Publiziert am: 15.09.2023

Richtig reagieren bei Datendiebstahl

VERSICHERUNGSRATGEBER– Cloud Back-up, respektive Online-Sicherungsdienste, bieten viele Vorzüge für KMU. Dabei liegt die Verantwortung aber immer beim Unternehmer. Was viele auch nicht wissen: Seit dem 1. September 2023 gilt eine gesetzlich vorgeschriebene Meldepflicht bei Cybervorfällen, wenn personenbezogene Daten betroffen sind.

L.R. aus S.: In unserem Sanitärgeschäft sichern wir die Daten über ein Cloud Back-up. Nun war der IT-Provider von einem Cybervorfall betroffen und es wurden Daten gestohlen. Dabei handelt es sich um Personaldaten von meinen Mitarbeitenden wie Privatadressen, Gehaltsabrechnungen und Fotos von Identitätskarten. Die Daten sind mittlerweile wieder verfügbar. Muss dieser Cybervorfall gemeldet werden? Falls ja, wer ist dafür verantwortlich und was kann ich vom Versicherer erwarten?

Sehr geehrte Frau R.: Cloud Back-up, respektive Online-Sicherungsdienste, bieten viele Vorzüge für KMU. Dadurch wird der Aufwand für die Datensicherung und -lagerung im eigenen Unternehmen reduziert. In Ihrem Fall sind personenbezogene Daten gestohlen worden. Wie Sie schreiben, hat der Anbieter die Daten aus dem Cloud Back-up bereits wiederhergestellt. Falls die Daten von Viren befallen und verschlüsselt waren, wurde bestimmt eine «Datensäuberung» vorgenommen.

Verantwortung fĂĽr die Daten

Was viele nicht wissen: Auch wenn die Datenspeicherung extern erfolgt, bleibt die Verantwortung bei Ihnen, Daten sicher zu verarbeiten und aufzubewahren. Es lohnt sich, das Thema Datensicherheit regelmässig mit Ihrem IT-Dienstleister zu thematisieren. In einem Zusammenarbeitsvertrag sollten klar die Verantwortlichkeiten und Aufgabenteilung geregelt sein, die sicherstellen, dass die datenschutzrechtlichen Bestimmungen und Sicherheitsanforderungen eingehalten werden.

Meldepflicht bei Cybervorfällen

Das revidierte Datenschutzgesetz fordert mehr Transparenz bei Cyberangriffen: Seit dem 1. September 2023 gilt eine gesetzlich vorgeschriebene Meldepflicht bei Cybervorfällen, wenn personenbezogene Daten betroffen sind und dadurch ein hohes Risiko für die Verletzung der Grundrechte oder der Persönlichkeit besteht. Wann ein solches vorliegt, ist im Einzelfall zu beurteilen.

Sie sind somit verpflichtet, den Datendiebstahl so rasch als möglich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB zu melden. Wird die Meldung unterlassen, können Sie dafür finanziell gebüsst werden. Zum Schutz Ihrer Mitarbeitenden haben Sie ihnen gegenüber eine Informationspflicht. Sie müssen sie über den Vorfall informieren, da besonders schützenswerte Personendaten gestohlen wurden. Für Cyberkriminelle wäre es ein Leichtes, aufgrund der gestohlenen Informationen Identitäten zu fälschen und zu missbrauchen. Bei Personen, die im Ausland wohnhaft sind, besteht zusätzlich eine Meldepflicht an die betroffenen europäischen Aufsichtsbehörden. Es ist ratsam, sich mit dem revidierten Datenschutzgesetz auseinanderzusetzen und die erforderlichen Vorkehrungen im Unternehmen vorzunehmen.

Die Rolle des Versicherers

Falls Sie eine Cyberversicherung abgeschlossen haben, kontaktieren Sie am besten frühzeitig Ihren Versicherer. Er wird Sie über die konkreten Leistungen informieren und das weitere Vorgehen mit Ihnen besprechen. Bei der Mobiliar würden Sie entschädigt für den Aufwand zur Meldung des Datenverlustes an die betroffenen Personen wie auch für allfällige Rechtsstreitigkeiten mit der Datenschutzbehörde. Zudem würden die Kosten für die Herstellung neuer Identitätskarten übernommen (Haftpflichtanspruch der geschädigten Mitarbeitenden). Eine Cyberversicherung kann keine Cybervorfälle verhindern, doch sie hilft finanziell und juristisch.

IHRE FRAGEN An

Simon Seebeck ist Leiter Kompetenzzentrum Cyber Risk bei der Mobiliar. Der studierte Rechtsanwalt blickt auf langjährige Erfahrung in der Versicherungsbranche zurück, davon mehrere Jahre als Teamleiter Schaden.

Fragen sind zu richten an:

simonbernhard.seebeck@mobiliar.ch

Meist Gelesen