Cyber Risk ApothekeDatenschutz ist Chefsache

Seit dem 28. Mai 2018 hat jedes Unternehmen ein sogenanntes Informationssicherheitsmanagementsystem vorzuhalten, soweit in den Unternehmen, Praxen und Apotheken personenbezogene Daten von Kunden oder Patienten verarbeitet werden. Die EU-Datenschutzgrundverordnung setzt dabei auf die Eigenverantwortlichkeit von Unternehmen. Das heißt, dass jedes Unternehmen aufgrund einer Risikoanalyse den entsprechenden Handlungsbedarf selbst ermitteln und auch umsetzen muss.

Cyber-Risiken gibt es viele – und fast täglich kommen neue hinzu. Sie stellen eine ernstzunehmende Gefahr für Gesundheitsdienstleister wie auch für andere Unternehmen dar. In besonders schlimmen Fällen kann sogar die Existenz eines Betriebs infrage gestellt werden. Zur besseren Orientierung lassen sich Cyber-Risiken in die folgenden sechs Gruppen einteilen:
  1. Haftpflichtschäden, die versehentlich ausgelöst wurden durch online-Übertragungen aus der Apotheke. Das passiert meist durch kontaminierte E-Mails, die beim Empfänger Schäden anrichten. Diese sind in aller Regel durch die bestehende Betriebshaftpflichtversicherung gedeckt.
    Unser Tipp: Es empfiehlt sich dringend, diese Deckung zu überprüfen, ob sie besteht und wenn ja, ob die Versicherungssumme hinreichend ist. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
  2. Eigenschäden, die verursacht wurden beispielsweise durch das versehentliche Öffnen einer Phishing-Mail. Inbegriffen sind auch Ertragsausfälle durch Datenverlust und IT-Defekte nach online-Attacken. Des Weiteren sind Aufwendungen für Cyber-Erpressungen oder für die Behebung von Datenverlusten aufgrund von Hackerangriffen abgesichert.
  3. Vermögensschäden, die auftreten nach Angriffen und Fehlern bei eingesetzten Kreditkartenterminals und anderen online-Bezahlsystemen. Hier werden schnell hohe Entschädigungen fällig. Abgesichert sind ebenso die Kosten für Datenwiederherstellungen bis hin zum kompletten Ersatz der Apotheken-IT, wenn Reparaturen nicht mehr möglich sind.
  4. Bedienungsfehler durch Mitarbeiter sind eine der Hauptursachen für Probleme mit der IT oder gar die gefürchteten Datenschutzverletzungen. Das reicht von der unbeabsichtigten Aktivierung einer Schadsoftware über die Infizierung der Apotheken-EDV mit Viren oder Trojanern durch externe Datenspeicher oder ungeschützte Internet-Downloads bis zum Einstellen von sensiblen Daten in soziale Netzwerke. Gegen Routine oder Leichtsinn ist kaum ein Kraut gewachsen. Diese Gefahren sind daher allgegenwärtig und dürften wohl schon in fast jeder Apotheke aufgetreten sein.
  5. Schadenersatzansprüche nach Datenschutzverletzung durch ein IT-Leck oder Datenabschöpfung durch Hacker. Das Risiko beginnt mit nicht vernichteten Rezepten und endet mit dem Datenverlust aller Kundendaten. Jeder einzelne Geschädigte hat dann Anspruch auf Schadenersatz – und das ist nicht Teil der Deckung von Betriebshaftpflichtversicherungen.
  6. Obligenheitsverletzungen durch Nichtbeachten der Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO). Insbesondere die 72-Stunden-Frist für Meldungen an Aufsichtsbehörden und Kunden dürfte hier für fast jede Apotheke zur Stolperfalle werden – und bei Verstößen drohen hohe Strafen. Mehr

Die Punkte zwei bis fünf sind in den bisherigen Basis-Policen der Apotheken in aller Regel nicht eingeschlossen. Deshalb empfiehlt sich der Abschluss einer Cyber-Risk-Police für Apotheken. 

Ob das auch für Ihre Absicherung gilt, prüfen wir Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Nichts geht mehr ohne Datenschutzbeauftragten

apotheken cyber risiko datenschutz chefsache topsecret DenPhaMed

Die DSGVO verfügt auch, dass ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte zu benennen ist. Hier stehen Apotheken zwei Möglichkeiten offen: Zum einen kann eine interne Lösung gefunden werden. Das heißt: Ein Mitarbeiter oder eine Mitarbeiterin übernimmt diese Funktion. Zum anderen kann ein externer Experte als Datenschutzbeauftragter installiert werden. Betriebe, die keinen Datenschutzbeauftragten oder Datenschutzbeauftragte haben, verstoßen gegen die Datenschutz-Grundverordnung.

Für Unternehmen bis zu neun mit der Datenverarbeitung befassten Mitarbeitern ist die Meldung nicht zwingend vorgeschrieben, dann ist aber der Inhaber oder die Inhaberin automatisch mit der Verantwortung eines Datenschutzbeauftragten betraut. Mehr



Im Zweifel haftet immer der Unternehmer

Die Verantwortlichkeit für die Umsetzung liegt also in jedem Fall bei dem Unternehmer, auch dann, wenn ein Dienstleister mit der Erstellung eines Informationsmanagementsystems beauftragt wurde und ein Datenschutzbeauftragter bestellt und benannt wurde. Insofern liegt auch bei allen Verstößen gegen die Verordnung das Haftungsrisiko beim Unternehmer. Denn der Unternehmer ist dazu verpflichtet, seine Mitarbeiter anzuweisen, die Regelungen des Gesetzes zu erfüllen und hat dies entsprechend zu dokumentieren.

Das Problem sitzt oft vor dem Bildschirm

Hier ist anzumerken, dass Verstöße im Datenschutz oft durch Fehler, Unachtsamkeiten oder Sorglosigkeiten seitens der Mitarbeiter verursacht werden. Doch mindestens ebenso häufig unterlaufen Verletzungen der Datenschutzrichtlinien aufgrund von Zeitknappheit, Stress oder Routine. Ganz klar haben die allermeisten Datenschutzverletzungen trotz all der Hacker, Viren und Trojaner keinen kriminellen Hintergrund, sondern sind einfach nur der Arbeitsweise, der Arbeitsbelastung oder dem Arbeitsalltag geschuldet. Und niemand, auch Chef und Chefin nicht, ist dagegen gefeit. 

apotheken cyber risiko datenschutz chefsache DenPhaMedDennoch: Auch für diese Verstöße haftet zunächst der Unternehmer. Insofern obliegt es dem Unternehmer, bei seinen Mitarbeitern ein entsprechendes Problembewusstsein zu schaffen, um Fehler zu vermeiden. Es empfiehlt sich, Informationen zum Datenschutz möglichst detailliert weiterzugeben. Zudem sollte man Mitarbeiter darauf aufmerksam machen, dass auch sie bei Verstößen gegebenenfalls mit haftbar gemacht werden können. Auch wenn es im konkreten Einzelfall schwerfallen wird, die Verantwortung eines Mitarbeiters oder einer Mitarbeiterin zu beweisen.

Ähnlich sieht es aus bei Verstößen gegen die EU-Datenschutzgrundverordnung, die von einem Dienstleister oder einem externen Datenschutzbeauftragten zu verantworten sind. Auch hier dürfte es schwerfallen, die handelnden Personen haftbar zu machen. Denn beispielsweise Datenschutzbeauftragte sollen lediglich Hilfestellung für die Umsetzung der Vorschriften leisten und der Unternehmensleitung unterstützend zur Seite stehen. Deshalb ist Datenschutz in Zukunft immer Chefsache.

Die Forderungen der Verordnung sind – insbesondere im Schadensfall – für Laien kaum vollständig umzusetzen, so dass professionelle Hilfe im Rahmen der IT-Sicherheit und Erstellung eines Informationssicherheitsmanagementsystems oft von Nöten ist. Einen weiteren Überblick über die Thematik und wichtige Literaturtipps für Unternehmer und ihre Datenschutzbeauftragten finden Sie hier

Oder Sie sparen sich die sperrige Lektüre und "buchen" stattdessen einen eigenen kostenlosen Erstberatungs-Telefontermin mit einem unserer Datenschutzexperten. Anfrage Checkliste zum Datenschutz