Seit Firmen wegen Verstößen gegen die DSGVO mit hohen Geldstrafen belegt werden, ist es gerade für Versicherer unerlässlich, ihre Vorkehrungen bezüglich Datensicherheit bei Cyberangriffen zu überprüfen.
Redakteur/in: Kerstin Quirchtmayr - Veröffentlicht am 19.08.2019
Von Simon Viney, Financial Sector Cyber Consulting Lead bei BAE Systems Applied Intelligence
Datenschutz war schon immer wichtig. Aber jetzt kommt die missbräuchliche oder fahrlässige Behandlung personenbezogener Daten Unternehmen teuer zu stehen – zumindest in Europa. Die britische Datenschutzbehörde ICO (Information Commissioner’s Office), die für die Wahrung der Datenschutzrechte in Großbritannien verantwortlich ist, hat angekündigt, dass sie gegen British Airways und gegen die Hotelkette Marriot International Strafen in Höhe von 183 Millionen Pfund beziehungsweise 99 Millionen Pfund aufgrund von durch Cyberangriffe verursachte Datenschutzverletzungen verhängen wird.
Bußgelder massive Belastung für Unternehmen
Dies ist nicht das erste Mal, dass Bußgelder verhängt werden, und es sind auch nicht die ersten hohen Bußgelder. In Frankreich wurde Google kürzlich mit einem Bußgeld von in Höhe von 50 Millionen Euro belegt. Die gegen British Airways und Marriot International verhängten Bußgeld haben für fette Schlagzeilen gesorgt und große Aufmerksamkeit in der Öffentlichkeit erregt. Für beide Unternehmen stellen diese Bußgelder eine massive Belastung dar.
Die Höhe der Geldbußen gegen British Airways und Marriott ist noch nicht endgültig festgelegt und die genauen Gründe für die Verhängung der Geldbußen wurden noch nicht mitgeteilt. Diese werden bekannt gegeben, sobald die Mitteilung über die Geldstrafe vom ICO veröffentlicht wurde. Aber schon jetzt ist klar, dass die angedrohten Bußgelder für Unternehmen, die einem Cyberangriff ausgesetzt sind, der einen Verstoß gegen personenbezogene Daten zur Folge hat, eine grundlegende Veränderung darstellt.
Datenschutzverletzung infolge eines Cyberangriffs
Viele Unternehmen haben eine Cyber-Versicherung abgeschlossen, um sich gegen Verluste nach einem erfolgreichen Cyberangriff abzusichern. Bei Cyberversicherungspolicen sind Bußgelder, die im Rahmen der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) verhängt werden, in der Regel mit abgedeckt. Allerdings muss erst noch geprüft werden, was überhaupt gesetzlich versicherbar ist.
Sollten die vom britischen ICO verhängten hohen Strafen den Beginn eines neuen Kapitels markieren und Unternehmen als Folge eines Cyberangriffs hohe Bußgelder aufgrund von Datenschutzverletzungen riskieren, könnten Versicherungsunternehmen für bedeutende Ansprüche haftbar gemacht werden, die die zuvor aufgrund von Datenschutzverletzungen oder Cyberangriffen erhobenen Forderungen erheblich übersteigen.
Risiko von mehreren Großschäden aufgrund desselben Vorfalls
Wenn ein Cyberangriff außerdem mehrere Unternehmen gleichzeitig betreffen und zu erheblichen Bußgeldern im Rahmen der EU-DSGVO führen sollte, könnten die Versicherer zudem Gefahr laufen, für mehrere Großschäden aufgrund desselben Vorfalls aufkommen zu müssen, was ihre erwarteten Schadensverluste überschreiten könnte.
Die Versicherer müssen das Niveau des Cyberschutzes, das sie von den Unternehmen verlangen, genauer definieren, bevor sie über das angebotene Schutzniveau entscheiden – und es ist notorisch schwierig, herauszufinden, was „ausreichender Schutz“ ist. Ein weiteres Problem für die Versicherungsunternehmen sollte nicht vergessen werden: Versicherer, die große Mengen personenbezogener Daten verwalten, können auch selbst zum Ziel von Cyberangriffen werden.
Cyberabwehr, die der Due Diligence entspricht
Bevor man jedoch zum Schluss kommt, dass dies alles zu schrecklich ist, um auch nur darüber nachzudenken, ist anzumerken, dass in diesen beiden Problemen auch bereits der Schlüssel zur Lösung liegt. Der Aufbau, die Aufrechterhaltung und die Prüfung der eigenen Abwehrmaßnahmen versetzt die Versicherer in die Lage, genau die richtigen Fragen zu stellen, was eine der Due Diligence entsprechende Cyberabwehr ausmacht.
Die EU-DSGVO ist eine legitime Antwort auf die Bedenken hinsichtlich des Schutzes der Privatsphäre. Dies wird durch die jüngsten Vorkommnisse bestätigt. Es liegt an uns, mit der neuen Situation umzugehen und zu verstehen, wie sich dies – zum Guten und zum Schlechten – auf die Unternehmen auswirkt.
Der Autor
Simon Viney ist seit Januar 2019 Financial Sector Cyber Consulting Lead bei BAE Systems Applied Intelligence. Er verfügt über zwei Jahrzehnte Erfahrung im Informationsrisiko- und Sicherheitsmanagement mit Schwerpunkt auf Finanzdienstleistungen und dem öffentlichen Sektor und hat umfassende Erfahrung in der Unterstützung von Kunden bei der Bewältigung ihrer Herausforderungen in den Bereichen Datenschutz, Compliance und Regulatorik.
Quelle: AssCompact Deutschland
zurück zur Übersicht
Beitrag speichern
sharing is caring
Das könnte Sie auch interessieren