Die SmartInsurtech AG aus Berlin wurde laut ihrer Presseerklärung vom 13.02.2023 Opfer eines Cyberangriffs. Dies hat gravierenden Folgen für die bei ihr angeschlossenen Versicherungsmakler. In vielen Fällen ist deren Geschäft vollständig zum Erliegen gekommen. Aus der Branche wurde berichtet, dass häufig nicht einmal eine Email Kommunikation mit Kunden möglich ist.
Neben diesen praktischen Schwierigkeiten ergeben sich für die Maklerunternehmen aber auch erhebliche datenschutzrechtliche Konsequenzen. Auch wenn sie selbst ihre Datenverarbeitung an SmartInsurtech ausgelagert haben, sind sie doch für die Sicherheit der Kundendaten verantwortlich. Besondere Relevanz hat dies bei Daten aus Kranken- oder Vermögensversicherungsverträgen.
Die Maklerunternehmen sind wegen ihrer Datenverantwortlichkeit verpflichtet, die mögliche Datenschutzverletzung bei ihrem Dienstleister gemäß Art. 33 DSGVO bei der zuständigen Aufsichtsbehörde anzuzeigen. Die Anzeige durch SmartInsurtech allein reicht nicht aus, da das Unternehmen als Auftragsverarbeiter einer eigenen Anzeige-Verpflichtung unterliegt.
Eine andere Frage ist, ob Makler auch verpflichtet sind, ihre Kunden von dem Cyberangriff zu informieren, gemäß Art. 34 DSGVO. Dies kann jetzt noch nicht abschließend beurteilt werden, weil noch keine Erkenntnisse zu einem Datenabfluss bei SmartInsurtech vorliegen. Laut SmartInsurtech soll dies bislang nicht der Fall sein.