- Anzeige -


DSGVO: Was ändert sich für die Versicherungswirtsc


EU-Datenschutz-Grundverordnung und Cyberversicherung: Mehr Fragen als Antworten
Die potenziell zu erwartenden Strafen, sollten nicht der Treiber sein, wenn Firmen sich im Angesicht der dräuenden DSGVO für eine Cyberversicherung entscheiden

- Anzeigen -





Von Dawn Illing, GlobalSign

Cyberversicherungen werden gerade im kommenden Jahr vermutlich zu den Top-Prioritäten gehören. Der Markt für Cyberversicherungen ist ein relativ junger Markt in den ständig neue Anbieter und Angebote drängen. Es herrscht dementsprechend viel Bewegung und die Preisdynamik heizt das Segment zusätzlich an. Aber es gibt es immer noch wesentliche Bereiche, die Makler, Versicherungsträger und Regulierer, aber auch potenzielle Kunden gleichermaßen verwirrt zurücklassen. Nicht zuletzt im Hinblick auf die EU-Datenschutz-Grundverordnung gibt es noch viele Fragezeichen.

Trotzdem hält der Markt für Cyberversicherungen beides bereit Chancen und Risiken. Denn inzwischen zeichnet sich in der Haltung vieler Firmen zum Thema Cybersecurity so etwas wie eine Trendwende ab. Statt der bisherigen eher reaktiven Herangehensweise, versucht man Sicherheitsrisiken vorausschauend zu adressieren. Dazu trägt nicht zuletzt die im Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung bei.

EU-DSGVO: Mehr Fragen als Antworten
Es ist nicht ganz einfach schlüssige Prognosen zu treffen, wie sich die Vorgaben der DSGVO konkret auf die Entwicklung von Cyberversicherungen auswirken werden. Aber manchmal hilft es schon, die richtigen Fragen zu stellen, beziehungsweise auf existierende Diskrepanzen aufmerksam zu machen. Da sind zum einen die immensen Strafen mit denen Unternehmen im Falle einer Datenschutzverletzung unter Nichteinhaltung der DSGVO zu rechnen haben.

Eine gesetzliche Vorschrift, sich zu versichern, wird es aller Wahrscheinlichkeit nach nicht geben. Dazu kommt, dass die bisher höchste Versicherungssumme in Europa überhaupt ein Limit von in diesem Fall 400 Millionen Pfund Sterling hat. Keine ganz kleine Summe, gewiss. Man muss sie allerdings in Relation setzen zu den weltweiten Umsatzsummen eines multinationalen Konzerns, von denen zwei bis vier Prozent des global erzielten Jahresumsatzes bei einer Strafe zugrunde gelegt werden können.

Die potenziell zu erwartenden Strafen, sollten aber ohnehin nicht der Treiber sein, wenn Firmen sich im Angesicht der dräuenden DSGVO für eine Cyberversicherung entscheiden.

Wie gesagt, dass es eine entsprechende Gesetzgebung oder gar Deckung geben wird, ist zum jetzigen Zeitpunkt äußerst unwahrscheinlich. Die weitaus meisten Policen enthalten sowieso Provisionen für Krisenmanagement und Aufwendungen dafür wie ein Sicherheitsvorfall gehandhabt wird, Analysen, Nachforschungen und Wiederherstellung sowie die Haftungsbestimmungen bei Datenklau und Netzwerkbeeinträchtigungen.

Was die Haftungsverpflichtungen angeht, ist zukünftig jeder, der einen materiellen oder immateriellen Schaden aufgrund eines Datenschutzvorfalls erleidet, gegenüber dem betreffenden Unternehmen anspruchsberechtigt. Eine Cyberpolice würde die Kosten für die notwendigen Verteidigungsmaßnahmen übernehmen sowie die Haftungsansprüche, die sich aus einer Datenschutzverletzung etwa bei vertraulichen Informationen ergeben.

Unternehmen tun also gut daran Policen genauer unter die Lupe zu nehmen vor allem was Obergrenzen bei potenziellen Schadenersatzübernahmen anbelangt. Warum? Weil aufgrund der strikteren Datenschutzvorgaben und Regularien die finanziellen Folgen einer Datenschutzverletzung die Kosten für den Datenschutz, den eine Firma im Rahmen des Risikomanagements beziffert hat bei weitem übersteigen werden.

Es gibt also eine Reihe von Fragen, die Versicherer und Makler in Betracht ziehen müssen.

Dazu gehören etwa die folgenden:

>> Sind sie in der Lage zu entscheiden, ob ein Kunde die notwendigen Sicherheitsmaßnahmen beispielsweise im Hinblick auf seine Website umgesetzt hat oder nicht? Umso mehr, wenn der betreffenden Kunde Zahlungen von seinen eigenen Kunden entgegennimmt.

>> Was tun Versicherer und Makler, wenn der Kunde keine ausreichenden Sicherheitsmaßnahmen implementiert hat (und wie können sie überhaupt ihrerseits sicherstellen, dass sie davon genaue Kenntnis haben)? Und werden sie den betreffenden Kunden dann weiter versichern oder nicht?

>> Denken Versicherer und Makler darüber nach entsprechende Prozesse zur Überprüfung einzuführen?

>> Welche Methoden sind geeignet herauszufinden, ob ein Versicherungsnehmer tatsächlich Sicherheitsmaßnahmen umgesetzt hat, die geltenden Best-Practices-Empfehlungen für den Schutz von sensiblen Kundendaten entsprechen?

>> Und wenn es möglich ist solche Prozesse einzuziehen, würden Versicherer und Makler ihre Versicherungsnehmer dahingehend kontrollieren, beispielsweise in unregelmäßigen Abständen nach dem Zufallsprinzip?

>> Und noch einen Schritt weiter gedacht: würde es sich auf die Preisgestaltung eines Anbieters oder Maklers auswirken, wenn der Kunde tatsächlich Sicherheitsmaßnahmen zum Schutz seiner Website und der Daten von Kunden getroffen hat?

Man darf getrost davon ausgehen, dass zum aktuellen Zeitpunkt kein Versicherer oder Makler alle diese Fragen zufriedenstellend wird beantworten können.

Was ändert sich für die Versicherungswirtschaft und was können Versicherer tun?
Versicherer werden in Zukunft noch anpassungsfähiger und flexibler sein müssen, wenn es gilt sich den wechselnden Bedingungen im Umfeld für Cybersicherheit anzupassen. Das gilt nicht nur für kurzfristige Trends, sondern auch für Entwicklungen, die den Markt und die gesamte Branche langfristig beeinflussen und grundlegend verändern werden. Für die Versicherungswirtschaft bedeutet das, ihre Geschäftsmodelle kontinuierlich überdenken und anpassen zu müssen, wenn sie einem deutlich anders als bisher funktionierenden Wettbewerbsumfeld bestehen wollen.

Einige der wichtigsten Schritte und Erfordernisse dazu seien hier kurz aufgelistet:

>> Versicherer sind gezwungen neue Produkte zu entwickeln, die den Deckungsansprüchen in einer veränderten digitalen Wirtschaft entsprechen.

>> Ein erweitertes Risikomanagement im Bereich Cyberversicherungen ist zwingend erforderlich. Eines, das der sich stetig wandelnden Bedrohungslandschaft ebenso entspricht, wie den neuen gesetzlichen Regularien.

>> Versicherer werden nach neuen Distributionskanälen Ausschau halten und bestehende ausweiten.

>> Versicherer werden zusätzliches Wissen in den Bereichen Cybersicherheit, Sicherheitsanforderungen und Sicherheitsmaßnahmen für Webseiten, Verschlüsselung und so weiter erwerben (müssen) sowie die notwendigen passenden Versicherungstools entwickeln und anwenden.

>> Dieses Wissen müssen Versicherer an Versicherungsberater weitergeben.

Stichwort: E-Versicherungen – der gesamte Prozess wird vermutlich elektronisch abgewickelt werden; der physische Ort als solcher spielt schon jetzt kaum noch eine Rolle, digitale und elektronische Signaturen sind inzwischen Standard. Versicherer und Broker sollten also definitiv über Basis-Know-how im Bereich Public Key Infrastructure verfügen.

Und auch die Anforderungen an die Belegschaft werden sich verändern beziehungsweise haben das schon getan; zum einen sind neue Fähigkeiten gefragt, zum anderen werden sich neue Berufsbilder wie etwa das des Data Scientist auch in der Versicherungswirtschaft etablieren.

Kundenorientierung und Kundenbindung sind zentrale Faktoren, denn die einstmals branchentypische Markentreue ist zusehends aufgeweicht worden.

Was entsprechend vorgebildete Makler angeht, werden diese sich Anbieter aussuchen, die dem veränderten Anforderungsprofil der digitalen Versicherungswirtschaft und der Cyberversicherungen im Besonderen entsprechen. Dazu kommen Kriterien wie ein passendes Geschäftsmodell und die Möglichkeit einer flexiblen Preisgestaltung.

Betrachtet man diese Fragenkomplexe als Ganzes dominieren Datenschutz-Policen zumindest aus Sicht der Versicherer den Markt. Und sie beinhalten das, was ein Versicherer abdeckt: Den Verlust großer Mengen von Daten, üblicherweise den von Kundendaten.

Bleibt noch zu bedenken, dass freie Makler und Großmakler dazu tendieren nur die Versicherungsanbieter in ihr Portfolio zu nehmen, die genau ihrem eigenen Geschäftsmodell entsprechen. Das führt potenziell dazu, dass sich das Portfolio gegebenenfalls schnell ändert, dass aber im Umkehrschluss Versicherungsanbieter sehr wohl die Möglichkeit haben die Auswahl eines Maklers für sich positiv zu beeinflussen. Ein enges Zusammenspiel und eine vergleichsweise zügige Schadensbearbeitung wirken sich zusätzlich positiv auf die Kundenbindung aus. (GlobalSign: ra)

eingetragen: 01.12.17
Home & Newsletterlauf: 13.12.17

GMO GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Compliance mit der DSGVO

  • DSGVO-konform mit Cognitive Computing

    Die Datenschutz-Grundverordnung der Europäischen Union (EU DSGVO) verdeutlicht es: Eine der Digitalisierung angemessene Compliance im Unternehmen zu stemmen, heißt vor allem, eine dafür geeignete Technologie einzusetzen. Allerdings besteht hier offenbar noch ein gewaltiger Nachholbedarf, wie eine aktuelle Studie des Speicherspezialisten Veritas offenlegt. Fast ein Drittel (32 Prozent) der Befragten gibt an, dass ihr Unternehmen keine Technologie besitzt, mit der Daten effektiv verwaltet werden könnten. Das beeinträchtigt wiederum die Fähigkeit, Daten effizient zu suchen, zu finden und zu prüfen.

  • DSGVO: Deutsche Firmen haben Nachholbedarf

    Proofpoint hat ihre Studie "The Great Disconnect" der Öffentlichkeit vorgestellt. Im Rahmen dieser Studie hat das Unternehmen untersucht, welche Fortschritte Firmen in Deutschland, Frankreich und Großbritannien mit der Implementierung der Vorgaben der Datenschutzgrundverordnung (DSGVO, auch GDPR - General Data Protection Regulation) machen. Denn ab 25. Mai 2018 müssen die Regelungen der EU für den Schutz der Daten im Unternehmen umgesetzt sein. Deutschland schneidet im Drei-Länder-Vergleich am schlechtesten ab.

  • DSGVO-Studie: Deutsche Entscheider kritisch

    Lediglich die Hälfte (55 Prozent) der IT-Entscheidungsträger in Europa ist der Überzeugung, dass andere Organisationen ihre personenbezogenen Daten ordnungsgemäß verwalten - in Deutschland sind es mit 48 Prozent nur weniger als jeder Zweite. IT-Experten sind allgemein darüber besorgt, wie viele Unternehmen Zugriff auf ihre Daten haben, und zeigen geringes Vertrauen in die Branchenkollegen. Das geht aus einer Kaspersky-Studie anlässlich der im kommenden Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung (DSGVO) hervor.

  • DSGVO: Es geht (langsam) voran

    Rund ein halbes Jahr vor dem Inkrafttreten sieht sich ein gutes Drittel (35 Prozent) der deutschen Unternehmen bereit für die DSGVO, während rund die Hälfte (47 Prozent) auf einem guten Weg ist und mehr als 50 Prozent ihrer entsprechenden Aufgaben erledigt hat. Dennoch bleiben einige Themen, allen voran das Recht auf Löschung und Vergessenwerden, große Herausforderungen für die Unternehmen. Dies ergab eine von Varonis Systems in Auftrag gegebene repräsentative Umfrage, zu der weltweit IT- und IT-Sicherheitsverantwortliche befragt wurden.

  • DSGVO-konforme Prozesse implementieren

    Mehr als zwei Drittel der großen internationalen Unternehmen werden nach Ansicht ihrer Sicherheitsverantwortlichen im Mai 2018 nicht konform zur neuen Datenschutzgrundverordnung (DSGVO) der EU operieren können. Das ist das Ergebnis einer globalen Umfrage unter Führungskräften im Sicherheitsbereich, die das Marktforschungsinstitut Ponemon im Auftrag von Radware durchgeführt hat. Nach dieser Umfrage sind lediglich knapp 60 Prozent der Verantwortlichen potentiell betroffener Unternehmen nach eigener Einschätzung gut oder sehr gut über die Anforderungen der DSGVO informiert. Doch selbst von diesen ist nur jeder dritte sehr zuversichtlich, zum Stichtag im Mai 2018 DSGVO-konforme Prozesse implementiert zu haben. Besonders betroffen sind Finanzdienstleister und große Einzelhändler, die sehr viele persönliche Daten ihrer Kunden und Interessenten verarbeiten und speichern. In beiden Branchen glauben nur jeweils 17 Prozent der Sicherheitsverantwortlichen daran, die Anforderungen bis Mai 2018 erfüllen zu können.

  • DSGVO für Personaler

    Wenn am 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, dann betrifft das auch die Personalabteilungen: Spätestens bis zum Stichtag müssen Unternehmen die Daten ihrer Beschäftigten und Bewerber wirksam schützen. Das bestimmt Artikel 88 der DSGVO, konkretisiert durch Paragraph 26 BDSG NEU. Ansonsten drohen hohe Bußgelder, bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Umsatzes sind als Strafe möglich.

  • DSGVO & Graphtechnologie

    Der Weg personenbezogener Daten verläuft nur selten geradlinig. Umso wichtiger sind Technologien, die innerhalb komplexer Datenbeziehungen freie Sicht und eine lückenlose Nachverfolgbarkeit garantieren. Die Graph-Plattform Neo4j bietet hier auch bei stark vernetzten Daten die nötige Transparenz. Auch beim DSGVO gilt: Ein Bild sagt mehr als tausend Worte. Wer die Aufsichtsbehörden in Sachen Compliance überzeugen will, muss es schaffen, personenbezogene Daten über alle Systeme hinweg nachzuverfolgen, zu orten und zu managen. Von dieser Transparenz sind Unternehmen oft noch weit entfernt. Das liegt häufig auch an den eingesetzten Systemen. Relationale Technologien und SQL-Datenbanken leisten gute Dienste, wenn es darum geht, strukturierte Daten abzufragen. Bei komplexen und hochgradig heterogenen Datensätzen, wie sie im Rahmen des DSGVO auftreten, liefern sie jedoch nur ein gewaltiges Labyrinth an Join-Tabellen und SQL-Codezeilen. Der Aufwand, in kürzester Zeit die komplette Interaktion zwischen einer Person und dem jeweiligen Unternehmen nachzuverfolgen und auf Anfrage darzulegen, ist enorm. Die Antwortzeiten sind extrem lang. Zudem ist es unmöglich die Abfragen bug-frei zu halten, sobald weitere Datenbeziehungen hinzugefügt werden.

  • DSGVO: Kostenfreie Broschüre

    Die künftige Europäische DS-GVO gilt ab 25. Mai 2018 unmittelbar in der gesamten EU. Aufgrund zahlreicher Öffnungsklauseln sind darüber hinaus auch nationale Regeln nötig. Der Deutsche Bundestag verabschiedete daher am 27. April 2017 das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU.

  • DSGVO-Umsetzung sollte Priorität haben

    Nur jedes zweite Unternehmen in Deutschland hat sich bei der Umsetzung der EU-Datenschutzgrundverordnung (EU-DSGVO) bislang Hilfe von externen Experten geholt. Gerade einmal 48 Prozent aller Unternehmen mit 20 oder mehr Beschäftigen geben demnach an, Spezialisten außerhalb des eigenen Hauses hinzugezogen zu haben. Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen im Auftrag des Digitalverbands Bitkom. Am häufigsten wurden externe Anwälte eingeschaltet, die von rund jedem dritten Unternehmen (35 Prozent) mit Blick auf die DSGVO konsultiert wurden. Externe Prüfer oder Auditoren haben 29 Prozent aller Unternehmen hinzugezogen, eine externe Datenschutzberatung fand in jedem fünften Unternehmen (21 Prozent) statt.

  • DSGVO: Rechtsfragen im Datenaustausch

    Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. sieht bei Unternehmen noch viele Fragen, um sich rechtssicher auf den Start der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 einzustellen. "Kleinen und mittleren Unternehmen fehlen oft die Kapazitäten, die aus der DSGVO identifizierten Anforderungen umzusetzen", sagte BvD-Vorstandsvorsitzender Thomas Spaeing auf der BvD-Herbstkonferenz. Internationale Konzerne dagegen sähen sich mit vielen offenen Rechtsfragen im Datenaustausch mit Drittländern wie den USA und Großbritannien, aber auch mit Staaten wie Norwegen oder Liechtenstein konfrontiert. "Die Zeit drängt. Die Unternehmen benötigen dringend rechtliche Klarstellungen. Hier ist auch der Gesetzgeber gefragt", sagte Spaeing.

  • DSGVO: Existenzgefährdende Konsequenzen

    Die neue Datenschutz-Grundverordnung der EU steht vor der Tür. In einem halben Jahr müssen Unternehmen ihre IT-Sicherheit auf Vordermann gebracht haben, um empfindliche Strafen zu vermeiden. Längst nicht alle Unternehmen sind auf die Vorgaben adäquat vorbereitet, meint CyberArk.

  • DSGVO: Datenschutzbeauftragter wird noch wichtiger

    Der Countdown läuft: Bis zum 25. Mai 2018 müssen Unternehmen die Neuerungen der seit 2016 geltenden Datenschutz-Grundverordnung (DS-GVO) umgesetzt haben. Die Verschärfungen betreffen vor allem die Rechenschafts- und Nachweispflicht beim Umgang mit personenbezogenen Daten sowie die Meldepflicht im Fall von Datenpannen. Gleichzeitig steigt auch die Höhe möglicher Bußgelder deutlich. Um auch in Zukunft rechtskonform aufgestellt zu sein, müssen Prozesse angepasst oder neu aufgesetzt werden.

  • DSGVO: DSAG-Mitglieder nur bedingt zuversichtlich

    Am 25. Mai 2018 ist es soweit und die zweijährige Übergangsfrist zur Umsetzung der EU-Datenschutz-Grundverordnung endet. Unternehmen, die personenbezogene Daten nutzen, müssen dann der Richtlinie entsprechen und deren Anforderungen bei der SAP-Nutzung ausreichend und nachweisbar berücksichtigen. Doch laut einer aktuellen Umfrage der Deutschsprachigen SAP-Anwendergruppe e.V. (DSAG) unter ihren Mitgliedern*, haben bisher gerade einmal etwas mehr als die Hälfte der befragten Unternehmen eine Vorgehensweise (Roadmap) zur Umsetzung der EU-DSGVO in ihrem Unternehmen.

  • DSGVO: Was ändert sich für die Versicherungswirtsc

    Cyberversicherungen werden gerade im kommenden Jahr vermutlich zu den Top-Prioritäten gehören. Der Markt für Cyberversicherungen ist ein relativ junger Markt in den ständig neue Anbieter und Angebote drängen. Es herrscht dementsprechend viel Bewegung und die Preisdynamik heizt das Segment zusätzlich an. Aber es gibt es immer noch wesentliche Bereiche, die Makler, Versicherungsträger und Regulierer, aber auch potenzielle Kunden gleichermaßen verwirrt zurücklassen. Nicht zuletzt im Hinblick auf die EU-Datenschutz-Grundverordnung gibt es noch viele Fragezeichen.

  • DSGVO: IT-Sicherheit sollte im Fokus stehen

    Am 25. Mai 2018, also in nicht einmal mehr einem Jahr, tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Diese löst das seit 1995 gültige Bundesdatenschutzgesetz ab und definiert den Umgang mit sensiblen Daten in Unternehmen, um diese besser zu schützen. In einer Bitkom-Umfrage gaben allerdings nur 34 Prozent der befragten Unternehmen an, bereits erste Maßnahmen begonnen oder umgesetzt zu haben. Dabei drohen hohe Bußgelder schon bei Nichteinhaltung der Compliance-Regeln und nicht erst bei Datenverlust- ganz abgesehen von der Rufschädigung, wenn bekannt wird, dass das Unternehmen nicht den Compliance-Ansprüchen gerecht wurde. Es wird also Zeit, die Weichen auf eine sicherere IT-Infrastruktur zu stellen und sich mit den wichtigsten Fragen zur eigenen Datensicherheit zu beschäftigen.

  • DSGVO: Was Unternehmen jetzt tun müssen

    Am 25. Mai 2018 startet europaweit mit der EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära. Ihr Ziel: Die Rechte der von der Datenverarbeitung betroffenen Personen zu stärken und Unternehmen bei Datenschutzverstößen empfindlich zu treffen. Die neuen oder gestärkten Betroffenenrechte sowie die Neuregelungen zur Datenschutzerklärung sind allerdings riesige Bausteine der DSGVO und für viele Unternehmen eine echte Herausforderung.

  • Auf DSGVO-Compliance vorbereitet?

    Thales stellte die Ergebnisse einer Studie zur EU-Datenschutz-Grundverordnung (DSGVO/GDPR) vor. Die Studie basiert auf einer von Censuswide durchgeführten und von Thales beauftragten Befragung von Verbrauchern und Unternehmen in Europa und den Vereinigten Staaten. Ziel der Erhebung war es, herauszufinden, wie gut Firmen auf die im Mai 2018 ablaufende Frist zur DSGVO-Compliance vorbereitet sind und wie sie den Einfluss der DSGVO auf ihre unternehmerische Tätigkeit bewerten.