IT-Dienstleister wechseln: Eine saubere Übergabe in sechs Schritten

Die sechs Schritte eines sauberen Wechsels

Ein IT-Dienstleisterwechsel klingt nach mehr Aufwand, als er ist. Die meisten Praxen, die bei uns anlanden, haben das viel zu lange vor sich hergeschoben, weil sie dachten, ein Wechsel sei riskant. Tatsächlich ist es meistens umgekehrt: der alte Zustand ist das Risiko, der Wechsel die Lösung.

1. 1
   Vertrag prüfen und kündigen
   Holen Sie den aktuellen Betreuungsvertrag heraus. Prüfen Sie Kündigungsfristen und Laufzeiten. Kündigen Sie schriftlich und per Einschreiben. Halten Sie das Übergabedatum schriftlich fest. Ab diesem Zeitpunkt laufen alle weiteren Schritte.
2. 2
   Vollständige Übergabeliste anfordern
   Schicken Sie dem alten Dienstleister schriftlich eine Anforderung für alle Unterlagen (Zugangsdaten, Lizenzen, Netzwerkplan, Gerätekonfigurationen, Compliance-Dokumentation). Setzen Sie eine Frist von zwei Wochen. Das Dokument gilt als Nachweis, falls es später Auseinandersetzungen gibt.
3. 3
   Neuen Dienstleister parallel einbinden
   Der neue Dienstleister führt die Infrastruktur-Analyse durch, bevor die Übergabe stattfindet. So kann er Lücken in der Dokumentation sofort identifizieren und offene Fragen noch klären, solange der alte Dienstleister erreichbar ist.
4. 4
   Systeme gemeinsam übergeben
   Idealerweise gibt es einen gemeinsamen Übergabetermin, bei dem alter und neuer Dienstleister anwesend sind. In der Praxis weigert sich der alte Anbieter manchmal. Dann reicht eine dokumentierte Remote-Übergabe, bei der alle Zugänge geprüft und übernommen werden.
5. 5
   Übergabe schriftlich bestätigen
   Nach der Übergabe bestätigt der neue Dienstleister schriftlich, was er erhalten hat und was fehlt. Was fehlt, bleibt als offene Anforderung beim alten Dienstleister stehen.
6. 6
   Alten Zugang widerrufen
   Sobald die Übergabe abgeschlossen ist, werden alle Zugänge des alten Dienstleisters gesperrt: VPN-Zugänge, Remote-Desktop-Konten, Admin-Passwörter. Das ist ein DSGVO-Pflichtschritt, der oft vergessen wird.

Was der alte Dienstleister herausgeben muss

Diese Unterlagen gehören der Praxis und müssen auf Anfrage herausgegeben werden:

Zugangsdaten Alle Passwörter für Router, Server, Firewall, WLAN, PVS-Administration, Cloud-Konten (Microsoft 365, Google Workspace, OneDrive), KIM-Zugänge, TI-Konnektorzugänge. Wenn ein Dienstleister Passwörter mit dem Argument zurückhält, er habe „seine eigenen Systeme genutzt", ist das juristisch nicht haltbar, sofern die Systeme für die Praxis betrieben wurden.

Lizenzen und Verträge Alle Software-Lizenzen, die für die Praxis abgeschlossen wurden: Betriebssystem, Office, Virenschutz, Backup-Software, PVS-Support. Inklusive Lizenzschlüssel und Vertragsnummern.

Netzwerkplan und Gerätekonfigurationen Ein aktueller Netzwerkplan mit IP-Adressen, Subnetzen, VLAN-Struktur und Gerätepositionen. Außerdem die Konfigurationsdateien der Router und Firewalls, oder zumindest eine lesbare Beschreibung der Konfiguration.

Compliance-Dokumentation §75b-Dokumentation, DSGVO-Verfahrensverzeichnis, Backup-Konzept, Berechtigungskonzept, Notfallplan. Alles, was im Rahmen der laufenden Betreuung erstellt wurde.

Quelle: Verordnung (EU) 2016/679 (DSGVO)DSGVO Art. 28: Pflichten des Auftragsverarbeiters bei Vertragsende.

Was rechtlich gilt, wenn er sich weigert

Die häufigste Verzögerungstaktik ist nicht offene Verweigerung, sondern Zögerlichkeit: Unterlagen werden scheibchenweise herausgegeben, Rückfragen werden langsam beantwortet, der Übergabetermin verschoben.

Rechtlich ist die Lage eindeutig: der Auftragsverarbeiter nach DSGVO hat nach Vertragsende die Pflicht, alle personenbezogenen Daten zu löschen oder zurückzugeben. Zugangsdaten und Konfigurationen sind Eigentum der Praxis, unabhängig davon, wer sie erstellt hat.

Wenn ein Dienstleister sich weigert:

1. Schriftliche Fristsetzung mit konkreter Frist (sieben Werktage), per Einschreiben.
2. Wenn die Frist verstreicht: Anwaltliche Mahnung.
3. Parallel: KV informieren, falls der Dienstleister auch TI-Konnektorzugänge hält und die TI-Anbindung dadurch gefährdet ist.

In der Praxis regeln sich die meisten Situationen nach dem ersten schriftlichen Brief. Kein IT-Dienstleister will wegen verweigerten Zugangsdaten vor Gericht.

Wie lange ein Wechsel realistisch dauert

Vier Phasen mit Zeitrahmen:

• Kündigung und Ankündigung: eine bis zwei Wochen, abhängig von der Reaktion des alten Anbieters.
• Infrastruktur-Analyse durch neuen Anbieter: eine Woche.
• Parallelbetrieb und Übergabe: zwei bis vier Wochen. In dieser Zeit ist der alte Anbieter noch aktiv, der neue Anbieter kennt das System bereits.
• Vollständige Übernahme: ab dem Übergabetag sofort.

Insgesamt dauert ein Wechsel ohne besondere Komplikationen vier bis sechs Wochen. Bei komplexer Infrastruktur (Mehrstandort, Dialysegeräte, spezielles PVS) können es acht bis zehn Wochen sein.

Warnsignale, dass ein Wechsel überfällig ist

Nicht jede schlechte Erfahrung mit einem IT-Dienstleister ist ein Wechselsignal. Fehler passieren. Aber manche Muster zeigen, dass strukturell etwas nicht stimmt:

Reaktionszeit ist nicht planbar. Sie rufen an, wenn das System nicht läuft, und wissen nicht, ob jemand in einer Stunde kommt oder in drei Tagen eine E-Mail schickt. Keine Praxis kann mit dieser Unsicherheit planen.

Kein Backup-Nachweis auf Anfrage. Wenn Sie Ihren IT-Betreuer fragen, wann zuletzt ein Restore-Test durchgeführt wurde, und er keine konkrete Antwort hat: das Backup existiert möglicherweise, ist aber nicht geprüft.

Preise steigen ohne Gespräch. Eine Anpassung an gestiegene Kosten ist legitim. Eine Rechnung, die jedes Jahr teurer wird, ohne dass jemand erklärt, was sich verändert hat, ist ein Warnsignal.

Kein Medizin-IT-Wissen. Wenn der Betreuer beim Namen Medistar oder Nephro7 zögert oder TI-Konnektor-Fragen an den PVS-Hersteller weiterleitet, betreut er keine medizinische Praxis aus Überzeugung, sondern weil er zufällig einen Auftrag bekommen hat.

Keine Dokumentation. Wer bei einem IT-Dienstleister nach der §75b-Dokumentation fragt und erklärt bekommt, „das haben wir nie gemacht", hat ein Compliance-Problem, das mit jedem KV-Prüfjahr größer wird.