Eine Versicherung ist nur eine Säule in der Gesamtstrategie
Die Angst vor Cybersecurityvorfällen ist in vielen Unternehmen groß. Klar, dass man sich mit dem Abschluss einer entsprechenden Versicherung schnell etwas wohler fühlt.
Und die „Rundum-sorglos-Versprechen“ aus Gesprächen mit dem Versicherungsvertreter oder aus der Werbebroschüre klingen besonders beruhigend.
Doch meist ist diese Wohlfühlatmosphäre schnell verflogen, wenn Sie auf einige typische Punkte hinweisen, die oftmals nicht bedacht und auch in keinem Verkaufsgespräch thematisiert werden.
So z. B.:
- Entscheidend ist der tatsächlich vereinbarte Versicherungsumfang. Der ist meist nicht so umfassend, wie der Versicherungsnehmer meint. Viele Anforderungen, Auflagen oder Beschränkungen fallen erst auf, wenn der Vertrag und die Vertragsbedingungen intensiv geprüft werden.
- Das Unternehmen muss sich dennoch anstrengen. Ihr Unternehmen kommt aus der Verantwortung für risikoangemessene Schutzmaßnahmen nicht heraus. Das betrifft den Schutz aller Systeme, Computer und Daten im Unternehmen.
Passen die Schutzmaßnahmen nicht oder nimmt man es etwa mit Updates nicht so genau, freut das die Versicherung. Sie muss meist nämlich nicht zahlen. Denn der Versicherungsnehmer hat gegen seine Obliegenheitspflichten verstoßen. Auch hier lohnt der Blick in die Versicherungsbedingungen. - Versicherungen sind keine Wohlfahrtsvereine. Ganz im Gegenteil. Wie jedes Unternehmen sind sie verpflichtet, Gewinn zu erwirtschaften. Dazu dürfen sie keine Risiken eingehen, die zu ihren Lasten gehen.
Also schauen sie vor dem Vertragsschluss genau hin bzw. stellen ganz konkrete Fragen. Die sollten auch zutreffend beantwortet werden, wenn Ihr Unternehmen seinen Versicherungsschutz nicht riskieren will.
Tragen Sie zum umfassenden Risikomanagement bei
Mit einer Versicherungspolice in der Schublade meint manch ein Unternehmen, für den Fall der Fälle gut gerüstet zu sein. Doch meist wiegt man sich in falscher Sicherheit.
Umso wichtiger ist, dass Sie als Datenschutzbeauftragter ein Auge darauf haben, was Ihr Unternehmen in Sachen Cybersecurity unternimmt. Teil dessen kann es sein, dass Sie zwecks Risikobewertung auch eine Versicherung unter die Lupe nehmen.
Bei einem Gespräch mit den zuständigen Kollegen können Sie auch mit typischen Mythen aufräumen. Setzen Sie auf die folgende Checkliste:
Sprechen Sie mit dem Risk-Owner
Unter Umständen gibt es in Ihrem Unternehmen jemanden, der sich um das Risikomanagement kümmert. Führen Sie am besten zunächst mit diesen Personen ein Gespräch. Klären Sie, wie man mit den Risiken durch Cyberkriminelle umgeht und inwieweit eine Versicherung besteht. Sprechen Sie an, inwieweit geprüft wurde, ob der vereinbarte Versicherungsschutz zum tatsächlichen Bedarf und zu den tatsächlichen Gegebenheiten passt.
Will man hier nicht mit Ihnen reden oder meint man, dass Sie das alles nichts angehe, können Sie auf Art. 32 Datenschutz-Grundverordnung verweisen. Abhängig von den vereinbarten Leistungen kann ein Versicherungsschutz auch eine organisatorische Maßnahme sein, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.
Und ob hier alles risikoangemessen ist, sollen Sie gemäß Ihrem gesetzlichen Auftrag eben auch kontrollieren. Beißen Sie auf Granit, sprechen Sie mit dem Risk-Owner. Das ist derjenige, der das Risiko verantwortet. Das ist schlussendlich die Unternehmensleitung.
