KRITIS-Dachgesetz: 1.300 Betreiber müssen sich bis 17. Juli registrieren

Mai das Apothekenversorgung-Weiterentwicklungsgesetz (ApoVWG) verabschiedet – zeitgleich verschärft das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Sicherheitsauflagen für die Branche drastisch.

ApoVWG: Rettungsversuch für die Apotheken vor Ort

Das Gesetz soll den schleichenden Niedergang der inhabergeführten Apotheken stoppen. In Baden-Württemberg etwa hat sich die Zahl der Apotheken in den vergangenen 15 Jahren um fast ein Viertel verringert. Der Gesetzentwurf liegt nun beim Bundesrat, der sich am heutigen Mittwoch in den Ausschüssen damit befasst.

Angesichts der zunehmenden Digitalisierung und strenger BSI-Vorgaben stehen Apotheken und Gesundheitsbetriebe vor komplexen Haftungsfragen bei der Datenverarbeitung durch externe Dienstleister. Dieser kostenlose Experten-Report klärt über Ihre Haftungsrisiken bei Auftragsverarbeitern auf und zeigt, wie Sie teure Bußgelder vermeiden. Gratis E-Book mit fertigen Vorlagen und Checklisten zum sofortigen Einsatz

Doch die Branche ist gespalten: Berufsverbände kritisieren, die Reform gefährde die gewachsene Apothekenstruktur. Dabei drängt die Zeit – der Wettbewerb mit internationalen Versandhändlern wird immer hinterer.

Ein Pilotprojekt in Leonberg zeigt, wie die Zukunft aussehen könnte. Seit Mai testet Apotheker Andreas Bühler in Kooperation mit einer großen Einzelhandelskette den „MediCheck"-Terminal. Kunden können dort elektronische Rezepte (E-Rezepte) einlösen und Medikamente direkt im Laden bestellen. Ab einem bestimmten Bestellwert oder bei Rezeptpflicht liefert die Apotheke kostenlos frei Haus. Das Modell soll die Lücke zwischen digitaler Bequemlichkeit und lokaler Versorgung schließen.

BSI C5:2026: Harte Auflagen für Cloud-Dienste

Parallel zur Apothekenreform treibt der Gesetzgeber die Digitalisierung im Gesundheitswesen voran – und damit auch die Sicherheitsanforderungen. Am 7. April veröffentlichte das BSI die überarbeiteten C5:2026-Kriterien. Sie umfassen 168 Anforderungen in 17 Themenbereichen – von Container-Management über Confidential Computing bis hin zu Post-Quanten-Kryptografie.

Für Cloud-Anbieter werden die neuen Standards ab dem 1. Juni 2027 verbindlich. Im Gesundheitssektor ist das C5-Testat bereits seit Juli 2025 Pflicht. Der Grund liegt auf der Hand: Mit der Umstellung auf cloudbasierte E-Rezepte werden sensible Patientendaten zunehmend digital verarbeitet.

KRITIS-Dachgesetz: Milliardenstrafen bei Verstößen

Seit dem 16. März ist zudem das KRITIS-Dachgesetz in Kraft. Rund 1.300 Betreiber aus elf Sektoren müssen sich bis zum 17. Juli beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Innerhalb von neun Monaten sind Risikoanalysen fällig, nach zehn Monaten müssen Resilienzpläne vorliegen.

Die Strafen bei Verstößen sind empfindlich: Bis zu 500.000 Euro Bußgeld drohen nach dem KRITIS-Dachgesetz. Die nationale Umsetzung der NIS2-Richtlinie erlaubt sogar Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Der Druck kommt nicht von ungefähr: Die Zahl der Banking-Trojaner-Attacken stieg im ersten Quartal 2026 um 196 Prozent auf 1,24 Millionen Fälle.

Die steigende Zahl der Cyberangriffe auf kritische Infrastrukturen verdeutlicht, dass technische Schutzmaßnahmen allein oft nicht ausreichen, um sensible Daten zu schützen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne teure Investitionen erfüllen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen

Hackerangriff auf Unimed: Zehntausende Patientendaten betroffen

Wie real die Gefahr ist, zeigt ein Vorfall aus dem April. Ein Cyberangriff traf den Abrechnungsdienstleister Unimed, der für mehrere Universitätskliniken arbeitet. Am 18. Mai wurde das volle Ausmaß bekannt: 30.000 Datensätze der Uniklinik Köln, 54.000 aus Freiburg und 11.000 aus Heidelberg wurden gestohlen. Auch Kliniken in Ulm und Tübingen waren betroffen. Die Patientenversorgung blieb zwar ununterbrochen, doch der Fall offenbart die Verwundbarkeit der Datenverarbeitungsketten im Gesundheitswesen.

China verbietet KI in der Rezeptprüfung

Der Trend zu mehr Sicherheit ist international. Chinas Arzneimittelbehörde NMPA veröffentlichte am 25. Mai einen umfassenden 42-Punkte-Katalog für den Online-Verkauf von verschreibungspflichtigen Medikamenten. Der Markt hatte 2025 ein Volumen von umgerechnet rund 11,8 Milliarden Euro erreicht.

Kernpunkt der neuen Regeln: Künstliche Intelligenz darf menschliche Apotheker bei der Rezeptprüfung nicht ersetzen. Jedes Rezept muss von einem qualifizierten Fachmann geprüft werden, die tägliche Arbeitsbelastung der Apotheker ist begrenzt. Zudem sind Echtnamen-Käufe Pflicht, Rezepte dürfen nicht wiederverwendet werden, und finanzielle Anreize für den Kauf verschreibungspflichtiger Medikamente sind verboten. Online-Plattformen müssen eigene Qualitätsmanagement-Abteilungen einrichten und ihre Drittanbieter alle sechs Monate prüfen.

Auch Japan zieht nach: Seit dem 25. Mai können Patienten über das MyNa-Portal ihre Medikamenteninformationen noch am selben Tag einsehen – bisher war das erst am Folgetag möglich.

Datenschutz: 97 Prozent der Unternehmen klagen über Belastung

Die Compliance-Last ist enorm. Eine Bitkom-Studie aus dem Jahr 2025 zeigt: 97 Prozent der Unternehmen bewerten den Aufwand für die DSGVO-Einhaltung als hoch. 69 Prozent sagen, die Regeln erschwerten das Training von KI-Modellen. Die finanziellen Folgen von Datenschutzverstößen sind gewaltig: Bis März 2026 summierten sich die DSGVO-Strafen in Europa auf 6,11 Milliarden Euro.

Ausblick: Die Uhr tickt für die Branche

Die kommenden Monate werden von strengen Compliance-Fristen bestimmt. Bis Mitte Juli müssen KRITIS-Betreiber ihre BBK-Registrierung abgeschlossen haben, danach folgen umfassende Risikoanalysen. Für die Apotheken hinter viel am Ausgang des ApoVWG im Bundesrat – er entscheidet über die künftigen Spielräume der lokalen Betreiber.

Bis Juni 2027 müssen Cloud-Anbieter die C5:2026-Standards erfüllen. Das Gesundheitswesen steht vor der Herausforderung, digitale Zugänglichkeit mit dem Schutz sensibler Patientendaten in Einklang zu bringen – gegen eine zunehmend raffinierte Bedrohungslage und wachsende regulatorische Anforderungen.

de | wissenschaft | 69422884 |