FMH IT-Grundschutz Arztpraxis: Checkliste 2026

FMH IT-Grundschutz Arztpraxis Schweiz 2026: 20-Punkte-Checkliste und 8 Kernbereiche. Umsetzung in 4–8 Wochen, Kosten ab CHF 3'000 für Einzelpraxen.

FMH IT-Grundschutz Arztpraxis auf einen Blick

Die 8 Kernbereiche des FMH IT-Grundschutzes für Arztpraxen: Zugang und 2FA, Backup, Netzwerk, Endgeräte, E-Mail/HIN, physische Sicherheit, Notfallplan und Schulung — Die acht Pflicht-Bereiche des FMH IT-Grundschutzes auf einen Blick.

Aspekt	Kenngrösse
Kernbereiche	8 (Zugang, Backup, Netzwerk, Endgeräte, E-Mail, Physisch, Notfall, Schulung)
Umsetzungsdauer	4–8 Wochen
Kosten Einzelpraxis	CHF 3'000–8'000 einmalig + CHF 200–500/Monat
Kosten Gruppenpraxis	CHF 8'000–20'000 einmalig + CHF 500–1'500/Monat
Bussenrisiko bei Verstoss	bis CHF 250'000 (persönlich, revDSG Art. 60)
Folgekosten eines Sicherheitsvorfalls	Erheblich (Wiederherstellung, Ausfall, nDSG-Meldung)

Praxis-Check: Wie viele der 20 Pflichtmassnahmen erfüllt Ihre Praxis bereits? Kostenlose Gap-Analyse anfragen

Auf einen Blick (TL;DR): Der FMH IT-Grundschutz definiert Mindestanforderungen an die IT-Sicherheit in Schweizer Arztpraxen. Er umfasst organisatorische und technische Massnahmen zum Schutz von Patientendaten — von Passwortrichtlinien über Backup-Konzepte bis zur Netzwerksicherheit. Seit dem revidierten Datenschutzgesetz (revDSG/nDSG) 2023 sind diese Massnahmen nicht mehr optional. avenios unterstützt Arztpraxen bei der vollständigen Umsetzung des IT-Grundschutzes — von der Gap-Analyse bis zur laufenden Überwachung.

Was ist der FMH IT-Grundschutz?

Der FMH IT-Grundschutz ist ein Rahmenwerk der Verbindung der Schweizer Ärztinnen und Ärzte (FMH), das Mindestanforderungen an die IT-Sicherheit in Arztpraxen definiert. Er basiert auf dem Prinzip, dass besonders schützenswerte Personendaten — wie Gesundheitsdaten von Patientinnen und Patienten — eines angemessenen technischen und organisatorischen Schutzes bedürfen.

Das Rahmenwerk orientiert sich an internationalen Standards wie ISO 27001 und dem deutschen BSI-Grundschutz, wurde aber speziell auf die Bedürfnisse und Ressourcen von kleinen und mittleren Arztpraxen in der Schweiz angepasst. Es ist kein Gesetz im engeren Sinne, aber die darin formulierten Anforderungen sind faktisch verbindlich: Das revidierte Datenschutzgesetz (revDSG) verlangt «angemessene technische und organisatorische Massnahmen» — und der FMH IT-Grundschutz konkretisiert, was «angemessen» in einer Arztpraxis bedeutet.

Warum ist der IT-Grundschutz für Arztpraxen so wichtig?

Arztpraxen verarbeiten täglich besonders schützenswerte Personendaten gemäss Art. 5 revDSG. Dazu gehören Diagnosen, Laborergebnisse, Medikationspläne, psychologische Befunde und biometrische Daten. Ein Datenverlust oder eine Datenpanne hat schwerwiegende Konsequenzen:

Rechtliche Folgen: Verstösse gegen das revDSG können mit Bussen bis CHF 250'000 geahndet werden — und zwar gegen die verantwortliche natürliche Person, also den Praxisinhaber persönlich.

Reputationsschaden: Eine Datenpanne untergräbt das Vertrauensverhältnis zu Ihren Patientinnen und Patienten nachhaltig.

Betriebsausfall: Ransomware-Angriffe können Praxen über mehrere Tage lahmlegen. Ohne funktionierendes Backup bedeutet dies erheblichen Umsatzausfall und potenzielle Patientengefährdung.

Versicherungsrisiko: Cyberversicherungen prüfen zunehmend, ob Mindeststandards wie der FMH IT-Grundschutz eingehalten werden. Ohne Nachweis drohen Leistungsverweigerungen.

Der FMH IT-Grundschutz ist keine bürokratische Pflichtübung — er schützt Ihre Praxis, Ihre Patienten und Sie persönlich vor realen Risiken. Lassen Sie Ihren IT-Grundschutz kostenlos prüfen.

Die 8 Kernbereiche des FMH IT-Grundschutzes

Der FMH IT-Grundschutz gliedert sich in acht zentrale Bereiche. Jeder Bereich enthält konkrete Massnahmen, die in Ihrer Praxis umgesetzt werden müssen:

1. Zugangs- und Zugriffskontrolle — wer darf was?

Persönliche Benutzerkonten für alle Mitarbeitenden (keine gemeinsam genutzten Logins)

Starke Passwörter mit mindestens 12 Zeichen, idealerweise mit einem Passwort-Manager

Zwei-Faktor-Authentifizierung (2FA) für den Zugang zu Praxissoftware und Fernzugriffe

Rollenbasierte Berechtigungen: Jede Mitarbeiterin sieht nur die Daten, die sie für ihre Arbeit benötigt (Need-to-know-Prinzip)

Automatische Bildschirmsperre nach maximal 5 Minuten Inaktivität

Sofortige Deaktivierung von Zugängen ausgetretener Mitarbeitender

2. Datensicherung (Backup) — Ihr Sicherheitsnetz?

Tägliche automatische Backups aller Praxisdaten, inklusive Praxissoftware-Datenbank

3-2-1-Regel: Mindestens 3 Kopien, auf 2 verschiedenen Medien, davon 1 an einem externen Standort (z.B. verschlüsselter Cloud-Speicher in der Schweiz)

Verschlüsselte Backup-Medien — ein unverschlüsseltes Backup auf einer externen Festplatte ist keine akzeptable Lösung

Regelmässige Restore-Tests — ein Backup, das nie getestet wurde, ist kein Backup

Aufbewahrungsfristen beachten: Medizinische Daten müssen in der Schweiz mindestens 10 Jahre aufbewahrt werden (Art. 26 KG, kantonale Vorgaben bis 20 Jahre)

3. Netzwerksicherheit — die unsichtbare Mauer?

Professionelle Firewall (keine Consumer-Router) mit regelmässigen Firmware-Updates

Separates Gäste-WLAN strikt getrennt vom Praxis-Netzwerk

Netzwerksegmentierung: Medizinische Geräte (z.B. Röntgen, Labor) in einem eigenen VLAN

VPN-Verschlüsselung für alle Fernzugriffe — kein unverschlüsselter Zugriff auf Praxisdaten von ausserhalb

Monitoring: Überwachung des Netzwerkverkehrs auf ungewöhnliche Aktivitäten

4. Endgeräte-Sicherheit — jedes Gerät zählt?

Aktuelles Betriebssystem mit automatischen Sicherheitsupdates (Windows 11, macOS Sequoia oder neuer)

Professionelle Endpoint-Sicherheitslösung (nicht nur Windows Defender, sondern Managed Detection & Response)

Festplattenverschlüsselung auf allen Geräten (BitLocker für Windows, FileVault für Mac)

Mobile Device Management (MDM) für Praxis-Smartphones und Tablets

Kontrollierte USB-Ports: Keine unkontrollierten USB-Sticks an Praxisrechnern

5. E-Mail-Sicherheit und HIN — der sichere Kanal?

HIN-Anbindung für den sicheren Austausch von Patientendaten zwischen Leistungserbringern

E-Mail-Verschlüsselung über HIN Mail oder vergleichbare Lösungen für alle Nachrichten mit Gesundheitsdaten

Spam- und Phishing-Filter auf dem E-Mail-Gateway — Phishing ist der häufigste Angriffsvektor auf Arztpraxen

Schulung der Mitarbeitenden im Erkennen von Phishing-E-Mails

Klare Richtlinie: Patientendaten werden nie über unverschlüsselte E-Mail versendet

6. Physische Sicherheit — der oft vergessene Bereich?

Serverraum/Netzwerkschrank abgeschlossen und nur für berechtigte Personen zugänglich

Bildschirmpositionierung so, dass Patienten im Empfangsbereich keine Daten einsehen können

Sicherer Dokumentenvernichter (Sicherheitsstufe P-4 oder höher) für Papierunterlagen

Zutrittskontrolle zu Bereichen mit IT-Infrastruktur

Clean Desk Policy: Keine Patientenakten offen auf dem Schreibtisch über Nacht

7. Notfallplanung und Incident Response — wenn es passiert?

Dokumentierter IT-Notfallplan mit klaren Zuständigkeiten und Eskalationspfaden

Erreichbarkeit des IT-Dienstleisters ausserhalb der Bürozeiten (SLA mit Reaktionszeiten)

Meldepflicht: Datenschutzverletzungen müssen dem EDÖB unverzüglich gemeldet werden (Art. 24 revDSG)

Regelmässige Notfallübungen — mindestens einmal pro Jahr

Offline-Kontaktliste mit Telefonnummern von IT-Support, HIN, Praxissoftware-Anbieter und EDÖB

8. Schulung und Awareness — der menschliche Faktor?

Jährliche IT-Sicherheitsschulung für alle Mitarbeitenden (inklusive Teilzeitkräfte und Aushilfen)

Onboarding-Prozess mit IT-Sicherheitsbriefing für neue Mitarbeitende

Phishing-Simulationen um das Bewusstsein zu schärfen

Vertraulichkeitserklärung unterschrieben von allen Mitarbeitenden mit Datenzugang

Klare Richtlinien für den Umgang mit privaten Geräten (BYOD-Policy)

Praktische Checkliste: FMH IT-Grundschutz in 20 Punkten

Nutzen Sie diese Checkliste für eine schnelle Selbsteinschätzung Ihrer Praxis:

1.Jeder Mitarbeitende hat ein persönliches Benutzerkonto mit starkem Passwort

2.Zwei-Faktor-Authentifizierung ist aktiviert für Praxissoftware und Fernzugriff

3.Automatische tägliche Backups werden durchgeführt und extern gespeichert

4.Backup-Wiederherstellung wird mindestens vierteljährlich getestet

5.Eine professionelle Firewall mit aktueller Firmware ist im Einsatz

6.Das Gäste-WLAN ist vom Praxisnetzwerk getrennt

7.Alle Betriebssysteme erhalten automatische Sicherheitsupdates

8.Festplattenverschlüsselung ist auf allen Geräten aktiviert

9.HIN ist eingerichtet und wird für den Austausch von Patientendaten genutzt

10.Ein Spam- und Phishing-Filter ist aktiv

11.Praxissoftware-Zugriffe sind rollenbasiert konfiguriert

12.Der Serverraum/Netzwerkschrank ist abgeschlossen

13.Ein IT-Notfallplan existiert und ist allen bekannt

14.Mitarbeitende wurden in den letzten 12 Monaten geschult

15.Bildschirme sperren sich automatisch nach 5 Minuten

16.USB-Ports sind kontrolliert (keine unkontrollierten externen Medien)

17.VPN wird für alle externen Zugriffe verwendet

18.Vertraulichkeitserklärungen sind von allen Mitarbeitenden unterschrieben

19.Ein Dokumentenvernichter (mind. P-4) ist vorhanden

20.Die IT-Dokumentation ist aktuell und vollständig

Wie viele Punkte erfüllen Sie bereits? Weniger als 15 von 20? Dann besteht Handlungsbedarf. Kontaktieren Sie uns für eine kostenlose Gap-Analyse Ihres IT-Grundschutzes.

Was passiert bei Nichteinhaltung des IT-Grundschutzes?

Die Konsequenzen einer mangelhaften IT-Sicherheit in der Arztpraxis sind seit dem revDSG deutlich verschärft:

Bussen bis CHF 250'000 gegen die verantwortliche natürliche Person (nicht die Praxis-GmbH, sondern Sie persönlich)

Strafanzeige durch den EDÖB bei vorsätzlicher oder fahrlässiger Verletzung der Datenschutzpflichten

Zivilrechtliche Haftung gegenüber betroffenen Patientinnen und Patienten

Berufsrechtliche Konsequenzen durch die kantonale Gesundheitsdirektion

Meldepflicht-Verletzung ist ein eigenständiger Verstoss — selbst wenn die Datenpanne selbst unvermeidbar war

Wie setzt man den FMH IT-Grundschutz konkret um?

Die Umsetzung des IT-Grundschutzes muss kein Mammutprojekt sein. Mit einem strukturierten Vorgehen ist eine vollständige Umsetzung in 4–8 Wochen realistisch:

1.Gap-Analyse (Woche 1–2): Systematische Bewertung des Ist-Zustandes anhand der FMH-Anforderungen. Wo stehen Sie heute? Was fehlt?

2.Priorisierung (Woche 2): Einteilung der Massnahmen in «sofort umsetzen» (z.B. Passwortrichtlinien), «kurzfristig» (z.B. Backup-Optimierung) und «mittelfristig» (z.B. Netzwerksegmentierung).

3.Technische Umsetzung (Woche 3–6): Installation und Konfiguration der erforderlichen Systeme — Firewall, Endpoint-Security, Backup-Lösung, MDM, VPN.

4.Schulung (Woche 5–6): IT-Sicherheitsschulung für das gesamte Praxisteam.

5.Dokumentation (Woche 6–7): Erstellung des IT-Notfallplans, der Sicherheitsrichtlinien und der technischen Dokumentation.

6.Review und Monitoring (Woche 8, dann laufend): Abschluss-Check und Einrichtung der laufenden Überwachung.

Was kostet die Umsetzung des FMH IT-Grundschutzes?

Die Kosten variieren je nach aktuellem Stand Ihrer IT-Sicherheit und Praxisgrösse:

Einzelpraxis (1–3 Arbeitsplätze): CHF 3'000–8'000 einmalig für die Grundschutz-Umsetzung, plus CHF 200–500/Monat für Managed Security Services

Gruppenpraxis (4–10 Arbeitsplätze): CHF 8'000–20'000 einmalig, plus CHF 500–1'500/Monat für laufende Überwachung und Wartung

Ärztezentrum (10+ Arbeitsplätze): CHF 15'000–40'000 einmalig, plus CHF 1'000–3'000/Monat

Diese Investition steht in keinem Verhältnis zu den potenziellen Kosten einer Datenpanne: Ein Sicherheitsvorfall verursacht erhebliche Wiederherstellungskosten, Betriebsausfall und Reputationsschaden — professionelle Prävention ist deutlich günstiger.

Investieren Sie in Prävention statt in Schadensbegrenzung. Berechnen Sie Ihre IT-Kosten mit unserem Praxis-Kostenrechner und erfahren Sie, was ein umfassender IT-Grundschutz für Ihre Praxis kostet.

Welche Rolle spielt das revidierte Datenschutzgesetz (revDSG)?

Das revidierte Datenschutzgesetz, in Kraft seit dem 1. September 2023, hat die Anforderungen an den Umgang mit Personendaten in der Schweiz massgeblich verschärft. Für Arztpraxen sind insbesondere folgende Punkte relevant:

Datenschutz-Folgenabschätzung (DSFA): Bei der Verarbeitung besonders schützenswerter Personendaten — also in jeder Arztpraxis — muss eine DSFA durchgeführt werden.

Privacy by Design und by Default: IT-Systeme müssen von Anfang an datenschutzfreundlich konfiguriert sein.

Meldepflicht bei Datenschutzverletzungen: Verletzungen der Datensicherheit müssen dem EDÖB so rasch wie möglich gemeldet werden.

Bearbeitungsverzeichnis: Jede Arztpraxis muss ein Verzeichnis aller Datenbearbeitungstätigkeiten führen.

Informationspflicht: Patientinnen und Patienten müssen über die Datenbearbeitung informiert werden.

Der FMH IT-Grundschutz ist das ideale Instrument, um die technischen Anforderungen des revDSG in der Praxis umzusetzen.

Häufige Fehler bei der IT-Sicherheit in Arztpraxen

Aus unserer Beratungspraxis kennen wir die typischen Schwachstellen:

Gemeinsam genutzte Passwörter: «Das Praxis-Passwort» wird von allen Mitarbeitenden verwendet — ein massiver Verstoss gegen die Zugriffskontrolle.

Backup auf externer Festplatte im selben Raum: Bei Brand oder Einbruch sind Original und Backup gleichzeitig verloren.

Kein getrenttes Gäste-WLAN: Patienten und Praxis-Geräte teilen sich dasselbe Netzwerk — ein offenes Einfallstor.

Veraltete Betriebssysteme: Windows 10 erreicht das Support-Ende im Oktober 2025. Praxen mit Windows 10 erhalten keine Sicherheitsupdates mehr.

Keine Schulung: Mitarbeitende klicken auf Phishing-Links, weil sie nie geschult wurden.

Fehlender IT-Notfallplan: Im Ernstfall weiss niemand, wen man anrufen soll und welche Schritte zu unternehmen sind.

Wie setzt man den FMH IT-Grundschutz in der Arztpraxis um?

Der FMH IT-Grundschutz ist mehr als eine Compliance-Anforderung — er ist das Fundament für das Vertrauen Ihrer Patientinnen und Patienten in Ihre Praxis. In einer Zeit, in der Cyberangriffe auf das Gesundheitswesen zunehmen und die regulatorischen Anforderungen steigen, ist eine professionelle IT-Sicherheit keine Option, sondern eine Notwendigkeit.

Die gute Nachricht: Mit dem richtigen Partner ist die Umsetzung des IT-Grundschutzes kein Hexenwerk. Die meisten Massnahmen lassen sich innerhalb weniger Wochen implementieren — und die laufende Überwachung kann vollständig an einen spezialisierten IT-Dienstleister ausgelagert werden.

avenios unterstützt Arztpraxen in der Deutschschweiz bei der vollständigen Umsetzung des FMH IT-Grundschutzes — von der initialen Gap-Analyse über die technische Implementation bis zur laufenden Überwachung und jährlichen Schulung Ihres Teams. Kontaktieren Sie uns für eine kostenlose Erstberatung oder berechnen Sie Ihre IT-Kosten individuell.

FMH IT-Grundschutz Arztpraxis auf einen Blick

Aspekt	Kenngrösse
Kernbereiche	8 (Zugang, Backup, Netzwerk, Endgeräte, E-Mail, Physisch, Notfall, Schulung)
Umsetzungsdauer	4–8 Wochen
Kosten Einzelpraxis	CHF 3'000–8'000 einmalig + CHF 200–500/Monat
Kosten Gruppenpraxis	CHF 8'000–20'000 einmalig + CHF 500–1'500/Monat
Bussenrisiko bei Verstoss	bis CHF 250'000 (persönlich, revDSG Art. 60)
Folgekosten eines Sicherheitsvorfalls	Erheblich (Wiederherstellung, Ausfall, nDSG-Meldung)

Praxis-Check: Wie viele der 20 Pflichtmassnahmen erfüllt Ihre Praxis bereits? Kostenlose Gap-Analyse anfragen

Was ist der FMH IT-Grundschutz?

Warum ist der IT-Grundschutz für Arztpraxen so wichtig?

Rechtliche Folgen: Verstösse gegen das revDSG können mit Bussen bis CHF 250'000 geahndet werden — und zwar gegen die verantwortliche natürliche Person, also den Praxisinhaber persönlich.

Reputationsschaden: Eine Datenpanne untergräbt das Vertrauensverhältnis zu Ihren Patientinnen und Patienten nachhaltig.

Betriebsausfall: Ransomware-Angriffe können Praxen über mehrere Tage lahmlegen. Ohne funktionierendes Backup bedeutet dies erheblichen Umsatzausfall und potenzielle Patientengefährdung.

Versicherungsrisiko: Cyberversicherungen prüfen zunehmend, ob Mindeststandards wie der FMH IT-Grundschutz eingehalten werden. Ohne Nachweis drohen Leistungsverweigerungen.

Der FMH IT-Grundschutz ist keine bürokratische Pflichtübung — er schützt Ihre Praxis, Ihre Patienten und Sie persönlich vor realen Risiken. Lassen Sie Ihren IT-Grundschutz kostenlos prüfen.

Die 8 Kernbereiche des FMH IT-Grundschutzes

Der FMH IT-Grundschutz gliedert sich in acht zentrale Bereiche. Jeder Bereich enthält konkrete Massnahmen, die in Ihrer Praxis umgesetzt werden müssen:

1. Zugangs- und Zugriffskontrolle — wer darf was?

Persönliche Benutzerkonten für alle Mitarbeitenden (keine gemeinsam genutzten Logins)

Starke Passwörter mit mindestens 12 Zeichen, idealerweise mit einem Passwort-Manager

Zwei-Faktor-Authentifizierung (2FA) für den Zugang zu Praxissoftware und Fernzugriffe

Rollenbasierte Berechtigungen: Jede Mitarbeiterin sieht nur die Daten, die sie für ihre Arbeit benötigt (Need-to-know-Prinzip)

Automatische Bildschirmsperre nach maximal 5 Minuten Inaktivität

Sofortige Deaktivierung von Zugängen ausgetretener Mitarbeitender

2. Datensicherung (Backup) — Ihr Sicherheitsnetz?

Tägliche automatische Backups aller Praxisdaten, inklusive Praxissoftware-Datenbank

3-2-1-Regel: Mindestens 3 Kopien, auf 2 verschiedenen Medien, davon 1 an einem externen Standort (z.B. verschlüsselter Cloud-Speicher in der Schweiz)

Verschlüsselte Backup-Medien — ein unverschlüsseltes Backup auf einer externen Festplatte ist keine akzeptable Lösung

Regelmässige Restore-Tests — ein Backup, das nie getestet wurde, ist kein Backup

Aufbewahrungsfristen beachten: Medizinische Daten müssen in der Schweiz mindestens 10 Jahre aufbewahrt werden (Art. 26 KG, kantonale Vorgaben bis 20 Jahre)

3. Netzwerksicherheit — die unsichtbare Mauer?

Professionelle Firewall (keine Consumer-Router) mit regelmässigen Firmware-Updates

Separates Gäste-WLAN strikt getrennt vom Praxis-Netzwerk

Netzwerksegmentierung: Medizinische Geräte (z.B. Röntgen, Labor) in einem eigenen VLAN

VPN-Verschlüsselung für alle Fernzugriffe — kein unverschlüsselter Zugriff auf Praxisdaten von ausserhalb

Monitoring: Überwachung des Netzwerkverkehrs auf ungewöhnliche Aktivitäten

4. Endgeräte-Sicherheit — jedes Gerät zählt?

Aktuelles Betriebssystem mit automatischen Sicherheitsupdates (Windows 11, macOS Sequoia oder neuer)

Professionelle Endpoint-Sicherheitslösung (nicht nur Windows Defender, sondern Managed Detection & Response)

Festplattenverschlüsselung auf allen Geräten (BitLocker für Windows, FileVault für Mac)

Mobile Device Management (MDM) für Praxis-Smartphones und Tablets

Kontrollierte USB-Ports: Keine unkontrollierten USB-Sticks an Praxisrechnern

5. E-Mail-Sicherheit und HIN — der sichere Kanal?

HIN-Anbindung für den sicheren Austausch von Patientendaten zwischen Leistungserbringern

E-Mail-Verschlüsselung über HIN Mail oder vergleichbare Lösungen für alle Nachrichten mit Gesundheitsdaten

Spam- und Phishing-Filter auf dem E-Mail-Gateway — Phishing ist der häufigste Angriffsvektor auf Arztpraxen

Schulung der Mitarbeitenden im Erkennen von Phishing-E-Mails

Klare Richtlinie: Patientendaten werden nie über unverschlüsselte E-Mail versendet

6. Physische Sicherheit — der oft vergessene Bereich?

Serverraum/Netzwerkschrank abgeschlossen und nur für berechtigte Personen zugänglich

Bildschirmpositionierung so, dass Patienten im Empfangsbereich keine Daten einsehen können

Sicherer Dokumentenvernichter (Sicherheitsstufe P-4 oder höher) für Papierunterlagen

Zutrittskontrolle zu Bereichen mit IT-Infrastruktur

Clean Desk Policy: Keine Patientenakten offen auf dem Schreibtisch über Nacht

7. Notfallplanung und Incident Response — wenn es passiert?

Dokumentierter IT-Notfallplan mit klaren Zuständigkeiten und Eskalationspfaden

Erreichbarkeit des IT-Dienstleisters ausserhalb der Bürozeiten (SLA mit Reaktionszeiten)

Meldepflicht: Datenschutzverletzungen müssen dem EDÖB unverzüglich gemeldet werden (Art. 24 revDSG)

Regelmässige Notfallübungen — mindestens einmal pro Jahr

Offline-Kontaktliste mit Telefonnummern von IT-Support, HIN, Praxissoftware-Anbieter und EDÖB

8. Schulung und Awareness — der menschliche Faktor?

Jährliche IT-Sicherheitsschulung für alle Mitarbeitenden (inklusive Teilzeitkräfte und Aushilfen)

Onboarding-Prozess mit IT-Sicherheitsbriefing für neue Mitarbeitende

Phishing-Simulationen um das Bewusstsein zu schärfen

Vertraulichkeitserklärung unterschrieben von allen Mitarbeitenden mit Datenzugang

Klare Richtlinien für den Umgang mit privaten Geräten (BYOD-Policy)

Praktische Checkliste: FMH IT-Grundschutz in 20 Punkten

Nutzen Sie diese Checkliste für eine schnelle Selbsteinschätzung Ihrer Praxis:

1.Jeder Mitarbeitende hat ein persönliches Benutzerkonto mit starkem Passwort

2.Zwei-Faktor-Authentifizierung ist aktiviert für Praxissoftware und Fernzugriff

3.Automatische tägliche Backups werden durchgeführt und extern gespeichert

4.Backup-Wiederherstellung wird mindestens vierteljährlich getestet

5.Eine professionelle Firewall mit aktueller Firmware ist im Einsatz

6.Das Gäste-WLAN ist vom Praxisnetzwerk getrennt

7.Alle Betriebssysteme erhalten automatische Sicherheitsupdates

8.Festplattenverschlüsselung ist auf allen Geräten aktiviert

9.HIN ist eingerichtet und wird für den Austausch von Patientendaten genutzt

10.Ein Spam- und Phishing-Filter ist aktiv

11.Praxissoftware-Zugriffe sind rollenbasiert konfiguriert

12.Der Serverraum/Netzwerkschrank ist abgeschlossen

13.Ein IT-Notfallplan existiert und ist allen bekannt

14.Mitarbeitende wurden in den letzten 12 Monaten geschult

15.Bildschirme sperren sich automatisch nach 5 Minuten

16.USB-Ports sind kontrolliert (keine unkontrollierten externen Medien)

17.VPN wird für alle externen Zugriffe verwendet

18.Vertraulichkeitserklärungen sind von allen Mitarbeitenden unterschrieben

19.Ein Dokumentenvernichter (mind. P-4) ist vorhanden

20.Die IT-Dokumentation ist aktuell und vollständig

Wie viele Punkte erfüllen Sie bereits? Weniger als 15 von 20? Dann besteht Handlungsbedarf. Kontaktieren Sie uns für eine kostenlose Gap-Analyse Ihres IT-Grundschutzes.

Was passiert bei Nichteinhaltung des IT-Grundschutzes?

Die Konsequenzen einer mangelhaften IT-Sicherheit in der Arztpraxis sind seit dem revDSG deutlich verschärft:

Bussen bis CHF 250'000 gegen die verantwortliche natürliche Person (nicht die Praxis-GmbH, sondern Sie persönlich)

Strafanzeige durch den EDÖB bei vorsätzlicher oder fahrlässiger Verletzung der Datenschutzpflichten

Zivilrechtliche Haftung gegenüber betroffenen Patientinnen und Patienten

Berufsrechtliche Konsequenzen durch die kantonale Gesundheitsdirektion

Meldepflicht-Verletzung ist ein eigenständiger Verstoss — selbst wenn die Datenpanne selbst unvermeidbar war

Wie setzt man den FMH IT-Grundschutz konkret um?

Die Umsetzung des IT-Grundschutzes muss kein Mammutprojekt sein. Mit einem strukturierten Vorgehen ist eine vollständige Umsetzung in 4–8 Wochen realistisch:

1.Gap-Analyse (Woche 1–2): Systematische Bewertung des Ist-Zustandes anhand der FMH-Anforderungen. Wo stehen Sie heute? Was fehlt?

2.Priorisierung (Woche 2): Einteilung der Massnahmen in «sofort umsetzen» (z.B. Passwortrichtlinien), «kurzfristig» (z.B. Backup-Optimierung) und «mittelfristig» (z.B. Netzwerksegmentierung).

3.Technische Umsetzung (Woche 3–6): Installation und Konfiguration der erforderlichen Systeme — Firewall, Endpoint-Security, Backup-Lösung, MDM, VPN.

4.Schulung (Woche 5–6): IT-Sicherheitsschulung für das gesamte Praxisteam.

5.Dokumentation (Woche 6–7): Erstellung des IT-Notfallplans, der Sicherheitsrichtlinien und der technischen Dokumentation.

6.Review und Monitoring (Woche 8, dann laufend): Abschluss-Check und Einrichtung der laufenden Überwachung.

Was kostet die Umsetzung des FMH IT-Grundschutzes?

Die Kosten variieren je nach aktuellem Stand Ihrer IT-Sicherheit und Praxisgrösse:

Einzelpraxis (1–3 Arbeitsplätze): CHF 3'000–8'000 einmalig für die Grundschutz-Umsetzung, plus CHF 200–500/Monat für Managed Security Services

Gruppenpraxis (4–10 Arbeitsplätze): CHF 8'000–20'000 einmalig, plus CHF 500–1'500/Monat für laufende Überwachung und Wartung

Ärztezentrum (10+ Arbeitsplätze): CHF 15'000–40'000 einmalig, plus CHF 1'000–3'000/Monat

Investieren Sie in Prävention statt in Schadensbegrenzung. Berechnen Sie Ihre IT-Kosten mit unserem Praxis-Kostenrechner und erfahren Sie, was ein umfassender IT-Grundschutz für Ihre Praxis kostet.

Welche Rolle spielt das revidierte Datenschutzgesetz (revDSG)?

Datenschutz-Folgenabschätzung (DSFA): Bei der Verarbeitung besonders schützenswerter Personendaten — also in jeder Arztpraxis — muss eine DSFA durchgeführt werden.

Privacy by Design und by Default: IT-Systeme müssen von Anfang an datenschutzfreundlich konfiguriert sein.

Meldepflicht bei Datenschutzverletzungen: Verletzungen der Datensicherheit müssen dem EDÖB so rasch wie möglich gemeldet werden.

Bearbeitungsverzeichnis: Jede Arztpraxis muss ein Verzeichnis aller Datenbearbeitungstätigkeiten führen.

Informationspflicht: Patientinnen und Patienten müssen über die Datenbearbeitung informiert werden.

Der FMH IT-Grundschutz ist das ideale Instrument, um die technischen Anforderungen des revDSG in der Praxis umzusetzen.

Häufige Fehler bei der IT-Sicherheit in Arztpraxen

Aus unserer Beratungspraxis kennen wir die typischen Schwachstellen:

Gemeinsam genutzte Passwörter: «Das Praxis-Passwort» wird von allen Mitarbeitenden verwendet — ein massiver Verstoss gegen die Zugriffskontrolle.

Backup auf externer Festplatte im selben Raum: Bei Brand oder Einbruch sind Original und Backup gleichzeitig verloren.

Kein getrenttes Gäste-WLAN: Patienten und Praxis-Geräte teilen sich dasselbe Netzwerk — ein offenes Einfallstor.

Veraltete Betriebssysteme: Windows 10 erreicht das Support-Ende im Oktober 2025. Praxen mit Windows 10 erhalten keine Sicherheitsupdates mehr.

Keine Schulung: Mitarbeitende klicken auf Phishing-Links, weil sie nie geschult wurden.

Fehlender IT-Notfallplan: Im Ernstfall weiss niemand, wen man anrufen soll und welche Schritte zu unternehmen sind.

FMH IT-Grundschutz Arztpraxis Schweiz: Checkliste & Umsetzung 2026

FMH IT-Grundschutz Arztpraxis auf einen Blick

Was ist der FMH IT-Grundschutz?

Warum ist der IT-Grundschutz für Arztpraxen so wichtig?

Die 8 Kernbereiche des FMH IT-Grundschutzes

1. Zugangs- und Zugriffskontrolle — wer darf was?

2. Datensicherung (Backup) — Ihr Sicherheitsnetz?

3. Netzwerksicherheit — die unsichtbare Mauer?

4. Endgeräte-Sicherheit — jedes Gerät zählt?

5. E-Mail-Sicherheit und HIN — der sichere Kanal?

6. Physische Sicherheit — der oft vergessene Bereich?

7. Notfallplanung und Incident Response — wenn es passiert?

8. Schulung und Awareness — der menschliche Faktor?

Praktische Checkliste: FMH IT-Grundschutz in 20 Punkten

Was passiert bei Nichteinhaltung des IT-Grundschutzes?

Wie setzt man den FMH IT-Grundschutz konkret um?

Was kostet die Umsetzung des FMH IT-Grundschutzes?

Welche Rolle spielt das revidierte Datenschutzgesetz (revDSG)?

Häufige Fehler bei der IT-Sicherheit in Arztpraxen

Wie setzt man den FMH IT-Grundschutz in der Arztpraxis um?

Verwandte Ratgeber

Haben Sie Fragen zu diesem Thema?

FMH IT-Grundschutz Arztpraxis Schweiz: Checkliste & Umsetzung 2026

FMH IT-Grundschutz Arztpraxis auf einen Blick

Was ist der FMH IT-Grundschutz?

Warum ist der IT-Grundschutz für Arztpraxen so wichtig?

Die 8 Kernbereiche des FMH IT-Grundschutzes

1. Zugangs- und Zugriffskontrolle — wer darf was?

2. Datensicherung (Backup) — Ihr Sicherheitsnetz?

3. Netzwerksicherheit — die unsichtbare Mauer?

4. Endgeräte-Sicherheit — jedes Gerät zählt?

5. E-Mail-Sicherheit und HIN — der sichere Kanal?

6. Physische Sicherheit — der oft vergessene Bereich?

7. Notfallplanung und Incident Response — wenn es passiert?

8. Schulung und Awareness — der menschliche Faktor?

Praktische Checkliste: FMH IT-Grundschutz in 20 Punkten

Was passiert bei Nichteinhaltung des IT-Grundschutzes?

Wie setzt man den FMH IT-Grundschutz konkret um?

Was kostet die Umsetzung des FMH IT-Grundschutzes?

Welche Rolle spielt das revidierte Datenschutzgesetz (revDSG)?

Häufige Fehler bei der IT-Sicherheit in Arztpraxen

Wie setzt man den FMH IT-Grundschutz in der Arztpraxis um?

Verwandte Ratgeber

Haben Sie Fragen zu diesem Thema?