Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

Apotheken-News: Datenpanne im System, Vertrauensbruch im Betrieb, Versicherungsnotwendigkeit im Apothekenalltag

Wie das BAG-Urteil zur DSGVO neue Maßstäbe setzt, warum Apotheken sensible Personaldaten stärker schützen müssen und welche Rolle Cyber- und Vertrauensschadenversicherungen im Kampf gegen digitale Betriebsrisiken spielen

Ein BAG-Urteil zur DSGVO markiert einen Wendepunkt im Datenschutz: Schon ein kleiner Kontrollverlust über Mitarbeiterdaten kann einen einklagbaren Schaden darstellen – unabhängig vom materiellen Nachweis. Für Apotheken bedeutet das eine klare Pflicht zur internen Neuausrichtung. Die alltägliche Verarbeitung sensibler Informationen wie Dienstpläne, Krankmeldungen oder Gehaltsdaten birgt rechtliche Risiken, wenn Daten ohne eindeutige Rechtsgrundlage verarbeitet oder testweise an Dritte weitergegeben werden. Besonders gefährlich wird es, wenn Cloudlösungen oder externe Anbieter involviert sind, denn dann droht Haftung auch ohne böse Absicht. Vor diesem Hintergrund gewinnen spezialisierte Versicherungen wie Cyber-Versicherung und Vertrauensschadenpolice dramatisch an Bedeutung – sie sichern nicht nur Daten, sondern auch das wirtschaftliche Überleben des Betriebs, wenn die DSGVO zur finanziellen Realität wird.

Ein Testlauf mit Echtdaten, eine Betriebsvereinbarung mit Grenzen, ein Rechtsverstoß mit weitreichenden Folgen: Das Bundesarbeitsgericht hat mit seinem Urteil vom 8. Mai 2025 (Az. 8 AZR 209/21) eine Schwelle überschritten, die nicht nur juristische Präzedenzkraft entfaltet, sondern operative Konsequenzen für jedes Unternehmen nach sich zieht – insbesondere für Apotheken, die im täglichen Betrieb mit sensiblen Mitarbeiter- und Patientendaten umgehen. Der Fall, in dem ein Konzern personenbezogene Echtdaten zur Erprobung einer HR-Software an die Konzernmutter übermittelte, obwohl die Betriebsvereinbarung dies nicht zuließ, hat die Grundsatzfrage neu gestellt: Wann ist ein Datenverstoß bereits ein Schaden – und wie schützt man sich wirksam vor daraus resultierenden Haftungsrisiken?

Der Europäische Gerichtshof hatte im Dezember 2024 vorgelegt: Es bedürfe keiner materiellen Vermögenseinbuße, um einen Schaden im Sinne von Art. 82 DSGVO anzunehmen – der Verlust der Kontrolle über eigene Daten genüge bereits. Das BAG folgte dieser Linie und entschied auf eine Entschädigung von 200 Euro, obwohl die Vorinstanzen die Klage zunächst abgewiesen hatten. Der Betrag mag gering erscheinen, doch das Urteil ist ein rechtliches Fanal: Datenschutz ist kein Goodwill, sondern einklagbare Rechtsposition. Wer gegen interne Datenschutzregeln verstößt, haftet. Und zwar nicht abstrakt – sondern konkret, individuell, nachvollziehbar.

Gerade in Apotheken ist dieser Leitsatz keine akademische Größe, sondern Alltag. Die Betriebsorganisation in Apotheken umfasst zahlreiche personenbezogene Datensätze: Arbeitszeitmodelle, Krankmeldungen, Abrechnungen, Impf- und Fortbildungsnachweise, Zugriffsrechte auf Kassen- und Lagerdaten, persönliche Cloudzugänge und dienstliche Mailadressen. Sobald diese Informationen unautorisiert verarbeitet, gespeichert oder weitergeleitet werden – ob im Rahmen von Softwaretests, Mitarbeiteraustauschprogrammen, Servermigrationen oder betriebsübergreifender Kooperationsmodelle –, geraten Apothekenbetriebe ins Zentrum datenschutzrechtlicher Haftung. Und damit ins Fadenkreuz einer Entwicklung, die mit zwei Anforderungen einhergeht: Prävention durch interne Strukturkontrolle – und Absicherung durch externe Versicherungsmodelle.

Denn was bislang unter „organisatorischem Risiko“ verbucht wurde, ist längst zum Haftungsschaden mutiert. Die DSGVO greift nicht erst bei grobem Fehlverhalten, sondern bereits bei formalen Regelabweichungen – und das Urteil des BAG zementiert diesen Maßstab. Für Apotheken ergibt sich daraus eine doppelte Pflicht: Erstens müssen alle Verarbeitungsvorgänge mit Mitarbeiterbezug sauber dokumentiert, geprüft und auf ein rechtlich tragfähiges Fundament gestellt werden. Zweitens aber – und das ist die wirtschaftlich entscheidende Komponente – müssen sich Apothekenbetriebe gegen die finanziellen Folgen von Datenschutzverletzungen absichern, die auch bei scheinbar marginalen Verstößen eintreten können. Die klassische Betriebshaftpflicht deckt solche Risiken nicht ab. Gefragt sind spezialisierte Versicherungen, die auf digitale, strukturelle und personale Sicherheitslücken reagieren.

Im Zentrum stehen zwei Policen: die Cyber-Versicherung und die Vertrauensschadenversicherung. Erstere springt ein, wenn etwa durch Ransomware-Angriffe, Datenlecks oder Systemausfälle vertrauliche Informationen nach außen dringen oder Betriebsprozesse kompromittiert werden. Die zweite greift dort, wo innerbetriebliche Fehlhandlungen – sei es durch Mitarbeitende, sei es durch Dritte im Apothekenumfeld – zu Vermögensschäden führen. Beide Versicherungen ergänzen sich funktional und sind im digitalen Apothekenbetrieb längst keine Option mehr, sondern strategische Notwendigkeit.

Denn was viele unterschätzen: Datenschutzvorfälle entstehen nicht nur durch Hackerangriffe oder externe Angriffe auf Patientendaten, sondern durch Alltagsfehler im Personalbereich – fehlerhafte E-Mail-Verteiler, offene Mitarbeiterakten, nicht autorisierte Softwaretests mit Echtdaten, ungesicherte Dienstzugänge bei Urlaubsvertretung. All das kann zu DSGVO-Verstößen führen, die ein individuelles Schmerzensgeld auslösen – oder im Kollektiv zu Sammelklagen anwachsen. Selbst wenn das BAG in seinem Urteil nur 200 Euro zusprach: Dieser Betrag wird zur Multiplikationsgrundlage, sobald mehrere Mitarbeitende betroffen sind oder Folgeklagen auf dieselbe Rechtsgrundlage Bezug nehmen. Der Schaden liegt dann nicht mehr im Symbolischen – sondern in der betriebswirtschaftlichen Realität.

Apothekeninhaber sind daher gezwungen, ihre Datenverarbeitung neu zu denken. Wer Daten zentral speichert, muss Verschlüsselungsprotokolle etablieren. Wer cloudbasierte Personalsoftware einsetzt, muss prüfen, wo sich die Server befinden und welche Datenschutzstandards der Anbieter erfüllt. Wer Daten testweise an Dritte weitergibt, muss nicht nur technische, sondern vor allem rechtliche Prüfungen nachweisen können. Der entscheidende Punkt ist: Auch gute Absicht schützt nicht vor Haftung. Selbst ein Testlauf mit echtem Datenmaterial, der zu Demonstrationszwecken dient, wird als DSGVO-Verstoß geahndet, wenn keine eindeutige rechtliche Grundlage dafür besteht.

Hier schließt sich der Kreis zur Versicherungsstrategie: Die beste Verteidigung ist nicht immer nur die technische Vorsorge, sondern die flankierende finanzielle Absicherung. Cyber-Versicherungen decken heute nicht nur IT-Risiken ab, sondern beinhalten oft auch juristische Notfallservices, Reputationsmanagement und direkte Unterstützung bei DSGVO-Vorfällen. Vertrauensschadenversicherungen übernehmen Vermögensverluste, die durch Fehlverhalten innerhalb des Teams entstehen – etwa wenn vertrauliche Daten trotz interner Anweisung weitergegeben werden oder digitale Zugangsschlüssel leichtfertig verwendet werden.

In einem regulierten Umfeld wie dem Gesundheitswesen, in dem Betriebsprüfungen, Datenschutzkontrollen und arbeitsrechtliche Eskalationen zur Realität gehören, sind diese Policen kein Luxus, sondern Schutzschirm. Das BAG hat mit seinem Urteil nur ein einzelnes Kapitel aufgeschlagen – aber das Thema ist ein ganzes Buch. Und Apotheken tun gut daran, dieses Buch nicht erst zu lesen, wenn die Klage im Briefkasten liegt, sondern jetzt die Kapitel zu schreiben: über klare Datenschutzprotokolle, verbindliche Mitarbeiterschulungen, explizite Betriebsvereinbarungen – und eine Versicherungsstruktur, die nicht reaktiv, sondern strategisch gedacht ist.

Von Engin Günder, Fachjournalist

Zurück zur Übersicht