Am 1. September 2023 trat das neue Schweizer Datenschutzgesetz (revDSG) zur Gewährleistung der Sicherheit für die persönlichen und sensiblen Daten von Schweizer Bürgerinnen und Bürgern in Kraft. Mit dieser Gesetzgebung stellen sich Fragen über die Auswirkungen auf Unternehmen und die damit verbundenen Risiken bei der Datenverarbeitung im Auftrag Dritter. Unsere Loycomates, Experten für Risikomanagement, Grégoire Mottier und Lionel Ducommun, haben diese Frage aus versicherungstechnischer Sicht untersucht und bieten Ihnen hier eine Zusammenfassung.
Risikomanagement gemäss ISO 31000
Die im Rahmen der Norm ISO 31000 festgelegte Risikobehandlung folgt direkt auf die Phasen der Identifizierung – Analyse – und Bewertung der verschiedenen Risiken.
Die 5 Schritte der Risikobehandlung nach ISO 31000
Unsere Umfrage bei verschiedenen Versicherungsunternehmen
Laut ISO 31000 «bietet der Umgang mit Risiken verschiedene Strategien, von denen eine darin besteht, das Restrisiko gegen eine Prämie an einen Versicherer zu übertragen oder zu teilen». Mit diesem Hintergrund haben unsere beiden Experten bei verschiedenen Versicherungsgesellschaften eine Umfrage durchgeführt. Es galt mehrere wesentliche Punkte zu klären und zu bestimmen:
- ob die Versicherer kurzfristig ihre Deckung «Haftpflicht für Vermögensschäden» im Zusammenhang mit Schadenersatzforderungen, die auf der Anwendung des revDSG beruhen (z. B. im Fall eines schuldhaften Datenverlusts), ändern oder einschränken werden
- ob Versicherer in der Lage sein werden, (über eine Cyber-Deckung?) Geldstrafen von bis zu 250.000 CHF abzudecken. Diese können gegen eine natürliche Person, die für den Datenschutz verantwortlich ist, – z. B. bei Nichteinhaltung der Mindestanforderungen an die Datensicherheit – verhängt werden. Es ist zu beachten, dass nur eine vorsätzliche oder potenziell vorsätzliche Handlung eine solche Strafe nach sich ziehen würde. Der Schaden für die Reputation des Unternehmens bleibt jedoch unverändert.
Position der kontaktierten Versicherer und Untersuchungsschlussfolgerungen
- Die Versicherungsbedingungen für die Haftpflichtversicherung sollten kurzfristig, weder in Bezug auf den Deckungsumfang noch auf die Prämien, keine wesentlichen Änderungen erfahren. Da die Versicherungsbedingungen bereits vor dem Inkrafttreten des revDSG auf die Datenschutzgesetze Bezug nahmen, lässt sich die Stabilität erklären. Offensichtlich wählen die Versicherer die Beobachtung der tatsächlichen Auswirkungen dieser neuen Gesetzgebung, bevor sie mögliche Produktänderungen vornehmen.
- Bussgelder und Strafen sind in der Regel nicht versicherbar.
Ein Versicherungsvertrag, der solche Entschädigungen abdeckt, würde als sittenwidrig gelten und wäre daher nach Artikel 20 Absatz 2 des Obligationenrechts nichtig. Es ist jedoch zu beachten, dass die Versicherungsbedingungen für die Haftpflicht bei Persönlichkeitsverletzungen infolge von Gesetzesverstössen von Gesellschaft zu Gesellschaft sehr unterschiedlich sein können. Die Ursache des versicherbaren Ereignisses muss insbesondere im Einzelfall sorgfältig geprüft werden.
Was kann man in diesem Zusammenhang tun?
Angesichts des Inkrafttretens des revDSG liegt der Schlüssel zu einem effektiven Risikomanagement in der Antizipation. Organisationen werden zu Folgendem ermutigt:
- Gewährleisten, dass sie das revDSG einhalten und die Erwartungen, auch im Hinblick auf ihre IT-Sicherheit, erfüllen (was bereits geschehen sein sollte).
- Erstellen einer Liste von Szenarien, die zu einem Verstoss gegen das revDSG führen könnten, welche wiederum Schadenersatz an Dritte nach sich ziehen könnten
- Eine Bestandsaufnahme der bestehenden Versicherungsdeckungen (Haftpflicht und/oder Cyber) vornehmen und diese im Hinblick auf jedes Szenario überprüfen.
- Gegebenenfalls ihren Versicherer oder Makler kontaktieren, um alle notwendigen Antworten zu klären und zu gewährleisten.
Als Schlussfolgerung
Obwohl das revDSG für alle Organisationen zusätzliche Arbeit bedeutet und einige Unsicherheiten schafft, werden die Organisationen zur Verbesserung der Vorschrifteneinhaltung sowie der Datensicherheit ermutigt.
Für weitere Informationen über das Schweizer revDSG, besuchen Sie hier die offizielle Seite der Schweizer Regierung oder kontaktieren Sie unsere Spezialisten für eine Beratung oder Begleitung.