Zum Hauptinhalt springen
  • Erfolge
  • Ratgeber
  • Kontakt
+41 (0)62 552 15 50
Zurück zur Übersicht

Patientendaten sicher verwalten

Christoph Kuling, Gründer & IT-Berater
Veröffentlicht: 10. Juli 2025
Aktualisiert: 3. März 2026

Datenschutz und IT-Sicherheit in der Arztpraxis gemäss nDSG: technische Massnahmen, Backup-Strategien und Checkliste für den Praxisalltag.

Auf einen Blick (TL;DR): Der Schutz von Patientendaten ist seit dem revidierten Datenschutzgesetz (nDSG) verschärfte gesetzliche Pflicht. Arztpraxen benötigen ein mehrschichtiges Sicherheitskonzept: Firewall, Netzwerksegmentierung, Endpoint Security, Festplattenverschlüsselung, MFA und Backups nach der 3-2-1-Regel. Bei Verstössen drohen Bussen bis CHF 250'000 für die verantwortliche Person. avenios implementiert und überwacht Ihr Datensicherheitskonzept.

Der Schutz von Patientendaten ist nicht nur gesetzliche Pflicht, sondern auch die Basis des Vertrauens Ihrer Patientinnen und Patienten. Mit dem revidierten Schweizer Datenschutzgesetz (nDSG), das seit dem 1. September 2023 in Kraft ist, gelten verschärfte Anforderungen an alle, die besonders schützenswerte Personendaten verarbeiten, und dazu gehören ausdrücklich Gesundheitsdaten. Ein Datenleck kann existenzbedrohende Folgen haben: Bussgelder von bis zu CHF 250'000 für verantwortliche Personen, Reputationsschäden und der Verlust des Patientenvertrauens.

Was bedeutet das nDSG konkret für Arztpraxen?

Gesundheitsdaten nDSG-konform schützen, in fünf Schritten.

Das neue Datenschutzgesetz bringt mehrere Pflichten, die direkt Auswirkungen auf Ihre IT haben:

  • Datenschutz-Folgenabschätzung (DSFA): Bei der Verarbeitung besonders schützenswerter Daten (= Gesundheitsdaten) müssen Sie die Risiken systematisch bewerten.
  • Privacy by Design und Default: Neue IT-Systeme müssen von Anfang an datenschutzkonform konzipiert sein. Standardeinstellungen müssen die datensparsamste Variante sein.
  • Meldepflicht bei Datenschutzverletzungen: Verletzungen der Datensicherheit müssen dem EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) so rasch wie möglich gemeldet werden.
  • Bearbeitungsverzeichnis: Sie müssen genau dokumentieren, welche Daten wo, wie und warum verarbeitet werden.

    • Wie sieht ein mehrschichtiges Sicherheitskonzept aus?

    Wir implementieren Sicherheitskonzepte nach dem "Zwiebel-Prinzip" (Defense in Depth). Jede Schicht schützt die darunterliegende:

  • 1. Physische Sicherheit: Serverzugang nur für berechtigte Personen, abschliessbare Serverräume mit Klimatisierung.
  • 2. Netzwerksicherheit: Next-Generation Firewall (Fortinet/Sophos) mit Intrusion Prevention System (IPS), Web-Filtering und VPN für Remote-Zugriff.
  • 3. Endpunktsicherheit: Managed Antivirus/EDR (Endpoint Detection & Response) auf allen Clients, zentral verwaltet und überwacht.
  • 4. Verschlüsselung: Festplattenverschlüsselung (BitLocker) auf allen Arbeitsplätzen und verschlüsselte E-Mail-Kommunikation via HIN (Health Info Net).
  • 5. Zugriffsmanagement: Rollenbasierte Zugriffsrechte (RBAC), jeder Mitarbeitende sieht nur die Daten, die für seine Arbeit notwendig sind. Multi-Faktor-Authentifizierung (MFA) für alle Cloud-Dienste.

    • Warum ist Backup unverzichtbar (3-2-1-Regel)?

    Regelmässige Backups sind lebenswichtig für jede Praxis. Wir setzen konsequent auf die bewährte 3-2-1-Regel:

  • 3 Kopien Ihrer Daten (1 Produktivdaten + 2 Backups)
  • 2 verschiedene Medien (z.B. lokaler NAS-Server + Cloud)
  • 1 externe Lagerung (verschlüsseltes Cloud-Backup in einem Schweizer Rechenzentrum)

    • Zusätzlich empfehlen wir regelmässige Restore-Tests: Ein Backup ist nur so gut wie seine Wiederherstellbarkeit. Wir testen quartalsweise, ob Ihre Daten vollständig und korrekt wiederhergestellt werden können.

    Checkliste: Datensicherheit in der Arztpraxis

  • 1. Firewall und Netzwerksegmentierung einrichten, Praxis-LAN, Gäste-WLAN und medizinische Geräte trennen
  • 2. Alle Endgeräte mit Managed Antivirus/EDR schützen, zentral überwacht und automatisch aktualisiert
  • 3. Festplattenverschlüsselung aktivieren, auf allen Laptops und PCs (BitLocker/FileVault)
  • 4. HIN-Mail für den sicheren Austausch von Patientendaten nutzen
  • 5. Multi-Faktor-Authentifizierung (MFA) für alle Cloud-Dienste aktivieren, Microsoft 365, Praxissoftware etc.
  • 6. Automatische Backups nach der 3-2-1-Regel einrichten
  • 7. Bearbeitungsverzeichnis gemäss nDSG erstellen und pflegen
  • 8. Mitarbeitende schulen, die grösste Schwachstelle ist der Mensch (Phishing, Social Engineering)
  • 9. Einen Incident-Response-Plan definieren, Was passiert bei einem Sicherheitsvorfall?
  • 10.Regelmässige Sicherheitsaudits durchführen, mindestens einmal pro Jahr

    • Wie schützen Arztpraxen Patientendaten dauerhaft?

    Datenschutz in der Arztpraxis ist kein einmaliges Projekt, sondern ein laufender Prozess. Mit dem richtigen IT-Partner an Ihrer Seite stellen Sie sicher, dass Ihre Praxis jederzeit den gesetzlichen Anforderungen entspricht und Ihre Patientendaten optimal geschützt sind. avenios übernimmt Monitoring, Patch-Management und Security-Audits, damit Sie sich auf Ihre Patientinnen und Patienten konzentrieren können.

    Häufig gestellte Fragen (FAQ)

    Das revidierte Datenschutzgesetz verlangt angemessene technische und organisatorische Massnahmen zum Schutz besonders schützenswerter Gesundheitsdaten, ein Verzeichnis der Bearbeitungstätigkeiten und eine Meldung schwerwiegender Verletzungen an den EDÖB. Die Praxis ist die verantwortliche Stelle.

    Wirksam ist ein mehrschichtiges Konzept: Firewall und Netzwerktrennung, Endgeräteschutz, Verschlüsselung, Mehr-Faktor-Authentifizierung, persönliche Benutzerkonten und ein getestetes Backup. Kein einzelnes Werkzeug genügt, erst das Zusammenspiel ergibt verlässlichen Schutz.

    Drei Kopien der Daten, auf zwei verschiedenen Medien, davon eine an einem anderen Standort. So bleibt die Praxis selbst bei Hardwaredefekt, Diebstahl oder einem Ransomware-Angriff handlungsfähig und kann ihre Daten wiederherstellen.

    Verschlüsselung gilt als zentrale Schutzmassnahme, sowohl bei der Übertragung (etwa über HIN) als auch auf den Geräten. Sie sorgt dafür, dass Daten bei Verlust oder Diebstahl eines Geräts nicht lesbar sind.

    Verantwortlich ist die Praxis als bearbeitende Stelle. Ein IT-Partner übernimmt die technische Umsetzung und Überwachung, die datenschutzrechtliche Verantwortung verbleibt aber bei der Praxisleitung. Dokumentierte Massnahmen helfen im Ernstfall.

    Verwandte Ratgeber

    HIN-Anbindung für Arztpraxen: Einrichtung, Kosten & Pflichten in der Schweiz

    HIN-Anbindung Arztpraxis Schweiz: Einrichtung, Kosten ab CHF 300/Jahr, EPD-Zugang und HIN-Mail Schritt für Schritt erklärt, für alle Praxissysteme.

    FMH IT-Grundschutz Arztpraxis Schweiz: Checkliste & Umsetzung 2026

    FMH IT-Grundschutz Arztpraxis Schweiz 2026: 20-Punkte-Checkliste und 8 Kernbereiche. Umsetzung in 4–8 Wochen, Kosten ab CHF 3'000 für Einzelpraxen.

    IT-Notfallplan für die Praxis

    IT-Notfallplan für Arztpraxen: Backup, RTO/RPO, Kommunikationsplan und Checkliste, damit Ihre Praxis auch bei IT-Ausfall handlungsfähig bleibt.

    Haben Sie Fragen zu diesem Thema?

    Wir beraten Sie gerne unverbindlich zu Ihren individuellen Anforderungen.

    Kontakt aufnehmen
    CK

    Christoph Kuling

    Gründer & IT-Berater, avenios GmbH

    Über 10 Jahre Erfahrung in IT-Infrastruktur und Managed Services für medizinische Einrichtungen in der Deutschschweiz.

    LinkedIn

    Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechts- oder Medizinberatung. Angaben zu Gesetzen (etwa dem nDSG), Preisen und Funktionen können sich ändern; für den konkreten Einzelfall ziehen Sie bitte eine Fachperson oder die zuständige Behörde bei.

    avenios

    Ihr unabhängiger IT-Partner für Arztpraxen und Ärztezentren in der Schweiz.

    Zollrain 2

    CH-5000 Aarau

    Unser Standort in Aarau ist während der Öffnungszeiten telefonisch für Sie erreichbar. Besprechungen vor Ort vereinbaren wir gerne nach Absprache.

    Regionen

    Managed IT Arztpraxis AarauManaged IT Arztpraxis ZürichManaged IT Arztpraxis BernManaged IT Arztpraxis Basel

    Quick Links

    KompetenzenArztpraxenIT-Anbieter wechselnVoIP & Cloud-TelefonieTelefon-HardwareTelefonieErfolgeRatgeberSupportIT für KMU & Startups

    Rechtliches & Kontakt

    AGBImpressumDatenschutzanfrage@avenios.ch+41 (0)62 552 15 50LinkedIn

    © 2026 avenios GmbH. Alle Rechte vorbehalten.

    Designed & built with ❤️ in der Schweiz