GDPR-Konformität: Ein Leitfaden für Cyberversicherungen
Durch die GDPR eingeführte Risiken
GDPR zwingt Unternehmen, über ihre Datenerhebungs-, Datenspeicher- und Datennutzungsprozesse nachzudenken und darüber, wie sich dies auf die Privatsphäre ihrer Kunden auswirkt. Sie überträgt den Verbrauchern enorme Macht, indem sie ihnen das Recht auf Zugang, Berichtigung und Löschung ihrer personenbezogenen Daten, die sich im Besitz eines Unternehmens befinden, einräumen.
Die vielleicht riskanteste Anforderung der GDPR aus Sicht eines Unternehmens ist das Recht des Nutzers, vergessen zu werden. Ein Kunde kann sich an ein Unternehmen wenden und dieses Recht geltend machen. Das Unternehmen müsste sich all die verschiedenen Plattformen ansehen, auf denen die Daten des Benutzers gespeichert werden können, damit sie sie loswerden können. Dies scheint für einen Benutzer nicht schwer zu sein.
Fehlerbehebung bei Problemen mit der Netzwerkleistung in Ihrer Cloud-Architektur
Aber was ist, wenn Millionen von Kunden solche Anfragen gleichzeitig stellen? Die Zahlen würden selbst für die größten Unternehmen erschütternd sein. Es kann besonders schwierig für alteingesessene Unternehmen sein, in denen die Daten des Kunden in einer Vielzahl von älteren und veralteten Systemen vorhanden sein können.
Die Nichteinhaltung der GDPR ist jedoch teuer. Regulierungsbehörden können ein Unternehmen mit einer Geldstrafe von bis zu 4 Prozent seines Jahresumsatzes belegen. Für ein Unternehmen mit einem Umsatz in Milliardenhöhe kann dies zu Hunderten von Millionen Dollar führen. Die Gefahr, die sich aus solchen hohen Bußgeldern ergibt, treibt die Nachfrage nach der GDPR-Cyberversicherung für Unternehmen voran, deren Hauptkundenkreis in der Europäischen Union liegt.
Die Rolle der GDPR Cyberversicherung
Die Cyberversicherung kann alles abdecken, von der Reparatur von Soft- und Hardware nach einem Datenverstoß bis hin zur Erstattung von Rechtskosten, PR-Ausgaben und verlorenen Geschäften. Lloyd’s of London schätzt, dass die jährlichen Cyberversicherungsprämien in Europa bis 2020 2 Milliarden Dollar übersteigen könnten. Die Risiken der GDPR-Konformität werden ein wesentlicher Faktor sein.
Die gute Nachricht ist, dass Unternehmen, die bereits eine Cyber-Cover-Lösung in Anspruch genommen haben, feststellen werden, dass viele Aspekte der GDPR bereits durch die aktuelle Politik abgedeckt sind. Dennoch gibt es, wie bei jeder größeren Veränderung des regulatorischen Umfelds, einige Unbekannte.
Die Cyber-Versicherung deckt Strafen und Bußgelder im Zusammenhang mit der Verletzung von Datenschutzgesetzen ab. Dennoch, bevor Sie eine Police als eine gute Übereinstimmung mit Ihren GDPR Cyberversicherungsanforderungen betrachten, lesen Sie das Kleingedruckte. Es gibt erhebliche Unterschiede in der Art der Cyberversicherungspolicen. Wenn Ihre aktuelle Police nicht Ihren Erwartungen entspricht, suchen Sie eine umfassendere Deckung.
Überprüfung einer Cyber-Versicherung auf GDPR-Kompatibilität
Bei der Bewertung einer GDPR-Cyberversicherung ist darauf zu achten, dass die Police folgende Punkte klar berücksichtigt
1. Definition eines Datenschutzbeauftragten
Cyber-Versicherungsgesellschaften nehmen oft “ausländische” oder “internationale” Unternehmen in ihre Liste der qualifizierten Datenschutzbeauftragten auf. Einige werden spezifischer sein, insbesondere in Bezug auf GDPR, und beziehen ausdrücklich die Europäischen Datenschutzbehörden (DPAs) ein. Dies geschieht, um dem Versicherten Komfort zu bieten, den die Police, für die er sich abschließt, für GDPR übernimmt. In Wirklichkeit ist die Formulierung der europäischen Regulierungsbehörden jedoch in der Regel keine wesentliche Änderung.
2. Leitfaden: Datenschutzverletzungen vs. Datenschutzverletzung
Datenschutzverletzung und Datenschutzverletzung werden oft austauschbar verwendet, aber die beiden bedeuten nicht dasselbe in der Rechtssprache. In vielen Cyberversicherungspolicen wird der Begriff “Datenschutzrecht” als Bezugnahme auf die Gesetze und Vorschriften verstanden, die Datenschutzverletzungen regeln. GDPR deckt jedoch eine breitere Palette von Datenschutzbedenken ab, einschließlich der Festlegung, wie Daten in den verschiedenen Staaten während ihrer gesamten Lebensdauer verwaltet werden.
Die Versicherer erweitern bereits ihren Versicherungsschutz, um diesen neuen Arten von Engagements gerecht zu werden. Dennoch können selbst überarbeitete Versicherungspolicen nicht alle Datenschutzverletzungen von GDPR abdecken. So ist es beispielsweise unwahrscheinlich, dass Sie eine Deckung für die Nicht-Benennung eines Datenschutzbeauftragten erhalten, eine GDPR-Anforderung für Unternehmen, die an der groß angelegten Verarbeitung von Daten beteiligt sind.
3. Günstigster Ort für Strafen und Bußgelder
GDPR-Strafen und Geldbußen gelten für Unternehmen mit Sitz in der EU und solche mit EU-Bürgern als Kunden. Die günstigste Veranstaltungsortregelung ist der Abschnitt einer GDPR-Cyberversicherung, der die Absicht eines Versicherers signalisiert, nach Möglichkeit eine Geldbuße oder Strafe zu zahlen.
Mit anderen Worten, der Versicherer wird alle angemessenen Veranstaltungsorte berücksichtigen, bevor er entscheidet, ob eine Strafe oder Geldbuße versicherbar ist. Zu diesen Faktoren gehören der Veranstaltungsort, der Hauptsitz des Unternehmens oder der Standort des Unternehmens. In den Richtlinien ist diese Bestimmung oder Sprache nicht immer enthalten. Immer mehr Versicherer zeigen jedoch ihre Bereitschaft dazu, was für die Einhaltung der GDPR entscheidend ist.
4. Ist das Limit ausreichend?
Die Strafen und Bußgelder von GDPR liegen bei 4 Prozent des weltweiten Umsatzes eines Unternehmens. Für die größten Unternehmen kann dies zu Milliarden von Dollar führen. Natürlich sind die Regulierungsbehörden vernünftig. Die Regulierungsbehörden werden wahrscheinlich die Höchststrafe für die schamlosesten Verstöße und den Vertreter reservieren. Dennoch ist es unmöglich, ganz sicher zu sein, wie die Regulierungsbehörden jeden Verstoß bewerten und damit die angemessene Geldbuße festlegen werden. Ergo, große Unternehmen sollten die Grenzen ihres GDPR-Cyberversicherungsschutzes überprüfen, um zu sehen, wie er sich gegen eine maximale Geldbuße durchsetzen würde.
5. Kritischer Anbieter GDPR Cyber Versicherung
Cyberversicherungen sind nirgendwo auf der Welt vorgeschrieben. Dennoch können vertragliche Verpflichtungen und Überlegungen zur Unternehmenskontinuität aufgrund von GDPR Unternehmen innerhalb der EU dazu zwingen, nicht nur eine GDPR-Cyberversicherung abzuschließen, sondern auch von ihren lokalen und internationalen Anbietern dasselbe zu verlangen.
Verstößt ein kritischer Anbieter gegen die Datenschutzvorschriften der EU, könnte die Höhe der Geldbuße ihn zwingen, sein Geschäft einzustellen. Dies würde sich negativ auf die Geschäftstätigkeit der von ihnen bedienten Unternehmen auswirken. Daher ist es wichtig, dass alle kritischen Anbieter über einen Cyberversicherungsschutz verfügen, der mit der GDPR-Compliance vereinbar ist. Es erleichtert den Business Continuity und Disaster Recovery Prozess.
6. Strafen und Bußgelder sind nicht immer versicherbar.
Schon vor GDPR deckten Cyberversicherungspolicen ausdrücklich Strafen und Geldbußen im Zusammenhang mit Datenschutzverletzungen ab. Aber nur weil eine Police diese Kosten deckt und der Versicherer bereit ist zu zahlen, bedeutet das nicht, dass er bezahlen wird.
Eine Regulierungsbehörde kann darauf bestehen, dass ein GDPR-Cyberversicherungsschutz nicht zur Zahlung einer Geldstrafe verwendet wird. Damit soll eine schmerzhafte Strafe für das beleidigende Unternehmen verhängt werden, um ein Beispiel für andere Unternehmen zu geben. Daher kann es hilfreich sein, sicherzustellen, dass Ihr Unternehmen über genügend Cashflows und Reserven verfügt, um einer Strafe oder Geldbuße standzuhalten, so dass Ihre Police die Kosten für die Nichteinhaltung von GDPR decken kann.
Cyber-Versicherung und GDPR: Seien Sie bereit für die Unbekannten.
Wenn man sich das oben Gesagte ansieht, ist klar, dass GDPR einige Veränderungen in der Art und Weise, wie und warum Unternehmen Cyber-Versicherungen abschließen, vorantreiben wird. Wie bei jedem neuen Gesetz wird es einige unvorhergesehene Situationen geben. Der Schlüssel zum Halten deines Geschäfts im freien Raum ist, sicherzustellen, dass Sie alle knowns beim Sichern so gut wie möglich für die Unbekannten abgedeckt haben.