Das Wichtigste in Kürze
Das erwartet Sie hier
Warum Sie Datenschutzverstöße mit einer Cyber-Versicherung absichern sollten und welche Voraussetzungen für eine Cyber-Versicherung im Rahmen der DSGVO erfüllt sein müssen.
Inhalt dieser SeiteWarum sollten Sie Datenschutzverstöße durch eine Cyber-Versicherung absichern?
Die Befolgung der DSGVO-Maßnahmen ist für jedes Unternehmen verpflichtend und sollte daher nicht vernachlässigt werden. Passiert dies doch, kann es zu hohen Strafen durch die Datenschutzbehörde kommen. Sind Datenschutzverstöße nicht durch eigenes Verhalten entstanden, sondern durch Fremdeinwirkung in Form eines Hackerangriffs, ist die Situation doppelt ärgerlich. Cyber-Versicherungen können hier Schutz bieten und die Risiken der DSGVO dämpfen.
Zeitintensive Datenschutzüberprüfungen durch Aufsichtsbehörden
Verliert ein Unternehmen durch einen Hackerangriff die Kontrolle über schützende Daten, werden Untersuchungen durch Aufsichtsbehörden notwendig. Anhand von Datenschutzüberprüfungen wird in mehrstufigen Verfahren ermittelt, wie groß der erlittene Schaden ist und ob das betroffene Unternehmen sich an die Datenschutz-Grundverordnung gehalten hat. Die Aufsichtsbehörden in Deutschland machen dabei jedoch keinen Unterschied zwischen Eigen- oder Fremdverschulden, mit anderen Worten: Ein eigens herbeigeführter Datenverlust beispielsweise durch Angestellte wird mit ebenso hohen Strafen geahndet wie eine Datenschutzverletzung durch Fremdeinwirkung in Form eines Hackerangriffs. Unternehmen haben einen Datenschutzverstoß somit gleich doppelt zu befürchten, weshalb sie, dass Cyber-Risiko einer Datenschutzverletzung unbedingt mittels Cyber-Versicherung minimieren sollten.
Welche Folgen hat ein datenschutzrechtlicher Verstoß?
Die Konsequenzen eines Datenverstoßes sind weitreichend und haben in der Vergangenheit schon so manches Unternehmen ruiniert. Die Art der Konsequenz ist dabei abhängig vom Datenschutzverstoß an sich, aber auch von der Schwere und Dauer des Vergehens. Übliche Folgen von Datenschutzverletzungen können sein:
Bußgeld
Bisher sah das Bundesdatenschutzgesetz nach Paragraph 43 BDSG ein maximales Bußgeld in Höhe von 300.000 Euro vor. Mittlerweile können Aufsichtsbehörden jedoch Bußgelder bis zu 20 Millionen Euro verhängen oder vom Unternehmen eine Sanktionszahlung in Höhe von 2 bis 4 % des Vorjahresumsatzes verlangen.
Schadensersatz
Erleidet eine Person einen materiellen oder immateriellen Schaden aufgrund eines Datenschutzverstoßes, ist nach Artikel 82 DSGVO das Unternehmen zu einer Schadensersatzzahlung in Form von Schmerzensgeld verpflichtet. Zur Höhe des Anspruches sind bisher keine Entscheidungen bekannt, jedoch sollen Sanktionen dieser Art laut Europäischen Gerichtshof stets eine abschreckende Wirkung haben.
Imageschaden
Wird ein Datenschutzverstoß in der Öffentlichkeit bekannt, kann dies dem Unternehmensimage erheblich schaden. Die Folge sind Verlust von Kunden und Partnern sowie Probleme bei der Mitarbeitersuche. Die indirekten Kosten die durch einen Imageschaden entstehen, können unter Umständen die Bußgelder in ihrer Höhe übersteigen.
Was umfasst eine Cyber-Versicherung bei einem Datenschutzverstoß?
Absicherung von Eigen- und Fremdschäden
Eine Cyber-Versicherung ermöglicht es Unternehmen, sich sowohl gegen Eigen- als auch Fremdschäden zu versichern, welche im Rahmen einer Datenschutzverletzung entstehen. Ein Eigenschaden liegt vor, wenn durch einen Datenschutzverstoß, dass Unternehmen selbst einen Schaden erleidet. Wie bereits anfangs erwähnt, ist der Grund des Datenschutzverstoßes (Eigenversagen oder Hackerangriff) hier nicht von Bedeutung, da der Versicherer hinsichtlich des Leistungsspektrums keinen Unterschied macht. Der Versicherungsschutz für Fremdschäden bezieht sich auf Ansprüche Dritter, die aus der Datenrechtsverletzung resultieren. Gemäß DSGVO ist ein Dritter diejenige Person, der ein Schaden durch das Fehlverhalten eines Anderen entstanden ist. Normalerweise sind damit Kunden oder Mitarbeiter gemeint, die gegenüber dem datenverarbeitenden Unternehmen Schadensansprüche stellen.
Mehr zu den Cyber-Risiken für Unternehmen
DSGVO-Versicherungsleistungen von Cyber-Versicherern
Generell sind die Leistungsunterschiede einer Cyber-Versicherung bei einem Datenschutzverstoß groß. Um sicherzugehen, dass Ihre Versicherung alle notwendigen Leistungen abdeckt, empfiehlt sich ein Blick in den Leistungskatalog Ihres Versicherers. In der Regel umfasst eine Cyber-Versicherung jedoch folgende Leistungen:
Abwehrung
Wird aufgrund einer Datenschutzverletzung gegen Ihr Unternehmen ein Straf- oder Ordnungswidrigkeitsverfahren eingeleitet, kommt die Cyber-Versicherung normalerweise für alle Kosten auf, um das Verfahren abzuwehren- bzw. zu vermindern. Ist Ihr Unternehmen beispielsweise in ein DSGVO-Bußgeldverfahren verwickelt, zahlt die Cyber-Versicherung alle Anwaltskosten, um gegen einen Bußgeldbescheid vorgehen zu können.
Mehr zur DSGVO-Rechtsschutzversicherung
Geldbußen normalerweise nicht versicherbar
In diesem Zusammenhang ist es wichtig zu wissen, dass verhängte Straf- und Bußgelder nicht mitversichert sind. Dazu seien Versicherungen gemäß Paragraph 134 und Paragraph 138 des BGB schlicht nicht befugt, weil dies nach herrschender Meinung den Sanktionszweck von Geldbußen unterlaufen würde. Eine obergerichtliche Entscheidung existiert hierzu in Deutschland allerdings nicht, was Versicherungsnehmer merklich verwirrt. Auch bei Versicherern scheint diesbezüglich Verunsicherung zu herrschen, zumal einige Cyber-Versicherer in ihren Versicherungsbedingungen deutlich machen, dass sie Bußgelder zu 100 % abdecken. Auch richtet sich eine Versicher- bzw. Nichtversicherbarkeit nach der Art der Buße. Ob Ihre Cyber-Versicherung Geldbußen abdeckt, erfragen Sie am besten direkt bei Ihrem Versicherer.
Ermittlung
Datenschutzverstöße im Unternehmen ziehen aufwendige interne Ermittlungen durch die Datenschutzbehörde nach sich. In einem langwierigen Verfahren wird untersucht wie es zu der Datenschutzverletzung gekommen ist und zu welchen immateriellen Schäden diese geführt hat. Derartige Nachforschungen sind kostenintensiv, jedoch vollständig im Leistungsumfang der Cyber-Versicherung enthalten.
Wiederherstellung
Ein Datenklau als Folge einer Cyber-Attacke stellt für Unternehmen ein erhebliches Problem dar. Denn Daten bilden die Geschäftsgrundlage und sind daher für jedes Unternehmen von enormer Bedeutung. Ist ein Datendiebstahl passiert, sollten zügig Maßnahmen ergriffen werden, um die Daten wiederherzustellen. In den meisten Fällen ist eine Datenrettung möglich, allerdings kann auch eine komplette Neuerfassung bzw. Neueingabe nötig werden. Die Kosten eines solchen Verfahrens sind ebenfalls über die Cyber-Versicherung versichert.
Meldung
Sind dem Unternehmen Kunden- bzw. Geschäftsdaten abhanden gekommen, steht es nach Art. 33 DSGVO in der Pflicht diesen Verstoß bei der zuständigen Aufsichtsbehörde zu melden. Cyber-Versicherungen unterstützen bei der erforderlichen Meldung innerhalb der 72 Stunden Frist und übernehmen auch die Benachrichtigung der Betroffenen.
Prävention
Viele Cyber-Versicherer bieten zudem digitale Präventionstrainings an, um die Mitarbeiter eines Unternehmens für das Thema Datenschutz zu sensibilisieren.
Jetzt Cyber-Versicherung direkt online vergleichen
Ihr kostenfreies Angebot wird passgenau und individuell von unseren mehrfach ausgezeichneten Experten erstellt.
Wann liegt ein datenschutzrechtlicher Verstoß im Unternehmen vor?
Die DSGVO definiert genau wie “personenbezogene” Daten geschützt werden müssen. Somit ist eine Verarbeitung, Speicherung und Weitergabe von Kunden- und Mitarbeiterdaten nur erlaubt, wenn die betroffene Person hierzu ihre Zustimmung erteilt hat oder dies im Rahmen der Vertragserfüllung erforderlich ist. Mögliche Beispiele für eine innerbetriebliche Datenschutz-Verletzung nach DSGVO sind:
Welche Daten sind überhaupt “personenbezogen”?
Laut DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine natürliche Person beziehen. Dabei kann es sich einerseits um äußerliche Merkmale und Charaktereigenschaften handeln und andererseits um digitale Daten bzw. Metadaten, welche bei der persönlichen Nutzung von Online-Angeboten entstehen. Bei personenbezogenen Daten handelt es sich im Detail um:
Welche Voraussetzungen müssen für eine Cyber-Versicherung gegeben sein?
Um überhaupt eine Cyber-Versicherung für Ihr Unternehmen abschließen zu können, müssen Sie zunächst bestimmte Obliegenheiten erfüllen. Hierbei handelt es sich, um sicherheitstechnische Mindestanforderungen, die der Versicherer dem Versicherungsnehmer auferlegt. Mit diesen will der Versicherer schlichtweg sicherstellen, dass der Kunde alle notwendigen IT-Maßnahmen ergreift, damit es nicht zu Datenschutzverletzungen aufgrund eines Hackerangriffs kommt.
Da Datenschutzverstöße jedoch nicht nur von außen sondern auch von innen verursacht werden, sollten Unternehmen zudem vier Grundvoraussetzungen erfüllen, um die Datensicherheit zu erhöhen:
Ernennung eines Datenschutzbeauftragten
Haben innerhalb eines Unternehmens mehr als neun Mitarbeiter Zugang zu Kunden- und/oder Mitarbeiterdaten muss laut Bundesdatenschutzgesetz ein Datenschutzbeauftragter ernannt werden. Dieser fungiert als unabhängiges Kontrollorgan und sorgt dafür, dass alle datenschutzrechtlichen Bestimmungen bezüglich des Umgangs mit personenbezogenen Daten eingehalten werden.
Durchführung von Mitarbeiterschulungen
Unternehmen sollten regelmäßig Meetings im Bereich Datenschutz anbieten, um Mitarbeiter für dieses Thema fit zu machen. Sicherheitsmaßnahmen, Informationen zu deren Durchführung sowie Maßnahmen, die jeder Mitarbeiter anwenden kann, sind mögliche Themen einer Mitarbeiterschulung.
Beschränkter Datenzugriff für Mitarbeiter
Sind Sie ein Kleinunternehmen mit nur wenigen Mitarbeitern, empfiehlt es sich, Ihren Mitarbeitern nur Zugriff auf Kundendaten zu geben, die sie für ihre Tätigkeit im Betrieb benötigen. Auf diese Weise wird das Risiko eines leichtfertigen Datenumgangs enorm minimiert.
Facebook, Twitter, Google meiden
Geben Sie Ihren Mitarbeitern zu verstehen, dass sie vertrauliche Daten niemals mithilfe von Facebook, Twitter oder Google weiterreichen. Leider verfügen diese Konzerne über äußerst missverständlich formulierte Datenrichtlinien, so dass eine Weiterreichung mittels dieser Internetseiten durchaus riskant sein kann.
Fazit
Während die Betriebshaftpflichtversicherung bei nicht-elektronischen Datenschutzverletzungen schützt, besteht mit der Cyber-Versicherung die Möglichkeit, die bisher bestehende Lücke im Bereich der digitalen Datenschutzverletzung zu schließen. Viele Risiken, die aus der Verletzung der DSGVO entstehen, werden so dank Cyber-Versicherung für Unternehmen versicherbar, wobei jedoch Leistungsunterschiede zwischen den Anbietern bestehen.
Auch sollte man sich darüber im Klaren sein, dass die Cyber-Versicherung kein Freibrief darstellt, um sich nicht mit der DSGVO befassen zu müssen. Denn trotz Versicherung können bestimmte Folgen auftreten, wie etwa Bußgeldforderungen, die aufgrund fehlender richterlicher Entscheidung bisher nicht abgedeckt sind. Um derartige Konsequenzen zu vermeiden, sollten Unternehmen daher auch eigene Maßnahmen zur Datensicherheit ergreifen. Generell ist die Cyber-Versicherung ein zeitgemäßes Produkt, mit dem Sie sinnvoll ihren bestehenden Versicherungsschutz ergänzen.
Haben Sie alles gefunden?
Hier finden Sie weitere interessante Inhalte zum Thema:
Schnelle Frage, Kritik oder Feedback?
Wir helfen Ihnen gerne. Professionelle Beratung von echten Menschen. Rufen Sie uns zum Ortstarif an oder schreiben Sie uns per E–Mail.
