In den Vertr?gen vieler Cyberversicherungen schlummert m?glicherweise eine Zeitbombe in Form von Haftungs?bernahmen f?r Datenschutzverletzungen durch die Nutzung des Analysetools. Wie sich die Rechtslage darstellt und was Assekuranzen jetzt tun m?ssen, zeigt das gemeinsame Whitepaper “Google Analytics – Haftungsrisiko und Schaden” von PPI AG und Clyde & Co.
Hamburg, 25. Januar 2023: Cyberversicherer sollten ihr Portfolio dringend ?berpr?fen, ob potenzielle Schadenf?lle durch die Nutzung von Google Analytics drohen. So lautet die Quintessenz des aktuellen Whitepapers “Google Analytics – Haftungsrisiko und Schaden” des Hamburger Beratungs- und Softwarehauses PPI AG und der Wirtschaftskanzlei Clyde & Co. Das Grundproblem: Sp?testens seit dem Scheitern von Privacy Shield im Jahr 2018 ist eine Verwendung des Analysetools von Google im Geltungsbereich der EU-Datenschutzgrundverordnung (DSGVO) praktisch nicht mehr rechtssicher m?glich. Denn mindestens die IP-Adressen der Websitebesucher werden von dem Programm an Server in den USA ?bertragen, was nach ?berwiegender Ansicht der Aufsichtsbeh?rden einen Versto? gegen die DSGVO darstellt.
Mangelndes Problembewusstsein bei den Unternehmen
Dessen ungeachtet binden nach wie vor sehr viele europ?ische Firmen die Anwendung in ihre Websites ein. Eine Stichprobe mit dem Cyberrisikobewertungstool cysmo? in neun EU-Staaten ergab Nutzungsanteile zwischen knapp 20 Prozent in Deutschland und ?ber 60 Prozent in den Niederlanden. “Die Zahlen lassen klar den R?ckschluss auf ein fehlendes Problembewusstsein bei vielen Seitenbetreibern zu”, sagt Marcel Arnold, Cyber Consultant bei der PPI AG und Mitautor des Whitepapers. Wird eine Unternehmens-IT mittels cysmo? penetrationsfrei gepr?ft, so klassifiziert die L?sung eine vorhandene Einbindung von Analytics im Report als Risiko.
Haftungsrisiko individuell abkl?ren
Im Extremfall drohen Websitebetreibern Strafen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes, je nachdem, welcher Betrag h?her ist. Dazu kommen m?gliche Schadenersatzforderungen. Besteht eine Cyberversicherung, ist es durchaus m?glich, dass diese in einem solchen Fall eine Leistungszusage erf?llen muss. Das h?ngt von den genauen Formulierungen in den Vertragsbedingungen ab und ist keineswegs bei jeder Police so. Entscheidend f?r eine Leistungspflicht ist die Kopplung von Datenschutzverletzungen an eine vorherige Verletzung der IT-Sicherheit. Ist eine solche Kausalit?t Bedingung, so muss die Assekuranz keine Zahlung leisten. “Viele Vertr?ge k?nnten an dieser Stelle pr?ziser formuliert sein. Wir sehen immer wieder F?lle, die ein datenschutzrechtliches Haftungsrisiko wie bei der Nutzung von Google Analytics durch den Versicherten einschlie?en”, sagt Jan Spittka, Rechtsanwalt und Partner bei Clyde & Co. Europe LLP. Versicherungen sollten ihre Bedingungswerke unbedingt dahin gehend ?berpr?fen. Empfehlenswert ist es, noch einen Schritt weiterzugehen und die Websites der Bestandskunden genauso wie die der Neukunden mit cysmo? auf Risiken wie Google Analytics hin zu ?berpr?fen. So lassen sich gezielt Hinweise zur Schadenpr?vention geben und dar?ber hinaus ein genereller Dialog zum Thema Datenschutz und IT-Sicherheit aufbauen.
Auf die Versicherten zugehen
Grunds?tzlich ist im Fall Google Analytics eine proaktive Herangehensweise angezeigt. Denn noch ist das Analysetool in Deutschland zwar nicht offiziell verboten. Aber nach einhelliger Meinung ist dies nur noch eine Frage der Zeit. In ?sterreich, Frankreich, Italien und D?nemark haben die Datensch?tzer der Anwendung bereits die Rote Karte gezeigt. Folgt die Bundesrepublik erwartungsgem?? diesen Beispielen, sollten die Assekuranzen ihre Versicherten dar?ber informieren. Denn damit l?sst sich deren Kenntnis nachweisen und eine Leistungspflicht scheidet von Rechts wegen aus. “Aber auch dann empfiehlt sich eine sp?tere Cyberrisikobewertung mittels cysmo?, schon aus einem Kundenservicegedanken heraus”, sagt Marcel Arnold.
Das Whitepaper kann auf der Website von cysmo? kostenlos zum Download angefordert werden: www.cysmo.de/whitepaper-google-analytics
– Ende –
Keywords:Google Analytics, Cyberversicherungen, Versicherungen, PPI, cysmo, Whitepaper,
