So sinnvoll ist eine Cyber-Versicherung im Rahmen der DSGVO

Foto von Evelyn Nawrath
zuletzt aktualisiert am

Das erwartet Sie hier

Warum Sie Daten­schutzverstöße mit einer Cyber-Versicherung absichern sollten und welche Voraussetzungen für eine Cyber-Versicherung im Rahmen der DSGVO erfüllt sein müssen.

Inhalt dieser Seite
  1. Gründe für eine Absicherung
  2. Folgen eines Daten­­schutzverstoßes
  3. Versicherungsumfang
  4. Was ist ein Daten­­schutzverstoß?
  5. Welche Voraussetzungen gibt es?
  6. Fazit

Das Wichtigste in Kürze

  • Jedes Unternehmen ist zur Einhaltung der Daten­schutzgrundverordnung (DSGVO) verpflichtet. Wird dies vernachlässigt oder kommt es zu einem Datenhack, hat dies rechtliche Konsequenzen.
  • Cyber-Versicherungen decken finanzielle Schäden durch Cyberkriminalität ab. Dabei kann es sich sowohl um Eigen- als auch Fremdschäden handeln.
  • Die DSGVO stimmt einer Verarbeitung und Weitergabe von personenbezogenen Daten nur zu, wenn zuvor eine nachprüfbare Zustimmung erteilt wurde.
  • Neben der Einhaltung von IT-Maßnahmen sollten Unternehmen auch innerbetriebliche Maßnahmen zum Zwecke des Daten­schutzes ergreifen.

Warum sollten Sie Daten­schutzverstöße durch eine Cyber-Versicherung absichern?

Die Befolgung der DSGVO-Maßnahmen ist für jedes Unternehmen ver­pflichtend und sollte daher nicht vernachlässigt werden. Passiert dies doch, kann es zu hohen Strafen durch die Daten­schutzbehörde kommen. Sind Daten­schutzverstöße nicht durch eigenes Verhalten entstanden, sondern durch Fremdeinwirkung in Form eines Hackerangriffs, ist die Situation doppelt ärgerlich. Cyber-Versicherungen können hier Schutz bieten und die Risiken der DSGVO dämpfen.

Icon Richterhammer und Gesetz

Zeitintensive Daten­schutzüberprüfungen durch Aufsichtsbehörden

Verliert ein Unternehmen durch einen Hackerangriff die Kontrolle über schützende Daten, werden Untersuchungen durch Aufsichtsbehörden notwendig. Anhand von Daten­schutzüberprüfungen wird in mehrstufigen Verfahren ermittelt, wie groß der erlittene Schaden ist und ob das betroffene Unternehmen sich an die Daten­schutz-Grundverordnung gehalten hat. Die Aufsichtsbehörden in Deutschland machen dabei jedoch keinen Unterschied zwischen Eigen- oder Fremdverschulden, mit anderen Worten: Ein eigens herbeigeführter Datenverlust beispielsweise durch Angestellte wird mit ebenso hohen Strafen geahndet wie eine Daten­schutz­verletzung durch Fremdeinwirkung in Form eines Hackerangriffs. Unternehmen haben einen Daten­schutzverstoß somit gleich doppelt zu befürchten, weshalb sie, dass Cyber-Risiko einer Daten­schutz­verletzung unbedingt mittels Cyber-Versicherung minimieren sollten.

Welche Folgen hat ein daten­schutzrechtlicher Verstoß?

Die Konsequenzen eines Datenverstoßes sind weitreichend und haben in der Vergangenheit schon so manches Unternehmen ruiniert. Die Art der Konsequenz ist dabei abhängig vom Daten­schutzverstoß an sich, aber auch von der Schwere und Dauer des Vergehens. Übliche Folgen von Daten­schutz­verletzungen können sein:

Bußgeld

lesen

Bisher sah das Bundesdaten­schutz­gesetz nach Paragraph 43 BDSG ein maximales Bußgeld in Höhe von 300.000 Euro vor. Mittlerweile können Aufsichtsbehörden jedoch Bußgelder bis zu 20 Millionen Euro verhängen oder vom Unternehmen eine Sanktionszahlung in Höhe von 2 bis 4 % des Vorjahresumsatzes verlangen.

Schadensersatz

lesen

Erleidet eine Person einen materiellen oder immateriellen Schaden aufgrund eines Daten­schutzverstoßes, ist nach Artikel 82 DSGVO das Unternehmen zu einer Schadensersatzzahlung in Form von Schmerzensgeld verpflichtet. Zur Höhe des Anspruches sind bisher keine Entscheidungen bekannt, jedoch sollen Sanktionen dieser Art laut Europäischen Gerichtshof stets eine abschreckende Wirkung haben.

Imageschaden

lesen

Wird ein Daten­schutzverstoß in der Öffentlichkeit bekannt, kann dies dem Unternehmensimage erheblich schaden. Die Folge sind Verlust von Kunden und Partnern sowie Probleme bei der Mitarbeitersuche. Die indirekten Kosten die durch einen Imageschaden entstehen, können unter Umständen die Bußgelder in ihrer Höhe übersteigen.

Was umfasst eine Cyber-Versicherung bei einem Daten­schutzverstoß?

Absicherung von Eigen- und Fremdschäden

Eine Cyber-Versicherung ermöglicht es Unternehmen, sich sowohl gegen Eigen- als auch Fremdschäden zu versichern, welche im Rahmen einer Daten­schutz­verletzung entstehen. Ein Eigenschaden liegt vor, wenn durch einen Daten­schutzverstoß, dass Unternehmen selbst einen Schaden erleidet. Wie bereits anfangs erwähnt, ist der Grund des Daten­schutzverstoßes (Eigenversagen oder Hackerangriff) hier nicht von Bedeutung, da der Versicherer hinsichtlich des Leistungsspektrums keinen Unterschied macht. Der Versicherungs­schutz für Fremdschäden bezieht sich auf Ansprüche Dritter, die aus der Datenrechts­verletzung resultieren. Gemäß DSGVO ist ein Dritter diejenige Person, der ein Schaden durch das Fehlverhalten eines Anderen entstanden ist. Normalerweise sind damit Kunden oder Mitarbeiter gemeint, die gegenüber dem datenverarbeitenden Unternehmen Schadensansprüche stellen.

Mehr zu den Cyber-Risiken für Unternehmen


DSGVO-Versicherungsleistungen von Cyber-Versicherern

Generell sind die Leistungsunterschiede einer Cyber-Versicherung bei einem Daten­schutzverstoß groß. Um sicherzugehen, dass Ihre Versicherung alle notwendigen Leistungen abdeckt, empfiehlt sich ein Blick in den Leistungskatalog Ihres Versicherers. In der Regel umfasst eine Cyber-Versicherung jedoch folgende Leistungen:

Abwehrung

lesen

Wird aufgrund einer Daten­schutz­verletzung gegen Ihr Unternehmen ein Straf- oder Ordnungswidrigkeitsverfahren eingeleitet, kommt die Cyber-Versicherung normalerweise für alle Kosten auf, um das Verfahren abzuwehren- bzw. zu vermindern. Ist Ihr Unternehmen beispielsweise in ein DSGVO-Bußgeldverfahren verwickelt, zahlt die Cyber-Versicherung alle Anwaltskosten, um gegen einen Bußgeldbescheid vorgehen zu können.

Mehr zur DSGVO-Rechts­schutz­versicherung

Geldbußen normalerweise nicht versicherbar

In diesem Zusammenhang ist es wichtig zu wissen, dass verhängte Straf- und Bußgelder nicht mitversichert sind. Dazu seien Versicherungen gemäß Paragraph 134 und Paragraph 138 des BGB schlicht nicht befugt, weil dies nach herrschender Meinung den Sanktionszweck von Geldbußen unterlaufen würde. Eine obergerichtliche Entscheidung existiert hierzu in Deutschland allerdings nicht, was Versicherungsnehmer merklich verwirrt. Auch bei Versicherern scheint diesbezüglich Verunsicherung zu herrschen, zumal einige Cyber-Versicherer in ihren Versicherungsbedingungen deutlich machen, dass sie Bußgelder zu 100 % abdecken. Auch richtet sich eine Versicher- bzw. Nichtversicherbarkeit nach der Art der Buße. Ob Ihre Cyber-Versicherung Geldbußen abdeckt, erfragen Sie am besten direkt bei Ihrem Versicherer.

Ermittlung

lesen

Daten­schutzverstöße im Unternehmen ziehen aufwendige interne Ermittlungen durch die Daten­schutzbehörde nach sich. In einem langwierigen Verfahren wird untersucht wie es zu der Daten­schutz­verletzung gekommen ist und zu welchen immateriellen Schäden diese geführt hat. Derartige Nachforschungen sind kostenintensiv, jedoch vollständig im Leistungsumfang der Cyber-Versicherung enthalten.

Wiederherstellung

lesen

Ein Datenklau als Folge einer Cyber-Attacke stellt für Unternehmen ein erhebliches Problem dar. Denn Daten bilden die Geschäftsgrundlage und sind daher für jedes Unternehmen von enormer Bedeutung. Ist ein Datendiebstahl passiert, sollten zügig Maßnahmen ergriffen werden, um die Daten wiederherzustellen. In den meisten Fällen ist eine Datenrettung möglich, allerdings kann auch eine komplette Neuerfassung bzw. Neueingabe nötig werden. Die Kosten eines solchen Verfahrens sind ebenfalls über die Cyber-Versicherung versichert.

Meldung

lesen

Sind dem Unternehmen Kunden- bzw. Geschäftsdaten abhanden gekommen, steht es nach Art. 33 DSGVO in der Pflicht diesen Verstoß bei der zuständigen Aufsichtsbehörde zu melden. Cyber-Versicherungen unterstützen bei der erforderlichen Meldung innerhalb der 72 Stunden Frist und übernehmen auch die Benachrichtigung der Betroffenen.

Prävention

lesen

Viele Cyber-Versicherer bieten zudem digitale Präventionstrainings an, um die Mitarbeiter eines Unternehmens für das Thema Daten­schutz zu sensibilisieren.

Jetzt Cyber-Versicherung direkt online vergleichen

Ihr kostenfreies Angebot wird passgenau und individuell von unseren mehrfach ausgezeichneten Experten erstellt.

Wann liegt ein daten­schutzrechtlicher Verstoß im Unternehmen vor?

Die DSGVO definiert genau wie “personenbezogene” Daten geschützt werden müssen. Somit ist eine Verarbeitung, Speicherung und Weitergabe von Kunden- und Mitarbeiterdaten nur erlaubt, wenn die betroffene Person hierzu ihre Zustimmung erteilt hat oder dies im Rahmen der Vertragserfüllung erforderlich ist. Mögliche Beispiele für eine innerbetriebliche Daten­schutz-Verletzung nach DSGVO sind:

  • Erfassung/Speicherung privater Lebensumstände von Mitarbeitern (Urlaubserlebnisse, Krankheits­symptome, Diagnosen)
  • Mangelnde Sicherheit bei der Verarbeitung personenbezogener Daten
  • Ungewollte Veröffentlichung von Kundendaten
  • Unrechtmäßige Aufbewahrung von Daten, obwohl keine Aufbewahrungsfrist existiert

Welche Daten sind überhaupt “personenbezogen”?

Laut DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine natürliche Person beziehen. Dabei kann es sich einerseits um äußerliche Merkmale und Charaktereigenschaften handeln und andererseits um digitale Daten bzw. Metadaten, welche bei der persönlichen Nutzung von Online-Angeboten entstehen. Bei personenbezogenen Daten handelt es sich im Detail um:

  • Name und Adresse
  • Personalausweis- und Sozial­versicherungsnummer
  • Telefonnummer
  • Biometrische Daten: Haarfarbe, Geschlecht, Größe etc.
  • E‑Mail- und Internetadresse
  • Fotos
  • Religionszugehörigkeit
  • Gesundheitszustand
  • Politische Meinungen
  • Sexualität

Welche Voraussetzungen müssen für eine Cyber-Versicherung gegeben sein?

Um überhaupt eine Cyber-Versicherung für Ihr Unternehmen abschließen zu können, müssen Sie zunächst bestimmte Obliegenheiten erfüllen. Hierbei handelt es sich, um sicherheitstechnische Mindestanforderungen, die der Versicherer dem Versicherungsnehmer auferlegt. Mit diesen will der Versicherer schlichtweg sicherstellen, dass der Kunde alle notwendigen IT-Maßnahmen ergreift, damit es nicht zu Daten­schutz­verletzungen aufgrund eines Hackerangriffs kommt.

Da Daten­schutzverstöße jedoch nicht nur von außen sondern auch von innen verursacht werden, sollten Unternehmen zudem vier Grundvoraussetzungen erfüllen, um die Datensicherheit zu erhöhen:

Ernennung eines Daten­schutzbeauftragten

lesen

Haben innerhalb eines Unternehmens mehr als neun Mitarbeiter Zugang zu Kunden- und/oder Mitarbeiterdaten muss laut Bundesdaten­schutz­gesetz ein Daten­schutzbeauftragter ernannt werden. Dieser fungiert als unabhängiges Kontrollorgan und sorgt dafür, dass alle daten­schutzrechtlichen Bestimmungen bezüglich des Umgangs mit personenbezogenen Daten eingehalten werden.

Durchführung von Mitarbeiterschulungen

lesen

Unternehmen sollten regelmäßig Meetings im Bereich Daten­schutz anbieten, um Mitarbeiter für dieses Thema fit zu machen. Sicherheits­maßnahmen, Informationen zu deren Durchführung sowie Maßnahmen, die jeder Mitarbeiter anwenden kann, sind mögliche Themen einer Mitarbeiterschulung.

Beschränkter Datenzugriff für Mitarbeiter

lesen

Sind Sie ein Kleinunternehmen mit nur wenigen Mitarbeitern, empfiehlt es sich, Ihren Mitarbeitern nur Zugriff auf Kundendaten zu geben, die sie für ihre Tätigkeit im Betrieb benötigen. Auf diese Weise wird das Risiko eines leichtfertigen Datenumgangs enorm minimiert.

Facebook, Twitter, Google meiden

lesen

Geben Sie Ihren Mitarbeitern zu verstehen, dass sie vertrauliche Daten niemals mithilfe von Facebook, Twitter oder Google weiterreichen. Leider verfügen diese Konzerne über äußerst missverständlich formulierte Datenrichtlinien, so dass eine Weiterreichung mittels dieser Internetseiten durc­haus riskant sein kann.

Fazit

Während die Betriebs­haftpflicht­versicherung bei nicht-elektronischen Daten­schutz­verletzungen schützt, besteht mit der Cyber-Versicherung die Möglichkeit, die bisher bestehende Lücke im Bereich der digitalen Daten­schutz­verletzung zu schließen. Viele Risiken, die aus der Verletzung der DSGVO entstehen, werden so dank Cyber-Versicherung für Unternehmen versicherbar, wobei jedoch Leistungsunterschiede zwischen den Anbietern bestehen.

Auch sollte man sich darüber im Klaren sein, dass die Cyber-Versicherung kein Freibrief darstellt, um sich nicht mit der DSGVO befassen zu müssen. Denn trotz Versicherung können bestimmte Folgen auftreten, wie etwa Bußgeldforderungen, die aufgrund fehlender richterlicher Entscheidung bisher nicht abgedeckt sind. Um derartige Konsequenzen zu vermeiden, sollten Unternehmen daher auch eigene Maßnahmen zur Datensicherheit ergreifen. Generell ist die Cyber-Versicherung ein zeitgemäßes Produkt, mit dem Sie sinnvoll ihren bestehenden Versicherungs­schutz ergänzen.

Haben Sie alles gefunden?

Schnelle Frage, Kritik oder Feedback?

Wir helfen Ihnen gerne. Professionelle Beratung von echten Menschen. Rufen Sie uns zum Ortstarif an oder schreiben Sie uns per E–Mail.

Foto von Katharina Tennius
Katharina Tennius
Ihre Ansprechpartnerin