DLA Piper und Aon (NYSE:AON) haben kürzlich den ‘The price of data security’ Guide herausgegeben.
Das Handbuch bezieht sich auf die Versicherungsfähigkeit der nach der mit 25. Mai in Kraft getretenen Datenschutzgrundverordnung (DSGVO) verhängten Strafen, die sich auf bis zu 20 Millionen Euro oder 4% des weltweiten Konzernjahresumsatzes belaufen können. Ebenfalls unter die Lupe genommen werden Kosten, die im Zusammenhang mit versäumten Compliancemaßnahmen nach der DSGVO entstehen können, wie z.B. Rechtsstreitigkeiten, Untersuchungen oder Ausgleichszahlungen sowie die Versicherbarkeit von Geldbußen, die nicht nach der DSGVO verhängt werden.
Während Verwaltungsstrafen bislang nur in wenigen europäischen Ländern versicherungsfähig sind und selbst dann nur in Fällen, in welchen der Versicherte weder vorsätzlich noch grob fahrlässig handelte, sind strafrechtliche Sanktionen so gut wie nie versicherbar. Wenngleich die Strafen nach der DSGVO keine gerichtlichen Strafen sind, ist es den einzelnen EU-Mitgliedstaaten freigestellt, eigene Strafen bei Datenschutzverletzungen festzulegen.
Die wichtigsten Erkenntnisse sind:
- Strafen nach der DSGVO sind nur in zwei der überprüften Länder versicherbar – Finnland und Norwegen;
- In 20 von 30 der überprüften Länder werden Strafen nach der DSGVO als nicht versicherungsfähig angesehen, darunter u.a. Österreich, Frankreich, Italien und Spanien;
- In acht der überprüften Länder ist die Versicherungsfähigkeit von Strafen nach der DSGVO unklar. In diesen Ländern müssen spezifische Details, zum Beispiel das Verhalten des Versicherten und ob die Strafe als gerichtliche Strafe eingestuft wird, in Betracht gezogen werden.
Obwohl die Versicherungsfähigkeit der Strafen nach der DSGVO eingeschränkt möglich ist, werden Versicherungen dennoch als wesentlicher Bestandteil der Risk-Strategy von Organisationen gesehen, insbesondere um etwaige Kosten im Zusammenhang mit der Nichteinhaltung der DSGVO sowie daraus resultierenden Geschäftsverlusten zu bewältigen. Solche Verluste können Anwaltskosten und Kosten von Rechtsstreitigkeiten, behördlichen Untersuchungen, Schadenersatz und andere Kosten betroffener Personen umfassen.
Vanessa Leemans, Chief Commercial Officer, Aon Cyber Solutions EMEA, kommentiert: „Die DSGVO setzt Organisationen im Zusammenhang mit der Verarbeitung personenbezogener Daten deutlich höheren Risiken aus. Aufgrund von Datenschutzverletzungen oder Cyberattacken können Unternehmen mit hohen Geldbußen und beträchtlichen Kosten konfrontiert werden. Es ist daher unerlässlich, dass Organisationen über ihre Schwachstellen informiert sind. Wir empfehlen hier, in enger Kooperation mit den Versicherungspartnern ein umfassendes Risikomanagement und einen entsprechenden Reaktionsplan auf Vorfälle auszuarbeiten.“
Auch langfristige Beeinträchtigungen der Reputation oder der Marktstellung können durch einen ernsten datenschutzrechtlichen Verstoß verursacht werden.
Sabine Fehringer, Partnerin bei DLA Piper Wien und Leiterin der Wiener Datenschutz-Praxis sagt: „Auch wenn DSGVO-Bußgelder nur in wenigen Ländern direkt versicherungsfähig sind, ist die Versicherung gegen Nachteile aus einer Datenschutzverletzung in ganz Europa weit verbreitet und kann Organisationen eine entsprechende Abdeckung bieten. Allerdings ist es wichtig, auch mögliche Reputationsschäden sowie Auswirkungen auf bestehende Kunden, den breiten Markt sowie die Beziehung zu den Aufsichtsbehörden zu bedenken, denn diese können beträchtliche finanzielle Verluste nach sich ziehen. Auch hier gilt: Vorbeugen ist besser als heilen.“
Das gesamte Handbuch ‘The price of data security: A guide to the insurability of GDPR fines across Europe’ finden Sie hier: DLA Piper Website.
Foto: beigestellt
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.