Suche

Datenpannen richtig versichern

Aktualisiert: März 9


Nun befinden wir uns also im Zeitalter der Datenschutz-Grundverordnung (DSGVO) – verpflichtend für alle Unternehmen, die personenbezogene Daten automatisiert verarbeiten. Wer mehr als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt (incl. Teilzeitkräfte, Azubis, Aushilfen etc.) hat dem Landesamt für Datenschutzaufsicht unaufgefordert einen Datenschutzbeauftragten zu benennen.

Bei Unregelmäßigkeiten oder Verstößen gegen die DSGVO drohen künftig Bußgelder bis zu 2% des Jahresumsatzes (bei besonderer Schwere 4%). Während die Behörden selbst einer Ahndungspflicht unterliegen, ist der Datenverarbeiter bei Störfällen verpflichtet, Behörden und betroffene Gäste innerhalb von 72 Stunden zu informieren.

In den vergangenen Monaten war die DSGVO damit beherrschendes Thema in den Führungsetagen. Pauschal gilt:

sobald bei der Datenverarbeitung ein Personenbezug hergestellt werden kann, ist die DSGVO anzuwenden. Dazu gehören auch unabdingbare Rechte des Gastes, wie z.B. auf Auskunft, Sperrung, Änderung, Berichtigung oder Löschung seiner persönlichen Daten.alles was per Gesetz nicht ausdrücklich erlaubt ist, ist verboteneine formale Einwilligungserklärung des Gastes in Verbindung mit geeigneten organisatorischen/technischen Maßnahmen legalisiert die Datenverarbeitung.

In den meisten Hotels wurden in den vergangenen Monaten sämtliche Betriebsabläufe, Formalien und Regularien auf den Prüfstand gestellt, neugeregelt oder organisatorisch umstrukturiert. Nicht alle Betriebe konnten alles termingerecht umsetzen. Wer noch keine Vorstellung davon hat, warum der Datenschutz im Hotelbetrieb so wichtig ist – folgende Beispiele, typischer Datenpannen aus dem Alltag:


Menschliche Ursachen:

Entwendung oder Verlust von Datenträgern / Notebooks / Unterlagen Bequemlichkeit bei Passwortnutzung falsche Ansprechpartner bei telefonischer Auskunft bzw. fehlende Authentifizierung Unachtsamkeit beim Ermitteln von Informationsempfängern (Email, Newsletter, Telefon) Datenschutzverletzungen bei privater IT-Nutzung im Betrieb.


Organisatorische Ursachen:

Zugang/Speicherung personenbezogener Daten ohne vertragliche Grundlage (Einwilligungserklärung) unnötiges Arbeiten mit Administrationsrechten / Zutritt zu Daten für unbefugte Personen Einsicht in Dokumente / Zuhören von Unbeteiligten bei vertraulichen Gesprächen (z.B. Rezeption) fehlerhafte Entsorgung von Altpapier und Altdatenträgern.


Technische Ursachen:

falsch eingerichtete oder fehlende Firewall fehlende oder fehlerhafte Verschlüsselung bei Datenübertrag Virenbefall / Schadsoftware.

Datenpannen resultieren übrigens zum überwiegenden Teil aus menschlichen und organisatorischen Fehlern – das wird sich vermutlich auch bei vorbildlicher Umsetzung der Vorgaben nicht wesentlich ändern.

Kann man sich gegen die finanziellen Folgen einer Datenschutzverletzung versichern?

Die Mehrzahl der Versicherer wird dieses Thema nicht aufgreifen – übliche Betriebshaftpflicht- und D&O-Policen versagen an dieser Stelle. Der Leistungsumfang umfasst u.a.:

sämtliche Vermögensschäden aufgrund von Verletzungen der DSGVO, einschließlich Verlust, Veränderung oder Blockade elektronischer Daten Einschluss physischer Daten – Datenpannen müssen also nicht im Zusammenhang mit der IT stehen Verletzung von Geheimhaltungspflichten und Datenvertraulichkeitserklärungen einschließlich Vertragsstrafen Verstöße gegen Namens- und Persönlichkeitsrechte Rechtsverletzungen durch Werbung und Marketing (insbesondere Marken-, Urheber-, Lizenz- und Domainrechte) Prüfung, Abwehr und Befriedigung von Ansprüchen Dritter Straf- oder Bußgelder aufgrund von Datenschutzverstößen, sowie damit im Zusammenhang stehende Kosten (soweit nach geltendem Recht zulässig) Straf- und Ordnungswidrigkeits-Rechtsschutz im Zusammenhang mit Datenverstößen (ab Einleitung des Verfahrens).


Ergänzt wird die Datenschutz-Police durch einen umfassenden IT-Baustein im Bereich der Cyber-Sicherheit, der nicht nur Angriffe von außen, sondern auch Bedienfehler durch Mitarbeiter oder Sabotage von Vertrauenspersonen einschließt:


Cyber-Eigenschäden: Beschädigung, Zerstörung, Veränderung, Blockierung oder Missbrauch eigener IT- Systeme Programme oder elektronischen Daten infolge eines Hacker-Einbruchs (einschl. mobile Geräte) Cyber-Lösegeldzahlungen: Forderungen im Zusammenhang mit angedrohter / erfolgter Beschädigung, Zerstörung, Veränderung,  Blockierung oder Missbrauch eigener IT-Systeme Cyber-Zahlungsmittelschäden: Verlust / Beschädigung von Kreditkartendaten und –programmen, Verstöße gegen Kreditkartenverarbeitungsvereinbarungen, Verletzungen der PCI Data-Security-Standards oder Verstöße gegen vertragliche Vereinbarungen im Zusammenhang mit Bezahlsystemen Cyber-Betriebsunterbrechung: Betriebsunterbrechung durch Ausfall eigener IT-Systeme oder beauftragter Cloud-Dienstleister in Folge von Viren, Schadsoftware, Hacker-Angriffen und Eingriffen Dritter. Cyber-Vertrauensschäden: Vermögenseigenschäden durch Betrug, Unterschlagung oder Diebstahl durch Vertrauenspersonen.

Im Schadensfall übernimmt eine 24-Stunden-Hotline mit kompetentem IT-Support und IT-Forensik die Führung und leitet alle erforderlichen Schritte unverzüglich in die Wege.

Die Kosten für die Datenschutz-Police stehen übrigens in keinem Verhältnis zu den möglichen finanziellen Folgen einer Datenpanne. Parameter für die Kalkulation sind Jahresumsatz, Versicherungssumme und Selbstbeteiligung, also z.B.

Jahresumsatz bis 5 Mio. EUR bei 500.000 EUR Versicherungssumme ab 1.140 EUR brutto p.a.

Jahresumsatz bis 10 Mio. EUR bei 1.000.000 EUR Versicherungssumme ab 2.040 EUR brutto p.a.

Der beste Versicherungsschutz ersetzt natürlich keineswegs Beachtung und Umsetzung der neuen DSGVO. Es Verbleibt jedoch ein nicht zu unterschätzendes Daten-Restrisiko, das durch die zunehmende Sensibilisierung von Verbrauchern (ihren Schützern und Anwälten) tendenziell sogar zunehmen wird. Eine leistungsfähige Versicherungspolice kann hier mit Sicherheit einige Sorgen abnehmen und den Umgang mit potenziellen Datenpannen spürbar professionalisieren. Hotelsicherer steht gerne beratend zur Seite.


28 Ansichten
linkedin - rund.png
Mosaic neue ohne Text_edited.jpg

Mosaic Versicherungsmakler GmbH

Potsdamer Platz 1

D-10785 Berlin

linkedin - rund.png
Arbeitskreis.png

MITGLIED IM

Hotelsicherer