Google Analytics: Potenzielles Risiko für Cyberversicherer

Mangelndes Problembewusstsein bei den Unternehmen

Dessen ungeachtet binden nach wie vor sehr viele europäische Firmen die Anwendung in ihre Websites ein. Eine Stichprobe mit dem Cyberrisikobewertungstool cysmo^® in neun EU-Staaten ergab Nutzungsanteile zwischen knapp 20 Prozent in Deutschland und über 60 Prozent in den Niederlanden. „Die Zahlen lassen klar den Rückschluss auf ein fehlendes Problembewusstsein bei vielen Seitenbetreibern zu“, sagt Marcel Arnold, Cyber Consultant bei der PPI AG und Mitautor des Whitepapers. Wird eine Unternehmens-IT mittels cysmo^® penetrationsfrei geprüft, so klassifiziert die Lösung eine vorhandene Einbindung von Analytics im Report als Risiko.

Haftungsrisiko individuell abklären

Im Extremfall drohen Websitebetreibern Strafen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dazu kommen mögliche Schadenersatzforderungen. Besteht eine Cyberversicherung, ist es durchaus möglich, dass diese in einem solchen Fall eine Leistungszusage erfüllen muss. Das hängt von den genauen Formulierungen in den Vertragsbedingungen ab und ist keineswegs bei jeder Police so. Entscheidend für eine Leistungspflicht ist die Kopplung von Datenschutzverletzungen an eine vorherige Verletzung der IT-Sicherheit. Ist eine solche Kausalität Bedingung, so muss die Assekuranz keine Zahlung leisten. „Viele Verträge könnten an dieser Stelle präziser formuliert sein. Wir sehen immer wieder Fälle, die ein datenschutzrechtliches Haftungsrisiko wie bei der Nutzung von Google Analytics durch den Versicherten einschließen“, sagt Jan Spittka, Rechtsanwalt und Partner bei Clyde & Co. Europe LLP. Versicherungen sollten ihre Bedingungswerke unbedingt dahin gehend überprüfen. Empfehlenswert ist es, noch einen Schritt weiterzugehen und die Websites der Bestandskunden genauso wie die der Neukunden mit cysmo^® auf Risiken wie Google Analytics hin zu überprüfen. So lassen sich gezielt Hinweise zur Schadenprävention geben und darüber hinaus ein genereller Dialog zum Thema Datenschutz und IT-Sicherheit aufbauen.

Auf die Versicherten zugehen

Grundsätzlich ist im Fall Google Analytics eine proaktive Herangehensweise angezeigt. Denn noch ist das Analysetool in Deutschland zwar nicht offiziell verboten. Aber nach einhelliger Meinung ist dies nur noch eine Frage der Zeit. In Österreich, Frankreich, Italien und Dänemark haben die Datenschützer der Anwendung bereits die Rote Karte gezeigt. Folgt die Bundesrepublik erwartungsgemäß diesen Beispielen, sollten die Assekuranzen ihre Versicherten darüber informieren. Denn damit lässt sich deren Kenntnis nachweisen und eine Leistungspflicht scheidet von Rechts wegen aus. „Aber auch dann empfiehlt sich eine spätere Cyberrisikobewertung mittels cysmo^®, schon aus einem Kundenservicegedanken heraus“, sagt Marcel Arnold.

Das Whitepaper kann auf der Website von cysmo^® kostenlos zum Download angefordert werden: www.cysmo.de/whitepaper-google-analytics