IT-Sicherheit wird zum Haftungsrisiko für Apothekeninhaber
Auf Apotheken kommen große Aufgaben und auf Inhaber kommt ein neues persönliches Risiko zu. Um was geht es? Derzeit läuft in Deutschland ein parlamentarisches Verfahren zum "NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz". Es wird erwartet, dass die Beratungen im ersten Halbjahr 2025 abgeschlossen werden. Die ABDA informiert in diesem Zusammenhang über ein sensibles Thema der EU-Richtlinie: Demnach haftet eine Geschäftsleitung für Schäden durch Cyberangriffe, wenn die Apotheke schlecht oder überhaupt nicht auf digitale Attacken vorbereitet war. Apotheken-Inhaber haften damit persönlich. Voraussetzung ist natürlich, dass die Apotheke unter die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) bzw. ihre Umsetzung in Deutschland fällt.
ADBA: Meldefristen sind nicht einzuhalten
Bislang sind Apotheken von der ersten NIS-Richtlinie aus dem Jahr 2016 praktisch nicht betroffen. Doch das ändert sich mit der Neuerung. Denn unter die Neuregelung sollen Unternehmen ab 50 Mitarbeitern oder bei einem Jahresumsatz von mehr als zehn Millionen Euro fallen. Laut ABDA sind das 1,5 Prozent aller Apotheken in Deutschland (Stand 2023). Tendenz steigend, da in der Apothekenbranche eine fortlaufende Konzentration zu beobachten ist. In einer Stellungnahme kritisiert die ABDA, dass durch die Ausweitung der Maßnahmen ein erheblicher administrativer und monetärer Aufwand von den betroffenen Apotheken abverlangt werde. Zudem sind laut ABDA die geplanten Meldepflichten mit sehr kurzen Meldefristen für Apotheken nicht einzuhalten.
Genau hier können wir helfen – mit einer Cyber-Versicherung, die auch eine fristgerechte und ordnungsgemäße Erfüllung von Meldepflichten durch spezialisierte Rechtsanwälte zur Verfügung stellt.
Auch DSGVO enthält unrealistische Meldefristen
Übrigens: Eine Unterstützung zur fristgerechten Meldung von Datensicherheitsverletzungen ist aus unserer Sicht auch heute schon für alle Apotheken notwendig. Denn die europäische Datenschutz-Grundverordnung (DSGVO) fordert nach Hackerangriffen und Cyber-Attacken eine Meldung an Behörden und betroffene Kunden innerhalb von 72 Stunden. Das betrifft schon heute jede Apotheke, weil Gesundheitsdaten, wie sie in Apotheken verarbeitet werden, eindeutig sensible Daten sind.
Weitere Informationen: