Anwendungen von Google sind praktisch, haben es aber in sich. Denn mir nichts, dir nichts können Daten auf den Servern des US-Mutterkonzerns landen. Für das europäische Datenschutzrecht ist das nur selten okay und kann teuer werden – für Unternehmen, aber auch für Cyberversicherungen. Was heißt das für das mit weitem Abstand populärste Trackingtool Google Analytics?

Kurz gesagt: Der Einsatz der Software kann im Geltungsbereich der Europäischen Datenschutzgrundverordnung (DSGVO) problematisch werden. Denn durch die Übertragung von Daten in die USA wird der Tatbestand der Weiterleitung personenbezogener Daten in ein Drittland erfüllt. Das ist nur in eng umrissenen Fällen erlaubt. Klagt ein User aufgrund der Einbindung von Analytics, kann dies für den Seitenbetreiber teure Konsequenzen haben: bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Hinzu können kommerzielle Schadenersatzansprüche kommen.

Kann für derartige Zahlungen eine Cyberversicherung in Anspruch genommen werden? Ja und nein – eine pauschale Antwort gibt es nicht. Denn die Leistungspflicht hängt von den konkreten Formulierungen ab. Wichtig dabei ist, ob die Übernahme von Kosten durch Datenschutzverletzungen an eine Informationssicherheitsverletzung gekoppelt ist oder nicht. Stellt die Police diesen Zusammenhang her, muss die Assekuranz keine Zahlung leisten. Versicherungen tun aus diesem Grund gut daran, ihre Vertragsbedingungen entsprechend zu durchforsten. Um das Haftungsrisiko bei Alt- und Neuverträgen noch besser einschätzen zu können, ergibt es Sinn, die Websites der Versicherungsnehmer auf die Einbindung von Google Analytics hin zu untersuchen. Eine Website-Stichprobe in verschiedenen europäischen Ländern mithilfe des Cyberrisikobewertungstools cysmo® ergab ein alarmierendes Ergebnis: Selbst in Österreich, Frankreich, Dänemark und Italien, deren Datenschützer die Verwendung des Analysetools offiziell verboten haben, nutzen bis zu 40 Prozent der Unternehmen die Anwendung. Mit knapp 20 Prozent Nutzeranteil sind deutsche Unternehmen immerhin etwas zurückhaltender als der europäische Durchschnitt. Und: Den Ergebnissen der cysmo®-Untersuchung zufolge anonymisieren nicht einmal 30 Prozent der Analytics-Nutzer die IP-Adressen ihrer Seitenbesucher. Dabei wiesen die deutschen Aufsichtsbehörden schon 2020 darauf hin, dass dies eine Mindestanforderung sei.

Spätestens wenn die deutschen Datenschützer den Daumen über Google Analytics senken – und ein Verbot der Software ist absehbar –, sollten die Versicherungsunternehmen ihre Kunden entsprechend informieren. Denn nur so lassen sich deren Kenntnis beweisen und eine Leistungspflicht nach § 81 Abs. 1 Versicherungsvertragsgesetz wirksam ausschließen, und zwar unabhängig vom Text der Vertragsbedingungen. Generell ist Versicherern zu empfehlen, den Dialog mit ihren Kunden über die Risiken eingebundener Anwendungen zu suchen. Ausführlichere Informationen über die Rechtslage und zu den Möglichkeiten von cysmo® enthält das Whitepaper „Google Analytics – Datenschutzrisiko und Schaden“ der PPI AG und der Wirtschaftskanzlei Clyde & Co. Interessenten können dieses auf www.cysmo.de/whitepaper-google-analytics kostenlos anfordern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  +  1  =  9

Verwandte Artikel