Wenn Patientendaten im Darknet landen – warum das Praxistelefon zur Sicherheitslücke wird

Profilbild von Christian Haußmann
Autor Christian Haußmann
Praxen sind beliebte Angriffsziele – oft ohne es zu wissen.

Praxen sind beliebte Angriffsziele – oft ohne es zu wissen.

Du hast deine Praxissoftware abgesichert, ein Passwort-Management eingeführt und dich mit der KBV-IT-Sicherheitsrichtlinie auseinandergesetzt. Trotzdem gibt es eine Datenschnittstelle in deiner Praxis, die täglich dutzende sensible Patienteninformationen verarbeitet – und die vermutlich noch nie auf DSGVO-Konformität geprüft wurde: dein Telefon. Während Cyberangriffe auf Arztpraxen drastisch zunehmen und Patientendaten im Darknet für bis zu 2.000 Euro pro Datensatz gehandelt werden, übersehen viele Praxisinhaber genau diesen Kanal. Höchste Zeit, das zu ändern.

Arztpraxen im Visier: Die Bedrohungslage ist real

Die Zahlen sprechen eine deutliche Sprache: 22 % aller weltweit bekannten Ransomware-Angriffe betreffen den Gesundheitssektor – damit ist er die am häufigsten attackierte Branche überhaupt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dokumentierte allein 2025 636 Ransomware-Angriffe auf den Gesundheitssektor in Deutschland. In der DACH-Region stiegen die Cyberangriffe im selben Jahr um 124 %, wobei Deutschland mit über 82 % aller registrierten Vorfälle das Hauptziel darstellt.

Was viele Praxisinhaber unterschätzen: Auch kleine Einheiten sind betroffen. Im Februar 2025 erbeuteten Hacker beim MVZ Herz-Lungen-Praxis Hamburg-Bergedorf 12.000 Patientendatensätze durch einen Angriff auf das Praxisverwaltungssystem. Bei der Unimed-Datenpanne waren über 100.000 Patienten betroffen, darunter 30.000 aus dem Universitätsklinikum Köln – weil der Angriff auf einen Abrechnungsdienstleister erfolgte, nicht direkt auf die Kliniken selbst.

Warum gerade Arztpraxen?

Patientendaten sind im Darknet deutlich wertvoller als Kreditkartendaten. Sie enthalten nicht nur persönliche Informationen, sondern auch Diagnosen, Behandlungsverläufe und Versicherungsdaten – ein Komplettpaket für Identitätsdiebstahl und Erpressung. Gleichzeitig kombinieren viele Praxen hochsensible Daten mit einer vergleichsweise schwachen IT-Infrastruktur. Keine eigene IT-Abteilung, knappe Zeitressourcen, wachsende Anforderungen durch KBV-Richtlinien, NIS2 und den EU AI Act – da bleibt die systematische Absicherung oft auf der Strecke.

Die Dunkelziffer ist hoch

Seit Inkrafttreten der DSGVO wurden rund 850 Datenpannen durch Fehlversendungen von Patientenunterlagen bei Aufsichtsbehörden gemeldet. Die tatsächliche Zahl nicht gemeldeter Vorfälle liegt nach Einschätzung der Behörden jedoch deutlich höher. Gründe dafür: Angst vor Konsequenzen, fehlende Kapazitäten im Praxisalltag und mangelndes Bewusstsein für die Meldepflicht.

Cloud-Tools in der Praxis: Ohne AVV ist jede Nutzung ein Risiko.

Cloud-Tools in der Praxis: Ohne AVV ist jede Nutzung ein Risiko.

Das übersehene Risiko: Dein Praxistelefon

Während die meisten Praxen ihre Aufmerksamkeit auf die Absicherung der Praxisverwaltungssoftware richten, bleibt eine zentrale Schnittstelle oft völlig unbeachtet: das Telefon. Dabei werden hier täglich patientenbezogene Informationen aufgenommen, notiert und weiterverarbeitet – Namen, Geburtsdaten, Symptome, Terminwünsche.

Wo die Compliance-Lücke entsteht

Viele Praxen nutzen mittlerweile cloud-basierte Transkriptions- oder KI-Diktierdienste, um Gesprächsnotizen effizient zu erstellen. Das Problem: Oft fehlt der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, es gibt keine dokumentierten Löschfristen, und die Server stehen teilweise außerhalb der EU. Ein AVV ist bei jeder Übertragung von Patientendaten an externe Dienstleister jedoch Pflicht – fehlt er, liegt bereits eine Datenschutzverletzung vor, unabhängig davon, ob tatsächlich Daten abgeflossen sind.

Hinzu kommt § 203 StGB, der Bruch des Arztgeheimnisses. Die Weitergabe von Patientendaten an cloud-basierte KI-Dienste ohne ausreichende Absicherung kann als Verletzung von Privatgeheimnissen gewertet werden – ein Straftatbestand, der neben der DSGVO greift.

Auch ohne KI: Das Telefon bleibt eine unsichere Schnittstelle

Selbst wenn du keine KI-gestützte Gesprächsaufzeichnung nutzt, ist das Telefon ein Schwachpunkt. Gesprächsinhalte werden unstrukturiert auf Zetteln notiert, intern per E-Mail weitergeleitet oder in nicht verschlüsselten Systemen festgehalten. Die KBV und Datenschutzaufsichtsbehörden prüfen 2026 verstärkt, wie Praxen mit solchen Daten umgehen – besonders beim Einsatz von KI.

Typische Missverständnisse, die dich angreifbar machen

  • „Hacker greifen doch keine kleinen Praxen an." Falsch. Gerade weil kleine Praxen wertvolle Daten mit schwacher IT-Infrastruktur kombinieren, sind sie attraktive Ziele.
  • „Mein PVS-Anbieter kümmert sich um den Datenschutz." Nur teilweise. Der Anbieter haftet für sein System. Du haftest persönlich für alle zusätzlichen Tools – etwa KI-Diktierhilfen oder Telefonaufzeichnungen in der Cloud.
  • „Wir machen keine KI-Aufnahmen am Telefon, also sind wir safe." Auch ohne KI ist das Telefon eine Datenschnittstelle, die strukturiert und abgesichert werden muss.
  • „Datenpannen passieren nur bei großen Krankenhäusern." Die Vorfälle bei kleineren Praxen und durch Angriffe auf Drittanbieter zeigen: Auch du bist im Visier.
Strukturierte Anrufübergabe: Das Team bleibt ruhig, nichts geht verloren.

Strukturierte Anrufübergabe: Das Team bleibt ruhig, nichts geht verloren.

Entlastung und Compliance – kein Widerspruch

Die gute Nachricht: Du musst nicht zwischen Effizienz und Datenschutz wählen. Mit dem richtigen System wird das Telefon nicht nur zur entlastenden Schnittstelle, sondern gleichzeitig zur sichersten Datenschnittstelle deiner Praxis.

Eine DSGVO-konforme KI-Rezeption wie die von KINAQ Solutions läuft auf Servern in Deutschland, wird mit einem Auftragsverarbeitungsvertrag betrieben und erfüllt alle relevanten Compliance-Anforderungen. Sie strukturiert eingehende Anrufe, entlastet dein Team – und schließt genau die Lücke, die bisher kaum jemand auf dem Schirm hatte.

Was eine sichere Telefon-Lösung leisten muss

  • Server-Standort in der EU – idealerweise in Deutschland
  • AVV nach Art. 28 DSGVO als Pflichtbestandteil
  • Dokumentierte Löschfristen und transparente Datenverarbeitung
  • Keine Weitergabe an Drittanbieter ohne deine Kenntnis
  • Verschlüsselte Übertragung und Speicherung

Das Telefon ist kein nachrangiger Kanal – es ist die erste Kontaktstelle deiner Patienten. Wer hier strukturiert und sicher arbeitet, gewinnt doppelt: weniger Stress im Alltag, weniger Risiko im Ernstfall.

Fazit: Das Telefon ist keine Nebensache

Cyberangriffe auf Arztpraxen nehmen zu, die Anforderungen an Datenschutz und IT-Sicherheit werden schärfer – und das Telefon bleibt die am wenigsten abgesicherte Datenschnittstelle in vielen Praxen. Wer hier nicht handelt, riskiert nicht nur Bußgelder und Reputationsschäden, sondern auch strafrechtliche Konsequenzen durch Verletzung des Arztgeheimnisses.

Die Lösung muss nicht kompliziert sein. Es braucht keine komplette IT-Umstellung, sondern ein System, das Entlastung und Compliance verbindet. Prüf einmal, wie du heute mit Telefondaten umgehst – und kläre in einem unverbindlichen Erstgespräch, ob deine Lösung wirklich sicher ist. Denn eines ist klar: Das Telefon ist keine Nebensache. Es ist die Datenschnittstelle, über die deine Praxis täglich sensible Informationen verarbeitet. Und es wird Zeit, sie genauso ernst zu nehmen wie dein Praxisverwaltungssystem.

Diese Webseite verwendet Cookies

Diese Webseite nutzt Cookies, um Ihnen das bestmögliche Erlebnis zu gewährleisten. Cookies helfen uns, die Webseite mit Analysen zu verbessern. Mit einem Klick auf „Zustimmen“, stimmen Sie der Verwendung von Cookies zu. Sie können Ihre Einwilligung jederzeit ändern, indem Sie unter "Optionen verwalten" Ihre getroffenen Einstellungen selbst rückgängig machen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Privatsphäre-Einstellungen

Wir verwenden Cookies und ähnliche Technologien auf unserer Website und verarbeiten personenbezogene Daten von dir (z.B. IP-Adresse), um z.B. Inhalte und Anzeigen zu personalisieren, Medien von Drittanbietern einzubinden oder Zugriffe auf unsere Website zu analysieren.

Die Datenverarbeitung kann auch erst in Folge gesetzter Cookies stattfinden. Wir teilen diese Daten mit Dritten, die wir in den Privatsphäre-Einstellungen benennen.

Einige Services verarbeiten personenbezogene Daten in den USA. Indem du der Nutzung dieser Services zustimmst, erklärst du dich auch mit der Verarbeitung deiner Daten in den USA gemäß Art. 49 (1) lit. a DSGVO einverstanden. Die USA werden vom EuGH als ein Land mit einem unzureichenden Datenschutzniveau nach EU-Standards angesehen. Insbesondere besteht das Risiko, dass deine Daten von US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden, unter Umständen ohne die Möglichkeit eines Rechtsbehelfs.

Du bist unter 16 Jahre alt? Dann kannst du nicht in optionale Services einwilligen. Du kannst deine Eltern oder Erziehungsberechtigten bitten, mit dir in diese Services einzuwilligen.

Ihre Einstellungen für Einwilligungen

Hier haben Sie die Möglichkeit, Ihre Einwilligung für die Datenverarbeitung durch Cookies zu erteilen oder zu widerrufen. Sie können Ihre Einstellungen jederzeit ändern. Weitere Informationen finden Sie in unserer Datenschutzerklärung.