Zurück zur Übersicht
© iStock/ANNECORDON

Seit dem 25.05.2018 gilt in Deutschland die Datenschutzgrundverordnung (DSGVO). In den letzten Wochen und Monaten wurde sehr viel berichtet, was nach der neuen Gesetzeslage beim Umgang mit Daten zu beachten ist, und wie die neuen gesetzlichen Regelungen bestmöglich in die Praxis umgesetzt werden können. Was passiert aber im Fall der Fälle, sei es, dass jemand mit der Verarbeitung und Speicherung seiner persönlichen Daten nicht einverstanden ist oder gar persönliche Daten in die Hände von Unbefugten gelangen? Bieten hier üblicherweise bestehende Versicherungsprodukte eine ausreichende Absicherung?

Die Einführung des DSGVO bedeutet aber nicht, dass es bisher keine gesetzliche Regelung zum Datenschutz gab. Schon vor dem 25.05. wurde dem Schutz von (persönlichen) Daten vom Gesetzgeber ein hoher Stellenwert eingeräumt. In den ganzen Veröffentlichungen und Vorbereitungen zur Datenschutzgrundverordnung ist daher stellenweise in Vergessenheit geraten, dass es schon ein Bundesdatenschutzgesetz (BDSG) gab. Gleichwohl hat sich durch die Datenschutzgrundverordnung eine neue Dynamik ergeben, was nicht zuletzt auf die doch relativ scharfen Sanktionen bei entsprechender Rechtsverletzung zurückzuführen sein dürfte. Auch wenn die vorgesehenen Maximalsanktionen von 10 Mio. Euro bzw. 20 Mio. Euro bzw. 2 oder 4 Prozent des Jahresumsatzes für viele einen finanziellen Supergau darstellen würden, bleibt abzuwarten, wie tatsächlich durch entsprechende Rechtsprechung mögliche Fehlverhalten der Höhe nach sanktioniert werden.

Keinesfalls sollte und darf man sich ausschließlich auf die Bußgelder konzentrieren. Deutlich höher ist das Risiko zu bewerten, wenn es aufgrund der Verletzung einzelner Rechtsvorschriften zu Schadenersatzforderungen des oder der Betroffenen kommt.

Haftpflichtversicherungs­­schutz – das Allheilmittel für Ansprüche Dritter?

Eigentlich sollte man davon ausgehen, dass bei Bestehen einer Haftpflichtversicherung eine umfassende Absicherung für alle möglichen Ansprüche gegeben ist. Ein Blick hinter die Kulissen, oder hier konkret in die Versicherungsbedingungen, macht relativ schnell deutlich, dass diese Vermutung bzw. Unterstellung schnell zur Ernüchterung führt.

Personen-, Sach- und Vermögensschaden

Kann man eine beschädigte Hose oder ein beschädigtes Handy sehr schnell einem Sachschaden zuordnen, funktioniert das mit den Ansprüchen einer verunfallten Person, die Schmerzensgeldansprüche wegen eines Halswirbelsäulen-Syndroms (HWS-Syndrom) geltend macht, mit der Zuordnung zu einem Personenschaden, sicherlich genauso unkompliziert. Allerdings ist die Einordnung eines „Datenschadens“ dann schon nicht mehr so trivial.

Für jeden Einzelfall ist die Frage zu klären, ob ein immaterieller Schaden einen Personen- oder Vermögensschaden darstellt. Nach der einschlägigen Rechtsauffassung ist davon auszugehen, dass es sich bei einer Verletzung des Persönlichkeitsrechts in den überwiegenden Fällen um einen Vermögensschaden handeln dürfte.

Gerade im Bereich des Gesundheitswesens spielte die Absicherung von Vermögensschäden im Rahmen von Haftpflicht-Versicherungsverträgen bisher eine untergeordnete Rolle. Dies zeigt sich schon allein darin, dass es auch heute noch durchaus üblich ist, dass in entsprechenden Haftpflichtversicherungspolicen Versicherungssummen für Vermögensschäden noch auf 50.000 oder 100.000 Euro limitiert sind.

Standardversicherungsbe­dingungen vs. individuelle Versicherungskonzepte

Nach den Allgemeinen Versicherungsbedingungen für die Haftpflichtversicherung (AHB) sind unter anderem Haftpflichtansprüche wegen Schäden aus Persönlichkeits- oder Namensrechtsverletzungen (Ziffer 7.16 AHB) vom Versicherungsschutz ausgeschlossen. Ebenfalls besteht kein Versicherungsschutz für Haftpflichtansprüche wegen Schäden aus dem Austausch, der Übermittlung und der Bereitstellung elektronischer Daten (Ziffer 7.15 AHB). Zu diesen Ausschlüssen kommt hinzu, dass die Absicherung von Vermögensschäden nicht obligatorisch gegeben ist, sondern die AHB hier vorsehen, dass Vermögensschäden nur dann unter Versicherungsschutz stehen, wenn hierzu eine besondere Vereinbarung getroffen wurde.

In der Regel liegen einer Haftpflichtversicherung aber nicht nur die Allgemeinen Versicherungsbedingungen zugrunde, sondern der Versicherungsschutz wird durch Besondere Bedingungen und Risikobeschreibungen (BBR) erweitert. Zu prüfen gilt, ob durch mögliche Erweiterungen in den BBR dennoch ein umfassender Versicherungsschutz gewährleistet ist. Die Problematik liegt hier darin, dass durch die BBR die in den AHB deklarierten Ausschlüsse durch entsprechende Klauselvereinbarungen wieder eingeschlossen werden. In diesen Wiedereinschlüssen finden sich dann aber wiederum eigene Ausschlusstatbestände, so dass nicht von Vornherein davon ausgegangen werden kann, dass tatsächlich eine ausreichende Absicherung gegeben ist.

Hier empfiehlt es sich dringend, die eigene Absicherung fachkundig prüfen zu lassen. Die Ecclesia Gruppe verfügt hier über das notwendige Know-how derart komplexe Bedingungszusammenhänge zu prüfen und mögliche Versicherungslücken zu identifizieren.

Die Lösung – Outsourcing?

Um sich dem schier undurchdringlichen Versicherungsdschungel zu entziehen, könnte man das „Problem“ ja auch einfach verlagern. Vielfach bedient man sich der Unterstützung von Dienstleistern, die einem die umfassende Pflege und Wartung des IT-Systems abnehmen. Häufig wird die Aussage getroffen, dass man selbst bei möglichen „Datenpannen“ kein Problem hat, da man ja einen externen Dienstleister beauftragt hat, der sich um alles kümmert.

Ein Blick in die DSGVO zeigt, dass gerade hier besondere Anforderungen an die sogenannte Auftragsdatenverarbeitung gestellt werden, die keinesfalls den eigentlichen Verwender der Daten aus seiner Verantwortung entlassen. Weiterhin basiert die Zusammenarbeit mit externen IT- Dienstleistern überwiegend auf einer vertraglichen Grundlage. Losgelöst von der Tatsache, dass derjenige, der die Daten erhebt und verarbeitet (egal, ob im Hintergrund jemand anders mit der (technischen) Abwicklung beauftragt ist), grundsätzlich die Verantwortung, und somit die Konsequenzen trägt, sind Verträge mit IT-Dienstleistern kein Freibrief. Regelmäßig wird in diesen Verträgen die Haftung des Dienstleisters sehr stark eingeschränkt. Durch diese vertraglichen Regelungen wird es dann sehr schwer, wenn nicht gar unmöglich, gegen den IT-Dienstleister einen Regress zu führen, zumal ohnehin erst einmal ein Fehler des Dienstleisters nachgewiesen werden muss.

Outsourcing ist somit ganz bestimmt nicht das Allheilmittel – im Gegenteil, vielfach wird bei einer genauen Prüfung sehr schnell offensichtlich, dass die vermeintliche Sicherheit mit der Realität nicht mehr ganz so viel gemeinsam hat.

Versicherungslücken effektiv schließen

Die Haftpflichtversicherung schützt den Versicherungsnehmer, wenn gegen diesen von Dritten Ansprüche erhoben werden. Nicht unter diese Ansprüche Dritter fallen Strafen und Bußgelder, die z. B. im Rahmen einer Verletzung einer Bestimmung der DSGVO verhängt werden. Derzeit ist es in Deutschland nicht möglich, Strafen und Bußgelder allumfassend unter Versicherungsschutz zu stellen.

Das finanzielle Risiko einer Bußgeld- bzw. Strafzahlung trägt somit der Verursacher selbst.

Weiterhin können neben den oben ausgeführten Ansprüchen Dritter aber auch erhebliche eigene Kosten entstehen. Nicht zu unterschätzen sind hier z. B. die Kosten für notwendige Informationspflichten (z. B. in Printmedien) oder eigene Rechtsberatungskosten. Diese Kosten entstehen dem Versicherungsnehmer selbst, und sind somit als Eigenschaden zu deklarieren. Für derartige Eigenschäden bietet eine Haftpflichtversicherung keinen Versicherungsschutz.

Nicht zu unterschätzen sind auch mögliche finanzielle Auswirkungen, wenn Daten z. B. aufgrund eines Hackerangriffs nicht mehr zur Verfügung stehen. Zum einen verursacht die Wiederherstellung der Daten einen erheblichen Aufwand und somit Kosten, zum anderen kann je nach Komplexität der Daten die Wiederherstellung einen längeren Zeitraum in Anspruch nehmen, was zu Einnahmeausfällen führen kann. Ein nicht zu unterschätzender Zeitfaktor ist auch die notwendige Prüfung des IT-Systems.

Diese gesamten Kosten sind nicht durch eine Haftpflichtversicherung abgedeckt, so dass für eine mögliche finanzielle Absicherung ggf. der Abschluss anderer Versicherungsprodukte geprüft werden sollte.

‚Andere‘ Versicherungsprodukte – aber welche?

Wenn es um die bedarfsgerechte Absicherung von IT-Risiken geht, wird sehr schnell auf die am Markt erhältlichen „Cyber-Policen“ verwiesen. Unbestritten bieten Cyber-Policen eine gute Absicherung – fraglich ist nur – wie man eben diese gute Absicherung für sich selbst definiert. Die derzeit am Markt angebotenen und erhältlichen Cyber-Policen sind inhaltlich sehr unterschiedlich strukturiert und lassen sich daher kaum aussagekräftig miteinander vergleichen. Um hier nicht am eigenen Bedarf vorbei eine Versicherung abzuschließen, empfiehlt sich, wie bei allen anderen Versicherungslösungen, die Beratung und Betreuung durch Spezialisten.

Die Ecclesia hat schon vor vielen Jahren das Risiko bei „IT-Schäden“ erkannt und ein Spezialprodukt entwickelt. Die Absicherung zielt hier nicht nur auf reine Cyber-Attacken ab, sondern erfasst auch Schadenfälle, die durch andere Ursachen ausgelöst wurden.

Wer eine reine Absicherung von Cyber-Risiken wünscht, erhält ebenfalls von der Ecclesia eine bedarfsgerechte Lösung, über ein eigens für unsere Kunden entwickeltes Spezialkonzept.

Sprechen Sie uns an – wir beraten Sie gern zu Ihrer individuellen Situation und bieten passgenaue Lösungsvorschläge.

Fazit

Durch die DSGVO hat sich nicht generell ein neuer Sachverhalt ergeben, den es zwingend durch neue Versicherungslösungen abzudecken gilt. Gleichwohl sollte gerade durch die weitreichenden Regelungen der DSGVO die bereits vorhandene Absicherung genau geprüft und ggf. bedarfsgerecht an die individuelle Situation angepasst werden.

Empfehlenswert ist für eine Absicherung von IT- und Datenrisiken eine Prüfung des gesamten Versicherungsportfolios. Nur so lassen sich gesamtheitlich mögliche Versicherungslücken identifizieren und passgenaue Lösungen erarbeiten und ungeplante finanzielle Folgen vermeiden.

Für dieses komplexe Thema ist die Unterstützung eines von Versicherungsgesellschaften unabhängigen Spezialisten empfehlenswert. Die Ecclesia Gruppe verfügt hier über die notwendige Expertise und Erfahrung. Nicht nur in der Prüfung und Bewertung von Risiken und Versicherungskonzepten, sondern auch aus langjähriger Begleitung unserer Kunden in Schadenfällen.

Schultz F: Datenschutzgrundverordung (DSGVO) – Ein Blick auf die Absicherung von IT- und Datenrisiken. Passion Chirurgie. 2019 Januar, 9(01): Artikel 04_03.

Autor des Artikels

Frank Schultz

NAV-Wirtschaftsdienst GmbHKlingenbergstr. 432758Detmold kontaktieren

Um diesen Artikel kommentieren zu können, müssen Sie bei myBDC registriert und eingeloggt sein.

Weitere Artikel zum Thema

PASSION CHIRURGIE

Passion Chirurgie 01/2019

im Fokus AKUTSCHMERZTHERAPIE Zum Auftakt des neuen Jahres haben wir in

Passion Chirurgie

Lesen Sie PASSION CHIRURGIE!

Die Monatsausgaben der Mitgliederzeitschrift können Sie als eMagazin online lesen.