So sinnvoll ist eine Cyber-Versicherung im Rahmen der DSGVO

Foto von Nina Ibach
Zuletzt aktualisiert am

Das Wichtigste in Kürze

  • Jedes Unternehmen ist zur Einhaltung der Datenschutzgrundverordnung (DSGVO) verpflichtet. Wird dies vernachlässigt oder kommt es zu einem Datenhack, hat dies rechtliche Konsequenzen.
  • Cyber-Versicherungen decken finanzielle Schäden durch Cyberkriminalität ab. Dabei kann es sich sowohl um Eigen- als auch Fremdschäden handeln.
  • Die DSGVO stimmt einer Verarbeitung und Weitergabe von personenbezogenen Daten nur zu, wenn zuvor eine nachprüfbare Zustimmung erteilt wurde.
  • Neben der Einhaltung von IT-Maßnahmen sollten Unternehmen auch innerbetriebliche Maßnahmen zum Zwecke des Datenschutzes ergreifen.

Das erwartet Sie hier

Warum Sie Datenschutzverstöße mit einer Cyber-Versicherung absichern sollten und welche Voraussetzungen für eine Cyber-Versicherung im Rahmen der DSGVO erfüllt sein müssen.

Inhalt dieser Seite
  1. Gründe für eine Absicherung
  2. Folgen eines Datenschutzverstoßes
  3. Versicherungsumfang
  4. Was ist ein Datenschutzverstoß?
  5. Welche Voraussetzungen gibt es?
  6. Fazit

Warum sollten Sie Datenschutzverstöße durch eine Cyber-Versicherung absichern?

Die Befolgung der DSGVO-Maßnahmen ist für jedes Unternehmen ver­pflichtend und sollte daher nicht vernachlässigt werden. Passiert dies doch, kann es zu hohen Strafen durch die Datenschutzbehörde kommen. Sind Datenschutzverstöße nicht durch eigenes Verhalten entstanden, sondern durch Fremdeinwirkung in Form eines Hackerangriffs, ist die Situation doppelt ärgerlich. Cyber-Versicherungen können hier Schutz bieten und die Risiken der DSGVO dämpfen.

Icon Richterhammer und Gesetz

Zeitintensive Datenschutzüberprüfungen durch Aufsichtsbehörden

Verliert ein Unternehmen durch einen Hackerangriff die Kontrolle über schützende Daten, werden Untersuchungen durch Aufsichtsbehörden notwendig. Anhand von Datenschutzüberprüfungen wird in mehrstufigen Verfahren ermittelt, wie groß der erlittene Schaden ist und ob das betroffene Unternehmen sich an die Datenschutz-Grundverordnung gehalten hat. Die Aufsichtsbehörden in Deutschland machen dabei jedoch keinen Unterschied zwischen Eigen- oder Fremdverschulden, mit anderen Worten: Ein eigens herbeigeführter Datenverlust beispielsweise durch Angestellte wird mit ebenso hohen Strafen geahndet wie eine Datenschutz­verletzung durch Fremdeinwirkung in Form eines Hackerangriffs. Unternehmen haben einen Datenschutzverstoß somit gleich doppelt zu befürchten, weshalb sie, dass Cyber-Risiko einer Datenschutz­verletzung unbedingt mittels Cyber-Versicherung minimieren sollten.

Welche Folgen hat ein datenschutzrechtlicher Verstoß?

Die Konsequenzen eines Datenverstoßes sind weitreichend und haben in der Vergangenheit schon so manches Unternehmen ruiniert. Die Art der Konsequenz ist dabei abhängig vom Datenschutzverstoß an sich, aber auch von der Schwere und Dauer des Vergehens. Übliche Folgen von Datenschutz­verletzungen können sein:

Bußgeld

lesen

Bisher sah das Bundesdatenschutzgesetz nach Paragraph 43 BDSG ein maximales Bußgeld in Höhe von 300.000 Euro vor. Mittlerweile können Aufsichtsbehörden jedoch Bußgelder bis zu 20 Millionen Euro verhängen oder vom Unternehmen eine Sanktionszahlung in Höhe von 2 bis 4 % des Vorjahresumsatzes verlangen.

Schadensersatz

lesen

Erleidet eine Person einen materiellen oder immateriellen Schaden aufgrund eines Datenschutzverstoßes, ist nach Artikel 82 DSGVO das Unternehmen zu einer Schadensersatzzahlung in Form von Schmerzensgeld verpflichtet. Zur Höhe des Anspruches sind bisher keine Entscheidungen bekannt, jedoch sollen Sanktionen dieser Art laut Europäischen Gerichtshof stets eine abschreckende Wirkung haben.

Imageschaden

lesen

Wird ein Datenschutzverstoß in der Öffentlichkeit bekannt, kann dies dem Unternehmensimage erheblich schaden. Die Folge sind Verlust von Kunden und Partnern sowie Probleme bei der Mitarbeitersuche. Die indirekten Kosten die durch einen Imageschaden entstehen, können unter Umständen die Bußgelder in ihrer Höhe übersteigen.

Was umfasst eine Cyber-Versicherung bei einem Datenschutzverstoß?

Absicherung von Eigen- und Fremdschäden

Eine Cyber-Versicherung ermöglicht es Unternehmen, sich sowohl gegen Eigen- als auch Fremdschäden zu versichern, welche im Rahmen einer Datenschutz­verletzung entstehen. Ein Eigenschaden liegt vor, wenn durch einen Datenschutzverstoß, dass Unternehmen selbst einen Schaden erleidet. Wie bereits anfangs erwähnt, ist der Grund des Datenschutzverstoßes (Eigenversagen oder Hackerangriff) hier nicht von Bedeutung, da der Versicherer hinsichtlich des Leistungsspektrums keinen Unterschied macht. Der Versicherungsschutz für Fremdschäden bezieht sich auf Ansprüche Dritter, die aus der Datenrechts­verletzung resultieren. Gemäß DSGVO ist ein Dritter diejenige Person, der ein Schaden durch das Fehlverhalten eines Anderen entstanden ist. Normalerweise sind damit Kunden oder Mitarbeiter gemeint, die gegenüber dem datenverarbeitenden Unternehmen Schadensansprüche stellen.

Mehr zu den Cyber-Risiken für Unternehmen


DSGVO-Versicherungsleistungen von Cyber-Versicherern

Generell sind die Leistungsunterschiede einer Cyber-Versicherung bei einem Datenschutzverstoß groß. Um sicherzugehen, dass Ihre Versicherung alle notwendigen Leistungen abdeckt, empfiehlt sich ein Blick in den Leistungskatalog Ihres Versicherers. In der Regel umfasst eine Cyber-Versicherung jedoch folgende Leistungen:

Abwehrung

lesen

Wird aufgrund einer Datenschutz­verletzung gegen Ihr Unternehmen ein Straf- oder Ordnungswidrigkeitsverfahren eingeleitet, kommt die Cyber-Versicherung normalerweise für alle Kosten auf, um das Verfahren abzuwehren- bzw. zu vermindern. Ist Ihr Unternehmen beispielsweise in ein DSGVO-Bußgeldverfahren verwickelt, zahlt die Cyber-Versicherung alle Anwaltskosten, um gegen einen Bußgeldbescheid vorgehen zu können.

Mehr zur DSGVO-Rechtsschutz­versicherung

Geldbußen normalerweise nicht versicherbar

In diesem Zusammenhang ist es wichtig zu wissen, dass verhängte Straf- und Bußgelder nicht mitversichert sind. Dazu seien Versicherungen gemäß Paragraph 134 und Paragraph 138 des BGB schlicht nicht befugt, weil dies nach herrschender Meinung den Sanktionszweck von Geldbußen unterlaufen würde. Eine obergerichtliche Entscheidung existiert hierzu in Deutschland allerdings nicht, was Versicherungsnehmer merklich verwirrt. Auch bei Versicherern scheint diesbezüglich Verunsicherung zu herrschen, zumal einige Cyber-Versicherer in ihren Versicherungs­bedingungen deutlich machen, dass sie Bußgelder zu 100 % abdecken. Auch richtet sich eine Versicher- bzw. Nichtversicherbarkeit nach der Art der Buße. Ob Ihre Cyber-Versicherung Geldbußen abdeckt, erfragen Sie am besten direkt bei Ihrem Versicherer.

Ermittlung

lesen

Datenschutzverstöße im Unternehmen ziehen aufwendige interne Ermittlungen durch die Datenschutzbehörde nach sich. In einem langwierigen Verfahren wird untersucht wie es zu der Datenschutz­verletzung gekommen ist und zu welchen immateriellen Schäden diese geführt hat. Derartige Nachforschungen sind kostenintensiv, jedoch vollständig im Leistungsumfang der Cyber-Versicherung enthalten.

Wiederherstellung

lesen

Ein Datenklau als Folge einer Cyber-Attacke stellt für Unternehmen ein erhebliches Problem dar. Denn Daten bilden die Geschäftsgrundlage und sind daher für jedes Unternehmen von enormer Bedeutung. Ist ein Datendiebstahl passiert, sollten zügig Maßnahmen ergriffen werden, um die Daten wiederherzustellen. In den meisten Fällen ist eine Datenrettung möglich, allerdings kann auch eine komplette Neuerfassung bzw. Neueingabe nötig werden. Die Kosten eines solchen Verfahrens sind ebenfalls über die Cyber-Versicherung versichert.

Meldung

lesen

Sind dem Unternehmen Kunden- bzw. Geschäftsdaten abhanden gekommen, steht es nach Art. 33 DSGVO in der Pflicht diesen Verstoß bei der zuständigen Aufsichtsbehörde zu melden. Cyber-Versicherungen unterstützen bei der erforderlichen Meldung innerhalb der 72 Stunden Frist und übernehmen auch die Benachrichtigung der Betroffenen.

Prävention

lesen

Viele Cyber-Versicherer bieten zudem digitale Präventionstrainings an, um die Mitarbeiter eines Unternehmens für das Thema Datenschutz zu sensibilisieren.

Jetzt Cyber-Versicherung direkt online vergleichen

Ihr kostenfreies Angebot wird passgenau und individuell von unseren mehrfach ausgezeichneten Experten erstellt.

Wann liegt ein datenschutzrechtlicher Verstoß im Unternehmen vor?

Die DSGVO definiert genau wie “personenbezogene” Daten geschützt werden müssen. Somit ist eine Verarbeitung, Speicherung und Weitergabe von Kunden- und Mitarbeiterdaten nur erlaubt, wenn die betroffene Person hierzu ihre Zustimmung erteilt hat oder dies im Rahmen der Vertragserfüllung erforderlich ist. Mögliche Beispiele für eine innerbetriebliche Datenschutz-Verletzung nach DSGVO sind:

  • Erfassung/Speicherung privater Lebensumstände von Mitarbeitern (Urlaubserlebnisse, Krankheits­symptome, Diagnosen)
  • Mangelnde Sicherheit bei der Verarbeitung personenbezogener Daten
  • Ungewollte Veröffentlichung von Kundendaten
  • Unrechtmäßige Aufbewahrung von Daten, obwohl keine Aufbewahrungsfrist existiert

Welche Daten sind überhaupt “personenbezogen”?

Laut DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine natürliche Person beziehen. Dabei kann es sich einerseits um äußerliche Merkmale und Charaktereigenschaften handeln und andererseits um digitale Daten bzw. Metadaten, welche bei der persönlichen Nutzung von Online-Angeboten entstehen. Bei personenbezogenen Daten handelt es sich im Detail um:

  • Name und Adresse
  • Personalausweis- und Sozial­versicherungsnummer
  • Telefonnummer
  • Biometrische Daten: Haarfarbe, Geschlecht, Größe etc.
  • E‑Mail- und Internetadresse
  • Fotos
  • Religionszugehörigkeit
  • Gesundheitszustand
  • Politische Meinungen
  • Sexualität

Welche Voraussetzungen müssen für eine Cyber-Versicherung gegeben sein?

Um überhaupt eine Cyber-Versicherung für Ihr Unternehmen abschließen zu können, müssen Sie zunächst bestimmte Obliegenheiten erfüllen. Hierbei handelt es sich, um sicherheitstechnische Mindestanforderungen, die der Versicherer dem Versicherungsnehmer auferlegt. Mit diesen will der Versicherer schlichtweg sicherstellen, dass der Kunde alle notwendigen IT-Maßnahmen ergreift, damit es nicht zu Datenschutz­verletzungen aufgrund eines Hackerangriffs kommt.

Da Datenschutzverstöße jedoch nicht nur von außen sondern auch von innen verursacht werden, sollten Unternehmen zudem vier Grundvoraussetzungen erfüllen, um die Datensicherheit zu erhöhen:

Ernennung eines Datenschutzbeauftragten

lesen

Haben innerhalb eines Unternehmens mehr als neun Mitarbeiter Zugang zu Kunden- und/oder Mitarbeiterdaten muss laut Bundesdatenschutzgesetz ein Datenschutzbeauftragter ernannt werden. Dieser fungiert als unabhängiges Kontrollorgan und sorgt dafür, dass alle datenschutzrechtlichen Bestimmungen bezüglich des Umgangs mit personenbezogenen Daten eingehalten werden.

Durchführung von Mitarbeiterschulungen

lesen

Unternehmen sollten regelmäßig Meetings im Bereich Datenschutz anbieten, um Mitarbeiter für dieses Thema fit zu machen. Sicherheits­maßnahmen, Informationen zu deren Durchführung sowie Maßnahmen, die jeder Mitarbeiter anwenden kann, sind mögliche Themen einer Mitarbeiterschulung.

Beschränkter Datenzugriff für Mitarbeiter

lesen

Sind Sie ein Kleinunternehmen mit nur wenigen Mitarbeitern, empfiehlt es sich, Ihren Mitarbeitern nur Zugriff auf Kundendaten zu geben, die sie für ihre Tätigkeit im Betrieb benötigen. Auf diese Weise wird das Risiko eines leichtfertigen Datenumgangs enorm minimiert.

Facebook, Twitter, Google meiden

lesen

Geben Sie Ihren Mitarbeitern zu verstehen, dass sie vertrauliche Daten niemals mithilfe von Facebook, Twitter oder Google weiterreichen. Leider verfügen diese Konzerne über äußerst missverständlich formulierte Datenrichtlinien, so dass eine Weiterreichung mittels dieser Internetseiten durchaus riskant sein kann.

Fazit

Während die Betriebs­haftpflicht­versicherung bei nicht-elektronischen Datenschutz­verletzungen schützt, besteht mit der Cyber-Versicherung die Möglichkeit, die bisher bestehende Lücke im Bereich der digitalen Datenschutz­verletzung zu schließen. Viele Risiken, die aus der Verletzung der DSGVO entstehen, werden so dank Cyber-Versicherung für Unternehmen versicherbar, wobei jedoch Leistungsunterschiede zwischen den Anbietern bestehen.

Auch sollte man sich darüber im Klaren sein, dass die Cyber-Versicherung kein Freibrief darstellt, um sich nicht mit der DSGVO befassen zu müssen. Denn trotz Versicherung können bestimmte Folgen auftreten, wie etwa Bußgeldforderungen, die aufgrund fehlender richterlicher Entscheidung bisher nicht abgedeckt sind. Um derartige Konsequenzen zu vermeiden, sollten Unternehmen daher auch eigene Maßnahmen zur Datensicherheit ergreifen. Generell ist die Cyber-Versicherung ein zeitgemäßes Produkt, mit dem Sie sinnvoll ihren bestehenden Versicherungsschutz ergänzen.

Haben Sie alles gefunden?

Schnelle Frage, Kritik oder Feedback?

Wir helfen Ihnen gerne. Professionelle Beratung von echten Menschen. Rufen Sie uns zum Ortstarif an oder schreiben Sie uns per E–Mail.

Foto von Katharina Burnus
Katharina Burnus
Ihre Ansprechpartnerin
Erfahrungen & Bewertungen zu transparent-beraten.de GmbH