Data Risks / Cyber Risks / Privacy the Lloyd s underwriters perspective Jens Krickhahn, Underwriting Manager Technology Media und Telecommunication Hiscox Deutschland
Agenda Aus der Presse Rechtlicher Hintergrund Die Risiken und ihre Folgen Der Markt 2
Schadensbeispiele aus den Medien Millionenfacher Datendiebstahl bei Neckermann Hacker entwenden Informationen von 1,2 Millionen Gewinnspielteilnehmern Uni Potsdam Personalien von 20.000 Studenten standen frei zum Download 3
Wussten Sie, dass... mehr als jedes zweite Unternehmen schon einmal Ziel eines ernstzunehmenden Hacker Angriffs geworden ist? die meisten Unternehmen das Risiko gefährlich falsch einschätzen, bis es zum Schadenfall kommt? Schäden durch Datenraub um 70 % gestiegen sind? unlautere/unachtsame Mitarbeiter (19 %) nach Hackerattacken (32 %) die Hauptursache für Datenschutzverstöße sind? 4
Hätten Sie das gedacht? Zeitspanne in Tagen zwischen der Datenrechtsverletzung und der Entdeckung* Anzahl der Unternehmen, die bereits Ziel eines ernsthaften Versuchs waren, rechtswidrig in ihr Netzwerk einzudringen* Kosten pro Dateninhaber, um einer gesetzlich vorgeschriebenen Informationspflicht nachzukommen Als gestohlen gemeldete Laptops am Pariser Flughafen pro Woche** Kosten zur Identifikation personenbezogener Daten auf einem abhanden gekommenen Laptop Datenrechtsverletzungen im Zusammenhang mit mobilen Endgeräten* Durchschnittliche Rechtsverteidigungskosten in einem Datenschutzverstoß Durchschnittliche Ansprüche Dritter nach einem Datenschutzverstoß 156 61 % ca. 10 733 10.000-35.000 36 % 500.000 1 Mio. * PriceWaterhouseCoopers, Information Security Breaches Survey 2010 befragt wurden 539 Unternehmen in GB. ** Ponemon Institute ***TrustWave - Global Security Report 2011 5
Haftung Gesetzliche Grundlage
Datenschutzrechtliche Haftung Datenvorfall kann Schadensersatzanspruch des Betroffenen gemäß 7 BDSG begründen das Unternehmen haftet auch dann als verantwortliche Stelle im Sinne des BDSG, wenn ein Datenverlust auf einem Handeln von Mitarbeitern oder einem externen Dienstleister (z. B. Hosting von Daten in externem Rechenzentrum) beruht die jüngsten Datenvorfälle zeigen, dass Aufsichtsbehörden harten Verfolgungskurs einschlagen Reaktion von Aufsichtsbehörden hängt auch davon ab, wie betroffene Unternehmen mit Datenvorfall umgehen 2012 Taylor Wessing Deutschland (Vortrag Dr. Kay Westerwelle) 7
Datenschutzrechtliche Haftung Unternehmen sollten deshalb insbesondere unverzügliche Aufklärungsmaßnahmen, Information und Entschädigung Betroffener, interne Maßnahmen etc. einleiten mit internen und externen Maßnahmen zur Abwicklung des Datenvorfalls sind erhebliche Kosten (eigener Schaden) verbunden, insbesondere für forensische Prüfung Prüfung und Abwicklung von Schadensersatzansprüchen Auseinandersetzung mit Behörden / Rechtsverteidigung (ggf. auch strafrechtliche Verteidigung) internes Krisenmanagement gemäß 43 BDSG können Verstöße mit empfindlichen Bußgeldern von EUR 50.000,00 bis 300.000,00 als Ordnungswidrigkeit geahndet werden 2012 Taylor Wessing Deutschland (Vortrag Dr. Kay Westerwelle) 8
Mögliche Rechtsfolgen bei Verstößen / Haftung Ordnungswidrigkeit 130 Abs. 1 i.v.m. 30 OWiG Haftung der Geschäftsleitung für vorsätzliches oder fahrlässiges Unterlassen der Aufsichtsmaßnahmen, die erforderlich sind, um Zuwiderhandlungen gegen Pflichten zu verhindern, die die Geschäftsleitung treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. Haftung des Unternehmens für Ordnungswidrigkeit, 30 OWiG Geldstrafe bis 1 Million Schadensersatzansprüche Gegenüber Unternehmen Gegenüber Geschäftsleitung Gegenüber zuständigen Mitarbeitern (z.b. Leiter IT, IT- Sicherheitsbeauftragter) Sonstige mögliche Folgen Verweigerung des Bestätigungsvermerks durch Wirtschaftsprüfer Ratingprobleme (Basel II) Bessere IT -> Besseres Rating -> Weniger Eigenkapitalbedarf -> günstigerer Kredit Verlust des Versicherungsschutzes Abmahnung wegen Wettbewerbsverstoß 2012 Taylor Wessing Deutschland (Vortrag Dr. Kay Westerwelle) 9
Datenschutz als unternehmerische Pflicht Gesellschaftsrecht 91 Abs. 2 AktG Analog für Geschäftsführer der GmbH Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden Datenschutz als Bestandteil des Risikomanagements Handelsrecht 239 Abs. 4 S. 2, 261 HGB Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme zu gewährleisten Bürgerliches Recht Deliktsrecht: Organisationsverschulden bei unzureichender IT-Sicherheit Vertragsrecht: Pflicht zu Datenschutz kann sich vertraglich ergeben Spezifische Regelungen Verpflichtung zur Sicherung der IT-Systeme 9 BDSG Acht Gebote der Datensicherheit 113a Abs. 10, 109 Abs. 2 TKG, 13 Abs. 4 TMG 78a SGB X Insb. Umgang mit Kunden- und Angestelltendaten 2012 Taylor Wessing Deutschland (Vortrag Dr. Kay Westerwelle) 10
PCI und PCI DSS Vertragliche Haftungsvereinbarungen hinsichtlich Vermögensschäden und Folgeschäden PCI DSS Jeder der Kreditkarten im Bezahlprozess akzeptiert hat, PCI compliant zu sein, aber realisiert dies ggf. nicht.: PCI (Payment Card Industry) : Liste mit betroffenen Konten muss innerhalb von 7 Tagen vorgelegt werden normal nicht möglich Sofern mehr als 10.000 Kreditkartenkonten betroffen sind, muss ein forensischer Bericht eines qualifizierten forensischen Dienstleister vorgelegt werden) Innerhalb von 90 Tagen muss der Vorfall abgeschlossen sein 11
Der Datenschutzvorfall......und die Folgen!
Ein typischer Schadenzirkel 13
Was kann passieren... Alltäglich Irrtürmliches Mitschicken von Daten/Unterlagen in einem Brief Verlieren eines Laptops, USB Sticks, Smartphone, etc. Diebstahl von Computern E-Mail wird an einen falschen Empfänger verschickt Dokumente landen im Papierkorb Überwachungskamaras Für Fortgeschrittene Hackerangriffe ggf. unterstützt von kriminellen Organisationen 14
Die Folgen... 15
Die Folgen... 16
Die Folgen...(nicht versicherbar) 17
Der Markt
Der Markt Nahezu jede Branche hat dieses Risiko Sofern Kreditkartendaten oder andere Bezahlkartendaten im Bezahlprozess erhoben/gespeichert werden, kommen zum Teil weitgehende vertragliche Haftungsvereinbarungen und ggf. Vertragsstrafen auf die Unternehmen zu. Hotels / Gastronomie / Einzelhandel / etc. akzeptieren Kreditkarten Nur wenige Risikoträger zeichnen diese Risiken auf einem speziell dafür vorgesehenen Konzept. 19
Der Markt Nur geringe Kapazitäten am Markt vorhanden Wichtig Zugriff auf Experten (wegen gesetzlicher Bestimmungen nach Vorfall bzw. vertraglicher Verpflichtungen) Professionelles Schadenmanagement Erfahrung Mehr Risikoträger bedeutet mehr Marketing und daher höhere Wahrnehmung der Verbraucher und somit ein besseres Umfeld für alle! 20
Fragen 21
Vielen Dank für Ihre Aufmerksamkeit! 22