Cyberversicherung Zahnarztpraxis: was bei Ransomware, KIM-Ausfall und Datenverlust wirklich gedeckt ist

Cyberversicherung Zahnarztpraxis: was wirklich gedeckt ist – Ransomware, KIM-Ausfall, EDV-Komplettausfall und DSGVO-Drittschaden, klar abgegrenzt zur Berufshaftpflicht.

Money-Page Praxisbetrieb

Cyberversicherung Zahnarztpraxis: was bei Ransomware, KIM-Ausfall und Datenverlust wirklich gedeckt ist

Die Zahnarztpraxis ist heute eine voll digitalisierte Wirtschaftseinheit: KIM, TI-Anbindung, Patientenkartei, DVT-Daten, CEREC-Konstruktionen, Röntgenbilder. Ein einziger erfolgreicher Ransomware-Angriff legt den gesamten Praxisbetrieb lahm – und löst Folgekosten aus, die weder die Berufshaftpflicht noch die Praxisinhaltsversicherung übernehmen.

Cyber-Risiken der Praxis prüfen lassen Was deckt sie? ↓
Heilberufe-Beratung seit 1999 Schwerpunkt digitale Praxisrisiken Ungebundener Makler, § 34d GewO Aachen und bundesweit per Microsoft Teams
Kurzüberblick:

Die Cyberversicherung für Zahnarztpraxen sichert den Eigenschaden bei IT-Vorfällen ab: Ransomware-Erpressung, Datenverlust, KIM-Ausfall, EDV-Komplettausfall. Sie umfasst zwei Komponenten – Hilfsleistungen (IT-Forensik, Krisenkommunikation, Datenwiederherstellung) und finanzielle Erstattung (Wiederherstellungskosten, Betriebsunterbrechung, Lösegeldzahlungen bei Ransomware). DSGVO-Drittschäden können in der Berufshaftpflicht oder in der Cyberversicherung geregelt sein – die Abgrenzung ist tarifabhängig und sollte explizit geprüft werden.

Direkte Antwort

Die Cyberversicherung für Zahnarztpraxen deckt vier Hauptszenarien: Ransomware-Angriffe mit Verschlüsselung der Praxis-EDV, Datenverlust durch Phishing oder Mitarbeiterfehler, Ausfall der Telematikinfrastruktur (TI) und der Kommunikation im Medizinwesen (KIM), sowie DSGVO-Schadensersatzansprüche von Patienten bei Datenlecks.

Sinnvolle Versicherungssumme für eine Standard-Zahnarztpraxis: 500.000 bis 1 Million Euro. Für BAG, MVZ und spezialisierte Praxen mit DVT, CEREC und intensiver Telematik-Nutzung 1 bis 2 Millionen Euro. Pflicht-Bausteine: Soforthilfe-Hotline (24/7), IT-Forensik, Datenwiederherstellung, Betriebsunterbrechungsausgleich und Krisenkommunikation.

Die Cyberversicherung ergänzt die Berufshaftpflicht (DSGVO-Drittschäden) und die Elektronikversicherung (Hardwareschaden). Sie deckt das, was zwischen diesen beiden Policen liegt: digitale Eigenschäden und die Wiederherstellungskosten.

Drei Fragen zur Selbst-Einschätzung

  • Wenn morgen Ihre Praxis-EDV vollständig verschlüsselt wäre – haben Sie ein aktuelles, getrenntes Backup und wissen Sie, wer den Vorfall innerhalb von Stunden bearbeiten würde?
  • Sind Sie sicher, dass Ihre Praxisinhalts- oder Elektronikversicherung Datenverlust und Wiederherstellung überhaupt deckt – oder nur Hardwareschaden?
  • Wissen Sie, ob bei einem DSGVO-Verstoß durch ein Datenleck Ihre Berufshaftpflicht ausreicht oder ob eine eigene Cyberversicherung nötig ist?

Wenn Sie eine dieser Fragen nicht beantworten können, ist die digitale Lücke real – in den meisten Praxen ist sie strukturell.

Cyber-Schutz strukturiert prüfen lassen
Inhalt dieser Seite
  1. Warum die Zahnarztpraxis ein Cyber-Hochrisiko ist
  2. Was die Cyberversicherung deckt
  3. Vier typische Schadenszenarien
  4. Abdeckung im Überblick
  5. Versicherungssumme richtig dimensionieren
  6. Abgrenzung zu Berufshaftpflicht und Elektronik
  7. Prüfliste für den Vertrag
  8. IT-Sicherheits-Voraussetzungen
  9. Typische Fehler bei der Cyberversicherung
  10. Makler-Einschätzung
  11. Häufige Fragen
  12. Wo Sie weiterlesen sollten

Warum die Zahnarztpraxis ein Cyber-Hochrisiko ist

Cyber-Angriffe auf Heilberufe haben in den letzten Jahren stark zugenommen. Zahnarztpraxen sind besonders attraktiv für Angreifer – aus vier Gründen:

1

Hohe Daten-Sensibilität

Patientendaten, Befunde, Röntgenbilder, DVT-Aufnahmen, CEREC-Konstruktionen. Diese Daten sind nach DSGVO besonders schutzbedürftig – und bei Verlust extrem teuer in der Wiederherstellung.

2

Operative IT-Abhängigkeit

Ohne EDV keine Patientenkartei, kein Röntgenbild-Abruf, keine Abrechnung, keine KIM-Kommunikation mit Krankenkassen und Laboren. Die Praxis ist faktisch stillgelegt.

3

Telematikinfrastruktur als Angriffsvektor

Die TI-Anbindung und KIM-Postfächer sind regulatorisch vorgeschrieben – aber gleichzeitig potenzielle Einstiegspunkte. Sicherheitslücken in TI-Komponenten betreffen direkt die Praxis.

4

Erpressbarkeit

Wenn Patientendaten verschlüsselt oder gestohlen sind, ist die Zahlungsbereitschaft hoch. Ransomware-Banden wissen das – und passen die Lösegeld-Forderung an die wirtschaftliche Größe der Praxis an.

BSI: Heilberufe gehören zu den stärkst betroffenen KMU-Branchen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist regelmäßig darauf hin, dass Heilberufe-Praxen zu den am stärksten von Cyber-Angriffen betroffenen kleinen und mittleren Unternehmen gehören. Die Kombination aus hoher Daten-Sensibilität und meist limitierter IT-Sicherheits-Infrastruktur macht sie zum bevorzugten Ziel.

Was die Cyberversicherung deckt

Eine gute Cyberversicherung besteht aus zwei Komponenten: Soforthilfe-Leistungen (im akuten Schadenfall) und finanzieller Schadenausgleich (für Wiederherstellung und Betriebsausfall).

1

Soforthilfe (24/7)

Hotline mit IT-Forensikern, die im akuten Vorfall sofort beraten und den Vorfall eindämmen. Krisen-Management, externe IT-Spezialisten, Anwaltliche Erstberatung für DSGVO-Meldepflichten innerhalb von 72 Stunden.

2

IT-Forensik und Wiederherstellung

Kosten für die Untersuchung des Angriffs, Bereinigung der Systeme, Wiederherstellung verlorener Daten aus Backups oder rekonstruierbaren Quellen, Neukonfiguration der Praxis-EDV.

3

Betriebsunterbrechungsausgleich

Wenn die Praxis durch den Cyber-Vorfall vorübergehend nicht arbeiten kann: Erstattung der Praxis-Fixkosten und der entgangenen Honorare für die Ausfallzeit. Überschneidet sich teilweise mit der Praxisausfallversicherung – die Abgrenzung ist tarifabhängig.

4

Lösegeldzahlungen

Bei Ransomware-Angriffen: Erstattung gezahlter Lösegelder (begrenzt, Prüfung jeweils einzeln). Wichtig: Verhandlung mit Erpressern soll über den Versicherer und IT-Forensiker erfolgen, nicht selbstständig.

5

Krisenkommunikation

PR-Beratung und Kommunikation mit Patienten, Krankenkassen und Behörden bei einem DSGVO-meldepflichtigen Vorfall. Erhalt des Patientenvertrauens nach einem Datenleck ist häufig der teuerste Teil.

6

DSGVO-Drittschaden

Schadensersatzansprüche von Patienten und Behörden bei datenschutzrechtlichen Verletzungen, Bußgelder durch Aufsichtsbehörden (soweit versicherbar). Tarifabhängig: oft in der Berufshaftpflicht, manchmal exklusiv in der Cyber-Police.

Vier typische Schadenszenarien

Die folgende Grafik ordnet die vier häufigsten Cyber-Schadensbilder einer Zahnarztpraxis ein:

Vier typische Cyber-Schadensbilder in der Zahnarztpraxis 1. Ransomware-Angriff Verschlüsselung aller Praxis-Daten Typischer Schaden: - 80.000 bis 250.000 Euro Wiederherstellung - 2 bis 6 Wochen Praxisstillstand - ggf. Lösegeldforderung 50.000+ Euro Deckung: Cyberversicherung 2. Phishing mit Datenabfluss Patientendaten gestohlen Typischer Schaden: - DSGVO-Meldepflicht 72h - mögliches Bußgeld bis 4 % Umsatz - Schadensersatz einzelner Patienten Deckung: Cyber + BHV (DSGVO-Drittschaden) 3. KIM- / TI-Ausfall Telematikinfrastruktur nicht erreichbar Typischer Schaden: - 5 bis 10 Tage eingeschränkter Betrieb - Abrechnungsverzug - 8.000 bis 25.000 Euro Folgekosten Deckung: Cyber (Betriebsunterbrechung) 4. Mitarbeiterfehler Versehentlicher Datenversand Typischer Schaden: - E-Mail mit Patientendaten an Falsch- empfänger, Befund offen weitergegeben - DSGVO-Meldepflicht, ggf. Bußgeld Deckung: Cyber + BHV
Vier häufige Cyber-Szenarien in Zahnarztpraxen. Die Cyberversicherung ist immer der primäre Schutz, die Berufshaftpflicht ergänzt bei DSGVO-Drittschäden.

Abdeckung im Überblick

SchadenartCyberversicherungAndere Police
Datenverlust / WiederherstellungJa, HauptzweckElektronik nur bei Hardwareschaden
Ransomware-ErpressungJa (mit Lösegeld-Sublimit)Keine andere Police
EDV-/Server-Hardware beschädigtNeinElektronikversicherung
Betriebsunterbrechung durch CyberJa, StandardPraxisausfall nur teilweise
DSGVO-Drittschaden PatientTarifabhängigBerufshaftpflicht (häufig)
DSGVO-Bußgeld AufsichtSoweit versicherbarSelten Berufshaftpflicht
KrisenkommunikationJa, SoforthilfeKeine andere Police
IT-ForensikJa, SoforthilfeKeine andere Police

Versicherungssumme richtig dimensionieren

Cyber-Schäden kumulieren. Im schlimmsten Fall trifft eine Praxis Ransomware-Wiederherstellung, Betriebsausfall und DSGVO-Schadensersatz gleichzeitig. Sinnvolle Eckwerte:

PraxisformEmpfohlene VersicherungssummeBegründung
Einzelpraxis ohne DVT500.000 EuroStandardanwendung, moderate Datenmenge, klassische Praxis-EDV.
Einzelpraxis mit DVT, CEREC, CAD/CAM1.000.000 EuroErhöhte Datenmenge, teurere Wiederherstellung, höhere Patientenfrequenz.
BAG oder kleines MVZ1.000.000 - 1.500.000 EuroMehrere Behandler, mehr Patientendaten, höhere Betriebsunterbrechungsfolgen.
Großes MVZ / Filial-Struktur2.000.000 Euro und mehrKomplexe IT-Infrastruktur, größere Datenmengen, längere Wiederherstellung.

Abgrenzung zu Berufshaftpflicht und Elektronik

Die Cyberversicherung ist eine eigene Police mit eigener Logik. Sie ersetzt weder die Berufshaftpflicht noch die Elektronikversicherung, sondern füllt die Lücke zwischen beiden:

  • Berufshaftpflicht: Drittschäden durch Behandlung und Praxisbetrieb. Vermögensschaden durch DSGVO-Verstoß ist oft enthalten – aber nicht die Wiederherstellung der eigenen IT.
  • Elektronikversicherung: Hardwareschaden an Behandlungseinheit, DVT, EDV-Hardware. Nicht: Datenwiederherstellung, Cyber-Forensik, Betriebsunterbrechung durch Hackerangriff.
  • Cyberversicherung: Datenverlust, IT-Forensik, Ransomware, KIM-Ausfall, Krisenkommunikation, Betriebsunterbrechung durch Cyber-Vorfall.

Wer keine Cyberversicherung hat, trägt im Schadenfall die Wiederherstellungskosten und die Krisenbearbeitung selbst. Wer eine Cyber-Police hat, aber Lehrmaterial im Vertrag falsch liest und auf Hardwareschaden hofft, ist im Schadenfall ebenfalls schlecht beraten.

Prüfliste für den Vertrag

Acht Prüfpunkte vor Abschluss

  • 24/7-Soforthilfe-Hotline mit IT-Forensikern und Krisen-Anwalt. Erreichbarkeit ohne Wochenend-Einschränkung.
  • Datenwiederherstellung explizit eingeschlossen – nicht nur "Cyber-Schäden allgemein".
  • Betriebsunterbrechungsausgleich mindestens 60 bis 90 Tage, idealerweise 180 Tage.
  • DSGVO-Drittschaden mit Sublimit – auch wenn die Berufshaftpflicht teilweise abdeckt, sollte die Cyber-Police eine eigene Position haben.
  • Lösegeldzahlungen erstattbar – mit Prüfung durch Versicherer und Forensiker, nicht durch den Praxisinhaber alleine.
  • Krisenkommunikation – PR-Beratung, Patientenanschreiben, externe Kommunikation eingeschlossen.
  • KIM- und TI-spezifische Risiken benannt – nicht nur generische Cyber-Klauseln.
  • Voraussetzungen ehrlich prüfbar – was muss IT-seitig vorhanden sein, damit der Schutz wirksam ist? Backup-Konzept, Firewall, Mitarbeiterschulung.

IT-Sicherheits-Voraussetzungen

Cyberversicherer prüfen vor Vertragsschluss und im Schadenfall: Welche IT-Sicherheits-Standards hatte die Praxis? Wer Mindestanforderungen nicht erfüllt, kann den Versicherungsschutz verlieren. Typische Voraussetzungen:

  • Aktuelle Software-Updates auf Praxis-EDV, Server, Routern. Keine veralteten Betriebssysteme.
  • Anti-Malware-Schutz auf allen Endgeräten und Servern.
  • Backup-Konzept – täglich automatisiert, getrennt von der Hauptinfrastruktur, regelmäßig auf Wiederherstellbarkeit getestet.
  • Zugangsschutz – sichere Passwörter, idealerweise Zwei-Faktor-Authentifizierung für administrative Zugänge.
  • Mitarbeiter-Sensibilisierung – mindestens jährliche Schulung zu Phishing und Social Engineering.
  • DSGVO-Dokumentation – Verzeichnis der Verarbeitungstätigkeiten, Datenschutzbeauftragter (sobald 20 Personen mit personenbezogenen Daten arbeiten).
Hinweis: Mindestanforderungen sind Vertragsbedingung

Cyber-Tarife haben in den letzten zwei Jahren ihre Mindestanforderungen deutlich verschaerft. Wer die Anforderungen bei Vertragsschluss erfüllt, sie aber später aufweicht (alte Software, fehlende Updates, kein Backup-Test), kann im Schadenfall Leistungskürzungen erfahren. Eine sauber dokumentierte IT-Sicherheitsroutine ist Pflicht, kein Kür-Element.

Typische Fehler bei der Cyberversicherung

Fehler 1: Berufshaftpflicht als Cyber-Ersatz angenommen

Die Berufshaftpflicht deckt DSGVO-Drittschäden teilweise, aber nicht die Wiederherstellung eigener Daten oder Betriebsunterbrechung. Wer keine eigene Cyber-Police hat, trägt die Wiederherstellung selbst.

Fehler 2: Versicherungssumme zu niedrig

500.000 Euro reichen bei einer Standard-Praxis, aber nicht bei einem Ransomware-Vorfall mit gleichzeitiger DSGVO-Meldung. Bei Praxen mit DVT und CEREC eher 1 Million Euro ansetzen.

Fehler 3: Mindestanforderungen vernachlässigt

Wer bei Vertragsschluss "ja" angekreuzt, dann aber im Praxisalltag die IT-Sicherheits-Routine schleifen lässt, riskiert Leistungskürzungen im Schadenfall. Die Anforderungen sind Vertragspflichten, kein Empfehlungs-Katalog.

Fehler 4: Backups nicht getestet

Ein Backup, das im Ernstfall nicht wiederherstellbar ist, ist kein Backup. Versicherer prüfen zunehmend, ob das Backup-Konzept dokumentiert getestet wurde – nicht nur, ob es existiert.

Fehler 5: Krisenkommunikation unterschätzt

Der teuerste Teil eines Cyber-Vorfalls ist oft nicht die IT-Wiederherstellung, sondern der Patientenvertrauens-Verlust. Krisenkommunikation und Patientenanschreiben sind ein eigener Baustein, kein Add-On.

Fehler 6: Lösegeld eigenständig verhandelt

Bei einem Ransomware-Vorfall sollte die Praxis NICHT selbst mit den Erpressern kommunizieren. IT-Forensiker und Versicherer verhandeln in der Regel deutlich erfolgreicher – und die Police verlangt häufig genau das.

Makler-Einschätzung

Jan Pohl, Versicherungsmakler in Aachen, spezialisiert auf Heilberufe und Akademiker

Jan Pohl, Versicherungsmakler in Aachen

Cyber ist die Police, bei der die meisten Zahnarztpraxen die Tragweite unterschätzen. "Wir haben doch eine Berufshaftpflicht mit DSGVO-Klausel" höre ich häufig – und dann zeige ich, was die Berufshaftpflicht eben NICHT abdeckt: die Wiederherstellung der eigenen Patientenakten, die externe IT-Forensik, die zwei bis sechs Wochen Praxisstillstand.

Bei einer durchschnittlichen Zahnarztpraxis mit DVT und CEREC sprechen wir über Wiederherstellungskosten zwischen 80.000 und 250.000 Euro – das ist eine Größenordnung, die jede unversicherte Praxis überfordert. Die Prämie für eine solide Cyberversicherung liegt typischerweise zwischen 1.000 und 3.000 Euro im Jahr.

Mein wichtigster Prüfpunkt: die Mindestanforderungen. Cyber-Tarife haben in den letzten zwei Jahren die Anforderungen deutlich verschaerft. Wer die nicht ehrlich erfüllt, hat im Schadenfall Probleme. Vor jeder Empfehlung kläre ich deshalb: Gibt es ein dokumentiertes Backup-Konzept? Wann war der letzte Wiederherstellungs-Test? Welche Schulung haben die Mitarbeiter zu Phishing erhalten?

Jan Pohl, Versicherungsmakler nach § 34d GewO, Registrierungsnummer D-6LQ8-VHMG3-85. Vermittlerregister abrufbar über die IHK. Tätig seit 1999, schwerpunktmäßig für Heilberufe, wissenschaftliche Mitarbeiter und Beamte.

Cyber-Schutz der Praxis prüfen lassen

30 Minuten Vorgespräch, klare Sortierung Ihrer digitalen Risiken: Cyber-Police vorhanden? Mindestanforderungen erfüllt? Schnittstelle zu Berufshaftpflicht und Elektronik geregelt? Sie wissen danach, wo Sie stehen – ohne Abschlusserwartung.

Cyber-Schutz prüfen lassen

Häufige Fragen

Was deckt eine Cyberversicherung für Zahnarztpraxen?

Vier Hauptbereiche: Ransomware-Erpressung und Datenwiederherstellung, KIM- und TI-Ausfall, DSGVO-Drittschaden und Krisenkommunikation. Dazu Soforthilfe-Leistungen wie IT-Forensik und 24/7-Hotline im akuten Schadenfall.

Reicht die DSGVO-Klausel in der Berufshaftpflicht nicht aus?

Nein. Die Berufshaftpflicht deckt DSGVO-Drittschäden teilweise, aber nicht die Wiederherstellung eigener Daten, nicht die IT-Forensik und nicht die Betriebsunterbrechung. Diese Eigenschäden gehören in eine eigene Cyberversicherung.

Wie hoch sollte die Versicherungssumme sein?

Für eine Standard-Einzelpraxis 500.000 Euro, mit DVT und CEREC eher 1 Million Euro. BAG und MVZ 1 bis 2 Millionen Euro. Große MVZ-Strukturen mehr. Entscheidend ist die Kombination aus Datenmenge, Wiederherstellungsaufwand und Betriebsunterbrechungsrisiko.

Zahlt die Cyberversicherung Lösegeld bei Ransomware?

Tarifabhängig, oft mit Sublimit. Wichtig: Verhandlung muss über Versicherer und IT-Forensiker laufen, nicht durch die Praxis alleine. Die Police verlangt häufig genau diese Vorgehensweise.

Welche IT-Sicherheits-Voraussetzungen muss die Praxis erfüllen?

Aktuelle Software-Updates, Anti-Malware, dokumentiertes Backup-Konzept mit regelmäßigen Wiederherstellungs-Tests, Zugangsschutz, Mitarbeiter-Sensibilisierung gegen Phishing, DSGVO-Dokumentation. Diese Anforderungen sind Vertragspflichten, keine Empfehlungen.

Was kostet eine Cyberversicherung für eine Zahnarztpraxis?

Typischerweise zwischen 1.000 und 3.000 Euro im Jahr, abhängig von Praxisgröße, Versicherungssumme und IT-Standards. Bei MVZ und größeren BAGs entsprechend höher.

Was deckt sie nicht ab?

Hardwareschaden (das ist Elektronikversicherung), Schäden durch grobe Fahrlässigkeit oder vorsätzliches Fehlverhalten, in der Regel auch keine Schäden, die vor Vertragsschluss bereits bekannt waren.

Wo Sie weiterlesen sollten

Im Zahnärzte-Cluster

Praxisbetrieb-Money-Pages

Digitale Praxisrisiken ehrlich prüfen

30 Minuten Vorgespräch, klare Sortierung der Cyber-Stellschrauben. Sie entscheiden danach, ob ein Strategie-Termin folgt, ohne Abschlusserwartung.

Termin vereinbaren

Quellen und weiterführende Informationen: Bundesamt für Sicherheit in der Informationstechnik (BSI) · Bundesdatenschutzgesetz · BaFin: Aufsicht über Versicherer · Bundeszahnärztekammer · Kassenzahnärztliche Bundesvereinigung

Stand: 24. Mai 2026. Diese Seite gibt eine allgemeine Orientierung und ersetzt keine individuelle Beratung. Tarifbedingungen, Klauseln und Annahmerichtlinien der Versicherer ändern sich regelmäßig.