IT-Sicherheit für Arztpraxen

Blog

Praxisnahe IT-Sicherheitstipps von den Experten der nachhaltigke-it GmbH — Windows-Härtung, DSGVO-Compliance, Praxissoftware und alles, was Ihre Praxis-IT sicher hält.

Windows · Datenschutz
13. Juni 2026 5 Min. Lesezeit

Windows Copilot & Recall deaktivieren — Schritt für Schritt

Microsoft schaut Ihren Mitarbeitern beim Arbeiten zu — automatisch, still und standardmäßig aktiviert. Was das für Patientendaten bedeutet und wie Sie es abstellen.

Artikel lesen
Windows · UEFI · Sicherheit
13. Juni 2026 5 Min. Lesezeit

Secure Boot & UEFI-Zertifikat prüfen — Windows-Update macht's nötig

Ein fehlendes Windows UEFI CA 2023-Zertifikat kann nach Updates zum Problem werden. Mit vier PowerShell-Befehlen prüfen und beheben Sie das in unter 10 Minuten.

Artikel lesen
T2med · Kartenterminal · Tipp
17. Juni 2026 2 Min. Lesezeit

T2med: Kartenslot vorbelegen — einmal einstellen, nie wieder klicken

Bei jedem Einlesevorgang manuell den Slot wählen? Nicht nötig. Mit zwei Klicks in den T2med-Einstellungen legen Sie den Standard-Kartenslot dauerhaft fest.

Artikel lesen
Zurück zur Übersicht
Windows · Datenschutz · DSGVO

Windows Copilot & Recall deaktivieren — Microsoft schaut zu. Bis Sie es abstellen.

13. Juni 2026 5 Min. Lesezeit Von Holger Hofmann, nachhaltigke-it GmbH

Stellen Sie sich vor, ein Mitarbeiter sitzt hinter Ihrer Ärztin und fotografiert alle 5 Sekunden den Bildschirm — Patientenakten, Laborbefunde, Rezepte, alles. Genau das macht Windows Recall standardmäßig auf neuen Geräten. Und Windows Copilot schickt Screenshots und Texte zur Analyse in Microsofts Cloud. Für eine Arztpraxis ist das kein Komfortproblem — es ist ein DSGVO-Notfall. Hier zeigen wir, wie Sie beides in 10 Minuten abschalten.

Was ist Windows Recall überhaupt?

Windows Recall ist eine KI-Funktion, die seit Windows 11 24H2 auf sogenannten „Copilot+-PCs" verfügbar ist. Sie macht alle paar Sekunden Screenshots Ihres Bildschirms, analysiert die Inhalte mit einer lokalen KI und macht alles durchsuchbar — quasi eine Suchmaschine für alles, was Sie je auf dem PC gesehen haben.

Klingt praktisch. Ist es vielleicht auch für Privatanwender. Für eine Arztpraxis ist es ein Problem: Jeder Screenshot kann Patientenname, Diagnose, Medikation oder Befunde enthalten. Und wer Zugriff auf den PC hat — oder ihn stiehlt — hat Zugriff auf diese Datenbank.

DSGVO-Relevanz: Das Speichern von Bildschirminhalten mit Patientendaten ohne explizite Rechtsgrundlage verstößt gegen Art. 5 DSGVO (Datensparsamkeit) und Art. 9 DSGVO (besondere Kategorien personenbezogener Daten — Gesundheitsdaten). Die Aufsichtsbehörden haben Recall bereits im Blick.

Was ist Windows Copilot?

Windows Copilot ist der KI-Assistent, der in Windows 11 in die Taskleiste integriert wurde. Er kann auf Anfrage Bildschirminhalte analysieren, Text zusammenfassen und Aktionen ausführen. Dabei werden Daten — je nach Konfiguration — an Microsoft-Server übertragen.

Für normale Praxis-PCs ohne „Copilot+"-Hardware ist Recall nicht verfügbar, aber Copilot selbst ist es. Der lässt sich per Gruppenrichtlinie oder Registry-Eintrag deaktivieren.

Anleitung: Recall deaktivieren

Recall ist nur auf Copilot+-PCs aktiv (ARM-Prozessoren wie Snapdragon X, oder neuere Intel/AMD mit NPU). Prüfen Sie zunächst, ob Recall auf Ihrem Gerät überhaupt vorhanden ist:

1

Prüfen ob Recall vorhanden ist

Startmenü → „Recall" eintippen. Erscheint ein Suchergebnis, ist die Funktion vorhanden und muss deaktiviert werden.

2

Über die Windows-Einstellungen deaktivieren

Einstellungen → Datenschutz & Sicherheit → Recall & Snapshots → Schieberegler bei „Snapshots speichern" auf Aus stellen.

3

Recall per PowerShell vollständig entfernen (empfohlen)

Öffnen Sie PowerShell als Administrator und führen Sie folgenden Befehl aus:

Disable-WindowsOptionalFeature -Online -FeatureName "Recall"

💡 Tipp für IT-Betreuer: In verwalteten Umgebungen lässt sich Recall auch per Gruppenrichtlinie (GPO) oder Microsoft Intune für alle Geräte gleichzeitig deaktivieren. Sprechen Sie uns an — wir richten das für Ihre Praxis ein.

Anleitung: Windows Copilot deaktivieren

Copilot lässt sich auf zwei Wegen deaktivieren — über die Gruppenrichtlinie (für Profis) oder direkt in der Registry (für alle).

Weg 1: Gruppenrichtlinien-Editor (Windows Pro / Enterprise)

1

Gruppenrichtlinien-Editor öffnen

Tastenkombination Win + Rgpedit.msc eingeben → Enter

2

Zum richtigen Pfad navigieren

Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Windows Copilot

3

Richtlinie aktivieren

Doppelklick auf „Windows Copilot deaktivieren"Aktiviert auswählen → OK. Neu starten oder gpupdate /force in der Eingabeaufforderung ausführen.

Weg 2: Registry-Eintrag (alle Windows 11 Editionen)

Öffnen Sie den Registrierungs-Editor (Win + Rregedit) und navigieren Sie zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsCopilot

Falls der Pfad WindowsCopilot nicht existiert: Rechtsklick auf Windows → Neu → Schlüssel → WindowsCopilot benennen. Dann im neuen Schlüssel:

Rechtsklick → Neu → DWORD-Wert (32-Bit)
Name:  TurnOffWindowsCopilot
Wert:  1

Anschließend neu starten. Das Copilot-Symbol verschwindet aus der Taskleiste und die Funktion ist inaktiv.

Copilot aus der Taskleiste entfernen (schnell & einfach)

Auch ohne Registry-Eingriff lässt sich Copilot aus der Taskleiste entfernen: Rechtsklick auf die Taskleiste → TaskleisteneinstellungenCopilot-Schalter auf Aus. Das deaktiviert die Funktion jedoch nicht vollständig — sie ist nur ausgeblendet.

Checkliste: Was Sie noch prüfen sollten

  • Telemetrie reduzieren: Einstellungen → Datenschutz & Sicherheit → Diagnose & Feedback → „Erforderliche Diagnosedaten" auswählen
  • Aktivitätsverlauf deaktivieren: Einstellungen → Datenschutz & Sicherheit → Aktivitätsverlauf → beide Haken entfernen
  • Microsoft-Werbung deaktivieren: Einstellungen → Datenschutz & Sicherheit → Allgemein → alle Schalter auf Aus
  • OneDrive-Backup prüfen: Sicherstellen, dass keine Patientendaten automatisch in OneDrive synchronisiert werden
  • Browser-Sync in Edge: Einstellungen → Profile → Synchronisierung → nur gewünschte Kategorien aktivieren oder Sync deaktivieren

🛡️ Unser Service für Ihre Praxis: Die nachhaltigke-it GmbH führt diese Härtungsmaßnahmen für alle von uns betreuten Praxen durch — entweder remote oder beim nächsten Vor-Ort-Termin. Kein Aufwand für Sie. Rufen Sie uns an oder schreiben Sie uns.

Zurück zur Übersicht
Windows · UEFI · Sicherheit

Secure Boot & UEFI-Zertifikat prüfen — bevor Windows es für Sie entscheidet

13. Juni 2026 5 Min. Lesezeit Von Holger Hofmann, nachhaltigke-it GmbH

Microsoft rollt seit 2024 ein neues UEFI-Sicherheitszertifikat aus — das Windows UEFI CA 2023. Fehlt es auf einem PC, kann das nach bestimmten Windows-Updates zu Startproblemen führen. Klingt abstrakt, ist aber mit vier PowerShell-Befehlen in unter 10 Minuten erledigt. Diese Anleitung zeigt Ihnen Schritt für Schritt, wie Sie den Status prüfen und das Zertifikat bei Bedarf einspielen.

Was ist Secure Boot — und warum ist das Zertifikat wichtig?

Secure Boot ist eine UEFI-Funktion, die beim Start des PCs prüft, ob das Betriebssystem von einem vertrauenswürdigen Hersteller signiert ist. Damit wird verhindert, dass Schadsoftware sich bereits vor Windows-Start in das System einnistet — sogenannte Bootkits.

Das neue Windows UEFI CA 2023-Zertifikat ist Microsofts Nachfolger des bisherigen Signaturzertifikats. Es muss in der UEFI-Datenbank des PCs hinterlegt sein, damit zukünftige Windows-Versionen und Updates weiterhin reibungslos starten. Auf älteren oder nicht aktualisierten Geräten fehlt es noch.

💡 Für wen ist das relevant? Für alle PCs mit Windows 10 oder 11, auf denen Secure Boot aktiviert ist. Besonders wichtig vor dem Umstieg auf Windows 11 oder vor größeren Feature-Updates.

Schritt-für-Schritt-Anleitung

1

PowerShell als Administrator öffnen

Drücken Sie die Windows-Taste, tippen Sie PowerShell ein, klicken Sie mit der rechten Maustaste auf „Windows PowerShell" und wählen Sie „Als Administrator ausführen". Bestätigen Sie die Rückfrage mit „Ja".

2

Secure Boot Status prüfen

Fügen Sie folgenden Befehl ins PowerShell-Fenster ein (Rechtsklick → Einfügen) und drücken Sie Enter:

Confirm-SecureBootUEFI
Ergebnis: False Secure Boot ist deaktiviert oder nicht unterstützt. Keine weitere Aktion nötig — Fenster schließen.
Ergebnis: True Secure Boot ist aktiv. Bitte mit Schritt 3 fortfahren.
3

UEFI-Zertifikat prüfen

Fügen Sie nun diesen Befehl ein und drücken Sie Enter:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
Ergebnis: True Zertifikat vorhanden. Alles in Ordnung — Fenster schließen.
Ergebnis: False Zertifikat fehlt noch. Bitte mit Schritt 4 fortfahren.
4

Update einspielen (nur wenn Schritt 3 „False" ergab)

Führen Sie die folgenden zwei Befehle nacheinander aus — jeweils einfügen und Enter drücken:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
powershell -Command "Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update""

Wichtig: Den zweiten Befehl am besten 3–4 Mal ausführen — beim ersten Mal reicht es erfahrungsgemäß häufig nicht aus. Einfach mehrfach Enter drücken.

Nach dem zweiten Befehl wird das Zertifikat automatisch im Hintergrund aktualisiert. Starten Sie den Computer anschließend neu.

Nach dem Neustart: Erfolg kontrollieren

Öffnen Sie PowerShell erneut als Administrator und wiederholen Sie die Befehle aus Schritt 2 und Schritt 3. Erscheint bei Schritt 3 jetzt True, war das Update erfolgreich.

🛡️ Zeigt Schritt 3 weiterhin False? Kein Grund zur Panik — manche UEFI-Implementierungen benötigen ein BIOS-Update des Geräteherstellers. Kontaktieren Sie uns, wir helfen direkt weiter: kontakt@praxsecure.de

Zurück zur Übersicht
T2med · Kartenterminal · Praxis-Tipp

T2med: Kartenslot am Terminal vorbelegen — einmal einstellen, nie wieder klicken

17. Juni 2026 2 Min. Lesezeit Von Holger Hofmann, nachhaltigke-it GmbH

Wer täglich dutzende Versichertenkarten einliest, kennt es: T2med fragt bei jedem Vorgang, welcher Kartenslot am Terminal verwendet werden soll. Das kostet jedes Mal einen Klick — und summiert sich. Mit einer einmaligen Einstellung legen Sie den Standard-Slot dauerhaft fest. So geht's.

Schritt-für-Schritt

1

Einstellungen öffnen

In T2med im Menü auf Einstellungen → Einstellungen verwalten klicken.

2

Zum richtigen Bereich navigieren

Im rechten Navigationsbaum den Pfad Allgemein → Telematikinfrastruktur aufklappen und anklicken.

3

Kartenslot vorbelegen

Den Eintrag „Vorbelegung Kartenslot" suchen und den gewünschten Slot eintragen. In der Regel ist das Kartenslot 1 — dieser entspricht dem Chip-Slot vorne am Terminal, in den die eGK (Versichertenkarte) eingelegt wird.

4

Speichern

Oben rechts auf das Speichern-Symbol klicken. Die Einstellung ist sofort aktiv — beim nächsten Einlesevorgang entfällt die manuelle Slot-Auswahl.

💡 Gilt pro Arbeitsplatz: Die Einstellung muss an jedem PC einzeln vorgenommen werden, an dem ein Kartenterminal angeschlossen ist.

Hinweis bei mehreren Terminals: Haben Sie an einem Arbeitsplatz zwei Kartenterminals, lassen Sie die Vorbelegung besser weg — sonst liest T2med immer am falschen Gerät.

🛠️ Einstellung nicht auffindbar? Je nach T2med-Version kann die Bezeichnung leicht abweichen. Wir schauen kurz per Fernwartung drauf: kontakt@praxsecure.de

Ihre Praxis sicher geschützt

IT-Sicherheit ohne Kopfzerbrechen?

PraxSECURE schützt Ihre Praxis vor Cyberangriffen — Hardware-Firewall, Datenschutz und IT-Betreuung aus einer Hand. Ab 49,99 € netto / Monat.

Jetzt kontaktieren PraxSECURE kennenlernen