Cyber Risk ApothekeDatenschutz ist Chefsache

Seit dem 28. Mai 2018 hat jedes Unternehmen ein sogenanntes Informationssicherheitsmanagementsystem vorzuhalten, soweit in den Unternehmen, Praxen und Apotheken personenbezogene Daten der Kundschaft oder Patientendaten verarbeitet werden.

Die neue EU–Datenschutzgrundverordnung setzt dabei auf Eigenverantwortlichkeit. Das heißt, dass jedes Unternehmen auf Grund einer Risikoanalyse, den entsprechenden Handlungsbedarf selbst ermitteln und dann auch umsetzen muss.

Cyber-Risiken gibt es viele – und fast täglich kommen neue hinzu. Zur Orientierung lassen sie sich in die folgenden sechs Gruppen einteilen:

  1. Haftpflichtschäden, die versehentlich ausgelöst wurden durch online-Übertragungen aus der Apotheke. Das passiert meist durch virusverseuchte E-Mails, die beim Empfänger Schäden anrichten. Diese sind in aller Regel durch die bestehende Betriebshaftpflichtversicherung gedeckt.
    Unser Tipp: Es empfiehlt sich dringend, diese Deckung zu überprüfen, ob sie besteht und wenn ja, ob die Versicherungssumme hinreichend ist. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
  2. Eigenschäden, die verursacht wurden beispielsweise durch das versehentliche Öffnen einer Phishing-Mail. Inbegriffen sind auch Ertragsausfälle durch Datenverlust und IT-Defekte nach online-Attacken. Des Weiteren sind Aufwendungen für Cyber-Erpressungen oder für die Behebung von Datenverlusten aufgrund von Hackerangriffen abgesichert.
  3. Vermögensschäden, die auftreten nach Angriffen und Fehlern bei eingesetzten Kreditkartenterminals und anderen online-Bezahlsystemen. Hier werden schnell hohe Entschädigungen fällig. Abgesichert sind ebenso die Kosten für Datenwiederherstellungen bis hin zum kompletten Ersatz der Apotheken-IT, wenn Reparaturen nicht mehr möglich sind.
  4. Bedienungsfehler durch Mitarbeiter sind eine der Hauptursachen für Probleme mit der IT oder gar die gefürchteten Datenschutzverletzungen. Das reicht von der unbeabsichtigten Aktivierung einer Schadsoftware über die Infizierung der Apotheken-EDV mit Viren oder Trojanern durch externe Datenspeicher oder ungeschützte Internet-Downloads bis zum Einstellen von sensiblen Daten in soziale Netzwerke. Gegen Routine oder Leichtsinn ist kaum ein Kraut gewachsen. Diese Gefahren sind daher allgegenwärtig und dürften wohl schon in fast jeder Apotheke aufgetreten sein.
  5. Schadenersatzansprüche nach Datenschutzverletzung durch ein IT-Leck oder Datenabschöpfung durch Hacker. Das Risiko beginnt mit nicht vernichteten Rezepten und endet mit dem Datenverlust aller Kundendaten. Jeder einzelne Geschädigte hat dann Anspruch auf Schadenersatz – und das ist nicht Teil der Deckung von Betriebshaftpflichtversicherungen.
  6. Obligenheitsverletzungen durch Nichtbeachten der Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO). Insbesondere die 72-Stunden-Frist für Meldungen an Aufsichtsbehörden und Kunden dürfte hier für fast jede Apotheke zur Stolperfalle werden – und bei Verstößen drohen hohe Strafen. Mehr

Die Punkte zwei bis fünf sind in den bisherigen Basis-Policen der Apotheken in aller Regel nicht eingeschlossen. Deshalb empfiehlt sich der Abschluss einer Cyber-Risk-Police für Apotheken.

Ob das auch für Ihre Absicherung gilt, prüfen wir Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Nichts geht mehr ohne Datenschutzbeauftragten

apotheken cyber risiko datenschutz chefsache topsecret DenPhaMedDie DSGVO verfügt auch, dass ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte zu benennen ist.

Diese/r kann dem Unternehmen angehören (interner Datenschutzbeauftragter) oder als externer Experte beauftragt werden.

Diese genannten Anforderungen sind gemäß der Datenschutzverordnung grundsätzlich zu erfüllen.

Für Unternehmen bis zu neun mit der Datenverarbeitung befassten Mitarbeitern ist die Meldung nicht zwingend vorgeschrieben, dann ist aber der Inhaber automatisch mit der Verantwortung eines Datenschutzbeauftragten betraut.

Im Zweifel haftet immer der Unternehmer

Die Verantwortlichkeit für die Umsetzung liegt also in jedem Fall bei dem Unternehmer, auch dann, wenn ein Dienstleister mit der Erstellung eines Informationsmanagementsystems beauftragt wurde und ein Datenschutzbeauftragter bestellt und benannt wurde. Insofern liegt auch bei allen Verstößen gegen die Verordnung das Haftungsrisiko beim Unternehmer. Der Unternehmer ist dazu verpflichtet, seine Mitarbeiter anzuweisen, die Regelungen des Gesetzes zu erfüllen und hat dies entsprechend zu dokumentieren.

Das Problem sitzt oft vor dem Bildschirm

Hier ist anzumerken, dass die allermeisten Verstöße im Datenschutz durch Fehler, Unachtsamkeiten oder Sorglosigkeit seitens der Mitarbeiter verursacht werden. Doch mindestens ebenso häufig passiert es auch durch Zeitknappheit, Stress, Abgelenktheit oder Routine. Ganz klar haben die allermeisten Datenschutzverletzungen trotz all der Hacker, Viren und Trojaner keinen kriminellen Hintergrund, sondern sind einfach nur der Arbeitsweise, der Arbeitsbelastung oder dem Arbeitsalltag geschuldet. Und niemand, auch Chef und Chefin nicht, ist dagegen gefeit.

apotheken cyber risiko datenschutz chefsache DenPhaMedDennoch: Auch für diese Verstöße haftet zunächst der Unternehmer. Insofern obliegt es dem Unternehmer bei seinen Mitarbeitern ein entsprechendes Problembewusstsein zu schaffen, um Fehler zu vermeiden. Es empfiehlt sich, die Belehrungen zum Datenschutz möglichst detailliert zu gestalten und die Mitarbeiter darauf aufmerksam zu machen, dass auch sie bei Verstößen gegebenenfalls auch mit haftbar gemacht werden können. Aber das ist schwer zu beweisen.

Ebenso bei Verstößen gegen die EU Datenschutzgrundverordnung, bei denen auch ein Dienstleister/Datenschutzbeauftragter nur schwer haftbar gemacht werden kann. Denn diese Datenschutzbeauftragten sollen lediglich Hilfestellung für die Umsetzung der Vorschriften leisten und der Unternehmensleitung unterstützend zur Seite stehen. Deshalb ist Datenschutz in Zukunft immer Chefsache.

Der Umfang der Verordnung ist für Laien kaum umzusetzen, so dass professionelle Hilfe im Rahmen der IT-Sicherheit und Erstellung eines Informationssicherheitsmanagementsystems oft von Nöten ist. Einen weiteren Überblick über die Thematik und wichtige Literaturtipps für Unternehmer und ihre Datenschutzbeauftragten finden Sie hier

... Oder Sie sparen sich die sperrige Lektüre und "buchen" stattdessen einen eigenen kostenlosen Erstberatungs-Telefontermin mit einem unserer Datenschutzexperten. Anfrage Checkliste zum Datenschutz