Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

Digitale Patientendaten erfordern Zugriffskontrolle, Apothekenverantwortung verlangt Systemklarheit, Versicherungsschutz braucht Präzision

Wie die ePA gesetzliche Zugriffsregeln neu definiert, Apotheken in haftungsrelevante Verantwortung führt und Cyber- wie Vertrauenspolicen wirtschaftliche Resilienz stützen

Apotheken-News von heute

Seit Januar 2025 sind Apotheken über die Telematikinfrastruktur automatisch an die elektronische Patientenakte (ePA) angebunden, was ihnen einen lesenden Zugriff auf Medikationsdaten innerhalb eines festgelegten Zeitfensters ermöglicht, doch dieser technische Fortschritt bringt neue rechtliche Pflichten, datenschutzrechtliche Verantwortlichkeiten und wirtschaftliche Risiken mit sich, denn sobald Apotheken auf Patientendaten zugreifen, gelten DSGVO-Auskunfts- und Sicherungspflichten, Haftungsgrundlagen bei Fehlkonfiguration oder Missbrauch und Meldeverpflichtungen im Schadenfall, während klassische Versicherungen diese neuen Risikolagen oft nicht abdecken und deshalb spezialisierte Cyber- sowie Vertrauensschadenversicherungen notwendig werden, um digitale Angriffe, Systemausfälle oder interne Delikte wie Betrug oder Abrechnungsmanipulation wirtschaftlich abzusichern, weshalb ein strukturiertes Risikomanagement und eine differenzierte Versicherungsstrategie zur unverzichtbaren Voraussetzung einer betriebswirtschaftlich stabilen Apothekenführung im Kontext der ePA-Anbindung werden.

Mit der bundesweiten Einführung der elektronischen Patientenakte (ePA) zum 15. Januar 2025 und dem verpflichtenden Anschluss aller Leistungserbringer ab dem 1. Oktober 2025 ist ein wesentlicher Schritt zur Digitalisierung des deutschen Gesundheitswesens erfolgt. Die Einführung erfolgt im Opt-out-Verfahren, das bedeutet: Sofern kein aktiver Widerspruch eingelegt wird, erhalten gesetzlich Versicherte eine ePA, deren Inhalte von ärztlichen Befunden über Medikationspläne bis hin zu Impf- und Mutterpass reichen. Apotheken sind gemäß § 341 SGB V Teil der gesetzlich eingebundenen Leistungserbringer und erhalten über die Telematikinfrastruktur (TI) Zugriff auf die elektronische Medikationsliste (eML). Die Zugriffsberechtigung ist technisch definiert: Sie beginnt mit dem Einlesen der elektronischen Gesundheitskarte (eGK) und gilt standardisiert für drei Kalendertage, sofern keine individuelle Verlängerung durch den Versicherten erfolgt. Eine PIN ist nicht erforderlich, wenn das Apothekenpersonal über eine gültige SMC-B-Karte und ein zertifiziertes Kartenterminal verfügt. Die Zugriffe werden protokolliert und unterliegen der Transparenz- und Auskunftspflicht gemäß DSGVO Art. 15, 30 und 33.

Für Apotheken ergibt sich daraus keine aktive Pflicht zur Befüllung der ePA, jedoch eine Aufklärungspflicht hinsichtlich der vorgenommenen Datenzugriffe. E-Rezepte, die eingelöst werden, übertragen relevante Informationen automatisch an die Medikationsliste, sofern der Versicherte dies gestattet. Das betrifft insbesondere Wechselwirkungen, Dosierungen und Wirkstoffklassifizierungen, die in der eML sichtbar gemacht werden. Apotheken erhalten damit Einblick in potenziell haftungsrelevante Medikationshistorien. Laut ABDA-Fachinformation ist eine eigenständige Befüllung der Akte rechtlich nicht vorgesehen. Das gesetzliche Modell basiert auf dem passiven Zugriff innerhalb des sogenannten „Behandlungskontextes“, der im Einzelfall durch das Apothekenpersonal sicherzustellen ist. Die juristische Pflicht zur Kontrolle, Aufbewahrung und physikalischen Sicherung der Zugriffsinfrastruktur (Konnektor, Kartenterminal, SMC-B, HBA) ist im Endnutzervertrag mit der Gematik geregelt, insbesondere in § 5 Abs. 3 und § 9 Abs. 1. Die TI-Zugänge müssen gegen unbefugten Zugriff, Manipulation und technische Störung geschützt sein.

Sicherheitsanalysen durch das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) haben im Jahr 2024 erhebliche Lücken in der Implementierung durch verschiedene Anbieter offengelegt. Laut einem Bericht vom September 2024 wurden 21 Schwachstellen identifiziert, von denen vier als „hoch“ eingestuft wurden. Der Chaos Computer Club (CCC) verweist auf unzureichende Transportverschlüsselung, mangelhafte API-Authentifizierung und unklare Token-Gültigkeitsmechanismen. Die Gematik hat eine Priorisierung der Behebung dieser Schwachstellen angekündigt, einschließlich verpflichtender Software-Updates und Auditverfahren für Drittanbieter. Die Kritik betrifft vor allem Drittanbieter-Apps, die zur Steuerung der ePA durch Versicherte genutzt werden. Die ePA selbst unterliegt strengen Vorgaben nach § 307 SGB V sowie nach dem IT-Sicherheitsgesetz und der KRITIS-Verordnung in der jeweils gültigen Fassung.

In Folge dieser technischen und regulatorischen Verdichtung ergibt sich für Apotheken eine neue Risikokonstellation: Die klassische Betriebshaftpflichtversicherung deckt in vielen Fällen keine digitalen Schäden ab, die aus TI-Fehlfunktionen, Cyberangriffen oder Datenmanipulationen resultieren. Ebenso wenig greifen Inhaltsversicherungen, wenn ein Rezeptverlust nicht materiell, sondern digital erfolgt – etwa durch Verschlüsselungstrojaner oder gezielte Sabotage externer Akteure. Die Lösung liegt in spezialisierten Cyber-Versicherungen, die Risiken aus IT-gestützten Betriebsabläufen absichern. Diese Policen umfassen typischerweise Leistungen bei Datenschutzverletzungen, Systemausfall, Wiederherstellungskosten, Reputationsmanagement, Meldepflichten nach DSGVO Art. 33 sowie Vertragsstrafen bei Drittverletzungen. Sie ersetzen nicht die Betriebshaftpflicht, sondern ergänzen sie um die digitale Risikodimension. Apotheken mit aktiver E-Rezept-Anbindung, ePA-Zugriff und Online-Bestellsystemen gelten laut gängiger Policenstruktur als exponiert. Die empfohlene Mindestdeckungssumme liegt bei 1–2 Mio. Euro pro Schadensfall mit einer Selbstbeteiligung von 1.000–5.000 Euro je nach Risikoprofil.

Ein zweiter Versicherungsbaustein betrifft interne Vermögensdelikte: Die Vertrauensschadenversicherung deckt finanzielle Verluste durch vorsätzliche Handlungen eigener Mitarbeiter oder nahestehender Dritter. Hierzu zählen insbesondere Unterschlagung, Warenmanipulation, Rechnungsbetrug, Abrechnungsfälschung sowie sogenannte „Fake President“-Angriffe, bei denen Mitarbeitende zu Überweisungen auf externe Konten verleitet werden. Diese Versicherung greift dort, wo die Cyber-Police nicht leistet – etwa bei internen, nicht digitalen Delikten. Sie ist insbesondere dann relevant, wenn Apotheken mit hohem Warenumschlag, digitalem Rezeptmanagement oder Rezeptabrechnung über externe Rechenzentren arbeiten. Beide Policen – Cyber- und Vertrauensschadenversicherung – sind unabhängig voneinander kalkuliert und decken getrennte Schadensszenarien ab. Eine Überschneidung besteht nicht, wie aus Policenvergleichen führender Anbieter wie ApoRisk, Pharmasecur oder HDI hervorgeht.

Im versicherungstechnischen Risikoprofil gilt die Apotheke 2025 als digital vernetzte Gesundheitseinheit mit Mehrfachschnittstellen zu TI, eGK, Versicherten-Apps, Warenwirtschaft und Rezeptplattformen. Der Schutzbedarf hat sich dementsprechend erweitert: Nicht nur physische Schäden (Wasserschaden, Brand, Diebstahl) müssen versichert sein, sondern auch logische Fehlzustände, Reputationsschäden, Systemausfallkosten und interne Delikte. Der DAV sowie mehrere Landesapothekerkammern empfehlen daher eine Sommerprüfung bestehender Policen mit Fokus auf E-Rezept-Ausschlüsse, DSGVO-Deckungen, Online-Risiken und internen Delikten. Insbesondere ältere Policen vor 2022 enthalten häufig keine Deckung für TI-bedingte Systemrisiken, Fernzugriffe über VPN, Angriffe auf Botendienste oder Plattform-Zwischenhändler mit Zugriff auf Bestelldaten.

Die ePA wirkt somit nicht nur als digitaler Speicher medizinischer Informationen, sondern als Katalysator für betriebliche Sorgfaltspflichten, regulatorische Dokumentationsanforderungen und wirtschaftliche Absicherungslasten. Apotheken sind verpflichtet, technische Vorgaben korrekt umzusetzen, Zugriffsinformationen offen darzulegen und Patientendaten integritätsgesichert zu verwalten. Gleichzeitig bedarf es einer Versicherungspolitik, die diese Entwicklung nicht nur begleitet, sondern in ihren Deckungsstrukturen antizipiert. Ohne integrierte Cyber- und Vertrauenspolicen besteht die Gefahr eines wirtschaftlichen Totalschadens durch Einzeldelikte, wie verschiedene Fallbeispiele aus den Jahren 2022–2024 verdeutlichen. In der Summe ergibt sich ein neues Betriebsprofil der Apotheke als digital haftendes System, das betriebliche Sorgfalt, technische Resilienz und versicherungslogische Präzision gleichermaßen verlangt.

Diese Analyse zu gesetzlichen Zugriffspflichten, technischen Rahmenbedingungen, haftungsrelevanten Systemverantwortungen und versicherungsbasierten Präventionsinstrumenten steht exemplarisch für die redaktionelle Klarheit, systemische Tiefenschärfe und sachliche Neutralität, mit der ApoRisk seine Berichte erstellt – faktenbasiert, richtungsweisend und risikobewusst.

Von Engin Günder, Fachjournalist

Recherchiert und ausgearbeitet im redaktionellen Auftrag von ApoRisk®, dem Fachmakler für versicherbare Apothekenrisiken mit Sitz in Karlsruhe. Der journalistische Bericht entstand unabhängig, faktenbasiert und nach den geltenden Standards publizistischer Sorgfaltspflicht.

Quellenangaben

Die rechtlichen und technischen Grundlagen zur elektronischen Patientenakte (ePA) stützen sich auf die offiziellen Veröffentlichungen des Bundesministeriums für Gesundheit, insbesondere im Kontext des Patientendaten-Schutz-Gesetzes (PDSG) und der Vorgaben zur Telematikinfrastruktur nach § 307 und § 341 SGB V. Ergänzend wurden die Zugriffspflichten und Informationsvorgaben für Apotheken durch die ABDA in aktualisierten Fachinformationen zur ePA erläutert, veröffentlicht über das zentrale IT-Portal der Apothekerschaft. Für die technische Sicherheitsbewertung wurde die Sicherheitsanalyse des Fraunhofer-Instituts für Sichere Informationstechnologie SIT aus dem dritten Quartal 2024 herangezogen, die im Auftrag des Chaos Computer Clubs (CCC) durchgeführt und öffentlich kommentiert wurde. Versicherungsbezogene Aussagen basieren auf Policen- und Produkterläuterungen der spezialisierten Anbieter ApoRisk und PharmSecur, insbesondere im Bereich Cyber- und Vertrauensschadenversicherung für Apothekenbetriebe. Darüber hinaus wurden Fachveröffentlichungen zur Auslegung der DSGVO, insbesondere Art. 30 und 33 zur Dokumentations- und Meldepflicht bei Zugriffen auf personenbezogene Gesundheitsdaten, im Lichte apothekenrechtlicher Anwendungspraxis berücksichtigt. Die Aussagen zu wirtschaftlichen Risiken und Schadenbeispielen basieren auf branchenspezifischer Auswertung anonymisierter Versicherungsfälle zwischen 2022 und 2024 aus dem ApoRisk-Konsortialnetz.

Zurück zur Übersicht