In letzter Zeit hat sich der Fokus auf Cyber-Regelungen, insbesondere in der Asien-Pazifik-Region, erhöht. In vielen Märkten der Welt liegt der Hauptfokus auf dem Erhöhen der Cyber-Widerstandskraft von Unternehmen, dem Verbessern des Kundendatenschutzes und dem Einführen verpflichtender Verstoßmeldungen. Mit dem Zunehmen von Richtlinien wird erwartet, dass sich die Strafen für Cybervorfälle beziehungsweise Nichteinhaltung ebenfalls erhöhen, was zu höheren möglichen Schäden für Unternehmen führt, die Opfer eines Cyberangriffs werden. 

Als Ergebnis dieser regulatorischen Entwicklungen und der steigenden Exponierung erwarten wir mit großer Wahrscheinlichkeit einen höheren Bedarf an Cyber-Versicherungen, die eine umfassende Lösung bieten, wie beispielsweise das Umfassen von Datenverletzungen, Schadensersatz für regulatorische Strafen, sofern diese versicherbar sind, sowie Betriebsunterbrechungsdeckung. Hier fassen wir die sich ändernden Richtlinien in Asien/Pazifik und ihre Konsequenzen für Versicherer und Unternehmen zusammen, die Cyberrisiken bemessen und verwalten möchten.

Wesentliche aktuelle und geplante Vorschriften

Das Personal Data Protection Bill 2019 (Datenschutzgesetz) (eine Überarbeitung des Gesetzes von 2018, in dem erhöhte Datenschutzanforderungen vorgeschlagen werden) wird derzeit durch das nationale Parlament geprüft. Das Gesetzt verfügt über einen ähnlichen Aufbau wie die DSGVO und es wird erwartet, dass die neue Gesetzgebung Richtlinien bezüglich der Verwaltung personenbezogener Daten, einschließlich der individuellen Rechte zu den eigenen personenbezogenen Daten, enthält. Das Gesetz sieht auch das Einrichten einer unabhängigen Datenschutzbehörde von Indien vor.

Einige wesentliche Änderungen, die Teil der Überarbeitung des Gesetzes von 2019 im Vergleich zu dem Vorschlag von 2018 bilden, lauten: 

• Geringere strafrechtliche Sanktionen für bestimmte Handlungen,
• Verringerung des Umfangs der Anforderungen von Datenlokalisierung/-transfer und
• Behandlung anonymisierter Daten innerhalb des Gesetzes und gegebenenfalls Zugriff auf solche Daten durch Regierungsinstanzen.

Insgesamt gehen wir (unter anderem) von folgender Nettoauswirkung des verbesserten Gesetzes nach dessen Umsetzung aus:

• Erfordernis der Zustimmung zur Datenerhebung und das Recht der Kunden, diese Zustimmen zu widerrufen,
• Die Verletzung des schlussendlich umgesetzten Gesetzes könnte mit bis zu 4 % des weltweiten Umsatzes des verstoßenden Unternehmens, oder 150 Millionen INR, je nachdem, welcher Wert höher ist, geahndet werden, und
• Verschärfen der allgemeinen Datenschutzanforderungen, die von Unternehmen eingehalten werden müssen

Es wird erwartet, dass dieses Gesetz für die große Mehrheit der in Indien tätigen Unternehmen gelten wird, wobei einige Ausnahmen nach dem Erlassen des Gesetzes gemeinsam ausgearbeitet werden.   

Was das für Cyber-Versicherungsmärkte bedeutet

Eine erhöhte regulatorische Aufsicht in Bezug auf die Datenschutzgesetze wird für mehr Aufmerksamkeit und Bemühungen zum Verbessern allgemeiner Datenschutzeinhaltung und Cybersicherheit sorgen.

Das sollte sich auf ein erhöhtes Risikobewusstsein und den Bedarf an Lösungen, wie beispielsweise Cyber-Versicherung, übertragen lassen.

Wesentliche aktuelle und geplante Vorschriften

Ein neuer Gesetzesentwurf wurde als Überarbeitung des Act of the Protection of Personal Information (Gesetz zum Schutz personenbezogener Informationen) (APPI) vorgestellt. Hierdurch wird eine verpflichtende Verstoßmeldung im Falle von Datenverletzungen eingeführt. Dieser Gesetzesentwurf sieht wahrscheinlich ebenfalls Compliance-Anforderungen beim Erheben personenbezogener Informationen, z.B. eine Einwilligungserklärung, vor. Durch die Änderungen wird das Anheben der Höchststrafe auf 100 Millionen JPY vorgeschlagen für den Fall, dass eine juristische Person die Anweisungen der Kommission nicht erfüllt.

Am 1. Mai 2020 traten Änderungen am Payment Services Act (Zahlungsdienstgesetz) (PSA) und dem Financial Instruments and Exchange Act (Finanzinstrument- und Wertpapiergesetz) (FIEA) in Kraft, in denen der regulatorische Rahmen für Kryptowährungen in Japan überarbeitet wurden. Die neuen Änderungen sorgen für einen feinen Ausgleich, da sie versprechen, japanische Besitzer von Krypto-Vermögenswerten besser zu schützen, aber gleichzeitig auch dem Handel klare Richtlinien aufweisen, einschließlich Richtlinien bezüglich grundlegender Verwaltungsanforderungen zur Cybersicherheit.

Was das für Cyber-Versicherungsmärkte bedeutet

Mit der Einführung verpflichtender Benachrichtigungen geht ein Ansteigen der Verlustkosten (z.B. Benachrichtigungskosten einschließlich rechtlicher Kosten zum Erstellen von Benachrichtigungen) für Unternehmen einher, die von einer Datenverletzung betroffen sind, insbesondere in Branchen, in denen eine hohe Anzahl an personenbezogenen Informationen verarbeitet/gespeichert wird (z.B. Gesundheitswesen, Einzelhandel, Datenverarbeitung). Dies sorgt wiederum für ein höheres Bewusstsein bei betroffenen Kunden und somit für einen möglichen Anstieg an Haftungsklagen aufgrund von Datenverstößen.

Erhöhte regulatorische Exponierung durch neue Compliance-Anforderungen. Strafen sind in Japan nicht versicherbar, jedoch kann dieses Gesetz zu einer erhöhten Exponierung in Bezug auf Eigenuntersuchungen und Eigenberichtskosten gegenüber der Aufsichtsbehörde führen, was wiederum versicherbar ist.

Der Anstieg der Risiken, wie beschrieben, sollten daher Unternehmen dazu motivieren, ihre Vorbereitung auf einen Verstoßfall sowie die damit verbundenen möglichen Kosten zu überdenken, was in einer steigenden Nachfrage nach Cyber-Versicherungen resultiert. 

Wesentliche aktuelle und geplante Vorschriften

Am 1. Januar 2020 lief die Übergangsfrist bezüglich der Compliance mit dem Network Act (Netzwerkgesetz), einschließlich verpflichtender Cyber-Versicherung für von diesem Gesetz betroffene Unternehmen, ab. Im Allgemeinen unterliegen Unternehmen, die personenbezogene Daten verarbeiten, dem Network Act und der erforderliche Versicherungsschutz bezieht sich auf Datenverlust durch Dritte.

Im Januar 2020 wurde das Personal Information Protection Act (Gesetz zum Schutz personenbezogener Daten) angepasst, um das Konzept personenbezogener Daten (einschließlich der Unterscheidung zwischen personenbezogener, pseudonymisierter und anonymisierter Daten) und den zulässigen Rahmen bezüglich Umgang/Verarbeitung solcher Daten zu verdeutlichen. Durch einen klareren Rahmen können Unternehmen besser beurteilen, wie sie Daten verwalten, und gegebenenfalls in Risikomanagementprozesse/-rahmenwerke gemäß ihren Anforderungen investieren.

Was das für Cyber-Versicherungsmärkte bedeutet

Es wurde von einem Anstieg des Bedarfs an Cyber-Versicherung ausgegangen. Da die Umsetzung in Bezug auf regulatorische Gesetze erst am Anfang steht und das Bewusstsein auf dem Markt noch relativ niedrig ist, hat die Nachfrage noch nicht die Erwartungen der Versicherungsbranche erfüllt.

Kürzlich fand ein Zusammenschluss der Datenschutz-Aufsichtsverantwortlichkeiten zugunsten der Personal Information Protection Commission (Schutzkommission für personenbezogene Daten) („PIPC“) statt, einer zentralen Behörde, die dem Büro des Premierministers untersteht. Die PIPC ist nun Teil der Central Data Privacy Regulatory Authority (Zentrale Datenschutz-Regulierungsbehörde). Mit dieser Änderung erwarten wir aktivere Durchsetzungshandlungen durch die PIPC in Bezug auf Datenschutz, da diese mehr im Fokus der Regierung stehen und mit mehr Autorität durchgesetzt werden.

Wesentliche aktuelle und geplante Vorschriften

Singapur: Durchsetzung der Personal Data Protection Commission (Kommission zum Schutz personenbezogener Daten) (PDPC) zum Verhindern nicht autorisierter Offenlegung personenbezogener Daten. Gesetz zum Anpassen der PDPC im Jahr 2020 (Bestätigung ausstehend):

• Mindeststrafe von 1 Million SGD oder 10 % des Umsatzes
• Benachrichtigung der PDPC und der betroffenen Personen innerhalb von 3 Tagen
• Das Unternehmen muss eine Bewertung des vermuteten Datenverstoßes durchführen

Thailand: Ende Mai 2020 wäre die Übergangsfrist abgelaufen und die neue Richtlinie (PDPA) und das Cybersecurity Act (Cybersicherheitsgesetz) wären in Kraft treten. Aufgrund von COVID hat die Regierung die Umsetzung um bis zu ein Jahr verschoben. Ähnlich wie auch bei der DSGVO gibt es eine 72-stündige Benachrichtigungsfrist, ebenso für Strafen.

Was das für Cyber-Versicherungsmärkte bedeutet

Mit der Einführung einer verpflichtenden Benachrichtigung (fristgebunden) wird es zu einem Anstieg an Verlustkosten bei Unternehmen kommen, die von einem Datenverstoß betroffen sind.

Erhöhte und definierte Geldstrafen für Verletzungen (Singapur und Thailand)

Eine erhöhte regulatorische Aufsicht in Bezug auf die Datenschutzgesetze (SG/Thailand) wird für mehr Aufmerksamkeit und Bemühungen zum Verbessern allgemeiner Datenschutzeinhaltung und Cybersicherheit sorgen. 

Wesentliche aktuelle und geplante Vorschriften

Mit dem neuen Sicherheitsgesetz werden Cybersicherheitsstandards auf nationaler Ebene eingeführt [Multi-level Protection Scheme (Mehrschichtiges Schutzsystem) „MLPS 2.0“]. Diese Aktualisierung des ursprünglichen MLPS 1.0, dessen Fokus zuvor mehr auf ausschließlich kritischer Infrastruktur lag, umfasst nun alle Unternehmen, die ein Netzwerk bedienen (eine breite Definition, die jede verbundene Computerverarbeitung / das Senden von Daten umfasst).

• In dem System werden 5 Hauptebenen für Mindestsicherheitsanforderungen basierend auf der Empfindlichkeit der Branche und der Art von Informationen, die durch das Unternehmen verarbeitet werden, dargelegt. Jede Ebene sieht unterschiedliche Bewertungsanforderungen vor, wobei Ebene 1 nur eine Selbstbewertung erfordert, während höhere Ebenen die Bewertung durch einen Dritten vorsehen.
• Die auferlegten Strafen können in Fällen, in denen wichtige Daten verletzt werden, bis zu 1 Million RMB betragen.
• Dies gilt für alle Unternehmen, die in Festlandchina tätig sind.

Was das für Cyber-Versicherungsmärkte bedeutet

Während Strafen in China nicht versicherbar sind, kann dieses Gesetz zu einer erhöhten Exponierung in Bezug auf Eigenuntersuchungen und Eigenberichtskosten gegenüber der Aufsichtsbehörde führen, was wiederum versicherbar ist.

Die erhöhte regulatorische Aufsicht bezüglich der Mindestsicherheitsanforderungen wird für ein wachsendes Bewusstsein und Bemühungen zum Verbessern der allgemeinen Widerstandskraft in Sinne der Cybersicherheit durch Unternehmen führen.

Das sollte sich auf ein erhöhtes Risikobewusstsein und den Bedarf an Lösungen, wie beispielsweise Cyber-Versicherung, übertragen lassen. 

Wesentliche aktuelle und geplante Vorschriften

Im Jahr 2020 werden dem Parlament mögliche Entwürfe zu Gesetzesänderungen am Australian Privacy Act (Australisches Datenschutzgesetz) vorgestellt. Die vorgeschlagenen Änderungen beinhalten Folgendes:

• Höhere Geldstrafen für Verletzungen des Datenschutzgesetzes
• Ausweiten der Definition von personenbezogenen Informationen zum Erfassen technischer Details und Online-Kennungen (z.B. IP-Adressen, Gerätekennungen, Standortdaten)
• Änderungen an der Einwilligungserklärung – die Erklärungen müssen in einfachem Englisch sowie präzise, transparent und leicht zugänglich sein
• Recht für Einzelpersonen, Klagen und Sammelklagen aufgrund eines Eingriffs in die Privatsphäre gegen Unternehmen direkt einzureichen, die den Australian Privacy Principles (Australische Datenschutzgrundsätze) (APPs) unterliegen
• Ein neuer Privacy Code of Practice (Privatsphärerichtlinie) für digitale Plattformen (insbesondere soziale Medien) mit Fokus auf verletzliche Gruppen, wie beispielsweise Kinder

Die Regierung hat angedeutet, dass sie im Jahr 2021 eine umfassende Prüfung des Privacy Act (Datenschutzgesetz) durchführen und über ein Recht auf Löschung von Informationen durch Kunden beraten wird.

Was das für Cyber-Versicherungsmärkte bedeutet

Das Stärken des bestehenden Datenschutzrahmens und der Befugnisse des Office of the Australian Information Commissioner (Büro des australischen Informationskommissars) (OAIC) wird zusätzlichen Druck auf Unternehmen ausüben, um ihre Widerstandsfähigkeit gegen Cybervorfälle sicherzustellen, und um zu garantieren, dass ihre Fähigkeit, zu erkennen, zu reagieren und wiederherzustellen den Bedrohungen angemessen ist. 

Das steigende Abwärtsrisiko durch regulatorische Prüfung und höhere Strafen kann Unternehmen dazu motivieren, ihre bestehenden Budgets für IT-Sicherheit sowie ihr Datenschutzniveau und ihre Versicherungsausgaben zu überprüfen. 

Für bestehende Cyber-Portfolios können diese erdrückenden Datenschutzgesetze zu erhöhten Eigenschädenkosten führen und die Schwelle für Haftpflichthandlungen senken.

Wesentliche aktuelle und geplante Vorschriften

Das neuseeländische Datenschutzgesetz 2020 soll am 1. Dezember 2020 in Kraft treten. Die wesentlichen Änderungen umfassen Folgendes:

• Verpflichtende Benachrichtigung über Datenverstöße, die ein Risiko für „ernsthafte Schäden“ für Einzelpersonen darstellen
• Größere Befugnisse für den Privacy Commissioner (Datenschutzkommissar), einschließlich Strafen für Nichteinhaltung und dem Verpflichten von Unternehmen, Einzelpersonen Zugriff auf ihre eigenen Daten zu gewähren
• Erfordernis für neuseeländische Unternehmen, sicherzustellen, dass ausländische Unternehmen, mit denen Daten geteilt werden, über ähnliche Datenschutzniveaus verfügen
• Das Nicht-Melden von Datenverstößen oder das Behindern des Datenschutzkommissars gelten als Straftat
• Das neue Gesetz gilt für Unternehmen, die in Neuseeland tätig sind, selbst, wenn sie keine physische Präsenz in dem Land haben

Was das für Cyber-Versicherungsmärkte bedeutet

Obwohl die Höchststrafen für Datenverletzungen in Neuseeland im Vergleich zu anderen Rechtsprechungen relativ gering sind (10.000 NZD), sollte das Einführen verpflichtender Berichterstattung Unternehmen dazu motivieren, ihre Vorbereitung auf einen Verstoßfall sowie die damit verbundenen möglichen Kosten zu überdenken. Durch die Unterstützung eines Versicherungsmaklers mit Erfahrung mit Cyberprodukten und -Exponierung können wir unter Umständen von einer steigenden Nachfrage nach Deckung ausgehen, da Unternehmen nach Möglichkeiten suchen, die steigenden Eigenkosten für Benachrichtigungen zu übertragen und die bereits etablierten Dienstleitungsnetzwerke von Versicherern zu nutzen.  

·Für bestehende Cyber-Portfolios kann die verpflichtende Berichterstattung sowohl die Häufigkeit als auch die Schwere von Eigenschäden erhöhen, insbesondere in Branchen, die erhebliche personenbezogenen Informationen (PII) erfassen und verarbeiten, wie beispielsweise Einzelhandel, Gesundheitswesen, Finanzinstitute usw. 

Cyber ist ein strategisches Wachstumsfeld von Munich Re. Als weltweit führender Rückversicherer arbeiten wir eng mit unseren Zedenten zusammen, um den Risikotransfer mit einer umfassenden Dienstleistung zu verbinden, die die gesamte Wertschöpfungskette, vom Vertrieb und der Risikoprüfungsschulung, über automatische Angebotserstellung bis hin zu Bindungssystemen und Dienstleistungen nach einem Vorfall, abdeckt. Je nach Zielsegment, den Marktverhältnissen und den Fertigkeiten des Zedenten passen wir unser Dienstleistungsangebot individuell an, um sicherzustellen, dass unsere Zedenten Zugriff auf die meisten auf den Markt und den Kunden angepassten Dienstleistungsmodelle haben. Unsere Dienste beschränken sich jedoch nicht darauf, unsere Klienten bei ihrem Markteintritt zu unterstützen, sondern wir arbeiten ständig daran, versteckte Cyberrisiken in bestehenden Policen (stillschweigendes Cyber) aufzudecken und die Risiken sowohl auf individueller als auch auf Portfoliobasis angemessen zu bewerten.

Unser Ziel - in Zusammenarbeit mit unseren Kunden - ist es, Cyberrisiken versicherbar und, was sogar noch wichtiger ist, zu einem nachhaltigen Cybermarkt zu machen, der realistische Kumulszenarien und das Aufrechterhalten der Risikoprüfungexzellenz berücksichtigt. Unsere preisgekrönte Expertise, die dieses Ziel unterstützt, gründet sich auf 120 Mitarbeiter, die weltweit im Bereich Cyber tätig sind, und wird durch das Fachwissen unseres Partnernetzwerks in Bezug auf Vorfallsreaktion erweitert.

Schlussendlich ist es unser Ziel bei Munich Re, sicherzustellen, dass wir unsere Zedenten dabei unterstützen, die richtigen Antworten auf dieses dynamische und ständigem Wandel unterliegende Risiko zu finden, und diese auf nachhaltige Weise umzusetzen - sowohl im Cybergeschäft für Unternehmen als auch für Privatpersonen und unabhängig von zusätzlichen Lösungen, die wir anbieten. 

Disclaimer

Dieser Beitrag enthält in die Zukunft gerichtete Aussagen, die auf derzeitigen Annahmen und Prognosen der Experten von Munich Re beruhen. Bekannte und unbekannte Risiken, Ungewissheiten und andere Faktoren können dazu führen, dass die tatsächlichen Marktentwicklungen in der Region Asien-Pazifik wesentlich von den hier gemachten zukunftsgerichteten Aussagen abweichen. Die Gesellschaft übernimmt keine Verpflichtung, diese zukunftsgerichteten Aussagen zu aktualisieren oder sie an zukünftige Ereignisse oder Entwicklungen anzupassen.