FAQ zur Europäischen Datenschutzgrundverordnung (DSGVO)

Hiscox Berufshaftpflicht- und D&O-Versicherung und DSGVO

In welchen Hiscox Produkten bzw. Versicherungsmodulen sind Schadenersatzforderungen aufgrund von Verstößen gegen die DSGVO gedeckt?

Im Rahmen der versicherten Tätigkeiten sind in unseren Vermögensschaden-, D&O- und Berufshaftpflichtversicherungen auch eventuelle fahrlässige Pflichtverletzungen versichert, die zu Verstößen gegen die DSGVO und zu Schadensersatzansprüchen führen. Der konkrete Umfang des Versicherungsschutzes richtet sich nach den jeweiligen Versicherungsbedingungen – diese enthalten keinen Ausschluss für Pflichtverletzungen oder Schäden, die aus Verstößen gegen die DSGVO resultieren.

Inwiefern ist der Datenschutzbeauftragte in den Hiscox Haftpflichtversicherungen versichert bzw. versicherbar?

In der D&O-Versicherung von Hiscox ist der interne Datenschutzbeauftragte als versicherte Person auch gegen persönliche Inanspruchnahmen versichert.
Im neuen Produkt NetIT by Hiscox ist ebenfalls ausdrücklich geregelt, dass auch Leistungen als Datenschutzbeauftragte versichert sind.
Darüber hinaus können sich interne und externe Datenschutzbeauftragte über das Hiscox Produkt „Professions“ versichern. Für diese spezielle Berufsgruppe wird aktuell auch ein eigener Antrag entwickelt. Bis dahin kann ohne Nachteil unser Professions-Antrag und Fragebogen verwendet werden.

Sind Geldbußen und Strafen in den Vermögensschaden-, D&O- und Berufshaftpflichtversicherungen von Hiscox versichert?

Straf- und Bußgelder, die unmittelbar gegen den Versicherungsnehmer, ein versichertes Unternehmen oder eine versicherte Person verhängt werden, sind nicht versichert. Nach allgemeiner Auffassung ist ein derartiger Versicherungsschutz in Deutschland auch nicht zulässig. Sollte der Versicherungsnehmer – oder eine in der D&O versicherte Person – aber durch pflichtwidriges Handeln oder Unterlassen ursächlich dafür sein, dass einem andern Unternehmen deshalb aufgrund eines Verstoßes gegen die DSGVO ein Straf- oder Bußgeld auferlegt wird, dann wäre ein Regressanspruch dieses Dritten gegen unseren Versicherungsnehmer versichert.

Hierzu ein Beispiel:
Ein externer Datenschutzbeauftragter ist bei Hiscox mit einer Vermögensschaden-Haftpflichtversicherung versichert. Verstößt er gegen seine Pflichten und einer seiner Kunden bekommt deshalb im Zusammenhang mit einer Datenschutzverletzung ein Bußgeld auferlegt, könnte der Kunde dieses Bußgeld gegen unseren Versicherungsnehmer regressieren. Im Rahmen der Versicherung würden wir unserem Versicherungsnehmer dann im Rahmen und Umfang der Versicherung Abwehr und – falls diese keinen Erfolg hat – auch Schadenkompensation leisten.

Hiscox CyberClear und DSGVO

Sind Verstöße gegen die EU-DSGVO in der Cyber-Versicherung Hiscox CyberClear gedeckt?

Die Cyber-Versicherung ist speziell für die Absicherung zum Thema Datenschutz (früher Bundesdatenschutzgesetz, ab 25. Mai Datenschutz-Grundverordnung) konzipiert worden. Sie greift sowohl bei gesetzlichen als auch vertraglichen Vereinbarungen, die den Schutz von Daten bezweckt. Dazu gehört zum Beispiel das BDSG, die DSGVO und durch die offene Formulierung auch alle anderen (ausländischen) und zukünftigen Gesetze, wie die ePrivacy Verordnung. Unternehmen sind also auch für kommende Gesetztesänderungen gut aufgestellt.
Geleistet wird eine professionelle Unterstützung durch Krisenexperten, Datenschutzanwälte und PR-Berater über die ganze Zeit des Vorfalls und Begleitung der behördlichen Verfahren. Zusätzlich zu diesen Kosten werden auch die Eigenschäden für die Benachrichtigung der betroffenen Dateninhaber gemäß der gesetzlichen Informationspflichten und darüber hinaus die Kosten für ein externes Call-Center zum Beantworten von Rückfragen übernommen. Sieht das Unternehmen sich mit Haftpflichtansprüchen resultierend aus einer Datenschutzverletzung konfrontiert, sind die Abwehr unbegründeter und die Erfüllung begründeter Ansprüche vom Versicherungsschutz umfasst. Eine Cyber-Versicherung ist also eine sinnvolle Unterstützung für Unternehmen bei Datenschutzverletzungen und trägt die relevanten Kosten, wenn es ernst wird.

Gilt der Schutz auch für die Modullösung Hiscox CyberClear Start?

CyberClear Start lässt sich nur für Unternehmen bis 1 Mio. Jahresumsatz und in Verbindung mit einer Vermögensschadenhaftpflicht von Hiscox abschließen. Da in der Vermögensschadenhaftpflicht von Hiscox bereits alle relevanten Haftpflichtansprüche mitversichert sind, bezieht sich CyberClear Start nur auf die Eigenschäden. Dies allerdings im gleichen Rahmen wie unter Punkt 1 – Cyber beschrieben.

Wie unterstützt das Dienstleister-Netzwerk der Hiscox CyberClear Versicherung?

Die auslösenden Ereignisse sind in der Cyber-Versicherung sehr weit definiert. Wenn ein Unternehmen einen Datenschutzvorfall bei sich bemerkt, steht der Krisendienstleister telefonisch direkt als erster Ansprechpartner und Koordinator bereit. Dort wird der Fall aufgenommen, eine erste Einschätzung wird gegeben und Sofortmaßnahmen werden angestoßen. Sollte ein kritische rechtliche Einschätzung nötig sein, wird der Fall direkt an einen spezialisierten Datenschutzanwalt übergeben. Das gilt auch im Verdachtsfall.

Sind Bußgelder aus der DSGVO in der Hiscox CyberClear Versicherung versichert?

Bußgelder, die eine Datenschutzbehörde oder ein Gericht wegen einer Datenrechtsverletzung gegen das Unternehmen verhängt, sind in ausländischen Rechtsordnungen – soweit dies rechtlich zulässig sein sollte – mit einer Entschädigungsgrenze von EUR 250.000 standardmäßig in der Cyber-Versicherung mitversichert. Zumindest für Deutschland und Österreich ist die Versicherung von Bußgeldern nach allgemeiner Auffassung nicht zulässig und daher auch nicht Bestandteil der Deckung.

Ein Hiscox Versicherungsnehmer bemerkt, dass seine Kundendaten an Dritte gelangt sind. Wie unterstützt Hiscox?

Nach der Meldung eines Vorfalls an den Hiscox Krisendienstleister erfolgt zunächst eine erste Einschätzung, ob personenbezogene Daten i.S.d. DSGVO betroffen sein könnten. Ist dies der Fall, schaltet Hiscox auf Datenschutzrecht spezialisierte Rechtsanwälte ein. Diese prüfen, ob der Vorfall an die entsprechenden Behörden gemeldet werden muss. Wenn eine Meldung erfolgen muss, koordiniert Hiscox in Absprache mit dem Versicherungsnehmer, ob er selbst oder die Rechtsanwälte den Vorfall an die Behörde melden. Mit dem Versicherungsnehmer gemeinsam wird in diesem Fall auch entschieden, wie die betroffenen Kunden über den Vorfall informiert werden.

Beispiel-Szenario:
Das Unternehmen speichert seine Kundendaten bei einem externen Cloud-Anbieter. Über einen gehackten Zugang eines Mitarbeiters gelingt es Kriminellen, die Kundendaten einzusehen und zu kopieren. Danach sieht sich das Unternehmen mit Schadenersatzansprüchen seiner Kunden konfrontiert.
Als Datenerheber bleibt das Unternehmen verantwortliche Stelle für die Daten. Das Unternehmen hat bei einem Vorfall im Zusammenhang mit personenbezogenen Daten also eine Pflicht gemäß DSGVO, diesen Vorfall innerhalb von 72 Stunden an die Datenschutzbehörden zu melden. Die dadurch entstehenden Kosten und durch die Benachrichtigung der betroffenen Dateninhaber sind in der Cyber-Versicherung mitversichert. Ebenso ist die Abwehr unberechtigter und Erfüllung berechtigter Schadenersatzansprüche gedeckt.

Die nachfolgenden Informationen wurden mit freundlicher Unterstützung der Anwaltskanzlei Taylor Wessing erstellt. Bitte beachten Sie, dass es sich bei diesen Informationen um bloß unverbindlich zur Verfügung gestellte Erläuterungen handelt, die keinen Anspruch auf Vollständigkeit erheben. Die nachfolgenden Informationen ersetzen keine Rechtsberatung zu den einzelnen Fragestellungen und sind in keinem Fall als solche zu verstehen.

Was sind die wesentlichen Neuerungen durch die DSGVO?

A) Erweiterter Geltungsbereich
Die DS-GVO betrifft Unternehmen in der gesamten EU und deckt alle Bereiche der EU-Gesetzgebung ab, unabhängig von:
– Datenformat,
– Ort des Datensubjekts,
– Sitz des Unternehmens, dass die Daten sammelt oder verarbeitet,
– Nationalität des Datensubjekts.

B) Umfassendere Definitionen datenschutzrelevanter Begrifflichkeiten
• Klarstellung zu persönlichen Identifiern im Anwendungsbereich der Datenschutzgesetze (z. B. Name, Geolokalisierung, Online Identifizierung, Passwörter, genetische Daten, etc.),
• Begriffsbestimmung für genetische und biometrische Daten in Kombination mit speziellen Regelungen zu Gesundheitsdaten,
• spezielle Regelung und Vorgaben zur Pseudonymisierung personenbezogener Daten.

C) Weitreichendere Rechte für die betroffenen Personen
Neue und teils stärker ausdifferenzierte Betroffenenrechte wie z. B. das Recht auf Datenportabilität sowie ein generelles Widerspruchsrecht gegen alle Formen der Datenverarbeitung (jedoch nur unter gewissen Voraussetzungen).

D) Erweiterte Haftung für Auftragsverarbeiter
• Mitverantwortlichkeit des Auftragsverarbeiters bei Auslagerung der Verarbeitungsprozesse gegenüber den Betroffenen,
• Mithaftung des Auftragsverarbeiters gegenüber Betroffenen sowie Behörden (Bußgeld).

E) Verschärfte Sanktionen
• Deutlich mehr sanktionierbare Verstöße,
• deutlich erhöhte Geldbußen.

Für wen gilt die neue Datenschutz-Grundverordnung?

Örtlich gilt die DSGVO für alle Unternehmen, die
• in der EU ansässig sind,
• im osteuropäischen Ausland ansässig sind, und betroffenen Personen, die sich innerhalb der EU bzw. des EWR befinden, Waren oder Dienstleistungen anbieten, unabhängig davon, ob von den betroffenen Personen eine Zahlung zu leisten ist, und/oder das Verhalten betroffener Personen im EWR beobachten, soweit ihr Verhalten in der Union erfolgt.

Persönlich findet die DSGVO Anwendung auf Behörden und Unternehmen sowie Einzelpersonen, die personenbezogene Daten zu nicht ausschließlich persönlichen oder familiären Tätigkeiten verarbeiten.
Dabei finden die Regelungen nur Anwendung auf das „Erheben“ und „Verarbeiten“ von personenbezogenen Daten, was die ganz oder teilweise automatisierte Verarbeitung sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, umfasst.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, z.B. Name, Adresse, Telefonnummer, Autokennzeichen, aber auch Online Kennungen (wie z.B. die IP-Adresse). Es ist ausreichend, wenn die Information zu einer Person in irgendeiner Art zugeordnet und somit ein Personenbezug hergestellt werden kann.

Welche Grundsätze sind bei der Umsetzung der Datenschutz-Grundverordnung zu beachten?

Die Datenschutz-Grundverordnung verlangt erhöhte Dokumentations- und Nachweispflichten und verpflichtet datenverarbeitende Unternehmen zur Einhaltung folgender definierter Grundsätze:
a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Verarbeitung auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise.

b) Zweckbindung: Datenerhebung für festgelegte, eindeutige und legitime Zwecke.

c) Datenminimierung: dem Zweck angemessene Datenerhebung und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt.

d) Richtigkeit: Daten sollen sachlich richtig und – wenn erforderlich – auf dem neuesten Stand sein; personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, sollen unverzüglich gelöscht oder berichtigt werden.

e) Speicherbegrenzung: die Identifizierung der betroffenen Personen soll nur so lange möglich sein, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

f) Integrität und Vertraulichkeit: Gewährleistung einer angemessenen Sicherheit der personenbezogenen Daten, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Wann ist die Verarbeitung personenbezogener Daten rechtmäßig (Art. 6 Abs. 1 DSGVO)?

Auch die DSGVO folgt dem aus dem deutschen Recht bisher bekannten Prinzip des sogenannten „Verbotes mit Erlaubnisvorbehalt“. Dies besagt, dass eine Verarbeitung personenbezogener Daten nur dort zulässig ist, wo sie entweder im Wege einer Einwilligung des betroffenen oder eines ausdrücklichen gesetzlichen Erlaubnistatbestandes gestattet ist. Die Verarbeitung personenbezogener Daten ist insoweit rechtmäßig, wenn mindestens eine der folgenden Voraussetzungen vorliegt:
• Es liegt eine Einwilligung der betroffenen Person vor,
• die Datenverarbeitung ist zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen notwendig,
• die Datenverarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung nötig,
• die Datenverarbeitung ist zum Schutze lebenswichtiger Interessen nötig,
• die Datenverarbeitung ist zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt notwendig,
• die Datenverarbeitung ist aufgrund einer Interessenabwägung erforderlich.

Welche technischen Schutzmaßnahmen verlangt die DSGVO von Unternehmen?

Unternehmen, die Daten verarbeiten, müssen zunächst für geeignete technische und organisatorische Maßnahmen sorgen und interne Strategien festlegen sowie Maßnahmen treffen, die a) den Grundsatz des Datenschutzes durch Technik (privacy by design) entsprechen und b) datenschutzfreundliche Voreinstellungen (privacy by default) sicherstellen.
Mögliche Maßnahmen hierzu können wie folgt lauten:
• Minimierung der Verarbeitung personenbezogener Daten,
• Pseudonymisierung personenbezogener Daten,
• Überwachung der Datenverarbeitung,
• Verbesserung der Sicherheitsfunktionen.

Zudem werden besondere Voraussetzung an die Sicherheit der Verarbeitung personenbezogener Daten gestellt. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen haben verantwortliche Stellen (sowie Auftragsverarbeiter) geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessene Schutzniveau zu gewährleisten; diese Maßnahmen schließen u.A. folgendes mit ein:
• Minimierung der Verarbeitung personenbezogener Daten,
• Pseudonymisierung personenbezogener Daten,
• Überwachung der Datenverarbeitung,
• Verbesserung der Sicherheitsfunktionen.

Welche Angaben muss ein Verzeichnis von Verarbeitungstätigkeiten umfassen (Art. 30 DSGVO)?

Grundsätzlich hat jedes Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis muss folgende Angaben enthalten:
• Name und die Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter),
• Zweck der Verarbeitung,
• Kategorien von betroffenen Personen und personenbezogenen Daten,
• Kategorien von Empfängern, an die personenbezogene Daten weitergegeben worden sind oder noch weitergegeben werden (auch in Drittländern),
• Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation,
• vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien,
• allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Das Verzeichnis der Verarbeitungstätigkeiten ist u.A. ein wesentliches Instrument, um der Rechenschaftspflicht im Sinne von Art. 5 Absatz 2 DSGVO nachzukommen und insoweit den Nachweis darüber führen zu können, dass die Grundsätze für die Verarbeitung personenbezogener Daten (Art.5 DSGVO) eingehalten werden.

Wann ist eine Datenschutz-Folgenabschätzung nötig (Art. 35 DSGVO)?

Eine Datenschutz-Folgeabschätzung ist nötig, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko für die betroffenen Personen verursacht, insbesondere beim Einsatz neuer Technologien und aufgrund des Wesens, des Umfangs und des Kontextes sowie der Zwecke der in Rede stehenden Verarbeitungshandlung.
Dabei stellt sich oftmals die Frage, welche Technologien und/oder Verarbeitungsweisen hiervon erfasst sein können. Folgende Verarbeitungstätigkeiten können insoweit einer Datenschutzfolgenabschätzung unterliegen:
• Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen aufgrund automatisierter Verarbeitung,
• umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten,
• systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

Was ist die Aufgabe des Datenschutzbeauftragten und wann ist er nötig?

Die Aufgaben des Datenschutzbeauftragten lassen sich wie folgt zusammenfassen:
1. Unterrichtung und Beratung,
2. Überwachung der Einhaltung der Datenschutzvorschriften,
3. Beratung im Zusammenhang mit der Datenschutzfolgeabschätzung und Überwachung ihrer Durchführung,
4. Zusammenarbeit mit den Aufsichtsbehörden,
5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.

Der Datenschutzbeauftragte steht dabei der verantwortlichen Stelle beratend zur Seite und unterstützt die Geschäftsleitung sowie die mit der Wahrnehmung entsprechender Aufgaben im Unternehmen betrauten Fachabteilung bei der Anwendung und Umsetzung der Datenschutzvorschriften. Ob ein Datenschutzbeauftragter bestellt werden muss, hängt von der Anzahl der Mitarbeiter, der Art der verarbeiteten personenbezogener Daten sowie dem Geschäftsfeld des Unternehmens ab. Ein Datenschutzbeauftragter muss deshalb dann bestellt werden, wenn im Unternehmen in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Werden im Unternehmen dagegen Verarbeitungsvorgänge vorgenommen, die einer Datenschutzfolgeabschätzung nach Art. 35 DS-GVO unterliegen oder verarbeitet das Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, hat das Unternehmen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.

Wie können sich Unternehmen auf Daten-Vorfälle vorbereiten?

Jedes Unternehmen sollte zunächst Regeln aufstellen, an wen Datenschutz-Verletzungen intern d.h. innerhalb des Unternehmens, unter Einhaltung welcher Prozesse und Zeitlinien zu melden sind. Zudem ist zu regeln, wer in die Aufklärung etwaiger Datenschutzvorfälle zu involvieren ist (interne/externe IT-Dienstleister und Forensiker, der Datenschutzbeauftragte oder weitere Verantwortliche des Unternehmens). Zuletzt bedarf es der Dokumentation kritischer Systeme und Daten, um im Fall eines Datenschutzverstosses bzw. Datenschutzvorfalles schnell ermitteln zu können, ob etwaige Meldepflichten oder sonstige Verhaltenspflichten aus der DSGVO bestehen. Hintergrund ist, dass Meldepflichten (gegenüber der Behörde oder Betroffenen) regelmäßig nur bei besonderen Verarbeitungsvorgängen bestehen (bei denen die Gefahr für die Betroffenen als besonders hoch eingestuft wird). Zu empfehlen ist weiterhin ein aktuell zu haltender und praxiserprobter Krisenplan, um im Krisenfall schnell die richtigen Schritte einleiten zu können und einen möglichen Datenschutzvorfall schnellstmöglich zu beherrschen und im Idealfall auch beheben zu können.

An wen muss eine Datenschutzverletzung gemeldet werden?

Sollte eine Datenschutzverletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen, ist diese nach Art. 33 DSGVO unverzüglich und möglichst innerhalb von 72 Stunden ab Kenntnis des Verstoßes an die zuständige Aufsichtsbehörde zu melden. Die Meldung muss mindestens die Beschreibung des Vorfalls, die Kontaktdaten der verantwortlichen Stelle, die wahrscheinlichen Folgen des Datenschutzvorfalls sowie eine Information über ergriffene Maßnahmen enthalten. Dabei sollten sich alle Unternehmen frühzeitig einen Überblick über die bei den jeweiligen Aufsichtsbehörden etablierten Meldeprozesse verschaffen, um im Ernstfall effizient mit der Behörde kommunizieren zu können. Nach Art. 34 DSGVO besteht in entsprechenden Fällen zudem die Pflicht, unverzüglich eine Benachrichtigung der Betroffenen einzuleiten. Aufgrund der weitreichenden Folgen eines Datenschutzverstoßes und der Meldung an Aufsichtsbehörden und Betroffene sowie die erheblichen Bußgeldandrohungen sollten die Voraussetzungen im Einzelfall stets genau beleuchtet werden.