig von der Praxisgröße.

1. Personal, Organisation & Verantwortlichkeiten

2. Sensibilisierung & Schulung

3. Updates (Patch- & Änderungsmanagement)

4. Endgeräte, Zugriffsschutz & Datensicherung

5. E-Mail-Sicherheit

6. Mobilgeräte

7. Internet & mobile Datenträger

8. Cloud-Anwendungen

9. Datenschutz (DSGVO-Schnittstelle)

Teil B · Anlage 2: zusätzlich ab 6 Personen

Praxen mit 6–20 Personen setzen Teil A und diese Punkte um.

Teil C · Anlage 4: medizinische Großgeräte

Gilt größenunabhängig, sobald z. B. DVT oder 3D-Röntgen vorhanden ist.

Teil C · Anlage 5: Telematikinfrastruktur (TI)

Gilt größenunabhängig für alle Praxen mit TI-Anbindung.

Mehrere Punkte offen? Das ist normal.

Genau dafür gibt es den §390-Praxis-Check: Wir gehen diese Liste gemeinsam durch, ermitteln Ihren Umsetzungsstand und Sie erhalten einen verständlichen Ampel-Report mit priorisierten nächsten Schritten. Verantwortlich für die Umsetzung bleibt die Praxisinhaberin bzw. der Praxisinhaber, ich setze die Maßnahmen mit Ihnen um und dokumentiere sie prüfsicher.

Quellen & Hinweis (Stand: Juli 2026)

Grundlage sind die IT-Sicherheitsrichtlinie nach §390 SGB V sowie die Veröffentlichungen von KZBV und BSI. Diese Checkliste dient der Orientierung, ersetzt weder den offiziellen Richtlinientext noch eine Rechts- oder Datenschutzberatung. Maßgeblich ist die jeweils gültige Fassung der Richtlinie.

Vom Abhaken zur Umsetzung.

Im kostenlosen Erstgespräch klären wir Ihren Stand, danach erhalten Sie den Ampel-Report mit klaren Prioritäten.