Anteil der Zahlungen von Cyber-Versicherungen wegen Datenschutzverstößen steigt stetig

Datenschutzverletzungen nehmen zu

Wie der alljährlich im Herbst erscheinende Cyber Security Resilience Report (CSR Report) der Allianz Commercial zeigt, haben Cyber-Schadensfälle im vergangenen Jahr weltweit weiter zugenommen, was zum großen Teil auf eine Zunahme von Datenschutzverletzungen zurückzuführen ist. Die Häufigkeit großer Cyber-Schadensfälle (Schadenshöhe >1 Mio. EUR) ist im ersten Halbjahr 2024 um 14 Prozent gestiegen, während die Schadenhöhe um 17 Prozent zugenommen hat. Im Jahr 2023 hatten solche Fälle nur um ein Prozent zugenommen. Zwei Drittel dieser Schäden stehen im Zusammenhang mit Datenschutzverletzungen.

Mehr Datenschutzklagen vor allem in den USA

Die stetige Zunahme von Cyber-Versicherungsansprüchen aufgrund von Datenschutzverletzungen liegt vor allem daran, dass das regulatorische und rechtliche Umfeld zu einem Anstieg von Vorfällen geführt hat, die auf unrechtmäßige Erhebung und Verarbeitung personenbezogener Daten zurückzuführen sind. Die Schäden aus diesen Ansprüchen haben sich in den letzten zwei Jahren verdreifacht. Da die Datenschutzbestimmungen der in der EU gültigen Datenschutz-Grundverordnung (DSGVO) strikter sind als die US-Bestimmungen, wird die entstehende Grauzone insbesondere in den USA gerne von Klägeranwälten auf der Suche nach potenziellen Einnahmequellen genutzt. 

Im letzten Jahr haben sich diese „Nichtangriffs-Datenschutzklagen“ zum am schnellsten wachsenden Bereich von Sammelklagen in den USA entwickelt. Im Jahr 2023 wurden über 1.300 Klagen in Bezug auf eine Vielzahl von Datenschutzbestimmungen eingereicht. Laut der Anwaltskanzlei Duane Morris sind das mehr als doppelt so viele Klagen wie im Jahr 2022 und viermal so viele wie im Jahr 2021.

Erfolgreiche Klagen lösen eine Flut von Folgeklagen aus

Der CSR-Report zeigt sehr anschaulich, dass Datenschutzverletzungen zu einer Flut von Rechtsstreitigkeiten führen können, weil eine erfolgreiche Klage oft weitere Klagen auslöst. So wurden in den USA im Oktober 2023 mehr als 240 Klagen im Zusammenhang mit der MOVEit-Datenpanne in einer einzigen „Multidistrict Litigation“ zusammengefasst. Die zehn größten Sammelklagen wegen Datenschutzverletzungen beliefen sich im vergangenen Jahr auf insgesamt 516 Millionen US-Dollar, was einen deutlichen Anstieg gegenüber den 350 Millionen US-Dollar im Jahr 2022 darstellt.

Risiko von Rechtsstreitigkeiten wegen Datenschutzverletzungen steigt auch in Europa

Dem Report zufolge steigt auch in Europa und Deutschland das Risiko von Rechtsstreitigkeiten wegen Datenschutzverletzungen. Ein geschärftes Bewusstsein für Datenschutzrechte, eine zunehmende Verfügbarkeit von Prozessfinanzierungen durch Dritte und ein verbraucherfreundlicheres Prozessumfeld könnten auch hier zu massenhaften Datenschutzklagen führen, wenn auch nicht in dem Ausmaß wie in den USA.

KI-Einsatz birgt zusätzliche Risiken, kann aber auch helfen

Der CSR-Report betrachtet auch die Auswirkungen von KI-Systemen: Die Tatsache, dass inzwischen fast jede Branche KI einsetzt, wird die Cyber- und Datenschutzrisiken in Zukunft erheblich beeinflussen. Das liegt an den enormen Datenmengen, die KI zu Trainingszwecken, für Vorhersagen oder Empfehlungen sammeln und verarbeiten muss. Dazu gehören auch persönliche Daten, Gesundheitsdaten sowie biometrische Informationen. Werden die KI-Systeme nicht ordnungsgemäß verwendet, drohen Datenschutz-, Fehlinformations- und Sicherheitsrisiken. Diese großen Datenmengen können in die falschen Hände geraten, entweder durch Hackerangriffe oder andere Sicherheitsverstöße. Hinzu kommen Sorgen vor Verstößen gegen Datenschutzgesetze, etwa, weil Unternehmen die nötige Zustimmung zur Verarbeitung von Daten durch eine KI fehlen.

Gleichzeitig sieht der CSR-Report KI aber auch als ein wichtiges Werkzeug im Kampf gegen Cyberangriffe, weil KI Sicherheitsverstöße schnell erkennen und betroffene Systeme und Datenbanken automatisiert isolieren kann. Außerdem verfügt KI über das Potenzial, die Kosten und die Dauer eines Schadens zu reduzieren, indem sie Aufgaben – etwa Forensik und Benachrichtigungen – automatisiert erledigt.