Cyberversicherung und DSGVO sind zwei unterschiedliche Themen
Die DSGVO beschreibt Pflichten des Unternehmens beim Umgang mit personenbezogenen Daten. Eine Cyberversicherung regelt dagegen – abhängig von Vertrag und Vorfall – mögliche finanzielle Folgen oder Unterstützungsleistungen. Beides darf nicht miteinander verwechselt werden.
Ob eine Datenpanne vorliegt, welche Risiken bestehen und ob eine Meldung erforderlich ist, hängt vom konkreten Sachverhalt ab. Dafür braucht es eine fallbezogene Prüfung durch Datenschutz- und Rechtsfachleute.
Was bei einem möglichen Datenvorfall zuerst zählt
Sichere zunächst die interne Eskalation: Benenne eine verantwortliche Person, dokumentiere Zeitpunkt und Beobachtung und verhindere, dass weitere Daten unkontrolliert verändert oder gelöscht werden. Die technische Untersuchung sollte durch ein zuständiges IT- oder Incident-Response-Team erfolgen.
Halte fest, welche Systeme, Konten und Datenbereiche möglicherweise betroffen sind. Eine erste Einordnung ist keine abschließende rechtliche Bewertung, schafft aber eine belastbare Grundlage für die nächsten Entscheidungen.
- Vorfall und Entscheidungen mit Zeitstempel dokumentieren
- betroffene Systeme, Konten und Datenbereiche abgrenzen
- Datenschutz, Geschäftsführung und IT in die Kontaktkette aufnehmen
- keine vorschnellen Aussagen gegenüber Betroffenen oder Dritten machen
Welche Kosten vertraglich geregelt sein können
Je nach Vertrag können beispielsweise Kosten für technische Forensik, Krisenkommunikation, Benachrichtigungen, Rechtsberatung oder die Wiederherstellung von Systemen berücksichtigt sein. Das sind mögliche Leistungsbereiche, keine pauschalen Zusagen.
Ausschlüsse, Sublimits, Selbstbeteiligungen, Wartezeiten und Obliegenheiten können den Umfang begrenzen. Maßgeblich sind die vollständigen Versicherungsbedingungen und die konkrete Schadenbearbeitung.
Melde- und Informationspflichten nicht aus dem Vertrag ableiten
Ob eine Datenschutzverletzung der Aufsichtsbehörde oder betroffenen Personen mitzuteilen ist, richtet sich nach dem konkreten Risiko und den gesetzlichen Anforderungen. Eine Versicherungspolice entscheidet nicht darüber, ob eine Meldung erforderlich ist.
Bereite deshalb die notwendigen Kontakte und Informationen vor, lasse die rechtliche Bewertung aber von den zuständigen Datenschutz- oder Rechtsfachleuten durchführen. Fristen können kurz sein und sollten nicht erst im Vorfall geklärt werden.
So bereitest du Unternehmen und Fachgespräch vor
Dokumentiere, welche personenbezogenen Daten verarbeitet werden, wo sie gespeichert sind, wer Zugriff hat und welche Dienstleister beteiligt sind. Ergänze Notfallkontakte, Backup- und Wiederherstellungsprozesse sowie bestehende Verträge.
Moor & Kollegen kann die versicherungsbezogene Anfrage individuell einordnen. CyberVorsorge stellt allgemeine Orientierung bereit und ersetzt weder Datenschutzberatung noch eine technische Incident-Response-Prüfung.