DSGVO – Fluch und Segen zugleich (Teil 1)

DSGVO vs. Cyberversicherung: Neue Datenschutzverordnung! Hier gibt es einen Beratungsansatz zur Cyberversicherung, denn jedes Unternehmen ist betroffen und hat sich damit auseinandergesetzt. Ein perfekter Einstieg in die Beratung!

© TheDigitalArtist – pixabay.com

Ausmaß eines Hackerangriffs

Die Folgen eines Hackerangriffs auf ein Unternehmen sind oft schwerwiegender als die eigentliche Attacke: Schadenersatzforderungen – etwa von betroffenen Kunden – können bei einem solchen Angriff schnell teuer werden, vom zu erwartenden Imageschaden ganz zu schweigen. Doch trotz aller IT-Security-Maßnahmen wird die Anzahl der Cyberattacken auf Unternehmen im Laufe der nächsten Jahre nicht sinken. Dabei ist das Gegenteil eher der Fall. Das bedeutet vor allem, dass Cyberkriminalität ein globales Kriminalitätsproblem ist.

Wird durch Dritte in das IT-Netz Eurer Mandanten eingegriffen, folgen zeit- und kostenintensive Maßnahmen. Das Ganze passiert sogar auch bei erfolgreicher Umsetzung der Datenschutz-Grundverordnung. Mitarbeiter könnten verseuchte E-Mails öffnen, weiterleiten oder wichtige Datenträger mit vertraulichen Informationen verlieren, welche missbraucht werden.

Es wird teuer! Warum?

Die Bundesaufsichtsbehörde für Datenschutz, muss bereits bei dem Verdacht eines Hackerangriffs und dem damit eventuellen Zugriff auf personenbezogenen Daten, innerhalb von 72 Stunden nach Kenntnis, durch das betroffene Unternehmen informiert werden. Unterlässt das Unternehmen die Meldung, kann das mit einem Bußgeld geahndet werden. Dies kann in Höhe von 4% des Jahresumsatzes, max. jedoch 14 Mio. Euro betragen.

Auszug Art. 83 DSGVO

Allgemeine Bedingungen für die Verhängung von Geldbußen.

1. Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
2. Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt (1). Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem individuell geprüft (2):

Und jetzt kommen wir zum Kern! Ist die behördliche Meldung fristgerecht erfolgt, kommt der Kostenapparat erst richtig ins rollen! Er umfasst neben der gesetzlichen Verpflichtung zur Meldung an die Datenschutzbehörde, auch die Informationspflicht der Kunden, des betroffenen (gehackten) Unternehmens.

Wer bezahlt das?

Das muss Unternehmen selbst für die Kosten aufkommen. Es erfordert Zeit und Geld, egal ob eigene Mitarbeiter die Kunden informieren, oder ein Callcenter beauftragt wird. Werden dazu noch das Betriebssystem durch eingespielte schadhafte Software lahmgelegt, Daten gelöscht und/oder gestohlen, müssen diese wieder zeitaufwendig eingespielt werden.

Die Cyber-Versicherung ersetzt je nach Versicherer und gewählten Zusatzbaustein Schäden durch folgende Ereignisse:

  • einer Netzwerk Sicherheitsverletzung;
  • eines Bedienfehlers;
  • einer Datenrechtsverletzung;
  • einer Cyber-Erpressung;
  • einer Rechtsverletzung durch Werbung und Marketing

Wichtige und optionale Einschlüsse

  • 24 Stunden-Soforthilfe im Notfall durch ein Spezialisiertes IT-Unternehmen
  • Kosten für IT-Forensik
  • Kosten für Krisenmanagement und Public-Relations-Maßnahmen
  • Wiederherstellungskosten für Daten und Software
  • Kosten für behördliche Meldeverfahren und Abwehrkosten in Bezug auf behördlichen Verfahren
  • Callcenter-Kosten
  • Cyber-Diebstahl
  • Lösegeld
  • Vertragsstrafen
  • Sicherheitsanalyse und Sicherheitsverbesserungen
  • Cyber-Vertrauensschadenversicherung
  • Cyber-Betriebsunterbrechung und Cyber-Cloud-BU und Ausfall
  • u. v. m.

Fazit:
Auch bei einer erfolgreichen Umsetzung der Datenschutzverordnung droht u. a. zwar kein Bußgeld, jedoch sind für das Unternehmen außerplanmäßige Kosten und schwer kalkulierbare Umsatzeinbußen die Folgen.
Die Cyberversicherung ist ein Must-have für jedes Unternehmen, das von einer funktionierenden IT abhängig ist und jederzeit Zugriff auf seine Daten benötigt, auch mobil. Aber auch für die Unternehmen, denen bei Verletzungen von Datenschutzverordnungen Nachteile oder ein Reputationsschaden drohen. Alle genannten Punkte können ein Unternehmen in eine existenzielle Krise bringen.




Komentar verfassen

Die E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.