Datenschutz ist Chefsache

Cyber-Risiken oft nicht adäquat versichert


Seit im Mai 2018 die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft getreten ist, müssen alle Unternehmen, Praxen und Apotheken, die brisante Kunden- oder Patientendaten verarbeiten, ein sogenanntes Informationssicherheitsmanagement-system einsetzen. Dabei muss jedes Unternehmen seinen Handlungsbedarf im Rahmen einer Risikoanalyse eigenverantwortlich ermitteln und dementsprechend umsetzen. Das ist für Apotheken-Inhaber eine besonders schwierige Herausforderung, denn es gibt zahlreiche Cyber-Risiken und mit zunehmender Digitalisierung kommen ständig neue dazu. Allgemein lassen sich diese in sechs Gruppen einteilen:

  • Haftpflichtschäden, die unbeabsichtigt durch Online-Übertragungen aus der Apotheke verursacht wurden. Das können etwa virenverseuchte E-Mails sein, die beim Empfänger das gesamte System lahmlegen. In der Regel sind solche Schäden durch die Betriebshaftpflicht abgedeckt. Dabei gilt es aber zu überprüfen, ob die Deckung tatsächlich Bestandteil der Police ist und eine ausreichend hohe Versicherungssumme veranschlagt wurde.
  • Eigenschäden, die beispielsweise durch das Öffnen eines Mailanhanges mit Virus oder Trojaner zustande kommen. Inbegriffen sind hierbei auch Ertragsausfälle durch Datenverlust und IT-Schäden nach Online-Attacken sowie Kosten, die bei Cyber-Erpressungen oder für die Wiederherstellung verlorener Daten anfallen.
  • Vermögensschäden, die etwa durch einem Cyberangriff oder Fehler bei Online-Bezahlsystemen auftreten. Das kann Forderungen von hohen Entschädigungssummen nach sich ziehen. Ebenfalls abzusichern sind hier die Kosten für Datenwiederherstellungsmaßnahmen oder für die Erneuerung der Apotheken-IT, sofern eine Reparatur nicht mehr möglich ist.
  • IT-Probleme und Datenschutzverletzungen entstehen häufig durch Bedienungsfehler der Mitarbeiter. Das Spektrum reicht von der unwissentlichen Aktivierung einer Schadsoftware über das ungewollte Einschleusen von Viren und Trojanern in das Apothekensystem durch Nutzung externer Speichermedien oder unsicheren Downloads aus dem Internet bis hin zum versehentlichen Einstellen brisanter Daten in soziale Netzwerke.
  • Schadensersatzansprüche sind meist die Folge von Datenschutzverletzungen aufgrund von Sicherheitslecks in der Apotheken-IT oder Datenklau durch Hacker. Jeder Geschädigte hat in einem solchen Fall einen Anspruch auf Schadensersatz und hier greifen Betriebshaftpflichtversicherungen in der Regel nicht.
  • Obliegenheitsverletzungen entstehen durch Missachtung der EU-DSGVO-Vorschriften wie etwa die Nichteinhaltung der 72-Stunden-Frist für Meldungen von Schäden an die zuständigen Behörden und betroffenen Kunden. Hier drohen am Ende bei Verstößen hohe Strafen.

Die üblichen Basis-Versicherungen der Apotheken decken die meisten dieser Risiken nicht ab, sodass für Apotheken-Inhaber kaum ein Weg am Abschluss einer speziellen Cyber-Risk-Police vorbeiführt. Hier ist eine gute Beratung durch den Fachmann schon die halbe Miete!

Datenschutzbeauftragter gehört zum Pflichtprogramm


Die EU-DSGVO verlangt auch den Einsatz eines Datenschutzbeauftragten im Unternehmen. Das kann jemand aus dem internen Umfeld oder ein externer Experte sein. Arbeiten weniger als zehn Mitarbeiter mit personenbezogenen Daten, hat der Apotheken-Inhaber automatisch die Funktion des Datenschutzbeauftragten inne. Für die Umsetzung der DSGVO-Anforderungen sind Apotheker und Apothekerinnen grundsätzlich selbst verantwortlich. Das gilt auch, wenn ein externer Dienstleister die Erstellung eines Informationssicherheitsmanagementsystems übernimmt und ein Datenschutzbeauftragter bestellt wurde. Bei Verstößen gegen die Verordnung liegt das Haftungsrisiko stets beim Inhaber, der deswegen auch unbedingt dafür sorgen muss, dass seine Mitarbeiter die gesetzlichen Anforderungen erfüllen. Damit ist eines ganz klar: Datenschutz ist reine Chefsache!

Oft sind Mitarbeiter die Fehlerquelle


Die meisten Verstöße gegen Datenschutzregelungen gehen auf das Konto von Mitarbeitern. Unachtsam- und Sorglosigkeit, aber auch Stresssituationen, Zeitmangel und zu viel Routine führen häufig zu Fehlern und davor kann sich auch der Chef nicht schützen. Die meisten Datenschutzverletzungen sind also trotz der Bedrohung durch Hacker, Viren, Trojaner & Co. den Belastungen im Arbeitsalltag und einer unzuverlässigen Arbeitsweise geschuldet. Aufgabe des Apotheken-Inhabers ist daher, bei seinen Mitarbeitern durch ausführliche Belehrungen zum Thema Datenschutz ein Problembewusstsein zu schaffen und ihnen unmissverständlich klar zu machen, welche Folgen Verstöße für ihn als Arbeitgeber und damit auch für sie selbst als Mitarbeiter haben können. Die Umsetzung der sehr umfangreichen Datenschutzgrundverordnung ist für Apotheker und Apothekerinnen in der Regel kaum zu schaffen, sodass im Rahmen der IT-Sicherheit und Erstellung des geforderten Informationssicherheits-managementsystems meist auf professionelle Unterstützung zurückgegriffen werden muss.

Beratung zur Apotheken-Versicherung vereinbaren


Bei der Apotheken-Versicherung gilt es einige Fallstricke zu vermeiden. Über nachfolgenden Button können Sie eine Beratung zu diesem Thema anfragen.

Markus Fischer hat 4,89 von 5 Sternen 246 Bewertungen auf ProvenExpert.com