Data Breaches: Sind Datenpannen versicherbar?

 

Jeder Verlust der vollständigen Kontrolle über in ihrem Unternehmen gespeicherte Daten sind Data Breaches. Wenn man nicht mehr kontrollieren kann, was mit den Daten passiert, ist man betroffen. Heikel wird es natürlich wenn die Kontrolle über personenbezogene Daten verloren geht.

 

Welche Folgen hat eine derartige Datenpanne?

Sobald eine Datenpanne erkannt wird, sind einige wichtige Schritte vorzunehmen. So sind die Datenschutzbehörde und auch betroffene Personen zu informieren, der Abfluss weiterer Daten zu verhindern, der Vorfall zu analysieren und Vorkehrungen zu treffen, um zukünftig Datenpannen zu verhindern. Nicht zuletzt sind IT-Syteme wiederherzustellen und Schäden betroffener Personen zu beseitigen

 

Verlauf der Datenpanne

Der Verlauf einer Datenpanne hat in der Praxis typischerweise zehn Phasen, die zumeist folgende Reihung aufweisen:

 

  1. Ungewollter Abfluss der Daten aus der Datenhoheit des für Verarbeitung Verantwortlichen an sich
  2. Erkennen des ungewollten Datenabflusses durch den für Verarbeitung Verantwortlichen
  3. Verhinderung eines weiteren Datenabflusses
  4. Einschätzen der Art und Schwere der nachteiligen Folgen für betroffene natürliche Personen
  5. Beginn der Minimierung möglicher Folgeschäden für betroffene natürliche Personen
  6. Unverzügliche Information der vermeintlich betroffenen natürlichen Personen, hinsichtlich der Verletzung des Schutzes ihrer personenbezogenen Daten
  7. Information über die Datenpanne an die Aufsichtsbehörde (definiert in Art 51; Österreichische Datenschutzbehörde'), binnen 72 Stunden)
  8. Maßnahmen zur Schadensbeseitigung zugunsten der betroffenen natürlichen Person, eventuell unter Auflagen der Aufsichtsbehörde
  9. Analyse des kompletten Herganges der Datenpanne
  10. Vorkehrungen zur Verhinderung zukünftiger Datenpannen, eventuell unter Auflagen der Aufsichtsbehörde

 

(Mit freundlicher Genehmigung entnommen: Markus Oman, Daten weg – was nun?, in Knyrim (Hrsg), Datenschutz-Grundverordnung (2016) Seite 209,210)

Kann ich mich vor ungewollten Datenpannen schützen?

Möglich und notwendig ist es, technische Vorkehrungen zu treffen, um Data Breaches vorzubeugen. Passwortrichtlinien, Firewalls, Mitarbeiterschulungen, externe Datensicherungen, Datenverschlüsselung und Zugangsrichtlinien sind unvermeidbar. Aber wie jedes noch so gute Schloss nicht jeden Einbruch verhindern kann, so senken diese Vorkehrungen bloß das Risiko einer Datenpanne. Einen vollständigen Schutz gibt es leider nicht.

 

Versichern kann helfen?

Für den Bereich IT-Systeme bieten Versicherer umfangreiche Produkte an, um Kosten infolge Hackerangriffe, Schadsoftware oder auch Denial of Service Attacken abzudecken. Der Versicherer hilft nach Abzug eines Selbstbehaltes den Schaden finanziell zu stemmen und übernimmt die vereinbarten Kostenpositionen. Hier kann zwischen Eigenkosten und Abdeckung Haftpflichtansprüche Dritter unterschieden werden. Darüber hinaus werden oftmals auch Dienstleistungen wie IT-Analysen nach Abschluss des Vertrages oder Notfallnummern nach Eintritt eines Versicherungsfalles angeboten.

 

Welche Eigenkosten kann ich abwälzen?

Die oben aufgezählten Folgen der Datenpanne bewirken zwangsläufig, dass externe Profis notwendig werden. Angebotene Versicherungen orientieren sich daran und bieten entsprechende Deckungsbausteine an:

 

⇒ IT-Profis

Um das eigene IT-System wiederherzustellen, abzusichern und Daten wiederherzustellen wird Zeit und entsprechendes Fachwissen benötigt. Weiters benötigt man IT-Forensiker, um festzustellen, ob und wenn ja, auf welche Daten zugegriffen wurde und welche Personen betroffen sind.

 

⇒ Rechtsanwälte

Nicht zuletzt aufgrund der angedrohten Strafen empfiehlt sich die rechtliche Unterstützung, um gesetzlichen Melde- und Anzeigepflichten einzuhalten.

 

⇒ Public-Relations

Betroffen Personen sind zu informieren. Allein dies verursacht Kosten. Gleichzeitig soll die Information aber möglichst ohne Kundenverlust oder ohne Schadenersatzforderungen einher gehen. Marketingprofis können hier helfen.

 

⇒ Betriebsstillstand

Gerade die Wiederherstellung des IT-Systems kann unter Umständen einen längeren (teilweisen) Stillstand des Unternehmens bedeuten. Deckungsbeitrag wird nicht erwirtschaftet oder es fallen Mehrkosten an, um Umsatzeinbußen zu verhindern.

 

Auch Haftpflichtansprüche sind möglich?

Natürlich ist es möglich, dass Ihr Unternehmen für Schäden infolge Datenmissbrauchs zur Verantwortung gezogen werden kann. Dies setzt natürlich ein Verschulden voraus. Aber schlechte Sicherheitsvorkehrungen oder einfach simple Fehler von Mitarbeitern können genau dies bewirken. Möglich sind sowohl Vermögensschäden als auch immaterielle Schäden. Letztere stehen betroffenen Personen zu, wenn z.B. deren Gesundheitsdaten rechtswidrig an die Öffentlichkeiten gelangen. Der Betroffene verliert die Kontrolle über seine Daten der einen Schadenersatzanspruch nach sich zieht. Eine Vorsorge mittels Haftpflichtversicherung empfiehlt sich!

 

Was leistet die Haftpflichtversicherung?

Dieser Schutz hat zwei Funktionen. Einerseits deckt er berechtigte Ansprüche Dritter im vereinbarten Ausmaß. So können Kosten im Zusammenhang mit elektronischen Zahlungsmitteln (Bankkonten, Kreditkarten) abgedeckt werden. Auch Überwachungsdienstleistungen, um Schäden betroffener Personen zu verhindern bzw. Kreditkartenmonitoring, sind abdeckbar.

 

Wichtiger Hinweis: Die Übernahme von Schadenersatzansprüchen infolge immaterieller Schäden sind gesondert zu vereinbaren!

 

Weiter oben werden Strafen angesprochen?

Leider werden im Bereich Datenschutz auch Strafen angedroht. Wenn ein Strafbescheid ins Haus flattert muss man dies nicht einfach akzeptieren. Sich gegen Strafandrohungen zu wehren lohnt, so können Strafen ganz vermieden, oder gemindert werden.

 

Gegen Strafen kann ich mich aber nicht versichern?

Die verhängte Strafe muss der Täter immer aus eigener Tasche bezahlen, aber Rechtsschutz bei ungewollten Data Breaches ist möglich. Somit können Kosten um Strafen zu verhindern oder abzumindern, wie jene für Anwälte, auf den Versicherer abgewälzt werden.

Informationen zu:



Firma:
Titel:
Vorname:
Nachname:



Straße:
PLZ Ort:
Telefon:
E-Mail Adresse:



Bemerkungen:


Ja, ich möchte kontaktiert werden.

 
Zur├╝ck zum aktuellen Newsletter

Disclaimer: Die Inhalte des Newsletters dienen ausschließlich zur Information und stellen weder eine Aufforderung, noch ein Anbot oder eine Annahme zum Abschluss eines Vertrages oder sonstigen Rechtsgeschäftes dar oder sollen eine derartige Entscheidung auch nicht beeinflussen. Die Inhalte dienen nicht als Finanz-, Versicherungs- oder Unternehmensberatung und dürfen daher nicht als solche ausgelegt werden. Die Informationen wurden mit der größtmöglichen Sorgfalt unter Verwendung von als zuverlässig eingestuften Quellen erstellt. Trotzdem kann keinerlei Haftung für die Richtigkeit, Vollständigkeit, Aktualität oder dauernde Verfügbarkeit der zur Verfügung gestellten Informationen übernommen werden. Alle Inhalte des Newsletters dienen ausschließlich der Nutzung zum persönlichen Gebrauch und dürfen nicht (in jeglicher Form) kommerziell wiederverwertet werden.


Datenschutzerkl├Ąrung

Bildnachweis  | © rawpixel / pixabay