Der Europäische Gerichtshof sorgt für verschärfte Haftung bei DSGVO-Verstößen, zum Glück kann die Schadenersatzpflicht versichert werden. Fotograf: Laurent Verdier via Pixabay

EuGH verschärft Datenschutz-Haftung – zum Glück lassen sich Datenschutzverletzungen versichern

Die Rechtsprechung des EuGH der letzten Monate verschärft das Risiko, für Datenschutzverletzungen zu haften. Unternehmen können solche Schadenersatzforderungen versichern. Allerdings ist der Versicherungsmarkt schwierig. Als Fach-Versicherungsmakler sorgt die Berliner acant.service GmbH für optimalen Schutz vor ruinösen Schadenersatzklagen aufgrund von Datenschutzverletzungen.

Schadenersatz für Datenschutzverstöße: neue Rechtsprechung steigert das Risiko

Der Europäische Gerichtshof hat in den letzten Monaten mehrere Entscheidungen zur DSGVO und zum Datenschutzrecht getroffen. In der Summe steigern sie das Risiko von Unternehmen, für Datenschutzverletzungen haften zu müssen, beträchtlich.

So können bereits „gefühlsmäßige Beeinträchtigungen“ durch eine Datenschutzverletzung Schadenersatzansprüche begründen. Mehr noch: allein schon die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann Schadenersatz rechtfertigen.

Angesichts dieser Entwicklung wird die Möglichkeit, das Unternehmen durch eine Cyberversicherung auch gegen DSGVO-Verstöße zu versichern, immer wichtiger. Gleichzeitig wird der Versicherungsmarkt zunehmend schwierig. Der Berliner Makler acant.service GmbH hilft Unternehmen dabei, individuell passenden Versicherungsschutz zu gestalten.

Der EuGH und die Schadenersatzpflicht für DSGVO-Verstöße

Der Europäische Gerichtshof hat sich in den letzten Monaten in einer ganzen Reihe von Urteilen zur Haftung für Datenschutzverstöße geäußert. Einige der Entscheidungen sind bemerkenswert:

  • Zwar reicht ein DSGVO-Verstoß für sich genommen nicht, um Schadenersatz zu fordern. Dafür genügen jedoch bereits kleine und auch immaterielle Schäden, beispielsweise „vorübergehende gefühlsmäßige Beeinträchtigungen“ durch den Datenmissbrauch. Eine Bagatellgrenze gibt es nicht. Dieses Fazit aus EuGH, 04.05.2023 – C-300/21 ist besonders dann fatal, wenn Daten einer großen Zahl von Personen missbraucht oder gestohlen werden: diese können dann grundsätzlich alle eine jeweils kleine, in der Summe aber sehr umfangreiche Entschädigung fordern. In dem Fall klagte ein Mann, dem die österreichische Post ohne Einwilligung eine hohe Affinität zu einer bestimmten Partei zugeordnet hatte. Er machte „großes Ärgernis“, einen „Vertrauensverlust“ und ein „Gefühl der Bloßstellung“ als Schaden geltend und forderte 1.000 Euro.

  • Unbefugter Zugriff auf personenbezogene Daten bedeutet zwar nicht automatisch, dass die Datenschutzmaßnahmen unzureichend waren. Allerdings ist das Unternehmen in der Beweispflicht, bei dem sich das Datenleck ereignet hat. Es muss nachweisen, dass es „in keinerlei Hinsicht“ verantwortlich ist. Und wenn eine betroffene Person den Missbrauch ihrer Daten auch nur befürchtet, kann das einen immateriellen Schaden darstellen, der zu Schadenersatz berechtigt. So kann man EuGH, 14.12.2023 – C-340/21 zusammenfassen. Die Klage drehte sich um einen Cyberangriff auf die IT-Systeme der bulgarischen Steuerverwaltung.

  • Datenschutzrechtlich Verantwortliche, also etwa Unternehmen, haften zwar nur dann für Missbrauch der von ihnen gespeicherten personenbezogenen Daten, wenn ihnen ein Verschulden anzulasten ist. Die Höhe der Entschädigung ist jedoch nicht an den Grad des Verschuldens gekoppelt. Damit sind selbst bei geringem Verschulden hohe Entschädigungen möglich, wenn der Datenverlust oder -missbrauch bei den Betroffenen zu hohen Schäden führt. Das Urteil EuGH, 21.12.2023 – C-667/21 kam zustande, nachdem der Angestellte des Medizinischen Dienstes einer Krankenkasse gegen seinen Arbeitgeber klagte.
    Auf seiner Grundlage werden jedoch auch hohe Schadenersatzpflichten begründbar, falls kleine technische Versäumnisse, von einfallsreichen Hackern für großangelegten Datendiebstahl genutzt werden.

  • Um Schadenersatzforderungen zu begründen, müssen Hacker gestohlene Daten nicht zum Identitätsdiebstahl genutzt haben. Ein entsprechender, immaterieller Schaden kann bereits dann bestehen, wenn Daten gestohlen wurden, die die Betroffenen identifizierbar machen. Das ergibt sich aus dem Schlussantrag des Generalanwalts zu den Fällen EuGH – C-182/22 und EuGH – C-189/22, die sich auf eine Datensicherheitsverletzung bei dem Broker Scalable Capital beziehen. Der EuGH hat noch nicht entschieden, folgt aber häufig dem Schlussantrag der Generalanwaltschaft.

Cyberversicherungen und Rechtsschutzversicherungen schützen

Das Risiko datenschutzrechtlicher Haftung wird für Unternehmen kontinuierlich brisanter. Dafür sorgen einerseits immer neue und raffinierte Angriffsmethoden von Cyber-Kriminellen. Andererseits setzt der europäische Gerichtshof einen Rechtsprechungsrahmen, der Schadenersatzforderungen gegen Unternehmen aufgrund von DSGVO-Verstößen in vielen Fällen begünstigt.

Ein Teil der notwendigen Reaktion sind professionelle IT-Sicherheit und Datenschutzvorkehrungen. Doch das genügt nicht. Solche Vorkehrungen gewährleisten nie komplette Sicherheit. Umso wichtiger ist Versicherungsschutz als Ergänzung:

  • Die finanziellen Folgen von Datenschutzverletzungen sind im Standardumfang von Cyber-Versicherungen abgedeckt. Eine Versicherungspolice fängt in der Regel die DSGVO-Schadenersatzpflichten nach einem erfolgreichen Hackerangriff auf.
  • Eine Rechtsschutzversicherung verhindert, dass Rechtsstreitigkeiten nach einem Datenverlust das betroffene Unternehmen ruinieren.

Als Fachmakler hilft acant dabei, den richtigen Versicherungsschutz zu erhalten

Allerdings ist der Markt für Cyber-Versicherungen in den letzten Jahren deutlich schwieriger geworden. Grund sind die massiv gestiegenen Schadensfälle durch erfolgreiche Angriffe auf Unternehmen. Die Versicherer bestehen auf umfangreichen Auflagen und Prüfungen. Außerdem haben sich die Versicherungsbedingungen vieler Angebote klar verschlechtert. Es wird schwieriger, individuell passende Policen zu finden bzw. auszuhandeln.

Umso wichtiger ist die Unterstützung und Beratung durch einen Fachmakler für Cyberversicherungen. Die acant.service GmbH hat 2013 als einer der ersten Versicherungsmakler in Deutschland die Vermittlung von Cyberpolicen begonnen. Inzwischen blickt das Berliner Unternehmen auf mehr als zehnjährige Erfahrung zurück: es kennt den Markt genau, hat direkte Kontakte zu den einschlägigen Versicherern und weiß, wie man auch in einem herausforderungsvollen Markt optimalen Cyber-Versicherungsschutz und individuelle Lösungen gewährleistet.
Interesse? Rufen Sie uns an (0176 10318791) oder schreiben Sie uns eine Nachricht!

IT-Dienstleister hat die Zugangsdaten: Datenschutzverstoss - Symbolbild: Photo Mix via Pixabay

Datenklau mit Zugangsdaten des IT-Dienstleisters: Schadenersatz

Wer hat eigentlich Zugangsdaten zu Ihren IT-Systemen?

Nicht gelöschte Zugangsdaten werden schnell zum teuren Risiko. Zur IT-Sicherheit im Unternehmen gehört es, Zugänge von Mitarbeitern und Dienstleistern regelmäßig zu überprüfen und bei Bedarf zu löschen.

Wenn ein Unternehmen die Zugangsdaten früherer Mitarbeiter und Dienstleister nicht deaktiviert und Unbefugte damit Daten stehlen, drohen Schadenersatzansprüche – und die können ohne Versicherung existenzbedrohend werden.

All das zeigt ein Fall, über den das Landgericht München I vor kurzem entschieden hat (LG München, 09.12.2021 – 31 O 16606/20). Das Urteil unterstreicht, warum Unternehmen unbedingt ihre Haftung für Datenschutzverstöße versichern sollten.

Haftung für Kundendaten, die über den Zugang eines Dienstleisters gestohlen wurden

Das Gericht sprach einem früheren Kunden des Finanzdienstleisters Scalable Capital 2.500 Euro Schadenersatz und einen zusätzlichen Anspruch auf Ersatz aller noch entstehenden Schäden zu.

Der Mann hatte bei dem Online-Broker ein Depotkonto eingerichtet und dazu viele personenbezogene Daten übermittelt. Diese fielen unbekannten Datendieben in die Hände: von der Post- und E-Mail-Adresse sowie der Handynummer über das Geburtsdatum und die Steuer-ID bis zu Wertpapierabrechnungen und der IBAN des Referenzkontos. Auch eine Ausweiskopie und das Porträtfoto fürs Post-Ident-Verfahren wurden entwendet.

Ausgangspunkt waren Zugangsdaten von CodeShip Inc., ein früherer Cloud- bzw. SaaS-Dienstleister von Scalable Capital („Software as a Service“, Cloud-Hosting von Anwendungen). Obwohl die Geschäftsbeziehung schon 2015 geendet hatte, funktionierte der CodeShip-Zugang zur IT von Scalable Jahre später noch immer. Mit diesen Zugangsdaten unternahmen Unbekannte drei großen Daten-Raubzüge: im April, im August und im Oktober 2020 wurden 389.000 Datensätze von insgesamt 33.200 Scalable-Kunden ausgelesen. Die Informationen wurden später für versuchten Kreditbetrug genutzt und im Darknet zum Verkauf angeboten.

Zugangsdaten beim Dienstleister, Haftung beim Auftraggeber

Scalable muss also zahlen, obwohl für den Hack bei CodeShip hinterlegte Zugangsdaten missbraucht wurden. Dabei befasste sich das Gericht gar nicht erst mit der möglichen Verantwortlichkeit von Scalable für Sicherheitsmängel beim früheren Dienstleister. Es sah entscheidende Versäumnisse bei dem Online-Broker selbst: Der hätte den Zugang des ehemaligen Geschäftspartners längst deaktivieren bzw. die Löschung des Zugangs überprüfen müssen.

Stattdessen verließ er sich fahrlässigerweise darauf, dass der frühere Geschäftspartner die Zugangsdaten schon löschen würde. In diesem Versäumnis sahen die Richter einen Datenschutzverstoß. Dieser führte zur Haftung des Finanzunternehmens. Es nützte ihm wenig, dass er nach dem Vorfall sofort Gegenmaßnahmen getroffen hatte und dem betroffenen Kunden noch kein konkreter materieller Schaden entstanden war.

Dem Unternehmen droht eine Klagewelle

Die 2.500 Euro plus Zinsen, die dem klagenden Kunden zugesprochen wurden, sollte man nicht unterschätzen. Von der Datenschutzverletzung waren wie erwähnt mehr als dreißigtausend Kunden betroffen. Sollte sich eine größere Anzahl von ihnen zur Klage entschließen, können schnell gewaltige Summen zusammenkommen.

Das Risiko von Datenschutzverletzungen lässt sich versichern!

  • Immer häufiger gestehen die Gerichte den Betroffenen einer Datenschutzverletzung Anspruch auf Schadenersatz zu.
  • Ein konkreter finanzieller Schaden muss dafür nicht vorliegen. Auch Nichtvermögensschäden begründen Entschädigungsansprüche, etwa Identitätsdiebstahl, Rufschädigung, gesellschaftliche Nachteile oder der Verlust der Vertraulichkeit (LG München I, 02.09.2021 – 23 O 10931/20).
  • Dazu kommen Bußgelder. Die sind bei Verstößen gegen die Datenschutzvorschriften oft von empfindlicher Höhe.

  • Der Verweis auf das hohe IT-Sicherheitsniveau nützte Scalable Capital vor Gericht gar nichts. Ja, die IT-Infrastruktur war gemäß ISO 27001 zertifiziert. Entscheidend war jedoch der nicht gelöschte Zugang. Das bestätigt wieder einmal: Selbst aktuelle Technik und Zertifizierungen garantieren keine IT-Sicherheit. Genau deshalb sind Versicherungen sinnvoll.

  • Die gute Nachricht: Die Haftung aus Datenschutzverstößen lässt sich versichern, solange sie nicht gerade vorsätzlich begangen werden. Auch für das Risiko der Unternehmensleitung, für solche Vorfälle persönlich zu haften, gibt es Versicherungsschutz. Das Gleiche gilt für Eigenschäden aus einer Cyber-Attacke.

acant hilft Ihnen beim Risikomanagement

Wir von acant sind Spezialversicherungsmakler für technische Unternehmensrisiken, Cyber-Bedrohungen und Manager-Haftung. Wir beraten Sie gerne dazu, wie sich das Risiko der Datenschutzhaftung in Ihrem Unternehmen betriebswirtschaftlich sinnvoll versichern lässt. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns!

Digitalisierungspflicht für Lohn-Unterlagen, Symbolfoto: Jana Schneider via Pixabay

Lohnbuchhaltung: Digitalisierungspflicht für begleitende Lohndokumente

Neue Digitalisierungspflicht für Arbeitgeber

Schon seit dem Beginn des Jahres 2022 gilt für Arbeitgeber in Deutschland eine neue Digitalisierungspflicht. Eine ganze Reihe von Dokumenten zum Lohnkonto müssen in elektronischer Form bereitgestellt werden, wenn die Krankenkasse oder ein Betriebsprüfer der Deutschen Rentenversicherung danach fragt.

Die wichtigsten Informationen zur Digitalisierungspflicht stehen in einem „Gemeinsamen Rundschreiben der Sozialversicherungen“ vom 18. März 2022.

Welche Lohndokumente müssen digital vorliegen? Die Pflicht gilt zum Beispiel für die Erklärung eines Minijobbers, mit der er auf Rentenversicherungsbeiträge verzichtet, für Semesterbescheinigungen von Werkstudenten, für Bescheinigungen zur Staatsbürgerschaft  und für A1-Bescheinigungen von Mitarbeitern auf Auslands-Geschäftsreise. Die vollständige Liste findet sich in etwas verklausulierter Form im Gesetz: § 8 Abs. 2 Beitragsverfahrensverordnung.

Müssen jetzt alle alten Unterlagen eingescannt werden? Nein, das ist nur Pflicht, wenn ein Dokument seit Jahresbeginn 2022 ausgestellt wurde. Weiterreichende Digitalisierung ist freiwillig.

Wie müssen die Dokumente digital vorliegen? Erlaubt sind die Dateiformate PDF, TIFF, JPG, BMP und PNG. Die Archivierung muss gemäß GoBD erfolgen – d. h. revisionssicher (jede Änderung eines Dokuments muss  erkennbar sein) und für Außenstehende nachvollziehbar geordnet. Dokumente wie ein Gehaltsverzicht, die auf Papier eine Unterschrift erfordern, müssen in der digitalen Version eine fortgeschrittene oder qualifizierte Signatur aufweisen.

Was tun, wenn die Voraussetzungen für digitale Signaturen fehlen? Dann ist es gestattet, sich mit einem unsignierten Scan eines Papierdokuments zu behelfen. In diesem Fall muss der Arbeitgeber die Papierversion ebenfalls aufbewahren.

Gibt es eine Möglichkeit, sich den Digitalsierungsaufwand zu ersparen? Ja, bis einschließlich 2026 können Unternehmen sich davon befreien lassen. Den Antrag müssen sie an das regionale Prüfbüro der Deutschen Rentenversicherung richten.

Risikomanagement für Arbeitgeber: Parallel zum Digitalisieren versichern

Schon seit langem müssen Arbeitgeber alle Meldungen zur Sozialversicherung elektronisch übermitteln. Mit der anstehenden Einführung einer elektronischen Arbeitsunfähigkeitsbescheinigung und der Digitalisierungspflicht für Lohnunterlagen wächst die Zahl der digitalen Informationen in der Lohnbuchhaltung immer weiter an.

Das Problem: Viele der personenbezogenen Arbeitnehmerdaten, mit denen Arbeitgeber zwangsläufig zu tun haben, sind von der DSGVO besonders geschützt. Das gilt zum Beispiel für Angaben zum Einkommen, zu einer Lohnpfändung oder zu krankheitsbedingten Ausfallzeiten. Und natürlich für alle Stammdaten wie Name, Adresse, Kontonummer und Zahl der Kinder.

  • Werden solche Daten zur Beute eines Hackers, haftet der Arbeitgeber. Das gilt selbst dann, wenn sich der Datendiebstahl beim Steuerberater oder beim Lohnabrechnungsdienstleister ereignet.
  • Genauso problematisch ist es, wenn ein Verschlüsselungstrojaner ins Unternehmen eingeschleust wird und die Ransomware vorgeschriebene Lohn-Unterlagen unlesbar macht. Auch dann haftet der Arbeitgeber für den Verlust der Dokumente

Gemessen an diesem Risiko sind die Prämien für eine Cyberversicherung, die vor den Folgen eines Datendiebstahls schützt, Peanuts: In den meisten Fällen kostet sie nicht mehr als wenige Promille vom Jahresumsatz.

Fragen? Wir von acant können Sie beantworten. Schreiben Sie uns, oder rufen Sie an: 030 863 926 990.

Datenschutzversto? Bußgeld versichern - Symbolbild: Steve Buissinne via Pixabay

Eine Versicherung gegen Datenschutzverstöße

Zack, Datenschutzverstoß, Bußgeld: Geht im Geschäftsalltag ganz schnell

Vor kurzem hat Dagmar Hartge, die Brandenburgische Landesdatenschutzbeauftragte, ihren Tätigkeitsbericht 2020 veröffentlicht. Der Bericht liefert viele Beispiele dafür, wie schnell ein Unternehmen ins Visier der Datenschützer gerät. Die Folge ist dann häufig ein Bußgeld, das wehtut.

Einige Beispiele:

  • Ein Kreditvermittler schickt einem potenziellen Kreditnehmer eine abschlägige E-Mail. Darin nennt er dessen negative Schufa-Werte. Weil die E-Mail nicht komplett verschlüsselt ist, moniert der Abgelehnte einen Datenschutzverstoß. Die Landesdatenschutzbeauftragte sieht es genauso: Der Kreditvermittler wird offiziell verwarnt.
  • Ein Immobilienmakler soll ein Haus an Käufer vermitteln. In den Werbeunterlagen veröffentlicht er Fotos, die er vom Eigentümer bekommt. Darunter sind auch Fotos einer Einliegerwohnung. Die Mieter sehen eine Datenschutzverletzung. Auch dafür gibt es eine Verwarnung.
  • Ein anderes Immobilienunternehmen macht Drohnen-Fotos von Objekten, die es verkaufen will. Dummerweise sind auch Teile der Nachbargrundstücke abgebildet. Deren Eigentümer beschweren sich. Die Landesdatenschutzbeauftragte übt Druck aus, bis das Immobilienunternehmen die Fotos von der Website nimmt.
  • Ein Wirt benutzt die Kontaktdaten-Liste seiner Gäste, die er wegen Corona führen muss, um ihnen Werbung zu schicken. Das darf er aber nicht – Bußgeld.
  • Eine Ballettschule veröffentlicht auf Facebook Bilder, auf denen die Mädchen beim Tanzen zu sehen sind. Die Eltern wurden nicht um Erlaubnis gefragt. Ergebnis: Ein Bußgeld in vierstelliger Höhe.
  • Günstiger kommt eine Arzthelferin davon, die sich in einen Patienten der Praxis verliebt. Sie kontaktiert ihn über die Telefonnummer in der Patientendatei. Auch das ist ein Datenschutzverstoß. Immerhin ist ihr Bußgeld nur dreistellig.
  • Ein Tourismus-Unternehmen lässt seine Datenbank mit Kunden und Gastgebern ungesichert im Netz. Als das Landesamt vorstellig wird, bleiben trotz erster Korrekturen Sicherheitslücken. Das Unternehmen muss sich auf ein Bußgeld einstellen.

Datenschutzverstoß? Diese Kosten übernimmt Ihre Cyber-Versicherung

  • Manche Cyber-Versicherungen versichern DSGVO-Bußgelder, soweit dies gesetzlich erlaubt ist. (Natürlich nicht bei Vorsatz.)
  • Beim Vorwurf eines Datenschutzverstoßes braucht man den Anwalt. Und auch schon vorher: Dann, wenn man herausfinden will, ob ein Datenschutzverstoß vorliegt, über den man die Behörden informieren muss. Die Kosten für beides sind als Teil der Cyber-Deckung versicherbar.
  • Viele Cyber-Versicherungen haben selbst spezialisierte Anwälte unter Vertrag, die im Notfall direkt helfen.
  • Nach einem Datenschutzverstoß haben die Betroffenen Anspruch auf Schadenersatz. Solche Forderungen decken Cyber-Versicherungen ebenfalls.
  • Wenn der Geschäftsführer dafür haften soll, dass der Datenschutzverstoß möglich war, deckt eine D&O-Versicherung (Manager-Haftpflichtversicherung) die Schadenersatzforderung .
  • Viele Cyber-Versicherer stellen Fachleute für Krisen-PR. Sie helfen bei einem Datenschutz-Gau, Imageschäden zu minimieren.

acant hilft beim Eindämmen der DSGVO-Risiken

Datenschutz ist eine gute Sache. Für Unternehmen wird er allerdings schnell zum Glatteis. Es gibt einfach zu viele Möglichkeiten, im Geschäftsalltag gegen Datenschutzbestimmungen zu verstoßen.

Dieses finanzielle Risiko lässt sich durch eine Cyber-Versicherung weitgehend eindämmen, genauso wie die Schäden durch Hacker und Trojaner. acant ist als Spezialmakler für Cyber-Policen der richtige Ansprechpartner.

Wir finden die Versicherung, die Sie und Ihr Unternehmen optimal schützt. Schreiben Sie uns oder rufen Sie uns an: 030 863 926 990

elektronische Patientenakte, Symbolfoto: Bokskapet via Pixabay

Elektronische Patientenakte: Ärzte als Hochrisikogruppe beim Datenschutz?

Die elektronische Patientenakte soll die Digitalisierung im Gesundheitswesen forcieren

Bundesgesundheitsminister Spahn treibt die Pläne zur raschen Digitalisierung im Gesundheitswesen voran. Das Patientendaten-Schutzgesetz ist seit kurzem in Kraft. Es bringt die elektronische Patientenakte (ePA), das E-Rezept und eine einheitliche Infrastruktur für den Datenaustausch im Gesundheitswesen (Telematik-Infrastruktur, TI).

Die Digitalisierung ist sinnvoll und überfällig. Wenn Versicherte direkten Überblick über ihre Arbeitsunfähigkeiten, Behandlungen, Impfungen, Krankenhausaufenthalte, Vorsorgetermine und Rezepte haben, ist das positiv. In anderen Ländern existieren die Voraussetzungen dafür schon längst. Es gibt keinen Grund, warum der Datenaustausch zwischen Ärzten, Kliniken, Versicherern und Apotheken nicht digital stattfinden sollte. Dass Patienten selbst kontrollieren, wer Zugriff auf Befunde, Diagnosen und andere Daten hat, ergibt Sinn.

Das Problem ist das Datenschutzrisiko. Der Bundesdatenschutzbeauftragte Ulrich Kelber rät laut „Deutschland sicher im Netz“ von der Nutzung der elektronischen Patientenakte ab. Außerdem will er die Krankenkassen verpflichtend anweisen, die ePA-Apps gesetzeskonform zu gestalten. Dummerweise ist das technisch offenbar erst ab 2022 möglich.

Ärzte müssen die elektronische Patientenakte auf Wunsch ausfüllen.

Die gesetzlichen Krankenkassen müssen seit Jahresbeginn ihren Versicherten die elektronische Patientenakte bereitstellen, zum Beispiel per App fürs Smartphone. Die privaten Krankenversicherungen sind erst ab 2022 dazu verpflichtet. Ärzte, Therapeuten, Apotheken etc. haben die ePA mit Daten zu befüllen, wenn der Patient es wünscht.

Das Problem: Bislang kann der Versicherte nicht „granular“ vorgeben, welchem Arzt er welche Informationen zugänglich macht. Das ist zwar vorgeschrieben, soll aus technischen Gründen jedoch erst nächstes Jahr kommen. Im Moment sieht damit im Zweifel auch der Zahnarzt, dass die Patientin letztes Jahr einen Schwangerschaftsabbruch hatte oder der Patient in psychiatrischer Behandlung ist.

Auch im Praxisalltag dürfte es neue datenschutzrechtliche Risiken geben – etwa dann, wenn die Mitarbeiterin an der Rezeption dem älteren Patienten hilft, die App zu bedienen. Oder wenn Hacker versuchen, an dieser Nahtstelle den Datenaustausch abzuschöpfen oder die App zu kompromittieren.

Wer trägt das Datenschutz-Risiko?

Das Risiko für die Heilberufe liegt auf der Hand. Fehler werden dem niedergelassenen Arzt und seinen Mitarbeitern angelastet werden. Das gilt auch dann, wenn der Patient missverständlich kommuniziert oder mögliche Mängel der Infrastruktur Datenverluste begünstigen.

Der Praxis-Inhaber ist dafür verantwortlich, dass das Datenschutzniveau in der Praxis sowohl technisch wie organisatorisch gewahrt bleibt. Er muss eine angemessene IT-Sicherheit gewährleisten, dafür sorgen, dass stets die notwendigen Einwilligungen vorliegen und keine unbefugten Mitarbeiter Zugriff erhalten. Dafür haften die Ärztin oder der Therapeut.

Noch ist die ePA in der Testphase – aber an die Versicherung sollten Ärzte und Therapeuten schon jetzt denken

Bis jetzt ist die ePA noch in der Testphase. Ab dem zweiten Halbjahr 2021 sollen dann alle Patienten die entsprechenden Apps nutzen können, und alle Arztpraxen die Akten auf Wunsch elektronisch ausfüllen. Ab 2022 werden weitere Nachweise digitalisiert, zum Beispiel der Mutterpass oder das Zahnarzt-Bonusheft.

Für Ärzte, Therapeuten und alle anderen, die am Austausch von Patientendaten über die Telematik-Infrastruktur im Gesundheitswesen mitwirken dürfen/müssen, gibt es eine klare Empfehlung: rechtzeitig eine passende Cyber-Versicherung für niedergelassene Praxen abschließen, die auch Datenschutzverstöße abdeckt. Fragen Sie uns nach den Einzelheiten: Wir von acant sind Spezialmakler für Cyber-Versicherungen und kennen uns mit der Deckung von Datenschutzrisiken aus.

Patientendaten sind für Datendiebe sehr, sehr wertvoll

Man kann nicht oft genug darauf hinweisen: Patientendaten sind für Hacker wie Goldstaub. Ein eindrückliches Beispiel war der Diebstahl von 40.000 digitale Patientenakten in Finnland – mit Adressdaten und den Notizen der behandelnden Psychotherapeuten.

Und selbst, wenn es nicht so schlimm kommt: Selbst ein Fehler im Praxisalltag kann direkt zu einem Datenschutzverstoß und damit zu einem Bußgeld-Verfahren führen. DSGVO-Bußgelder sind von empfindlicher Höhe – bis zu zwei Prozent vom Jahresumsatz sind möglich.

Haben Sie Fragen zur Cyber-Versicherung speziell im Gesundheitswesen? Rufen Sie uns einfach unter 030 863 926 990 an oder schreiben Sie uns eine kurze Nachricht.

Cyber-Versicherung hilft Vereinspräsident nach Datenschutzskandal - Symbolbild: Chiraphat Phaungmala via Pixabay

Stabile Abwehr: ein Bundesligaverein, ein Datenschutzskandal und eine Cyber-Versicherung

Bei uns geht es um Versicherungen, nicht um Fußball. Die internen Querelen beim Bundesligaverein VfB Stuttgart sind aber auch aus Versicherungsmakler- Perspektive interessant. Im Mittelpunkt des Konflikts steht nämlich ein – vermutlich – handfester DSGVO-Verstoß. Eine Cyber-Versicherung spielt ebenfalls eine wichtige Rolle.

Rudelbildung: Offene Eskalation zwischen dem Vorstandschef und dem Aufsichtsratsvorsitzenden

Seit Beginn dieser Saison spielt der VfB Stuttgart als Aufsteiger wieder erste Bundesliga. Bisher sehr erfolgreich. Trotzdem gibt es großen Ärger. Thomas Hitzlsperger, Vorstandvorsitzender der fürs Profigeschäft zuständigen Aktiengesellschaft VfB AG, hat Claus Vogt, seinen Aufsichtsratsvorsitzenden und Präsidenten des VfB e. V. , offen angegriffen.

Ein „tiefer Riss“ gehe durch den Verein, zwischen dem Aufsichtsratsvorsitzenden einerseits und „dem gesamten Vorstand der AG und zahlreichen Gremienmitgliedern aus Präsidium, Aufsichtsrat und Vereinsbeirat sowie Mitarbeiterinnen und Mitarbeitern“ andererseits. „Der Profilierungswunsch eines Einzelnen“ bedrohe die Existenz des VfB. Jetzt will Hitzlsperger selbst e.V.-Präsident werden.

Hintergrund: Der Umgang mit einem massiven DSGVO-Verstoß

Konflikte zwischen Vorstand und Aufsichtsrat gibt es in vielen AGs. Eine derart klare Grätsche hat trotzdem Seltenheitswert. Hauptauslöser des Konflikts ist der Umgang mit einer massiven Datenschutzaffäre, zu der es offenbar von 2016 bis 2018 kam. In dieser Zeit versuchte die Vereinsführung, die Mitglieder von der Ausgliederung des Profigeschäfts in besagte AG zu überzeugen. Rechtzeitig vor der entscheidenden Mitgliederversammlung wurde eine externe PR-Agentur beauftragt. Ihr Job: Guerilla-Marketing bei Facebook & Co. Dazu soll sie aus der Vereinszentrale personenbezogene Daten von Mitgliedern samt Telefonnummern und E-Mailadressen erhalten haben, insgesamt mehr als 200.000 Datensätze.

Es sah nach einem klaren Datenschutz-Verstoß aus. 2020 berichtete der Kicker. Der VfB-Kommunikationschef wurde beurlaubt. Der Landesdatenschutzbeauftragte startete eine Untersuchung. Vogt beauftragte die Berliner Kanzlei Esecon mit eigenen Nachforschungen. Dieses Mandat sei jedoch „ohne Ausschreibung, ohne Kostenschätzung und ohne Projektplan“ erteilt worden und habe zu „ausufernden Kosten“ geführt, so Hitzlsperger. Nun müsse die AG den Verein unterstützen, um ihn vor der Zahlungsunfähigkeit zu bewahren.

Zahlungsunfähig wegen einer Datenschutz-Aufklärung? Nicht, wenn die Cyber-Versicherung einspringt

Die Honorare von Esecon für die Aufklärungsarbeit rund um den DSGVO-Verstoß sollen sich auf 400.000 Euro belaufen – bisher. Viel Geld für einen Verein. Er darf ja, anders als die ausgegliederte AG, keine Gewinne anstreben, und nur begrenzt Rücklagen bilden.

Trotzdem konnte VfB-Präsident Vogt gegen Hitzlspergers Vorwurf mit einem entscheidenden Argument punkten: Die Kosten sind offenbar gedeckt durch eine Cyber-Versicherung, die der Verein mit der Allianz abgeschlossen hat. Die Versicherungssumme soll eine mittlere sechsstellige Summe betragen. Die Aufklärung von Datenschutzverstößen gehört bei einer Cyber-Versicherung in der Regel zu den versicherten Leistungen. Eine gute Cyber-Versicherung schützt nicht nur vor Schäden durch Viren und Trojaner, sondern auch durch DSGVO-Verstöße.

Cyber-Versicherung: Risikomanagement fürs Unternehmen, Absicherung für den Manager

Wie der Machtkampf beim VfB Stuttgart ausgeht, muss sich erst noch zeigen. Aber zwei Dinge stehen bereits fest:

  • Die Folgekosten eines größeren Datenschutzverstoßes können eine Organisation die Existenz kosten. Umgekehrt kann eine Cyber-Versicherung die Existenz retten – wenn man sie hat.
  • Wer als Führungskraft beizeiten eine Cyber-Versicherung abschließt, kann später damit punkten, dass er seiner Sorgfaltspflicht nachgekommen ist und vorgesorgt hat.

Wir von acant vermitteln seit vielen Jahren schwerpunktmäßig Cyber-Versicherungsschutz für Unternehmen, Vereine und andere Organisationen. Wir wissen, worauf es ankommt und wie Sie sich maßgeschneidert absichern. Rufen Sie uns an: 030 863 926 990.

Fotos auf der Betriebsfeier? Einwilligung nötig - Foto: Matan Vizel via Pixabay

Muster-Datenschutzhinweis Foto/Video für Ihre Betriebsfeier

Die Zeit der weihnachtlichen Betriebsfeiern, Vereinsfeste etc. bricht an.

Wenn der Veranstalter (z. B. das Unternehmen) dabei Fotos und Videos machen lässt und die vielleicht auch veröffentlichen will, sollte er die Rechtslage im Auge haben: Er muss die Teilnehmer, Mitarbeiter, Mitglieder oder Gäste vorher darauf hinweisen und sich deren Einverständnis sichern. Sonst droht ein Verstoß gegen Datenschutzvorschriften und Persönlichkeitsrechte.

Praktischerweise hat der Berliner Rechtsanwalt Thomas Schwenke einen Online-Gererator für Datenschutzhinweise zu Foto- und Videoaufnahmen bei Veranstaltungen parat: Datenschutzhinweise zu Foto- und Videoaufnahmen bei Veranstaltungen

In diesem Sinne: frohes Fest und schöne Bilder!

DSGVO-Bußgelder Symbolbild, Foto: Achim Thiemermann via Pixabay

DSGVO-Bußgelder berechnen – und versichern

Konzept für die Bußgeldhöhe bei Datenschutzverstöße durch Unternehmen

Vor kurzem haben die zur „deutschen Datenschutzkonferenz“ zusammengefassten Datenschutzbeauftragten ein Konzept vorgestellt, nach dem sie Bußgelder bei DSGVO-Verstößen berechnen wollen.

Die Kalkulation ist durchaus kompliziert und einzelfallabhängig. Eines lässt sich aber direkt sagen: Es kann sehr schnell sehr teuer werden.

Drei Schritte zum DSGVO-Bußgeld

Grundsätzlich wird ein DSGVO-Bußgeld dem Konzept zufolge in drei Stufen ermittelt:

  1. Ausgangspunkt ist ein „Grundwert“, der vom Jahresumsatz abhängt. Der niedrigste Grundwert (bis 750.000 Euro Jahresumsatz) ist 972 Euro. Liegt der Jahresumsatz bei zwei Mio. Euro, gilt ein Grundwert von 4.722 Euro. Bei 12. Mio. Euro Jahresumsatz sind es schon 38.194 Euro.
  2. Dann kommt ein sogenannter „Faktor“ ins Spiel, mit dem der Grundwert multipliziert wird. Er soll der Schwere des Datenschutzverstoßes entsprechen: wie lange hat der Verstoß gedauert, gab es frühere Vorfälle, wie schwer sind die Folgen für die Betroffenen, … ? Solche Aspekte entscheiden darüber, ob der Grundwert mit einem Faktor von bis zu 12 oder mehr multipliziert wird.
  3. Schließlich gibt es noch eine Korrekturmöglichkeit, um das Bußgeld je nach Einzelfall noch abzumildern, wenn besondere Umstände vorliegen – etwa dann, wenn andernfalls die Insolvenz droht.

Hausnummer: 5.000 Euro Bußgeld für ein Kleinunternehmen bei fehlender Einwilligung

Was dieses Konzept für die Praxis bedeutet, hat Rechtsanwalt Thomas Helbing aus Berlin zusammengefasst. Zitat: „Bei einem mittleren Verstoß gegen materielle Datenschutzvorschriften (z.B. Verarbeitung ohne Rechtsgrundlage) wird der Betrag mit dem Faktor 6 multipliziert. Da kommen bei einem KMU mit einstelligem Millionenumsatz schnell € 50.000,- zusammen und bei einem Freiberufler mit minimalem Umsatz immerhin € 5.000.

Mit anderen Worten: Wenn ein kleines Unternehmen von nicht mehr als einer halben Mio. Euro Jahresumsatz die Daten eines Kunden speichert, ohne dass dessen Genehmigung nachgewiesen werden kann, droht ihm nach Anwalt Helbings Einschätzung bereits ein Bußgeld von rund 5.000 Euro.

Versichern hilft – auch gegen die Kosten von Datenschutzverstößen

Angesichts solcher Summen sollte man juristische Gegenmaßnahmen ausloten, wenn es zum Bußgeldverfahren kommt. Zum Glück lässt sich auch vorher schon etwas tun: Sie können Ihr Unternehmen klug versichern, auch gegen das DSGVO-Risiko:

  • Es gibt Cyber-Versicherungen, die eine Deckung für Bußgelder wegen Datenschutzverstößen umfassen. Ein typisches Beispiel: Sublimit für DSGVO-Bußgelder von 500.000 Euro pro Schadensfall.
  • Präventiven Schutz bietet zudem der Abschluss einer D&O-Versicherung für die Geschäftsführung oder den Vorstand. Ist ein Datenschutzverstoß durch den Manager oder Geschäftsführer verschuldet worden, kann sich das Unternehmen an dessen Haftpflichtversicherung halten (und gleichzeitig ist er selbst vor dem Ruin geschützt).
  • Zudem können Betriebshaftpflicht- und betriebliche Rechtsschutzversicherungen Teile der Kosten abdecken.

Kostenlose Beratung und Prüfung Ihrer Versicherungspolicen

Was Ihre bestehenden betrieblichen Versicherungen im Fall von Datenschutzverstößen bereits abdecken, und wo es Lücken gibt, die Sie schließen sollten, das erfahren Sie von uns: Wir von acant prüfen Ihre Versicherungsverträge und beraten Sie ausführlich. Natürlich ohne, dass Kosten für Sie anfallen.

Interesse? Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Solche Bußgelder werden bereits laufend verhängt

Übrigens werden die Bußgelder, die bei Datenschutzverstößen verhängt werden, von vielen Geschäftsleuten unterschätzt. Auf der Seite Enforcementtracker.com können Sie sich anschauen, was in verschiedenen Ländern Europas laufend gefordert wird. Das sind mal ein paar Tausend Euros für die unerlaubte Videoaufzeichnung im Döner-Laden, aber auch eine sechsstellige Summe für nicht gelöschte Datensätze vergangener Kunden beim Essenslieferanten Delivery Hero.

Datenschutz im Verein - per Rechtsschutz versicherbar

Datenschutz im Verein: Datenschutz-Baustein für Vereins-Rechtsschutz

Datenschutzvorschriften gelten auch für Vereine

Viele e. V. haben inzwischen zwar eine Datenschutzerklärung auf der Vereinswebsite. Aber das Datenschutzrecht verlangt mehr als das. Grundsätzlich darf ohne Einwilligung der Betroffenen nicht einmal der runde Geburtstag von Vereinsmitgliedern veröffentlicht werden, oder das aktuelle Mannschaftsfoto mit dem Namen der Spieler.

Für eine Abmahnung reicht schon ein Einzelner

Das gilt grundsätzlich für alle – Sportvereine, Kleingartenvereine, Brauchtumsvereine oder was auch immer. Für eine teure Abmahnung reicht schon ein einziger Querulant aus. Noch größer ist das Risiko, wenn der Verein auch die personenbezogenen Daten von Vereinsfremden „verarbeitet“. Dann etwa, wenn Mitglieder anderer Vereine an Wettkämpfen, Vorführungen oder Treffen teilnehmen.

Rechtsschutzversicherung gegen Datenschutzverstöße im Verein

Die Roland hat deshalb einen speziellen Baustein für ihre Rechtsschutzversicherungen auf den Markt gebracht, der im Fall von Datenschutzverstößen die rechtlichen Risiken für Vereine und Vereinsvorstände abdeckt. Für manche Vereine ist dieser Rechtsschutz-Baustein mit Sicherheit sinnvoll.

Fragen?

Rufen Sie uns an. Das kostet nichts, und wir beraten Sie gern dazu, welche Form von Versicherungsschutz für Ihren Verein Sinn ergibt, und welche nicht. Sie erreichen uns unter 030 863 926 990 oder 0176 10318791.

Medical Identity Fraud: Identitätsdiebstahl im Gesundheitswesen

Identitätsdiebstahl bei Patienten

Die Süddeutsche Zeitung schreibt heute über das Phänomen des „Medical Identity Fraud“, den äußerst lukrativen Diebstahl von Patientendaten.

Auch dieser Trend kommt wieder einmal aus den USA. Dort ist die digitale Gesundheitskarte längst Realität. Patientendaten werden zentral gespeichert. Bereits bei 2,3 Millionen Menschen wurden diese Datensätze gestohlen und von Fremden missbraucht. Diese Form des Identitätsdiebstahl wächst in den USA schneller als alle anderen, etwa der Klau von Bankdaten.

Denn im Gesundheitswesen ist Identitätsdiebstahl besonders lukrativ: Mit den Daten kann man sich Schmerz- oder Schlafmittel verschreiben lassen und verkaufen. Ganze Operationen oder umfangreiche Behandlungen werden in falschem Namen abgerechnet. Auch eine Krankenversicherung lässt sich abschließen. Der Schwarzmarktwert solcher Datensätze ist entsprechend hoch.

Den Schaden hat derjenige, dessen Daten gestohlen wurden — aber auch Versicherungen, Artzpraxen und Gesundheitseinrichtungen aller Art, die Opfer betrügerischer Abrechnungen werden. Gegen diese Form des Missbrauchs wurde deshalb ein eigener Branchenverband gegründet, die Medical Identity Fraud Alliance.

Auch in Deutschland steigt das Risiko

Noch ist das Phänomen in Deutschland nicht so weit verbreitet wie in den USA. Aber auch hier ist der Missbrauch von Patientendaten ein Risiko. Noch beschränkt sich die elektronische Gesundheitskarte — salopp gesagt — auf das Patientenfoto, das die Chipkarte ziert. Dabei wird es aber nicht bleiben. Im Dezember letzten Jahres wurde das E-Health-Gesetz beschlossen, damit kommt der Datenaustausch im Gesundheitswesen allmählich ins Rollen.

In den nächsten Jahren werden nach und nach immer weitere Funktionen eingeführt. Ziel ist die digital verfügbare Patientenakte. So soll es in der Arztpraxis einen Stammdatenabgleich mit Datensätzen auf einem zentralen Server geben. Daten zu Allergien oder Vorerkrankungen sollen ebenso auf der Karte gespeichert sein wie Medikationspläne – auf die dann auch die Apotheke zugreifen kann. Auch Behandlungsdaten von Chronikern beispielsweise nach einem Klinikaufenthalt werden auf diesem Weg für Anschlussbehandlungen verfügbar gemacht, und elektronische Arztbriefe weitergereicht.

Diese Funktionen können die medizinische Behandlung sehr erleichtern. Auch das Einsparpotenzial ist groß. Aber dass damit automatisch auch das Missbrauchsrisiko steigt, liegt auf der Hand. Berichte über Sicherheitsprobleme bei der elektronischen Gesundheitskarte gibt es mehr als genug. Dieses Risiko wird auch zum Problem für Praxen, Kliniken und anderen Gesundheitseinrichtungen und -versorgern. Und schon beim Streit um EC-Karten-Missbrauch hat sich gezeigt, dass die Verwender einer Chipkarte gern für Sicherheitslücken im System haftbar gemacht werden, wenn sie diese nicht technisch detailliert nachweisen können.

Zwar haftet der Krankenversicherer für Behandlungskosten, wenn die Karte missbräuchlich verwendet wurde, ohne dass dies erkennbar war. Arztpraxen, Kliniken oder Versorgungseinrichtungen haften jedoch gegenüber den Patienten (und allen anderen Geschädigten, etwa den Versicherern), wenn sie für ein Datenleck verantwortlich sind (oder gemacht werden), das zu Identitätsdiebstahl und anderem Missbrauch führt. Wie teuer so etwas werden kann, einschließlich aller Folgekosten, lässt sich leicht ausmalen.

Versicherer sammelt Fitness-Daten

Virulent wird das Datenschutz-Problem natürlich erst recht, wenn die Player im Gesundheitswesen nicht nur die vorgeschriebenen Formen des Datenaustausch betreiben, sondern die Infrastruktur für eigene Angebote nutzen. Ein Vorstoß in dieser Richtung war die Idee von TK-Chef  Jens Baas, seinen Versicherten kostenlos Fitness-Tracker in Form von Armbändern zur Verfügung zustellen. Die würden z. B. Trainingszeiten registrieren, Schritte zählen und die Pulsfrequenz messen – und diese Daten in der elektronischen Patientenakte mitpeichern.

Solche Angebote können für Kunden sehr attraktiv sein – aber auch sie öffnen zwangsläufig neue Ansatzpunkte für Datendiebstahl. Anbieter, die diese Möglichkeiten nutzen, sollten sich absichern.

Die finanziellen Folgen von Identitätsdiebstahl lassen sich versichern

Auch für Artzpraxen, Kliniken, Gesundheitseinrichtungen und Dienstleister im Gesundheitsbereich wie etwa Dentallabore lautet die Empfehlung deshalb: Dieses Risiko lässt sich versichern! Wenn es zum medizinischen Identitätsdiebstahl kommt, kann eine Versicherung die finanziellen Folgen abfangen und so für das Überleben der Einrichtung entscheidend sein.

Wenn Sie mehr über die Versicherungsmöglichkeiten erfahren wollen, beraten wir Sie gern.