HDI.de Google Plus HDI.de Facebook HDI.de LinkedIn HDI.de Twitter pdf Vektor-Smartobjekt1 Vektor-Smartobjekt Vektor-Smartobjekt
image

Wenn Details über gesundheitliche Beschwerden von Prominenten oder Nichtprominenten in der Öffentlichkeit auftauchen, wird vermutlich der behandelnde Arzt zusammenzucken, auch wenn er sich im ersten Moment keiner Schuld bewusst ist.

Als Berufsgruppe, die mit sensiblen und personenbezogenen Daten arbeitet, sind Ärzte verstärkt dem Risiko ausgesetzt, von einer Cyberattacke betroffen zu sein, da diese Daten für Hacker besonders interessant sind.


HDI mit neuer Zusatzdeckung

Seit HDI im Oktober 2016 die Zusatzdeckung Cyberrisk für Ärzte und Gesundheitsfachberufe auf den Markt gebracht hat, stellen wir im Fachbereich ein gesteigertes Interesse an diesem Thema fest.
Die wichtigsten Regelungen und Deckungsinhalte haben wir in dem folgenden fiktiven Frage-Antwort-Katalog zusammengefasst.

Unser Versicherungsnehmer:
Inwieweit bin ich als Arzt überhaupt zum Datenschutz verpflichtet?

Fachbereich:
Da personenbezogene Daten über den Gesundheitszustand nach dem Bundesdatenschutzgesetz (BDSG) sogenannte „besondere Arten personenbezogener Daten“ gem. § 3 Abs. 9 BDSG darstellen und das BDSG gem. § 1 Abs. 2 BDSG auch für Unternehmer gilt, ist der Anwendungsbereich für Ärzte bzw. Gesundheitsfachberufe gegeben.

Jeder Praxisinhaber ist durch § 9 des Bundesdatenschutzgesetzes (BDSG) sowie durch andere Datenschutzgesetze verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um seine Patientendaten zu schützen. Damit besteht eine gesetzliche Pflicht zum strengen Datenschutz. Erforderlich sind alle Maßnahmen, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Gemäß §§ 3 Abs. 9 i. V. m. 4a Abs. 3, 4d Abs. 5 und 28 Abs. 6 BDSG muss bei Patientendaten immer von einem hohen Schutzbedarf ausgegangen werden.

Gem. § 42 a BDSG muss der Arzt z. B. bei einem Hackerangriff, bei welchem Patientendaten an Dritte gelangen, unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen den Vorfall mitteilen.
Wer dieser Verpflichtung nicht nachkommt, muss – unabhängig vom Vertrauenslust – gem. § 43 BDSG mit einer Geldbuße bis zu 300.000 Euro und ggf. sogar höher rechnen.

Unser Versicherungsnehmer:
Sind die Drittschäden im Rahmen der Grunddeckung versichert?

Fachbereich:
Die Cyber-Drittschäden aus der beruflichen Tätigkeit sind über die aktuelle Grunddeckung (BBR H5002:09) i. R. der Zusatzbedingungen für die Nutzung von Internettechnologien bis zur vollen Vertragsdeckungssumme mitversichert.
Drittschäden sind Schäden, die einem Dritten entstehen, also in der Regel Haftpflichtansprüche.

Die Leistung des Versicherers umfasst somit die Prüfung der Haftpflichtfrage, die Abwehr unberechtigter Schadenersatzansprüche und die Freistellung des Versicherten von berechtigten Schadenersatzverpflichtungen.
Darüber hinaus die Kosten einer Verteidigung des Versicherten in einem Strafverfahren wegen einer Informationssicherheitsverletzung oder eines Ordnungswidrigkeitsverfahrens wegen einer Datenschutzverletzung.

Unser Versicherungsnehmer:
Wozu benötige ich dann überhaupt eine Cyberversicherung?

Fachbereich:
Der Mehrwert einer Cyberversicherung liegt primär in der Deckung der Eigenschäden. Eigenschäden sind Schäden, die dem Versicherungsnehmer selbst entstanden sind. Diese sind normalerweise nicht Bestandteil der Berufshaftpflichtversicherung.

Die Leistung des Versicherers umfasst hier forensische Untersuchungen, Benachrichtigung von Betroffenen und Datenschutzbehörden, Öffentlichkeitsarbeit im Krisenfall (PR-Beratung), Kreditkartenüberwachungsdienstleistungen, Wiederherstellung von Daten und Software, Betriebsunterbrechung und Telefonkosten.

Unser Versicherungsnehmer:
Wenn ich die Zusatzdeckung abgeschlossen habe, ist dann versichert, wenn sich mein Arzthelfer Udo beim privaten Surfen auf unserem Praxis-PC im Internet einen Virus einfängt?

Fachbereich:
Innerhalb der Bedingungen für den Zusatzbaustein Cyberrisk sind unter Ziffer V* die Obliegenheiten geregelt, also welche technischen und organisatorischen Vorkehrungen die Praxis in puncto Internetsicherheit zu treffen hat.

Ziffer V.1.1 b) besagt
….
b) ihre Mitarbeiter schriftlich zu verpflichten, das Computersystem einer versicherten Gesellschaft ausschließlich betrieblich zu nutzen,

Wenn sich Udo vorher schriftlich entsprechend verpflichtet hat, wäre der Versicherer nicht leistungsfrei, da Sie Ihre Obliegenheit nicht verletzt haben.

Unser Versicherungsnehmer:
Ich habe bei HDI schon eine Berufshaftpflicht; kann ich die Cyber-Zusatzdeckung einfach einschließen lassen?

Fachbereich:
Voraussetzung für die Mitversicherung bei Bestandskunden ist, dass dem Vertrag der Tarif 07/15 zugrunde liegt und die vier ausgewählten Risikofragen

  • Es werden (einschließlich aller rechnergestützten Geräte und Computer) im Jahr nicht mehr als 20.000 Kreditkartendaten bearbeitet, gespeichert oder übermittelt?
  • Sofern Kreditkartendaten vorhanden sind, werden die Standards gemäß PCI DSS (Payment Card Industry Data Security Standard) eingehalten?
  • Sind alle Computer, Server sowie sonstige genutzte Eingabegeräte (z. B. Smartphone, Tablet) mit Zugriff auf einen gemeinsamen Server mit einer aktuellen professionellen Virenschutzsoftware mit Spywareerkennung ausgestattet, welche automatisch auf dem aktuellen Stand gehalten wird?
  • Hat eine Aufsichtsbehörde, staatliche Stelle oder Verwaltungsbehörde eine Klage gegen das Unternehmen oder mitversicherte Personen eingereicht, Ermittlungen eingeleitet oder Auskünfte zum Umgang mit sensiblen Daten angefordert?

positiv beantwortet werden. Außerdem ist uns der Praxisumsatz mitzuteilen, da dieser als Berechnungsgrundlage für die Cyber-Zusatzdeckung dient.
Sprechen Sie Ihren Versicherungsbetreuer gern aktiv auf dieses Thema an.

Unser Versicherungsnehmer:
Wie hoch ist die Deckungssumme der Cyber-Zusatzdeckung?

Fachbereich:
Wir bieten wahlweise 100.000 Euro oder 250.000 Euro (jeweils einfach maximiert im Versicherungsjahr) für Dritt- und Eigenschäden an.

Unser Versicherungsnehmer:
Kann ich die Cyber-Zusatzdeckung für unsere Gemeinschaftspraxis auch abschließen, wenn meine Praxispartner nicht bei HDI berufshaftpflichtversichert sind?

Fachbereich:
Bei der Berechnung der Cyberdeckung stellen wir auf den Gesamtumsatz der Praxis ab. Hier bieten wir zwei Modelle an:
Entweder wird der Umsatz auf alle Partner (alle sind bei HDI versichert) aufgeteilt und jeder Partner bekommt den Cyberbaustein in seinem HDI Vertrag mitversichert oder nur ein Partner schließt den Baustein – aber mit dem Gesamtumsatz der Praxis – für alle ab. Im letzteren Fall ist es auch irrelevant, ob alle Partner bei HDI versichert sind oder nur Einzelne. Hier empfiehlt es sich, die Praxispartner namentlich im Vertrag mit aufzunehmen.

Unser Versicherungsnehmer:
Wie verhalte ich mich bei einem eventuellen Cyberangriff?

Fachbereich:
Bei vermutetem Cyberangriff/-schaden bitte kurzfristige Meldung an uns per
E-Mail: hus-schaden@hdi.de
Telefon: 0221 144-66682
Fax: 0511 645-1151592.

Darin benötigen wir vorab eine Schilderung des Problems und was der Versicherungsnehmer bisher unternommen hat. Wir kommen sodann nach Prüfung zeitnah auf den Versicherungsnehmer zu.

*Exkurs: Ziffer V der Bedingungen für den Zusatzbaustein Cyberrisk, Obliegenheiten:

1 Ergänzend zu Ziffer 25 der Allgemeinen Versicherungsbedingungen für die Haftpflichtversicherung (AHB) gelten nachfolgende Regelungen:

1.1 Die versicherten Gesellschaften haben angemessene, dem Stand der Technik entsprechende technische Schutzmaßnahmen und Verfahren zu verwenden, um Datenschutzverletzungen, Vertraulichkeitsverletzungen, Netzwerksicherheitsverletzungen, Computerbetrug, Netzwerkeingriffe, PCI-Datensicherheitsstandard-verletzungen zu verhindern und Betriebsunterbrechungsschäden gering zu halten. Sie haben insbesondere

a) eine dem Stand der Technik entsprechende Sicherheits- oder Verschlüsselungstechnologie zu verwenden,
b) ihre Mitarbeiter schriftlich zu verpflichten, das Computersystem einer versicherten Gesellschaft ausschließlich betrieblich zu nutzen,
c) nur Daten und Computerprogramme zu verwenden, zu deren Nutzung sie berechtigt sind.

1.2 Im Zusammenhang mit ausgegliederten IT-Systemen und Daten hat der Versicherungsnehmer durch vertragliche Vereinbarungen sicherzustellen, dass aktuelle erforderliche Sicherheitsstandards und gesetzliche bzw. behördliche Vorschriften stets eingehalten werden.

2 Folgen der Obliegenheitsverletzung
Verletzt der Versicherungsnehmer eine der in Ziffer V 1 genannten Obliegenheiten, ist der Versicherer unter den in Ziffer 26 AHB beschriebenen Voraussetzungen zur Kündigung berechtigt oder auch ganz oder teilweise leistungsfrei.

Bitte beachten: Die Antworten basieren auf dem Tarifstand 07/15 und den Besonderen Bedingungen und Risikobeschreibungen für die Berufshaftpflichtversicherung von Ärzten, Zahnärzten und Ärzten in der Ausbildung (BBR/H 5002:09) sowie den Besonderen Bedingungen und Risikobeschreibungen für die Haftpflichtversicherung von Gesundheitsfachberufen (BBR/H 5001:06). In älteren Tarifen und Versionen der BBR kann der Deckungsumfang abweichen.


Autor:
Assessor jur. Stephan Euschen, HDI Versicherung AG, Saarbrücken


Downloads