Data Risks / Cyber Risks / Privacy the Lloyd s underwriters perspective

Größe: px

Ab Seite anzeigen:

Download "Data Risks / Cyber Risks / Privacy the Lloyd s underwriters perspective"

Emil Becke
vor 8 Jahren
Abrufe

1 Data Risks / Cyber Risks / Privacy the Lloyd s underwriters perspective Jens Krickhahn, Underwriting Manager Technology Media und Telecommunication Hiscox Deutschland

2 Agenda Aus der Presse Rechtlicher Hintergrund Die Risiken und ihre Folgen Der Markt 2

3 Schadensbeispiele aus den Medien Millionenfacher Datendiebstahl bei Neckermann Hacker entwenden Informationen von 1,2 Millionen Gewinnspielteilnehmern Uni Potsdam Personalien von Studenten standen frei zum Download 3

Informationen von 1,2 Millionen Gewinnspielteilnehmern

4 Wussten Sie, dass... mehr als jedes zweite Unternehmen schon einmal Ziel eines ernstzunehmenden Hacker Angriffs geworden ist? die meisten Unternehmen das Risiko gefährlich falsch einschätzen, bis es zum Schadenfall kommt? Schäden durch Datenraub um 70 % gestiegen sind? unlautere/unachtsame Mitarbeiter (19 %) nach Hackerattacken (32 %) die Hauptursache für Datenschutzverstöße sind? 4

5 Hätten Sie das gedacht? Zeitspanne in Tagen zwischen der Datenrechtsverletzung und der Entdeckung* Anzahl der Unternehmen, die bereits Ziel eines ernsthaften Versuchs waren, rechtswidrig in ihr Netzwerk einzudringen* Kosten pro Dateninhaber, um einer gesetzlich vorgeschriebenen Informationspflicht nachzukommen Als gestohlen gemeldete Laptops am Pariser Flughafen pro Woche** Kosten zur Identifikation personenbezogener Daten auf einem abhanden gekommenen Laptop Datenrechtsverletzungen im Zusammenhang mit mobilen Endgeräten* Durchschnittliche Rechtsverteidigungskosten in einem Datenschutzverstoß Durchschnittliche Ansprüche Dritter nach einem Datenschutzverstoß % ca % Mio. * PriceWaterhouseCoopers, Information Security Breaches Survey 2010 befragt wurden 539 Unternehmen in GB. ** Ponemon Institute ***TrustWave - Global Security Report

pro Dateninhaber, um einer gesetzlich vorgeschriebenen Informationspflicht nachzukommen Als gestohlen gemeldete Laptops am Pariser Flughafen pro Woche** Kosten zur Identifikation personenbezogener

6 Haftung Gesetzliche Grundlage

7 Datenschutzrechtliche Haftung Datenvorfall kann Schadensersatzanspruch des Betroffenen gemäß 7 BDSG begründen das Unternehmen haftet auch dann als verantwortliche Stelle im Sinne des BDSG, wenn ein Datenverlust auf einem Handeln von Mitarbeitern oder einem externen Dienstleister (z. B. Hosting von Daten in externem Rechenzentrum) beruht die jüngsten Datenvorfälle zeigen, dass Aufsichtsbehörden harten Verfolgungskurs einschlagen Reaktion von Aufsichtsbehörden hängt auch davon ab, wie betroffene Unternehmen mit Datenvorfall umgehen 2012 Taylor Wessing Deutschland (Vortrag Dr. Kay Westerwelle) 7

SG, wenn ein Datenverlust auf einem Handeln von Mitarbeitern oder einem externen Dienstleister (z. B.

8 Datenschutzrechtliche Haftung Unternehmen sollten deshalb insbesondere unverzügliche Aufklärungsmaßnahmen, Information und Entschädigung Betroffener, interne Maßnahmen etc. einleiten mit internen und externen Maßnahmen zur Abwicklung des Datenvorfalls sind erhebliche Kosten (eigener Schaden) verbunden, insbesondere für forensische Prüfung Prüfung und Abwicklung von Schadensersatzansprüchen Auseinandersetzung mit Behörden / Rechtsverteidigung (ggf. auch strafrechtliche Verteidigung) internes Krisenmanagement gemäß 43 BDSG können Verstöße mit empfindlichen Bußgeldern von EUR ,00 bis ,00 als Ordnungswidrigkeit geahndet werden 2012 Taylor Wessing Deutschland (Vortrag Dr. Kay Westerwelle) 8

und Abwicklung von Schadensersatzansprüchen Auseinandersetzung mit Behörden / Rechtsverteidigung (ggf.

9 Mögliche Rechtsfolgen bei Verstößen / Haftung Ordnungswidrigkeit 130 Abs. 1 i.v.m. 30 OWiG Haftung der Geschäftsleitung für vorsätzliches oder fahrlässiges Unterlassen der Aufsichtsmaßnahmen, die erforderlich sind, um Zuwiderhandlungen gegen Pflichten zu verhindern, die die Geschäftsleitung treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. Haftung des Unternehmens für Ordnungswidrigkeit, 30 OWiG Geldstrafe bis 1 Million Schadensersatzansprüche Gegenüber Unternehmen Gegenüber Geschäftsleitung Gegenüber zuständigen Mitarbeitern (z.b. Leiter IT, IT- Sicherheitsbeauftragter) Sonstige mögliche Folgen Verweigerung des Bestätigungsvermerks durch Wirtschaftsprüfer Ratingprobleme (Basel II) Bessere IT -> Besseres Rating -> Weniger Eigenkapitalbedarf -> günstigerer Kredit Verlust des Versicherungsschutzes Abmahnung wegen Wettbewerbsverstoß 2012 Taylor Wessing Deutschland (Vortrag Dr. Kay Westerwelle) 9

Geschäftsleitung treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist.

10 Datenschutz als unternehmerische Pflicht Gesellschaftsrecht 91 Abs. 2 AktG Analog für Geschäftsführer der GmbH Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden Datenschutz als Bestandteil des Risikomanagements Handelsrecht 239 Abs. 4 S. 2, 261 HGB Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme zu gewährleisten Bürgerliches Recht Deliktsrecht: Organisationsverschulden bei unzureichender IT-Sicherheit Vertragsrecht: Pflicht zu Datenschutz kann sich vertraglich ergeben Spezifische Regelungen Verpflichtung zur Sicherung der IT-Systeme 9 BDSG Acht Gebote der Datensicherheit 113a Abs. 10, 109 Abs. 2 TKG, 13 Abs. 4 TMG 78a SGB X Insb. Umgang mit Kunden- und Angestelltendaten 2012 Taylor Wessing Deutschland (Vortrag Dr. Kay Westerwelle) 10

Entwicklungen früh erkannt werden Datenschutz als Bestandteil des Risikomanagements Handelsrecht 239 Abs. 4 S.

11 PCI und PCI DSS Vertragliche Haftungsvereinbarungen hinsichtlich Vermögensschäden und Folgeschäden PCI DSS Jeder der Kreditkarten im Bezahlprozess akzeptiert hat, PCI compliant zu sein, aber realisiert dies ggf. nicht.: PCI (Payment Card Industry) : Liste mit betroffenen Konten muss innerhalb von 7 Tagen vorgelegt werden normal nicht möglich Sofern mehr als Kreditkartenkonten betroffen sind, muss ein forensischer Bericht eines qualifizierten forensischen Dienstleister vorgelegt werden) Innerhalb von 90 Tagen muss der Vorfall abgeschlossen sein 11

: PCI (Payment Card Industry) : Liste mit betroffenen Konten muss innerhalb von 7 Tagen vorgelegt werden normal nicht möglich Sofern mehr

12 Der Datenschutzvorfall......und die Folgen!

13 Ein typischer Schadenzirkel 13

14 Was kann passieren... Alltäglich Irrtürmliches Mitschicken von Daten/Unterlagen in einem Brief Verlieren eines Laptops, USB Sticks, Smartphone, etc. Diebstahl von Computern wird an einen falschen Empfänger verschickt Dokumente landen im Papierkorb Überwachungskamaras Für Fortgeschrittene Hackerangriffe ggf. unterstützt von kriminellen Organisationen 14

eines Laptops, USB Sticks, Smartphone, etc.

15 Die Folgen... 15

16 Die Folgen... 16

17 Die Folgen...(nicht versicherbar) 17

18 Der Markt

19 Der Markt Nahezu jede Branche hat dieses Risiko Sofern Kreditkartendaten oder andere Bezahlkartendaten im Bezahlprozess erhoben/gespeichert werden, kommen zum Teil weitgehende vertragliche Haftungsvereinbarungen und ggf. Vertragsstrafen auf die Unternehmen zu. Hotels / Gastronomie / Einzelhandel / etc. akzeptieren Kreditkarten Nur wenige Risikoträger zeichnen diese Risiken auf einem speziell dafür vorgesehenen Konzept. 19

und ggf. Vertragsstrafen auf die Unternehmen zu. Hotels / Gastronomie / Einzelhandel / etc.

20 Der Markt Nur geringe Kapazitäten am Markt vorhanden Wichtig Zugriff auf Experten (wegen gesetzlicher Bestimmungen nach Vorfall bzw. vertraglicher Verpflichtungen) Professionelles Schadenmanagement Erfahrung Mehr Risikoträger bedeutet mehr Marketing und daher höhere Wahrnehmung der Verbraucher und somit ein besseres Umfeld für alle! 20

vertraglicher Verpflichtungen) Professionelles Schadenmanagement Erfahrung Mehr

21 Fragen 21

22 Vielen Dank für Ihre Aufmerksamkeit! 22

Ähnliche Dokumente

Rechtliche Aspekte der IT-Security.

Rechtliche Aspekte der IT-Security. Gesellschaft für Informatik, 27.05.2005 IT Security und Recht. IT-Security hat unterschiedliche juristische Aspekte: Strafrecht: Hacking, Computerbetrug, DoS, etc. Allg.