DSGVO und Cyber-Versicherung

Bisher sah § 43 BDSG ein maximales Bußgeld in Höhe EUR 300.000,00 vor. Nach der DSGVO können Aufsichtsbehörden nunmehr Bußgelder von bis zu EUR 20 Millionen oder bei Unternehmen von bis zu 4 Prozent des weltweiten Umsatzes des Vorjahrs verhängen.

Zur Absicherung des finanziellen Risikos wird vielfach auf eine Cyber-Versicherung verwiesen. In der Tat decken führende Cyber-Versicherungen in ihren Bedingungen auch diese Art von Bußgeldern ab. Offen ist aber nach derzeitigem Stand, ob Bußgelder überhaupt nach geltendem Recht versicherbar sind. Nach wohl herrschender Meinung würde dies gegen § 134 und § 138 BGB verstoßen. Der Sanktionszweck der Unternehmensbuße liegt in der Repression und Prävention gegenüber dem Unternehmen. Dies würde durch eine Versicherung unterlaufen. Es gibt allerdings auch Stimmen, die danach differenzieren, um welche Art von Buße beziehungsweise staatliche Sanktion es sich handelt oder welcher Verschuldensgrad (Vorsatz oder Fahrlässigkeit) einschlägig ist.

Unabhängig von dieser Rechtsunsicherheit für Deutschland gehen einige Cyber-Versicherer davon aus, dass es durchaus Länder in der EU gibt, in den einen Versicherbarkeit von Bußgeldern möglich sei. Aber hier gibt es noch keine abschließende und vor allem keine gerichtsfeste Einstufung. Weitere territoriale Anwendbarkeiten sind ebenfalls denkbar, schließlich bieten Cyber-Versicherungen oftmals weltweiten Versicherungsschutz. Deswegen finden sich auch in Versicherungsbedingungen Formulierungen, dass Bußgelder gedeckt sind, sofern es gesetzlich zulässig ist.

Auch wenn sich eine Versicherbarkeit von DSGVO-Bußgeldern insbesondere als Marketinginstrument aufdrängt, kann eine Cyber-Versicherung in dem Gesamtkontext DSGVO andere, nicht zu unterschätzende Dienste erbringen. Die Deckungsschutzelemente einer Cyber-Versicherung setzen diesbezüglich wesentlich früher an.

Insofern gilt es vor allem, eine mögliche Verhängung von Bußgeldern zu vermeiden, indem sich das Unternehmen adäquat rechtlich zur Wehr setzen kann. Sowohl für das mögliche Schadenszenario eines Haftpflicht- als auch dem eines Eigenschadens sollte die Datenschutz- bzw. Datenvertraulichkeitsverletzung ein deckungsauslösendes Ereignis sein.

Dabei sollte Versicherungsschutz neben der Kostentragung für die Schadenermittlung auch darin bestehen, dass das Unternehmen die Kosten für die Prüfung einer vermeintlichen Datenschutzrechtsverletzung einschließlich einer rechtlichen Empfehlung zur weiteren rechtlichen Vorgehensweise im Hinblick auf eine Minderung der negativen Folgen durch auf Datenschutzrecht spezialisierte Rechtsanwaltskanzleien erstattet bekommt.

Selbiges muss für die Informations- und Benachrichtigungskosten selber gelten. Aber auch für Kosten zur Abwehr oder Minderung eines (drohenden) Reputationsschadens mittels externer Krisen- und Kommunikationsberater sollten versichert sein, wenn das Unternehmen über Datenschutzverletzungen öffentlich informieren muss.

Mit Artikel 82 DSGVO wird ferner eine verschärfte Schadenersatzpflicht für den Fall festgeschrieben, dass materielle oder auch immaterielle Schäden bei Dritten entstehen. Hier hilft die Cyber-Versicherung neben dem Schadenausgleich vor allem dadurch, dass das Unternehmen in die Lage versetzt wird, sich durch spezialisierte Rechtsanwälte gegen entsprechende Vorwürfe zu verteidigen und die anfallenden Abwehrkosten übernimmt. Dies ist umso bedeutender, wenn man an die gesamtschuldnerische Haftung im Falle einer Auftragsdatenverarbeitung durch externe Dienstleister denkt. Hier steht man gegebenenfalls für deren Verschulden einmal „im Feuer“. Ein Regress ist möglicherweise erst im zweiten Schritt möglich.

Auch wenn das konkrete Bußgeld möglicherweise nicht durch eine Cyber-Versicherung versicherbar ist, bietet eine solche Versicherung doch viele Deckungselemente bei DSGVO-Datenschutzverletzungen, die neben zahlreichen Kostenübernahmen auch die faktische Unterstützung durch professionelle Dienstleister garantiert.

Autor:
Dr. Stefan Steinkühler, LL.M.
Finlex GmbH, Frankfurt

Unsere Empfehlungen für Sie: