Microsoft 365 für Arztpraxen: Sicher einrichten, datenschutzkonform nutzen

Microsoft 365 ist in vielen Arztpraxen im Einsatz — aber ist es auch datenschutzkonform? Ein Leitfaden zur sicheren Konfiguration von M365, Teams, OneDrive und Exchange in der Schweizer Arztpraxis.

Auf einen Blick (TL;DR): Microsoft 365 bietet Arztpraxen leistungsstarke Werkzeuge für Kommunikation, Zusammenarbeit und Dokumentenverwaltung. Damit der Einsatz in einer Arztpraxis datenschutzkonform ist, müssen spezifische Konfigurationen vorgenommen werden: Datenhaltung in der Schweiz oder der EU, Verschlüsselung, Zugriffskontrollen und die korrekte Abgrenzung zwischen Praxissoftware und M365. avenios richtet Microsoft 365 für Arztpraxen sicher ein und stellt die Compliance mit dem revDSG sicher.

Warum Microsoft 365 in der Arztpraxis?

Microsoft 365 (früher Office 365) hat sich als Standard für die Büro-IT etabliert — auch in Arztpraxen. Die Gründe liegen auf der Hand:

Vertraute Anwendungen: Word, Excel, Outlook und PowerPoint kennen die meisten Mitarbeitenden bereits aus dem privaten Umfeld oder früheren Arbeitsstellen.

Integrierte Kommunikation: Microsoft Teams ermöglicht Chatten, Videocalls und Bildschirmfreigabe — ideal für die Kommunikation zwischen Standorten oder mit Zuweisern.

Cloud-Speicher mit OneDrive und SharePoint: Dokumente sind von jedem Gerät zugänglich, automatisch gesichert und versioniert.

E-Mail mit Exchange Online: Professionelle E-Mail-Infrastruktur mit Kalender, Kontakten und geteilten Postfächern — ohne eigenen E-Mail-Server.

Skalierbarkeit: Von der Einzelpraxis bis zum Ärztezentrum — M365 wächst mit Ihrer Praxis mit.

Monatliche Kosten statt Investition: Kein lokaler Exchange-Server, kein Software-Kauf — alles als monatliches Abo.

Welcher M365-Plan für die Arztpraxis?

Microsoft bietet verschiedene Pläne an. Für Arztpraxen empfehlen wir:

Microsoft 365 Business Basic (CHF 6.20/Nutzer/Monat):

Web- und Mobile-Versionen von Office-Apps

Exchange Online, Teams, OneDrive (1 TB), SharePoint

Ideal für: MPAs und Mitarbeitende, die primär E-Mail und Kalender nutzen

Microsoft 365 Business Standard (CHF 12.50/Nutzer/Monat):

Alles aus Basic PLUS Desktop-Versionen von Word, Excel, PowerPoint, Outlook

Zusätzlich: Bookings (Online-Terminbuchung), Loop, Clipchamp

Ideal für: Ärztinnen und Ärzte, die volle Office-Funktionalität benötigen

Microsoft 365 Business Premium (CHF 22.00/Nutzer/Monat):

Alles aus Standard PLUS erweiterte Sicherheitsfunktionen

Intune (MDM), Azure AD Premium, Defender for Office 365, Azure Information Protection

Unsere Empfehlung für Arztpraxen — die enthaltenen Sicherheitsfunktionen sind im medizinischen Umfeld unverzichtbar

Für Arztpraxen empfehlen wir Microsoft 365 Business Premium. Die enthaltenen Sicherheits- und Compliance-Features (Intune, Conditional Access, Defender) sind im Umgang mit Gesundheitsdaten praktisch Pflicht. Kontaktieren Sie uns für eine M365-Beratung.

Datenschutz und revDSG: Darf eine Arztpraxis M365 nutzen?

Die kurze Antwort: Ja, aber nur mit der richtigen Konfiguration. Das revidierte Datenschutzgesetz (revDSG) stellt klare Anforderungen an den Umgang mit besonders schützenswerten Personendaten:

Datenhaltung:

Microsoft bietet seit 2023 die Möglichkeit, Daten in der Schweiz (Region Switzerland) zu speichern — in den Rechenzentren Zürich und Genf.

Diese Option muss bei der Tenant-Erstellung oder nachträglich über Multi-Geo oder Advanced Data Residency aktiviert werden.

Wichtig: Ohne explizite Konfiguration können Daten auch in EU-Rechenzentren landen. Für Arztpraxen empfehlen wir die Schweizer Datenhaltung.

Auftragsbearbeitungsvertrag (DPA):

Microsoft stellt einen standardisierten Data Processing Agreement bereit, der die Anforderungen des revDSG erfüllt.

Dieses DPA ist im Microsoft Product Terms enthalten und muss nicht separat abgeschlossen werden — sollte aber dokumentiert und im Bearbeitungsverzeichnis referenziert werden.

Verschlüsselung:

Alle Daten in M365 sind standardmässig verschlüsselt — sowohl in transit (TLS 1.2+) als auch at rest (BitLocker, Service Encryption).

Für maximale Kontrolle kann Customer Key eingesetzt werden — damit kontrolliert die Praxis den Verschlüsselungsschlüssel selbst.

Sichere Konfiguration: 10 Pflicht-Einstellungen für Arztpraxen

Bei jeder M365-Einrichtung für eine Arztpraxis konfigurieren wir folgende Sicherheitseinstellungen:

1.Multi-Factor Authentication (MFA) für alle Benutzer aktivieren — die wichtigste einzelne Sicherheitsmassnahme gegen Account-Kompromittierung

2.Conditional Access Policies: Zugriff nur von verwalteten Geräten und vertrauenswürdigen Standorten erlauben

3.Data Loss Prevention (DLP): Regeln erstellen, die das versehentliche Teilen von Patientendaten per E-Mail oder Teams verhindern

4.Sensitivity Labels: Dokumente mit Gesundheitsdaten automatisch als «vertraulich» klassifizieren und den externen Zugriff einschränken

5.Retention Policies: Aufbewahrungsrichtlinien für E-Mails und Dokumente gemäss den gesetzlichen Fristen (10+ Jahre für medizinische Daten)

6.Mobile Device Management (Intune): Alle Geräte, die auf M365 zugreifen, müssen verwaltet sein — PIN-Pflicht, Verschlüsselung, Fernlöschung

7.Admin-Konten absichern: Separate Admin-Accounts mit MFA und Privileged Identity Management (PIM)

8.Audit Logging aktivieren: Alle Zugriffe und Änderungen protokollieren für Compliance-Nachweise

9.Externes Teilen einschränken: SharePoint und OneDrive so konfigurieren, dass Dateien nicht unkontrolliert nach aussen geteilt werden können

10.Anti-Phishing-Schutz: Defender for Office 365 mit erweiterten Anti-Phishing-Policies konfigurieren

Microsoft 365 und HIN: Wie passt das zusammen?

Eine häufige Frage: Ersetzt M365 die HIN-Anbindung? Nein — M365 und HIN haben unterschiedliche Aufgaben:

HIN (Health Info Net):

Pflicht für den sicheren Austausch von Patientendaten zwischen Leistungserbringern in der Schweiz

Ende-zu-Ende-verschlüsselte Kommunikation im Gesundheitswesen

Wird für eRezepte, eZuweisungen und den EPD-Zugang benötigt

Microsoft 365:

Allgemeine Bürokommunikation, interne Zusammenarbeit, Dokumentenverwaltung

E-Mail-Kommunikation mit Patienten, Lieferanten, Versicherungen (nicht für Patientendaten-Austausch mit anderen Leistungserbringern)

Best Practice: HIN für die medizinische Kommunikation, M365 für die allgemeine Bürokommunikation. Die HIN-Mail-Adresse kann parallel zum M365-Exchange-Postfach genutzt werden — idealerweise über das HIN Mail Gateway, das HIN-Mails direkt in Outlook integriert.

Microsoft Teams in der Arztpraxis

Teams wird zunehmend auch in Arztpraxen genutzt — aber mit klaren Grenzen:

Sinnvolle Einsatzbereiche:

Interne Kommunikation zwischen Mitarbeitenden (Chat statt Zuruf über den Flur)

Videocalls mit Zuweisern oder für Fallbesprechungen

Geteilte Kanäle für Praxisorganisation (Dienstpläne, Bestellungen, Protokolle)

Bildschirmfreigabe für IT-Support und Schulungen

Nicht geeignet für:

Videosprechstunde mit Patienten (dafür gibt es zertifizierte Telemedizin-Plattformen)

Austausch von Patientendaten mit externen Leistungserbringern (dafür HIN nutzen)

Archivierung von medizinischen Dokumenten (gehört in die Praxissoftware)

OneDrive und SharePoint: Dokumentenverwaltung richtig strukturieren

Die Cloud-Speicherlösungen von Microsoft eignen sich gut für die nicht-medizinische Dokumentenverwaltung in der Praxis:

OneDrive (persönlicher Speicher):

Für persönliche Arbeitsdokumente jedes Mitarbeitenden

Automatische Synchronisation zwischen Geräten

1 TB Speicher pro Nutzer

SharePoint (geteilter Speicher):

Praxis-Dokumente, die alle Mitarbeitenden benötigen: Vorlagen, Protokolle, Handbücher, Checklisten

Versionierung und Zugriffsrechte auf Ordnerebene

Ideal für: Qualitätsmanagement-Dokumente, Praxis-Handbuch, Formulare

Wichtig: Medizinische Patientendaten gehören in die Praxissoftware, nicht in OneDrive oder SharePoint. M365 ergänzt die Praxissoftware — es ersetzt sie nicht.

Backup von Microsoft 365: Nicht vergessen

Ein weit verbreiteter Irrtum: Microsoft sichert meine Daten. Das stimmt nur teilweise. Microsoft garantiert die Verfügbarkeit der Infrastruktur, aber nicht die Wiederherstellung einzelner E-Mails, Dateien oder Postfächer im Falle von versehentlichem Löschen, Ransomware oder einem kompromittierten Account.

Empfehlung: Ein dediziertes M365-Backup mit einer Drittanbieter-Lösung wie Veeam Backup for Microsoft 365, Acronis oder AvePoint. Kosten: ca. CHF 3–5 pro Nutzer und Monat — eine kleine Investition für die Sicherheit.

Häufig gestellte Fragen (FAQ)

Ja, wenn es korrekt konfiguriert ist. Die Datenhaltung muss auf die Schweiz (oder mindestens die EU) eingestellt werden, MFA muss aktiviert sein, DLP-Regeln müssen konfiguriert werden und der Auftragsbearbeitungsvertrag (DPA) muss dokumentiert sein. Mit Microsoft 365 Business Premium und den richtigen Einstellungen erfüllt M365 die Anforderungen des revDSG für den Einsatz in Arztpraxen.

Teams eignet sich für interne Videocalls und Besprechungen mit Zuweisern, aber nicht für Videosprechstunden mit Patienten. Für Telemedizin sollten Sie eine zertifizierte Plattform nutzen, die speziell für den medizinischen Bereich entwickelt wurde und die regulatorischen Anforderungen erfüllt. Teams kann ergänzend für die Praxisorganisation eingesetzt werden.

Ja, unbedingt. HIN ist Pflicht für den sicheren Austausch von Patientendaten zwischen Leistungserbringern in der Schweiz. Microsoft 365 ersetzt HIN nicht, sondern ergänzt es. Nutzen Sie HIN für die medizinische Kommunikation und M365 für die allgemeine Bürokommunikation. Das HIN Mail Gateway integriert beide Welten nahtlos in Outlook.

Für eine Einzelpraxis mit 3 Nutzenden (Arzt + 2 MPAs) rechnen Sie mit ca. CHF 50–70/Monat für M365 Business Premium. Für eine Gruppenpraxis mit 10 Nutzenden sind es ca. CHF 200–250/Monat. Dazu kommen einmalige Einrichtungskosten (CHF 1'000–3'000) und optional ein M365-Backup (CHF 3–5/Nutzer/Monat).

Nein. Microsoft 365 ist kein Praxisinformationssystem. Es ersetzt weder die Patientenverwaltung noch die eKG, die Abrechnung oder die Laboranbindung. M365 ergänzt Ihre Praxissoftware um Bürokommunikation, E-Mail, Dokumentenverwaltung und Zusammenarbeit. Die Praxissoftware bleibt das Herzstück Ihrer IT.

Fazit: M365 als Produktivitäts-Booster — richtig konfiguriert

Microsoft 365 ist ein leistungsstarkes Werkzeug für Arztpraxen — vorausgesetzt, es wird sicher und datenschutzkonform eingerichtet. Die Kombination aus vertrauten Office-Anwendungen, integrierter Kommunikation und Cloud-Speicher steigert die Effizienz im Praxisalltag erheblich.

Der Schlüssel liegt in der korrekten Konfiguration: Datenhaltung in der Schweiz, MFA, DLP, Conditional Access und ein solides Berechtigungskonzept. Ohne diese Massnahmen ist der Einsatz von M365 in einer Arztpraxis ein Datenschutz-Risiko.

avenios richtet Microsoft 365 für Arztpraxen in der Deutschschweiz sicher und datenschutzkonform ein — inklusive aller Sicherheitskonfigurationen, HIN-Integration und laufendem Support. Kontaktieren Sie uns für eine unverbindliche Beratung oder berechnen Sie Ihre IT-Kosten mit unserem Praxis-Kostenrechner.