DSGVO: Wie Cyberversicherungen bei Datenpannen helfen können

Cyberrisiken und Cyberversicherungen rücken in den Fokus

In der deutschen Industrie wächst entsprechend der Markt für Cyberversicherungen: Jedes siebte Industrieunternehmen (14 Prozent) hat bereits eine Versicherung gegen digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl abgeschlossen. Vor zwei Jahren waren es erst elf Prozent, so eine Studie des Digitalverbands Bitkom. Zudem planen weitere 13 Prozent der Industrieunternehmen konkret, eine solche Versicherung abzuschließen.

Wichtig ist aber der folgende Hinweis: „Eine Cyberversicherung kann eine sinnvolle Ergänzung im Risikomanagement sein, ersetzt aber keine robuste IT-Sicherheit“, so Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung. „Nur wer bei der IT-Sicherheit gut aufgestellt ist, kommt auch als Versicherungsnehmer in Frage.“

Cyberversicherung gegen Datenschutzrisiken

Wie sieht es nun mit den Cyberversicherungen und den Risiken im Datenschutz aus? Cyberversicherungen können nach Attacken etwa die Kosten für die Reparatur von IT-Systemen oder die Wiederherstellung von Daten übernehmen, erläutert der Digitalverband Bitkom. Abgedeckt sind in der Regel auch Schäden, die bei einer Betriebsunterbrechung entstehen. Neben externen Angriffen sind je nach Police auch Bedienungsfehler durch Mitarbeiter oder technische Störungen mitversichert. Unternehmen können sich zudem gegen eigene Datenschutzverstöße absichern. Hier kommen dann die Fragen nach Cyberversicherungen im Licht der Datenschutz-Grundverordnung (DSGVO/GDPR) ins Spiel.

Bereits in der Hiscox Schadensstatistik 2017 waren Datenschutzverstöße im Mittelfeld der Vorfälle: 48 Prozent der deutschen Unternehmen konnten in 2017 mindestens einen Cyberzwischenfall nicht verhindern, davon ging es in 28 Prozent der Fälle um Erpressungstrojaner, in 16 Prozent der Fälle um Datenverlust und Datenschutzverstöße und in sechs Prozent um Malware, um einige Fallbeispiele zu nennen.

Was aber umfasst eine Cyberversicherung bei einem Datenschutzverstoß? Hier müssen Unternehmen immer genau hinsehen, denn es gibt Unterschiede bei den Cyber-Insurances:

Die Ratingagentur Franke und Bornberg veröffentlichte im Oktober 2018 ein Rating für gewerbliche Cyber-Policen im deutschen Markt. Untersucht wurden 35 Tarife und Bausteinlösungen von 28 Anbietern. Noch sind die Leistungsunterschiede groß, wie das Rating zeigt.

Bei der Gothaer Cyberversicherung zum Beispiel besteht Versicherungsschutz für Dritt- und Eigenschäden, die auf einer Datenrechtsverletzung, einer IT-Sicherheitsverletzung oder einem Hacker-Angriff beruhen. Dabei gilt es generell zu beachten, was bei Drittschäden, was bei Eigenschäden und was nur optional versichert werden kann.

Bei der HDI Cyberversicherung gehören zum Beispiel zu den Drittschäden die Schadenersatzansprüche von Dritten, die aus einem Hackerangriff, Datenverlust oder einer Datenrechtsverletzung resultieren können, ebenso unter anderem Verteidigung in Datenschutzverfahren, Erstattung von ausländischen Bußgeldern wegen Datenschutzverletzungen, soweit rechtlich zulässig, sowie Vertragsstrafen wegen Datenvertraulichkeitsverletzungen.

Cyberversicherung ersetzt nicht Sicherheit nach DSGVO

Grundsätzlich bleibt festzuhalten, dass eine Cyberversicherung natürlich kein Freibrief ist, sich nicht mit der DSGVO befassen zu müssen, auch wenn bestimmte Folgen und Schäden bei Datenschutzverletzungen versichert werden können.

Damit ein Betrieb eine Cyberversicherung abschließen kann, muss seine IT ein Mindestmaß an Schutz aufweisen, betont auch der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV). Für eine Cyberversicherung müssen Betriebe zum Beispiel einen Virenschutz installiert haben, ihre Unternehmensdaten mit individualisierten Zugängen für Mitarbeiter sichern und eine regelmäßige Datensicherung machen. Was Cyberversicherungen in der Regel wann leisten, hat der GDV in einer Infografik (PDF) veranschaulicht.

Was zudem beachtet werden muss ist, dass die DSGVO mehrere finanzielle Konsequenzen bei Datenschutzverletzung nennt: Artikel 82 DSGVO nennt Haftung und Recht auf Schadenersatz, daneben gibt es aber noch die möglichen Bußgelder durch die Aufsichtsbehörden sowie weitere Sanktionen (Artikel 84 DSGVO).

Hiscox zum Beispiel erklärt dazu: Straf- und Bußgelder, die unmittelbar gegen den Versicherungsnehmer, ein versichertes Unternehmen oder eine versicherte Person verhängt werden, sind nicht versichert. Nach allgemeiner Auffassung sei ein derartiger Versicherungsschutz in Deutschland auch nicht zulässig.

Die Gothaer Versicherung dagegen meldete, mitversichert seien auch auf Basis der EU-DSGVO verhängte Bußgelder. Trotzdem: Cyberversicherungen können gerade in Zeiten der DSGVO sinnvoll sein, sie sind aber kein Mittel dafür, den oftmals als lästig empfundenen Datenschutz beiseite zu legen oder als reines Versicherungsrisiko einzustufen.