Anmelden
Arztpraxis und MVZ · § 203 StGB

Patientendaten verschlüsseln.Ärztliche Schweigepflicht digital.KIM-Mail Ergänzung ohne TI-Eingriff.

Patientenkommunikation außerhalb der Telematikinfrastruktur: Befundversand, Vorbefund-Anforderung, Versicherungskorrespondenz und Selbstzahler-Rechnungen verschlüsselt per E-Mail. § 203 StGB-Bezug, EU-Hosting, Audit-Log nach DSGVO Art. 30. Stand 2026.

Demo anfragenSecureMail im Detail
Auf einen BlickStand 2026

Patientenpost ohne Account, ohne KIM-Zwang, mit Audit-Log.

  • Befundversand per Fax oder unverschlüsselter E-Mail an den HausarztWeb-Reader oder S/MIME aus Outlook, Audit-Log für jeden Empfangsnachweis
  • Patientendaten in Outlook-Anhängen ohne Verschlüsselung als RisikoschrittSecureMail als Default direkt aus Outlook Classic, New oder Web
  • DICOM-Bildmaterial auf USB-Stick oder per WeTransfer an den überweisenden KollegenSecureFiles als direkte Linie für radiologische Befundpakete bis mehrere Gigabyte
Conbool ergänzt die Telematikinfrastruktur um den Alltagsbedarf, den KIM nicht abdeckt: Patient zu Praxis, Praxis zu Selbstzahler, Praxis zu PKV oder GKV außerhalb der Abrechnungsstrecke, Praxis zu Anwalt oder Gutachter, Praxis zu privater Verrechnungsstelle. Ende-zu-Ende-Verschlüsselung per S/MIME, OpenPGP oder Web-Reader für Empfänger ohne Zertifikat, EU-Hosting in Deutschland, Audit-Log pro Zugriff für die Praxisdokumentation. Die berufsrechtliche Schweigepflicht aus § 203 StGB wird technisch durch Ende-zu-Ende-Verschlüsselung und Zugriffsprotokollierung gestützt, die KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V im E-Mail-Bereich abgedeckt.
Geeignet für Sie, wenn:Einzelpraxis bis MVZ mit 50 AerztenPVS-Stack: medatixx, CGM, RED, Doctolib, x.concept§ 203 StGB und DSGVO Art. 9
100 %
EU-Hosting (Deutschland)
§ 203
StGB-Bezug Schweigepflicht
Audit
Log pro Patientenkontakt
30 Min.
Setup je Postfach

Compliance-Anker für Arztpraxen

§ 203 StGB ärztliche SchweigepflichtDSGVO Art. 9 besondere Kategorien von GesundheitsdatenDSGVO Art. 32 Sicherheit der VerarbeitungKBV-IT-Sicherheitsrichtlinie nach § 75b SGB V

Conbool ersetzt nicht KIM, ePA, eRezept oder eAU und greift nicht in die Telematikinfrastruktur ein. Conbool deckt die Patienten- und Praxis-Kommunikation außerhalb der KIM-Pflichtfälle ab. § 203 StGB-Bezug gilt bei korrekter Konfiguration der Verschlüsselungs-Default-Regel und dokumentierter Mitarbeitendenschulung der MFA, MTRA und der angestellten Aerzte. Die berufsrechtliche Verantwortung verbleibt bei der Praxisleitung.

Vier Bausteine für Praxis und MVZ.

SecureMail für Patientenpost, SecureFiles für DICOM und radiologische Befundpakete, MailGuard gegen gefälschte KV-Mails und Praxis-Phishing, Disclaimer für berufsrechtliche Pflichtangaben nach Heilberufsrecht der Aerztekammern.

SecureMail

SecureMail

Ende-zu-Ende-Verschlüsselung per S/MIME, OpenPGP oder Web-Reader für Patienten und Empfänger ohne Zertifikat. Outlook-Add-in für Classic, New und Web mit One-Click-Verschlüsselung. Standardisierte Schlüsselverwaltung pro Praxisträger oder MVZ, ohne Eingriff in den TI-Konnektor oder die gematik-Komponenten. Default-Verschlüsselungsregel pro Domain konfigurierbar.

SecureMail im Detail
SecureFiles

SecureFiles

DICOM-Pakete, radiologische Befunde, Histologie-Schnittbilder und Operationsberichte als direkte Linie zwischen Praxis, Klinik und überweisendem Kollegen. Passwort- oder Empfänger-Authentifizierung, Ablauffristen pro Link, signierte Download-URLs, vollständiger Empfangsnachweis im Audit-Log nach DSGVO Art. 30 für die Behandlungsdokumentation.

SecureFiles im Detail
MailGuard

MailGuard

Erkennt gefälschte KV-, KBV-, Aerztekammer- und Krankenkassen-Mails, Business-Email-Compromise gegen die Praxisverwaltung sowie Credential-Phishing gegen die Microsoft-365-Anmeldung. Mehrstufige Prüfung auf SPF, DKIM, DMARC, Header-Anomalien, Lookalike-Domains und Anhang-Sandbox vor dem Eingang in den M365-Tenant.

MailGuard im Detail
Disclaimer

Disclaimer

Server-seitige Pflichtangaben für Praxisinhaber, MVZ-Geschäftsführung und angestellte Aerzte. Heilberufsrechtliche Angaben nach Berufsordnung der Landesärztekammer, lebenslange Arztnummer (LANR), Betriebsstättennummer (BSNR), KV-Bezirk und Aerztekammer werden zentral aus dem Active Directory gepflegt und in jede ausgehende E-Mail eingesetzt.

Disclaimer im Detail
Typische Workflows

Vier Szenarien aus dem Praxisalltag.

Vom Patient zur Klinik und zurück, außerhalb der KIM-Pflichtfälle.

1

Befund an den Patienten außerhalb der ePA

Der Patient ohne KIM-Anschluss und ohne ePA-Aktivierung erhält den Laborbefund, das Allergologie-Ergebnis oder den Histologie-Bericht über den Web-Reader im Browser. Keine Software-Installation, kein Account, keine TI-Komponente am Patienten-Endgerät nötig. Das Audit-Log dokumentiert Abrufzeitpunkt, IP-Bereich und Lesedauer für die Praxisdokumentation und den möglichen Nachweis im Streitfall.

2

DICOM an den überweisenden Kollegen

Radiologische Befunde mit DICOM-Bildmaterial gehen per SecureFiles an den überweisenden Hausarzt, den Orthopäden oder die Klinik, jenseits der Outlook-Anhangsgrenze von 25 MB und ohne CD-Versand per Post oder USB-Stick. Der Empfänger lädt das komplette Studienpaket per signierten Link mit definierter Ablauffrist, der Versand bleibt mit Hash-Prüfung dokumentiert.

3

Korrespondenz mit PKV, MDK und Berufsgenossenschaft

Anfragen an private Krankenversicherer, den Medizinischen Dienst, Gutachter im SGB-V-Verfahren oder die Berufsgenossenschaft enthalten regelmäßig Diagnosen, ICD-10-Codes, Therapieverläufe und Befundkopien. SecureMail verschlüsselt die Anfrage Ende-zu-Ende, mit Empfangsnachweis für das Praxis-QM und das Verarbeitungsverzeichnis nach DSGVO Art. 30.

4

Praxis-Phishing und gefälschte KV-Mails abfangen

MailGuard erkennt gefälschte Mails der Kassenärztlichen Vereinigung, der Landesärztekammer oder vermeintliche KIM-Störungsmeldungen mit Authentifizierungs-Anomalien, SPF-, DKIM- und DMARC-Brüchen sowie Lookalike-Domains. Die MFA an der M365-Anmeldung wird vor Credential-Phishing geschützt, bevor PVS-Zugänge und KV-Abrechnungsstrecken kompromittiert werden.

Architektur

Praxis-IT bleibt Praxis-IT, TI bleibt unberührt.

Conbool sitzt vor Microsoft 365 oder Exchange Online der Praxis oder des MVZ-Trägers. Telematikinfrastruktur, TI-Konnektor, PVS, KIM-Clientmodul und ePA-Aktorensystem bleiben architektonisch unverändert. Es gibt keinen Eingriff in den gematik-Komponentenpfad, keine Aenderung an HBA, SMC-B oder eHBA und keine Anpassung an den Konnektor-Updates der gematik.

MX-Switch vor Microsoft 365

Der eingehende SMTP-Verkehr läuft über Conbool-Gateways in Deutschland, der M365-Tenant bleibt das Backend für Postfach und Kalender. Outbound-Routing über Conbool-Connector für Verschlüsselung und Signatur.

KIM parallel, nicht abgelöst

KIM-Pflichtfälle wie eAU, eArztbrief, eHKS, eRezept-Mailfaden und Laborbefund-Versand laufen über den TI-Konnektor und das KIM-Clientmodul weiter. HBA und SMC-B bleiben unberührt.

Outlook-Add-in für Praxispersonal

Outlook Classic, New und Web werden bedient. Kein lokaler Setup-Schritt an Praxisrechnern, Verteilung über das Microsoft-Admin-Center per Manifest-Datei und Intune-Policy.

Koexistenz mit PVS-Herstellern

medatixx, CGM Albis, CGM Turbomed, RED medical, x.concept, Doctolib und vergleichbare PVS bleiben unverändert. Conbool koexistiert ausschließlich über Outlook und SMTP.

Compliance-Mapping

§ 203 StGB, DSGVO Art. 9 und KBV-Richtlinie technisch.

Patientendaten gelten als besondere Kategorien personenbezogener Daten nach DSGVO Art. 9 Abs. 1, ihre Verarbeitung ist nur unter den engen Voraussetzungen des Art. 9 Abs. 2 zulässig. Die ärztliche Schweigepflicht nach § 203 Abs. 1 Nr. 1 StGB verlangt technisch-organisatorische Maßnahmen, die Conbool als Default liefert. Die KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V wird im Bereich E-Mail-Sicherheit und Transportverschlüsselung abgedeckt, ergänzt um den Empfangsnachweis für das Praxis-QM nach Qualitätsmanagement-Richtlinie des G-BA.

Ende-zu-Ende-Verschlüsselung

S/MIME, OpenPGP oder Web-Reader, je nach Empfängerprofil. Schlüssel werden pro Praxisträger oder MVZ getrennt verwaltet, mit Recovery-Prozess für ausscheidende Aerzte.

Audit-Log nach Art. 30 DSGVO

Pro Patientenkontakt wird protokolliert: Absender, Empfänger, Zeitstempel des Versands, Zeitstempel des Abrufs, IP-Bereich, Lesezeit und gegebenenfalls die Antwort des Empfängers.

AVV nach Art. 28 DSGVO

Auftragsverarbeitungsvertrag mit der Conbool GmbH, Sub-Prozessor-Liste in der DPA, TOM-Beschreibung im Verarbeitungsverzeichnis nach Art. 30, Meldekette nach Art. 33 bei Datenpannen.

Aufbewahrungsfristen

Aufbewahrung gemäß § 630f BGB für die Patientenakte zehn Jahre, Röntgenverordnung bis zu dreißig Jahre, konfigurierbares Löschkonzept pro Mandant und pro Dokumentenklasse.

Migration

Pilot in einer Praxis, dann MVZ- oder Verbund-weit.

Eine Praxis startet, der Rest des MVZ oder Praxisverbunds folgt. Keine Eingriffe in TI-Konnektor, KIM-Clientmodul oder PVS. Die KV-IT-Beauftragten müssen nicht eingebunden werden, da die Telematikstrecke unberührt bleibt.

Pilot in einer Praxis

Eine Praxis testet vier bis sechs Wochen, der Rest des MVZ bleibt unverändert. Berichtspflicht gegenüber dem internen Datenschutzbeauftragten enthalten, inklusive TOM-Update für das Verarbeitungsverzeichnis.

Rollout im MVZ oder Verbund

Outlook-Add-in für alle Standorte über das Microsoft-Admin-Center, alternativ per Intune-Policy. Zentrale Schlüsselverwaltung pro Träger, getrennte Mandanten je Praxis möglich, getrennte Disclaimer je Berufsbild.

KIM, eRezept und eAU bleiben

Pflichtfälle wie eAU, eRezept, eArztbrief, eHKS und der KBV-Sicherheitscheck nach § 75b SGB V laufen ungestört weiter. Conbool bedient ausschließlich die nicht-TI-Strecke über Outlook.

Schulung des Praxispersonals

Empfehlungen für MFA-Schulung der MFA und MTRA, Briefkopf-Konsistenz, ICD-10-Diktion im Klartext-Header und QM-Dokumentation nach der Qualitätsmanagement-Richtlinie des Gemeinsamen Bundesausschusses enthalten.

Häufige Fragen aus Arztpraxis und MVZ

Ersetzt Conbool KIM, ePA oder eRezept?
Nein. KIM ist der gesetzlich vorgesehene Kanal für vorgeschriebene medizinische Uebermittlungen wie eAU, eArztbrief, eHKS und den strukturierten Laborbefund nach § 291 SGB V und den gematik-Spezifikationen. ePA und eRezept bleiben ebenfalls innerhalb der Telematikinfrastruktur und werden über die jeweiligen Aktoren-Systeme bedient. Conbool ist KIM-Mail Ergänzung für die Kommunikation außerhalb dieser Pflichtkanäle, etwa Selbstzahler-Korrespondenz, IGeL-Abrechnung, PKV-Anfragen, Gutachter-Korrespondenz, Anwaltspost und Patientenkommunikation, deren Empfänger keine ePA aktiviert haben oder keinen KIM-Anschluss besitzen.
Wie deckt Conbool die ärztliche Schweigepflicht nach § 203 StGB technisch ab?
Conbool unterstützt die ärztliche Schweigepflicht nach § 203 Abs. 1 Nr. 1 StGB durch Ende-zu-Ende-Verschlüsselung per S/MIME, OpenPGP oder Web-Reader, EU-Hosting in Deutschland und ein Audit-Log pro Patientenkontakt. Die berufsrechtliche Verantwortung verbleibt bei der Praxisleitung, dem niedergelassenen Arzt oder dem MVZ-Aerztlichen Leiter. Korrekte Konfiguration der Verschlüsselungs-Default-Regel, dokumentierte Mitarbeitendenschulung der MFA und MTRA gemäß § 203 Abs. 3 StGB und ein Verarbeitungsverzeichnis nach DSGVO Art. 30 bleiben Voraussetzung. Im Schadensfall steht das Audit-Log als Nachweis bereit.
Wie lesen Patienten unsere Mails, ohne KIM-Konto oder Zertifikat?
Patienten erhalten einen signierten Link auf den Conbool Web-Reader und lesen Befund, Arztbrief oder Rechnung direkt in der Browsersitzung, ohne Account und ohne Software-Installation. Bei wiederkehrenden Empfängern, etwa chronisch erkrankten Patienten in der Diabetes-, Onkologie- oder Rheuma-Versorgung, greift die passwortlose Wiederkehr für zwölf Monate. Eine Antwortmöglichkeit aus dem Web-Reader ist optional aktivierbar, damit der Patient verschlüsselt zurückschreiben kann, ohne selbst Schlüssel verwalten zu müssen.
Wie passt Conbool zur KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V?
Die Richtlinie der Kassenärztlichen Bundesvereinigung verlangt für Praxen je nach Praxisgröße organisatorische und technische Maßnahmen, abgestuft für Praxis, mittlere Praxis, große Praxis und Praxis mit medizinischen Großgeräten. Conbool adressiert den Bereich E-Mail-Sicherheit mit Verschlüsselung, Phishing-Schutz, Authentifizierungs-Prüfung und Empfangsnachweis. Die Anlage 1, 2 und 5 der Richtlinie zu Netzwerksicherheit, mobilen Datenträgern und Endgeräten bleibt Aufgabe der Praxis. Conbool liefert Nachweise für den E-Mail-Teil im KBV-Sicherheitscheck inklusive TOM-Dokumentation.
Wie steht es mit DICOM, Histologie und großen radiologischen Befundpaketen?
SecureFiles akzeptiert große Pakete ohne harte Größenbegrenzung pro Datei und ist auf radiologische, pathologische und endoskopische Workflows ausgelegt. Komplette DICOM-Studien, Histologie-Schnittbilder, OP-Berichte mit Bildmaterial, Endoskopie-Videos und Echokardiografie-Loops laufen direkt von Praxis zu Klinik, zum überweisenden Kollegen oder zum MDK. Der Empfänger lädt das Paket per signierten Link mit Ablauffrist und Hash-Prüfung, der Versand und Abruf bleiben im Audit-Log für das Praxis-QM und die Behandlungsdokumentation nach § 630f BGB dokumentiert.
Ist Conbool für MVZ und Praxisverbünde mit mehreren Standorten geeignet?
Ja. Conbool skaliert pro Postfach und ist für MVZ-Träger, überregionale Praxisverbünde, BAG- und Gemeinschaftspraxen sowie KV-übergreifende Strukturen vorgesehen. Es gibt zwei Architektur-Optionen: ein zentraler Tenant für den MVZ-Träger mit getrennten Domains pro Praxisstandort, oder getrennte Tenants je Praxis mit zentraler Schlüsselverwaltung beim Träger. Disclaimer-Pflichtangaben werden pro angestellten Arzt mit lebenslanger Arztnummer, KV-Bezirk, LANR und BSNR aus dem Active Directory gepflegt.
Wie läuft die Koexistenz mit Praxisverwaltungssystemen wie medatixx, CGM oder RED?
Conbool koexistiert mit den gängigen PVS-Herstellern, weil ausschließlich über Outlook und Standard-SMTP gearbeitet wird. medatixx, CGM Albis, CGM Turbomed, CGM M1 PRO, RED medical, x.concept, Doctolib, jameda und vergleichbare PVS bleiben unverändert. Es gibt keinen Eingriff in den TI-Konnektor, keine Veränderung am KIM-Clientmodul und keine Anpassung der HBA- oder SMC-B-Strecke. Der Befundimport ins PVS bleibt wie bisher manuell durch die MFA oder per KIM-Eingang. Conbool-Mails können über Outlook in die PVS-Akte des Patienten archiviert werden, sofern das PVS Outlook-Anbindung unterstützt.

Verwandte Lösungen

SEPPmail-Alternative

SaaS-SecureMail aus der EU, ohne Appliance-Pflege.

NIS-2 E-Mail-Verschlüsselung

S/MIME, PGP und Domain-Verschlüsselung nach NIS-2 angemessen.

NIS-2 E-Mail-Sicherheit

NIS-2-konforme E-Mail-Sicherheit mit Audit-Trail.

PDF-Verschlüsselung

Sensible PDFs verschlüsselt versenden, ohne Empfänger-Konto.

Secure Message Portal

Empfänger-Web-Reader für Schlüssel-lose Empfänger.

Verwandte Branchen

Conbool ist in benachbarten Branchen mit ähnlichem Compliance-Profil im Einsatz.

Krankenhaus & Klinik

Klinik-Pendant mit KIS-Anbindung, KHZG und KRITIS-Pflichten nach § 8a BSIG.

Pharma & MedTech

Hersteller-Anwender-Kommunikation, Studienunterlagen und EU-MDR-Bezug.

Anwaltskanzlei

Schweigepflicht-Schwester: § 203 StGB außerhalb des Gesundheitswesens.

Patientendaten verschlüsselt versenden, ohne Hürde für den Patienten.

Demo in 30 Minuten. Pilot in einer Praxis. Modular pro Funktion und Postfach. Kein TI-Eingriff.

Demo anfragenSecureMail im Detail

Quellen und Stand

Aussagen zur ärztlichen Schweigepflicht basieren auf § 203 Abs. 1 Nr. 1 und Abs. 3 StGB sowie auf den Berufsordnungen der Landesärztekammern in der jeweils geltenden Fassung. Aussagen zur DSGVO basieren auf der Verordnung (EU) 2016/679, insbesondere Art. 9 zu besonderen Kategorien personenbezogener Daten, Art. 28 zur Auftragsverarbeitung, Art. 30 zum Verzeichnis von Verarbeitungstätigkeiten, Art. 32 zur Sicherheit der Verarbeitung sowie Art. 33 zur Meldung von Verletzungen des Schutzes personenbezogener Daten. Aussagen zur KBV-IT-Sicherheitsrichtlinie basieren auf der Richtlinie der Kassenärztlichen Bundesvereinigung nach § 75b SGB V. Aussagen zur Telematikinfrastruktur, zu KIM, ePA, eRezept, eAU und eArztbrief basieren auf den jeweils geltenden gematik-Spezifikationen. Aufbewahrungsfristen folgen aus § 630f BGB (Patientenakte, mindestens zehn Jahre) und der Röntgenverordnung (bis zu dreißig Jahre für Aufnahmen). Hinweise zur Behandlungsdokumentation orientieren sich an § 10 der Berufsordnung für die in Deutschland tätigen Aerztinnen und Aerzte. Stand 2026.

KIM, ePA, eRezept, eAU und Telematikinfrastruktur sind Bezeichnungen der gematik GmbH. Microsoft, Microsoft 365 und Outlook sind Marken der Microsoft Corporation. medatixx, CGM, CGM Albis, CGM Turbomed, RED medical, x.concept und Doctolib sind Marken der jeweiligen Hersteller. KBV ist eine Bezeichnung der Kassenärztlichen Bundesvereinigung. Conbool ist eine Marke der Conbool GmbH.