nDSG Arztpraxis IT-Pflichten: Massnahmen & Checkliste 2026

Das nDSG verpflichtet Arztpraxen in der Schweiz zu konkreten IT-Massnahmen. Bearbeitungsverzeichnis, technische Schutzmassnahmen, Datenpannen-Meldepflicht und Bussgelder bis CHF 250'000 — praxisnaher Leitfaden 2026.

Schnellantwort: Was verlangt das nDSG von Ihrer Arztpraxis?

Das nDSG (neues Datenschutzgesetz), in Kraft seit 1. September 2023, verlangt von Arztpraxen konkrete technische und organisatorische Massnahmen (TOM) zum Schutz von Patientendaten. Verstösse können mit Bussen bis CHF 250'000 persönlich (für verantwortliche natürliche Personen) bestraft werden.

nDSG-Pflicht	Betrifft	Status
Datenschutzerklärung (Website)	Alle Praxen	Sofort
Technische Schutzmassnahmen (TOM)	Alle Praxen	Sofort
Bearbeitungsverzeichnis	Praxen mit umfangreicher Datenbearbeitung	Bei Risiko
Datenschutz-Folgenabschätzung (DSFA)	Hochrisiko-Verarbeitungen	Bei Risiko
Datenpannen melden (EDÖB)	Alle Praxen	Bei Vorfall
Auftragsbearbeitungsvertrag (AVV)	Bei Cloud-/IT-Drittanbieter	Sofort

Auf einen Blick (TL;DR): Das nDSG gilt seit September 2023 für alle Arztpraxen in der Schweiz ohne Übergangsfrist. Patientendaten sind «besonders schützenswerte Personendaten» — der Schutzbedarf ist gesetzlich erhöht. Die wichtigsten IT-Massnahmen: Verschlüsselung, Backup nach 3-2-1-Regel, Next-Generation-Firewall, Zugriffskontrollen und HIN-Anbindung. Bussgelder bis CHF 250'000 treffen natürliche Personen — also Sie als Praxisinhaber persönlich.

Was ist das nDSG und warum gilt es besonders für Arztpraxen?

Das totalrevidierte Schweizerische Datenschutzgesetz (DSG, umgangssprachlich «nDSG») ist am 1. September 2023 in Kraft getreten. Es ersetzt das bisherige Gesetz von 1992 grundlegend und orientiert sich in weiten Teilen an der europäischen DSGVO — mit einem entscheidenden Unterschied: Das nDSG bestraft natürliche Personen, nicht Unternehmen.

Für Arztpraxen ist das nDSG besonders relevant, weil Patientendaten «besonders schützenswerte Personendaten» im Sinne von Art. 5 lit. c DSG sind. Gesundheitsdaten, Diagnosen, Medikamente, Behandlungsverläufe, Laborwerte — all das fällt in diese Kategorie mit erhöhtem Schutzbedarf. Die gesetzlichen Anforderungen an die Datensicherheit sind entsprechend höher als für normale Personendaten.

Das nDSG sieht keine Übergangsfrist vor. Seit dem 1. September 2023 gelten die Anforderungen vollumfänglich für alle Arztpraxen — unabhängig von Grösse oder Praxisform. (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, 2023)

Bearbeitungsverzeichnis: Wer muss es führen?

Das Bearbeitungsverzeichnis dokumentiert, welche Personendaten in Ihrer Praxis wie bearbeitet werden. Es ist das «Inventar» Ihrer Datenverarbeitungen.

Pflicht: Gemäss Art. 12 DSG müssen Verantwortliche, die in grossem Umfang besonders schützenswerte Personendaten bearbeiten, ein Bearbeitungsverzeichnis führen. Da Arztpraxen täglich Gesundheitsdaten einer Vielzahl von Patienten bearbeiten, gilt dies in der Praxis für nahezu alle Arztpraxen ab einer Grösse von 2–3 Mitarbeitenden aufwärts.

Was gehört ins Bearbeitungsverzeichnis?

Zweck der Datenbearbeitung (z.B. Patientendokumentation, Abrechnung, Qualitätssicherung)

Kategorien bearbeiteter Personendaten (Gesundheitsdaten, Kontaktdaten, Versicherungsdaten)

Empfänger oder Kategorien von Empfängern (Labor, Spital, Krankenversicherung, Behörden)

Aufbewahrungsdauer der Daten (gesetzliche Aufbewahrungspflichten für Patientenakten beachten)

Technische und organisatorische Massnahmen (TOM)

Allfällige Übermittlungen ins Ausland (Cloud-Anbieter, Labor-Systeme)

Die FMH stellt Vorlagen für das Bearbeitungsverzeichnis zur Verfügung. avenios unterstützt bei der Erstellung als Teil des IT-Setups.

Technische und organisatorische Massnahmen (TOM): Die IT-Pflichten im Detail

Art. 8 DSG verlangt, dass durch geeignete TOM eine dem Risiko angemessene Datensicherheit gewährleistet wird. Für Arztpraxen mit Gesundheitsdaten bedeutet das konkret:

Technische IT-Massnahmen:

Verschlüsselung: Patientendaten müssen bei der Übertragung verschlüsselt sein (TLS/HTTPS, HIN-E-Mail). Festplattenverschlüsselung auf allen Geräten (BitLocker für Windows, FileVault für macOS) ist Pflicht.

Zugriffskontrollen: Separate Benutzerkonten für jeden Mitarbeitenden, Berechtigungen nach dem Prinzip der minimalen Rechte. Keine gemeinsamen Passwörter. Administratoren-Konten getrennt von Benutzerkonten.

Next-Generation-Firewall: Segmentierung des Netzwerks in Praxis-VLAN, Gäste-WLAN und Medizingeräte-VLAN. Firewall mit Intrusion Prevention System (IPS) und Web-Filtering (Fortinet FortiGate, Sophos XGS).

Regelmässige Datensicherung nach 3-2-1-Regel: 3 Kopien auf 2 verschiedenen Medien, 1 davon extern/offsite. Backup muss monatlich getestet werden (Restore-Test).

Patch-Management: Automatische Updates für Betriebssysteme und alle installierten Programme. Ungepatchte Systeme sind das häufigste Einfallstor für Ransomware.

Endpoint Protection / EDR: Zentral verwalteter Virenschutz auf allen Geräten. Endpoint Detection & Response (EDR) bietet deutlich besseren Schutz als klassischer Antivirus.

Starke Authentifizierung: Zwei-Faktor-Authentifizierung (2FA) für alle Cloud-Dienste (Microsoft 365, HIN) und VPN-Fernzugriff.

Sichere E-Mail: Patientendaten dürfen nicht per unverschlüsselter E-Mail versandt werden. HIN-E-Mail ist der Schweizer Standard für verschlüsselte Kommunikation im Gesundheitswesen.

Organisatorische Massnahmen:

Datenschutzrichtlinie für alle Mitarbeitenden (schriftlich, unterschrieben)

Jährliche Schulung zu Datenschutz, Phishing und sicherem Umgang mit Patientendaten

Prozess bei Geräteverlust (sofortige Sperrung, Meldekette)

Prozess bei Datenpannen (wer informiert wen, innerhalb welcher Zeit)

Auftragsbearbeitungsverträge (AVV) mit IT-Dienstleister, Microsoft, Cloud-Backup-Anbieter, Labor-Systemen

Datenpannen: Meldepflicht und Reaktion

Art. 24 DSG verpflichtet Arztpraxen, den EDÖB unverzüglich zu melden, wenn eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt.

Was ist eine meldepflichtige Datenpanne?

Ransomware-Angriff mit Verschlüsselung oder Exfiltration von Patientendaten

Verlust eines unverschlüsselten Laptops oder USB-Sticks mit Patientendaten

Unberechtigter Zugriff auf Patientenakten (intern oder extern)

Versehentliches Versenden von Patientendaten an falsche Empfänger

Richtiges Vorgehen bei einer Datenpanne:

1.Vorfall sofort dokumentieren: Was ist passiert, wann, welche Daten, wie viele Betroffene?

2.IT-Partner sofort kontaktieren — Schadensbegrenzung hat Priorität

3.Risikobewertung: Besteht ein hohes Risiko für Betroffene (Missbrauch, Diskriminierung, Identitätsdiebstahl)?

4.Bei hohem Risiko: Meldung an den EDÖB «unverzüglich» — in der Praxis so schnell wie möglich, idealerweise innerhalb von 72 Stunden

5.Bei hohem Risiko für die Patienten: Betroffene informieren

6.Massnahmen zur Schadensbegrenzung und Prävention dokumentieren

Bussgelder: Bis CHF 250'000 persönlich

Das nDSG ist deutlich schärfer als sein Vorgänger und als viele europäische Datenschutzgesetze in einem wichtigen Punkt: Es bestraft natürliche Personen, nicht Unternehmen.

Wichtig: Im Gegensatz zur DSGVO (die Unternehmen mit Prozent des Jahresumsatzes bestraft) richtet sich das nDSG direkt an natürliche Personen — Sie als Praxisinhaber oder verantwortlicher Arzt haften persönlich. Eine professionell eingerichtete und gewartete IT-Infrastruktur ist Ihr wichtigster rechtlicher Schutz.

Die nDSG IT-Checkliste für Arztpraxen

Technische Massnahmen — muss erledigt sein:

Next-Generation-Firewall installiert und konfiguriert (Fortinet, Sophos oder gleichwertig)

Netzwerk segmentiert: Praxis-VLAN, Gäste-WLAN, Medizingeräte-Netz getrennt

Alle Gerätefestplatten verschlüsselt (BitLocker / FileVault aktiv und konfiguriert)

Backup nach 3-2-1-Regel eingerichtet und monatlich getestet (Restore-Test dokumentiert)

Automatisches Patch-Management aktiv für OS und alle Anwendungen

Endpoint Protection / EDR auf allen Windows- und macOS-Geräten installiert

HIN-Anbindung für alle behandelnden Ärzte aktiv

Microsoft 365 mit Datenresidenz Schweiz oder EU konfiguriert

2-Faktor-Authentifizierung für alle Cloud-Dienste und VPN aktiviert

VPN für Fernzugriff eingerichtet (kein direkter RDP ins Internet)

Organisatorische Massnahmen — muss erledigt sein:

Datenschutzerklärung auf der Praxiswebsite aktualisiert (nDSG-konform)

Bearbeitungsverzeichnis erstellt und aktuell gehalten

Datenschutzrichtlinie für Mitarbeitende erstellt und unterschrieben

Mitarbeitende zum Datenschutz und Phishing-Erkennung geschult

Auftragsbearbeitungsverträge mit IT-Partner, Microsoft, Backup-Dienst vorhanden

Prozess für Datenpannen schriftlich dokumentiert

Häufig gestellte Fragen (FAQ)

Die wichtigsten nDSG-Pflichten für Arztpraxen sind: (1) Technische und organisatorische Massnahmen (TOM) zum Schutz von Patientendaten — Verschlüsselung, Firewall, Backup, Patch-Management, Zugriffskontrollen. (2) Führung eines Bearbeitungsverzeichnisses bei umfangreicher Verarbeitung von Gesundheitsdaten. (3) Meldung von Datenpannen an den EDÖB unverzüglich bei hohem Risiko für Betroffene. (4) Auftragsbearbeitungsverträge mit IT-Dienstleistern und Cloud-Anbietern. (5) Information der Patienten über die Datenbearbeitung.

Das nDSG sieht Strafen von bis zu CHF 250'000 für natürliche Personen vor. Das bedeutet: Nicht die Praxis als Unternehmen wird bestraft, sondern der Praxisinhaber oder verantwortliche Arzt persönlich. Strafbar sind Verletzung der Meldepflicht bei Datenpannen, Missachtung der Sorgfaltspflichten bei besonders schützenswerten Daten (zu denen Patientendaten gehören) und Nichtbefolgung von EDÖB-Verfügungen.

Grundsätzlich müssen Verantwortliche, die in grossem Umfang besonders schützenswerte Personendaten bearbeiten, ein Bearbeitungsverzeichnis führen. Da Arztpraxen täglich Gesundheitsdaten von Patienten bearbeiten, gilt dies in der Praxis für nahezu alle Arztpraxen ab einer Grösse von 2–3 Mitarbeitenden. Die FMH stellt Vorlagen bereit. avenios unterstützt bei der Erstellung im Rahmen des IT-Setups.

Das nDSG schreibt keine spezifischen Kommunikationstechnologien vor, verlangt aber verschlüsselte Übertragung von Patientendaten. HIN (Health Info Net) ist der Schweizer Standard für verschlüsselte E-Mail-Kommunikation im Gesundheitswesen, von FMH und BAG empfohlen. In der Praxis ist HIN die einfachste Möglichkeit, die nDSG-Anforderung der verschlüsselten Datenkommunikation zu erfüllen. Seit 2022 ist HIN zudem Pflichtvoraussetzung für den EPD-Zugang (Elektronisches Patientendossier).

TOM sind alle Schutzvorkehrungen einer Arztpraxis zum Schutz von Patientendaten. Technische Massnahmen: Firewall, Festplattenverschlüsselung, Backup nach 3-2-1-Regel, Virenschutz/EDR, Patch-Management, Zugriffskontrollen, HIN-E-Mail, 2-Faktor-Authentifizierung. Organisatorische Massnahmen: Datenschutzschulungen, Datenschutzrichtlinien, Bearbeitungsverzeichnis, Prozesse bei Datenpannen, Auftragsbearbeitungsverträge mit IT-Dienstleistern.

Ja, das nDSG gilt für alle Arztpraxen in der Schweiz — unabhängig von Grösse oder Fachgebiet. Auch eine Einzelpraxis mit einem Arzt bearbeitet besonders schützenswerte Personendaten und ist damit vollständig an die nDSG-Anforderungen gebunden. Das Gesetz sieht jedoch eine risikobasierte Beurteilung vor: Je grösser der Umfang der Datenbearbeitung, desto höher die Anforderungen. Für kleine Praxen sind die Grundmassnahmen (Firewall, Backup, Verschlüsselung, Zugriffskontrollen) in der Regel ausreichend.

Folgende Schritte bei einer Datenpanne: (1) Vorfall sofort dokumentieren und IT-Partner kontaktieren. (2) Schadensausmass ermitteln: Welche Daten, wie viele Patienten, wie grosses Risiko? (3) Bei hohem Risiko für Betroffene: Meldung an den EDÖB «unverzüglich» — so schnell wie möglich, idealerweise innerhalb von 72 Stunden. (4) Betroffene Patienten informieren, wenn das Risiko hoch ist. (5) Massnahmen zur Schadensbegrenzung ergreifen und dokumentieren.

Fazit: nDSG-Konformität als IT-Investition

nDSG-Konformität ist keine bürokratische Pflichtübung, sondern eine Investition in die Sicherheit Ihrer Praxis und das Vertrauen Ihrer Patienten. Die konkreten IT-Massnahmen — Firewall, Backup, Verschlüsselung, HIN — sind gleichzeitig der beste Schutz gegen Ransomware, Systemausfälle und Datenverlust.

avenios unterstützt Arztpraxen in der Deutschschweiz bei der nDSG-konformen IT-Einrichtung — von der Analyse über die Umsetzung bis zum laufenden Managed Service.

IT-Sicherheits-Check anfragen · FMH IT-Grundschutz Leitfaden · Cybersecurity für Arztpraxen

Schnellantwort: Was verlangt das nDSG von Ihrer Arztpraxis?

nDSG-Pflicht	Betrifft	Status
Datenschutzerklärung (Website)	Alle Praxen	Sofort
Technische Schutzmassnahmen (TOM)	Alle Praxen	Sofort
Bearbeitungsverzeichnis	Praxen mit umfangreicher Datenbearbeitung	Bei Risiko
Datenschutz-Folgenabschätzung (DSFA)	Hochrisiko-Verarbeitungen	Bei Risiko
Datenpannen melden (EDÖB)	Alle Praxen	Bei Vorfall
Auftragsbearbeitungsvertrag (AVV)	Bei Cloud-/IT-Drittanbieter	Sofort

Was ist das nDSG und warum gilt es besonders für Arztpraxen?

Bearbeitungsverzeichnis: Wer muss es führen?

Das Bearbeitungsverzeichnis dokumentiert, welche Personendaten in Ihrer Praxis wie bearbeitet werden. Es ist das «Inventar» Ihrer Datenverarbeitungen.

Was gehört ins Bearbeitungsverzeichnis?

Zweck der Datenbearbeitung (z.B. Patientendokumentation, Abrechnung, Qualitätssicherung)

Kategorien bearbeiteter Personendaten (Gesundheitsdaten, Kontaktdaten, Versicherungsdaten)

Empfänger oder Kategorien von Empfängern (Labor, Spital, Krankenversicherung, Behörden)

Aufbewahrungsdauer der Daten (gesetzliche Aufbewahrungspflichten für Patientenakten beachten)

Technische und organisatorische Massnahmen (TOM)

Allfällige Übermittlungen ins Ausland (Cloud-Anbieter, Labor-Systeme)

Die FMH stellt Vorlagen für das Bearbeitungsverzeichnis zur Verfügung. avenios unterstützt bei der Erstellung als Teil des IT-Setups.

Technische und organisatorische Massnahmen (TOM): Die IT-Pflichten im Detail

Art. 8 DSG verlangt, dass durch geeignete TOM eine dem Risiko angemessene Datensicherheit gewährleistet wird. Für Arztpraxen mit Gesundheitsdaten bedeutet das konkret:

Technische IT-Massnahmen:

Regelmässige Datensicherung nach 3-2-1-Regel: 3 Kopien auf 2 verschiedenen Medien, 1 davon extern/offsite. Backup muss monatlich getestet werden (Restore-Test).

Patch-Management: Automatische Updates für Betriebssysteme und alle installierten Programme. Ungepatchte Systeme sind das häufigste Einfallstor für Ransomware.

Endpoint Protection / EDR: Zentral verwalteter Virenschutz auf allen Geräten. Endpoint Detection & Response (EDR) bietet deutlich besseren Schutz als klassischer Antivirus.

Starke Authentifizierung: Zwei-Faktor-Authentifizierung (2FA) für alle Cloud-Dienste (Microsoft 365, HIN) und VPN-Fernzugriff.

Sichere E-Mail: Patientendaten dürfen nicht per unverschlüsselter E-Mail versandt werden. HIN-E-Mail ist der Schweizer Standard für verschlüsselte Kommunikation im Gesundheitswesen.

Organisatorische Massnahmen:

Datenschutzrichtlinie für alle Mitarbeitenden (schriftlich, unterschrieben)

Jährliche Schulung zu Datenschutz, Phishing und sicherem Umgang mit Patientendaten

Prozess bei Geräteverlust (sofortige Sperrung, Meldekette)

Prozess bei Datenpannen (wer informiert wen, innerhalb welcher Zeit)

Auftragsbearbeitungsverträge (AVV) mit IT-Dienstleister, Microsoft, Cloud-Backup-Anbieter, Labor-Systemen

Datenpannen: Meldepflicht und Reaktion

Art. 24 DSG verpflichtet Arztpraxen, den EDÖB unverzüglich zu melden, wenn eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt.

Was ist eine meldepflichtige Datenpanne?

Ransomware-Angriff mit Verschlüsselung oder Exfiltration von Patientendaten

Verlust eines unverschlüsselten Laptops oder USB-Sticks mit Patientendaten

Unberechtigter Zugriff auf Patientenakten (intern oder extern)

Versehentliches Versenden von Patientendaten an falsche Empfänger

Richtiges Vorgehen bei einer Datenpanne:

1.Vorfall sofort dokumentieren: Was ist passiert, wann, welche Daten, wie viele Betroffene?

2.IT-Partner sofort kontaktieren — Schadensbegrenzung hat Priorität

3.Risikobewertung: Besteht ein hohes Risiko für Betroffene (Missbrauch, Diskriminierung, Identitätsdiebstahl)?

4.Bei hohem Risiko: Meldung an den EDÖB «unverzüglich» — in der Praxis so schnell wie möglich, idealerweise innerhalb von 72 Stunden

5.Bei hohem Risiko für die Patienten: Betroffene informieren

6.Massnahmen zur Schadensbegrenzung und Prävention dokumentieren

Bussgelder: Bis CHF 250'000 persönlich

Das nDSG ist deutlich schärfer als sein Vorgänger und als viele europäische Datenschutzgesetze in einem wichtigen Punkt: Es bestraft natürliche Personen, nicht Unternehmen.

Die nDSG IT-Checkliste für Arztpraxen

Technische Massnahmen — muss erledigt sein:

Next-Generation-Firewall installiert und konfiguriert (Fortinet, Sophos oder gleichwertig)

Netzwerk segmentiert: Praxis-VLAN, Gäste-WLAN, Medizingeräte-Netz getrennt

Alle Gerätefestplatten verschlüsselt (BitLocker / FileVault aktiv und konfiguriert)

Backup nach 3-2-1-Regel eingerichtet und monatlich getestet (Restore-Test dokumentiert)

Automatisches Patch-Management aktiv für OS und alle Anwendungen

Endpoint Protection / EDR auf allen Windows- und macOS-Geräten installiert

HIN-Anbindung für alle behandelnden Ärzte aktiv

Microsoft 365 mit Datenresidenz Schweiz oder EU konfiguriert

2-Faktor-Authentifizierung für alle Cloud-Dienste und VPN aktiviert

VPN für Fernzugriff eingerichtet (kein direkter RDP ins Internet)

Organisatorische Massnahmen — muss erledigt sein:

Datenschutzerklärung auf der Praxiswebsite aktualisiert (nDSG-konform)

Bearbeitungsverzeichnis erstellt und aktuell gehalten

Datenschutzrichtlinie für Mitarbeitende erstellt und unterschrieben

Mitarbeitende zum Datenschutz und Phishing-Erkennung geschult

Auftragsbearbeitungsverträge mit IT-Partner, Microsoft, Backup-Dienst vorhanden

Prozess für Datenpannen schriftlich dokumentiert

Häufig gestellte Fragen (FAQ)

Fazit: nDSG-Konformität als IT-Investition

avenios unterstützt Arztpraxen in der Deutschschweiz bei der nDSG-konformen IT-Einrichtung — von der Analyse über die Umsetzung bis zum laufenden Managed Service.

IT-Sicherheits-Check anfragen · FMH IT-Grundschutz Leitfaden · Cybersecurity für Arztpraxen

nDSG für Arztpraxen: Konkrete IT-Massnahmen, Checkliste & Bussgelder 2026

Schnellantwort: Was verlangt das nDSG von Ihrer Arztpraxis?

Was ist das nDSG und warum gilt es besonders für Arztpraxen?

Bearbeitungsverzeichnis: Wer muss es führen?

Technische und organisatorische Massnahmen (TOM): Die IT-Pflichten im Detail

Datenpannen: Meldepflicht und Reaktion

Bussgelder: Bis CHF 250'000 persönlich

Die nDSG IT-Checkliste für Arztpraxen

Häufig gestellte Fragen (FAQ)

Fazit: nDSG-Konformität als IT-Investition

Verwandte Ratgeber

Haben Sie Fragen zu diesem Thema?

nDSG für Arztpraxen: Konkrete IT-Massnahmen, Checkliste & Bussgelder 2026

Schnellantwort: Was verlangt das nDSG von Ihrer Arztpraxis?

Was ist das nDSG und warum gilt es besonders für Arztpraxen?

Bearbeitungsverzeichnis: Wer muss es führen?

Technische und organisatorische Massnahmen (TOM): Die IT-Pflichten im Detail

Datenpannen: Meldepflicht und Reaktion

Bussgelder: Bis CHF 250'000 persönlich

Die nDSG IT-Checkliste für Arztpraxen

Häufig gestellte Fragen (FAQ)

Fazit: nDSG-Konformität als IT-Investition

Verwandte Ratgeber

Haben Sie Fragen zu diesem Thema?