Ko-Autorin:
Dr. Gunbritt Kammerer-Galahn
Fachanwältin für Versicherungsrecht und Partnerin sowie Leiterin der Versicherungsrechtspraxis der Sozietät Taylor Wessing PartG mbB in Düsseldorf
Ko-Autor:
Dr. Ingo Weckmann, LL.M.
Rechtsanwalt und Associate der Versicherungsrechtspraxis der Sozietät Taylor Wessing PartG mbB in Düsseldorf
Pflichten und Haftung im Unternehmen (mit DSGVO & NIS-RL-UmsetzungsG). Der Praxisleitfaden liefert praxisorientierte Hinweise zur Einhaltung der anwendbaren IT-Sicherheitspflichten und zu den Haftungsrisiken bei Sicherheitsdefiziten. Hier im Blog werden einige zentrale Auszüge veröffentlicht.
Voigt, IT-Sicherheitsrecht, 2018, 287 Seiten, 79,80 Euro
Versicherungsunternehmen wirken als stabilisierendes Element der Sozialordnung und erfüllen wesentliche Aufgaben im Bereich der Altersversorgung und Gesundheitsvorsorge (Laars/Both in Laars/Both, VAG, 4. Online-Aufl. 2017, Einleitung Rz. 1). Große Versicherungsunternehmen unterfallen aufgrund dieser Gemeinwohlfunktionen ab einer bestimmten Größe – je nach Versicherungsleistung mit mehr als 500.000 oder 2.000.000 Versicherten – als Betreiber kritischer Infrastrukturen dem Anwendungsbereich des BSIG und unterliegen damit den dort vorgesehenen IT-Sicherheitspflichten, vgl. § 2 Abs. 10 BSIG i.V.m. Anhang 6 Teil 3 KRITIS-V (s. Voigt, IT-Sicherheitsrecht, Rz. 352 ff.).
Auch unabhängig von der Anwendbarkeit des BSIG sind Versicherungsunternehmen durch das Gesetz über die Beaufsichtigung der Versicherungsunternehmen (VAG) zur Einhaltung bestimmter IT-Sicherheitsstandards verpflichtet (dazu auch Gehrmann/Voigt, CR 2017, 93, 98).
Um der besonderen Bedeutung der Informationstechnik (IT) bei den Versicherungsunternehmen zusätzlich Rechnung zu tragen, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf Basis des VAG am 2. Juli 2018 das Rundschreiben 10/2018 zu den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) veröffentlicht.
Zudem beschäftigt sich die Internationale Vereinigung der Versicherungsaufsichtsbehörden (IAIS) mit dem Thema „Cybersicherheit“: Zu diesem Zweck hatte die IAIS Empfehlungen zur Frage, wie die Widerstandsfähigkeit von Versicherern gegen Cyberrisiken verbessert werden kann, zur Konsultation gestellt und bis zum 13. August 2018 Stellungnahmen eingeholt.
Darüber hinaus konsultiert auch der Finanzstabilitätsrat (FSB) zurzeit den Entwurf eines Cyber-Lexikons. Ziel ist es, einen konsistenten Sprachgebrauch der nationalen Aufsichtsbehörden und multinationalen Gremien herzustellen.
1. IT-Sicherheitspflichten
Das VAG führt zu einer weitreichenden Regulierung der internen Organisation von Versicherungsunternehmen (Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 49 Rz. 41). Während andere Unternehmen im Normalfall nicht zwingend zur Einführung eines allgemeinen Risikomanagementsystems verpflichtet sind (s. hierzu Voigt, IT-Sicherheitsrecht, Rz. 32 ff.), sieht § 26 VAG für Versicherungsunternehmen eine solche Pflicht ausdrücklich vor:
a) Gut integriertes Risikomanagementsystem
Gemäß § 26 Abs. 1 Satz 1 VAG sind Versicherungsunternehmen dazu verpflichtet, ein in die Organisationsstruktur und Entscheidungsprozesse des Unternehmens gut integriertes Risikomanagementsystem zu etablieren. Die Entscheidung über eine angemessene Ausgestaltung des Risikomanagementsystems trifft letztlich die Geschäftsleitung (s. hierzu Voigt, IT-Sicherheitsrecht, Rz. 58 ff.). So muss das System der Geschäftsleitung auch strukturell eine Kontrolle über dessen Funktionsfähigkeit durch angemessene Mechanismen zur internen Berichterstattung ermöglichen, § 26 Abs. 1 Satz 1 VAG. Bei der Ausgestaltung des Risikomanagementsystems hat die Geschäftsleitung sowohl die Unternehmensgröße als auch die Komplexität des verfolgten Geschäftsmodells und der damit zusammenhängenden Risiken zu berücksichtigen (Laars/Both in Laars/Both, VAG, 4. Online-Aufl. 2017, § 26 Rz. 1)
b) Gefahrerkennung
Das Risikomanagementsystem muss Strategien, Prozesse und interne Meldeverfahren umfassen, die erforderlich sind, um tatsächliche und potentielle Gefahren zu identifizieren, zu bewerten, zu überwachen, zu steuern, sowie aussagekräftig über diese Risiken berichten zu können, § 26 Abs. 1 Satz 2 VAG (Gehrmann/Voigt, CR 2017, 93, 98). Dies umfasst auch durch die unternehmensinterne IT bedingte Risiken, etwa in Form von Cyber-Angriffen. Das Risikomanagementsystem eines Versicherungsunternehmens muss deshalb in der Lage sein, mögliche Angriffsszenarien im Vorfeld zu erkennen und konkrete Angriffe wirksam zu bekämpfen. Dies kann nur über eine regelmäßige Aktualisierung des Risikomanagementsystems unter Berücksichtigung des Stands der Technik gewährleistet werden (Gehrmann/Voigt, CR 2017, 93, 98). Wie das nach Vorstellung der BaFin erfolgen soll, beantwortet das VAIT:
c) Umsetzung
Das Rundschreiben enthält Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im VAG, soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. So haben Versicherungsunternehmen z. B. nach Rn. 28 des VAIT die Funktion des Informationssicherheitsbeauftragten einzurichten. Diese überwachende Funktion umfasst die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Unternehmens und gegenüber Dritten (s. zu der bereits überobligatorischen Einrichtung durch Versicherungsunternehmen im Vorfeld des VAIT Voigt, IT-Sicherheitsrecht, 2018, Rz. 129 ff.; Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 49 Rz. 47). Das Rundschreiben findet Anwendung auf alle Versicherungsunternehmen und Pensionsfonds, die der Aufsicht der BaFin unterliegen. Neben der Ausgestaltung der IT adressiert das VAIT auch die Ausgliederung von IT-Dienstleistungen.
2. Verletzungsfolgen
Die Kontrolle der Einhaltung der Vorgaben des VAG obliegt grundsätzlich der BaFin, § 294 Abs. 2 VAG. Diese hat umfassende Aufsichtsbefugnisse (§§ 298 ff. VAG) und kontrolliert auch das Vorhandensein eines den Vorgaben des § 26 VAG entsprechenden Risikomanagementsystems im Unternehmen.
Entspricht das Risikomanagementsystem nicht den gesetzlichen Vorgaben, kann die BaFin Maßnahmen zur Anpassung des Systems anordnen.