Foto: Moumita – stock.adobe.com; Generiert mit KI

Übergangsfristen laufen aus, die Zuständigkeiten sind klarer gefasst und Aufsichtsstrukturen erwarten eine geordnete Umsetzung. Wer Fristen und Rechtsquellen eindeutig zuordnet und Maßnahmen strukturiert plant, reduziert rechtliche und betriebliche Risiken.  

1. IT-Sicherheitsrichtlinie (KZBV/KBV) nach § 390 SGB V: Umsetzung seit dem 2. Januar

Die aktualisierte IT-Sicherheitsrichtlinie für Vertragszahnärzt/-innen wurde am 1. Juli 2025 veröffentlicht und ist am 2. Juli 2025 in Kraft getreten. Neu eingeführte oder geänderte Anforderungen sind nach sechsmonatiger Übergangsfrist seit dem 2. Januar 2026 verbindlich umzusetzen. Rechtsgrundlage ist § 390 SGB V in der Fassung des Digital-Gesetzes (DigiG) und nicht mehr § 75b SGB V. Die Richtlinie konkretisiert technische und organisatorische Schutzmaßnahmen (u. a. Zuständigkeiten, Update- und Patchmanagement, Backup-Konzepte, Zugriffsbeschränkungen, Personalschulungen). Eine Pflicht zur Beauftragung zertifizierter IT-Dienstleister besteht nicht. Die Verantwortlichkeit für die Praxis-IT liegt weiterhin bei der Praxisleitung. Eigene Sanktionsnormen enthält § 390 SGB V derzeit nicht, die Vorgaben stützen aber die Durchsetzung datenschutzrechtlicher Anforderungen.  

2. eHBA und TI-Karten: Übergangsregelungen bis 30. Juni

Der flächendeckende Austausch älterer eHBA-Karten (Generation 2.0 mit RSA-Zertifikaten) erfolgt wegen der Umstellung der TI auf modernere Kryptografie. Für eHBA mit RSA-Zertifikaten gilt eine Übergangsregelung: Sie können noch bis zum 30. Juni 2026 genutzt werden. Ab 1. Juli 2026 sind jedoch nur noch eHBA mit ECC-basierten Zertifikaten zulässig. Praxen sollten die Umstellung organisatorisch vorziehen, um Funktionseinbußen bei QES-pflichtigen Anwendungen wie E-Rezept und eAU zu vermeiden. Parallel bestehen Übergänge für weitere TI-Komponenten: SMCB mit RSA im Non-QES-Bereich bis 30. Juni 2026 sowie gSMCKT mit RSA bis 31. Dezember 2026. 

Praktische Einordnung für den Praxisalltag: 

• Die Pflicht zur Umsetzung der IT-Sicherheitsrichtlinie als Gesamtwerk wird durch die eHBA-Übergangsregelung nicht verschoben. Die Schonfrist betrifft ausschließlich die Kryptografie-Umstellung bei Karten.  
• Karten der Generation 2.1 (ECC-fähig) sichern den dauerhaften Zugang zu TI-Anwendungen und die rechtssichere qualifizierte elektronische Signatur.

3. Zahnärztliche Früherkennung im „Gelben Heft“ seit Januar: Dokumentation Z1 bis Z6

Seit dem 1. Januar 2026 werden zahnärztliche Früherkennungsuntersuchungen im Kinderuntersuchungsheft („Gelbes Heft“) dokumentiert. Der GBA hat dies auf Antrag der KZBV beschlossen. Die sechs Untersuchungen heißen Z1 bis Z6 und sind mit festen Zeitfenstern hinterlegt. Bereits ausgegebene Untersuchungshefte behalten ihre Gültigkeit. In diesen Fällen nutzen Zahnarztpraxen Einlegeblätter oder Aufkleber. Perspektivisch ist eine digitale Abbildung als medizinisches Informationsobjekt in der elektronischen Patientenakte vorgesehen. 

Die vorgesehenen Zeitfenster reichen vom sechsten bis zum 72. Lebensmonat. Zwischen den einzelnen Untersuchungen sind Mindestabstände verbindlich einzuhalten. Die bisherige praxisinterne Dokumentation bleibt bestehen und wird durch die Eintragung im Heft ergänzt. Diese Eintragung ist Bestandteil der Leistung und dient als nachvollziehbarer Nachweis gegenüber Eltern und Kostenträgern. 

Im Zuge der Neuregelung wurden auch die Inhalte der Früherkennungsleistungen im BEMA redaktionell neu geordnet. Die bisherigen Positionen FU1a bis FU1c sowie FU2 wurden in FUZ1 bis FUZ6 überführt, Punktwerte angepasst und die Eintragung im Heft verbindlich festgelegt. Praxen sollten ihre Abläufe entsprechend anpassen, die erforderlichen Materialien bereithalten und Eltern frühzeitig über Bedeutung und Funktion der Einträge informieren. 

4. Datenschutz und Organisationsverantwortung

Der datenschutzrechtliche Rahmen bleibt durch die DSGVO und das Bundesdatenschutzgesetz unverändert. Durch die IT-Sicherheitsrichtlinie und die Weiterentwicklung der Telematikinfrastruktur gewinnt die praktische Umsetzung jedoch deutlich an Gewicht. 

Externe IT-Dienstleister können operativ unterstützen. Die Gesamtverantwortung für Rechtmäßigkeit, Vertraulichkeit, Integrität und Verfügbarkeit der Daten liegt weiterhin bei der Praxisleitung. Zu den zentralen Organisationsnachweisen zählen ein aktuelles Verzeichnis der Verarbeitungstätigkeiten, belastbare Auftragsverarbeitungsverträge, ein funktionierendes Löschkonzept sowie regelmäßige Schulungen und Wirksamkeitskontrollen. Die KZBV betont ausdrücklich die Verantwortung der Praxis für die eigene IT bis zur Schnittstelle zur Telematikinfrastruktur.