Datenschutzversto? Bußgeld versichern - Symbolbild: Steve Buissinne via Pixabay

Eine Versicherung gegen Datenschutzverstöße

Zack, Datenschutzverstoß, Bußgeld: Geht im Geschäftsalltag ganz schnell

Vor kurzem hat Dagmar Hartge, die Brandenburgische Landesdatenschutzbeauftragte, ihren Tätigkeitsbericht 2020 veröffentlicht. Der Bericht liefert viele Beispiele dafür, wie schnell ein Unternehmen ins Visier der Datenschützer gerät. Die Folge ist dann häufig ein Bußgeld, das wehtut.

Einige Beispiele:

  • Ein Kreditvermittler schickt einem potenziellen Kreditnehmer eine abschlägige E-Mail. Darin nennt er dessen negative Schufa-Werte. Weil die E-Mail nicht komplett verschlüsselt ist, moniert der Abgelehnte einen Datenschutzverstoß. Die Landesdatenschutzbeauftragte sieht es genauso: Der Kreditvermittler wird offiziell verwarnt.
  • Ein Immobilienmakler soll ein Haus an Käufer vermitteln. In den Werbeunterlagen veröffentlicht er Fotos, die er vom Eigentümer bekommt. Darunter sind auch Fotos einer Einliegerwohnung. Die Mieter sehen eine Datenschutzverletzung. Auch dafür gibt es eine Verwarnung.
  • Ein anderes Immobilienunternehmen macht Drohnen-Fotos von Objekten, die es verkaufen will. Dummerweise sind auch Teile der Nachbargrundstücke abgebildet. Deren Eigentümer beschweren sich. Die Landesdatenschutzbeauftragte übt Druck aus, bis das Immobilienunternehmen die Fotos von der Website nimmt.
  • Ein Wirt benutzt die Kontaktdaten-Liste seiner Gäste, die er wegen Corona führen muss, um ihnen Werbung zu schicken. Das darf er aber nicht – Bußgeld.
  • Eine Ballettschule veröffentlicht auf Facebook Bilder, auf denen die Mädchen beim Tanzen zu sehen sind. Die Eltern wurden nicht um Erlaubnis gefragt. Ergebnis: Ein Bußgeld in vierstelliger Höhe.
  • Günstiger kommt eine Arzthelferin davon, die sich in einen Patienten der Praxis verliebt. Sie kontaktiert ihn über die Telefonnummer in der Patientendatei. Auch das ist ein Datenschutzverstoß. Immerhin ist ihr Bußgeld nur dreistellig.
  • Ein Tourismus-Unternehmen lässt seine Datenbank mit Kunden und Gastgebern ungesichert im Netz. Als das Landesamt vorstellig wird, bleiben trotz erster Korrekturen Sicherheitslücken. Das Unternehmen muss sich auf ein Bußgeld einstellen.

Datenschutzverstoß? Diese Kosten übernimmt Ihre Cyber-Versicherung

  • Manche Cyber-Versicherungen versichern DSGVO-Bußgelder, soweit dies gesetzlich erlaubt ist. (Natürlich nicht bei Vorsatz.)
  • Beim Vorwurf eines Datenschutzverstoßes braucht man den Anwalt. Und auch schon vorher: Dann, wenn man herausfinden will, ob ein Datenschutzverstoß vorliegt, über den man die Behörden informieren muss. Die Kosten für beides sind als Teil der Cyber-Deckung versicherbar.
  • Viele Cyber-Versicherungen haben selbst spezialisierte Anwälte unter Vertrag, die im Notfall direkt helfen.
  • Nach einem Datenschutzverstoß haben die Betroffenen Anspruch auf Schadenersatz. Solche Forderungen decken Cyber-Versicherungen ebenfalls.
  • Wenn der Geschäftsführer dafür haften soll, dass der Datenschutzverstoß möglich war, deckt eine D&O-Versicherung (Manager-Haftpflichtversicherung) die Schadenersatzforderung .
  • Viele Cyber-Versicherer stellen Fachleute für Krisen-PR. Sie helfen bei einem Datenschutz-Gau, Imageschäden zu minimieren.

acant hilft beim Eindämmen der DSGVO-Risiken

Datenschutz ist eine gute Sache. Für Unternehmen wird er allerdings schnell zum Glatteis. Es gibt einfach zu viele Möglichkeiten, im Geschäftsalltag gegen Datenschutzbestimmungen zu verstoßen.

Dieses finanzielle Risiko lässt sich durch eine Cyber-Versicherung weitgehend eindämmen, genauso wie die Schäden durch Hacker und Trojaner. acant ist als Spezialmakler für Cyber-Policen der richtige Ansprechpartner.

Wir finden die Versicherung, die Sie und Ihr Unternehmen optimal schützt. Schreiben Sie uns oder rufen Sie uns an: 030 863 926 990

elektronische Patientenakte, Symbolfoto: Bokskapet via Pixabay

Elektronische Patientenakte: Ärzte als Hochrisikogruppe beim Datenschutz?

Die elektronische Patientenakte soll die Digitalisierung im Gesundheitswesen forcieren

Bundesgesundheitsminister Spahn treibt die Pläne zur raschen Digitalisierung im Gesundheitswesen voran. Das Patientendaten-Schutzgesetz ist seit kurzem in Kraft. Es bringt die elektronische Patientenakte (ePA), das E-Rezept und eine einheitliche Infrastruktur für den Datenaustausch im Gesundheitswesen (Telematik-Infrastruktur, TI).

Die Digitalisierung ist sinnvoll und überfällig. Wenn Versicherte direkten Überblick über ihre Arbeitsunfähigkeiten, Behandlungen, Impfungen, Krankenhausaufenthalte, Vorsorgetermine und Rezepte haben, ist das positiv. In anderen Ländern existieren die Voraussetzungen dafür schon längst. Es gibt keinen Grund, warum der Datenaustausch zwischen Ärzten, Kliniken, Versicherern und Apotheken nicht digital stattfinden sollte. Dass Patienten selbst kontrollieren, wer Zugriff auf Befunde, Diagnosen und andere Daten hat, ergibt Sinn.

Das Problem ist das Datenschutzrisiko. Der Bundesdatenschutzbeauftragte Ulrich Kelber rät laut „Deutschland sicher im Netz“ von der Nutzung der elektronischen Patientenakte ab. Außerdem will er die Krankenkassen verpflichtend anweisen, die ePA-Apps gesetzeskonform zu gestalten. Dummerweise ist das technisch offenbar erst ab 2022 möglich.

Ärzte müssen die elektronische Patientenakte auf Wunsch ausfüllen.

Die gesetzlichen Krankenkassen müssen seit Jahresbeginn ihren Versicherten die elektronische Patientenakte bereitstellen, zum Beispiel per App fürs Smartphone. Die privaten Krankenversicherungen sind erst ab 2022 dazu verpflichtet. Ärzte, Therapeuten, Apotheken etc. haben die ePA mit Daten zu befüllen, wenn der Patient es wünscht.

Das Problem: Bislang kann der Versicherte nicht „granular“ vorgeben, welchem Arzt er welche Informationen zugänglich macht. Das ist zwar vorgeschrieben, soll aus technischen Gründen jedoch erst nächstes Jahr kommen. Im Moment sieht damit im Zweifel auch der Zahnarzt, dass die Patientin letztes Jahr einen Schwangerschaftsabbruch hatte oder der Patient in psychiatrischer Behandlung ist.

Auch im Praxisalltag dürfte es neue datenschutzrechtliche Risiken geben – etwa dann, wenn die Mitarbeiterin an der Rezeption dem älteren Patienten hilft, die App zu bedienen. Oder wenn Hacker versuchen, an dieser Nahtstelle den Datenaustausch abzuschöpfen oder die App zu kompromittieren.

Wer trägt das Datenschutz-Risiko?

Das Risiko für die Heilberufe liegt auf der Hand. Fehler werden dem niedergelassenen Arzt und seinen Mitarbeitern angelastet werden. Das gilt auch dann, wenn der Patient missverständlich kommuniziert oder mögliche Mängel der Infrastruktur Datenverluste begünstigen.

Der Praxis-Inhaber ist dafür verantwortlich, dass das Datenschutzniveau in der Praxis sowohl technisch wie organisatorisch gewahrt bleibt. Er muss eine angemessene IT-Sicherheit gewährleisten, dafür sorgen, dass stets die notwendigen Einwilligungen vorliegen und keine unbefugten Mitarbeiter Zugriff erhalten. Dafür haften die Ärztin oder der Therapeut.

Noch ist die ePA in der Testphase – aber an die Versicherung sollten Ärzte und Therapeuten schon jetzt denken

Bis jetzt ist die ePA noch in der Testphase. Ab dem zweiten Halbjahr 2021 sollen dann alle Patienten die entsprechenden Apps nutzen können, und alle Arztpraxen die Akten auf Wunsch elektronisch ausfüllen. Ab 2022 werden weitere Nachweise digitalisiert, zum Beispiel der Mutterpass oder das Zahnarzt-Bonusheft.

Für Ärzte, Therapeuten und alle anderen, die am Austausch von Patientendaten über die Telematik-Infrastruktur im Gesundheitswesen mitwirken dürfen/müssen, gibt es eine klare Empfehlung: rechtzeitig eine passende Cyber-Versicherung für niedergelassene Praxen abschließen, die auch Datenschutzverstöße abdeckt. Fragen Sie uns nach den Einzelheiten: Wir von acant sind Spezialmakler für Cyber-Versicherungen und kennen uns mit der Deckung von Datenschutzrisiken aus.

Patientendaten sind für Datendiebe sehr, sehr wertvoll

Man kann nicht oft genug darauf hinweisen: Patientendaten sind für Hacker wie Goldstaub. Ein eindrückliches Beispiel war der Diebstahl von 40.000 digitale Patientenakten in Finnland – mit Adressdaten und den Notizen der behandelnden Psychotherapeuten.

Und selbst, wenn es nicht so schlimm kommt: Selbst ein Fehler im Praxisalltag kann direkt zu einem Datenschutzverstoß und damit zu einem Bußgeld-Verfahren führen. DSGVO-Bußgelder sind von empfindlicher Höhe – bis zu zwei Prozent vom Jahresumsatz sind möglich.

Haben Sie Fragen zur Cyber-Versicherung speziell im Gesundheitswesen? Rufen Sie uns einfach unter 030 863 926 990 an oder schreiben Sie uns eine kurze Nachricht.

Cyber-Versicherung hilft Vereinspräsident nach Datenschutzskandal - Symbolbild: Chiraphat Phaungmala via Pixabay

Stabile Abwehr: ein Bundesligaverein, ein Datenschutzskandal und eine Cyber-Versicherung

Bei uns geht es um Versicherungen, nicht um Fußball. Die internen Querelen beim Bundesligaverein VfB Stuttgart sind aber auch aus Versicherungsmakler- Perspektive interessant. Im Mittelpunkt des Konflikts steht nämlich ein – vermutlich – handfester DSGVO-Verstoß. Eine Cyber-Versicherung spielt ebenfalls eine wichtige Rolle.

Rudelbildung: Offene Eskalation zwischen dem Vorstandschef und dem Aufsichtsratsvorsitzenden

Seit Beginn dieser Saison spielt der VfB Stuttgart als Aufsteiger wieder erste Bundesliga. Bisher sehr erfolgreich. Trotzdem gibt es großen Ärger. Thomas Hitzlsperger, Vorstandvorsitzender der fürs Profigeschäft zuständigen Aktiengesellschaft VfB AG, hat Claus Vogt, seinen Aufsichtsratsvorsitzenden und Präsidenten des VfB e. V. , offen angegriffen.

Ein „tiefer Riss“ gehe durch den Verein, zwischen dem Aufsichtsratsvorsitzenden einerseits und „dem gesamten Vorstand der AG und zahlreichen Gremienmitgliedern aus Präsidium, Aufsichtsrat und Vereinsbeirat sowie Mitarbeiterinnen und Mitarbeitern“ andererseits. „Der Profilierungswunsch eines Einzelnen“ bedrohe die Existenz des VfB. Jetzt will Hitzlsperger selbst e.V.-Präsident werden.

Hintergrund: Der Umgang mit einem massiven DSGVO-Verstoß

Konflikte zwischen Vorstand und Aufsichtsrat gibt es in vielen AGs. Eine derart klare Grätsche hat trotzdem Seltenheitswert. Hauptauslöser des Konflikts ist der Umgang mit einer massiven Datenschutzaffäre, zu der es offenbar von 2016 bis 2018 kam. In dieser Zeit versuchte die Vereinsführung, die Mitglieder von der Ausgliederung des Profigeschäfts in besagte AG zu überzeugen. Rechtzeitig vor der entscheidenden Mitgliederversammlung wurde eine externe PR-Agentur beauftragt. Ihr Job: Guerilla-Marketing bei Facebook & Co. Dazu soll sie aus der Vereinszentrale personenbezogene Daten von Mitgliedern samt Telefonnummern und E-Mailadressen erhalten haben, insgesamt mehr als 200.000 Datensätze.

Es sah nach einem klaren Datenschutz-Verstoß aus. 2020 berichtete der Kicker. Der VfB-Kommunikationschef wurde beurlaubt. Der Landesdatenschutzbeauftragte startete eine Untersuchung. Vogt beauftragte die Berliner Kanzlei Esecon mit eigenen Nachforschungen. Dieses Mandat sei jedoch „ohne Ausschreibung, ohne Kostenschätzung und ohne Projektplan“ erteilt worden und habe zu „ausufernden Kosten“ geführt, so Hitzlsperger. Nun müsse die AG den Verein unterstützen, um ihn vor der Zahlungsunfähigkeit zu bewahren.

Zahlungsunfähig wegen einer Datenschutz-Aufklärung? Nicht, wenn die Cyber-Versicherung einspringt

Die Honorare von Esecon für die Aufklärungsarbeit rund um den DSGVO-Verstoß sollen sich auf 400.000 Euro belaufen – bisher. Viel Geld für einen Verein. Er darf ja, anders als die ausgegliederte AG, keine Gewinne anstreben, und nur begrenzt Rücklagen bilden.

Trotzdem konnte VfB-Präsident Vogt gegen Hitzlspergers Vorwurf mit einem entscheidenden Argument punkten: Die Kosten sind offenbar gedeckt durch eine Cyber-Versicherung, die der Verein mit der Allianz abgeschlossen hat. Die Versicherungssumme soll eine mittlere sechsstellige Summe betragen. Die Aufklärung von Datenschutzverstößen gehört bei einer Cyber-Versicherung in der Regel zu den versicherten Leistungen. Eine gute Cyber-Versicherung schützt nicht nur vor Schäden durch Viren und Trojaner, sondern auch durch DSGVO-Verstöße.

Cyber-Versicherung: Risikomanagement fürs Unternehmen, Absicherung für den Manager

Wie der Machtkampf beim VfB Stuttgart ausgeht, muss sich erst noch zeigen. Aber zwei Dinge stehen bereits fest:

  • Die Folgekosten eines größeren Datenschutzverstoßes können eine Organisation die Existenz kosten. Umgekehrt kann eine Cyber-Versicherung die Existenz retten – wenn man sie hat.
  • Wer als Führungskraft beizeiten eine Cyber-Versicherung abschließt, kann später damit punkten, dass er seiner Sorgfaltspflicht nachgekommen ist und vorgesorgt hat.

Wir von acant vermitteln seit vielen Jahren schwerpunktmäßig Cyber-Versicherungsschutz für Unternehmen, Vereine und andere Organisationen. Wir wissen, worauf es ankommt und wie Sie sich maßgeschneidert absichern. Rufen Sie uns an: 030 863 926 990.

Fotos auf der Betriebsfeier? Einwilligung nötig - Foto: Matan Vizel via Pixabay

Muster-Datenschutzhinweis Foto/Video für Ihre Betriebsfeier

Die Zeit der weihnachtlichen Betriebsfeiern, Vereinsfeste etc. bricht an.

Wenn der Veranstalter (z. B. das Unternehmen) dabei Fotos und Videos machen lässt und die vielleicht auch veröffentlichen will, sollte er die Rechtslage im Auge haben: Er muss die Teilnehmer, Mitarbeiter, Mitglieder oder Gäste vorher darauf hinweisen und sich deren Einverständnis sichern. Sonst droht ein Verstoß gegen Datenschutzvorschriften und Persönlichkeitsrechte.

Praktischerweise hat der Berliner Rechtsanwalt Thomas Schwenke einen Online-Gererator für Datenschutzhinweise zu Foto- und Videoaufnahmen bei Veranstaltungen parat: Datenschutzhinweise zu Foto- und Videoaufnahmen bei Veranstaltungen

In diesem Sinne: frohes Fest und schöne Bilder!

DSGVO-Bußgelder Symbolbild, Foto: Achim Thiemermann via Pixabay

DSGVO-Bußgelder berechnen – und versichern

Konzept für die Bußgeldhöhe bei Datenschutzverstöße durch Unternehmen

Vor kurzem haben die zur „deutschen Datenschutzkonferenz“ zusammengefassten Datenschutzbeauftragten ein Konzept vorgestellt, nach dem sie Bußgelder bei DSGVO-Verstößen berechnen wollen.

Die Kalkulation ist durchaus kompliziert und einzelfallabhängig. Eines lässt sich aber direkt sagen: Es kann sehr schnell sehr teuer werden.

Drei Schritte zum DSGVO-Bußgeld

Grundsätzlich wird ein DSGVO-Bußgeld dem Konzept zufolge in drei Stufen ermittelt:

  1. Ausgangspunkt ist ein „Grundwert“, der vom Jahresumsatz abhängt. Der niedrigste Grundwert (bis 750.000 Euro Jahresumsatz) ist 972 Euro. Liegt der Jahresumsatz bei zwei Mio. Euro, gilt ein Grundwert von 4.722 Euro. Bei 12. Mio. Euro Jahresumsatz sind es schon 38.194 Euro.
  2. Dann kommt ein sogenannter „Faktor“ ins Spiel, mit dem der Grundwert multipliziert wird. Er soll der Schwere des Datenschutzverstoßes entsprechen: wie lange hat der Verstoß gedauert, gab es frühere Vorfälle, wie schwer sind die Folgen für die Betroffenen, … ? Solche Aspekte entscheiden darüber, ob der Grundwert mit einem Faktor von bis zu 12 oder mehr multipliziert wird.
  3. Schließlich gibt es noch eine Korrekturmöglichkeit, um das Bußgeld je nach Einzelfall noch abzumildern, wenn besondere Umstände vorliegen – etwa dann, wenn andernfalls die Insolvenz droht.

Hausnummer: 5.000 Euro Bußgeld für ein Kleinunternehmen bei fehlender Einwilligung

Was dieses Konzept für die Praxis bedeutet, hat Rechtsanwalt Thomas Helbing aus Berlin zusammengefasst. Zitat: „Bei einem mittleren Verstoß gegen materielle Datenschutzvorschriften (z.B. Verarbeitung ohne Rechtsgrundlage) wird der Betrag mit dem Faktor 6 multipliziert. Da kommen bei einem KMU mit einstelligem Millionenumsatz schnell € 50.000,- zusammen und bei einem Freiberufler mit minimalem Umsatz immerhin € 5.000.

Mit anderen Worten: Wenn ein kleines Unternehmen von nicht mehr als einer halben Mio. Euro Jahresumsatz die Daten eines Kunden speichert, ohne dass dessen Genehmigung nachgewiesen werden kann, droht ihm nach Anwalt Helbings Einschätzung bereits ein Bußgeld von rund 5.000 Euro.

Versichern hilft – auch gegen die Kosten von Datenschutzverstößen

Angesichts solcher Summen sollte man juristische Gegenmaßnahmen ausloten, wenn es zum Bußgeldverfahren kommt. Zum Glück lässt sich auch vorher schon etwas tun: Sie können Ihr Unternehmen klug versichern, auch gegen das DSGVO-Risiko:

  • Es gibt Cyber-Versicherungen, die eine Deckung für Bußgelder wegen Datenschutzverstößen umfassen. Ein typisches Beispiel: Sublimit für DSGVO-Bußgelder von 500.000 Euro pro Schadensfall.
  • Präventiven Schutz bietet zudem der Abschluss einer D&O-Versicherung für die Geschäftsführung oder den Vorstand. Ist ein Datenschutzverstoß durch den Manager oder Geschäftsführer verschuldet worden, kann sich das Unternehmen an dessen Haftpflichtversicherung halten (und gleichzeitig ist er selbst vor dem Ruin geschützt).
  • Zudem können Betriebshaftpflicht- und betriebliche Rechtsschutzversicherungen Teile der Kosten abdecken.

Kostenlose Beratung und Prüfung Ihrer Versicherungspolicen

Was Ihre bestehenden betrieblichen Versicherungen im Fall von Datenschutzverstößen bereits abdecken, und wo es Lücken gibt, die Sie schließen sollten, das erfahren Sie von uns: Wir von acant prüfen Ihre Versicherungsverträge und beraten Sie ausführlich. Natürlich ohne, dass Kosten für Sie anfallen.

Interesse? Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Solche Bußgelder werden bereits laufend verhängt

Übrigens werden die Bußgelder, die bei Datenschutzverstößen verhängt werden, von vielen Geschäftsleuten unterschätzt. Auf der Seite Enforcementtracker.com können Sie sich anschauen, was in verschiedenen Ländern Europas laufend gefordert wird. Das sind mal ein paar Tausend Euros für die unerlaubte Videoaufzeichnung im Döner-Laden, aber auch eine sechsstellige Summe für nicht gelöschte Datensätze vergangener Kunden beim Essenslieferanten Delivery Hero.

Datenschutz im Verein - per Rechtsschutz versicherbar

Datenschutz im Verein: Datenschutz-Baustein für Vereins-Rechtsschutz

Datenschutzvorschriften gelten auch für Vereine

Viele e. V. haben inzwischen zwar eine Datenschutzerklärung auf der Vereinswebsite. Aber das Datenschutzrecht verlangt mehr als das. Grundsätzlich darf ohne Einwilligung der Betroffenen nicht einmal der runde Geburtstag von Vereinsmitgliedern veröffentlicht werden, oder das aktuelle Mannschaftsfoto mit dem Namen der Spieler.

Für eine Abmahnung reicht schon ein Einzelner

Das gilt grundsätzlich für alle – Sportvereine, Kleingartenvereine, Brauchtumsvereine oder was auch immer. Für eine teure Abmahnung reicht schon ein einziger Querulant aus. Noch größer ist das Risiko, wenn der Verein auch die personenbezogenen Daten von Vereinsfremden „verarbeitet“. Dann etwa, wenn Mitglieder anderer Vereine an Wettkämpfen, Vorführungen oder Treffen teilnehmen.

Rechtsschutzversicherung gegen Datenschutzverstöße im Verein

Die Roland hat deshalb einen speziellen Baustein für ihre Rechtsschutzversicherungen auf den Markt gebracht, der im Fall von Datenschutzverstößen die rechtlichen Risiken für Vereine und Vereinsvorstände abdeckt. Für manche Vereine ist dieser Rechtsschutz-Baustein mit Sicherheit sinnvoll.

Fragen?

Rufen Sie uns an. Das kostet nichts, und wir beraten Sie gern dazu, welche Form von Versicherungsschutz für Ihren Verein Sinn ergibt, und welche nicht. Sie erreichen uns unter 030 863 926 990 oder 0176 10318791.

Medical Identity Fraud: Identitätsdiebstahl im Gesundheitswesen

Identitätsdiebstahl bei Patienten

Die Süddeutsche Zeitung schreibt heute über das Phänomen des „Medical Identity Fraud“, den äußerst lukrativen Diebstahl von Patientendaten.

Auch dieser Trend kommt wieder einmal aus den USA. Dort ist die digitale Gesundheitskarte längst Realität. Patientendaten werden zentral gespeichert. Bereits bei 2,3 Millionen Menschen wurden diese Datensätze gestohlen und von Fremden missbraucht. Diese Form des Identitätsdiebstahl wächst in den USA schneller als alle anderen, etwa der Klau von Bankdaten.

Denn im Gesundheitswesen ist Identitätsdiebstahl besonders lukrativ: Mit den Daten kann man sich Schmerz- oder Schlafmittel verschreiben lassen und verkaufen. Ganze Operationen oder umfangreiche Behandlungen werden in falschem Namen abgerechnet. Auch eine Krankenversicherung lässt sich abschließen. Der Schwarzmarktwert solcher Datensätze ist entsprechend hoch.

Den Schaden hat derjenige, dessen Daten gestohlen wurden — aber auch Versicherungen, Artzpraxen und Gesundheitseinrichtungen aller Art, die Opfer betrügerischer Abrechnungen werden. Gegen diese Form des Missbrauchs wurde deshalb ein eigener Branchenverband gegründet, die Medical Identity Fraud Alliance.

Auch in Deutschland steigt das Risiko

Noch ist das Phänomen in Deutschland nicht so weit verbreitet wie in den USA. Aber auch hier ist der Missbrauch von Patientendaten ein Risiko. Noch beschränkt sich die elektronische Gesundheitskarte — salopp gesagt — auf das Patientenfoto, das die Chipkarte ziert. Dabei wird es aber nicht bleiben. Im Dezember letzten Jahres wurde das E-Health-Gesetz beschlossen, damit kommt der Datenaustausch im Gesundheitswesen allmählich ins Rollen.

In den nächsten Jahren werden nach und nach immer weitere Funktionen eingeführt. Ziel ist die digital verfügbare Patientenakte. So soll es in der Arztpraxis einen Stammdatenabgleich mit Datensätzen auf einem zentralen Server geben. Daten zu Allergien oder Vorerkrankungen sollen ebenso auf der Karte gespeichert sein wie Medikationspläne – auf die dann auch die Apotheke zugreifen kann. Auch Behandlungsdaten von Chronikern beispielsweise nach einem Klinikaufenthalt werden auf diesem Weg für Anschlussbehandlungen verfügbar gemacht, und elektronische Arztbriefe weitergereicht.

Diese Funktionen können die medizinische Behandlung sehr erleichtern. Auch das Einsparpotenzial ist groß. Aber dass damit automatisch auch das Missbrauchsrisiko steigt, liegt auf der Hand. Berichte über Sicherheitsprobleme bei der elektronischen Gesundheitskarte gibt es mehr als genug. Dieses Risiko wird auch zum Problem für Praxen, Kliniken und anderen Gesundheitseinrichtungen und -versorgern. Und schon beim Streit um EC-Karten-Missbrauch hat sich gezeigt, dass die Verwender einer Chipkarte gern für Sicherheitslücken im System haftbar gemacht werden, wenn sie diese nicht technisch detailliert nachweisen können.

Zwar haftet der Krankenversicherer für Behandlungskosten, wenn die Karte missbräuchlich verwendet wurde, ohne dass dies erkennbar war. Arztpraxen, Kliniken oder Versorgungseinrichtungen haften jedoch gegenüber den Patienten (und allen anderen Geschädigten, etwa den Versicherern), wenn sie für ein Datenleck verantwortlich sind (oder gemacht werden), das zu Identitätsdiebstahl und anderem Missbrauch führt. Wie teuer so etwas werden kann, einschließlich aller Folgekosten, lässt sich leicht ausmalen.

Versicherer sammelt Fitness-Daten

Virulent wird das Datenschutz-Problem natürlich erst recht, wenn die Player im Gesundheitswesen nicht nur die vorgeschriebenen Formen des Datenaustausch betreiben, sondern die Infrastruktur für eigene Angebote nutzen. Ein Vorstoß in dieser Richtung war die Idee von TK-Chef  Jens Baas, seinen Versicherten kostenlos Fitness-Tracker in Form von Armbändern zur Verfügung zustellen. Die würden z. B. Trainingszeiten registrieren, Schritte zählen und die Pulsfrequenz messen – und diese Daten in der elektronischen Patientenakte mitpeichern.

Solche Angebote können für Kunden sehr attraktiv sein – aber auch sie öffnen zwangsläufig neue Ansatzpunkte für Datendiebstahl. Anbieter, die diese Möglichkeiten nutzen, sollten sich absichern.

Die finanziellen Folgen von Identitätsdiebstahl lassen sich versichern

Auch für Artzpraxen, Kliniken, Gesundheitseinrichtungen und Dienstleister im Gesundheitsbereich wie etwa Dentallabore lautet die Empfehlung deshalb: Dieses Risiko lässt sich versichern! Wenn es zum medizinischen Identitätsdiebstahl kommt, kann eine Versicherung die finanziellen Folgen abfangen und so für das Überleben der Einrichtung entscheidend sein.

Wenn Sie mehr über die Versicherungsmöglichkeiten erfahren wollen, beraten wir Sie gern.

Reputationsschaden: Eine Firma, ein Virus, 300 Mio. E-Mails

Viren-Mail, gefälschter Absender, Chaos perfekt

„Etwas Vergleichbares haben wir noch nicht erlebt. Die immensen Reaktionen haben dazu geführt, dass wir alles, alles vom Netz nehmen mussten.“

Das sagte der Geschäftsführer einer kleinen Siegener Betriebs aus der Metallbranche dem WDR, nachdem ein Mitarbeiter scheinbar innerhalb kurzer Zeit scheinbar 300 Mio. virenverseuchte Word-Dateien per E-Mail in alle Welt verschickt hatte. Dabei war das Unternehme völlig schuldlos. Der Absender war gefälscht und sollte nur die Adressaten nur zum Öffnen des Dokument verleiten.

Mit Erfolg. Bei einer Empfänger-Firma wurde sogar das Firmennetzwerk samt der Maschinensteuerungen lahmgelegt. Das Siegener Unternehmen bekam, obwohl schuldlos, die Folgen heftig zu spüren, Geschädigte aus aller Welt machten ihrem Unmut per E-Mail, telefonisch oder auch persönlich Luft. Selbst die Betriebsferien zu Weihnachten verzögerten sich aufgrund des Wirbels.

Der Reputationsschaden ist versicherbar

Den größten Schaden in solchen Fällen stellt aber meistens der Imageverlust dar: Der Reputationsschaden kann – trotz erwiesener Unschuld – erheblich sein.

Die einzige gute Nachricht im Zusammenhang mit derartigen Meldungen: Solche Schäden sind versicherbar, eine Cyber-Police deckt neben den anderen Folgeschäden auch den Reputationsschaden ab.

Die unschöne Geschichte zeigt, dass die Gefahr durch Makroviren in Office-Dokumenten (Excel, Word, PowerPoint) keine Nostalgie, sondern wieder hochaktuell ist. Ein Grund mehr, die Mitarbeiter wieder einmal auf gesundes Misstrauen gegenüber E-Mail-Anhängen einzuschwören, selbst aus scheinbar bekannter Quelle. Und vor allem auch ein Grund, konkret über eine Cyber-Versicherung nachzudenken, die in einem solchen Fall hilft, die finanziellen Schäden aufzufangen.

Falls Sie Fragen haben: Rufen Sie uns einfach an – 030 863 926 990.

Safe Harbor und die praktischen Folgen

Bye bye, Safe Harbor im Datenschutz

Der EuGH hat bekanntlich im Oktober das Safe-Harbor-Abkommen zwischen den USA und der EU gekippt, das die Übermittlung personenbezogener Daten an Rechenzentren in den USA erlaubte, wenn diese besonders zertifiziert sind. Das war einmal – wer weiterhin auf Basis dieses Abkommens Daten übermittelt, verstößt gegen Datenschutzrecht. Bis Januar 2016 werden solche Datenschutzverstöße zwar erst einmal nicht geahndet, bis dahin wollen die Politiker schauen, ob sie die Situation gelöst bekommen. Aber verlassen sollten Unternehmen sich darauf nicht. Wer  einen Cloud-Service oder E-Mail-Dienstleister mit Sitz bzw. Rechenzentrum in den USA nutzt und an diesen Kundendaten, Adressatenverzeichnisse oder Arbeitnehmerdaten übermittelt, muss damit auf die sogenannten „EU-Standardvertragsklauseln für Auftragsdatenverarbeitung“ umstellen.  Aber auch deren Geltung steht zumindest mittelfristig in Frage. Und überhaupt: Der Großteil der Unternehmen hat dem Themen bisher wenig Beachtung geschenkt und wird daran wohl nichts ändern. Zumal praktikable Lösungen Mangelware sind.

Datenschutzmanagement ist keine Nebensache mehr

„Das Urteil mag eine große Bedeutung für viele Unternehmen haben. Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.“

Das teilte der Berliner Rechtsanwalt Thomas Schwenke den Lesern seines Blogs nach der Safe-Harbor-Entscheidung mit – und hat damit vollkommen recht. Weiter schreibt er:

„Die Datenschutzanforderungen werden Sie ohnehin kaum alle perfekt erfüllen können. Das heißt jedoch nicht, dass Sie es gleich lassen sollten. Ganz im Gegenteil, sollten Sie rechtlich so viel wie möglich richtig machen.“

Ich füge hinzu: Und außerdem brauchen Sie Versicherungsschutz! Das ist gerade jetzt wichtig, weil absolute Compliance in Bezug auf Datenschutzrecht schwierig bis unmöglich ist.

Natürlich kann eine Versicherung nicht den verantwortlichen Umgang mit dem Thema Datenschutz ersetzen. Aber Betriebshaftpflicht, D&O (Managerhaftpflicht) und Cyberversicherung sind die geeigneten Instrumente, um das Unternehmen vor finanziellen Verlusten durch Datenschutzverletzungen zu bewahren. Jedes sinnvolle Risikomanagement schließt in diesem Bereich Versicherungslösungen mit ein.

Das liegt nicht nur am Rechtsrisiko. Mitarbeitern, Kunden und Geschäftspartner erwarten, dass Datenschutz ernst genommen wird. Wer sich darauf nicht einstellt, riskiert nicht nur hohe Folgekosten (und Schadenersatzforderungen), sondern auch einen empfindlichen Reputationsverlust.

Praktische Folgen für Unternehmen

Und was bedeutet das jetzt ganz praktisch? Unternehmen sollten sich darüber klar werden, an wen sie personenbezogene Daten weitergeben, auf welcher vertraglichen Grundlage das geschieht und wer dafür haftet. (Im Zweifel ist das immer erst einmal der eigene Vorstand oder die Geschäftsführung).  Um das Thema müssen sich Betriebe auch dann kümmern, wenn sie keinen Datenschutzbeauftragten haben müssen.

  • Wenn möglich und sinnvoll, sollte man zu Geschäftspartnern wechseln, die die Daten in der EU speichern und verarbeiten.
  • Der Standort der Rechenzentren muss  bei jedem Dienstleister oder Geschäftspartner bekannt sein, an den personenbezogene Daten weitergegeben werden.
  • Wenn es noch keine Datenschutzerklärung gibt, sollte man sie erstellen.
  • Wenn Auftragsdatenverarbeitung ohne Vertrag vorliegt, sollte das unbedingt geändert werden.
  • Wenn Daten in die USA übermittelt werden, müssen die Verträge auf Safe-Harbor-Klauseln überprüft werden. Wenn man fündig wird, besteht Handlungsbedarf. Dazu sollte man sich, wenn nötig, beraten lassen.
  • Weil das Datenschutzrecht sehr im Fluss ist, müssen Unternehmen die Folgen möglicher Datenschutzverstöße versichern. Dazu gehört auch, das Management gegen persönliche Inanspruchnahme aufgrund von Versäumnissen abzusichern: Die Vermeidung von Datenschutzverstößen ist Verantwortung der Geschäftsführung.

Fragen Sie uns jederzeit

Mit dem Versichern von IT-Risiken, Rechtsrisiken und persönlichen Haftungsrisiken kennen wir genau aus.  Und wir haben für alle Ihre Fragen ein offenes Ohr: 030 863 926 990 oder info@acant.de.

 

Online-Dienst verkauft – Datenschutz-Debakel

Datenschutz-Bußgeld für Käufer und Verkäufer

Ein Online-Shop wird verkauft, zusammen mit der Kundendatei – schließlich ist der Kundenstamm einer der größten „Assets“ bei so einem Asset Deal. Und dann verhängt plötzlich der Landesdatenschutzbeauftrage ein Bußgeld in fünfstelliger Höhe – sowohl für den Käufer wie den Verkäufer. Der Stuttgarter Rechtsanwalt Clemens Pfitzer, der über diesen Fall berichtet, resümmiert: „Die bayerischen Datenschützer scheinen ernst zu machen.

Grund für das Bußgeld: Bei dem Geschäft wurden E-Mail-Adressen und andere persönliche Kundendaten ohne Einwilligung und ohne Widerspruchsmöglichkeit verkauft. Namen und Postadressen von Kunden können bei einer Betriebsübernahme relativ problemlos mit verkauft werden. Für E-Mail-Adressen,Telefonnummern, Kreditkarten- und Kontodaten sowie die Bestellhistorien der Kunden benötigt man jedoch eine – nachweisbare – Einwilligung (Opt-in). Zumindest aber müssen die Kunden von der Übertragung erfahren und ihr widersprechen können (Opt-out).

Auch dagegen kann man sich versichern!

Als Versicherungsmakler zählt für uns natürlich auch immer die Frage: Hätte man sich dagegen versichern können?

Klare Antwort: Ja! Eine so genannte W&I-Versicherung (Warranty and Indemnity Insurance) bezahlt, wenn ein Unternehmen ein Garantieversprechen im Rahmen einer Übernahme nicht einhalten kann.

Fragen zu Ihrer Absicherung?

Datenschutzvorschriften können schnell sehr teuer werden – nicht nur beim Asset Deal, auch im laufenden Geschäft oder aufgrund persönlicher Haftung. Haben Sie Fragen dazu, wie Sie sich und Ihr Unternehmen absichern können? Rufen Sie mich doch einfach an: 030 863 926 990.