WLAN in der Arztpraxis: Patientendaten, Gäste-WLAN und DSGVO
Sie wollen WLAN in Ihrer Arztpraxis anbieten? Dann müssen Patientendaten und Gäste-Netz strikt getrennt sein. So setzen Sie es richtig um.
Praxis-WLAN und Gäste-WLAN müssen in einer Arztpraxis auf VLAN-Ebene getrennt sein. Art. 9 DSGVO und die KBV-IT-Sicherheitsrichtlinie lassen daran keinen Zweifel: Patientendaten zählen zu den besonders schutzbedürftigen Datenkategorien, und ein gemeinsames Netz ist kein Kavaliersdelikt. Die Einmalkosten für eine ordentliche Lösung liegen bei 1.500 bis 3.000 € für eine typische Praxis mit 3 bis 5 Behandlungsräumen.
Warum Trennung Pflicht ist
Die KBV (Kassenärztliche Bundesvereinigung) hat ihre IT-Sicherheitsrichtlinie zuletzt 2023 verschärft. Wer die Anforderungen nicht erfüllt, riskiert nicht nur ein DSGVO-Bußgeld, sondern auch Honorarkürzungen durch die zuständige Kassenärztliche Vereinigung. Konkret fordert die Richtlinie:
- Das Praxisnetz muss vom Internet und von Gäste-Zugängen physisch oder logisch getrennt sein
- Patientendaten dürfen nicht über ungesicherte Netzwerke erreichbar sein
- WLAN-Zugänge müssen verschlüsselt und authentifiziert sein (WPA3 seit 2023 empfohlen)
- Die Netzwerkarchitektur muss dokumentiert sein (für Datenschutzaudits und KBV-Prüfungen)
Ein Bußgeld nach Art. 83 DSGVO für eine Datenschutzverletzung bei Gesundheitsdaten kann schnell fünfstellig werden. Die KBV-Prüfung selbst läuft über akkreditierte Zertifizierungsstellen, und wer durchfällt, bekommt das auf der nächsten Honorarabrechnung zu spüren. Das Argument "die Praxis ist klein, das fällt nicht auf" funktioniert seit 2022 nicht mehr.
So trennen Sie Praxis- und Gästenetz
VLAN-Segmentierung: die saubere Lösung
Zwei getrennte VLANs auf demselben Switch und denselben Access Points. Das klingt komplizierter als es ist, aber genau das ist die Lösung, die beim Datenschutzaudit standhält:
- VLAN 10 (Praxis): Praxisverwaltungssoftware, Kartenlesegeräte, Drucker, TI-Konnektor, Praxis-WLAN mit WPA3
- VLAN 20 (Gäste): Separates WLAN mit eigenem Internetzugang, ohne jede Verbindung zu VLAN 10
Beide Netze laufen über dieselbe Hardware, sind aber auf Netzwerkebene vollständig voneinander isoliert. Ein Gerät im Gäste-WLAN sieht die Geräte im Praxisnetz nicht einmal. Das ist keine Annäherung an die Anforderung, das ist die Anforderung.
Captive Portal für Patienten
Sinnvoll, aber optional. Ein Captive Portal zeigt Patienten beim Verbinden eine Anmeldeseite mit Ihren Nutzungsbedingungen und dem DSGVO-Hinweis. Erst nach Bestätigung wird der Internetzugang freigeschaltet. Das schützt Sie vor Haftung für Aktionen der Patienten im Netz und dokumentiert die Zustimmung.
Bandbreitenbegrenzung
Begrenzen Sie die Bandbreite im Gäste-WLAN auf 10–20 Mbit/s. Nicht aus Geiz, sondern damit ein Patient mit Videostream nicht die Sprechstunden-Videokonferenz im Behandlungsraum lahmlegt.
Kostenlose Beratung
Haben Sie Fragen zu diesem Thema?
Unsere Experten beraten Sie unverbindlich, vor Ort in NRW oder telefonisch. Jetzt Kontakt aufnehmen.
Welche Hardware brauchen Sie?
Für eine Praxis mit 3–5 Behandlungsräumen empfehlen wir folgende Konfiguration:
| Komponente | Empfehlung | Kosten |
|---|---|---|
| Router/Firewall | Sophos XGS 107 oder Fortinet FortiGate 40F | 450–850 € |
| Managed Switch | Ubiquiti UniFi USW-24-PoE oder ZyXEL GS1920-24v2 | 250–400 € |
| Access Points (2–3 Stück) | Ubiquiti UniFi U6 Lite (je 120 €) oder Aruba Instant On AP22 (je 160 €) | 240–480 € |
| Verkabelung + Installation | Abhängig von Raumaufteilung | 400–800 € |
Gesamtkosten: 1.340 bis 2.530 €, zuzüglich Konfiguration und Inbetriebnahme. Wer eine Dokumentation für den Datenschutzbeauftragten mitliefern lassen will, rechnet 150–300 € Aufschlag.
Warum keine Fritz!Box: Die Fritz!Box bietet ein Gäste-WLAN, das auf Layer 3 getrennt ist. Das reicht für ein Café. Für eine Arztpraxis brauchen Sie VLAN-fähige Hardware mit konfigurierbaren Firewall-Regeln, einem Monitoring-Log und der Möglichkeit, die Konfiguration zu exportieren und zu dokumentieren. Die Fritz!Box kann das nicht. Wir hören das regelmäßig von Praxen, die beim Datenschutzaudit Nachbesserung bekommen haben.
Praktische Umsetzung: Was passiert bei einer Installation?
Damit Sie wissen, worauf Sie sich einlassen, kurz der typische Ablauf bei uns:
Tag 1 (Planung, 2–3 Stunden vor Ort): Wir schauen uns die Praxisräume an, erfassen die bestehende Infrastruktur, klären wo Access Points hingehört und ob vorhandene Kabelwege nutzbar sind. Ergebnis: ein Netzwerkplan und ein Angebot.
Tag 2 (Installation, 4–6 Stunden): Switch-Konfiguration, Access Point-Montage, VLAN-Einrichtung, Firewall-Regeln. Wenn alles gut geht, ist nachmittags alles oben. Gäste-WLAN und Praxisnetz laufen auf getrennten SSIDs. Das Praxis-WLAN bekommt ein Passwort, das Gäste-WLAN ist offen oder mit Captive Portal.
Tag 3 (Dokumentation, 1–2 Stunden): Netzwerkplan als PDF, Geräteinventarliste, IP-Adresstabelle, Firewall-Regelwerk in lesbarer Form. Das ist das Dokument, das der Datenschutzbeauftragte sehen will.
Wir arbeiten grundsätzlich in den Abendstunden oder an Wochenenden, wenn die Praxis geschlossen ist. Eine laufende Praxis für einen Tag lahmlegen funktioniert bei unseren Kunden nicht. Die meisten Installationen laufen ohne einzige Minute Ausfallzeit für den Praxisbetrieb.
Für eine Praxis in Bonn-Beuel oder Köln-Lindenthal dauert ein komplettes Projekt von Ersttermin bis abgenommener Dokumentation typischerweise zwei Wochen. Lieferketten für Switches und Access Points sind aktuell stabil, die Geräte liegen in drei bis fünf Werktagen vor.
Häufige Fehler in Arztpraxen
Die Liste ist kurz, aber jeder Punkt kommt bei uns mindestens einmal pro Quartal vor:
Consumer-Router als Praxis-Firewall. Ein Telekom-Router oder eine Fritz!Box ist kein Security-Gateway. Kein Intrusion Detection, kein Traffic-Log, keine Zertifizierungsgrundlage. Das kostet beim nächsten KBV-Audit.
Praxis-PCs im selben WLAN wie Gäste. Passiert häufiger als gedacht, meist weil jemand für einen Tag "kurz" das Praxis-WLAN für einen Gast freigegeben hat und der Zustand geblieben ist.
Kein Monitoring. Niemand merkt, wenn ein Gerät im Praxisnetz auffällig viel Traffic erzeugt oder versucht, nach außen zu kommunizieren. Managed-Switches und Firewalls haben das eingebaut, aber nur wenn jemand reinschaut.
Keine Dokumentation. Die Netzwerkarchitektur liegt in niemandes Kopf und nirgendwo auf Papier. Beim Datenschutzaudit wird gefragt: "Wie ist Ihr Netz segmentiert, und können Sie das zeigen?"
Praxisbeispiel: Allgemeinarzt in Bonn-Poppelsdorf
Eine Allgemeinarztpraxis mit 4 Behandlungsräumen, 8 Stunden pro Tag geöffnet, hatte eine Fritz!Box und ein gemeinsames WLAN für Praxis und Wartezimmer. Nach einer Datenschutzprüfung durch die Kassenärztliche Vereinigung NRW kam eine Nachbesserungsaufforderung.
Unsere Lösung: FortiGate 40F als Firewall, UniFi-Switch USW-24-PoE, drei UniFi U6 Lite Access Points, VLAN 10 für Praxisnetz und VLAN 20 für Gäste-WLAN mit Captive Portal. Gesamtkosten: 2.100 € inkl. Dokumentation. Die KBV-Prüfung sechs Wochen später wurde ohne Beanstandungen abgeschlossen.
Was prüft die KBV?
Seit der verschärften IT-Sicherheitsrichtlinie 2023 prüfen akkreditierte Zertifizierungsstellen folgende Punkte (unter anderem):
- Netzwerktrennung zwischen Praxis und Gäste/Internet
- Aktuelle Antivirensoftware auf allen Praxis-PCs
- Datensicherung (Backup) mit Nachweis
- Passwortrichtlinien für Praxissoftware-Zugänge
- Zugriffskontrollen auf Patientendaten (wer kann was sehen?)
- Dokumentation der technischen und organisatorischen Maßnahmen
Die Prüfung ist nicht jährlich Pflicht, aber bei begründetem Anlass, Datenschutzbeschwerde, Neuinstallation, Wechsel des IT-Dienstleisters, empfiehlt sich eine Selbstprüfung gegen diese Liste.
Wi-Fi 6 und WPA3: Lohnt sich die Investition?
Kurz: Ja, für neue Installationen immer. Wi-Fi 6 (802.11ax) ist nicht nur schneller, es ist auch für dichte Netzwerkumgebungen ausgelegt, also genau das, was eine Praxis mit vielen gleichzeitig aktiven Geräten braucht. WPA3 ist seit der KBV-Sicherheitsrichtlinie 2023 als Mindeststandard empfohlen, WPA2 ist noch toleriert, aber bei jeder Neuinstallation würden wir heute nur noch WPA3-fähige Geräte einbauen.
Die Kostendifferenz zu Wi-Fi 5 ist minimal. Ein Ubiquiti U6 Lite (Wi-Fi 6, WPA3) kostet im Handel ca. 120 €, ein älterer U5 Lite liegt bei 90 €. Für den Mehrwert über 5 Jahre Betrieb ist die Differenz irrelevant. Bestehende ältere Praxis-PCs sprechen meist noch WPA2, das ist kein Problem: Access Points können beide Standards gleichzeitig anbieten.
Was sich nicht lohnt: Wi-Fi 6E für Arztpraxen. Der 6-GHz-Frequenzband bringt in Gebäuden mit normalen Wänden und kurzen Distanzen keinen messbaren Vorteil. Und die Hardware ist teurer. Wer uns fragt, kriegt Wi-Fi 6, nicht Wi-Fi 6E.
WLAN ist nur ein Baustein. Wenn Sie eine neue Praxis aufbauen oder umziehen, gehört dazu die strukturierte Verkabelung, der TI-Konnektor-Anschluss, VLAN-Trennung von Praxisnetz und Behandlungsräumen sowie die KBV-konforme Switch- und Firewall-Konfiguration. Das gesamte Vorgehen mit Kosten, Materialliste und drei NRW-Beispielen haben wir im Arztpraxis-Netzwerk-Leitfaden mit KBV- und TI-Anschluss zusammengefasst.
Wir richten WLAN in Arztpraxen in Bonn, Köln und Düsseldorf DSGVO-konform ein. Von der Planung bis zur Dokumentation für Ihren Datenschutzbeauftragten. Wenn Sie wissen wollen, was eine ordentliche Lösung für Ihre Praxis kostet, sprechen Sie uns an, die Erstberatung ist kostenlos und unverbindlich.
Verwandte Beiträge
WLAN durch Wände: Wie weit das Signal wirklich reicht
Wie weit reicht WLAN durch Ziegel, Beton oder Holz? Mit dB-Tabelle pro Material und Frequenz, dazu drei NRW-Altbau-Fälle und welche Lösung im Ihrem Gebäude tatsächlich hilft.
Wie viele Access Points brauche ich? So berechnen Sie den Bedarf
Zu wenige Access Points = Funklöcher. Zu viele = Geldverschwendung und Interferenzen. So berechnen Sie die richtige Anzahl für Ihr Büro, Ihre Praxis oder Ihr Einfamilienhaus.
Access Point vs Repeater vs Mesh: Welche WLAN-Lösung ist richtig?
Repeater, Mesh oder Access Point? Für Büro und Zuhause gelten andere Regeln. Welche Lösung wann passt, mit konkreten Zahlen und NRW-Beispielen.