IT für Schweizer Arztpraxen und Kliniken: EPD, Datenschutz und sichere Patientendaten 2026
Schweizer Arztpraxen und Kliniken stehen 2026 vor klaren gesetzlichen Pflichten: EPD-Anbindung, revDSG-Konformität und sichere IT-Infrastruktur. Was das konkret bedeutet – und wie KMU-Praxen die Anforderungen effizient umsetzen.
Solution Engineer
IT für Schweizer Arztpraxen und Kliniken: EPD, Datenschutz und sichere Patientendaten 2026
TL;DR: Ab 2026 sind Schweizer Kliniken und zugelassene Arztpraxen gesetzlich verpflichtet, das Elektronische Patientendossier (EPD) anzubinden. Gleichzeitig verschärft das revidierte Datenschutzgesetz (revDSG) die Anforderungen an die IT-Sicherheit. Dieser Artikel zeigt, was konkret zu tun ist – von der technischen Infrastruktur bis zur Wahl des richtigen IT-Dienstleisters.
Was ist das EPD – und wen betrifft die Pflicht zur Anbindung?
Das Elektronische Patientendossier (EPD) ist eine gesetzlich verankerte digitale Akte, in der Patientinnen und Patienten ihre Gesundheitsdaten sicher speichern und mit Fachpersonen teilen können. Die rechtliche Grundlage bildet das Bundesgesetz über das elektronische Patientendossier (EPDG).
Die Anschlusspflicht gilt in der Schweiz gestaffelt:
- Stationäre Einrichtungen (Spitäler, Geburtshäuser, Pflegeheime) – bereits seit 2022 verpflichtet
- Ambulante Leistungserbringer (Arztpraxen, Apotheken, Spitex) – Anbindungspflicht sukzessive ausgebaut, mit Umsetzungsdruck bis 2026
- Kleinpraxen und Einzelpraxen – freiwillige Anbindung möglich, aber aus Wettbewerbsgründen zunehmend empfohlen
ℹ️ Die konkrete Umsetzungspflicht für ambulante Praxen hängt von der Kantonsregelung ab. Kantone wie Zürich, Bern und Genf treiben die Digitalisierung aktiv voran und haben eigene Förderprogramme lanciert.
Welche IT-Anforderungen stellt das EPD an Arztpraxen?
Für eine konforme EPD-Anbindung braucht eine Arztpraxis mehr als nur eine Software-Lizenz. Die technischen und organisatorischen Anforderungen sind substanziell:
Technische Mindestanforderungen
- Zertifiziertes Primärsystem (z. B. Praxisverwaltungssoftware wie Auris, Tomedo, Axonlab-Lösungen), das EPD-kompatibel ist
- Stabile Internetanbindung mit ausreichender Bandbreite (min. 50 Mbit/s empfohlen)
- Zwei-Faktor-Authentifizierung (2FA) für alle zugreifenden Fachpersonen
- Anbindung an eine zertifizierte Stammgemeinschaft (z. B. EPD Playground, SwissID Health, Cara, eHealth Aargau)
- Verschlüsselte Datenübertragung nach aktuellem Stand der Technik (TLS 1.3+)
Organisatorische Anforderungen
- Schulung der Mitarbeitenden im Umgang mit dem EPD
- Dokumentierte Zugriffsrechte und Rollenkonzepte
- Datenschutzerklärung auf der Praxiswebsite aktualisieren
- Meldepflicht bei Datenschutzverletzungen gemäss revDSG (innert 72 Stunden an den EDÖB)
⚠️ Wer als Arztpraxis personenbezogene Gesundheitsdaten verarbeitet und dabei gegen das revDSG verstösst, riskiert Bussen von bis zu CHF 250'000. Datenschutz ist keine Formalie, sondern Chefsache.
Wie schützt das revDSG Patientendaten in der Praxis?
Das revidierte Datenschutzgesetz (revDSG), seit September 2023 in Kraft, hat die Anforderungen an alle Unternehmen verschärft – besonders für Organisationen, die besonders schützenswerte Daten wie Gesundheitsinformationen bearbeiten.
Für die Gesundheits-IT KMU bedeutet das konkret:
- Privacy by Design: IT-Systeme müssen datenschutzkonform konzipiert sein, nicht bloss nachträglich angepasst
- Verzeichnis der Bearbeitungstätigkeiten: Auch kleine Praxen mit weniger als 250 Mitarbeitenden sollten dieses führen (bei Gesundheitsdaten dringend empfohlen)
- Auftragsbearbeitung: Jeder Cloud-Anbieter oder IT-Dienstleister muss per Vertrag (Auftragsbearbeitungsvertrag, ABV) verpflichtet werden
- Datenminimierung: Nur notwendige Daten erheben und speichern
💡 Tipp: Wählen Sie bevorzugt IT-Dienstleister und Cloud-Lösungen mit Serverstandort Schweiz. Das vereinfacht die Compliance erheblich und schafft Vertrauen bei Patientinnen und Patienten.
Was kostet eine EPD-konforme IT-Infrastruktur für eine Arztpraxis?
Die Kosten variieren je nach Praxisgrösse, bestehender Infrastruktur und gewähltem Anbieter. Eine grobe Orientierung:
| Komponente | Einmalige Kosten (CHF) | Jährliche Kosten (CHF) |
|---|---|---|
| EPD-kompatible Praxissoftware (Lizenz) | 1'500 – 5'000 | 800 – 2'500 |
| Anbindung an Stammgemeinschaft | 500 – 2'000 | 300 – 800 |
| IT-Sicherheits-Setup (Firewall, VPN, 2FA) | 2'000 – 8'000 | 500 – 1'500 |
| Managed IT-Support / IT-Dienstleister | — | 3'000 – 12'000 |
| Datenschutz-Beratung / revDSG-Audit | 1'500 – 4'000 | 500 – 1'500 |
| Total (Schätzung Einzelpraxis) | 5'500 – 19'000 | 5'100 – 18'300 |
📊 Laut einer Schätzung des Bundesamts für Gesundheit (BAG) werden bis Ende 2026 über 1,5 Millionen EPD in der Schweiz eröffnet sein. Praxen, die frühzeitig angebunden sind, profitieren von Effizienzgewinnen und stärkerem Patientenvertrauen.
Welche IT-Sicherheitsmassnahmen sind für Arztpraxen 2026 unverzichtbar?
Gesundheitsdaten gehören zu den sensibelsten und begehrtesten Zielen für Cyberkriminelle. Die Fallzahlen bei Ransomware-Angriffen auf Gesundheitseinrichtungen in der Schweiz sind seit 2022 kontinuierlich gestiegen.
Checkliste IT-Sicherheit für Arztpraxen
- Aktuelle Antivirensoftware auf allen Geräten (inkl. Tablets und Empfangscomputer)
- Regelmässige, automatisierte Backups – getrennt vom Hauptnetz (3-2-1-Backup-Regel)
- Segmentiertes WLAN – Gäste-WLAN strikt vom Praxis-Netzwerk trennen
- Patch-Management – Betriebssysteme und Software konsequent aktuell halten
- Mitarbeiterschulung zu Phishing und Social Engineering (mindestens 1× jährlich)
- Notfallplan (Business Continuity Plan) für den Fall eines Cyberangriffs
⚠️ Veraltete Windows-Systeme (Windows 10 ohne Updates) sind ab Oktober 2025 nicht mehr supported. Wer 2026 noch auf End-of-Life-Systemen arbeitet, gefährdet aktiv den Praxisbetrieb und verletzt datenschutzrechtliche Sorgfaltspflichten.
Wie findet man den richtigen IT-Dienstleister für eine Arztpraxis in der Schweiz?
Nicht jeder IT-Anbieter kennt die spezifischen Anforderungen des Schweizer Gesundheitswesens. Achten Sie bei der Auswahl auf folgende Kriterien:
- Erfahrung im Gesundheitssektor – Referenzen bei anderen Arztpraxen oder Kliniken
- Kenntnis von EPDG und revDSG – der Anbieter muss die rechtlichen Rahmenbedingungen aktiv begleiten können
- Lokale Präsenz – kurze Reaktionszeiten bei Vor-Ort-Support sind im Praxisalltag entscheidend
- ISO 27001-Zertifizierung oder vergleichbare Nachweise für Informationssicherheit
- Klarer Auftragsbearbeitungsvertrag (ABV) – ohne diesen keine Datenweitergabe an Dritte
💡 Auf it-provider.ch finden Sie eine kuratierte Auswahl zertifizierter IT-Dienstleister in Ihrer Region – gefiltert nach Branchenerfahrung, Kanton und Leistungsbereich. Ideal für Arztpraxen, die schnell den richtigen Partner suchen.
Häufige Fragen
Ist das EPD für alle Schweizer Arztpraxen 2026 verpflichtend?
Noch nicht für alle. Die Anschlusspflicht gilt primär für stationäre Einrichtungen. Für ambulante Praxen gilt eine schrittweise Ausweitung; in mehreren Kantonen werden Anreize und Fristen aktiv kommuniziert. Eine freiwillige frühzeitige Anbindung ist jedoch aus Compliance- und Wettbewerbsgründen empfehlenswert.
Was passiert bei einer Datenschutzverletzung in einer Arztpraxis?
Gemäss revDSG besteht eine Meldepflicht gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innerhalb von 72 Stunden. Bei schwerwiegenden Verstössen drohen Bussen bis CHF 250'000. Betroffene Patientinnen und Patienten müssen ebenfalls informiert werden.
Darf eine Arztpraxis Patientendaten in der Cloud speichern?
Ja, unter bestimmten Bedingungen. Der Cloud-Anbieter muss per Auftragsbearbeitungsvertrag (ABV) verpflichtet sein, ein angemessenes Datenschutzniveau gewährleisten (bevorzugt Serverstandort Schweiz oder EU mit Standardvertragsklauseln) und die Daten müssen verschlüsselt gespeichert und übertragen werden.
Wie lange dauert die Implementierung einer EPD-Anbindung?
Je nach Ausgangslage und IT-Dienstleister dauert die vollständige Anbindung zwischen 4 und 12 Wochen. Darin enthalten sind Software-Konfiguration, Anbindung an die Stammgemeinschaft, Mitarbeiterschulung und Tests. Eine frühzeitige Planung ist ratsam.
Wo finde ich geeignete IT-Dienstleister mit Erfahrung in der Gesundheits-IT?
Auf it-provider.ch können Arztpraxen und Kliniken gezielt nach IT-Anbietern mit Gesundheits-IT-Erfahrung suchen – regionaler Filter, Kundenbewertungen und Leistungsprofile inklusive. Das spart Zeit bei der Evaluation und erhöht die Treffsicherheit bei der Partnerwahl.
