Cyberrisiken- wo liegt die Haftung?

Teil 2 zum Thema Datenversicherung und Cyberversicherung

Bei jedem Hackerangriff, Datendiebstahl oder auch bei jeder Erpressung besteht auch ein Haftungspotential- zumindest in Deutschland. Das Haftungspotential besteht gegenüber den Kunden des Unternehmens. Auch das Finanzamt, ein leitender Angestellter, der Geschäftsführer oder auch der Vorstand rücken bei Haftungsfragen in den Fokus.

Wo kann Haftung für Unternehmen und deren Organe entstehen

Haftung aus Cyberrisiken kann zum Beispiel in folgenden Fällen entstehen:

VorfallRechtsgrundlagen
Weitergabe von Schadsoftware
z.B. durch Mail Anhang oder Homepagedownload
BGB „Deliktrecht“
oder „Vertragsrecht“
DoS-Angriff auf Dritte oder Vertragspartner von
VN-System
BGB „Deliktrecht“
oder „Vertragsrecht“
Persönlichkeits-Rechts- GF Verletzung
durch IT-System des VN (z.B.
Homepage, Mail, Downloads)
BGB „Deliktrecht“
oder „Vertragsrecht“
Buchhaltungsunterlagen (Daten) zerstört, beschädigt,
verändert
Handels-Recht
Steuer-Recht
Abgaben-Ordnung
Daten von Kunden /Geschäftspartnern Vertraglicher Schutz als „Vertrauliche Information“ Gesetzlicher Schutz als Geschäfts-/Betriebsgeheimnis (vergl. § 17 UWG)BGB
„Vertragsrecht“

Cyberrisiken erzeugen auch Haftung der Geschäftsführer

Cyberrisiken treffen auch Geschäftsführer

Jeder Außenanspruch, der eine Haftung gegenüber Dritten darstellt kann zu einen Innenanspruch führen. Der Firmeninhaber kann sich den Schaden durch die Organe des Unternehmens ersetzen lassen. Diese haften im Zweifel in voller Höhe mit dem Privatvermögen.
Folgende Fälle sind bereits bekannt:

Ein Virus verschlüsselt Daten- das Unternehmen hat eine Betriebsunterbrechung und muss Lösegeld zahlenDer Vorstand muss darlegen, dass alle IT Systeme auf dem neuesten Stand waren und die Mitarbeiter geschult waren- gelingt das nicht besteht Haftung mit Privatvermögen
Ein Mitarbeiter entwendet Daten und verkauft diese an die KonkurrenzHat die Geschäftsleitung alles erdenkliche getan um diesen Schaden zu vermeiden? Haftung schon dem Anschein nach.
Die Buchhaltung wird durch einen Buchhalter gestohlen oder absichtlich falsch dargestellt - tatsächlich passiert!Überhöhte Steuerzahlungen drohen, der Inhaber nimmt Regress beim Vorstand/ Geschäftsführer.
Kundendatenbank wird gehackt und an den Konkurrenten verkauftWaren alle Sicherheitsvorkehrungen auf dem neuesten Stand? Haftung kann auf GF übergehen.

Ein Absicherungskonzept muss ganzheitlich schützen

Die Frage nach „der Cyberversicherung“ stellt sich demnach nicht. Ein nachhaltiges Versicherungskonzept schützt alle neuralgischen Bereiche des gesamten Unternehmens.
Genau wie die Managerhaftung, die Haftung gegenüber Dritten und die Eigenschäden, müssen auch Rechtskosten mit abgedeckt sein. Dadurch wird ein lückenloser Versicherungschutz gewährleistet.

Tarifinhalte – das Kleingedruckte entscheidet

Guter Schutz muss nicht teuer sein, die Tarifbedingungen müssen nur stimmen. Worauf bei der Cyberversicherung zu achten ist, wo Fallstricke liegen können und wie vorteilhafte Formulierungen aussehen können werden wir im nächsten Artikel beleuchten.

D&O Versicherung  Angebot

Leak´s und andere Katastrophen-die Datenversicherung

Wie ein Mitarbeiter eine ganze Firma ins Wanken bringt, dabei noch ein politisches Erdbeben auslöst und was man im Notfall tun kann.

Die Panama Papiere sind in diesem Jahr der zweite medienwirksame, kostspielige „Unfall“ der ein Unternehmen und deren Geschäftsführer oder Vorstände in Bedrängnis bringen können.
Hat Locky bisher „nur“ die Daten der Festplatte verschlüsselt lösen die Panama Papiere ein weltweites, politisches Erdbeben aus. Während bei Locky nur Lösegeld zu zahlen war und eventuell etwas Schadenersatz, sieht es im aktuellen Fall ganz anders aus- die Folgen sind nun nicht mehr abschätzbar!
Locky und die Folgen können komplett über eine Cyberversicherung abgedeckt werden. Auch wenn den Managern Pflichtverstöße in der IT angelastet wurden gab es bei entsprechendem Versicherungsschutz kein Problem- die Versicherung zahlt, die Bilanz wird geschont.

“You change a name but that’s okay It’s necessary” – die Versicherung hilft

Manchmal sind die Schäden aber irreparabel. Der Name der Anwaltskanzlei in eben diesem Fall dürfte für die nächsten Generationen verbrannt sein. Keine PR Maßnahme dürfte stark genug sein, um zu erklären warum ein einzelner Mitarbeiter die Daten geleakt hat, aber in Zukunft keine Gefahr mehr besteht. Hier hilft nur ein beherzter Neustart, unter anderem Namen, an einem anderen Ort? Was zahlt unter Umständen die Versicherung?

Wo liegen die Möglichkeiten einer Cyber- oder Datenversicherung

Was ist eigentlich mit Cyberversicherung gemeint? Eine „einzelne“ Cyberversicherung
(Datenversicherung) gibt es zwar, macht aber nur begrenzt Sinn. Vielmehr vollumfänglich schütz ein Konzept aus mehreren Komponenten:

Cyberbausteine Datenversicherung
Eigenschäden können zum Beispiel in folgenden Bereichen auftreten (Checkliste):

BereichBeispiele
ForensikErmittlung der Ursache, Art+Umfang der
Auswirkung und/oder Identifizierung Betroffener
Personen oder Daten
AnzeigepflichtenHonorare RA: Ermittlung §§ und
korrekte Meldung und Anzeige
Benachrichtigung d. Dateninhaber
Kosten für das behördl.Meldeverfahren
Call-Center-Kosten
Kosten für Bank-/
Kreditüberwachung
Kosten für: Beobachtung, Beurteilung,
Auswertung von Konten
Wie lange: 12 Monate
Wann:
a) gesetzl. Vorgeschrieben
b) bei Abhandenkommen von Soz.Vers.
Führerschein-Nr.o.ä. mit denen Kontoeröffnung
möglich wäre.
Krisenmanagement und PR-MaßnahmenKM wird durch HiSolutions erbracht und beinhaltet
alle Maßnahmen im Sinne von Business
Continuity, interner und externer Kommunikation,
sowie alle weiteren anfallenden
organisatorischen, technischen und personellen
Maßnahmen (Quasi der "Schutzbrief" nach
Eintritt eines versicherten Schadenfalls.)
PR-Maßnahme: Einfluss auf Medien nehmen
BetriebsunterbrechungDie Produktion oder die
Dienstleistungserbringung ist teilweise oder
vollständig unterbrochen, wegen:
I, 2.1 Datenrechtsverletzung
I, 2.2 Hackerangriff x
I, 2.3 Dos-Angriff x
I, 2.4 Erpressung
Vertragsstrafena) Kredit-/Zahlkarten-Vereinbarungen x x
b) Betriebsgeheimnisse
LösegeldErpressung = Drohung gegenüber VN (oder Tochter) mit einem Hacker-angriff oder einer DoSAttacke
WiederherstellungskostenReparaturkosten für Daten, z.B.:
Website, Intranet, Extranet, Netzwerk,
Computersysteme, In eigenen Programmen,
Verwaltungs-, Buchhaltung-, Maschinen- oder
sonstige technische Steuerungs-Daten.
Sicherheitsanalyse / -VerbesserungKosten nach Schadenfall die Sicherheit
herzustellen und ggf. zu verbessern
SchadenminderungAlle Kosten, die den Schaden verringern bzw. die Betriebsunterbrechung verkürzen.

Fremdschäden entstehen häufig, die Innenhaftung resultiert daraus. Der Grund liegt dabei relativ klar auf der Hand. Wird ein Unternehmen in Haftung genommen weil zum Beispiel ein Datendiebstahl stattgefunden hat, kommen schnell die Fragen nach Verantwortlichen auf. Ob Managementfehler oder Deligationsschäden bei der Aufgabenübertragung an ungeeignetes Personal, der leitende Angestellte, Geschäftsführer oder Vorstand können in Haftung genommen werden- vom Eigentümer = Innenhaftung.

weiter zum 2. Teil: Cyberrisiken – wo liegt die Haftung

Cyberversicherung / Datenversicherung Sicherheitskonzepte

Vergleichbare Artikel : Erpressung – was leistet die Cyberversicherung?

 

[uislider id=“1″]

 

Datenschutz Folgenabschätzung – ab 2018 neue Vorgaben für Firmen

Datenschutz FolgenabschätzungDie europäische Datenschutz Grundverordnung sieht ab 2018 eine neue Regulation vor. Demnach sollen nun bei kritischen Datenverarbeitungsprozessen nun die Folgen abgeschätzt werden. Datenschutz Folgenabschätzung- was bedeutet kritisch, welche Folgen sollen abgeschätzt werden und welche Konsequenzen drohen bei Nichteinhaltung?

Welche Folgen sollen abgeschätzt werden?

Um die Antwort darauf plastischer zu gestalten hilft vielleicht der Blick „hinter die Kulissen“- was soll erreicht werden?
In erster Linie sollen sensible Daten besonders geschützt werden. Das können zum Beispiel Patientenakten oder Versicherungsinformationen sein. Wir berichteten hierzu bereits über Schwachstellen bei der Datensicherheit bei einigen gesetzlichen Krankenversicherungen.
Kommen solche Daten in die falschen Hände, sind die Folgen für den Betroffenen enorm. Die Folgenabschätzung soll die beteiligten Parteien zu besonderer Sorgfalt anhalten, einfach dadurch, dass auch über Folgeschäden, für die sie im Zweifel haften, nachgedacht wird.

Offene Formulierung – Grenzenlose Haftung?

Die europäische Datenschutz Grundverordnung regelt die Folgeabschätzung im Absatz 33. Dort steht:
1. Bei Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, führt der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
Aus unserer Sicht wird hier durch die recht allgemeine, fast schon offene gehaltene Formulierung der Haftung für die betroffenen Unternehmen und deren Organe Tür und Tor geöffnet.
Diese und die restlichen Inhalte des Absatz 33 können getrost so ausgelegt werden, dass die Risikoabschätzung nicht mehr nur Projektbezogen, sondern im Gesamten gesehen wird.

Technologiesprung – Die Firma haftet auch dafür

Besonders hervorzuheben ist die Tatsache, dass der Datenschutz auch so gewährt werden muss, dass zukünftige Technologien einen Datenmissbrauch unmöglich machen.

Handlungsempfehlung aus Sicht eines Versicherungsmaklers

Ein größeres Haftungspotential erfordert ein spezielles Versicherungsziel. Versichert werden sollten die Cyberrisiken und die D&O Haftungsrisiken. Diese sollten genau so „offen“ versichert werden, wie die Formulierung des Gesetzes erfolgte.

[psfb id=“2595″ title=“Datenschutz Folgenabschätzung“]