§390-Checkliste: Pflichtmaßnahmen für Ihre Praxis zum Abhaken
Die IT-Sicherheitsrichtlinie nach §390 SGB V (vormals §75b), übersetzt in verständliche Punkte. Gehen Sie die Liste Gruppe für Gruppe durch und haken Sie ab, was bereits erfüllt ist. Die Kürzel (z. B. A1-14) entsprechen den Maßnahmen-Nummern der Richtlinie.
Teil A · Anlage 1: Pflicht für alle Praxen
Basis-Anforderungen, unabhängig von der Praxisgröße.
1. Personal, Organisation & Verantwortlichkeiten
2. Sensibilisierung & Schulung
3. Updates (Patch- & Änderungsmanagement)
4. Endgeräte, Zugriffsschutz & Datensicherung
5. E-Mail-Sicherheit
6. Mobilgeräte
7. Internet & mobile Datenträger
8. Cloud-Anwendungen
9. Datenschutz (DSGVO-Schnittstelle)
Teil B · Anlage 2: zusätzlich ab 6 Personen
Praxen mit 6–20 Personen setzen Teil A und diese Punkte um.
Teil C · Anlage 4: medizinische Großgeräte
Gilt größenunabhängig, sobald z. B. DVT oder 3D-Röntgen vorhanden ist.
Teil C · Anlage 5: Telematikinfrastruktur (TI)
Gilt größenunabhängig für alle Praxen mit TI-Anbindung.
Mehrere Punkte offen? Das ist normal.
Genau dafür gibt es den §390-Praxis-Check: Wir gehen diese Liste gemeinsam durch, ermitteln Ihren Umsetzungsstand und Sie erhalten einen verständlichen Ampel-Report mit priorisierten nächsten Schritten. Verantwortlich für die Umsetzung bleibt die Praxisinhaberin bzw. der Praxisinhaber, ich setze die Maßnahmen mit Ihnen um und dokumentiere sie prüfsicher.
Quellen & Hinweis (Stand: Juli 2026)
Grundlage sind die IT-Sicherheitsrichtlinie nach §390 SGB V sowie die Veröffentlichungen von KZBV und BSI. Diese Checkliste dient der Orientierung, ersetzt weder den offiziellen Richtlinientext noch eine Rechts- oder Datenschutzberatung. Maßgeblich ist die jeweils gültige Fassung der Richtlinie.
Vom Abhaken zur Umsetzung.
Im kostenlosen Erstgespräch klären wir Ihren Stand, danach erhalten Sie den Ampel-Report mit klaren Prioritäten.
