| 5. Juni 2026 | 11 Min.

IT für Arztpraxen in Hamburg: TI, Datenschutz & sicherer Praxisbetrieb

Jens Hagel in IT-Sicherheit

Inhalt in Kürze

Eine Arztpraxis braucht mehr als einen funktionierenden Drucker: Telematikinfrastruktur (TI), die IT-Sicherheitsrichtlinie der KBV und der Schutz von Gesundheitsdaten sind Pflicht — nicht Kür.
Gesundheitsdaten zählen nach Artikel 9 DSGVO zur besonderen Kategorie personenbezogener Daten und genießen den höchsten Schutz. Fehler werden teuer.
Die TI-Komponenten — Konnektor/TI-Gateway, Praxisausweis (SMC-B), KIM, ePA und eRezept — müssen sicher betrieben werden, sonst stockt der ganze Praxisbetrieb.
Der häufigste Fehler: Die Praxis-IT wächst über Jahre zusammen, niemand prüft Backups, und der Datenschutz steht nur auf dem Papier. Das lässt sich ändern — geräuschlos im laufenden Betrieb.

Das Wartezimmer ist voll, das Telefon klingelt, und am Empfang hängt das Kartenlesegerät. Mittendrin meldet das Praxisverwaltungssystem einen Fehler. Wer soll sich jetzt um IT kümmern?

Genau hier liegt das Problem vieler Hamburger Praxen: IT ist überlebenswichtig, aber niemand im Team hat Zeit oder das Wissen dafür. Dieser Leitfaden erklärt IT für Arztpraxen in Hamburg so, dass Sie als Inhaberin oder Praxismanager mitreden können — ohne IT-Studium. Wir gehen die drei großen Themen durch: Telematikinfrastruktur, IT-Sicherheit nach KBV und Datenschutz für Gesundheitsdaten.

Telematikinfrastruktur: das Rückgrat der Praxis-IT

Die Telematikinfrastruktur ist das geschlossene, gesicherte Netz des deutschen Gesundheitswesens. Über sie laufen eRezept, elektronische Patientenakte (ePA) und der sichere Datenaustausch zwischen Praxen, Apotheken und Krankenkassen. Ohne TI-Anschluss kann eine vertragsärztliche Praxis heute nicht mehr arbeiten.

Damit die TI läuft, müssen mehrere Bausteine zusammenspielen:

Konnektor beziehungsweise TI-Gateway. Die gesicherte Schnittstelle zwischen Ihrer Praxis und dem TI-Netz. Sie wird gerade von der klassischen Hardware-Box auf einen modernen Gateway-Betrieb umgestellt.
Praxisausweis (SMC-B). Die elektronische „Identität" Ihrer Praxis. Ohne ihn meldet sich Ihre Einrichtung nicht an der TI an.
Elektronischer Heilberufsausweis (eHBA). Die persönliche Signaturkarte des Arztes oder Psychotherapeuten — etwa für die qualifizierte elektronische Signatur.
KIM — Kommunikation im Medizinwesen. Der sichere, verschlüsselte E-Mail-Dienst der TI, zum Beispiel für den eArztbrief.
Praxisverwaltungssystem (PVS). Ihre zentrale Software, in der alle Fäden zusammenlaufen. Sie muss sauber an die TI angebunden sein.

Die gute Nachricht für die Kasse: Praxen erhalten seit Juli 2023 eine monatliche TI-Pauschale, die Installation und laufenden Betrieb der Telematikinfrastruktur abdeckt. Details und aktuelle Beträge veröffentlicht die Kassenärztliche Bundesvereinigung zur TI-Finanzierung. Ein erfahrener IT-Partner sorgt dafür, dass Sie die Förderbedingungen einhalten und keine Ausstattung doppelt zahlen.

Auf der TI setzen die eigentlichen Anwendungen auf, mit denen Sie täglich arbeiten. Das eRezept hat das rosa Papierformular abgelöst und läuft direkt aus dem PVS zur Apotheke. Die elektronische Patientenakte (ePA) sammelt Befunde, Medikationspläne und Dokumente über Praxisgrenzen hinweg — mit dem klaren Vorteil, dass eine Vertretung sofort den vollständigen Verlauf sieht. Und KIM ersetzt den Fax-Versand von Arztbriefen durch verschlüsselte E-Mail innerhalb der TI. Für Sie heißt das: weniger Papier, weniger Medienbrüche — aber nur, wenn die Technik dahinter zuverlässig läuft.

Das Wichtigste: Die TI ist kein einzelnes Gerät, sondern ein Zusammenspiel aus Gateway, Karten, KIM und Ihrem PVS. Fällt ein Baustein aus, steht oft der ganze Praxisbetrieb. Deshalb gehört die TI in die Hände von Profis — nicht ans Empfangspersonal nebenbei.

IT-Sicherheitsrichtlinie der KBV: was Pflicht ist

Hier wird es verbindlich. Jede Praxis muss die IT-Sicherheitsrichtlinie der KBV einhalten. Die gesetzliche Grundlage steht im Sozialgesetzbuch V — heute in § 390 SGB V, früher § 75b. Das ist keine freiwillige Empfehlung, sondern eine Pflicht für alle vertragsärztlichen und vertragspsychotherapeutischen Praxen.

Die Richtlinie ist nach Praxisgröße gestaffelt: Eine Einzelpraxis muss weniger nachweisen als ein großes MVZ mit vielen Arbeitsplätzen. Für Praxen mit TI-Anschluss regelt zusätzlich die Anlage 5 konkrete Anforderungen an die dezentralen TI-Komponenten. Die Übersicht und die jeweils gültige Fassung finden Sie bei der KBV zum Thema IT-Sicherheit in der Praxis.

Pflicht, nicht Kür:

Die IT-Sicherheitsrichtlinie der KBV ist gesetzlich vorgeschrieben. Wer sie nicht erfüllt, riskiert nicht nur Datenschutzverstöße, sondern auch Probleme bei Prüfungen und im Schadensfall — etwa wenn eine Cyber-Versicherung wegen fehlender Mindeststandards nicht zahlt.

Was bedeutet das im Alltag? Es geht um nachvollziehbare Mindeststandards: aktuelle Software, kontrollierte Zugriffe, geschützte Endgeräte, sichere mobile Anwendungen und ein durchdachter Umgang mit Passwörtern. Wie eine solche Bestandsaufnahme in der Praxis abläuft, zeigt unsere Fallstudie zur Praxis-IT einer Hamburger Therapiepraxis: Fünf typische Lücken, die wir immer wieder finden — und wie man sie schließt.

Damit Sie eine erste Einschätzung bekommen, haben wir die wichtigsten Punkte als praxisnahen Selbstcheck zusammengestellt. Den ausführlichen IT-Guide für Arztpraxen gibt es kostenlos dazu — ohne Vertriebsgeschwätz:

Datenschutz für Gesundheitsdaten: die höchste Stufe

Patientendaten sind die sensibelsten Daten überhaupt. Das sieht auch das Gesetz so: Gesundheitsdaten gelten nach Artikel 9 DSGVO als besondere Kategorie personenbezogener Daten und genießen den höchsten Schutz. Den genauen Wortlaut können Sie beim Amt für Veröffentlichungen der EU zu Artikel 9 DSGVO nachlesen.

Praktisch heißt das: Jeder, der Zugriff auf Patientendaten hat, braucht einen guten Grund dafür — und der muss kontrolliert werden. Dazu kommen die ärztliche Schweigepflicht und das Berufsrecht. Drei Bereiche sind im Alltag besonders wichtig:

Ärztin am Computer mit Patientenakte — Datenschutz für Gesundheitsdaten in der Arztpraxis — Gesundheitsdaten genießen nach Artikel 9 DSGVO den höchsten Schutz — verschlüsselt, zugriffskontrolliert, nachweisbar.

Verschlüsselung: Jedes Notebook, jeder Server, jeder USB-Stick mit Patientendaten muss verschlüsselt sein. Geht ein Gerät verloren, sind die Daten dann unlesbar — und das ist im Ernstfall der Unterschied zwischen „Pech" und „meldepflichtiger Datenpanne".
Zugriffskontrolle: Jeder im Team bekommt nur die Rechte, die er für seine Arbeit braucht. Die Empfangskraft sieht nicht dasselbe wie die Ärztin. Sammel-Logins für alle gehören abgeschafft.
Sichere Kommunikation: Befunde gehören nicht unverschlüsselt in eine normale E-Mail. Innerhalb der TI nutzen Sie KIM, außerhalb braucht es verschlüsselten Transport und klare Regeln, was überhaupt per Mail verschickt werden darf.

Gerade beim Thema E-Mail entstehen viele Pannen — durch Phishing, falsche Empfänger oder unverschlüsselte Anhänge. Wie Sie das in den Griff bekommen, lesen Sie in unserem Beitrag zur E-Mail-Sicherheit für Unternehmen. Und wenn Patientendaten in der Cloud liegen — etwa im Backup oder beim PVS-Anbieter — gelten besondere Regeln, die wir im Artikel zu Compliance und Datenschutz in der Cloud erklären.

Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Das gilt für eine Praxis genauso wie für jedes andere Unternehmen. Gerade weil Gesundheitsdaten so sensibel sind, ist ein kompromittierter Zugang hier besonders gefährlich. Zwei-Faktor-Authentifizierung für das PVS, für E-Mail und für jeden Fernzugriff ist deshalb kein „Nice to have”, sondern Grundausstattung.

Die häufigsten Schwachstellen in Praxen

In den meisten Praxen ist die IT über Jahre gewachsen. Jeder neue Behandlungsraum bekam einen Rechner, jede neue Software ihren eigenen Login, und irgendwann verliert man den Überblick. Das ist menschlich — aber es entstehen Lücken, die im Ernstfall richtig wehtun. Diese vier Schwachstellen sehen wir bei Hamburger Praxen am häufigsten:

Schwachstelle	Was schiefgeht	Warum es gefährlich ist
Ungetestete Backups	Sicherung läuft „irgendwie”, wird aber nie geprüft	Im Ernstfall ist nichts wiederherstellbar — der Praxisbetrieb steht tagelang
Sammel-Logins	Alle nutzen denselben Windows- oder PVS-Zugang	Niemand weiß, wer was getan hat; Zugriffe sind nicht nachvollziehbar
Veraltete Geräte	Rechner mit nicht mehr unterstütztem Betriebssystem am Empfang	Bekannte Sicherheitslücken bleiben offen — ein gefundenes Fressen für Angreifer
Keine 2-Faktor-Sicherung	PVS und E-Mail nur mit Passwort geschützt	Ein erratenes oder erbeutetes Passwort öffnet die ganze Praxis

Das Tückische: Solange nichts passiert, fällt nichts auf. Erst der Vorfall — eine verschlüsselte Festplatte, ein abhandengekommenes Notebook, eine Phishing-Mail, auf die jemand geklickt hat — bringt die Lücken ans Licht. Dann ist es teuer und stressig. Deutlich klüger ist es, einmal sauber aufzuräumen, bevor etwas passiert.

Genau das macht die meiste Arbeit aus: nicht das große Drama, sondern die vielen kleinen Details. Verschlüsselung auf jedem Gerät, individuelle Logins, ein getestetes Backup, automatische Updates. Klingt unspektakulär — ist aber der Unterschied zwischen einer Praxis, die nach einem Vorfall am nächsten Tag weiterarbeitet, und einer, die wochenlang stillsteht.

Stabiler Praxisbetrieb: wenn die IT einfach laufen muss

Compliance ist die eine Seite. Die andere ist der ganz normale Montagmorgen, an dem alles funktionieren muss. Fällt das PVS aus, stehen Anmeldung, Abrechnung, eRezept und Dokumentation still. Das Wartezimmer merkt das sofort.

Diese drei Dinge entscheiden über einen stabilen Betrieb:

Art. 9

DSGVO-Schutz für Patientendaten

§ 390

SGB V — KBV-Sicherheitsrichtlinie

ab 50 €

pro Arbeitsplatz/Monat (Festpreis)

Erstens: geprüfte Backups. Ein Backup, das niemand testet, ist nur eine Hoffnung. Wir sehen regelmäßig Sicherungen, die seit Monaten nicht mehr durchgelaufen sind — bis der Ernstfall kommt. Backups müssen automatisch laufen und regelmäßig auf Wiederherstellbarkeit geprüft werden.

Zweitens: zuverlässige Anbindung. ERezept und TI brauchen Internet. Eine redundante Anbindung oder zumindest ein Notfallplan verhindert, dass ein gerissenes Kabel die Praxis lahmlegt.

Drittens: schneller Support. Wenn am Empfang nichts mehr geht, hilft kein Ticket, das in drei Tagen bearbeitet wird. Sie brauchen jemanden, der sofort drauf schaut. Genau das ist der Kern unserer Managed IT für Praxen zum Festpreis: planbare Kosten, klare Reaktionszeiten, ein fester Ansprechpartner.

Dazu kommt der Faktor Mensch. Die beste Technik nützt wenig, wenn jemand am Empfang auf eine täuschend echte Phishing-Mail klickt. Kurze, regelmäßige Sensibilisierung gehört deshalb genauso zur Praxis-IT wie das Backup — gerade in einem Team, das tagsüber kaum Luft hat, sich mit Sicherheit zu beschäftigen. Ein guter IT-Partner nimmt Ihnen das ab und schult Ihr Team in verständlicher Sprache, nicht in IT-Kauderwelsch.

Tipp:

Testen Sie Ihren Notfall einmal durch, bevor er passiert: Wer wird angerufen, wenn morgens nichts geht? Wo liegt die letzte funktionierende Sicherung? Wie lange dauert die Wiederherstellung? Wer diese drei Fragen beantworten kann, schläft ruhiger.

Warum eine normale IT-Firma oft nicht reicht

Viele Praxen lassen ihre IT von einem Allround-Dienstleister betreuen, der „auch Praxen macht”. Das geht oft jahrelang gut — bis es das nicht mehr tut. Denn eine Praxis hat Anforderungen, die ein normaler IT-Betrieb nicht kennt: die TI-Anbindung, die KBV-Richtlinie, die Schweigepflicht, das Zusammenspiel mit dem PVS-Hersteller.

Wir hatten 24 Jahre lang denselben IT-Dienstleister — bis er plötzlich Insolvenz angemeldet hat. Von einem Tag auf den anderen standen wir ohne Support da. Seitdem wissen wir: Man braucht einen Partner, der stabil aufgestellt ist.

Marcus Wendt · Geschäftsführer, Medizintechnik, 35 Mitarbeiter

Genau darum geht es: Verlässlichkeit. Ein IT-Partner für das Gesundheitswesen muss nicht nur die Technik beherrschen, sondern auch die Regeln und die Realität einer vollen Praxis. Was wir konkret für Praxen und Kliniken tun, lesen Sie auf unserer Seite zu IT für Arztpraxen und MVZ. Für Zahnärzte mit ihren eigenen Anforderungen an Praxissoftware und Röntgensysteme haben wir eine eigene Seite zu IT für Zahnarztpraxen.

Und weil das Thema Cyberangriff im Gesundheitswesen längst Alltag ist, lohnt sich auch ein Blick auf den richtigen Schutz im Schadensfall — wir erklären das im Beitrag zur Cyber-Versicherung 2026 für den Hamburger Mittelstand.

So sieht der Einstieg mit hagel IT aus

Sie müssen nicht alles auf einmal umstellen. Der bewährte Weg ist ein ehrlicher Blick auf den Ist-Zustand — und dann die wichtigsten Dinge zuerst.

Bestandsaufnahme: Wir schauen uns Ihre TI-Anbindung, das PVS, die Backups und den Stand der KBV-Richtlinie an. Sie bekommen eine verständliche Übersicht, wo Sie stehen.
Prioritäten setzen: Nicht alles ist gleich dringend. Wir sagen Ihnen ehrlich, was als Erstes passieren muss — und was warten kann.
Geräuschlos umsetzen: Die Umstellung läuft im laufenden Betrieb, ohne dass Ihr Wartezimmer etwas merkt. Danach ist Ihre IT in einer Hand — zum Festpreis.

Als IT-Dienstleister in Hamburg betreuen wir Betriebe mit 5 bis 150 Mitarbeitern in der Stadt und im norddeutschen Umland. Persönlich, mit festen Ansprechpartnern statt anonymer Hotline. Sagen Sie uns, wie Ihre Praxis-IT heute aussieht — wir sagen Ihnen klar, was zu tun ist.

Praxis-IT, die einfach läuft?

15 Minuten. Kostenlos. Ohne Vertriebsdruck.

Erstgespräch buchen →

Jens Hagel

Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel

Geschäftsführer · Hanse Service

Bester IT-Dienstleister

2026 — brand eins / Statista

Fallstudie · Beratung

Das serverlose Büro: Wie eine Hamburger Unternehmensberatung mit Cloud-IT und Microsoft 365 durchstartet – Erfahrungsbericht

Ausgezeichnete Bewertung

Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann

Alle ansehen

Inhalt

Alle Kundenstimmen

Ausgezeichnete Bewertung

Basierend auf 46 Bewertungen

Robin Koppelmann

Alle ansehen

Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Für den TI-Anschluss braucht eine Praxis ein TI-Gateway beziehungsweise einen Konnektor, einen elektronischen Praxisausweis (SMC-B), einen oder mehrere elektronische Heilberufsausweise (eHBA) sowie ein angebundenes Praxisverwaltungssystem (PVS). Darauf setzen die TI-Anwendungen auf: KIM für sichere E-Mails, das eRezept und die elektronische Patientenakte (ePA). Installation und Betrieb übernimmt in der Regel ein spezialisierter IT-Dienstleister.

Ja. Die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) ist gesetzlich vorgeschrieben — die Grundlage bildet das Sozialgesetzbuch V (heute § 390 SGB V, früher § 75b). Sie gilt für alle vertragsärztlichen und vertragspsychotherapeutischen Praxen. Welche Anforderungen konkret gelten, hängt von der Praxisgröße ab; für Praxen mit Anschluss an die Telematikinfrastruktur regelt Anlage 5 zusätzliche Vorgaben an die dezentralen TI-Komponenten.

Gesundheitsdaten gelten nach Artikel 9 DSGVO als besondere Kategorie personenbezogener Daten. Für sie gelten die höchsten Schutzanforderungen — neben der DSGVO greifen die ärztliche Schweigepflicht und berufsrechtliche Vorgaben. In der Praxis bedeutet das: verschlüsselte Datenträger, kontrollierte Zugriffsrechte, geschützte Kommunikation und ein nachweisbares Schutzkonzept. Verstöße können empfindliche Bußgelder nach sich ziehen.

Seriös lässt sich das nur nach einem Blick auf die Praxis sagen — Größe, Anzahl der Arbeitsplätze, vorhandenes PVS und der Zustand der Technik bestimmen den Aufwand. Managed IT bei hagel IT beginnt ab rund 50 Euro pro Arbeitsplatz und Monat als Festpreis. Darin sind Wartung, Updates, Sicherheit und Support enthalten. Wir starten immer mit einem kostenlosen 15-Minuten-Erstgespräch.

Ja. Praxen erhalten seit Juli 2023 eine monatliche TI-Pauschale, die Installation und laufenden Betrieb der Telematikinfrastruktur abdeckt. Sie wird über die Kassenärztliche Vereinigung gezahlt. Die genaue Höhe und die Voraussetzungen veröffentlicht die KBV; ein erfahrener IT-Partner hilft, die Förderbedingungen einzuhalten.

Ohne funktionierendes Praxisverwaltungssystem stehen Anmeldung, Abrechnung, eRezept und Dokumentation still — das Wartezimmer füllt sich, der Betrieb stockt. Deshalb gehören geprüfte Backups, redundante Internetanbindung und ein klarer Notfallplan zur Praxis-IT. Wichtig ist, dass das Backup regelmäßig getestet wird, nicht nur eingerichtet.

Nicht unbedingt. Eine Praxis hat besondere Anforderungen: TI-Anbindung, KBV-Sicherheitsrichtlinie, Schweigepflicht und der Umgang mit Gesundheitsdaten nach Artikel 9 DSGVO. Ein IT-Partner für Praxen kennt diese Pflichten und das Zusammenspiel mit dem PVS. Ein reiner Allround-Dienstleister stößt hier oft an Grenzen.

KIM (Kommunikation im Medizinwesen) ist der sichere, verschlüsselte E-Mail-Dienst innerhalb der Telematikinfrastruktur — etwa für eArztbriefe. Für die normale Praxis-Korrespondenz außerhalb der TI gelten weiter die üblichen Regeln: verschlüsselter Transport, Schutz vor Phishing und klare Vorgaben, welche Daten überhaupt per E-Mail verschickt werden dürfen. Gesundheitsdaten gehören nie unverschlüsselt in eine normale E-Mail.

Modern Workplace

Managed IT ★

Co-Managed IT

Enterprise IT