Berechtigungskonzept & Zugriffsmatrix für Arztpraxen: Wer darf welche Patientendaten sehen?
Berechtigungskonzept und Zugriffsmatrix für die Arztpraxis: Wer darf welche Patientendaten sehen? Need-to-Know, Rechtevergabe und Rezertifizierung nach FMH E3.
Auf einen Blick (TL;DR):
> Hinweis: Dieser Beitrag erklärt das Konzept hinter Zugriffsrechten, also wer was sehen darf und wie Sie das sauber dokumentieren. Die technische Einrichtung im Praxissystem, im Verzeichnisdienst und im VPN gehört in die Hände Ihres IT-Partners, der die Vorgaben Ihres Berechtigungskonzepts umsetzt.
Was ist ein Berechtigungskonzept in der Arztpraxis?
Ein Berechtigungskonzept ist die schriftliche Regel, wer in der Praxis auf welche Daten und Systeme zugreifen darf, und wer nicht. Es beantwortet eine einfache Frage: Braucht die Person am Empfang wirklich die psychiatrische Verlaufsdokumentation, oder genügen Termine und Stammdaten? Das Konzept hält für jede Rolle fest, welche Datenkategorien sie lesen oder bearbeiten darf, und benennt, wer Rechte vergibt und wieder entzieht.
Das ist kein Selbstzweck. Patientendaten gehören nach dem revidierten Datenschutzgesetz (revDSG/nDSG, SR 235.1), seit dem 1. September 2023 in Kraft, zu den besonders schützenswerten Personendaten und unterstehen zusätzlich dem ärztlichen Berufsgeheimnis, das auch die MPA als Hilfspersonen bindet. Art. 8 DSG verlangt «geeignete technische und organisatorische Massnahmen» für eine dem Risiko angemessene Datensicherheit. Eine geregelte Zugriffskontrolle ist genau das, weil sie das Risiko an der Wurzel begrenzt: Daten, die jemand gar nicht sehen kann, kann er weder versehentlich verschicken noch missbrauchen.
Dass dieses Risiko real ist, zeigen die Zahlen. Laut der Auswertung des Verizon Data Breach Investigations Report 2026 zum Gesundheitswesen gingen 19 Prozent der Datenpannen in der Branche auf interne Akteure zurück, und das «menschliche Element», also Fehlbedienung oder falsch adressierte Mitteilungen, war an 54 Prozent der Vorfälle beteiligt. Ein durchdachtes Berechtigungskonzept setzt genau hier an.
Wie funktioniert eine Zugriffsmatrix für Patientendaten?
Eine Zugriffsmatrix ist eine schlichte Tabelle: in den Zeilen die Rollen, in den Spalten die Datenkategorien, in den Feldern die Berechtigung. So sieht man auf einen Blick, wer worauf darf. Die FMH stellt im IT-Grundschutz selbst ein Beispiel einer solchen Matrix vor, zugeschnitten auf den Praxisalltag.
Ein praxisnahes Beispiel, angelehnt an die FMH-Vorlage, mit drei typischen Rollen und drei Datenkategorien:
| Rolle | Medizinische Daten | Patientenstammdaten | Finanzdaten |
|---|---|---|---|
| MPA (User) | Zugriff | Zugriff | kein Zugriff |
| Praxisinhaber:in / Chef-MPA (Super User) | Zugriff | Zugriff | Zugriff |
| Backoffice / Buchhaltung | kein Zugriff | Zugriff (eingeschränkt) | Zugriff |
Das Prinzip dahinter ist das Need-to-Know: Eine MPA braucht medizinische Daten und Stammdaten, aber nicht die Finanzbuchhaltung. Das Backoffice rechnet ab und braucht Finanz- und gewisse Stammdaten, aber keine Diagnosen im Klartext. Nur die Praxisleitung, in der FMH-Logik der «Super User», sieht alles. Microsoft fasst dasselbe Prinzip so: «users and applications should be granted access only to the data and operations they require to perform their jobs» (Microsoft Learn, Least Privilege).
Wichtig: Die Matrix ist Ihr Konzept, nicht die technische Konfiguration. Sie legen fest, was gelten soll, Ihr IT-Partner bildet es im System ab, meist rollenbasiert über einen Verzeichnisdienst wie Active Directory.
Was bedeutet das Need-to-Know-Prinzip konkret?
Need-to-Know heisst: nur so viel Zugriff wie für die Aufgabe nötig, nicht mehr. Die FMH formuliert das in Massnahme M-3.02 unmissverständlich: «Den Benutzenden und den Administratoren sollten nur diejenigen Berechtigungen erteilt werden, die für die tägliche Arbeit notwendig sind (Need-to-Know-Prinzip).» Im Alltag bedeutet das ein paar nüchterne Regeln.
Need-to-Know schützt zweifach: vor dem neugierigen Blick in eine Akte und vor dem Schaden eines gekaperten Kontos, das dann eben nicht die ganze Krankengeschichte öffnet.
Wie vergibt und entzieht man Zugriffsrechte richtig?
Rechte sind nichts Statisches. Mitarbeitende treten ein, wechseln die Rolle und gehen wieder, und mit ihnen müssen die Zugriffe wandern. Dieser Lebenszyklus heisst Joiner-Mover-Leaver, also Eintritt, Wechsel, Austritt. Die FMH verlangt in M-3.04, die Rechte «nach Eintritten und Austritten umgehend» anzupassen. Der gefährlichste Fehler ist das Vergessen beim Austritt: Ein Konto, das nach dem letzten Arbeitstag noch lebt, ist eine offene Tür.
Ein bewährter Ablauf in fünf Schritten, den Sie als Praxisleitung mit Ihrem IT-Partner einmal festlegen und dann konsequent anwenden:
Die FMH trennt die Zuständigkeit sauber: «Die Bewilligung und der Entzug von Zugriffen und Benutzerrechten sollten durch die Praxisinhaberin oder den Praxisinhaber erfolgen, die Vergabe und die Löschung von Benutzerrechten durch die DSDS-Verantwortliche.» Die Leitung sagt Ja oder Nein, die zuständige Person setzt es um. Mehr dazu im Ratgeber IT-Sicherheitsverantwortung in der Arztpraxis.
Warum sollten Zugriffsrechte jährlich rezertifiziert werden?
Weil Rechte schleichend veralten. Selbst bei sauberem Joiner-Mover-Leaver-Prozess sammeln sich über die Zeit Berechtigungen an, die niemand mehr braucht, etwa weil ein Wechsel nur dazugegeben statt auch entzogen hat. Die FMH empfiehlt in M-3.04 ausdrücklich, «einmal jährlich alle Benutzerrechte und Zugriffe auf ihre Aktualität und Berechtigung hin zu überprüfen».
Aufwendig ist das nicht. Einmal im Jahr gehen Praxisleitung und IT-Partner die Konten durch: Existiert die Person noch? Stimmt die Rolle? Sind die Rechte noch passend? Was nicht mehr stimmt, wird angepasst und mit Datum protokolliert. Dieser eine Termin pro Jahr ist die günstigste Versicherung gegen das stille Anwachsen von Zugriffsrechten, der häufigste Befund in jeder Praxis-IT-Prüfung.
Wie sichert man Fernwartung und externe Zugriffe ab?
Die meisten Praxen lassen ihre IT extern betreuen, und dafür braucht der Partner Fernzugriff. Dieser Zugang ist sensibel, denn er führt von aussen mitten in die Patientendaten. Die FMH stellt dafür in der Empfehlung 3 klare Bedingungen.
Diese Punkte richtet Ihr IT-Partner ein, nicht Sie. Aber Sie dürfen, und sollten, danach fragen: Wer Fernwartung über ein geteiltes Konto ohne zweiten Faktor anbietet, sendet ein Warnsignal. Welche technischen und organisatorischen Massnahmen für sensible Daten in Frage kommen, beschreibt auch der EDÖB in seinem Leitfaden zur Informatiksicherheit. Den sicheren Austausch von Patientendaten selbst regeln Praxen in der Schweiz üblicherweise über HIN.
Das Wichtigste in Kürze
Unsicher, ob Ihre Zugriffsrechte sauber geregelt und FMH-konform dokumentiert sind? Wir schauen Ihr Berechtigungskonzept in einem unverbindlichen Gespräch mit Ihnen an. Kostenloses Erstgespräch · FMH IT-Grundschutz im Überblick
Häufig gestellte Fragen (FAQ)
Das regelt das Berechtigungskonzept der Praxis nach dem Need-to-Know-Prinzip. Behandelnde sehen medizinische Daten, der Empfang Stammdaten und Termine, das Backoffice Finanz- und gewisse Stammdaten. Nur die Praxisleitung greift in der Regel auf alle Kategorien zu. Massgeblich ist die jeweilige Aufgabe, nicht die Hierarchie.
Eine Zugriffsmatrix ist eine Tabelle, die Rollen (Zeilen) und Datenkategorien (Spalten) gegenüberstellt und in jedem Feld festhält, ob Zugriff besteht oder nicht. Sie macht auf einen Blick sichtbar, wer worauf darf. Die FMH stellt im IT-Grundschutz ein Beispiel mit den Rollen User, Super User und Personal vor.
Die FMH-Empfehlung 3 verlangt unter anderem persönliche Benutzerkonten, auf Patienten- und medizinische Daten eingeschränkte Rechte nach Need-to-Know, eine starke Zwei-Faktor-Authentifizierung für VPN-Zugriffe, separate Konten für die Fernwartung sowie das umgehende Anpassen der Rechte bei Ein- und Austritten und eine jährliche Überprüfung.
Mindestens einmal jährlich, so empfiehlt es die FMH. Bei dieser Rezertifizierung gehen Praxisleitung und IT-Partner alle Konten und Berechtigungen durch und prüfen, ob sie noch zur aktuellen Rolle passen. Veraltete Rechte werden entzogen, das Ergebnis wird mit Datum dokumentiert. Bei Ein- und Austritten gilt zusätzlich eine sofortige Anpassung.
Alle Konten und Zugänge sollten am letzten Arbeitstag deaktiviert werden, nicht erst Tage später. Dazu gehören das Praxissystem, E-Mail, VPN und externe Dienste. Ein vergessenes aktives Konto nach dem Austritt ist ein häufiges und ernstes Sicherheitsrisiko. Halten Sie den Entzug mit Datum schriftlich fest.
Über separate, persönliche Benutzerkonten, nicht über ein geteiltes Sammellogin. Der Zugang läuft über ein VPN mit starker Zwei-Faktor-Authentifizierung, die Logins werden protokolliert und der Zeitpunkt des Zugriffs idealerweise vorab angekündigt. So bleibt nachvollziehbar, wer wann von aussen auf die Praxisdaten zugegriffen hat.
Verwandte Ratgeber
Passwort-Sicherheit & MFA für Arztpraxen: Passwortmanager & 2FA 2026
Passwort-Sicherheit in der Arztpraxis: starke Passwörter, Passwortmanager, Zwei-Faktor-Authentifizierung (MFA) und persönliche Logins, nDSG-konform.
IT-Sicherheitsverantwortung in der Arztpraxis: Rollen, Zuständigkeiten & Sicherheitsrichtlinien
IT-Sicherheitsverantwortung in der Arztpraxis: Rollen, Zuständigkeiten, Sicherheitsrichtlinien und Nachweise bei Auslagerung nach FMH IT-Grundschutz.
FMH IT-Grundschutz Arztpraxis Schweiz: Checkliste & Umsetzung 2026
FMH IT-Grundschutz Arztpraxis Schweiz 2026: 20-Punkte-Checkliste und 8 Kernbereiche. Umsetzung in 4–8 Wochen, Kosten ab CHF 3'000 für Einzelpraxen.
Haben Sie Fragen zu diesem Thema?
Wir beraten Sie gerne unverbindlich zu Ihren individuellen Anforderungen.
Kontakt aufnehmenChristoph Kuling
Gründer & IT-Berater, avenios GmbH
Über 10 Jahre Erfahrung in IT-Infrastruktur und Managed Services für medizinische Einrichtungen in der Deutschschweiz.
LinkedInDieser Beitrag dient der allgemeinen Information und ersetzt keine Rechts- oder Medizinberatung. Angaben zu Gesetzen (etwa dem nDSG), Preisen und Funktionen können sich ändern; für den konkreten Einzelfall ziehen Sie bitte eine Fachperson oder die zuständige Behörde bei.