TW Insurance Day Management von Cyber-Risiken

Transkript

1 TW Insurance Day Management von Cyber-Risiken Natalie Kress Cyber Practise Manager Germany & Austria, ACE European Group Limited RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing Düsseldorf, 7. Mai 2015

2 01 > Cyberrisiken Risikoumfeld Es gibt nur zwei Arten von Unternehmen: solche, die schon gehackt wurden und solche, die es noch werden Zitat: Robert S. Mueller, FBI Direktor 2

3 02 > Risikomanagement eines Industrieunternehmens Viren Hardware BYOD Big Data Cloud Darknet MA Hacker APT Internet 4.0 IT-/Netzwerksicherheit Datenschutz Risikomanagement Cyberversicherung (Eigen- und Drittschäden) Risiken Maßnahmen Transfer 3

4 03 > Cyber Versicherung - Versicherte Gefahren > Mut- oder böswillige Handlungen durch AN oder Dritte (Malicious Acts) > Programme oder Programmteile mit Schadfunktion (Malicious Codes), > Menschliches Versagen / Fehlbedienung > Verlust, Zerstörung oder Beschädigung der Hardware > Nichtverfügbarkeit der Systeme / DDoS-Attacken > Beleidigung / Verleumdung / üble Nachrede > Diebstahl geistigen Eigentums > Verletzung von Datenschutz und Vertraulichkeit > Unbefugte Nutzung des Computersystems 4

5 04 > Cyber-Versicherung Welche Schäden? > Eigenschäden Software- und Datenwiederherstellung Mehrkosten / Beschleunigungskosten Betriebsunterbrechung Sachverständigenkosten / Forensik Kosten der Regressnahme Vertragsstrafen (optional) Ausfall externe Dienstleister (Cloud, IaaS, PaaS, SaaS) Leistungen bei erpresserischer Bedrohung (optional) Vertrauensschäden (optional) Rückwirkungsschäden (optional) 5

6 04 > Cyber-Versicherung Welche Schäden? > Krisenmanagementkosten/Bußgeld Benachrichtigungskosten (gem. BDSG) (Benachrichtigung der Kunden, Call Center, Multimediaverbreitung) Kosten für Nachforschungen (Monitoring, Forensik, Berater etc.) Kosten für Verhandlungen mit zuständigen Aufsichtsbehörden (Rechtsanwälte, Krisenmanager etc.) > Fremdschäden: Schadensersatz an Dritte aus: datenschutzrechtlicher Haftung Vertrag Unerlaubter Handlung Urheberrecht Sonderthema: Geschäftsleiterhaftung 6

7 05 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung I. Haftung nach öffentlichem Datenschutzrecht > Schutz personenbezogener Daten (Einzelangaben über persönliche / sachliche Verhältnisse einer natürlichen Person) Technische und organisatorische Maßnahmen gemäß 9 BDSG (Festlegung in Datenschutz- und Datensicherheits-Richtlinien) Bestellung eines Datenschutzbeauftragten, 4 f BDSG (mind. 20 bzw. 9 ständig mit Datenverabreitung Beschäftigte) Datengeheimnis, 5 BDSG: Verpflichtung der Mitarbeiter erforderlich Verstoß > Datenschutzrechtliche Haftung 7

8 05 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung I. Haftung nach öffentlichem Datenschutzrecht > Datenschutzrechtliche Haftung derzeit: Informationspflicht gegenüber Aufsichtsbehörde(n) und Betroffenen: 42a BDSG: bei bestimmten personenbezogenen Daten 109a TKG: bei Telekomunikationsdienstleistern Maßnahmen zur Schadensbegrenzung/-beseitigung, 42a BDSG Schadensersatz an Betroffene, 7, 8 BDSG Bußgeld wegen Ordnungswidrigkeit, 43 III BDSG: oder Abschöpfen eines etwaigen höheren wirtschaftlichen Vorteils Geschäftsleitung, 9, 130 OWiG (echtes Unterlassungsdelikt): Bußgeld bis zu 1 Mio. 8

9 05 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung I. Haftung nach öffentlichem Datenschutzrecht > Verschärfungen nach EU-Datenschutz-GrundVO zukünftig: soll die EU-Datenschutz-Richtlinie 95/46/EG aus 1995 ersetzen keine Umsetzung in nationales Recht, sondern unmittelbare Geltung 12. / 13. März 2015: Treffen der EU-Innen- und Justizminister zu Kapitel II (Datenverwendung); sehr starkes Lobbying aus USA Derzeitiger Diskussionsstand: Artikel 31, 32: Selbstanzeige / Auskunft an Aufsichtsbehörde(n) und Betroffenen unverzüglich (Erstentwurf: innerhalb von 24 Stunden ) Artikel 79: bei Unternehmen Bußgeld bis zu 5% des weltweiten Jahresumsatzes (Erstentwurf: 2% des weltweiten Jahresumsatzes ) 9

10 05 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung II. Zivilrechtliche Haftung > Schadensersatz / Vertragsstrafe an Vertragspartner aus Vertrag Verletzung von Geheimhaltungs- / Vertraulichkeitspflichten > Haftung gegenüber Dritten ohne Vertrag gemäß 823 BGB wegen Eigentumsschadens durch Datenverlust Störung des Gewerbebetriebs Dritter Verletzung von Persönlichkeitsrechten > Urheberrechtliche Haftung, UrhG Urheber kann Schadensersatz / Beseitigung / Auskunft verlangen 10

11 05 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung II. Zivilrechtliche Haftung > Persönliche Haftung des Geschäftsleiters Innenhaftung gegenüber Unternehmen aus 93 II, 91 II AktG; 43 II GmbHG wegen Organisationsverschuldens Ggfs. sogar Außenhaftung gegenüber Dritten (s. Dornbracht-Urteil des OLG Düsseldorf vom VI-U (Kart) 11/13: Haftung aus 33 III GWB i.v.m. 830 II BGB) > Fazit: Risikomanagement ist unerlässlich! 11

12 06 > Risikomanagement Cyber-Risiken (Zusammenfassung) > Risikoanalyse und Risikobewertung (Dokumentation) > Präventionsmaßnahmen technischer Art > Ablaufplan mit Zuständigkeiten für Cyber-Ernstfall Eingriff erkennen Cyber Breach Coach / ggfs. Versicherer einschalten Eingriff beenden, Sachverhalt erfassen, Maßnahmenplan erstellen Maßnahmenplan abarbeiten (Anzeige an Behörden / Betroffene; Presse; rechtliche Maßnahmen gegen Schädiger / Behörden prüfen; Risikobewertung / Präventionsmaßnahmen verbessern) > Absicherung durch Versicherungsschutz Cyberschäden in der Sachdeckung Eigen- und Drittschäden über Cyber-Police D&O-Versicherungsschutz 12

13 07 > Fragen und Diskussion Vielen Dank für Ihre Aufmerksamkeit! Haben Sie Fragen? 13

14 Ihre Ansprechpartner: Dr. Gunbritt Kammerer-Galahn Partnerin, Düsseldorf Head of Insurance Taylor Wessing Natalie Kress Cyber Practise Manager Germany & Austria, ACE European Group Limited Kontaktdetails T: 49 (0) E: Kontaktdetails T: +49 (0) E: 14

15 Unsere Standorte Beijing * Unit 2307&08, West Tower, Twin Towers B-12 Jianguomenwai Avenue Chaoyang District Beijing T. +86 (10) Berlin Ebertstraße Berlin T. +49 (0) Bratislava Panenská Bratislava T. +421(0) Brno * Dominikánské námĕstí 4/ Brno T Brussels Trône House 4 Rue du Trône 1000 Brussels T. +32 (0) Budapest Dorottya u. 1. III. em Budapest T. +36 (0) Cambridge 24 Hills Road Cambridge, CB2 1JP T. +44 (0) Dubai 26th Floor, Rolex Tower, Sheikh Zayed Road, P.O. Box Dubai, United Arab Emirates T (0) Düsseldorf Benrather Straße Düsseldorf T. +49 (0) Frankfurt Senckenberganlage Frankfurt a.m. T. +49 (0) Hamburg Hanseatic Trade Center Am Sandtorkai Hamburg T. +49 (0) >Jakarta ** >Hanafia Ponggawa & Partners >Wisma 46 Kota BNI, 32nd & 41st Floor. Jl. Jend Sudirman >Kav 1 Jakarta >T Kiev Illinsky Business Center vul. Illinska Kiev T. +38 (0) Klagenfurt * Alter Platz Klagenfurt T. +43 (0) London 5 New Street Square London EC4A 3TW T. +44 (0) Munich Isartorplatz Munich T. +49 (0) Paris 69 avenue Franklin D. Roosevelt Paris T. +33 (0) Prague U Prasné brány 1 CZ Praha 1 T Shanghai * Unit 1509, United Plaza No. 1468, Nanjing West Road Shanghai T. +86 (0) Singapore RHTLaw Taylor Wessing LLP Six Battery Road #09-01, #10-01 Singapore T Seoul ** DR & AJU LLC Donghoon Tower 317 Teheran-Ro Gangnam-gu Korea Vienna Schwarzenbergplatz Vienna T. +43 (0) Warsaw ul. Mokotowska Warsaw T. +48 (0) > * Repräsentanz ** Assoziiertes Büro 15