Google Analytics: Mögliches Risiko für Cyberversicherer

Whitepaper von PPI AG und Clyde & Co

In den Verträgen vieler Cyberversicherungen schlummert möglicherweise eine Zeitbombe in Form von Haftungsübernahmen für Datenschutzverletzungen durch die Nutzung des Analysetools. Wie sich die Rechtslage darstellt und was Assekuranzen jetzt tun müssen, zeigt das gemeinsame Whitepaper „Google Analytics – Haftungsrisiko und Schaden“ von PPI AG und Clyde & Co.
Hamburg, 25. Januar 2023: Cyberversicherer sollten ihr Portfolio dringend überprüfen, ob potenzielle Schadenfälle durch die Nutzung von Google Analytics drohen. So lautet die Quintessenz des aktuellen Whitepapers „Google Analytics – Haftungsrisiko und Schaden“ des Hamburger Beratungs- und Softwarehauses PPI AG und der Wirtschaftskanzlei Clyde & Co. Das Grundproblem: Spätestens seit dem Scheitern von Privacy Shield im Jahr 2018 ist eine Verwendung des Analysetools von Google im Geltungsbereich der EU-Datenschutzgrundverordnung (DSGVO) praktisch nicht mehr rechtssicher möglich. Denn mindestens die IP-Adressen der Websitebesucher werden von dem Programm an Server in den USA übertragen, was nach überwiegender Ansicht der Aufsichtsbehörden einen Verstoß gegen die DSGVO darstellt.
Mangelndes Problembewusstsein bei den Unternehmen
Dessen ungeachtet binden nach wie vor sehr viele europäische Firmen die Anwendung in ihre Websites ein. Eine Stichprobe mit dem Cyberrisikobewertungstool cysmo® in neun EU-Staaten ergab Nutzungsanteile zwischen knapp 20 Prozent in Deutschland und über 60 Prozent in den Niederlanden. „Die Zahlen lassen klar den Rückschluss auf ein fehlendes Problembewusstsein bei vielen Seitenbetreibern zu“, sagt Marcel Arnold, Cyber Consultant bei der PPI AG und Mitautor des Whitepapers. Wird eine Unternehmens-IT mittels cysmo® penetrationsfrei geprüft, so klassifiziert die Lösung eine vorhandene Einbindung von Analytics im Report als Risiko.

Haftungsrisiko individuell abklären
Im Extremfall drohen Websitebetreibern Strafen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dazu kommen mögliche Schadenersatzforderungen. Besteht eine Cyberversicherung, ist es durchaus möglich, dass diese in einem solchen Fall eine Leistungszusage erfüllen muss. Das hängt von den genauen Formulierungen in den Vertragsbedingungen ab und ist keineswegs bei jeder Police so. Entscheidend für eine Leistungspflicht ist die Kopplung von Datenschutzverletzungen an eine vorherige Verletzung der IT-Sicherheit. Ist eine solche Kausalität Bedingung, so muss die Assekuranz keine Zahlung leisten. „Viele Verträge könnten an dieser Stelle präziser formuliert sein. Wir sehen immer wieder Fälle, die ein datenschutzrechtliches Haftungsrisiko wie bei der Nutzung von Google Analytics durch den Versicherten einschließen“, sagt Jan Spittka, Rechtsanwalt und Partner bei Clyde & Co. Europe LLP. Versicherungen sollten ihre Bedingungswerke unbedingt dahin gehend überprüfen. Empfehlenswert ist es, noch einen Schritt weiterzugehen und die Websites der Bestandskunden genauso wie die der Neukunden mit cysmo® auf Risiken wie Google Analytics hin zu überprüfen. So lassen sich gezielt Hinweise zur Schadenprävention geben und darüber hinaus ein genereller Dialog zum Thema Datenschutz und IT-Sicherheit aufbauen.
Auf die Versicherten zugehen
Grundsätzlich ist im Fall Google Analytics eine proaktive Herangehensweise angezeigt. Denn noch ist das Analysetool in Deutschland zwar nicht offiziell verboten. Aber nach einhelliger Meinung ist dies nur noch eine Frage der Zeit. In Österreich, Frankreich, Italien und Dänemark haben die Datenschützer der Anwendung bereits die Rote Karte gezeigt. Folgt die Bundesrepublik erwartungsgemäß diesen Beispielen, sollten die Assekuranzen ihre Versicherten darüber informieren. Denn damit lässt sich deren Kenntnis nachweisen und eine Leistungspflicht scheidet von Rechts wegen aus. „Aber auch dann empfiehlt sich eine spätere Cyberrisikobewertung mittels cysmo®, schon aus einem Kundenservicegedanken heraus“, sagt Marcel Arnold.
Das Whitepaper kann auf der Website von cysmo® kostenlos zum Download angefordert werden: www.cysmo.de/whitepaper-google-analytics

– Ende –

Die PPI AG
Die PPI AG ist seit über 30 Jahren als Beratungs- und Softwarehaus erfolgreich für Banken, Versicherungen und Finanzdienstleister tätig. Als stabil wachsende Aktiengesellschaft in Familienbesitz verknüpfen wir Fach- und Technologie-Know-how, um Projekte kompetent und unkompliziert umzusetzen. Im Zahlungsverkehr nehmen wir in Europa mit unseren Standardprodukten eine marktführende Stellung ein. Rund 800 Mitarbeiter konzentrieren sich dabei ganz auf den Erfolg unserer Kunden.

Kontakt
PPI AG
Gerald Nowak
Moorfuhrtweg 13
22301 Hamburg
+49 170 7068221
gerald.nowak@ppi.de
www.ppi.de