DSGVO: Das Schreckensgespenst

Die Veranstaltung eröffnete nach einer Begrüßung durch den GVNW-Vorstandsvorsitzenden Dr. Alexander Mahnke ein Vortrag zur neuen Datenschutzgrundverordnung (DSGVO). Und Thomas Kahl von Taylor Wessing wusste auch, warum er der erste Redner sein durfte. 90 % seiner Tätigkeit fallen derzeit auf dieses Thema, das in der Wirtschaft teilweise für sehr viel Unsicherheit sorgt. Deshalb wollte er das Auditorium und hier natürlich vor allem die versicherungsnehmende Seite gleich zu Beginn auch mit folgenden Kernbotschaften beruhigen: Es gebe zwar kein Patentrezept und die Unternehmen sehen sich einer anspruchsvollen Umsetzung gegenüber. Wer dabei aber mit kreativen Lösungen arbeite und mit Weitsicht beispielsweise auch Kontakt zu den Aufsichtsbehörden suche, bewältige diese Regulierung. Die Aufsichtsbehörden hätten schon festgestellt, dass die Umsetzung der DSGVO ein Mammutprojekt sei. Kahl gehe deshalb davon aus, dass die Behörden die Problematik von kleinen Unternehmen erkennen und beachten.

Die Aufforderung zur Kommunikation mit Aufsichtsbehörden konnte Moderator Mathieas Kohl, GVNW-Vorstandsmitglied und Leiter Konzernversicherung bei Drägerwerk in Lübeck, nur bestätigen. Man habe im eigenen Unternehmen damit bereits gute Erfahrungen gesammelt. Der Blick auf die generelle Entwicklung stimme ihn aber auch zuversichtlich. Die Themen Datenschutz und Compliance seien in Industrie und Wirtschaft in den letzten Jahren angekommen. Früher habe der Datenschutzbeauftragte die Aufgaben im Nebenjob nebenbei erledigt. Das habe sich schon stark verändert.

Und Kahl betonte auch noch einmal, dass es bei den verschärften Sanktionen natürlich um den Effekt der Abschreckung gehe. Die neue Geldbuße (bis 20 Mio. EUR oder bis 4 % des weltweit erzielten Jahresgesamtumsatzes im Vorjahr) sei als maximale Größe anzusehen. Die Regelung lasse also Spielraum, wenngleich sich jeder bewusst sein müsse, dass der Unternehmensbegriff in der DSGVO den gesamten Konzern meine, nicht nur einzelne juristische Personen.

Die EU habe sich bei der Gesetzgebung sehr stark an den IT-Standards ISO 27 orientiert. Was für die meisten Unternehmen aber völlig neu sei und was die wenigsten Betriebe vorweisen könnten, wäre die Notwendigkeit eines ISMS - einem Managementsystem für Informationssicherheit, betonte Kahl. In der Aufstellung der damit verbundenen Verfahren und Regeln sei sicher ein großer Aufwand zu sehen, um die Informationssicherheit regelmäßig zu überprüfen, zu bewerten, zu evaluieren und dauerhaft sicherzustellen.

Struktur in der Umsetzung schaffen

Wer in seinem Unternehmen strukturiert an die Umsetzung herantrete, könne es auch jetzt noch bis zum Inkrafttreten der Regelungen am 25.05.2018 schaffen, ermutigte der Wirtschaftsjurist. Es gelte dabei der Grundsatz, eine Lösung für das gesamte Unternehmen zu schaffen und Parallelstränge zu vermieden. Die gute Seite der DSGVO sei, dass Arbeitgeber und Arbeitnehmer durch die Auditphasen die Erkenntnis und das Bewusstsein gewinnen, was mit den Daten im Unternehmen passiert, wie sich Zusammenhänge darstellen. Und da die Verordnung keine konkreten Details, sondern nur Strukturen zur Umsetzung gebe, könnten die dadurch vorhandenen Gestaltungsspielräume genutzt werden.

Als Orientierung gab Kahl den Tagungsgästen folgende Checkliste an die Hand:

• Bestandsaufnahme = Was haben wir und was kommt noch?

• Synchronisieren mit anderen Regelungen (bspw. Spezialregelungen für Banken)

• Verteilung der Verantwortung (IST, DS, Comliance, Revision)

• Definition passender Standards (bspw. ISO 27001 o.Ä.)

• Besonderheiten im Datenschutz beachten (bspw. Schutzklassen)

• Vorhandene Prozesse nutzen (bspw. Revision)

• Ausreichende Dokumentation schaffen

• Datensicherheit in Supplier Management einbeziehen

Für die Vorbereitung auf etwaige Datenschutzvorfälle sei zunächst wichtig, die aktuellen Meldeprozesse zu analysieren und ggf. anzupassen. Mitarbeiter müssten für das Thema Datenschutz sensibilisiert werden und durch Richtlinien und Trainings auf Vorfälle vorbereitet werden. Es müsse jedem im Unternehmen seine Verantwortlichkeit bewusst sein und der Meldeprozess müsse sich etablieren. Zudem richtete der Jurist den Appell an die Unternehmer, im Krisenstab unbedingt den Datenschutzbeauftragten einzubeziehen und bei der Kommunikation mit Behörden die zur Verfügung stehenden Musterformulare zu nutzen. Das vereinfache den Prozess bei Sicherheitsvorfällen.

Cyberrisiken: Wer über die Maschine nicht weiterkommt, nimmt den Mensch

Um die Relevanz einer guten Absicherung von Cyberangriffen zu verdeutlichen, hatte der GVNW den ehemaligen Kriminalhauptkommissar Stefan Becker vom Bundesamt für Sicherheit in der Informationstechnik eingeladen. Anhand der Betrugsmasche "CEO Fraud" machte der Gastredner die Gefahr deutlich, dass es längst nicht nur um Angriffe über IT-Systeme geht, sondern auch der Faktor Mensch eine Sicherheitslücke ist. Heutzutage könne im Darknet das Ausforschen von Unternehmen als Dienstleistung eingekauft werden, so Becker. Kriminelle würden dann monatelang relevante Sachverhalte, bspw. Namen vom Leiter der Finanzbuchhaltung, Unterschriften und Stempel aus dem Handelsregister, ja sogar Informationen zur Dutz-Kultur sammeln, um unter Verwendung einer falschen Identität und mit Druck in einer E-Mail, die gerne auch an einem Freitag eingeht, die Überweisung eines hohen Geldbetrages anzustoßen.

Um als Unternehmer bei einem solchen Vorfall deutlich entspannter reagieren zu können, rät der Sicherheitsexperte, Vorfälle fiktiv zu üben und schon in Friedenszeiten mit Datenschutz-, Strafverfolgungsbehörde oder Versicherer zu reden. Beim Thema Cyberrisiken reiche heute Prävention allein nicht mehr aus, es gehe in Unternehmen vor allem darum, eine optimale Lösung für die Vorfallbehandlung zu finden. Der BSI biete sich durch seine IT-Kompetenz als gute Anlaufstelle zum Erfahrungsaustausch und zur Information zu Cyberrisiken und den Umgang damit an. Jedes Wirtschaftsunternehmen könne kostenlos Mitglied in der Allianz für Cyber-Sicherheit werden und in den Genuss von Veranstaltungen kommen oder an einem der Expertenkreise teilnehmen (bspw. IT-Forensik, Internetbetreiber, augmented reality). Zudem gebe es vom BSI einen Leitfaden zur Basis-Absicherung, der als Download auf folgender Internetseite verfügbar ist: Leitfaden zur Basis-Absicherung

Richtige Abwägung zwischen Schadenbegrenzung und Beweissicherung

Auf die verschiedenen Angriffswege im Unternehmen stellte auch Frank Rustemeyer, Director System Security bei der HiSolutions AG, in seinem Vortrag ab. Die meisten Cyberangriffe würden immer noch über das Web oder eine E-Mail erfolgen. Im Fall der E-Mail werde bspw. eine Schadsoftware angehängt, die für IT-Laien oft wie ein normales Word aussehe. Tatsächlich handele es sich aber um ein Dokument, dass Adminrechte haben möchte. Sowohl den Betreff als auch den Absender würden Kriminelle dann so wählen, dass der Empfänger auf eine interne Kommunikation schließen könne. Doch auch was augenscheinlich ein Kollege sendet, sollte bei einem Anhang immer genauestens gecheckt werden, so der Sicherheitsexperte. Im Internet konzentriere sich die Gefahr längst nicht mehr auf den Besuch von Schmuddelseiten. Erpressungs-Software oder Ransomware verstecke sich heute hinter Werbebannern auf Hotelbuchungsplattformen o.Ä. Hier gelte für jeden Mitarbeiter der Grundsatz: Nicht nur der Browser, sondern auch die Plugins wie Flash müssen aktuell sein. Regelmäßige Patches und Updates gelten als einfachste Methode für Unternehmen, um Sicherheitslücken zu schließen.

Wenn aber erst einmal ein Cyberangriff geglückt ist, stehe ein Unternehmen vor einem der größten Herausforderungen - der Interessenkollision und der Abwägung zwischen weiterer Schadenbegrenzung und Beweissicherung. Rustemeyer rät zu folgendem Vorgehen bei einem Vorfall:

Sofortmaßnahmen wie Abtrennung der Systeme, Sicherung der befallenen Systeme und danach erst ein Wiedereinspielen von Backups, Beweismittelsicherung (Protokollierung)

IT-Forensik wie Spurensicherung (bspw. 1:1-Arbeitskopie mithilfe von Sondergeräten)

Datenanalyse mit Spezialsoftware (Reverse Engineering)

Dokumentation (was wurde wie analysiert)

Hohe Cyber-Risiken, aber gibt es für jeden eine passende Deckung?

Am Mittag diskutierten dann Vertreter der Versicherer- und Maklerseite zusammen mit Stefan Becker vom BSI über die aktuellen Absicherungsmöglichkeiten. Ole Sieverding gab zunächst einen Einblick, welchen Weg Hiscox im Bereich Cyberdeckung gegangen ist. Was 2011 gestartet sei, wurde 2015 noch einmal überholt und 2018 konnte das Unternehmen die vertragliche Haftung mit einbeziehen. Diese Entwicklung verdeutliche, dass Lösungen seines Hauses Wünsche der Unternehmer bereits erfüllen. Es sei wichtig, Aufklärung zu schaffen und den Dialog zu suchen, um auch in Zukunft Deckungskonzepte optimal weiterzuentwickeln.

Aktuell können Unternehmen entweder bestehende Deckungen mit einem Baustein Cyber ergänzen oder aber eine eigenständige Cyberversicherung abschließen. Auch für Oliver Delvos von AIG Europe habe sich der separate Ansatz durchgesetzt. Um Wirtschaftsunternehmen aufzuzeigen, dass sich eine Absicherung lohne, werde in der Beratung der Schadenreport als beliebtes Schriftstück herangezogen. Beim Thema Awareness wies Becker darauf hin, dass die Cybersicherheit zwar oftmals Chefsache sei, es gehe aber darum, dass das Thema nicht nur beim Vorstand, sondern auch bei der Belegschaft ankomme. Vorstand und IT müssten zudem eine Sprache sprechen und verstehen, wie das Risiko aussieht.

Wachstumsmarkt - aber ohne Fokus auf Cloud-Dienstleister

Dass sich die Sparte profitabel und als Wachstumsmarkt darstellt, unterstrich Behrends vom Versicherungsmakler Aon. Seit 2015 habe ein Umdenken in der Wirtschaft stattgefunden, sodass sich die Nachfrage und auch das Prämienvolumen verdoppelt hätten. Was bei den meisten Anbietern aber auch heute noch fehle, seien Deckungskonzepte mit dem Fokus auf die Nutzung von Cloud-Dienstleistern. Hierzu müsste noch Aufklärungsarbeit geleistet werden, aber der Sinn und Zweck einer Cyberversicherung bleibe auch bei diesen Diensten.

Deutschland, kein EPLI-Land

Der zweite Programmteil der Fachtagung konzentrierte sich auf Financial Lines, also auf solche Versicherungslösungen, die Unternehmen und Manager vor Vermögensschäden schützen, z.B. D&O-und EPLI-Deckungen. Zu der letzten Sparte gab Michael Rieger-Goroncy von der MarsH GmbH einen Einblick in die aktuellen Herausforderungen rund um die #MeToo-Debatte oder geschlechtsspezifische Lohnunterschiede. Der Experte stellte zunächst fest, dass in Ländern wie den USA oder Großbritannien eine deutlich höhere Abdeckung zu beobachten sei als in Deutschland, wo EPLI bisher nur eine geringe Rolle spiele. Was Unternehmer hierzulande aber oftmals missverstehen: Mit der D&O-Versicherung allein besteht kein ausreichender Schutz, da der Kreis der versicherten Personen bei einer EPLI-Police über die Organmitglieder hinaus reiche und alle Arbeitnehmer und Angestellten einschließe.

Und genügend Angriffsfläche für Klagen aufgrund von Chancengleichheit bietet Deutschland. Im internationalen Vergleich der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) zeigt sich, dass Frauen hierzulande immer noch 17 % weniger verdienen als ihre männlichen Eidgenossen. Als weltweiter Vorreiter gilt Island laut Glass Ceiling Index des britischen Economist. Hier landet die BRD nur auf Platz 17. Und bei unseren skandinavischen Nachbarn wie Norwegen wird Lohntransparenz bereits seit vielen Jahren gelebt. Bleibt abzuwarten, ob durch das Anfang 2018 in Kraft getretene Lohntransparenzgesetz nun auch hierzulande mehr über Lohnunterschiede gesprochen wird und eine Unzufriedenheit zu schutzbedürftigen Schadenfällen führt.

D&O: Gruppen- oder doch Individualversicherung?

Diese Frage stellte Prof. Dr. Meinrad Dreher von der Johannes Gutenberg-Universität in Mainz. Interessenten für eine Individualversicherung seien vor allem im Kreise der Interimsmanager zu finden, die oftmals nicht genau wissen, wo sie eingesetzt werden. Aber auch Vorstandsvorsitzende einer Aktiengesellschaft würden zur typischen Zielgruppe zählen. Der Professor ließ seine Haltung zu der Frage nicht lange verhüllt: "Die Gruppenversicherung hat mehr Vorteile als die D&O-Individualversicherung." Bei der Individual-Police sei bspw. die Versicherungssumme zu niedrig, obgleich der Versicherungsnehmer voll im Feuer stehe und einem hohen Regressrisiko gegenüberstehe. Mit Blick auf die Kosten gewinne die Gruppenversicherung infolge der Verhandlungsmacht, ein Kollektiv führe ganz klar zu Prämienvorteilen. Aber auch die Komplexität steige, so Dreher. Es entstehe durch die Individualversicherung schnell ein Kampf "jeder gegen jeden". Der Abstimmungsbedarf erhöhe sich und nicht selten würden dadurch Vergleiche erschwert.

D&O im Mittelstand - Unterschiede erkennbar?

Kommt es bei einem Mittelständler zu einem Schadenfall, so zeigte sich im Rahmen der Podiumsdiskussion am Nachmittag der Fachtagung, dass eine Regulierung oftmals viel sachlicher und weniger emotional erfolgt als bei Großkonzernen. Diese Beobachtungen hatte jedenfalls Diederik Sutorius von der VOV GmbH zu berichten. Marcel Amon, Geschäftsführer von DUAL Deutschland GmbH, konnte noch einen weiteren Unterschied hinzufügen. Seiner Erfahrung nach sei die Mittelstandsdeckung oft hervorragend, viel weitgehender und detaillierter als die der Großen. Georg H. Mohr (Syndikus der ARTUS Gruppe) kritisierte den Underwriting-Prozess im Mittelstand, dieser finde de facto nicht statt. Stattdessen konzentriere man sich auf Fragebögen und die Bilanz - fertig. Dem konnte trat Sartorius entgegen mit dem Hinweis, dass eine Risikoprüfung im Hintergrund stattfinde, also nicht immer für jeden sichtbar sei. Ein viel größeres Problem sahen jedoch alle Diskussionsteilnehmer im Preisdruck, für den es nicht wirklich eine Lösung gebe. Der deutsche D&O-Markt ist und bleibt preissensibel - dennoch wächst er und zählt mittlerweile 50 Versicherer. Einzige Möglichkeit, die VSMA GmbH-Geschäftsführer Jürgen Seiring sieht: Eine Automatisierung des Underwriting-Prozesses und damit eine Kostersparnis. Das sei aber nur sehr schwer realisierbar. Im Schadenbereich der VOV GmbH experimentiere man - so Sutorius - bereits mit einer Mischung aus künstlicher und realer Intelligenz.

Am Ende der Fachtagung stand demnach fest, es bleiben in Zukunft sowohl beim Thema Cyber als auch bei der D&O-Versicherung zahlreiche Herausforderungen, denen sich der GVNW zusammen mit seinen Mitgliedern zu stellen hat. Aber im Zusammenschluss lassen sich wie immer alle Probleme einfacher lösen.