Appearance
Compliance, Recht und Versicherung
Dieses Dokument beschreibt die rechtlichen, regulatorischen und versicherungstechnischen Anforderungen sowie die entsprechenden Pflichten der CERTANIA Holding GmbH im Kontext des Disaster Recovery.
Normative Grundlagen
Der Disaster Recovery Plan der CERTANIA Holding GmbH richtet sich nach den folgenden verbindlichen und empfohlenen Standards:
| Standard | Relevanz | Anforderung |
|---|---|---|
| DSGVO / GDPR | Verbindlich | Art. 32 (techn./org. Maßnahmen), Art. 33 (Meldepflicht 72h), Art. 34 (Benachrichtigung Betroffener) |
| ISO 22301:2019 | Empfohlen | Business Continuity Management System (BCMS) |
| BSI 200-4 | Empfohlen | BCM nach deutschem Standard |
| NIST SP 800-34 Rev. 1 | Empfohlen | Contingency Planning |
| NIS2-Richtlinie (EU 2022/2555) | Relevanzprüfung | Melde- und Sicherheitspflichten für wesentliche/wichtige Einrichtungen |
| DORA (EU 2022/2554) | Relevanzprüfung | Digital Operational Resilience Act für Finanzunternehmen |
DSGVO-Anforderungen im DR-Kontext
Art. 32 – Sicherheit der Verarbeitung
CERTANIA ist verpflichtet, technische und organisatorische Maßnahmen (TOM) zu implementieren, die die Verfügbarkeit, Integrität und Vertraulichkeit personenbezogener Daten sicherstellen. Der vorliegende DRP ist Bestandteil dieser TOMs.
Relevante Maßnahmen:
- Immutable Backups (Hornet Security) zur Sicherstellung der Wiederherstellbarkeit
- Zugangskontrolle und MFA für alle Systeme mit personenbezogenen Daten
- Verschlüsselung von Daten in Transit und at Rest (M365-Standard)
Art. 33 – Meldung von Datenschutzverletzungen
Bei einer Datenschutzverletzung (Datenpanne) gilt:
- Frist: Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden
- Meldestelle: Immer den DPO (Datenschutzbeauftragten) informieren, der die Meldung an die zuständige Aufsichtsbehörde koordiniert
- Verantwortlich: DPC (Aline Banhara oder Alexander Schedler) in Abstimmung mit dem Datenschutzbeauftragten
- Datenschutzbeauftragter: Fabian Fromm
Art. 34 – Benachrichtigung der betroffenen Personen
Wenn die Verletzung voraussichtlich ein hohes Risiko für natürliche Personen zur Folge hat, sind diese unverzüglich zu benachrichtigen. Vorlagen dazu in Anhang A3.
DORA – Digital Operational Resilience Act
⚠️ PLATZHALTER – DORA-Relevanzprüfung: Tina Turner (DRM) bis [30.09.2026] prüfen, ob CERTANIA als Finanzunternehmen im Sinne von DORA (EU 2022/2554) einzustufen ist. DORA gilt primär für Finanzinstitute, Versicherungen und deren kritische IT-Dienstleister.
Cyber-Versicherung
CERTANIA Holding GmbH verfügt über folgende Cyber-Versicherung:
| Attribut | Wert |
|---|---|
| Versicherer | Coalition |
| Policen-Nummer | C-52RZ-008560-CYBER-2025 |
| Notfall-Hotline | +49 699 6759 996 |
| CLAIMS@COALITIONINC.COM | |
| Deckungssumme | 5.000.000 € |
| Selbstbehalt | 187.500 € |
| Versicherte Risiken | Siehe Deckungsübersicht unten |
| Meldefrist bei Schadeneintritt | 72h |
Deckungsübersicht (Coverage Module)
Die nachfolgende Tabelle gibt einen Überblick über die versicherten Module, die jeweiligen Sub-Limits sowie die Selbstbehalte je Schadenereignis gemäß Polizze C-52RZ-008560-CYBER-2025.
| Coverage Module | Sub-Limit (je Vorfall) | Selbstbehalt (je Vorfall) |
|---|---|---|
| Third-Party Liability | ||
| Info Security & Privacy Liability (§ 1.1) | 5.000.000 € | 75.000 € |
| PCI Penalties (§ 1.2) | 5.000.000 € | 75.000 € |
| Payment Transfer Liability (§ 1.3) | 5.000.000 € | 75.000 € |
| Media Liability (§ 1.4) | 5.000.000 € | 75.000 € |
| First-Party Costs | ||
| Immediate Response (§ 2.1) | Begrenzt auf erste 72 Stunden | 0 € |
| Crisis Response Costs (§ 2.2.1) | 5.000.000 € | 75.000 € |
| Public Relations Event (§ 2.2.2) | 5.000.000 € | 75.000 € |
| Cyber Extortion (§ 2.2.3) | 1.000.000 € | 75.000 € |
| Business Interruption – BI (§ 2.2.4a) | 5.000.000 € | 75.000 € |
| BI Hosted Systems (§ 2.2.4b) | 1.000.000 € | 75.000 € |
| Data/System Restoration (§ 2.2.5) | 5.000.000 € | 75.000 € |
| Hardware Replacement (§ 2.2.6) | 1.000.000 € | 75.000 € |
| System Improvement (§ 2.2.7) | 50.000 € | 50.000 € |
| Reputational Harm (§ 2.2.8) | 1.000.000 € | n/a (14 Tage Wartezeit) |
| Reward Fund (§ 2.2.9) | 50.000 € | 0 € |
| Cyber Crime (§ 2.3) | ||
| Funds Transfer Fraud / Social Engineering | Nicht versichert | – |
| Service Fraud / Cryptojacking | Nicht versichert | – |
| Identity Deception Costs | Nicht versichert | – |
| Invoice Manipulation | Nicht versichert | – |
| Procedural Protection | ||
| Regulatory Defense & Fines (§ 2.4) | 5.000.000 € | 75.000 € |
⚠️ Hinweis: Cyber Crime (§ 2.3) ist im aktuellen Deckungsumfang nicht versichert. Bei Bedarf ist eine Erweiterung der Police mit Alexander Schedler (DRM) und dem Versicherer Coalition abzustimmen.
Meldeprozess bei Versicherungsschaden:
- Sofortige telefonische Meldung an Coalition (Notfall-Hotline)
- Schriftliche Meldung innerhalb der vertraglich festgelegten Frist
- Keine Lösegeldzahlungen ohne vorherige Abstimmung mit Coalition
- Dokumentation aller Schritte für Versicherungsnachweis
- Forensik-Dienstleister nur mit Abstimmung der Versicherung beauftragen
Aufbewahrungspflichten
Alle DRP-relevanten Dokumente, Testprotokolle und Vorfallsdokumentationen unterliegen den folgenden Aufbewahrungspflichten:
| Dokumenttyp | Aufbewahrungsfrist | Grundlage |
|---|---|---|
| Incident-Dokumentation bei Datenpanne | Mindestens 5 Jahre | DSGVO Art. 5 Abs. 2 |
| DRP-Versionen und Änderungshistorie | Mindestens 3 Jahre | BSI 200-4 |
| Testprotokolle | Mindestens 3 Jahre | ISO 22301 |
| Versicherungsdokumente | Laufzeit + 5 Jahre | Handelsrecht |
Änderungshistorie
| Version | Datum | Autor | Änderung |
|---|---|---|---|
| 0.1 | 2026-02-24 | Alexander Schedler | Initiale Erstellung |
| 0.2 | 2026-02-24 | Alexander Schedler | Deckungsübersicht Coalition-Police (Coverage Module) eingetragen |
Dokumentensteuerung
| Feld | Wert |
|---|---|
| Dokumentenname | 10_Compliance-Recht-Versicherung.md |
| Version | 0.1 |
| Status | Entwurf |
| Erstellt von | Alexander Schedler |
| Freigegeben von | – |
| Datum | 2026-02-24 |
| Nächste Überprüfung | 2027-02-24 |