Wissen · Pflichten
§390 SGB V: die IT-Sicherheitspflichten für Praxen im Überblick
Seit 2021 verpflichtet die IT-Sicherheitsrichtlinie nach §390 SGB V (vormals §75b) Arzt-, Zahnarzt- und Psychotherapiepraxen zu konkreten technischen und organisatorischen Maßnahmen, gestaffelt nach Praxisgröße. Hier erfahren Sie verständlich, was Pflicht ist, welche Fristen gelten und wo Sie offiziell nachlesen können.
Worum geht es bei §390 SGB V?
§390 SGB V (bis 2024 §75b SGB V) verpflichtet die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV), verbindliche Anforderungen an die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung festzulegen. Das Ergebnis ist die IT-Sicherheitsrichtlinie samt ihrer Anlagen.
Die Richtlinie konkretisiert die Datenschutz-Anforderungen (DSGVO) speziell für Praxen, wird jährlich an den Stand der Technik angepasst und ist für alle teilnehmenden Leistungserbringer verbindlich. Für Arztpraxen (KBV) ist die aktualisierte Fassung seit dem 1. April 2025 in Kraft, für Zahnarztpraxen (KZBV) seit dem 2. Juli 2025.
Pflichten wachsen mit der Praxisgröße
Die Anforderungen bauen aufeinander auf: Jede Praxis erfüllt Anlage 1, ab 6 Personen zusätzlich Anlage 2, ab 21 Personen zusätzlich Anlage 3. Maßgeblich sind die ständig mit der Datenverarbeitung betrauten Personen.
Gestaffelte Pflichten
Welche Anlagen für Ihre Praxis gelten
Die Anforderungen bauen aufeinander auf: Jede größere Praxis erfüllt zusätzlich die nächste Anlage. „Personen“ meint ständig mit der Datenverarbeitung betraute Personen.
Anlage 1: alle Praxen (Basis)
Gilt für jede Praxis, auch kleine (bis 5 Personen): Virenschutz, Firewall, Updates/Patch-Management, Datensicherung, Netzplan-Dokumentation, sichere Endgeräte/Apps, E-Mail- und Web-Nutzung, Mitarbeiter-Sensibilisierung.
Anlage 2: zusätzlich ab 6 Personen (mittlere Praxen)
Zusätzlich zu Anlage 1: u. a. Protokollierung/Alarmierung, Authentisierung (z. B. Windows), Regeln für mobile Geräte, Mobiltelefone und Wechseldatenträger.
Anlage 3: zusätzlich ab 21 Personen (große Praxen)
Zusätzlich zu Anlage 1 und 2: u. a. Netzwerksegmentierung, zentrales Mobilgeräte-Management (MDM), Anforderungen an medizinische Geräte und an den Betrieb eigener E-Mail-Server.
Anlage 4: medizinische Großgeräte
Ergänzend, wenn Großgeräte im Einsatz sind (z. B. CT, MRT, PET, Linearbeschleuniger, IVD-Laborgeräte): Zugriffsschutz, sichere Protokolle, Protokollierung, Netzsegmentierung.
Anlage 5: Komponenten der Telematikinfrastruktur (TI)
Für alle, die die TI nutzen: sichere Installation und Betrieb von Konnektor/TI-Gateway und Kartenlesegeräten, VPN-Absicherung, zeitnahe Updates, sichere Administrationsdaten.
Praxisgrößen kurz erklärt
Klein = bis 5, mittel = 6-20, groß = ab 21 ständig mit der Datenverarbeitung betraute Personen. Maßgeblich sind die genutzten Zielobjekte (Geräte/Komponenten) in Ihrer Praxis.
Fristen & Stand
Seit 2021
Erste Anforderungen verbindlich (u. a. Virenschutz, Backups, Apps, mobile Geräte).
Ärzte (KBV)
Aktualisierte Fassung seit 1. April 2025 in Kraft. Die ergänzten Anforderungen (u. a. Schulung, Personalprozesse) sind nach einer Übergangsfrist seit 1. Oktober 2025 umzusetzen.
Zahnärzte (KZBV)
Aktualisierte Fassung seit 2. Juli 2025 in Kraft. Die neuen Anforderungen sind für Zahnarztpraxen verbindlich seit 2. Januar 2026.
Laufend
Jährliche Überprüfung und Anpassung an den Stand der Technik.
Was passiert bei Nichteinhaltung?
IT-Sicherheit nach §390 ist kein „Nice-to-have“: Fehlen Maßnahmen oder die Dokumentation, drohen finanzielle und rechtliche Folgen, und im Ernstfall der Ausfall der Praxis. Gut umgesetzt ist sie dagegen ein belastbarer Schutz für Ihren Betrieb.
Honorarkürzung
Die KV/KZV kann das Honorar kürzen, wenn Pflichtmaßnahmen fehlen.
DSGVO-Bußgeld
Bei Datenschutzverstößen drohen Bußgelder. Gesundheitsdaten gelten als besonders sensibel (Art. 9 DSGVO).
Persönliche Verantwortung
Verantwortlich ist die Praxisinhaberin/der Praxisinhaber, nicht der IT-Dienstleister.
So setze ich §390 mit Ihnen um
Ich bin Ihr IT-Dienstleister für die Umsetzung, keine Zertifizierungsstelle und keine Rechtsberatung. Die Nutzung eines von der KBV zertifizierten Dienstleisters ist übrigens freiwillig. Entscheidend ist, dass die Anforderungen sauber umgesetzt und dokumentiert sind.
Ist-Aufnahme (Ampel-Report)
Wo stehen Sie gegenüber den Anlagen 1-5? Klarer Überblick über Stärken und Lücken.
Umsetzung & Dokumentation
Ich setze die Maßnahmen technisch um und dokumentiere sie prüfsicher, herstellerunabhängig.
Jährliche Re-Prüfung
Ich halte Ihre Maßnahmen aktuell, passend zur jährlichen Anpassung der Richtlinie.
FAQ
Häufige Fragen zu §390 SGB V
Ist §390 dasselbe wie §75b?
Ja. Die Regelung wurde inhaltlich von §75b SGB V nach §390 SGB V überführt. Gemeint ist dieselbe IT-Sicherheitspflicht für Praxen.
Wer ist betroffen?
Alle an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Praxen (Ärzte, Zahnärzte, Psychotherapeuten). Krankenhäuser fallen unter eine eigene Regelung (§391).
Welche Anlagen muss ich umsetzen?
Jede Praxis Anlage 1. Ab 6 Personen zusätzlich Anlage 2, ab 21 Personen zusätzlich Anlage 3. Anlage 4 bei medizinischen Großgeräten, Anlage 5 für die genutzten TI-Komponenten.
Brauche ich einen von der KBV zertifizierten Dienstleister?
Nein, das ist freiwillig. Sie dürfen jeden geeigneten Dienstleister wählen. Wichtig ist die fachgerechte, dokumentierte Umsetzung der Anforderungen.
Ersetzt §390 die DSGVO?
Nein. §390 konkretisiert IT-Sicherheitsanforderungen für Praxen, die DSGVO gilt zusätzlich. Ich setze beides anschlussfähig um.
Zum Nachlesen
Offizielle Quellen & weiterführende Links
Diese Seite gibt die offiziellen Anforderungen verständlich wieder. Verbindlich ist der Wortlaut der Richtlinie und des Gesetzes. Das ersetzt keine Rechtsberatung. Externe Links öffnen in neuem Tab.
Stand der Recherche: Juli 2026. Arztpraxen (KBV): Fassung seit 1. April 2025, ergänzte Anforderungen seit 1. Oktober 2025. Zahnarztpraxen (KZBV): Fassung seit 2. Juli 2025, verbindlich seit 2. Januar 2026.
Wo steht Ihre Praxis bei §390?
Ich prüfe Ihren Status, setze die Pflichtmaßnahmen um und dokumentiere sie prüfsicher, aus einer Hand.
