FMH IT-Grundschutz für Arztpraxen: Checkliste, Anforderungen & Umsetzung 2026
Christoph Kuling, Gründer & IT-Berater
Veröffentlicht:
Aktualisiert:
Was verlangt der FMH IT-Grundschutz von Ihrer Arztpraxis? Alle Anforderungen verständlich erklärt, mit konkreter Checkliste und Empfehlungen für die praktische Umsetzung in kleinen und mittleren Praxen.
Auf einen Blick (TL;DR): Der FMH IT-Grundschutz definiert Mindestanforderungen an die IT-Sicherheit in Schweizer Arztpraxen. Er umfasst organisatorische und technische Massnahmen zum Schutz von Patientendaten — von Passwortrichtlinien über Backup-Konzepte bis zur Netzwerksicherheit. Seit dem revidierten Datenschutzgesetz (revDSG/nDSG) 2023 sind diese Massnahmen nicht mehr optional. avenios unterstützt Arztpraxen bei der vollständigen Umsetzung des IT-Grundschutzes — von der Gap-Analyse bis zur laufenden Überwachung.
Was ist der FMH IT-Grundschutz?
Der FMH IT-Grundschutz ist ein Rahmenwerk der Verbindung der Schweizer Ärztinnen und Ärzte (FMH), das Mindestanforderungen an die IT-Sicherheit in Arztpraxen definiert. Er basiert auf dem Prinzip, dass besonders schützenswerte Personendaten — wie Gesundheitsdaten von Patientinnen und Patienten — eines angemessenen technischen und organisatorischen Schutzes bedürfen.
Das Rahmenwerk orientiert sich an internationalen Standards wie ISO 27001 und dem deutschen BSI-Grundschutz, wurde aber speziell auf die Bedürfnisse und Ressourcen von kleinen und mittleren Arztpraxen in der Schweiz angepasst. Es ist kein Gesetz im engeren Sinne, aber die darin formulierten Anforderungen sind faktisch verbindlich: Das revidierte Datenschutzgesetz (revDSG) verlangt «angemessene technische und organisatorische Massnahmen» — und der FMH IT-Grundschutz konkretisiert, was «angemessen» in einer Arztpraxis bedeutet.
Warum ist der IT-Grundschutz für Arztpraxen so wichtig?
Arztpraxen verarbeiten täglich besonders schützenswerte Personendaten gemäss Art. 5 revDSG. Dazu gehören Diagnosen, Laborergebnisse, Medikationspläne, psychologische Befunde und biometrische Daten. Ein Datenverlust oder eine Datenpanne hat schwerwiegende Konsequenzen:
Rechtliche Folgen: Verstösse gegen das revDSG können mit Bussen bis CHF 250'000 geahndet werden — und zwar gegen die verantwortliche natürliche Person, also den Praxisinhaber persönlich.
Reputationsschaden: Eine Datenpanne untergräbt das Vertrauensverhältnis zu Ihren Patientinnen und Patienten nachhaltig.
Betriebsausfall: Ransomware-Angriffe legen Praxen durchschnittlich 10–14 Tage lahm. Ohne funktionierendes Backup bedeutet dies Umsatzausfall und potenzielle Patientengefährdung.
Versicherungsrisiko: Cyberversicherungen prüfen zunehmend, ob Mindeststandards wie der FMH IT-Grundschutz eingehalten werden. Ohne Nachweis drohen Leistungsverweigerungen.
Der FMH IT-Grundschutz gliedert sich in acht zentrale Bereiche. Jeder Bereich enthält konkrete Massnahmen, die in Ihrer Praxis umgesetzt werden müssen:
1. Zugangs- und Zugriffskontrolle — wer darf was?
Persönliche Benutzerkonten für alle Mitarbeitenden (keine gemeinsam genutzten Logins)
Starke Passwörter mit mindestens 12 Zeichen, idealerweise mit einem Passwort-Manager
Zwei-Faktor-Authentifizierung (2FA) für den Zugang zu Praxissoftware und Fernzugriffe
Rollenbasierte Berechtigungen: Jede Mitarbeiterin sieht nur die Daten, die sie für ihre Arbeit benötigt (Need-to-know-Prinzip)
Automatische Bildschirmsperre nach maximal 5 Minuten Inaktivität
Sofortige Deaktivierung von Zugängen ausgetretener Mitarbeitender
2. Datensicherung (Backup) — Ihr Sicherheitsnetz?
Tägliche automatische Backups aller Praxisdaten, inklusive Praxissoftware-Datenbank
3-2-1-Regel: Mindestens 3 Kopien, auf 2 verschiedenen Medien, davon 1 an einem externen Standort (z.B. verschlüsselter Cloud-Speicher in der Schweiz)
Verschlüsselte Backup-Medien — ein unverschlüsseltes Backup auf einer externen Festplatte ist keine akzeptable Lösung
Regelmässige Restore-Tests — ein Backup, das nie getestet wurde, ist kein Backup
Aufbewahrungsfristen beachten: Medizinische Daten müssen in der Schweiz mindestens 10 Jahre aufbewahrt werden (Art. 26 KG, kantonale Vorgaben bis 20 Jahre)
3. Netzwerksicherheit — die unsichtbare Mauer?
Professionelle Firewall (keine Consumer-Router) mit regelmässigen Firmware-Updates
Separates Gäste-WLAN strikt getrennt vom Praxis-Netzwerk
Netzwerksegmentierung: Medizinische Geräte (z.B. Röntgen, Labor) in einem eigenen VLAN
VPN-Verschlüsselung für alle Fernzugriffe — kein unverschlüsselter Zugriff auf Praxisdaten von ausserhalb
Monitoring: Überwachung des Netzwerkverkehrs auf ungewöhnliche Aktivitäten
4. Endgeräte-Sicherheit — jedes Gerät zählt?
Aktuelles Betriebssystem mit automatischen Sicherheitsupdates (Windows 11, macOS Sequoia oder neuer)
Professionelle Endpoint-Sicherheitslösung (nicht nur Windows Defender, sondern Managed Detection & Response)
Festplattenverschlüsselung auf allen Geräten (BitLocker für Windows, FileVault für Mac)
Mobile Device Management (MDM) für Praxis-Smartphones und Tablets
Kontrollierte USB-Ports: Keine unkontrollierten USB-Sticks an Praxisrechnern
5. E-Mail-Sicherheit und HIN — der sichere Kanal?
HIN-Anbindung für den sicheren Austausch von Patientendaten zwischen Leistungserbringern
E-Mail-Verschlüsselung über HIN Mail oder vergleichbare Lösungen für alle Nachrichten mit Gesundheitsdaten
Spam- und Phishing-Filter auf dem E-Mail-Gateway — Phishing ist der häufigste Angriffsvektor auf Arztpraxen
Schulung der Mitarbeitenden im Erkennen von Phishing-E-Mails
Klare Richtlinie: Patientendaten werden nie über unverschlüsselte E-Mail versendet
6. Physische Sicherheit — der oft vergessene Bereich?
Serverraum/Netzwerkschrank abgeschlossen und nur für berechtigte Personen zugänglich
Bildschirmpositionierung so, dass Patienten im Empfangsbereich keine Daten einsehen können
Sicherer Dokumentenvernichter (Sicherheitsstufe P-4 oder höher) für Papierunterlagen
Zutrittskontrolle zu Bereichen mit IT-Infrastruktur
Clean Desk Policy: Keine Patientenakten offen auf dem Schreibtisch über Nacht
7. Notfallplanung und Incident Response — wenn es passiert?
Dokumentierter IT-Notfallplan mit klaren Zuständigkeiten und Eskalationspfaden
Erreichbarkeit des IT-Dienstleisters ausserhalb der Bürozeiten (SLA mit Reaktionszeiten)
Meldepflicht: Datenschutzverletzungen müssen dem EDÖB unverzüglich gemeldet werden (Art. 24 revDSG)
Regelmässige Notfallübungen — mindestens einmal pro Jahr
Offline-Kontaktliste mit Telefonnummern von IT-Support, HIN, Praxissoftware-Anbieter und EDÖB
8. Schulung und Awareness — der menschliche Faktor?
Jährliche IT-Sicherheitsschulung für alle Mitarbeitenden (inklusive Teilzeitkräfte und Aushilfen)
Onboarding-Prozess mit IT-Sicherheitsbriefing für neue Mitarbeitende
Phishing-Simulationen um das Bewusstsein zu schärfen
Vertraulichkeitserklärung unterschrieben von allen Mitarbeitenden mit Datenzugang
Klare Richtlinien für den Umgang mit privaten Geräten (BYOD-Policy)
Praktische Checkliste: FMH IT-Grundschutz in 20 Punkten
Nutzen Sie diese Checkliste für eine schnelle Selbsteinschätzung Ihrer Praxis:
1.Jeder Mitarbeitende hat ein persönliches Benutzerkonto mit starkem Passwort
2.Zwei-Faktor-Authentifizierung ist aktiviert für Praxissoftware und Fernzugriff
3.Automatische tägliche Backups werden durchgeführt und extern gespeichert
4.Backup-Wiederherstellung wird mindestens vierteljährlich getestet
5.Eine professionelle Firewall mit aktueller Firmware ist im Einsatz
8.Festplattenverschlüsselung ist auf allen Geräten aktiviert
9.HIN ist eingerichtet und wird für den Austausch von Patientendaten genutzt
10.Ein Spam- und Phishing-Filter ist aktiv
11.Praxissoftware-Zugriffe sind rollenbasiert konfiguriert
12.Der Serverraum/Netzwerkschrank ist abgeschlossen
13.Ein IT-Notfallplan existiert und ist allen bekannt
14.Mitarbeitende wurden in den letzten 12 Monaten geschult
15.Bildschirme sperren sich automatisch nach 5 Minuten
16.USB-Ports sind kontrolliert (keine unkontrollierten externen Medien)
17.VPN wird für alle externen Zugriffe verwendet
18.Vertraulichkeitserklärungen sind von allen Mitarbeitenden unterschrieben
19.Ein Dokumentenvernichter (mind. P-4) ist vorhanden
20.Die IT-Dokumentation ist aktuell und vollständig
Wie viele Punkte erfüllen Sie bereits? Weniger als 15 von 20? Dann besteht Handlungsbedarf. Kontaktieren Sie uns für eine kostenlose Gap-Analyse Ihres IT-Grundschutzes.
Was passiert bei Nichteinhaltung des IT-Grundschutzes?
Die Konsequenzen einer mangelhaften IT-Sicherheit in der Arztpraxis sind seit dem revDSG deutlich verschärft:
Bussen bis CHF 250'000 gegen die verantwortliche natürliche Person (nicht die Praxis-GmbH, sondern Sie persönlich)
Strafanzeige durch den EDÖB bei vorsätzlicher oder fahrlässiger Verletzung der Datenschutzpflichten
Zivilrechtliche Haftung gegenüber betroffenen Patientinnen und Patienten
Berufsrechtliche Konsequenzen durch die kantonale Gesundheitsdirektion
Meldepflicht-Verletzung ist ein eigenständiger Verstoss — selbst wenn die Datenpanne selbst unvermeidbar war
Wie setzt man den FMH IT-Grundschutz konkret um?
Die Umsetzung des IT-Grundschutzes muss kein Mammutprojekt sein. Mit einem strukturierten Vorgehen ist eine vollständige Umsetzung in 4–8 Wochen realistisch:
1.Gap-Analyse (Woche 1–2): Systematische Bewertung des Ist-Zustandes anhand der FMH-Anforderungen. Wo stehen Sie heute? Was fehlt?
2.Priorisierung (Woche 2): Einteilung der Massnahmen in «sofort umsetzen» (z.B. Passwortrichtlinien), «kurzfristig» (z.B. Backup-Optimierung) und «mittelfristig» (z.B. Netzwerksegmentierung).
3.Technische Umsetzung (Woche 3–6): Installation und Konfiguration der erforderlichen Systeme — Firewall, Endpoint-Security, Backup-Lösung, MDM, VPN.
4.Schulung (Woche 5–6): IT-Sicherheitsschulung für das gesamte Praxisteam.
5.Dokumentation (Woche 6–7): Erstellung des IT-Notfallplans, der Sicherheitsrichtlinien und der technischen Dokumentation.
6.Review und Monitoring (Woche 8, dann laufend): Abschluss-Check und Einrichtung der laufenden Überwachung.
Was kostet die Umsetzung des FMH IT-Grundschutzes?
Die Kosten variieren je nach aktuellem Stand Ihrer IT-Sicherheit und Praxisgrösse:
Einzelpraxis (1–3 Arbeitsplätze): CHF 3'000–8'000 einmalig für die Grundschutz-Umsetzung, plus CHF 200–500/Monat für Managed Security Services
Gruppenpraxis (4–10 Arbeitsplätze): CHF 8'000–20'000 einmalig, plus CHF 500–1'500/Monat für laufende Überwachung und Wartung
Ärztezentrum (10+ Arbeitsplätze): CHF 15'000–40'000 einmalig, plus CHF 1'000–3'000/Monat
Diese Investition steht in keinem Verhältnis zu den potenziellen Kosten einer Datenpanne: Der durchschnittliche Schaden eines Ransomware-Angriffs auf eine Arztpraxis liegt bei CHF 50'000–200'000 — ohne Berücksichtigung des Reputationsschadens.
Investieren Sie in Prävention statt in Schadensbegrenzung. Berechnen Sie Ihre IT-Kosten mit unserem Praxis-Kostenrechner und erfahren Sie, was ein umfassender IT-Grundschutz für Ihre Praxis kostet.
Welche Rolle spielt das revidierte Datenschutzgesetz (revDSG)?
Das revidierte Datenschutzgesetz, in Kraft seit dem 1. September 2023, hat die Anforderungen an den Umgang mit Personendaten in der Schweiz massgeblich verschärft. Für Arztpraxen sind insbesondere folgende Punkte relevant:
Datenschutz-Folgenabschätzung (DSFA): Bei der Verarbeitung besonders schützenswerter Personendaten — also in jeder Arztpraxis — muss eine DSFA durchgeführt werden.
Privacy by Design und by Default: IT-Systeme müssen von Anfang an datenschutzfreundlich konfiguriert sein.
Meldepflicht bei Datenschutzverletzungen: Verletzungen der Datensicherheit müssen dem EDÖB so rasch wie möglich gemeldet werden.
Bearbeitungsverzeichnis: Jede Arztpraxis muss ein Verzeichnis aller Datenbearbeitungstätigkeiten führen.
Informationspflicht: Patientinnen und Patienten müssen über die Datenbearbeitung informiert werden.
Der FMH IT-Grundschutz ist das ideale Instrument, um die technischen Anforderungen des revDSG in der Praxis umzusetzen.
Häufige Fehler bei der IT-Sicherheit in Arztpraxen
Aus unserer Beratungspraxis kennen wir die typischen Schwachstellen:
Gemeinsam genutzte Passwörter: «Das Praxis-Passwort» wird von allen Mitarbeitenden verwendet — ein massiver Verstoss gegen die Zugriffskontrolle.
Backup auf externer Festplatte im selben Raum: Bei Brand oder Einbruch sind Original und Backup gleichzeitig verloren.
Kein getrenttes Gäste-WLAN: Patienten und Praxis-Geräte teilen sich dasselbe Netzwerk — ein offenes Einfallstor.
Veraltete Betriebssysteme: Windows 10 erreicht das Support-Ende im Oktober 2025. Praxen mit Windows 10 erhalten keine Sicherheitsupdates mehr.
Keine Schulung: Mitarbeitende klicken auf Phishing-Links, weil sie nie geschult wurden.
Fehlender IT-Notfallplan: Im Ernstfall weiss niemand, wen man anrufen soll und welche Schritte zu unternehmen sind.
Fazit: Der FMH IT-Grundschutz als Vertrauensfundament
Der FMH IT-Grundschutz ist mehr als eine Compliance-Anforderung — er ist das Fundament für das Vertrauen Ihrer Patientinnen und Patienten in Ihre Praxis. In einer Zeit, in der Cyberangriffe auf das Gesundheitswesen zunehmen und die regulatorischen Anforderungen steigen, ist eine professionelle IT-Sicherheit keine Option, sondern eine Notwendigkeit.
Die gute Nachricht: Mit dem richtigen Partner ist die Umsetzung des IT-Grundschutzes kein Hexenwerk. Die meisten Massnahmen lassen sich innerhalb weniger Wochen implementieren — und die laufende Überwachung kann vollständig an einen spezialisierten IT-Dienstleister ausgelagert werden.
avenios unterstützt Arztpraxen in der Deutschschweiz bei der vollständigen Umsetzung des FMH IT-Grundschutzes — von der initialen Gap-Analyse über die technische Implementation bis zur laufenden Überwachung und jährlichen Schulung Ihres Teams. Kontaktieren Sie uns für eine kostenlose Erstberatung oder berechnen Sie Ihre IT-Kosten individuell.
Haben Sie Fragen zu diesem Thema?
Wir beraten Sie gerne unverbindlich zu Ihren individuellen Anforderungen.