IT-Dienstleister hat die Zugangsdaten: Datenschutzverstoss - Symbolbild: Photo Mix via Pixabay

Datenklau mit Zugangsdaten des IT-Dienstleisters: Schadenersatz

Wer hat eigentlich Zugangsdaten zu Ihren IT-Systemen?

Nicht gelöschte Zugangsdaten werden schnell zum teuren Risiko. Zur IT-Sicherheit im Unternehmen gehört es, Zugänge von Mitarbeitern und Dienstleistern regelmäßig zu überprüfen und bei Bedarf zu löschen.

Wenn ein Unternehmen die Zugangsdaten früherer Mitarbeiter und Dienstleister nicht deaktiviert und Unbefugte damit Daten stehlen, drohen Schadenersatzansprüche – und die können ohne Versicherung existenzbedrohend werden.

All das zeigt ein Fall, über den das Landgericht München I vor kurzem entschieden hat (LG München, 09.12.2021 – 31 O 16606/20). Das Urteil unterstreicht, warum Unternehmen unbedingt ihre Haftung für Datenschutzverstöße versichern sollten.

Haftung für Kundendaten, die über den Zugang eines Dienstleisters gestohlen wurden

Das Gericht sprach einem früheren Kunden des Finanzdienstleisters Scalable Capital 2.500 Euro Schadenersatz und einen zusätzlichen Anspruch auf Ersatz aller noch entstehenden Schäden zu.

Der Mann hatte bei dem Online-Broker ein Depotkonto eingerichtet und dazu viele personenbezogene Daten übermittelt. Diese fielen unbekannten Datendieben in die Hände: von der Post- und E-Mail-Adresse sowie der Handynummer über das Geburtsdatum und die Steuer-ID bis zu Wertpapierabrechnungen und der IBAN des Referenzkontos. Auch eine Ausweiskopie und das Porträtfoto fürs Post-Ident-Verfahren wurden entwendet.

Ausgangspunkt waren Zugangsdaten von CodeShip Inc., ein früherer Cloud- bzw. SaaS-Dienstleister von Scalable Capital („Software as a Service“, Cloud-Hosting von Anwendungen). Obwohl die Geschäftsbeziehung schon 2015 geendet hatte, funktionierte der CodeShip-Zugang zur IT von Scalable Jahre später noch immer. Mit diesen Zugangsdaten unternahmen Unbekannte drei großen Daten-Raubzüge: im April, im August und im Oktober 2020 wurden 389.000 Datensätze von insgesamt 33.200 Scalable-Kunden ausgelesen. Die Informationen wurden später für versuchten Kreditbetrug genutzt und im Darknet zum Verkauf angeboten.

Zugangsdaten beim Dienstleister, Haftung beim Auftraggeber

Scalable muss also zahlen, obwohl für den Hack bei CodeShip hinterlegte Zugangsdaten missbraucht wurden. Dabei befasste sich das Gericht gar nicht erst mit der möglichen Verantwortlichkeit von Scalable für Sicherheitsmängel beim früheren Dienstleister. Es sah entscheidende Versäumnisse bei dem Online-Broker selbst: Der hätte den Zugang des ehemaligen Geschäftspartners längst deaktivieren bzw. die Löschung des Zugangs überprüfen müssen.

Stattdessen verließ er sich fahrlässigerweise darauf, dass der frühere Geschäftspartner die Zugangsdaten schon löschen würde. In diesem Versäumnis sahen die Richter einen Datenschutzverstoß. Dieser führte zur Haftung des Finanzunternehmens. Es nützte ihm wenig, dass er nach dem Vorfall sofort Gegenmaßnahmen getroffen hatte und dem betroffenen Kunden noch kein konkreter materieller Schaden entstanden war.

Dem Unternehmen droht eine Klagewelle

Die 2.500 Euro plus Zinsen, die dem klagenden Kunden zugesprochen wurden, sollte man nicht unterschätzen. Von der Datenschutzverletzung waren wie erwähnt mehr als dreißigtausend Kunden betroffen. Sollte sich eine größere Anzahl von ihnen zur Klage entschließen, können schnell gewaltige Summen zusammenkommen.

Das Risiko von Datenschutzverletzungen lässt sich versichern!

  • Immer häufiger gestehen die Gerichte den Betroffenen einer Datenschutzverletzung Anspruch auf Schadenersatz zu.
  • Ein konkreter finanzieller Schaden muss dafür nicht vorliegen. Auch Nichtvermögensschäden begründen Entschädigungsansprüche, etwa Identitätsdiebstahl, Rufschädigung, gesellschaftliche Nachteile oder der Verlust der Vertraulichkeit (LG München I, 02.09.2021 – 23 O 10931/20).
  • Dazu kommen Bußgelder. Die sind bei Verstößen gegen die Datenschutzvorschriften oft von empfindlicher Höhe.

  • Der Verweis auf das hohe IT-Sicherheitsniveau nützte Scalable Capital vor Gericht gar nichts. Ja, die IT-Infrastruktur war gemäß ISO 27001 zertifiziert. Entscheidend war jedoch der nicht gelöschte Zugang. Das bestätigt wieder einmal: Selbst aktuelle Technik und Zertifizierungen garantieren keine IT-Sicherheit. Genau deshalb sind Versicherungen sinnvoll.

  • Die gute Nachricht: Die Haftung aus Datenschutzverstößen lässt sich versichern, solange sie nicht gerade vorsätzlich begangen werden. Auch für das Risiko der Unternehmensleitung, für solche Vorfälle persönlich zu haften, gibt es Versicherungsschutz. Das Gleiche gilt für Eigenschäden aus einer Cyber-Attacke.

acant hilft Ihnen beim Risikomanagement

Wir von acant sind Spezialversicherungsmakler für technische Unternehmensrisiken, Cyber-Bedrohungen und Manager-Haftung. Wir beraten Sie gerne dazu, wie sich das Risiko der Datenschutzhaftung in Ihrem Unternehmen betriebswirtschaftlich sinnvoll versichern lässt. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns!

Digitalisierungspflicht für Lohn-Unterlagen, Symbolfoto: Jana Schneider via Pixabay

Lohnbuchhaltung: Digitalisierungspflicht für begleitende Lohndokumente

Neue Digitalisierungspflicht für Arbeitgeber

Schon seit dem Beginn des Jahres 2022 gilt für Arbeitgeber in Deutschland eine neue Digitalisierungspflicht. Eine ganze Reihe von Dokumenten zum Lohnkonto müssen in elektronischer Form bereitgestellt werden, wenn die Krankenkasse oder ein Betriebsprüfer der Deutschen Rentenversicherung danach fragt.

Die wichtigsten Informationen zur Digitalisierungspflicht stehen in einem „Gemeinsamen Rundschreiben der Sozialversicherungen“ vom 18. März 2022.

Welche Lohndokumente müssen digital vorliegen? Die Pflicht gilt zum Beispiel für die Erklärung eines Minijobbers, mit der er auf Rentenversicherungsbeiträge verzichtet, für Semesterbescheinigungen von Werkstudenten, für Bescheinigungen zur Staatsbürgerschaft  und für A1-Bescheinigungen von Mitarbeitern auf Auslands-Geschäftsreise. Die vollständige Liste findet sich in etwas verklausulierter Form im Gesetz: § 8 Abs. 2 Beitragsverfahrensverordnung.

Müssen jetzt alle alten Unterlagen eingescannt werden? Nein, das ist nur Pflicht, wenn ein Dokument seit Jahresbeginn 2022 ausgestellt wurde. Weiterreichende Digitalisierung ist freiwillig.

Wie müssen die Dokumente digital vorliegen? Erlaubt sind die Dateiformate PDF, TIFF, JPG, BMP und PNG. Die Archivierung muss gemäß GoBD erfolgen – d. h. revisionssicher (jede Änderung eines Dokuments muss  erkennbar sein) und für Außenstehende nachvollziehbar geordnet. Dokumente wie ein Gehaltsverzicht, die auf Papier eine Unterschrift erfordern, müssen in der digitalen Version eine fortgeschrittene oder qualifizierte Signatur aufweisen.

Was tun, wenn die Voraussetzungen für digitale Signaturen fehlen? Dann ist es gestattet, sich mit einem unsignierten Scan eines Papierdokuments zu behelfen. In diesem Fall muss der Arbeitgeber die Papierversion ebenfalls aufbewahren.

Gibt es eine Möglichkeit, sich den Digitalsierungsaufwand zu ersparen? Ja, bis einschließlich 2026 können Unternehmen sich davon befreien lassen. Den Antrag müssen sie an das regionale Prüfbüro der Deutschen Rentenversicherung richten.

Risikomanagement für Arbeitgeber: Parallel zum Digitalisieren versichern

Schon seit langem müssen Arbeitgeber alle Meldungen zur Sozialversicherung elektronisch übermitteln. Mit der anstehenden Einführung einer elektronischen Arbeitsunfähigkeitsbescheinigung und der Digitalisierungspflicht für Lohnunterlagen wächst die Zahl der digitalen Informationen in der Lohnbuchhaltung immer weiter an.

Das Problem: Viele der personenbezogenen Arbeitnehmerdaten, mit denen Arbeitgeber zwangsläufig zu tun haben, sind von der DSGVO besonders geschützt. Das gilt zum Beispiel für Angaben zum Einkommen, zu einer Lohnpfändung oder zu krankheitsbedingten Ausfallzeiten. Und natürlich für alle Stammdaten wie Name, Adresse, Kontonummer und Zahl der Kinder.

  • Werden solche Daten zur Beute eines Hackers, haftet der Arbeitgeber. Das gilt selbst dann, wenn sich der Datendiebstahl beim Steuerberater oder beim Lohnabrechnungsdienstleister ereignet.
  • Genauso problematisch ist es, wenn ein Verschlüsselungstrojaner ins Unternehmen eingeschleust wird und die Ransomware vorgeschriebene Lohn-Unterlagen unlesbar macht. Auch dann haftet der Arbeitgeber für den Verlust der Dokumente

Gemessen an diesem Risiko sind die Prämien für eine Cyberversicherung, die vor den Folgen eines Datendiebstahls schützt, Peanuts: In den meisten Fällen kostet sie nicht mehr als wenige Promille vom Jahresumsatz.

Fragen? Wir von acant können Sie beantworten. Schreiben Sie uns, oder rufen Sie an: 030 863 926 990.

Cyber-Versicherung oder Cyber-Sicherheit? Falsche Frage! Symbolbild: Andreas Lischka via Pixabay

Cyber-Versicherung oder IT-Sicherheit? Falsche Frage!

Entweder oder? So einfach ist es nicht

Vor kurzem bin ich in einem Fachbeitrag über folgende Passage gestolpert:

Eine gute Cybersecurity, die den Hackern eine aufmerksame und wirksame Verteidigung entgegenstellt, und eine Versicherung schließen sich nicht aus. Im Gegenteil: Häufig ist ein Mindestmaß an Security Voraussetzung für Versicherungen. Doch die Kosten für beides gleichzeitig sind oft sehr hoch und nicht von jedem Unternehmen zu stemmen. In diesem Fall muss ein Unternehmen besonders kosteneffizient handeln. Dabei lässt sich festhalten, dass ein Euro in eine gute Sicherheitsstruktur hier fast immer besser angelegt ist als in eine Versicherung. Sie verhindert, dass der Schaden überhaupt erst entsteht.

Frank Kölmel, „Was Cyberversicherungen leisten können – und was nicht“, Security-Insider.de

Wo sollten kluge Geschäftsleute ihr Geld besser investieren – in eine Cyber-Versicherung oder in technische IT-Sicherheitsmaßnahmen? Diese Frage, die der Autor anspricht, liegt mir am Herzen, seit ich mit Cyber-Versicherungen beschäftigte. (Und das sind mittlerweile fast zehn Jahre. acant war einer der ersten Makler in Deutschland, der sich auf Cyber-Risiken spezialisierte.)

Allerdings glaube ich nicht, dass die Frage „Cyber-Versicherung oder Cyber-Sicherheitstechnik?“ wirklich Sinn ergibt. Wer so fragt, hat ein Grundprinzip im Risikomanagement nicht verstanden.

Ganz einfach: Es braucht beides, Cyber-Versicherung und Cyber-Sicherheit

Bestimmte Maßnahmen verringern die Wahrscheinlichkeit, dass ein Schadensereignis wie die Betriebsunterbrechung durch Ransomware eintritt. Zu diesen Maßnahmen gehören technische Sicherheitsmaßnahmen, aber auch organisatorische Vorkehrungen wie Schulungen und strikt durchgesetzte Verhaltensregeln. Wenn die Kosten solcher Maßnahmen die geringere Schadenswahrscheinlichkeit rechtfertigen, ergeben sie betriebswirtschaftlich Sinn.

Diese Maßnahmen können Schäden aber nicht vollkommen ausschließen bzw. verhindern. Auch das ist schlicht eine Frage der Wahrscheinlichkeit. Schulungen können Leichtsinn nicht unterbinden. Technik kann Störungen erleiden, falsch verwendet oder bewusst missbraucht werden. Sabotage ist immer möglich.

Und deshalb erfordert ein vernünftiges IT-Sicherheitskonzept auch Versicherungen. Die können, wie Frank Kölmel richtig anmerkt, den Schadenseintritt nicht verhindern. Das ist auch nicht ihr Sinn. Sie können dafür etwas, was die Technololgie nicht schafft: Sie kompensieren den Schaden, wenn es doch zur Sicherheitsverletzung kommt.

Wer sich keine Cyber-Versicherung leisten kann, kann sich keine IT leisten

So könnte man es etwas überspitzt formulieren. Eine fachgerecht administrierte Unternehmens-IT hält das Risiko erfolgreicher Cyber-Angriffe in einem beherrschbaren Rahmen. Es sinkt aber keineswegs auf Null. Auch wenn mittlerweile jeder die Aussage kennt: Die Frage ist nicht, ob es zur IT-Sicherheitsverletzung kommt, sondern wann sie sich ereignet. Aufgabe der IT-Fachleute ist es, dieses „wann“ möglichst hinauszuzögern.

Wenn der Schaden dann doch eintritt, wird die Cyber-Versicherung wichtig. Die Versicherungsprämien, die das Unternehmen über die Jahre hinweg überwiesen (und als Betriebsausgaben geltend gemacht) hat, haben die Kosten des Cyber-Angriffs oder der Datenschutz-Panne schon im Voraus in planbarer Form bezahlt. Jetzt übernimmt die Versicherung die Kosten. Das Schadenereignis reißt also kein Loch in die Bilanz. Ebenso unvorhergesehene wie unvermeidbare Ausgaben wurden auf einen langen Zeitraum verteilt und betriebswirtschaftlich sinnvoll minimiert.

Es geht auch weniger abstrakt

Eine Cyber-Versicherung leistet viel mehr, als nur Schäden zu begleichen. Die meisten Versicherer leisten Akut-Hilfe direkt nach einer Attacke. Sie helfen bei der forensischen Analyse und dem Beseitigen der aufgetretenen Sicherheitslücke. In der Deckung sind nicht nur Eigenschäden eingeschlossen, sondern auch Schadenersatzansprüche anderer Unternehmen und Personen.

Cyberangriffe sind längst ein Teil der Unternehmensrealität. Technik und organisatorische Vorkehrungen mildern das Risiko ab. Versicherungen machen das Restrisiko betriebswirtschaftlich tragbar. Unternehmen können sich längst nicht mehr leisten, auf eine der beiden Komponenten zu verzichten.

Genauso wenig wie auf Beratung. So wie die Netzwerksicherheitslösung zum Firmennetz passen muss, hilft die Cyber-Versicherung nur, wenn sie auf das Unternehmen abgestimmt wurde. Dafür zu sorgen, ist unser Geschäftsfeld. Wir von acant sind auf Cyber-Versicherungen spezialisiert. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular!

Cloud-Ausfall versichern, Symbolfoto: ImaArtist via Pixabay

Versicherung gegen den Ausfall der Cloud

Hängt Ihr Betrieb davon ab, dass bei Dritten die Server laufen?

Nutzt Ihr Unternehmen Cloud-Speicher oder Hosted-Service-Angebote wie SaaS, PaaS oder Iaas („Software as a Service“, „Platform as a Service“, „Infrastructure as a Service“)? Wickeln Sie zum Beispiel Payment, Downloads, Logistiksteuerung oder andere Prozesse über die Server von Dritten ab?

Dann teilen sie das Downtime-Risiko Ihrer Dienstleister: Wenn deren Server ausfallen, schmieren Ihre Geschäftsprozesse ebenfalls ab. Fällt die gemietete Cloud aus, stockt Ihr Geschäftsablauf. Das ist ärgerlich

Und noch brisanter ist das Ausfallrisiko, wenn Sie Ihren eigenen Kunden Zugang zu Dateien, Software oder Service Levels zusagen, die vom Plattform- oder Cloud-Provider abhängen. Natürlich können Sie den Anbieter in Haftung nehmen, wenn es zu einer Downtime kommt. Aber das ist umständlich und langwierig. Zunächst sind immer einmal Sie selbst mit den unzufriedenen Kunden, mit Schadenersatzforderungen, Umsatzverlusten und Betriebsunterbrechungen konfrontiert.

Cloud-Ausfallversicherung zahlt pro Downtime-Stunde

Nun gibt es ein neues Versicherungsprodukt, das genau auf diese Art Risiko ausgerichtet ist. Die Cloud-Ausfallversicherung fängt den Schaden durch die Betriebsunterbrechung nach einem Ausfall beim Dienstleister auf.

Das Ganze funktioniert so: Der Versicherungskunde gibt an, welcher Cloud-Server bzw. welcher Dienst für ihn wichtig ist. Der Versicherer überwacht den Server mit einem eigenen Monitoring-Dienst. Kommt es zu einem Ausfall, wird die Länge der Downtime automatisch erfasst und für jede Stunde Nicht-Verfügbarkeit eine vorher festgelegte Summe ausgezahlt.

Zwei positive Aspekte der Cloud-Versicherung

Die Versicherungsleistung erfolgt unabhängig von der Ausfallursache. Das ist ein klarer Vorteil: Schließlich ist es dem Shop-Betreiber egal, warum Angreifer, fehlende Wartung, Sabotage oder schlichtes Pech zu der Havarie beim Fulfillment-Partner führten. Er muss sich damit herumschlagen, dass seine Bestellungen stocken oder die Kunden ihre Downloads nicht durchführen können.

Ein weiterer Vorteil: Der Kunde muss die Downtime bei seinem Dienstleister dem Versicherer gegenüber nicht nachweisen. Durch die feste Ausfallentschädigung ist auch kein aufwändiger Nachweis seines finanziellen Schadens notwendig.

Fazit

Alle Risiken sind mit der Cloud-Ausfallversicherung nicht vom Tisch. Eine pauschale Versicherungsleistung ist schwierig, wenn die Höhe des eigenen Schadens durch den Ausfall der Cloud stark variieren kann. In manchen Fällen wird es sinnvoller sein, die Service Levels aufzustocken und sich eine höhere Uptime zusichern zu lassen.


Für Unternehmen, die kritische Daten oder Dienste hosten lassen, ist die Cloud-Ausfallversicherung aber eine gute Zusatzabsicherung. Eine große Havarie kann schließlich die Existenz des Hosting-Anbieters gefährden. Oder es gibt Streit um Haftung und Schadenersatzpflicht. Dann ist es ein Segen, wenn der Versicherer davon unabhängig die Betriebsunterbrechung zuverlässig auffängt.

Versichern Sie Ihr Risiko durch IT-Ausfälle bei Dritten: Wir beraten Sie

IT-Ausfälle beim Dienstleister als eigenes Geschäftsrisiko: Als Spezial-Versicherungsmakler für sämtliche IT-Risiken kennen wir von acant dieses Problem. Mit uns können Sie besprechen, wie Versicherungen Sie vor Betriebsunterbrechungen, Schadenersatzforderungen oder Umsatzeinbrüchen schützen, die Ausfälle bei Dritten verursacht haben. Fragen Sie uns zu Ihren Möglichkeiten!

Betriebshaftpflicht nicht versichert bei IT-Dienstleistern, Symbolfoto Dünnes Eis von PublicDomainPictures via Pixabay

Haftungsrisiken für IT-Dienstleister: Dünnes Eis bei Projektverzug und Datenverlust

Viele IT-Dienstleister schätzen die eigentlichen Risiken falsch ein

Der IT- und Cyber-Versicherer Hiscox hat kleine und mittelständische IT-Dienstleister befragt. Eines der Ergebnisse: Die Risikoeinschätzung der Manager und Managerinnen passt nicht zu dem, was die Hiscox-Schadenstatistik als eigentliche Branchenrisiken ausweist.

Anders gesagt: die IT-Dienstleister unterschätzen, für welche Art Schadenersatzforderung am häufigsten bezahlt wird. Zudem sind gerade kleinere Unternehmen oft nicht ausreichend versichert.

Branchenrisiken von IT-Dienstleistungsunternehmen: Einschätzung und Fakten

Die IT-Entscheider sahen die Risiko-Rangliste so:

  1. Datenverlust durch Cyberangriff oder menschliches Versagen
  2. Ausfall der IT-Infrastruktur
  3. Projektverzögerung, Projektausfall oder Projektabbruch.

Die Schadenstatistik des Versicherers zeichnet dagegen ein anderes Bild der tatsächlichen Risiken:

  1. Projektverzögerung, Projektausfall oder Projektabbruch
  2. Datenverlust des Kunden durch Programmierfehler
  3. Kundenklagen wegen vermeintlicher Fehler des Dienstleisters

Für die Studie wurden etwas mehr als 200 Manager und Managerinnen sowie leitende Angestellte kleiner und mittelständischer IT-Dienstleistungsunternehmen befragt.

Zu wenige IT-Dienstleister sind versichert

Knapp 49 % der befragten Unternehmen haben eine IT-Betriebshaftpflichtversicherung, die durch den Betrieb verursachte Personen- und Sachschäden deckt. Knapp 44 Prozent sind gegen Cyber- und Datenrisiken versichert. Eine IT-Berufshaftpflicht zur Deckung von Vermögensschäden haben knapp 39 Prozent.

Gerade bei kleinen Unternehmen fehlen oft betriebliche Versicherungen. Beispielsweise haben etwa nur 22 Prozent in diesem Segment eine IT-Betriebshaftpflichtversicherung abgeschlossen.

Fehlende Versicherungen sind auch ein Problem für die Auftraggeber

Dabei darf man nicht übersehen: Mangelndes Risikomanagement von IT-Unternehmen steigert auch das Risiko der Auftraggeber. Schließlich fehlen dann oft die Mittel zum Begleichen von Schadenersatzforderungen, wenn der Auftragnehmer eines IT-Projekts für Mängel oder Verzögerungen verursacht.

Mit dem Versichern von IT-Projekten haben wir uns in den Beiträgen „Gewährleistungs- oder Erfüllungsbürgschaft für IT-Projekte“ und „IT-Projekt mit Freelancern als Subunternehmer versichern“ befasst.

Es gab noch weitere interessante Ergebnisse

Natürlich ging es nicht nur um Versicherungen und Haftung. Die Umfrage ergab außerdem weitere interessante Ergebnisse, zum Beispiel diese:

  • Mehr als 40 Prozent der IT-Dienstleister haben seit der Pandemie mehr Aufträge bekommen. Allerdings profitierten vor allem größere Betriebe, kaum die kleineren.
  • Als Digitalisierungsbremsen sehen die IT-Fachleute in erster Linie fehlendes Know-how bei ihren Auftraggebern sowie bürokratische Hürden. Investitionszurückhaltung und auch Datenschutzvorgaben werden seltener genannt.

acant berät IT-Dienstleister und ihre Kunden zu Versicherungen

acant ist Spezialmakler für IT-Versicherungen sowie für Managerhaftpflicht-Policen. Wir beraten Sie ausführlich und selbstverständlich kostenlos dazu, wie Sie ihre geschäftlichen Risiken günstig und verlässlich absichern – ob als IT-Dienstleister oder als Auftraggeber.
Rufen Sie uns an oder schreiben Sie uns!

Standard-Vertragsklauseln EU Datenschutz, Symbolfoto: Adrian Malec via Pixabay

Neue Standard-Vertragskauseln der EU zum Datenschutz: Haftung versichert?

Datenschutz: Neue Standard-Vertragsklauseln für Datenaustausch

Schon seit Ende Juni gelten neue Standard-Vertragsklauseln der EU für den Datenaustausch mit Staaten außerhalb der EU, wenn diese keinen angemessenen Datenschutz gewährleisten.

Diese Musterklauseln machen es möglich, dass EU-Unternehmen (also auch deutsche) personenbezogene Daten in Drittstaaten verarbeiten, dorthin transferieren oder dort speichern lassen. Und zwar auch in solchen Drittstaaten, deren Datenschutzrecht weniger streng ist als die in der EU gültige Datenschutzgrundverordnung (DSGVO). Das gilt zum Beispiel für die USA. Die Klauseln sollen gewährleisten, dass EU-Bürger auch dort ihre Datenschutzrechte wahrnehmen können.

Wenn ein Unternehmen einen Online-Service nutzt, bei dem personenbezogene Daten auf einem US-Server gespeichert werden können, muss der Vertrag mit dem Geschäftspartner Datenschutzbestimmungen gemäß EU-Standardvertragsklauseln enthalten. Sonst liegt ein DSGVO-Verstoß vor. Und die sind teuer.

Welcher Zeitrahmen gilt für die Übernahme der neuen Standard-Vertragsklauseln?

Die alten Versionen der Standard-Vertragsklauseln dürfen nur noch eine Weile verwendet werden. Spätestens am September 2021 müssen bei neu abgeschlossenen Verträgen über Datenaustausch oder Datenspeicherung die neuen Standardklauseln eingesetzt werden. Und ab dem 27. Dezember 2022 müssen alle Verträge, die bislang die alten Klauseln enthalten, auf die neuen Versionen umgestellt sein.

Was bedeutet das praktisch?

Unternehmer, die einen Cloud-Provider, einen Newsletter-Versender, ein Online-Marketing-Tool oder ähnliche Online-Services nutzen, sollten genau hinschauen. Speichert der Anbieter alle Daten in einem EU-Staat? Dann ist die Sache problemlos. Das Gleiche gilt für Länder, deren Datenschutz-Vorschriften dem Schutzniveau der DSGVO „angemessen“ sind. Aktuell sind etwa Südkorea, Kanada, Großbritannien, Japan und die Schweiz auf dieser Liste.

Für andere Länder sollten die Standard-Datenschutzklauseln der EU Teil des Vertrags werden. Das ist allerdings auch kein Allheilmittel: Das Unternehmen muss trotzdem sichergehen, dass der Datenschutz auch in der Realität gewährleistet wird. Es muss eine Risikoprüfung durchführen. Und es darf selbstverständlich nur personenbezogene Daten verarbeiten, speichern oder weitergeben, wenn die betreffende Person eingewilligt hat oder sonst eine Rechtsgrundlage besteht. Das gilt aber generell, nicht nur beim Datentransfer aus der EU heraus.

Das Risiko

Ein Problem ergibt sich, wenn das Datenschutzniveau dort, wo der Server steht, niedriger liegt als bei der DSGVO. Das ist auch in den USA der Fall. Dort haben beispielsweise staatliche Dienste sehr weitgehende Zugriffsmöglichkeiten. Mit den Standard-Vertragsbedingungen garantiert der Geschäftspartner, dass er trotzdem für angemessenen Datenschutz sorgt.

Datenschutzrecht ist eine komplexe Sache. Für internationales Datenschutzrecht gilt das erst recht. Ein Verstoß kann hohe Kosten verursachen. Allein die Bußgelder können bis zu zwei Prozent vom Jahresumsatz ausmachen. Dazu kommen aufwändige Hinweispflichten. Man muss alle Betroffenen informieren. Und jeder von Ihnen kann Schadenersatz verlangen.

Das Risiko ist keine Theorie. Es muss auch nicht erst zu einer Datenschutzverletzung kommen, damit man das Unternehmen in die Bredouille gerät. Schon jetzt verschicken die Landesdatenschutzbehörden Fragebögen an Unternehmen. Darin verlangen sie konkrete Auskunft darüber, welche Dienstleister man nutzt und wo diese die Daten speichern. Das berichtet die Anwaltskanzlei FPS, die zudem eine Checkliste zu den EU-Standardvertragsklauseln vorbereitet hat.

Abhilfe: Verträge prüfen lassen – und sich vor allem versichern!

Geht es bei Geschäftsbeziehungen mit Firmen im Nicht-EU-Ausland in irgendeiner Form um den Transfer personenbezogener Daten? Dann kann es ratsam sein, selbst bei kleineren Aufträgen die vorgelegten Standard-Verträge mit Blick auf den Datenschutz prüfen zu lassen. Grundsätzlich gilt: Anbieter, die die Speicherung und Verarbeitung innerhalb der EU garantieren, vermindern das Datenschutzrisiko enorm.

Ein zweiter, wichtiger Punkt sind geeignete Haftpflichtversicherungen. Die Gewährleistung des Datenschutzes ist eine Rechtspflicht. Damit ist die Haftpflicht gedeckt, wenn das Unternehmen in Haftung genommen wird. Voraussetzung ist natürlich, dass es seine Haftpflicht versichert hat, und dass der Datenschutzverstoß nicht vorsätzlich oder grob fahrlässig erfolgt ist. Eine Cyber-Versicherung und eine Rechtsschutzversicherung können zusätzliche Kosten auffangen: Eigenschäden beispielsweise und Anwalts- bzw. Gerichtskosten. Gleiches gilt für eine Manager-Haftpflichtversicherung.

Decken Ihre betriebliche Versicherungen die Datenschutz-Risiken ab?

Wie steht es um den Versicherungsschutz Ihres Unternehmens in Sachen Datenschutzverletzung? acant prüft Ihre Versicherungsverträge und kontrolliert, wie weit die Deckungen reichen.

Das ist selbstverständlich kostenlos. Haben Sie Interesse? Nehmen Sie Kontakt auf!

Datenschutzversto? Bußgeld versichern - Symbolbild: Steve Buissinne via Pixabay

Eine Versicherung gegen Datenschutzverstöße

Zack, Datenschutzverstoß, Bußgeld: Geht im Geschäftsalltag ganz schnell

Vor kurzem hat Dagmar Hartge, die Brandenburgische Landesdatenschutzbeauftragte, ihren Tätigkeitsbericht 2020 veröffentlicht. Der Bericht liefert viele Beispiele dafür, wie schnell ein Unternehmen ins Visier der Datenschützer gerät. Die Folge ist dann häufig ein Bußgeld, das wehtut.

Einige Beispiele:

  • Ein Kreditvermittler schickt einem potenziellen Kreditnehmer eine abschlägige E-Mail. Darin nennt er dessen negative Schufa-Werte. Weil die E-Mail nicht komplett verschlüsselt ist, moniert der Abgelehnte einen Datenschutzverstoß. Die Landesdatenschutzbeauftragte sieht es genauso: Der Kreditvermittler wird offiziell verwarnt.
  • Ein Immobilienmakler soll ein Haus an Käufer vermitteln. In den Werbeunterlagen veröffentlicht er Fotos, die er vom Eigentümer bekommt. Darunter sind auch Fotos einer Einliegerwohnung. Die Mieter sehen eine Datenschutzverletzung. Auch dafür gibt es eine Verwarnung.
  • Ein anderes Immobilienunternehmen macht Drohnen-Fotos von Objekten, die es verkaufen will. Dummerweise sind auch Teile der Nachbargrundstücke abgebildet. Deren Eigentümer beschweren sich. Die Landesdatenschutzbeauftragte übt Druck aus, bis das Immobilienunternehmen die Fotos von der Website nimmt.
  • Ein Wirt benutzt die Kontaktdaten-Liste seiner Gäste, die er wegen Corona führen muss, um ihnen Werbung zu schicken. Das darf er aber nicht – Bußgeld.
  • Eine Ballettschule veröffentlicht auf Facebook Bilder, auf denen die Mädchen beim Tanzen zu sehen sind. Die Eltern wurden nicht um Erlaubnis gefragt. Ergebnis: Ein Bußgeld in vierstelliger Höhe.
  • Günstiger kommt eine Arzthelferin davon, die sich in einen Patienten der Praxis verliebt. Sie kontaktiert ihn über die Telefonnummer in der Patientendatei. Auch das ist ein Datenschutzverstoß. Immerhin ist ihr Bußgeld nur dreistellig.
  • Ein Tourismus-Unternehmen lässt seine Datenbank mit Kunden und Gastgebern ungesichert im Netz. Als das Landesamt vorstellig wird, bleiben trotz erster Korrekturen Sicherheitslücken. Das Unternehmen muss sich auf ein Bußgeld einstellen.

Datenschutzverstoß? Diese Kosten übernimmt Ihre Cyber-Versicherung

  • Manche Cyber-Versicherungen versichern DSGVO-Bußgelder, soweit dies gesetzlich erlaubt ist. (Natürlich nicht bei Vorsatz.)
  • Beim Vorwurf eines Datenschutzverstoßes braucht man den Anwalt. Und auch schon vorher: Dann, wenn man herausfinden will, ob ein Datenschutzverstoß vorliegt, über den man die Behörden informieren muss. Die Kosten für beides sind als Teil der Cyber-Deckung versicherbar.
  • Viele Cyber-Versicherungen haben selbst spezialisierte Anwälte unter Vertrag, die im Notfall direkt helfen.
  • Nach einem Datenschutzverstoß haben die Betroffenen Anspruch auf Schadenersatz. Solche Forderungen decken Cyber-Versicherungen ebenfalls.
  • Wenn der Geschäftsführer dafür haften soll, dass der Datenschutzverstoß möglich war, deckt eine D&O-Versicherung (Manager-Haftpflichtversicherung) die Schadenersatzforderung .
  • Viele Cyber-Versicherer stellen Fachleute für Krisen-PR. Sie helfen bei einem Datenschutz-Gau, Imageschäden zu minimieren.

acant hilft beim Eindämmen der DSGVO-Risiken

Datenschutz ist eine gute Sache. Für Unternehmen wird er allerdings schnell zum Glatteis. Es gibt einfach zu viele Möglichkeiten, im Geschäftsalltag gegen Datenschutzbestimmungen zu verstoßen.

Dieses finanzielle Risiko lässt sich durch eine Cyber-Versicherung weitgehend eindämmen, genauso wie die Schäden durch Hacker und Trojaner. acant ist als Spezialmakler für Cyber-Policen der richtige Ansprechpartner.

Wir finden die Versicherung, die Sie und Ihr Unternehmen optimal schützt. Schreiben Sie uns oder rufen Sie uns an: 030 863 926 990

IT-Sicherheitschecks zum Selbermachen - Symbolbild: Methawee Krasaeden via Pixabay,

Schnelltests mit begrenztem Nutzen: IT-Sicherheitscheck zum Selbermachen

IT-Sicherheitscheck im Internet: in wenigen Minuten die Bedrohung ausloten?

Corona-Schnelltests können zu einem falschen Gefühl der Sicherheit führen. Nur bei Wiederholung sind die Ergebnisse zuverlässig. Bei einem IT-Sicherheitscheck zum Selbermachen besteht ein ähnliches Risiko. Es gibt immer mehr davon im Internet. Als erste Orientierung sind sie in Ordnung. Eine belastbare Analyse der eigenen IT-Sicherheit innerhalb von Minuten liefern sie allerdings nicht. Das liegt in der Natur der Sache.

Natürlich kann man allgemeine Grundsätze für eine gute IT-Sicherheit abfragen: Software und Hardware auf aktuellem Stand? Profis für IT-Sicherheit zuständig? Mitarbeiter geschult? Notfallpläne vorbereitet? Sicherheitstechnologie installiert? Etc. etc. Aber ob das vor Ort wirklich umgesetzt wird und funktioniert, muss man schon genauer prüfen.

Hier vergleich ich alles … ach, wirklich?

Das Ganze erinnert mich an die Vergleichsplattformen, auf denen man neben Krediten oder DSL-Verträgen auch Versicherungen aller Art vergleichen kann. Hauptgesichtspunkt sind die Kosten. Natürlich kann man den Vertrag dann auch gleich abschließen. Der Plattformbetreiber erhält dafür Provision.

Betriebliche (und die meisten privaten!) Versicherungen kann man aber nicht sinnvoll vergleichen, indem man nur auf den Endpreis schaut. Die Versicherungsbedingungen sind wichtig. Anders als bei der privaten Kfz-Versicherung sind sie bei einer Betriebshaftpflicht-Versicherung nicht einfach standardisiert. Und das ist das Problem.

Deshalb sind auch Vergleichsplattformen nur zur ersten Orientierung sinnvoll, wenn überhaupt. Sonst hat man zwar ruckzuck eine Versicherung. Die eigene Tätigkeit ist aber möglicherweise von der Deckung ausgeschlossen. Oder die Sachversicherungsleistung ist auf den Zeitwert begrenzt. Vielleicht unterliegt das entscheidende Risiko einem Sublimit, das die Versicherung praktisch wertlos macht. Oder, oder, oder … während man sich abgesichert glaubt.

Gute Beratung ist ihr Geld wert

Natürlich ist das mehr Aufwand. Zunächst muss man jemand finden, der sich auskennt und objektiv berät. Zeit muss man ebenfalls investieren. Der Berater muss sich schließlich ein klares Bild der konkreten Gegebenheiten machen. Im Gegenzug kann man sich dafür auf die Analyse und die Handlungsempfehlungen verlassen.

Wenn es um Versicherungen geht, sind wir von acant Ihre Ansprechpartner: Wir schreiben Beratung groß und kennen den Versicherungsmarkt ganz genau. Wenn es um die IT-Sicherheit Ihres Betriebs geht, sind IT-Security-Experten die richtige Adresse. Wir können Ihnen gern gute Berater empfehlen.

IT-Sicherheitscheck: eine kleine Übersicht

Nach all den Worten der Warnung hier nun einige Tools für den IT-Sicherheits-Selbstcheck:

  • Verband der Sachversicherer: VdS-Quickchecks – diese Checks zur IT-Sicherheit, zum Datenschutz und zur Sicherheit von Produktionsanlagen sind vergleichsweise nützlich, weil sie ins Detail gehen. Außerdem spiegeln sie die Erfahrung mit Risikoeinschätzungen wieder.
  • Sicherheitstool Mittelstand: SiToM: Hier kann man ein „Projekt“ anlegen, das sich de facto als große Checkliste entpuppt. Immerhin sind die Fragen vergleichsweise detailliert.
  • Transferstelle IT-Sicherheit im Mittelstand: Sec-O-Mat. Dieses Tool soll dabei helfen, einen Aktionsplan auszuarbeiten.
  • Deutschland sicher im Netz: DsiN-Sicherheitscheck.
Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung. (Screenshot)
Immerhin: Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung.

Sprechen Sie uns an

Rufen Sie uns an, wenn Sie Fragen oder Anmerkungen haben: 030 863 926 990. Oder schreiben Sie uns eine Nachricht. Sie können auch gern einen Kommentar hinterlassen.

Cyberversicherung gegen Hackerangriff auf Patientendaten, Symbolfoto: Reggi Tirtakusumah via Pixabay

Hackerangriff auf Patientendaten: gegen den Psychotherapeuten-Alptraum gibt’s eine Versicherung

Ende Oktober wurde bekannt, dass ein Hacker sich erfolgreich Zugriff auf den Server eines finnischen Psychotherapiezentrums verschafft hatte. Er entwendete rund 40.000 digitale Patientenakten – mit den Adressangaben der jeweiligen Person. Und mit Aufzeichnungen der Therapeuten über die Inhalte von Therapiesitzungen, zum Teil über Jahre hinweg.

Gestohlen wurden diese Informationen wohl schon vor rund zwei Jahren. Im Herbst dieses Jahres forderten Erpresser fast 500.000 Euro. Als Reaktion auf die Zahlungsverweigerung stellten sie hunderte der Datensätze ins Internet. Außerdem erhielten Tausende der betroffenen Therapiepatienten eine persönliche Erpresserbotschaft. (Mehr Infos zu dem Fall gibt es zum Beispiel bei der FAZ.)

Psychotherapeutische Patientendaten sind für Datendiebe und Hacker besonders wertvoll

Wenn es um Psychotherapie geht, sind die Patientendaten ganz besonders sensibel. Schließlich enthält die Patientenakte Diagnosen von psychischen Krankheiten, Vermerke zu den Symptomen der jeweiligen Störung, Angaben zu den verschriebenen Psychopharmaka – und die Aufzeichnungen der Psychotherapeuten über die Therapiegespräche mit all ihren intimen Details. Es gibt wohl kaum vertraulichere Informationen.

Aus Sicht von Hackern ist das pures Gold: Derart private Daten lassen sich teuer verkaufen, denn sie machen die Betroffenen erpressbar und manipulierbar. Das gilt natürlich für viele Patientendaten, ganz besonders jedoch für die aus Psychiatrie oder Psychotherapie.

Wenn Sie in Ihrer Praxis oder Therapie-Einrichtung mit Daten von Psychotherapie-Patienten zu tun haben, dann stellt Ihre IT ein hoch attraktives Ziel für Hacker dar. Das gilt auch dann, wenn es bei Ihnen nicht um Zehntausende, sondern „nur“ um Dutzende oder Hunderte von Patienten geht. Gleichzeitig sind solche personenbezogenen Informationen ganz besonders geschützt. In diesem Punkt ist das Datenschutzrecht eindeutig.

Cyber-Versicherung und Vertrauensschutzversicherung: auch für Ärzte und Psychotherapeuten unbedingt empfehlenswert

Um die Risiken eines Hackerangriffs zu verringern, ist ein guter IT-Sicherheitsstandard wichtig. Doch dieser Schutz allein reicht nicht aus – Technik weist immer ein Restrisiko auf. Und weil sie von Menschen verwendet wird, ist dieses Restrisiko ziemlich groß.

Versicherungsschutz kann Ihre psychologische Praxis oder Ihre Therapieeinrichtung auch dann vor Schaden bewahren, wenn Hacker die Sicherheitssysteme überwinden oder Mitarbeiter sich nicht an die Vorschriften halten. Inzwischen gibt es eine Vielzahl von Policen, die zielgenau auf Heilberufe zugeschnitten sind. Eine solche Versicherung kann Sie vor der Kostenlawine schützen, die nach einer IT-Sicherheitsverletzung und dem Bruch der Vertraulichkeit droht – vor den Kosten für die Tätersuche im System und für das Neuinstallieren des Rechnernetzes, den Kosten für die Ermittlung und Benachrichtigung aller Betroffenen, Schadenersatzforderungen, Rechtsberatungskosten etc.

Außerdem bieten oder finanzieren viele Versicherer schnelle Eingreifteams – IT-Spezialisten, PR-Berater und Anwälte, die im Akutfall schnell bereitstehen.

Die Versicherungskosten belaufen sich in der Regel nur auf wenige Promille des Jahresumsatzes.

Sprechen Sie uns an. acant ist auf Cyberversicherungsschutz spezialisiert. Wir sorgen dafür, dass Ihre Therapiepraxis eine effektive, aber kostenbewusste Versicherung gegen Hackerangriff auf Ihre Patientendaten erhält. Sie erreichen uns telefonisch unter 030 863 926 990 oder mit einer Nachricht per Kontaktformular.

Cyberversicherung, Elektronikversicherung, Maschinenversicherung - Symbolfoto: Michal Jarmoluk via Pixabay

All in one: Cyber-Versicherung, Maschinenversicherung, Elektronikversicherung

… und dazu eine Deckung für die Betriebsunterbrechung im Schadensfall

Für Unternehmen, die sich „in einem Aufwasch“ gegen Schäden …

  • durch einen Cyberangriff
  • an ihrer Elektronik
  • an ihren Maschinen

versichern wollen, gibt es mittlerweile Cyber-Policen mit entsprechender Deckungserweiterung für das elektronische Betriebsvermögen und die Maschinen des Betriebs.

Aus Sicht des Versicherungsexperten gibt es an dem Angebot mehrere positive Details:

  • Die Deckungserweiterungen betreffen je eine pauschale Maschinenversicherung und Elektronikversicherung.
  • Mitversichert ist auch eine Betriebsunterbrechung, die sich durch Maschinen- oder Elektronikschäden ergibt. Das ist ein wichtiger Punkt, denn was nützt der Schadenersatz für das kaputte Gerät, wenn der zweiwöchige Umsatzausfall dem Unternehmen das Genick bricht?
  • Es besteht keine Gefahr, dass eine Unterversicherung zur Kürzung der Versicherungsleistung führt. Bei anderen Sachpolicen kann es passieren, dass der Versicherer nach der Schadensmeldung erst einmal den Versicherungswert ermittelt, dann eine Unterversicherung moniert und deshalb nur einen Teil des Schadens ersetzt. Bei diesen Bausteinen handelt es sich dagegen um eine Versicherung „auf erstes Risiko“ mit Auszahlung der vollen Versicherungssumme. Und zwar unabhängig davon, ob der Versicherungswert der Versicherungssumme entspricht.
    Dieser Punkt ist bei Schadensfällen in der Praxis wichtig, denn es ist gar nicht so einfach, den Wert von Maschinen sowie elektronischen Anlagen und Geräten sauber zu bestimmen. Außerdem spart man sich den Aufwand, ständig aktuelle Inventar-Listen mit den aktuellen Versicherungswerten aller Maschinen und Anlagen zu führen.
  • Dadurch, dass sowohl Elektronik wie Maschinen versichert sind, spart man sich die Abgrenzung zwischen den beiden Versicherungsarten. Das ist keineswegs banal. Bei der Überprüfung der Bestandsversicherungen von Neukunden erleben wir immer wieder, dass eine elektronische Anlage als Maschine versichert ist, oder umgekehrt. Das kann im Schadensfall den Versicherungsschutz kosten. Wenn sowieso beides versichert ist, sind solche Probleme ausgeschlossen.

Cyber-, Elektronik- und Maschinenversicherung: Lohnt sich die Drei-in-eins-Police?

Brauchen Sie denn für Ihr Unternehmen eine Versicherungspolice, die erstens vor Verletzungen Ihrer IT-Sicherheit durch Hackerangriffe schützt, zweitens eine Maschinenversicherung umfasst und drittens auch Ihre Elektronik abdeckt? Sind diese Deckungen vielleicht schon vorhanden, vielleicht als Teil anderer Versicherungen wie einer Inhaltsversicherung?

Ob die Drei-in-eins-Police sinnvoll ist, lässt sich nicht pauschal sagen. Das Versicherungsangebot besitzt klare Vorteile, aber natürlich haben jeder Baustein und jede Deckungserweiterung ihren Preis.

Wie teuer, wie wichtig und wie gefährdet sind die Maschinen in Ihrem Unternehmen? Für welche davon ist eine Maschinenversicherung sinnvoll und notwendig? Wie steht es um die elektronischen Anlagen?

Solche Fragen können wir nur im konkreten Fall beantworten. Aber wir können Sie beantworten, und zwar kompetent. Versicherungen sind unser Metier, Cyber- und andere technische Risiken sind unser Schwerpunkt.

Rufen Sie uns an. 030 863 926 990. Oder schreiben Sie uns eine Nachricht. Wir nehmen uns Zeit für Ihre Fragen. Und wir prüfen gern und kostenlos Ihre bestehenden Versicherungen. Vielleicht können Sie für weniger Geld deutlich besseren Schutz bekommen?