Zum Hauptinhalt springen
  • Erfolge
  • Ratgeber
  • Kontakt
+41 (0)62 552 15 50
Zurück zur Übersicht

IT-Dienstleister & Cloud für die Arztpraxis: Auswahl & Kontrolle (FMH)

Christoph Kuling, Gründer & IT-Berater
Veröffentlicht: 2. Juni 2026
Aktualisiert: 2. Juni 2026

IT-Dienstleister & Cloud-Anbieter FMH-konform wählen und überwachen: Evaluationskriterien, Vertrag, Datenschutz und laufende Kontrolle.

Auf einen Blick (TL;DR): Wer IT oder Cloud-Dienste auslagert, gibt die Arbeit ab — nicht die Verantwortung. Für Patientendaten bleibt die Praxis verantwortlich. Empfehlung 11 des FMH IT-Grundschutzes verlangt deshalb eine sorgfältige Auswahl, einen datenschutzkonformen Vertrag und eine laufende Überwachung des Dienstleisters. Dieser Ratgeber zeigt die Kriterien — vom Datenstandort über den Auftragsbearbeitungsvertrag bis zu den Cloud-Anforderungen und dem Arztgeheimnis.

> Transparenz-Hinweis: avenios ist selbst IT-Dienstleister. Dieser Beitrag ist bewusst neutral gehalten — die genannten Kriterien gelten für jeden Anbieter und helfen Ihnen, unabhängig zu prüfen.

Die Verantwortung für Patientendaten bleibt bei der Praxis

IT-Dienstleister FMH-konform beauftragen & überwachen — in fünf Schritten.

Auch bei vollständig ausgelagerter IT bleibt die Praxis im Sinne des revidierten Datenschutzgesetzes (revDSG) die verantwortliche Stelle für die Bearbeitung der Patientendaten. Der Dienstleister handelt als Auftragsbearbeiter (Art. 9 revDSG). Das heisst: Sie müssen ihn sorgfältig auswählen, vertraglich binden und kontrollieren — nur so erfüllen Sie revDSG und FMH-Grundschutz.

Den richtigen Dienstleister evaluieren

Datenablage in der Schweiz oder EU/EWR

Klären Sie, wo die Daten physisch gespeichert und bearbeitet werden. Eine Datenhaltung in der Schweiz (oder EU/EWR mit anerkanntem Datenschutzniveau) vereinfacht die Konformität erheblich. Bei einer Bekanntgabe ins Ausland gelten die Vorgaben von Art. 16 ff. revDSG (geeignete Garantien).

Anwendbares Recht und Gerichtsstand

Welches Recht gilt im Streitfall, welcher Gerichtsstand? Schweizer Recht und Gerichtsstand sind für eine Arztpraxis klar vorteilhaft.

Referenzen und Zertifizierungen

Achten Sie auf nachweisbare Erfahrung im Gesundheitswesen und auf unabhängige Beurteilungen bzw. anerkannte Zertifizierungen des Anbieters und seiner Rechenzentren. Lassen Sie sich konkrete Praxis-Referenzen nennen.

Die Leistungsvereinbarung: diese Datenschutzkriterien gehören in den Vertrag

Der Vertrag (häufig auf Basis der SIK-AGB) sollte mindestens regeln:

  • Verschwiegenheit und Bindung ans Arztgeheimnis
  • Meldepflicht bei Sicherheitsvorfällen innerhalb klar definierter Fristen
  • Subunternehmer nur mit Zustimmung und gleichen Pflichten
  • Auditrecht der Praxis (oder unabhängige Prüfberichte)
  • Datenexport und Löschung bei Vertragsende (Portabilität ohne Mitwirkungszwang des Anbieters)
  • Verfügbarkeit (SLA) mit definierten Reaktions- und Wiederherstellungszeiten

    • Den Dienstleister laufend überwachen

    Auslagern heisst nicht «aus den Augen». Sinnvoll sind:

  • Regelmässiges Reporting (monatlich oder quartalsweise): Verfügbarkeit, Vorfälle, offene Punkte
  • Backup-Nachweise und Bestätigung erfolgreicher Restore-Tests
  • Aktuelles Inventar der von ihm betreuten Systeme
  • Jährliches Review der Zusammenarbeit und der Sicherheitslage

    • Cloud-Dienste: FMH-Rahmenvertrag und die technischen/organisatorischen Anforderungen

    Für Cloud-Services stellt die FMH einen Rahmenvertrag sowie ein Anforderungsdokument bereit. Die Anforderungen decken unter anderem ab:

  • Datenhaltung in der Schweiz/EU und klare rechtliche Zuordnung
  • Verschlüsselung und Schlüsselmanagement
  • Multi-Faktor-Authentifizierung für die Cloud-Nutzer
  • Business Continuity Management (Nachweis z. B. nach ISO 22301)
  • Incident Management (Orientierung z. B. an ISO/IEC 27035)
  • Datenlöschung bei Vertragsende (mit definierter Frist) und Datenportabilität

    • > Vor Vertragsabschluss: Die genaue Liste der Anforderungen und die jeweils aktuellen Nachweise/Zertifikate prüfen Sie am Original-Dokument der FMH bzw. direkt beim Anbieter. Bezeichnungen und Normverweise können sich ändern.

    Arztgeheimnis und Auftragsbearbeitung: die Geheimhaltungsvereinbarung

    Patientendaten unterliegen dem Arztgeheimnis (Art. 321 StGB). Ein IT-/Cloud-Anbieter, der Zugang zu solchen Daten hat, gilt als Hilfsperson — er muss vertraglich zur Geheimhaltung verpflichtet werden. Eine entsprechende Geheimhaltungs- bzw. Auftragsbearbeitungsvereinbarung ist Pflicht, nicht Kür.

    Unabhängig prüfen, sicher auslagern: avenios legt Datenstandort, Verträge und Nachweise offen und arbeitet nach FMH-Grundschutz und revDSG. Vergleichen Sie uns anhand der obigen Kriterien. Kostenloses Erstgespräch · Offerten-Plattform oder direkter Partner?

    Häufig gestellte Fragen (FAQ)

    Gegenüber Patientinnen und Patienten sowie dem EDÖB bleibt die Praxis als verantwortliche Stelle in der Pflicht (revDSG). Der Dienstleister als Auftragsbearbeiter haftet im Innenverhältnis gemäss Vertrag. Deshalb sind sorgfältige Auswahl, ein klarer Vertrag und die Meldepflicht bei Vorfällen so wichtig.

    Auf den Datenstandort (Schweiz/EU), Verschlüsselung und Schlüsselmanagement, Multi-Faktor-Authentifizierung, ein Business-Continuity- und Incident-Management, sowie auf Datenlöschung und -portabilität bei Vertragsende. Die FMH stellt dafür einen Rahmenvertrag und eine Anforderungsliste bereit — prüfen Sie die aktuelle Fassung am Original.

    Ja. Hat der Dienstleister Zugang zu Patientendaten, ist eine Auftragsbearbeitungs- bzw. Geheimhaltungsvereinbarung erforderlich — mit Bezug zum Arztgeheimnis (Art. 321 StGB). Der Anbieter gilt als Hilfsperson und muss zur Verschwiegenheit verpflichtet werden.

    Über regelmässiges Reporting (Verfügbarkeit, Vorfälle, offene Punkte), Backup- und Restore-Nachweise, ein aktuelles Inventar der betreuten Systeme und ein jährliches Review. So bleibt die Auslagerung nachvollziehbar und FMH-konform.

    Pflicht ist ein angemessenes Datenschutzniveau. Ein Anbieter mit Datenhaltung in der Schweiz erfüllt das am einfachsten; EU/EWR ist mit geeigneten Garantien ebenfalls möglich. Bei Datenbearbeitung ausserhalb der Schweiz gelten die Anforderungen von Art. 16 ff. revDSG.

    Verwandte Ratgeber

    IT-Outsourcing für Praxen

    Warum Managed Services für Arztpraxen wirtschaftlicher sind als ein interner IT-Admin — Kosten, Leistungsumfang und Entscheidungshilfe.

    IT-Partner für die Arztpraxis finden: Offerten vergleichen oder direkt?

    IT-Partner für die Arztpraxis: Offerten-Vergleichsplattform oder direkter Fachpartner? Vor- und Nachteile und wie Sie transparente Fixpreise erhalten.

    nDSG für Arztpraxen: Konkrete IT-Massnahmen, Checkliste & Bussgelder 2026

    Das nDSG verpflichtet Arztpraxen zu konkreten IT-Massnahmen: Verzeichnis, technische Schutzmassnahmen und Meldepflicht bei Datenpannen — Leitfaden 2026.

    Haben Sie Fragen zu diesem Thema?

    Wir beraten Sie gerne unverbindlich zu Ihren individuellen Anforderungen.

    Kontakt aufnehmen
    CK

    Christoph Kuling

    Gründer & IT-Berater, avenios GmbH

    Über 10 Jahre Erfahrung in IT-Infrastruktur und Managed Services für medizinische Einrichtungen in der Deutschschweiz.

    LinkedIn
    avenios

    Ihr unabhängiger IT-Partner für Arztpraxen und Ärztezentren in der Schweiz.

    Zollrain 2

    CH-5000 Aarau

    Unser Standort in Aarau ist während der Öffnungszeiten telefonisch für Sie erreichbar. Besprechungen vor Ort vereinbaren wir gerne nach Absprache.

    Regionen

    Managed IT Arztpraxis AarauManaged IT Arztpraxis ZürichManaged IT Arztpraxis BernManaged IT Arztpraxis Basel

    Quick Links

    KompetenzenArztpraxenIT-Anbieter wechselnVoIP & Cloud-TelefonieTelefon-HardwareTelefonieErfolgeRatgeberSupportIT für KMU & Startups

    Rechtliches & Kontakt

    AGBImpressumDatenschutzanfrage@avenios.ch+41 (0)62 552 15 50

    © 2026 avenios GmbH. Alle Rechte vorbehalten.

    Designed & built with ❤️ in der Schweiz