Cyberversicherer sollten ihr Portfolio dringend überprüfen, ob potenzielle Schadenfälle durch die Nutzung von Google Analytics drohen. So lautet die Quintessenz des aktuellen Whitepapers „Google Analytics – Haftungsrisiko und Schaden“ des Hamburger Beratungs- und Softwarehauses PPI AG und der Wirtschaftskanzlei Clyde & Co. Das Grundproblem: Spätestens seit dem Scheitern von Privacy Shield im Jahr 2018 ist eine Verwendung des Analysetools von Google im Geltungsbereich der EU-Datenschutzgrundverordnung (DSGVO) praktisch nicht mehr rechtssicher möglich. Denn mindestens die IP-Adressen der Websitebesucher werden von dem Programm an Server in den USA übertragen, was nach überwiegender Ansicht der Aufsichtsbehörden einen Verstoß gegen die DSGVO darstellt.

Mangelndes Problembewusstsein bei den Unternehmen

Dessen ungeachtet binden nach wie vor sehr viele europäische Firmen die Anwendung in ihre Websites ein. Eine Stichprobe mit dem Cyberrisikobewertungstool cysmo® in neun EU-Staaten ergab Nutzungsanteile zwischen knapp 20 Prozent in Deutschland und über 60 Prozent in den Niederlanden. „Die Zahlen lassen klar den Rückschluss auf ein fehlendes Problembewusstsein bei vielen Seitenbetreibern zu“, sagt Marcel Arnold, Cyber Consultant bei der PPI AG und Mitautor des Whitepapers. Wird eine Unternehmens-IT mittels cysmo® penetrationsfrei geprüft, so klassifiziert die Lösung eine vorhandene Einbindung von Analytics im Report als Risiko.

Haftungsrisiko individuell abklären

Im Extremfall drohen Websitebetreibern Strafen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dazu kommen mögliche Schadenersatzforderungen. Besteht eine Cyberversicherung, ist es durchaus möglich, dass diese in einem solchen Fall eine Leistungszusage erfüllen muss. Das hängt von den genauen Formulierungen in den Vertragsbedingungen ab und ist keineswegs bei jeder Police so. Entscheidend für eine Leistungspflicht ist die Kopplung von Datenschutzverletzungen an eine vorherige Verletzung der IT-Sicherheit. Ist eine solche Kausalität Bedingung, so muss die Assekuranz keine Zahlung leisten. „Viele Verträge könnten an dieser Stelle präziser formuliert sein. Wir sehen immer wieder Fälle, die ein datenschutzrechtliches Haftungsrisiko wie bei der Nutzung von Google Analytics durch den Versicherten einschließen“, sagt Jan Spittka, Rechtsanwalt und Partner bei Clyde & Co. Europe LLP. Versicherungen sollten ihre Bedingungswerke unbedingt dahin gehend überprüfen. Empfehlenswert ist es, noch einen Schritt weiterzugehen und die Websites der Bestandskunden genauso wie die der Neukunden mit cysmo® auf Risiken wie Google Analytics hin zu überprüfen. So lassen sich gezielt Hinweise zur Schadenprävention geben und darüber hinaus ein genereller Dialog zum Thema Datenschutz und IT-Sicherheit aufbauen.

Auf die Versicherten zugehen

Grundsätzlich ist im Fall Google Analytics eine proaktive Herangehensweise angezeigt. Denn noch ist das Analysetool in Deutschland zwar nicht offiziell verboten. Aber nach einhelliger Meinung ist dies nur noch eine Frage der Zeit. In Österreich, Frankreich, Italien und Dänemark haben die Datenschützer der Anwendung bereits die Rote Karte gezeigt. Folgt die Bundesrepublik erwartungsgemäß diesen Beispielen, sollten die Assekuranzen ihre Versicherten darüber informieren. Denn damit lässt sich deren Kenntnis nachweisen und eine Leistungspflicht scheidet von Rechts wegen aus. „Aber auch dann empfiehlt sich eine spätere Cyberrisikobewertung mittels cysmo®, schon aus einem Kundenservicegedanken heraus“, sagt Marcel Arnold.

Das Whitepaper kann auf der Website von cysmo® kostenlos zum Download angefordert werden: www.cysmo.de/whitepaper-google-analytics

 

Über die PPI AG

Die PPI AG ist seit über 30 Jahren als Beratungs- und Softwarehaus erfolgreich für Banken, Versicherungen und Finanzdienstleister tätig. Als stabil wachsende Aktiengesellschaft in Familienbesitz verknüpfen wir Fach- und Technologie-Know-how, um Projekte kompetent und unkompliziert umzusetzen. Im Zahlungsverkehr nehmen wir in Europa mit unseren Standardprodukten eine marktführende Stellung ein. Rund 800 Mitarbeiter konzentrieren sich dabei ganz auf den Erfolg unserer Kunden.

Firmenkontakt und Herausgeber der Meldung:

PPI AG
Moorfuhrtweg 13
22301 Hamburg
Telefon: +49 (40) 227433-0
Telefax: +49 (40) 227433-1333
http://www.ppi.de

Ansprechpartner:
Gerald Nowak
Head of Marketing
E-Mail: gerald.nowak@ppi.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel