DSGVO Pannen richtig versichern

Nun befinden wir uns also im Zeitalter der Datenschutz-Grundverordnung (DSGVO) – verpflichtend für alle Unternehmen, die personenbezogene Daten automatisiert verarbeiten. Wer mehr als 9 Personen mit der Verarbeitung personenbezogener Daten beschäftigt (incl. Teilzeitkräfte, Azubis, Aushilfen etc.) hat dem Landesamt für Datenschutzaufsicht unaufgefordert einen Datenschutzbeauftragten zu benennen.

 

Bei Unregelmäßigkeiten oder Verstößen gegen die DSGVO drohen künftig Bußgelder bis zu 2% des Jahresumsatzes (bei besonderer Schwere 4%). Während die Behörden selbst einer Ahndungspflicht unterliegen, ist der Datenverarbeiter bei Störfällen verpflichtet, Behörden und betroffene Gäste innerhalb von 72 Stunden zu informieren.

In den vergangenen Monaten war die DSGVO damit beherrschendes Thema in den Führungsetagen. Pauschal gilt:

  1. sobald bei der Datenverarbeitung ein Personenbezug hergestellt werden kann, ist die DSGVO anzuwenden. Dazu gehören auch unabdingbare Rechte des Gastes, wie z.B. auf Auskunft, Sperrung, Änderung, Berichtigung oder Löschung seiner persönlichen Daten.
  2. alles was per Gesetz nicht ausdrücklich erlaubt ist, ist verboten
  3. eine formale Einwilligungserklärung des Gastes in Verbindung mit geeigneten organisatorischen/technischen Maßnahmen legalisiert die Datenverarbeitung.

In den meisten Hotels wurden in den vergangenen Monaten sämtliche Betriebsabläufe, Formalien und Regularien auf den Prüfstand gestellt, neugeregelt oder organisatorisch umstrukturiert. Nicht alle Betriebe konnten alles termingerecht umsetzen. Wer noch keine Vorstellung davon hat, warum der Datenschutz im Hotelbetrieb so wichtig ist – folgende Beispiele, typischer Datenpannen aus dem Alltag:

Menschliche Ursachen:
  • Entwendung oder Verlust von Datenträgern / Notebooks / Unterlagen
  • Bequemlichkeit bei Passwortnutzung
  • falsche Ansprechpartner bei telefonischer Auskunft bzw. fehlende Authentifizierung
  • Unachtsamkeit beim Ermitteln von Informationsempfängern (Email, Newsletter, Telefon)
  • Datenschutzverletzungen bei privater IT-Nutzung im Betrieb
Organisatorische Ursachen:
  • Zugang/Speicherung personenbezogener Daten ohne vertragliche Grundlage (Einwilligungserklärung)
  • unnötiges Arbeiten mit Administrationsrechten / Zutritt zu Daten für unbefugte Personen
  • Einsicht in Dokumente / Zuhören von Unbeteiligten bei vertraulichen Gesprächen (z.B. Rezeption)
  • fehlerhafte Entsorgung von Altpapier und Altdatenträgern
Technische Ursachen:
  • falsch eingerichtete oder fehlende Firewall
  • fehlende oder fehlerhafte Verschlüsselung bei Datenübertrag
  • Virenbefall / Schadsoftware

Datenpannen resultieren übrigens zum überwiegenden Teil aus menschlichen und organisatorischen Fehlern – das wird sich vermutlich auch bei vorbildlicher Umsetzung der Vorgaben nicht wesentlich ändern.

Kann man sich gegen die finanziellen Folgen einer Datenschutzverletzung versichern?

Die Mehrzahl der Versicherer wird dieses Thema nicht aufgreifen – übliche Betriebshaftpflicht- und D&O-Policen versagen an dieser Stelle. Die MOSAIC Versicherungsmakler GmbH – spezialisiert auf die Absicherung von Hotelbetrieben – konnte gerade noch rechtzeitig zur Umsetzung der DSGVO eine spezielle Datenschutz-Haftpflicht-Police verhandeln. Der Leistungsumfang umfasst u.a.:

  • sämtliche Vermögensschäden aufgrund von Verletzungen der DSGVO, einschließlich Verlust, Veränderung oder Blockade elektronischer Daten
  • Einschluss physischer Daten – Datenpannen müssen also nicht im Zusammenhang mit der IT stehen
  • Verletzung von Geheimhaltungspflichten und Datenvertraulichkeitserklärungen einschließlich Vertragsstrafen
  • Verstöße gegen Namens- und Persönlichkeitsrechte
  • Rechtsverletzungen durch Werbung und Marketing (insbesondere Marken-, Urheber-, Lizenz- und Domainrechte)
  • Prüfung, Abwehr und Befriedigung von Ansprüchen Dritter
  • Straf- oder Bußgelder aufgrund von Datenschutzverstößen, sowie damit im Zusammenhang stehende Kosten (soweit nach geltendem Recht zulässig)
  • Straf- und Ordnungswidrigkeits-Rechtsschutz im Zusammenhang mit Datenverstößen (ab Einleitung des Verfahrens)

Ergänzt wird die Datenschutz-Police durch einen umfassenden IT-Baustein im Bereich der Cyber-Sicherheit, der nicht nur Angriffe von außen, sondern auch Bedienfehler durch Mitarbeiter oder Sabotage von Vertrauenspersonen einschließt:

  • Cyber-Eigenschäden: Beschädigung, Zerstörung, Veränderung, Blockierung oder Missbrauch eigener IT- Systeme Programme oder elektronischen Daten infolge eines Hacker-Einbruchs (einschl. mobile Geräte)
  • Cyber-Lösegeldzahlungen: Forderungen im Zusammenhang mit angedrohter / erfolgter Beschädigung, Zerstörung, Veränderung,  Blockierung oder Missbrauch eigener IT-Systeme
  • Cyber-Zahlungsmittelschäden: Verlust / Beschädigung von Kreditkartendaten und –programmen, Verstöße gegen Kreditkartenverarbeitungsvereinbarungen, Verletzungen der PCI Data-Security-Standards oder Verstöße gegen vertragliche Vereinbarungen im Zusammenhang mit Bezahlsystemen
  • Cyber-Betriebsunterbrechung: Betriebsunterbrechung durch Ausfall eigener IT-Systeme oder beauftragter Cloud-Dienstleister in Folge von Viren, Schadsoftware, Hacker-Angriffen und Eingriffen Dritter.
  • Cyber-Vertrauensschäden: Vermögenseigenschäden durch Betrug, Unterschlagung oder Diebstahl durch Vertrauenspersonen

Im Schadensfall übernimmt eine 24-Stunden-Hotline mit kompetentem IT-Support und IT-Forensik die Führung und leitet alle erforderlichen Schritte unverzüglich in die Wege.

Die Kosten für die Datenschutz-Police stehen übrigens in keinem Verhältnis zu den möglichen finanziellen Folgen einer Datenpanne. Parameter für die Kalkulation sind Jahresumsatz, Versicherungssumme und Selbstbeteiligung, also z.B.

  • Jahresumsatz bis 1 Mio. EUR bei  500.000 EUR Versicherungssumme ab 750 EUR brutto p.a.
  • Jahresumsatz bis 5 Mio. EUR bei  750.000 EUR Versicherungssumme ab 1.440 EUR brutto p.a.
  • Jahresumsatz bis 15 Mio. EUR bei 1.000.000 EUR Versicherungssumme 4.046 EUR brutto p.a.

Der beste Versicherungsschutz ersetzt natürlich keineswegs Beachtung und Umsetzung der neuen DSGVO. Es Verbleibt jedoch ein nicht zu unterschätzendes Daten-Restrisiko, das durch die zunehmende Sensibilisierung von Verbrauchern (ihren Schützern und Anwälten) tendenziell sogar zunehmen wird. Eine leistungsfähige Versicherungspolice kann hier mit Sicherheit einige Sorgen abnehmen und den Umgang mit potenziellen Datenpannen spürbar professionalisieren. MOSAIC Versicherungsmakler GmbH steht gerne beratend zur Seite