Zum Hauptinhalt springen
BarmeniaGothaer
Markus Focht
Cyber-Versicherung · Branche Arztpraxis

Cyber-Versicherung für Arztpraxen

Patientendaten sind die sensibelste Datenklasse überhaupt — mit doppelter Pflicht aus DSGVO und ärztlicher Schweigepflicht nach § 203 StGB. Ein Ransomware-Angriff auf die Praxisverwaltungssoftware kann den Praxisbetrieb tagelang lahmlegen und berufsrechtliche Konsequenzen nach sich ziehen.

Kurzantwort: Warum Arztpraxen besonderen Cyber-Schutz brauchen

Die Gothaer Cyber-Versicherung (AVB 216273, Stand 02.2025) ist auch für Arztpraxen, Zahnärzte, Psychotherapeuten und Heilpraktiker anwendbar. Entscheidend für Heilberufe: Cloud-Praxisverwaltungssoftware (CGM Albis, Medistar, T2med, Turbomed, psyprax), TI-Konnektor, KV-SafeNet und eArztbrief-Verbindungen müssen vertraglich eingeschlossen sein — sonst klafft eine Lücke in der Deckung.

Anders als bei anderen Branchen geht es hier nicht nur um Geld: Wer Patientendaten verliert, muss nach Art. 33 DSGVO innerhalb von 72 Stunden die Aufsichtsbehörde informieren. Zusätzlich droht berufsrechtlicher Ärger über die zuständige Kammer. Die Cyber-Police übernimmt die Meldekosten, Anwaltskosten und den Krisenmanager.

Was deckt Cyber-Versicherung in der Arztpraxis ab?

Relevante Leistungsblöcke für Heilberufe — aus der Gothaer Cyber-Versicherung (Teil III und Teil IV AVB).

IT-Forensik für Praxissysteme

Qualifizierter IT-Dienstleister analysiert Angriff auf Praxisverwaltungssoftware, stellt Patientendaten wieder her. Erste 48 Stunden auch bei Fehlalarm gedeckt (Ziffer 3.1 AVB).

DSGVO-Meldung & Anwaltskosten

Pflichtmeldung nach Art. 33 DSGVO an die Aufsichtsbehörde innerhalb 72 Stunden, rechtssichere Benachrichtigung aller betroffenen Patienten — inklusive anwaltlicher Formulierungshilfe.

Krisenmanager für Heilberufe

Erfahrener Krisenmanager koordiniert Kommunikation mit Patienten, Kassenärztlicher Vereinigung, Presse und — falls nötig — der Ärztekammer.

Betriebsunterbrechung

Steht die Praxissoftware still, sind keine Behandlungen, Abrechnungen oder eRezepte möglich. Der optionale Baustein Betriebsunterbrechung (Teil IV Ziffer 1) gleicht Honorarausfall aus.

Cyber-Erpressung / Ransomware

Verschlüsselte Patientenakten werden entschlüsselt oder wiederhergestellt. Lösegeldzahlung nur mit Freigabe durch Gothaer (Teil IV Ziffer 4 AVB).

Datenüberwachung bis 12 Monate

Bei Verlust sensibler Patientendaten (z. B. Kreditkartendaten aus IGeL-Zahlungen) übernimmt Gothaer die Monitoring-Kosten zur Missbrauchsüberwachung (Ziffer 3.5 AVB).

Drittschadens-Haftpflicht

Verklagen Patienten auf Schadensersatz wegen offengelegter Gesundheitsdaten oder Behandlungsverzögerung: Gothaer prüft und wehrt ab — oder reguliert berechtigte Ansprüche.

Cloud-PVS & TI-Konnektor

Moderne Praxissoftware läuft zunehmend cloudbasiert. Die Einbeziehung der ausgegliederten Datenverarbeitung nach Teil II Ziffer 7.3 AVB ist bei Cloud-PVS und Telematikinfrastruktur Pflicht.

Was ist auch in der Arztpraxis NICHT versichert?

Diese Ausschlüsse gelten auch für Heilberufe — direkt aus den AVB Gothaer 216273.

Fehlende IT-Mindeststandards

Ohne aktive Firewall, aktuellen Virenschutz, dokumentierte Backup-Routine, Patch-Management und Berechtigungsmanagement (Teil VI Ziffer 8.1 AVB) entfällt der Schutz.

Behandlungsfehler aus IT-Ausfall

Fehlmedikation wegen gelöschter Medikationsdaten ist ein Behandlungsfehler → Berufshaftpflicht, nicht Cyber-Versicherung.

Lösegeldzahlung ohne Absprache

Eigenmächtige Zahlung an Erpresser → Gothaer erstattet nichts, selbst bei vereinbartem Erpressungsbaustein.

Berufsrechtliche Sanktionen

Kammerrechtliche Maßnahmen, approbationsrechtliche Konsequenzen oder ärztliche Ehrenverfahren sind keine versicherbaren Kosten.

Schäden aus sozialen Netzwerken

Facebook-, Instagram- oder TikTok-Auftritte der Praxis gelten nicht als Computersystem im Sinn der Police (Teil I Ziffer 3 AVB).

Wiederherstellung nach 12 Monaten

Patientendaten, die nicht innerhalb eines Jahres nach Vorfall wiederhergestellt wurden, sind nicht mehr erstattungsfähig (Ziffer 3.6.4 AVB).

Für welche Praxen besonders sinnvoll

Geeignet für

  • Hausärztliche und fachärztliche Einzelpraxen
  • Berufsausübungsgemeinschaften (BAG) und MVZ
  • Zahnarztpraxen mit digitaler Patientenakte
  • Psychotherapeuten mit psyprax oder Elvi
  • Heilpraktiker mit digitalen Abrechnungssystemen
  • Labore und diagnostische Zentren (automatisierte Datenübermittlung)
  • Praxen mit TI-Anbindung (Konnektor, eRezept, eAU, eArztbrief)

Weniger geeignet

  • Reine Hausbesuchspraxen ohne digitale PVS
  • Praxen, die die IT-Mindeststandards nicht laufend erfüllen
  • Klinikärzte in angestellter Tätigkeit (Klinik trägt das Risiko)
  • Psychotherapeuten mit ausschließlich papierbasierten Akten

Typische Fehler bei Arztpraxen

„Wir sind durch die Kassenärztliche Vereinigung geschützt"

Die KV stellt KV-SafeNet und Konnektor bereit, trägt aber nicht das Cyber-Risiko einer einzelnen Praxis. Ransomware auf dem PVS-Server ist Praxisangelegenheit — und oft teuer.

Cloud-PVS nicht in die Police eingeschlossen

CGM Albis Cloud, CGM M1 Pro Cloud, Medistar Cloud, Turbomed Cloud: Die ausgegliederte Datenverarbeitung muss nach Teil II Ziffer 7.3 AVB ausdrücklich mitversichert sein — sonst zahlt die Police nur bei Schäden am lokalen Server.

DSGVO-Meldepflicht unterschätzt

Nach einer Datenpanne gilt eine 72-Stunden-Frist für die Meldung an die Aufsichtsbehörde (Art. 33 DSGVO). Bei Versäumnis drohen eigenständige Bußgelder — unabhängig vom eigentlichen Schaden. Die Cyber-Police übernimmt die Meldekosten, nicht aber die Bußgelder selbst (außer sie sind ausdrücklich vereinbart, Teil IV Ziffer 3.6 AVB).

Betriebsunterbrechung weggelassen

Während die Praxis-IT steht, laufen keine Abrechnungen, kein eRezept, keine Überweisungen. Der Honorarausfall pro Tag kann bei einer fachärztlichen Praxis vierstellig sein. Betriebsunterbrechung (Teil IV Ziffer 1) ist in Arztpraxen Pflichtbaustein.

Mitarbeiter-Phishing unterschätzt

Die Rezeption erhält täglich E-Mails mit angeblichen Terminanfragen, Überweisungen oder Laborergebnissen. Ein einziger Klick auf die falsche Mail reicht. Baustein Bedienfehler (Teil IV Ziffer 3.3 AVB) deckt fahrlässige Mitarbeiterhandlungen mit ab.

NIS2-Betroffenheit übersehen

Seit 2024 fallen bestimmte Gesundheitseinrichtungen unter die NIS2-Richtlinie als „wesentliche Einrichtung". Das zieht neue Meldepflichten und dokumentationsintensive Cybersicherheits-Maßnahmen nach sich. Eine Cyber-Versicherung ersetzt diese Pflichten nicht — hilft aber, die Kosten bei Verstößen abzufedern.

Schadenfall in der Arztpraxis — so läuft es ab

Beispiel: Ransomware verschlüsselt die Praxisverwaltungssoftware inklusive Patientenakten.

1

Praxis-Team bemerkt die Verschlüsselung, isoliert alle Rechner vom Netzwerk (Schadensminderungspflicht nach Teil VI Ziffer 8 AVB).

2

Anruf bei der Cyber-Hotline der Gothaer (Nummer im Versicherungsschein). 24/7-Erreichbarkeit.

3

Gothaer beauftragt IT-Forensik-Spezialisten. Erste 48 Stunden auch bei Fehlalarm gedeckt.

4

Formelle Schadensmeldung in Textform spätestens binnen einer Woche.

5

Parallel: DSGVO-Meldung an die Aufsichtsbehörde (Landesdatenschutzbeauftragter) binnen 72 Stunden nach Kenntnis — vorbereitet durch den zugewiesenen Anwalt.

6

Prüfung der Meldepflicht gegenüber der Kassenärztlichen Vereinigung (abhängig von Umfang und betroffenem System).

7

Krisenmanager koordiniert Patienteninformation — rechtskonform, ohne unnötigen Reputationsschaden.

8

Forensiker stellen Patientendaten aus Backups wieder her. Falls Wiederherstellung wirtschaftlich nicht sinnvoll: Hardwareersatz nach Ziffer 3.6.5 AVB.

9

Betriebsunterbrechungsdeckung (wenn vereinbart) gleicht Honorarausfall und fortlaufende Kosten während des Praxisstillstands aus.

10

Datenüberwachungsdienst bis zu 12 Monate (Ziffer 3.5 AVB) schützt vor missbräuchlicher Verwendung gestohlener Patientendaten.

11

Abwehr von Schadensersatzansprüchen betroffener Patienten durch die Drittschadens-Haftpflicht der Police.

So läuft die Beratung ab

1

Anfrage

Sie schildern Fachrichtung, Praxisgröße, eingesetzte PVS und ob Sie TI-Dienste nutzen. Online oder telefonisch.

2

Analyse

Ich prüfe Ihr Risikoprofil (Cloud-Anteil, Patientendaten-Typ, eRezept, Abrechnungssystem) und welche Bausteine unverzichtbar sind.

3

Angebot

Sie erhalten ein verständliches Angebot mit Deckungsumfang, Beitrag und klaren Hinweisen auf mögliche Lücken — ohne Verpflichtung.

Häufige Fragen aus Arztpraxen

Reicht nicht die Berufshaftpflicht der Kammer für Cyber-Schäden aus?

Nein. Die ärztliche Berufshaftpflicht deckt Behandlungsfehler — also Personenschäden aus medizinischer Tätigkeit. Reine Vermögensschäden aus Datenverlust, DSGVO-Meldekosten, Ransomware-Entschlüsselung oder Betriebsunterbrechung fallen dort nicht hinein. Die beiden Policen sind komplementär.

Sind meine Patientendaten in der Cloud-PVS mitversichert?

Nur wenn die ausgegliederte Datenverarbeitung nach Teil II Ziffer 7.3 AVB ausdrücklich im Vertrag eingeschlossen ist. Das ist bei jeder modernen Cloud-PVS (CGM Albis Cloud, Medistar Cloud, T2med, Turbomed) zwingend nötig.

Was passiert, wenn mein Konnektor oder KV-SafeNet-Zugang kompromittiert wird?

Die Telematikinfrastruktur selbst wird von der gematik betrieben. Wenn ein Angriff jedoch über Ihre Praxis-IT in die TI gelangt (z. B. kompromittierter Praxis-PC sendet manipulierte eRezepte), greift die Cyber-Versicherung für die Eigenschäden und die Haftung gegenüber Dritten. Eine formelle Beurteilung erfolgt im Schadenfall durch Gothaer.

Übernimmt die Police DSGVO-Bußgelder der Aufsichtsbehörde?

Nur wenn der optionale Baustein Geldbußen nach EU-DSGVO (Teil IV Ziffer 3.6 AVB) vereinbart ist — und nur, sofern kein gesetzliches Versicherungsverbot dem entgegensteht. Die Meldekosten und Anwaltskosten sind dagegen grundsätzlich eingeschlossen.

Was ist mit Schadensersatz-Klagen von Patienten?

Die Drittschadens-Haftpflicht der Cyber-Police (Teil II AVB) deckt Vermögensschäden. Gothaer prüft Ansprüche, wehrt unberechtigte Forderungen ab und reguliert berechtigte. Der Versicherer führt den Prozess im Namen des Versicherten auf seine Kosten.

Bin ich als NIS2-relevantes Unternehmen automatisch versichert?

Die NIS2-Richtlinie schafft gesetzliche Pflichten zu Cybersicherheits-Maßnahmen und Meldewegen. Die Cyber-Versicherung ersetzt diese Pflichten nicht, hilft aber bei den Folgen eines Vorfalls. Wir prüfen in der Beratung, ob Ihre Praxis als „wesentliche Einrichtung" gilt und welche Bausteine dann sinnvoll sind.

Cyber-Schutz für Ihre Praxis

Ich prüfe mit Ihnen gemeinsam, ob Ihre Praxis-IT, Ihre PVS und Ihre TI-Anbindung sauber gedeckt sind — und wo typische Standardangebote Lücken lassen.

Cyber-Beratung für Arztpraxen anfragen

Sinnvolle Ergänzungen

Cyber-Versicherung (Hauptseite)

Alle Leistungen, AVB-Details und Grundlagen der Gothaer Cyber-Versicherung im Überblick.

Roland Cyber-Rechtsschutz

Übernimmt Anwalts- und Gerichtskosten bei DSGVO-Bußgeldverfahren, Abmahnungen und IT-Vertragsstreitigkeiten.

Berufshaftpflicht Heilberufe

Deckt Behandlungsfehler und daraus resultierende Personenschäden — ergänzt die Cyber-Police um das medizinisch-rechtliche Kernrisiko.

Die Angaben basieren auf den Allgemeinen Versicherungsbedingungen der Gothaer Cyber-Versicherung (Dokument 216273, Stand AVB 02.2025). Konkrete Leistungen, Sublimits, Selbstbeteiligungen und optionale Bausteine werden im individuellen Versicherungsschein festgehalten. Markus Focht ist gebundener Versicherungsvertreter (§ 34d Abs. 7 GewO) der Barmenia Krankenversicherung AG, Büro in Karlsruhe.