Datenpanne: Phoenix verschickt sensible Daten von 211 Apotheken

„Im Vertriebszentrum Hamburg der Phoenix Pharmahandel hat sich am 16.12. 2019 ein Datenschutzvorfall ereignet. Bei einem Fax- und Emailversand kam es zu einer Verwechslung. Ein Mitarbeiter versandte versehentlich den falschen Inhalt“, bestätigte das Unternehmen die Panne. Die versandten Informationen umfassten folgende Daten von 211 Apothekenkunden: IDF-Nummer und Apothekenname, Umsätze auf der jeweiligen Tour im Zeitraum September bis 11. Dezember 2018, Nummer der jeweiligen Tour und Anzahl der ausgelieferten Wannen.

Gemäß der Phoenix Standardprozesse seien die Datenschutzbeauftragten und weitere Fachabteilungen unmittelbar eingebunden worden. „Das Unternehmen meldet diesen Fall gegenwärtig der zuständigen Aufsichtsbehörde“, so ein Firmensprecher. Phoenix bedauere diesen Vorfall, der auf einem manuellen Fehler bei der Datenpflege beruhe, und entschuldigte sich bei den betroffenen Apotheken. „Datenschutz hat für Phoenix eine hohe Priorität. Alle Mitarbeiter sind konzernweit zum Thema Datenschutz geschult. Das Unternehmen wird diesen Vorfall zum Anlass nehmen, die Mitarbeiter nochmals eingehend zu sensibilisieren“, so die Mitteilung.

2016 war es beim Großhändler Sanacorp zu einem noch schwerwiegenderem Vorfall gekommen: Beim Versand einer Seminareinladung wurden versehentlich sensible Kundendaten in großem Umfang an die Apotheken verschickt. Eigentlich sollten die Sanacorp-Kunden im Norddeutschland nur die Einladung zu einem Seminar erhalten. Doch beim Versand wurde versehentlich nicht nur die Faxnummer, sondern die komplette Datenbank des Mitarbeiters angehängt, eine Tabelle mit rund 70 Seiten.

Diese enthielt umfangreiche Informationen zu den Apotheken, die der Großhändler beliefert: Name und Anschrift der Apotheke, persönliche Daten des Inhabers, aber auch den absoluten und kumulierten Umsatz sowie Packungszahlen nach Monat und Jahr. Hinterlegt war zudem, ob die Sanacorp Erst-, Zweit-, oder Drittlieferant ist. Auf einer vierstufigen Skala ist schließlich das „Potenzial“ der Apotheke mit Bezug auf den Umsatz vermerkt.

Die Sanacorp-Kunden konnten aber noch mehr über ihre Kollegen erfahren – und umgekehrt: In der Tabelle fanden sich die BtM-Nummer, der IMS-Kreis und die Partner-ID, ferner diverse Angaben zum Verhältnis innerhalb der Genossenschaft: Wie viele Anteile der Inhaber gezeichnet hatte oder ob er Mitglied des Aufsichtsrats oder Beirats war oder nur einfaches Mitglied der Genossenschaft. Auch der Dividendenanteil wurde ausgegeben. Außerdem gab es für den Außendienst relevante Informationen, etwa zur Akquise oder dem letzten Besuchstermin.

So ärgerlich solche Pannen im Einzelfall sind, sie kommen vor, das mussten auch schon andere erfahren: Ebenfalls 2016 schickte das Digitale Rezept Zentrum (DRZ) die Rezeptabrechnung einer Apotheke aus Niedersachsen an einen Kollegen im Siegerland. Aus den versehentlich mitgeschickten Daten waren unter anderem die Anzahl der Rezepte und Packungen pro verordnendem Arzt ersichtlich sowie der Rohertrag der Apotheke – streng vertrauliche Informationen. Das DRZ, das zum Softwarehaus Pharmatechnik gehört, räumte den Fehler ein und entschuldigte sich.