Die neue EU-Datenschutzgrundverordnung sorgt in der Schweiz für rote Köpfe und viele Fragen. René Beck ist Haftpflichtspezialist bei der Basler Versicherung und profunder Kenner der Thematik.
Interview von Manuela Gautschi, BCG Behmen Versicherungsbroking AG
René Beck: Das Thema EU-Datenschutzgrundverordnung ist aktuell in aller Munde. Was ist das eigentliche Ziel dieser Verordnung?
RB: In einigen Ländern existierte bereits vor der Einführung ein hohes Schutzniveau, in anderen weniger. Der Datentransfer zwischen zwei EU-Ländern führte aufgrund unterschiedlicher Gesetzgebungen immer wieder zu Problemen. Das Ziel war also klar die Harmonisierung innerhalb der EU.
Wird das Thema nun auch in der Schweiz in Angriff genommen?
RB: Ja, auch in der Schweiz will man das Datenschutzgesetz überarbeiten und wird dies stark an dasjenige der EU anlehnen. Der Nationalrat hat sich im Januar 2018 für eine Total-Revision des Datenschutzgesetzes in zwei Etappen ausgesprochen. Damit schloss er sich dem Vorschlag der Staatspolitischen Kommission an. Die Reform ist wichtig. Sie soll klare Vorgaben für den Umgang mit personenbezogenen Daten durch Staat und Unternehmen schaffen. Dass diese Reform sinnvoll ist, wird deutlich, wenn man sich die sprunghaft anwachsende Menge an personenbezogenen Daten vor Augen hält.
Was ändert sich mit Einführung der EU-DSGVO?
Es wurden gewisse Verschärfungen eingeführt. Beispielsweise muss die Einwilligung zum Datenaustausch aktiv bei der betroffenen Person eingeholt werden. Firmen, die systematisch mit heiklen Daten umgehen (z.B. Finanz- und Gesundheitsdaten) sind gezwungen, einen Datenschutzbeauftragten zu bestimmen. Zudem müssen Datenpannen gemeldet werden. Und es gab eine Verschärfung bei den Bussen. Vor allem das war der Grund, weshalb es einen Hype um die Einführung der EU-DSGVO gab, denn die massive Verschärfung der Bussen hat grosse Verunsicherung ausgelöst. Man muss aber bedenken, dass der Fokus klar auf Grosskonzerne gelegt wurde, die mit sehr hohen Bussen (bis 4 Prozent des gesamten Jahresumsatzes) rechnen müssen.
Kann man sagen, dass ein Schweizer Unternehmen, das keine Waren oder Dienstleistungen an Personen in der EU anbietet, nicht dieser Verordnung untersteht?
RB: Nein, so pauschal würde ich das nicht sagen. Ich würde sagen, es ist eher unwahrscheinlich. Aber es ist alles so neu und das Risiko ist sehr schwer abschätzbar. Ein gewisses Restrisiko ist immer vorhanden, man darf es aber auch nicht dramatisieren, dass jedes KMU Angst haben muss, es könnte aufgrund der EU-DSGVO belangt werden.
Was bedeutet es für ein KMU, das nicht der EU-DGSVO unterliegt? Muss es sich dann über die ganzen Datenschutzgesetze und Verordnungen keine Gedanken machen?
RB: Man unterscheidet in der Schweiz zwischen „normalen“ und „heiklen“ Daten. Bei den heiklen Daten spricht man von besonders schützenswerten Daten. In diesem Bereich existieren bereits heute Auflagen.
Was müssen betroffene Firmen unternehmen, welche unter die Bestimmungen der EU DSGVO fallen, damit sie ihre Pflichten erfüllen?
RB: Grundsätzlich sind es sieben gesetzliche Vorgaben, die eingehalten werden müssen, ansonsten drohen Geldbussen:
- Informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
- Ergreifen von technischen und organisatorischen Massnahmen, um die Einhaltung der DSGVO sicherzustellen und die Daten der betroffenen Personen zu schützen (Privacy by design) sowie Gewährleistung, dass nur Daten erhoben werden, die für den jeweiligen Verwendungszweck erforderlich sind (Privacy by default)
- einen Vertreter in der EU benennen
- ein Verzeichnis der Verarbeitungstätigkeiten erstellen
- Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
- eine Datenschutz-Folgenabschätzung durchführen
- Bei Verstössen gegen die DSGVO Geldbusse bezahlen
Welche Schadenszenarien sind aus versicherungstechnischer Sicht überhaupt denkbar?
RB: Man muss hier klar unterscheiden zwischen echten Vermögensschäden und reinen Genugtuungsansprüchen. Ich mache ein Beispiel: wenn personenbezogene Daten eines Prominenten an die Öffentlichkeit gelangen, ist es möglich, dass dieser eine Vermögenseinbusse erleidet, weil er z.B. weniger Auftritte hat. Werden die gleichen Daten z.B. über eine Hausfrau veröffentlicht, wird diese Person dadurch keinen Vermögensschaden erleiden. Aufgrund der Persönlichkeitsverletzung hat die Geschädigte aber einen Anspruch auf Genugtuung. Sowohl der Vermögensschaden als auch der Genugtuungsanspruch sind regelmässig in der Betriebshaftpflichtversicherung gedeckt.
Werden Firmendaten unerlaubt veröffentlicht, handelt es sich um die Verletzung der Geheimhaltungspflicht, um Markenschutz- oder Urheberrechtsverletzungen. Solche Ansprüche werden in der Regel über eine Cyberversicherung abgedeckt.
Bussen und Geldstrafen waren in den bisherigen Deckungskonzepten immer ausgeschlossen. Nun kommen aber vermehrt Produkte auf den Markt, die auch bei Geldbussen, Versicherungsschutz gewähren (soweit dies zulässig ist; muss im Einzelfall je nach nationaler Gesetzgebung beurteilt werden) und auch für die entsprechenden Kosten aufkommen (z.B. Informationskosten, wenn Betroffene informiert werden müssen, auch ohne Vorliegen eines Vermögensschadens). Solche Deckungskomponenten trifft man vor allem im Bereich der Cyberversicherung an. Dies macht auch Sinn, weil Datenschutz vor allem ein Thema im digitalen Bereich ist.
Im Bereich der Cyberversicherung haben wir es mit einem sehr dynamischen Markt zu tun. In den vergangenen Monaten sind einige neue Produkte auf den Markt gekommen, die teilweise sehr unterschiedlich ausgestaltet sind. Bei dieser Produktevielfalt ist es wichtig, dass die Deckungen und Leistungen exakt analysiert werden. Hier kann der Makler seine Kunden sehr gut unterstützen und Klarheit schaffen.
Machen wir ein konkretes Beispiel: Die Firma Müller speichert ihre Kundendaten bei einem externen Cloud-Anbieter. Über einen gehackten Zugang eines Mitarbeiters gelingt es Kriminellen, die Kundendaten einzusehen und zu kopieren. Danach stellen Kunden entsprechende Schadenersatzansprüche an die Firma Müller. Welche Aufwendungen sind versichert?
Über die Cyberversicherung geniesst der Kunde vollumfänglichen Versicherungsschutz. Gedeckt sind:
- die entstandenen Kosten für die Benachrichtigung der betroffenen Dateninhaber
- der entstandene Vermögens- bzw. Genugtuungsschaden
Über die Betriebshaftpflichtversicherung wären im vorliegenden Beispiel die Kosten nicht gedeckt.
Besteht in einem solchen Fall Meldepflicht?
RB: Dies hängt von der anwendbaren gesetzlichen Regelung ab. Nach der neuen Datenschutz-Grundverordnung der EU besteht eine Meldepflicht an die Aufsichtsbehörde bei Verletzung des Datenschutzes.
Gibt es spezielle versicherungstechnische Obliegenheiten, die der Versicherungsnehmer erfüllen muss?
RB: Im Rahmen von Cyberversicherungen, welche auch Datenschutzverletzungen umfassen, haben die versicherten Betriebe, in Bezug auf den Datenschutz, angemessene technische und organisatorische Schutzmassnahmen und Verfahren zu treffen, um die Vertraulichkeit der Daten und Systeme zu gewährleisten.
René Beck
Haftpflichtspezialist
Basler Versicherungen
Erfahren Sie hier mehr zum Thema und die ersten Erfahrungen seit Einführung der EU-DSGVO.