IT-Sicherheitsverantwortung in der Arztpraxis: Rollen, Zuständigkeiten & Sicherheitsrichtlinien
IT-Sicherheitsverantwortung in der Arztpraxis: Rollen, Zuständigkeiten, Sicherheitsrichtlinien und Nachweise bei Auslagerung nach FMH IT-Grundschutz.
Auf einen Blick (TL;DR): Die Gesamtverantwortung für die IT-Sicherheit bleibt immer beim Praxisinhaber, auch dann, wenn die Technik komplett ausgelagert ist. Die FMH-Empfehlung 1 des IT-Grundschutz, die erste von 11 Empfehlungen, verlangt, dass zwei Rollen klar besetzt sind: ein DSDS-Verantwortlicher (Datenschutz und Datensicherheit) und ein ICT-Betriebsverantwortlicher, beide mit Stellvertretung. Wer was tut, wer kontrolliert und welche Nachweise bei Auslagerung quartalsweise auf den Tisch müssen, darum geht es hier. Mehr zum gesamten Rahmen im Hub IT-Grundschutz.
> Hinweis: Dieser Artikel ordnet die organisatorischen Pflichten ein. Die konkrete technische Umsetzung, Härtung, Backup-Konzept, Monitoring, gehört in die Hände eines qualifizierten IT-Partners, der die Vorgaben Ihres DSDS-Verantwortlichen umsetzt und dokumentiert.
Wer trägt die IT-Sicherheitsverantwortung in der Arztpraxis?
Kurz: Sie als Praxisinhaberin oder Praxisinhaber. Das revidierte Datenschutzgesetz (revDSG), seit dem 1. September 2023 in Kraft, nennt diejenige Person, die über Zweck und Mittel der Datenbearbeitung entscheidet, den «Verantwortlichen», und in der Arztpraxis sind das fast immer die Inhaber selbst. Diese Rolle lässt sich delegieren, abgeben lässt sie sich nicht. Auch die FMH hält in ihrer Empfehlung unmissverständlich fest: «Die Arztpraxis ist für die Gewährleistung des Datenschutzes und der Datensicherheit verantwortlich.» Und weiter: «Die Praxisinhaberin ist gleichzeitig die Inhaberin der Daten und somit verantwortlich für deren Sicherheit und deren Schutz.»
Das ist kein juristisches Detail. Im revDSG kann bei vorsätzlichen Verstössen die *natürliche Person* gebüsst werden, nicht in erster Linie das Unternehmen. Der EDÖB formuliert es zu den Strafbestimmungen so: «Die Höchststrafe beträgt 250 000 Franken», und: «Es werden in erster Linie natürliche Personen bestraft.» Diese Busse von bis zu CHF 250'000 (etwa nach Art. 61 DSG bei verletzten Sorgfaltspflichten) trifft die verantwortliche Person also persönlich und lässt sich, anders als in der EU, nicht einfach auf die Firma abwälzen. Ist nach einem Vorfall niemand benennbar, der für die IT-Sicherheit zuständig war, landet die Frage automatisch bei der Praxisleitung. Deshalb beginnt der FMH-IT-Grundschutz nicht mit Firewalls, sondern mit Zuständigkeiten: Von den 11 Minimalanforderungen (aktuelle Version 2023) trägt die Empfehlung 1 nicht umsonst den Titel «Verantwortlichkeiten bestimmen und Vorgaben erlassen».
In der Praxis sieht das so aus: Sie behalten die Gesamtverantwortung, benennen aber Personen, die sich im Alltag kümmern, intern oder extern. Die FMH unterscheidet dafür zwei Rollen, und die zu vermischen ist ein häufiger Fehler.
Welche zwei Sicherheitsrollen muss die Praxis trennen?
Der Grundgedanke der FMH-Empfehlung 1 ist eine saubere Trennung zwischen «Was muss geschützt werden?» und «Wie wird es technisch betrieben?».
Der DSDS-Verantwortliche (Datenschutz & Datensicherheit)
Diese Rolle gibt die Richtung vor. Laut FMH umfasst das Aufgabenspektrum des DSDS-Verantwortlichen «sowohl den Erlass als auch die Umsetzung» von Sicherheitsanforderungen rund um den Umgang mit Daten, den Datenaustausch sowie den Schutz von Endgeräten und Netzwerk. Er legt also fest, welche Sicherheitsvorgaben in der Praxis gelten, erlässt die internen Handlungsanweisungen und überwacht, dass sie eingehalten werden. Was er ausdrücklich *nicht* selbst tun muss: Server konfigurieren oder Backups einrichten.
Diese Rolle kann, so die FMH ausdrücklich, «durch die Praxisinhaberin selbst, den externen ICT-Dienstleister oder einen Praxismitarbeitenden» übernommen werden. In der Praxis ist das oft eine erfahrene MPA mit Affinität zum Thema oder ein externer IT-Dienstleister im Rahmen eines Mandats.
Der ICT-Betriebsverantwortliche
Diese Rolle setzt um. Der ICT-Betriebsverantwortliche baut die Infrastruktur auf, betreibt und wartet sie: Praxisserver, Netzwerk, Geräte, Updates, Backups. Er handelt nach den Vorgaben des DSDS-Verantwortlichen. Bei den meisten kleineren und mittleren Praxen ist das der ausgelagerte IT-Partner.
Das Verhältnis der beiden ist also ein Auftragsverhältnis im weiteren Sinn: Der eine definiert die Anforderung, der andere implementiert sie technisch, und meldet zurück. Wichtig ist, dass beide Rollen eine Stellvertretung haben. Fällt die zuständige MPA wochenlang aus oder ist der Inhaber in den Ferien, darf die Sicherheit nicht stillstehen.
| Aspekt | DSDS-Verantwortlicher | ICT-Betriebsverantwortlicher |
|---|---|---|
| Kernaufgabe | Vorgaben erlassen, Einhaltung überwachen | Infrastruktur aufbauen, betreiben, warten |
| Typische Besetzung | Inhaber, geeignete MPA oder IT-Partner (Mandat) | meist externer IT-Dienstleister |
| Beispiel Tätigkeit | Passwortrichtlinie festlegen, Zugriffe prüfen | Server härten, Backup einrichten, patchen |
| Stellvertretung | erforderlich | erforderlich |
| Verantwortung gegenüber | Praxisinhaber | DSDS-Verantwortlichem |
Ob diese Rollen auf zwei Personen oder formell auf eine fallen, ist eine Frage der Praxisgrösse: In einer Einzelpraxis kann der Inhaber zugleich DSDS-Verantwortlicher sein und den Betrieb an den IT-Partner geben. Entscheidend ist, dass die Aufgaben benannt und schriftlich zugeordnet sind, nicht, dass möglichst viele Köpfe beteiligt sind.
Wie werden aus Sicherheitsregeln Handlungsanweisungen?
Eine Sicherheitsrichtlinie, die in einem PDF auf dem Server schlummert, schützt niemanden. Der praktische Sinn der Vorgaben liegt darin, dass das Team im Alltag weiss, was zu tun ist, und was nicht.
Bewährt hat sich, die Vorgaben in konkrete Handlungsanweisungen zu übersetzen, die kurz und alltagsnah sind:
Diese Anweisungen gehören in die Einarbeitung jeder neuen MPA. Ein kurzes jährliches Auffrischen, zehn Minuten in einer Teamsitzung, wirkt erfahrungsgemäss mehr als ein dickes Reglement, das niemand liest.
Warum müssen Daten klassifiziert werden?
Bevor man Schutzmassnahmen festlegt, muss klar sein, *was* man schützt. Die FMH bringt diesen Grundsatz in der Empfehlung zum Inventar auf den Punkt: «Es kann nur geschützt werden, was bekannt ist.» Genau deshalb empfiehlt sie, die Daten der Praxis vorab in Klassen einzuteilen. Das klingt theoretisch, ist aber der schnellste Weg zu sinnvollen Prioritäten, denn eine Lieferanten-Rechnung verlangt nicht denselben Schutz wie ein psychiatrischer Verlaufsbericht.
Eine pragmatische Einteilung für die Arztpraxis:
| Datenklasse | Beispiele | Schutzbedarf |
|---|---|---|
| Patientendaten / besonders schützenswert | Krankengeschichte, Diagnosen, Laborwerte, Bilddaten | sehr hoch, Berufsgeheimnis, revDSG |
| Medizinische Daten (intern) | anonymisierte Auswertungen, Behandlungsstatistiken | hoch |
| Administrative Praxisdaten | Personaldaten, Abrechnung, Versicherungskorrespondenz | mittel bis hoch |
| Nicht-medizinische Daten | Lieferantenlisten, Wartungsverträge, Bestellungen | tief |
Patientendaten zählen nach revDSG zu den «besonders schützenswerten Personendaten» und unterliegen zusätzlich dem ärztlichen Berufsgeheimnis, sie stehen damit immer zuoberst. Genau deshalb verlangt das Gesetz angemessene Schutzmassnahmen: Art. 8 DSG verpflichtet Verantwortliche und Auftragsbearbeiter, durch «geeignete technische und organisatorische Massnahmen» eine dem Risiko angemessene Datensicherheit zu gewährleisten (Art. 8 DSG, Fedlex). Welche Massnahmen konkret in Frage kommen, von Verschlüsselung über Authentifizierung bis Zugriffskontrolle, beschreibt der TOM-Leitfaden des EDÖB ausführlich. Wie Patientendaten im Alltag korrekt abgelegt, verschlüsselt und zugriffsbeschränkt werden, vertieft der Ratgeber Patientendaten sicher verwalten. Die Klassifizierung ist die Grundlage dafür, etwa Zugriffsrechte sinnvoll zu vergeben: Nicht jede Person am Empfang muss jede Krankengeschichte öffnen können.
Wie überwacht und überprüft man die Einhaltung?
Vorgaben aufzustellen ist das eine. Sie auch durchzusetzen, das andere. Die Überwachung ist Aufgabe des DSDS-Verantwortlichen, und sie muss nicht aufwendig sein, aber regelmässig stattfinden.
Mindestens einmal pro Jahr gehört das Sicherheitsdispositiv auf den Prüfstand. Die FMH nennt dafür unter anderem:
Halten Sie das Ergebnis kurz schriftlich fest, mit Datum und Verantwortlichem. Das ist keine Bürokratie: Im Ereignisfall, oder bei einer Anfrage des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), ist ein datiertes Protokoll Gold wert. Es zeigt, dass die Praxis ihre Sorgfaltspflicht ernst nimmt.
Ein Wort zum Verzeichnis der Bearbeitungstätigkeiten: Art. 12 DSG verpflichtet grundsätzlich jeden Verantwortlichen, ein solches Verzeichnis zu führen. Der Bundesrat hat zwar Unternehmen mit weniger als 250 Mitarbeitenden und «geringem Risiko» davon ausgenommen (Art. 12 Abs. 5 DSG), bei den besonders schützenswerten Gesundheitsdaten einer Praxis läuft diese Befreiung aber meist ins Leere. Ein schlankes Verzeichnis zu führen, ist deshalb der sichere Weg.
Welche Nachweise sollten Sie bei Auslagerung verlangen?
Die meisten Praxen betreiben ihre IT nicht selbst, das ist völlig in Ordnung. Auslagern heisst aber nicht «abgeben und vergessen»: Die Verantwortung bleibt bei Ihnen, also brauchen Sie regelmässig Belege, dass der Partner liefert, was vereinbart ist.
Die FMH verlangt in Empfehlung 11 («Externe Dienstleister beauftragen und überwachen»), die Zusammenarbeit «durch monatliche oder nach Bedarf erstellte Rapporte zu überwachen» und die nötigen Nachweise vertraglich festzuhalten. In der Praxis hat sich ein fixer Rhythmus bewährt, realistisch ist für die meisten Praxen mindestens quartalsweise ein Set aus drei Belegen:
Diese drei Punkte gehören in den Vertrag, idealerweise mit einem definierten Service Level Agreement (SLA). Worauf man bei der Auswahl sonst noch achten sollte, Datenstandort Schweiz, Auftragsbearbeitungsvertrag nach revDSG, Zertifizierungen, steht im Ratgeber IT-Dienstleister & Cloud für die Arztpraxis.
Ein seriöser Partner liefert diese Reportings von sich aus. Wer bei «Können Sie mir die letzte Backup-Bestätigung zeigen?» ins Schwimmen gerät, sagt damit schon einiges aus.
Das Wichtigste in Kürze
Unsicher, ob Ihre Rollen, Vorgaben und Nachweise FMH-konform aufgestellt sind? Wir schauen das in einem unverbindlichen Gespräch mit Ihnen an. Kostenloses Erstgespräch · FMH IT-Grundschutz im Überblick
Häufig gestellte Fragen (FAQ)
Die Gesamtverantwortung liegt beim Praxisinhaber, weil er nach revDSG als «Verantwortlicher» über die Datenbearbeitung entscheidet. Diese Verantwortung lässt sich an einen DSDS-Verantwortlichen und einen IT-Dienstleister delegieren, aber nicht vollständig abgeben. Auch bei ausgelagerter IT bleibt die Praxisleitung in der Pflicht.
Der DSDS-Verantwortliche legt die Sicherheitsvorgaben fest und überwacht ihre Einhaltung, er bestimmt, *was* geschützt werden muss. Der ICT-Betriebsverantwortliche setzt diese Vorgaben technisch um, betreibt und wartet die Infrastruktur. Beide Rollen sollten eine Stellvertretung haben, und beide können je nach Praxisgrösse intern oder extern besetzt sein.
Nach Schweizer revDSG ist ein Datenschutzberater für Arztpraxen freiwillig, anders als der teils verpflichtende Datenschutzbeauftragte in der EU. Ratsam ist es trotzdem, eine zuständige Person klar zu benennen, das verlangt der FMH-IT-Grundschutz mit der DSDS-Rolle. Auch mit Berater bleibt die rechtliche Verantwortung beim Praxisinhaber.
Üblich ist eine Einteilung in besonders schützenswerte Patientendaten (Krankengeschichte, Diagnosen, Labor), interne medizinische Daten, administrative Praxisdaten und nicht-medizinische Daten. Patientendaten stehen wegen Berufsgeheimnis und revDSG immer zuoberst. Die Klassifizierung steuert anschliessend, wer worauf zugreifen darf und wie stark etwas geschützt wird.
Bei ausgelagerter IT empfiehlt die FMH mindestens quartalsweise drei Belege: ein SLA-Reporting zur erreichten Verfügbarkeit, ein aktuelles Inventar der betreuten Systeme und eine Backup-Bestätigung inklusive getestetem Restore. Diese Punkte gehören idealerweise schon in den Vertrag mit definiertem SLA.
Mindestens einmal jährlich. Dazu gehören das Durchsehen aller Benutzerrechte und Zugriffe, ein echter Restore-Test aus dem Backup, das Aktualisieren der Sicherheitsvorgaben und der Abgleich des Geräte-Inventars. Halten Sie das Ergebnis kurz schriftlich mit Datum fest, das dient als Nachweis der Sorgfaltspflicht.
Verwandte Ratgeber
FMH IT-Grundschutz Arztpraxis Schweiz: Checkliste & Umsetzung 2026
FMH IT-Grundschutz Arztpraxis Schweiz 2026: 20-Punkte-Checkliste und 8 Kernbereiche. Umsetzung in 4–8 Wochen, Kosten ab CHF 3'000 für Einzelpraxen.
IT-Dienstleister & Cloud für die Arztpraxis: Auswahl & Kontrolle (FMH)
IT-Dienstleister & Cloud-Anbieter FMH-konform wählen und überwachen: Evaluationskriterien, Vertrag, Datenschutz und laufende Kontrolle.
nDSG für Arztpraxen: Konkrete IT-Massnahmen, Checkliste & Bussgelder 2026
Das nDSG verpflichtet Arztpraxen zu konkreten IT-Massnahmen: Verzeichnis, technische Schutzmassnahmen und Meldepflicht bei Datenpannen, Leitfaden 2026.
Haben Sie Fragen zu diesem Thema?
Wir beraten Sie gerne unverbindlich zu Ihren individuellen Anforderungen.
Kontakt aufnehmenChristoph Kuling
Gründer & IT-Berater, avenios GmbH
Über 10 Jahre Erfahrung in IT-Infrastruktur und Managed Services für medizinische Einrichtungen in der Deutschschweiz.
LinkedInDieser Beitrag dient der allgemeinen Information und ersetzt keine Rechts- oder Medizinberatung. Angaben zu Gesetzen (etwa dem nDSG), Preisen und Funktionen können sich ändern; für den konkreten Einzelfall ziehen Sie bitte eine Fachperson oder die zuständige Behörde bei.