Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Presse:

Cyberpflicht, Meldefristen und Haftungsrisiken fordern endlich realistische Schutzkonzepte

Digitale Bedrohung trifft Apotheken an ihrer schwächsten Stelle

15. Mai 2025

Apotheken bewegen sich in einem digitalen Spannungsfeld zwischen gesetzlicher Versorgungspflicht, Datenschutzvorgaben und rasant wachsender IT-Abhängigkeit. Mit der Einführung des E-Rezepts, des Anschlusses an Telematik-Infrastruktur und der zunehmenden Automatisierung von Betriebsprozessen geraten viele Apothekenbetriebe in eine kritische Lage. Denn mit der Digitalisierung steigen auch die Risiken: Hackerangriffe, Datenlecks, Systemausfälle und gezielte Erpressungstrojaner sind längst keine Seltenheit mehr. Die gesetzlichen Meldepflichten, etwa nach DSGVO oder dem künftigen NIS-2-Gesetz, lassen den Betrieben dabei kaum Zeit zur Reaktion. Wer hier keine strukturierte Absicherung besitzt, riskiert nicht nur technische Ausfälle, sondern auch rechtliche Konsequenzen bis hin zur persönlichen Haftung der Apothekenleitung. Eine spezialisierte Cyberversicherung bietet nicht nur finanziellen Schutz, sondern stellt im Ernstfall IT-Forensik, juristische Ersthilfe, Reputationsmanagement und Meldeunterstützung zur Verfügung. Sie wird damit zum systemrelevanten Element der Apothekenstruktur.

Der digitale Wandel hat den Apothekenbetrieb in den vergangenen Jahren grundlegend verändert. Mit der Einführung des E-Rezepts, der fortschreitenden Vernetzung über die Telematik-Infrastruktur und dem Einsatz cloudbasierter Warenwirtschaftssysteme ist aus dem vormals analogen Rezeptbetrieb ein datengetriebenes, komplex vernetztes Versorgungssystem geworden. Was in der politischen Debatte als „Digitalfortschritt“ verkauft wird, bedeutet für viele Apotheken eine massive Verschärfung der Risikoarchitektur. Die größte Schwachstelle liegt dabei nicht in der Technik, sondern in der Absicherung: Cyberversicherungen sind in der öffentlichen Wahrnehmung weiterhin Randprodukte – dabei entscheidet ihre Existenz längst darüber, ob ein Betrieb nach einem Vorfall überlebt oder kollabiert.

Der Umfang der Bedrohung lässt sich weder theoretisch verharmlosen noch praktisch ignorieren. Apotheken verarbeiten Gesundheitsdaten, sie speichern Rezepthistorien, Impf- und Medikationspläne, sie interagieren mit Krankenkassen, Ärzten und Heimen über digitale Schnittstellen. Ein Systemausfall betrifft nicht nur den Umsatz, sondern unmittelbar die Versorgung. Und mit jeder neuen gesetzlichen Anforderung – ob durch das Digitale-Versorgung-Gesetz, die DSGVO oder die geplante Umsetzung der europäischen NIS-2-Richtlinie – verschärft sich die rechtliche Lage für Apothekenleitungen, die im Ernstfall für Versäumnisse in der IT-Sicherheit und für meldepflichtige Datenpannen haftbar gemacht werden können. Die Frist zur Meldung einer Datenschutzverletzung beträgt 72 Stunden – sie läuft unabhängig vom Zustand des Systems.

Dabei sind Apotheken keine Großunternehmen mit interner Rechtsabteilung und IT-Abwehrzentrum. In der Regel handelt es sich um mittelständische Einheiten mit limitierten Ressourcen, ohne Chief Information Officer, ohne Krisenteam. Kommt es zu einem Vorfall – etwa durch Ransomware, einen Systemfehler, einen unbefugten Zugriff oder eine fehlerhafte Rezeptübermittlung –, fehlen oft technische Protokolle, forensische Expertise und rechtliche Erstberatung. Die Folge ist eine unvollständige oder verspätete Meldung, die wiederum den Versicherungsschutz gefährdet, Bußgelder nach sich zieht und die operative Handlungsfähigkeit weiter einschränkt. Ohne strukturierte Absicherung ist der Rückweg zur Normalität versperrt.

Genau hier setzen spezialisierte Cyberversicherungen an. Sie sind kein rein finanzieller Ausgleichsmechanismus, sondern ein strukturierter Schutzschirm, der dem Apothekenbetrieb konkrete Hilfe zur Selbsthilfe bietet. Im Idealfall umfasst eine solche Police neben klassischen Kompensationen auch ein Netzwerk aus Incident-Response-Spezialisten, Datenschutzanwälten, PR-Krisenteams und IT-Dienstleistern, die im Schadensfall aktiv eingreifen, Prozesse sichern und Kommunikationspflichten übernehmen. Nur mit dieser Art von Soforthilfe lassen sich Schadenbegrenzung, Reputationsschutz und regulatorische Konformität in kurzer Zeit realisieren.

Ein unterschätzter Aspekt dabei ist die Regressgefahr. Apotheken, die Heime beliefern, ärztlich angebundene Medikationssysteme betreiben oder in digitalisierten Versorgungsnetzen eingebunden sind, haften nicht nur gegenüber Aufsichtsbehörden, sondern auch gegenüber Geschäftspartnern. Ein Ausfall, der zu Lieferverzögerungen, Therapieunterbrechungen oder Abrechnungsproblemen führt, kann juristisch als Pflichtverletzung gewertet werden. Die klassischen Policen decken solche Sekundärschäden nicht ab. Ohne gezielte Cyberhaftpflicht-Komponente drohen Klagen und Rückforderungen, die den Betrieb in eine finanzielle Schieflage zwingen. Auch hier zeigt sich: Versicherung muss nicht nur versprechen, sondern operativ wirksam sein.

Besonders brisant ist die Lage mit Blick auf das kommende NIS-2-Gesetz. Es erweitert die Pflichten zur IT-Sicherheit nicht nur auf „große Kritische Infrastrukturen“, sondern auf eine Vielzahl kleinerer Gesundheitsdienstleister. Die Anforderungen an technische Sicherheitsmaßnahmen, Notfallprozesse und Meldedisziplin steigen signifikant. Zugleich bleibt unklar, wie Apotheken die damit verbundenen Lasten ohne externe Hilfe tragen sollen. Eine moderne Cyberversicherung ist deshalb keine optionale Ergänzung, sondern notwendiger Bestandteil eines apothekengeeigneten Sicherheitskonzepts. Wer diese Absicherung vernachlässigt, riskiert mehr als nur Imageschäden – er verliert Handlungsfähigkeit, Rechtssicherheit und wirtschaftliche Substanz.

Zuletzt offenbart sich auch eine strukturelle Verantwortungslücke im Versicherungssystem selbst. Viele Apotheken nutzen nach wie vor veraltete Policen, die aus einer Zeit stammen, in der digitale Risiken kaum existierten. Versicherungsvermittler wiederum sind häufig nicht auf Apotheken spezialisiert und bieten standardisierte Deckungen an, die branchenspezifische Risiken wie Datenschutzverletzungen, Rezeptmanipulation oder Arzneimittelverwechs­lungen in digitaler Umgebung nicht erfassen. Der Abschluss einer Cyberpolice wird dabei als Zusatzleistung verkauft – obwohl sie die Grundlage für einen gesicherten Betrieb bildet. Diese Asymmetrie zwischen realem Bedarf und angebotenen Produkten gehört aufgebrochen.

Die Priorität einer Cyberversicherung liegt daher nicht in ihrer Zusatzfunktion, sondern in ihrer Systemrelevanz. Sie ist ebenso essenziell wie ein funktionierender Kommissionierautomat, ein fälschungssicheres Rezept oder eine GMP-konforme Laborhygiene. Denn sie sichert nicht nur den Apothekenbetrieb – sie schützt die Verantwortung, die eine Apotheke gegenüber ihren Patienten, ihrem Team und dem Gesundheitssystem insgesamt trägt. Ohne diesen Schutz ist jede noch so moderne Apotheke ein Haus ohne Fundament. Und in einer Zeit, in der digitale Erschütterungen jederzeit möglich sind, ist genau das ein nicht tragbares Risiko.

Kommentar:

In der öffentlichen Debatte über Apotheken dominieren Themen wie Lieferengpässe, Honorare, Fachkräftemangel oder Reformpolitik. Dass sich im Hintergrund ein viel grundlegenderer Systemwechsel vollzieht, bleibt meist unbeachtet: Der Apothekerberuf hat sich – technisch wie rechtlich – in den vergangenen Jahren in einen digitalen Hochrisikoberuf verwandelt. Was früher mit betrieblicher Umsicht und analoger Disziplin zu steuern war, ist heute durch gesetzlich definierte IT-Prozesse, DSGVO-Meldefristen, verschärfte Versorgungsverträge und digitale Schnittstellen hochgradig verwundbar geworden. Wer das erkennt, muss auch anerkennen, dass Cyberversicherungen nicht länger als Zusatzoption behandelt werden dürfen. Sie sind nicht „gut zu haben“, sondern betriebliche Pflichtstruktur.

Die Apotheke der Gegenwart speichert, verarbeitet und überträgt Daten, die zu den sensibelsten Informationen gehören, die ein Gesundheitssystem kennt. Medikationsdaten, Impfverläufe, psychopharmakologische Therapien, Diagnosen, Versorgungspläne: All das liegt in elektronischen Systemen, vielfach angebunden an Cloudserver, Rechenzentren, Rezeptplattformen und externe Warenwirtschaften. Hinzu kommen digitale Kommunikationswege mit Ärzten, Heimen, Krankenkassen und Dienstleistern. Jeder Zugriffspunkt ist ein potenzielles Einfallstor. Und jeder Ausfall ist mehr als ein IT-Problem – er ist ein Versorgungsbruch mit juristischen Folgen.

Was bislang als „mögliches Szenario“ abgetan wurde, ist längst Realität. In den vergangenen Monaten wurden mehrfach Apothekenbetriebe, Rechenzentren, Plattformen und Logistikdienstleister Opfer gezielter Angriffe. Dabei wurden nicht nur Daten verschlüsselt oder gelöscht – es kam zu Betriebsstillständen, Rezeptausfällen, verspäteten Lieferungen und Abrechnungsproblemen. Der dadurch entstehende Schaden ist kaum bezifferbar, doch in einem Punkt ist er messbar: Die Apothekenleitung trägt die Haftung. Juristisch. Organisatorisch. Persönlich. Das ergibt sich direkt aus § 9 der Apothekenbetriebsordnung, den Regelungen der DSGVO und den Verpflichtungen aus den Rahmenverträgen mit den Kassen. Eine Apotheke kann sich auf nichts herausreden – sie muss nachweisen, dass sie technisch und organisatorisch alles Erforderliche getan hat, um Daten, Prozesse und Versorgung zu sichern. Kann sie das nicht, haftet sie.

Dass viele Apotheken dennoch keine Cyberversicherung abgeschlossen haben, ist ein strukturelles Versagen – nicht der Betriebe allein, sondern des gesamten Systems. Denn weder die Politik noch die Kammern noch die Versicherer haben die notwendige Aufklärung, Pflichtkommunikation oder Standardisierung betrieben, um das Thema aus der Nische zu holen. Es gibt keine Pflichtversicherung, keine verpflichtende Risikoanalyse, keine öffentlich zugängliche Musterversorgung für digitale Betriebsunterbrechung. Es gibt zwar Datenschutzprüfungen, aber keine strukturelle Beratung zu IT-Risiken. Wer heute eine Apotheke eröffnet, muss eine Vielzahl technischer und hygienischer Auflagen erfüllen – aber keine einzige digitale Resilienzprüfung vorweisen. Das ist fahrlässig. Und es ist nicht mehr tragbar.

Der eigentliche Skandal liegt jedoch in der Selbstverständlichkeit, mit der Cyberrisiken noch immer ins Beliebige verschoben werden. Man tut so, als wären diese Risiken irgendwo zwischen Großkonzernen, Rechenzentren und internationalen Hackergruppen verortet – und vergisst, dass es längst um Alltagsgefahren geht: um ungesicherte Passwörter, fehlerhafte E-Mail-Anhänge, veraltete Betriebssysteme, unverschlüsselte Patientendaten auf mobilen Geräten, falsch konfigurierte Cloudlösungen oder ein unabsichtlich offenes WLAN. Das sind keine Hightech-Attacken – das ist Alltag. Und das ist die eigentliche Gefahr: dass Apotheken durch Selbsttäuschung, Ignoranz oder Budgetgrenzen in eine digitale Risikoarchitektur geraten, die mit keinem anderen Bereich ihrer Betriebspflichten vergleichbar ist. Denn während ein vergessener Desinfektionsplan den Betrieb vielleicht kurz behindert, kann ein unentdeckter IT-Zugriff den gesamten Betrieb zum Erliegen bringen – für Tage oder Wochen.

Cyberversicherungen bieten hier nicht nur finanzielle Rückendeckung, sondern vor allem: Struktur. Sie erzwingen im Vorfeld Risikoanalysen, sie liefern Notfallpläne, sie bieten Zugang zu Expertennetzwerken und sie helfen im Schadenfall mit operativer Soforthilfe. Das bedeutet: Apotheken werden nicht allein gelassen. Sie erhalten Unterstützung – nicht erst, wenn der Schaden eintritt, sondern im Aufbau präventiver Schutzmechanismen. Genau darin liegt der eigentliche Wert: in der Professionalisierung eines Bereichs, der bislang von Überforderung, Unterfinanzierung und Missverständnissen geprägt war. Versicherung wird so zur Infrastrukturmaßnahme – vergleichbar mit Brandschutz oder Hygieneüberwachung.

Was jetzt nötig ist, geht über Einzelverträge hinaus. Es braucht eine strukturelle Neuordnung. Cyberversicherungen müssen zum Standard in jeder Apothekenausstattung werden – mit branchenspezifisch entwickelten Deckungskonzepten, klaren Mindestanforderungen und öffentlich nachvollziehbaren Leistungsumfängen. Apothekenkammern und Berufsverbände sind gefordert, die regulatorischen Anforderungen zu verschärfen. Die Politik muss für Rechtssicherheit sorgen, die Versicherungswirtschaft für transparente, auditierbare Produkte. Es darf nicht länger sein, dass eine Apotheke mehr Aufwand mit dem Abschluss einer Glasbruchversicherung hat als mit ihrer digitalen Gesamtabsicherung.

Die Bedrohungslage ist real, sie ist konkret, und sie betrifft nicht mehr „vielleicht irgendwann“, sondern „jederzeit und überall“. Eine Apotheke, die ihre digitale Sicherheit nicht absichert, handelt grob fahrlässig. Wer aber die richtigen Schritte geht, wer eine starke Cyberpolice implementiert, wer regelmäßig seine Risiken prüft und sein Team vorbereitet, handelt professionell – und übernimmt Verantwortung, wo andere ausweichen. Die digitale Apotheke ist keine Vision. Sie ist Gegenwart. Und sie braucht ein Sicherheitsnetz, das dieser Realität gerecht wird. Alles andere ist keine Option – sondern ein Haftungsrisiko, das früher oder später Realität wird.

Von Matthias Engler, Fachjournalist

Für weitere Informationen:

Seyfettin Günder
Firmenkunden

0721. 95789774
sg@aporisk.de

Pressekontakt:

Roberta Günder
Telefon 0721. 16106610
E-Mail info@aporisk.de

Disclaimer

Diese Pressemitteilung ist nur für journalistische Zwecke gedacht. Die Nutzung der Informationen zu werblichen oder kommerziellen Zwecken bedarf der Zustimmung der Aporisk GmbH. Zukunftsgerichtete Aussagen unterliegen Änderungen. Wir danken Ihnen für Ihr Interesse.

Aporisk GmbH, Karlsruhe, Deutschland. Alle Rechte vorbehalten.

Über Aporisk

Die ApoRisk® GmbH ist ein Versicherungsmakler und seit vielen Jahren Spezialist für Risiken der Apothekerinnen und Apothekern. Das Maklerunternehmen ist in der Apothekenbranche erfahren und unabhängig. Das Direktkonzept über die Internetportale aporisk.de und pharmarisk.de spart unseren Kunden viel Geld. Diese Ersparnis kommt dem hohen Wert und dem fairen Preis der Policen zugute.

ApoRisk GmbH
Scheffelplatz | Schirmerstr. 4
76133 Karlsruhe

E-Mail: info@aporisk.de
Internet: www.aporisk.de

Telefon +49 (0) 721. 16 10 66-0
Telefax +49 (0) 721. 16 10 66-20 

Zurück zur Übersicht