KBV §75b SGB V erklärt: Pflichten, Praxisgrößen, Prüfungen

Was §75b SGB V genau fordert

§75b im fünften Sozialgesetzbuch (SGB V) verpflichtet jede Vertragsarztpraxis, die mit dem PVS Patientendaten verarbeitet, zu strukturierter IT-Sicherheit. Die genauen Anforderungen stehen nicht im Gesetz selbst, sondern in der IT-Sicherheitsrichtlinie der KBV, die mehrfach pro Jahr aktualisiert wird.

Der zentrale Punkt: Praxisinhaberin oder Praxisinhaber haftet persönlich, wenn die Anforderungen nicht erfüllt werden und ein Schaden eintritt. Eine Versicherung greift bei nachweislichen Compliance-Lücken nur eingeschränkt.

Quelle: KBV IT-Sicherheitsrichtlinie (§75b SGB V)KBV IT-Sicherheitsrichtlinie nach §75b SGB V.

Die vier Praxis-Größen-Klassen

Die KBV stuft Praxen nach der Anzahl der Mitarbeitenden mit ständigem Zugriff auf das PVS:

Die Einstufung erfolgt durch die Praxis selbst, im Streitfall durch die zuständige KV. Eine Hausarztpraxis mit zwei Ärzten und drei MFAs fällt typischerweise in Klasse 1, ein MVZ mit zwei Standorten und 20 Mitarbeitenden in Klasse 2.

Pflicht-Dokumente im Detail

Unabhängig von der Größe sind diese Dokumente Pflicht und müssen bei einer Prüfung vorgelegt werden können:

• Berechtigungskonzept: Wer darf auf welche Daten zugreifen? Konkret pro Mitarbeitenden und pro Rolle.
• Backup-Konzept: Was wird wann gesichert, wo gelagert, wie wiederhergestellt? Inklusive dokumentierter Wiederherstellungs-Tests, mindestens quartalsweise.
• Notfallplan: Wer reagiert worauf, in welcher Reihenfolge? Konkret benannte Personen mit aktuellen Telefonnummern.
• Verfahrensverzeichnis nach DSGVO: Welche personenbezogenen Daten werden zu welchem Zweck verarbeitet?
• Technisch-organisatorische Maßnahmen (TOMs): Wie sind die Daten geschützt? Konkret in zwölf Schutzzielen (Vertraulichkeit, Integrität, Verfügbarkeit usw.).
• Schulungsnachweise: Wer wurde wann zu welchen IT-Sicherheitsthemen geschult? Inklusive Unterschriften.

Ab Klasse 2 kommen Patch-Management-Dokumentation und Netzwerk-Architektur- Beschreibung dazu. Ab Klasse 3 zusätzlich ein dokumentiertes Audit-Verfahren.

Was bei einer Stichprobenprüfung passiert

Die KV-Stichprobenprüfungen werden zunehmend strenger und treten in Rheinland-Pfalz und Hessen mit steigender Frequenz auf. Ein typischer Ablauf:

1. 1
   Ankündigung mit Fristsetzung
   Die KV kündigt die Prüfung schriftlich an, meist mit 4 Wochen Vorlaufzeit. Eine vorgegebene Liste von Dokumenten muss zum Termin bereitliegen.
2. 2
   Vorlage der Dokumentation
   Die Praxis sendet die Dokumente an die KV oder hält sie zum Vor-Ort-Termin bereit. Lücken werden in einem Protokoll festgehalten.
3. 3
   Nachforderung mit Frist
   Bei Lücken bekommt die Praxis eine zweite Frist (typisch 4 bis 8 Wochen), um nachzureichen oder Maßnahmen umzusetzen.
4. 4
   Eskalation bei wiederholten Verstößen
   Wenn nach der Nachforderung weiter Lücken bestehen, drohen Honorar-Kürzungen, Auflagen oder im Extremfall Zulassungsverfahren.

Wie ITCC die §75b-Dokumentation aufbaut

ITCC erstellt die §75b-Dokumentation als integralen Teil der Praxis-IT-Betreuung, nicht als separates Compliance-Produkt:

1. Bestandsaufnahme bei Onboarding: In der Erstanalyse werden alle relevanten Systeme erfasst, Berechtigungen dokumentiert, vorhandene Lücken aufgelistet.
2. Erstellung der Pflicht-Dokumente: Berechtigungskonzept, Backup-Konzept, Notfallplan, TOM-Beschreibung. Standardisierte Vorlagen, an Ihre Praxis angepasst.
3. Quartalsweise Aktualisierung: Bei jeder Veränderung (neuer Mitarbeitender, neue Hardware, neuer Standort) wird die Dokumentation aktualisiert, ohne dass Sie daran denken müssen.
4. Bereitstellung bei Prüfung: Wenn die KV anfragt, liegt die Dokumentation in der Cloud verschlüsselt vor und kann sofort übergeben werden.

Die Dokumentation gehört Ihnen, auch wenn Sie ITCC verlassen. Es gibt keinen Lock-in über die §75b-Dokumente.