Zugangsdaten in der Zahnarztpraxis: Vom PVS bis zum TI-Konnektor — und wie Sie den Überblick behalten
Eine Zahnarztpraxis verwaltet mehr Zugangsdaten, als den meisten bewusst ist. Eine Bestandsaufnahme aus dem Praxisalltag — und wie ein Team-Tresor auf dem Praxisserver Ordnung schafft, ohne Cloud.
- zahnarzt
- praxisalltag
- passwort-manager
- it-sicherheit
Die unsichtbare Liste
Wer morgens in einer Zahnarztpraxis ankommt, denkt selten an Passwörter. Man öffnet das Praxisverwaltungssystem, meldet sich am Behandlungsrechner an, schickt eine Abrechnung, ruft ein Röntgenbild auf — und arbeitet. Dass hinter jedem dieser Schritte ein eigener Zugang steckt, fällt erst auf, wenn etwas nicht funktioniert: ein neuer Mitarbeiter braucht Zugänge, jemand vergisst ein Passwort, oder der IT-Dienstleister fragt nach Admin-Daten für den Router.
In Wahrheit nutzt eine typische Praxis weit mehr passwortgeschützte Systeme, als im Alltag sichtbar wird. Manche Zugänge werden nur einmal im Quartal gebraucht — andere täglich dutzendfach. Manche kennt nur die Abrechnungskraft, andere nur der IT-Dienstleister. Eine realistische Bestandsaufnahme sieht oft so aus: das Praxisverwaltungssystem (PVS) auf jedem Behandlungs- und Empfangsrechner, die Telematikinfrastruktur mit TI-Konnektor und KIM-Dienst, das Abrechnungsportal der KZV, die Röntgen- oder Bildgebungssoftware samt Archiv, Laborportale für Überweisungen und Befunde, Zugänge zur Materialbestellung und zu Depots, das Praxis-WLAN und der Router im Technikraum, E-Mail-Konten für Behandler, Verwaltung und Praxisleitung, Online-Banking für laufende Zahlungen, Website und Terminbuchungstool, gegebenenfalls Bewertungsportale und Social-Media-Zugänge. Hinzu kommen Fernwartungszugänge für den betreuenden IT-Dienstleister, Backup-Lösungen und manchmal noch getrennte Logins für Schulungsplattformen oder Fortbildungsanbieter.
Zusammengenommen sind das leicht 20 bis 40 Zugänge — verteilt auf mehrere Personen, Geräte und Standorte. Kein einzelner Mensch kennt vermutlich alle. Und genau das ist der Punkt: Die Liste existiert, auch wenn niemand sie je aufgeschrieben hat. Wer sie einmal schriftlich erfasst, merkt oft: Es sind mehr, als gedacht — und niemand hat den vollen Überblick.
Wie es heute oft läuft
Praxen sind keine IT-Abteilungen. Sie arbeiten unter Zeitdruck, mit wechselnden Teams und vielen parallelen Aufgaben. Dass Zugangsdaten dabei unsystematisch verwaltet werden, ist selten Fahrlässigkeit — es ist die Folge fehlender Struktur bei hohem Tempo.
Drei Muster sind in Praxen weit verbreitet:
Passwörter im Browser gespeichert, auf jedem Rechner anders. Der schnellste Weg nach der Installation eines neuen Programms ist oft „Passwort speichern“. Nach ein paar Monaten hat der Behandlungsrechner andere gespeicherte Logins als der Empfang, und niemand weiß, welcher Browser welches Passwort kennt.
Eine Excel-Liste oder ein Notizbuch am Empfang. Pragmatisch und für alle sichtbar — solange die Datei nicht veraltet, das Notizbuch nicht verlegt wird und niemand versehentlich eine Kopie auf einem privaten USB-Stick mit nach Hause nimmt. Bei Personalwechsel fehlt meist die Disziplin, Einträge zeitnah zu entfernen. Wenn das Abrechnungsportal sein Passwort erneuert, steht oft noch die alte Version in Zeile 14 — und niemand traut sich, die Zeile zu löschen, weil unklar ist, ob sie noch irgendwo gebraucht wird.
Ein geteiltes Sammelpasswort, das alle kennen. „Praxis2024!“ auf dem Zettel neben dem Telefon. Jeder kann arbeiten, niemand muss nachfragen — bis jemand geht, ein Passwort geleakt wird oder ein ehemaliger Mitarbeiter noch Monate später auf Systeme zugreifen kann, von denen die Praxisleitung gar nicht wusste, dass er sie kannte. Auch Vertretungen und Springer im Team verstärken das Problem: Wer kurzfristig einspringt, bekommt oft dasselbe Passwort wie alle anderen — und behält es mit, wenn er geht.
Keines dieser Muster entsteht aus Bosheit. Sie entstehen, weil niemand morgens eine Stunde hat, ein Passwort-Konzept aufzusetzen — und weil es bisher irgendwie funktioniert hat.
Wo es konkret weh tut
Abstrakte Sicherheitsrisiken überzeugen Praxisinhaber selten. Konkrete Alltagsszenarien dagegen kennt jeder:
Eine Mitarbeiterin verlässt die Praxis. Sie kannte Zugänge zum PVS, zum Abrechnungsportal, zum Labor und vielleicht zum Praxis-WLAN. Welche der 30 Logins kannte sie wirklich? Welche Passwörter müssten jetzt geändert werden? Steht irgendwo schriftlich, wer wofür berechtigt war — oder muss das Inhaberpaar das aus dem Gedächtnis rekonstruieren?
Der IT-Dienstleister braucht kurzfristig Zugriff auf Router und PVS-Server. Er ruft an, die Praxis steht still, und jemand sucht hastig Zugangsdaten — per WhatsApp, als Foto vom Bildschirm oder als Diktat am Telefon. Funktioniert, aber jeder weiß, dass es keine saubere Lösung ist.
Die Praxis wechselt das Passwort für das Abrechnungsportal — aber nur ein Rechner kennt das neue. Die Abrechnungskraft am Empfang kommt nicht rein, während der Behandler im Behandlungszimmer noch das alte Passwort im Browser gespeichert hat. Ein halber Tag geht für Passwort-Suche und Abstimmung drauf. Ähnlich läuft es, wenn ein neuer Mitarbeiter startet: Statt strukturiert Zugänge zu vergeben, ruft die Praxisleitung von Zimmer zu Zimmer und diktiert Passwörter — oder schickt sie per E-Mail.
Solche Momente kosten Zeit, Nerven und manchmal Geld. Sie sind vermeidbar — und sie berühren ein Thema, das Praxen zunehmend betrifft: Nach der IT-Sicherheitsrichtlinie nach § 75b SGB V sind Praxen verpflichtet, grundlegende IT-Sicherheitsmaßnahmen umzusetzen. Dazu gehört auch ein geordneter Umgang mit Zugangsdaten — nicht als bürokratische Pflicht für den Schreibtisch, sondern als praktische Voraussetzung dafür, dass der Betrieb stabil läuft und im Ernstfall nachvollziehbar bleibt, wer Zugriff hatte.
Was eine gute Lösung leisten muss
Bevor Sie ein konkretes Tool wählen, lohnt sich ein kurzer Blick auf die Anforderungen — unabhängig vom Produkt:
Zentrale Ablage statt verteilter Zettel. Alle Zugangsdaten an einem Ort, den die Praxis kontrolliert — nicht verstreut über Browser, Excel-Dateien und Post-it-Notizen.
Eigene Zugänge pro Mitarbeiter, kein Sammelpasswort. Wenn jemand die Praxis verlässt, soll Offboarding bedeuten: einen Nutzer entfernen — nicht 30 Passwörter einzeln ändern.
Nachvollziehbarkeit. Die Praxisleitung sollte erkennen können, wer wann auf welchen Eintrag zugegriffen hat — nicht im Detail jeder Tastatureingabe, aber strukturiert genug für interne Klärungen.
Daten bleiben in der Praxis. Für viele Praxen ist entscheidend, dass Zugangsdaten nicht auf Servern in den USA oder bei einem Cloud-Anbieter liegen, dessen Datenflüsse schwer nachvollziehbar sind. Ein Tresor auf dem Praxisserver oder einer Netzwerkfreigabe entspricht eher dem, was Praxisinhaber unter Kontrolle verstehen — und was sich mit dem betreuenden IT-Dienstleister besprechen lässt, ohne externe Verträge für einen weiteren Cloud-Dienst.
Diese Anforderungen sind keine Luxuswünsche — sie beschreiben, was im Alltag funktionieren muss, wenn morgens Patienten im Wartezimmer sitzen und niemand Zeit für Passwort-Chaos hat.
Wie OxidVault das umsetzt
OxidVault ist ein lokaler Passwort-Manager, der als Team-Tresor auf dem Praxisserver oder einer Netzwerkfreigabe betrieben wird. Die Tresor-Datei wird mit AES-256-GCM verschlüsselt, Schlüsselableitung erfolgt über Argon2id — technische Details, die im Hintergrund wirken, während Sie im Alltag einfach Zugangsdaten speichern und abrufen.
In der kostenlosen Community Edition unterstützt OxidVault bis zu fünf Nutzer pro Tresor. Jeder Mitarbeiter erhält ein eigenes Passwort und kann optional die Zwei-Faktor-Authentisierung aktivieren. Entfernen Sie einen Nutzer, entfällt dessen Zugriff — ohne dass alle anderen Passwörter neu vergeben werden müssen.
Das Audit-Log protokolliert Zugriffe und Änderungen nachvollziehbar — hilfreich, wenn intern geklärt werden soll, wer wann auf welchen Eintrag zugegriffen hat. Die Browser-Erweiterung füllt Logins direkt aus dem lokalen Tresor aus, ohne Cloud-Zwischenstelle. So müssen Mitarbeiter nicht zwischen Browser-Speicher, Excel und Notizbuch wechseln. OxidVault läuft vollständig offline und ist aktuell für Windows verfügbar — relevant für Praxen, die auch bei Internetausfall weiterarbeiten müssen.
Wer die datenschutzrechtliche Einordnung vertiefen möchte, findet in unserem Artikel Passwort-Manager für Zahnarztpraxen: DSGVO-konform ohne Cloud die DSGVO-Perspektive. Für den allgemeinen KMU-Kontext lohnt sich der Beitrag Passwort-Manager für KMU: Warum lokale Datenhaltung DSGVO-konform ist. Welche Edition zu Ihrer Praxis passt, zeigt die Editionen-Übersicht auf der Startseite.
Erster Schritt: eine Stunde Inventur
Sie müssen nicht sofort alles umbauen. Ein konkreter, machbarer Einstieg: Nehmen Sie sich eine Stunde, setzen Sie sich mit Praxismanager und IT-Dienstleister zusammen und listen Sie alle Zugänge auf, die Ihre Praxis tatsächlich nutzt. Wer kennt welches Passwort? Wo ist es gespeichert? Was passiert, wenn morgen jemand ausscheidet?
Diese Inventur allein schafft Klarheit — und zeigt, ob 20 oder eher 40 Zugänge im Umlauf sind. Notieren Sie neben jedem Zugang, wer ihn nutzt und wo das Passwort liegt. Danach können Sie entscheiden, ob ein Team-Tresor auf dem Praxisserver sinnvoll ist. OxidVault können Sie kostenlos herunterladen und in Ruhe testen, bevor Sie Zugangsdaten migrieren — ohne Cloud-Zwang und ohne dass Sie sofort alle Systeme umstellen müssen.
Ordnung bei Zugangsdaten ist keine IT-Projekt für Monate. Es beginnt mit einer ehrlichen Bestandsaufnahme — und endet damit, dass morgens niemand mehr nach dem Router-Passwort suchen muss.
