Datendiebstahl und Schadenersatz - Symbolbild von Kris / TheDigitalWay via Pixabay

EuGH zu Datendiebstahl durch Hacker: kein Schadenersatz „einfach so“, ohne Schaden

Ist Datendiebstahl stets ein Schaden? Genügt der Diebstahl persönlicher Daten, damit Betroffene vom Betreiber einer gehackten Trading App Schadenersatz fordern können? Oder müssen sie dafür konkrete Schäden nachweisen, zum Beispiel Identitätsdiebstahl? Dazu hat sich vor kurzem der Europäische Gerichtshof geäußert. Das Urteil ist für alle Unternehmen wichtig, die Daten von Kunden oder Interessenten speichern, wie E-Commerce-Anbieter und Shop-Betreiber.

Gleichzeitig ist die Frage nach der Haftpflicht für Datenschutzverletzungen nur ein Aspekt des Cyber-Risikos. Bei Online-Angriffen drohen auch immense Eigenschäden durch Betriebsunterbrechung und Neuinstallation. Zum Glück können beide Schadensarten versichert werden: durch Haftpflicht- und Cyber-Versicherungen.

Diebstahl persönlicher Daten als immaterieller Schaden?

Die Artikel 82 der Datenschutz-Grundverordnung ist eindeutig: Wer für einen Datenschutzverstoß verantwortlich ist, muss den Betroffenen Schadenersatz leisten. Das gilt für materielle Schäden, etwa durch Einkäufe mit gestohlener Identität. Es betrifft außerdem immaterielle Schäden wie Verletzungen des Persönlichkeitsrechts durch Veröffentlichung von Privatinformationen. Zahlen müssen nicht nur die Cyber-Kriminellen, die ohnehin selten gefasst werden. Auch die Betreiber gehackter Plattformen haften für mangelnde Sicherheitsmaßnahmen.

Ein Streitpunkt war lange, ob bereits der Datendiebstahl selbst zu einem immateriellen Schaden führt, weil die Besitzer der Daten in Sorge vor möglichem Missbrauch leben müssen. Das machten zwei Nutzer der Trading-App von Scalable Capital geltend, nachdem Hacker sich 2020 bei dem Online-Broker Zugriff auf viele Tausend Datensätze verschafft hatten. Zwei der Betroffenen klagten vor dem Amtsgericht München. Das Amtsgericht hatte Fragen zu dem Fall, die es dem Europäischen Gerichtshof vorlegte.

Schadenersatz nach einem Online-Angriff: Der EuGH nimmt Stellung

Der EuGH entschied, dass der Schadenersatz keine Straffunktion hat. Ausmaß und möglicher Vorsatz bei Datenschutzversäumnissen spielen für die Schadenersatzhöhe keine Rolle. Zwar wiegt der immaterielle Schaden durch Datendiebstahl per se nicht weniger schwer als etwa eine Körperverletzung. Allerdings genügt laut EuGH bei einem geringfügigen Schaden bereits ein symbolischer Schadenersatz. Und ein Identitätsdiebstahl, der eine entsprechende größere Schädigung belegen würde, liegt erst vor, wenn die gestohlenen Personendaten tatsächlich missbraucht werden.

Das Urteil stärkt einerseits die Rechte der Opfer von Datendiebstahl: auch ihre immateriellen Schäden müssen ersetzt werden und können zu Schmerzensgeld berechtigen. Andererseits liefert es keine Grundlage, um schon beim reinen Abfluss personenbezogener Daten Schadenersatz zu fordern. Dafür muss eine materielle oder immaterielle Schädigung belegt werden (EuGH, 20.06.2024 – C-182/22 und C-189/22).

In einem anderen Verfahren hatte das Landgericht München I einem Kunden von Scalable aufgrund des Diebstahls seiner Daten 2.500 Euro Schmerzensgeld zugesprochen. Inzwischen ist dieser Fall beim Oberlandesgericht anhängig (OLG München – 36 U 138/22).

Datenschutz-Haftung nach einem Datendiebstahl ist nur ein Aspekt: Was ist mit den Eigenschäden?

Die EuGH-Urteil findet medial große Beachtung. Die Haftung für gestohlene Daten gilt zurecht als brisant. Trotzdem kämpfen Unternehmen, die Opfer von Hackern werden, regelmäßig mit einem weiteren, mindestens ebenso großen Problem: den Eigenschäden durch wochenlange Betriebsunterbrechung, Image-Verlust, nicht erfüllte Verträge und teurer Neuinstallation der betrieblichen IT.

Viele Unternehmen sind gegen Schadenersatzpflichten durch Haftpflichtversicherungen ausreichend geschützt – dem Risiko, dass der EuGH in Bezug auf DSGVO-Verstöße ein Stück weit begrenzt hat. Gleichzeitig haben zahlreiche Betriebe weiterhin keine Cyber-Versicherung – und damit keine Deckung für die Eigenschäden, die ihnen durch Online-Kriminelle jederzeit entstehen können.

Im Berlin Capital Club: Business-Talk-Frühstück mit dem Ethical Hacker Immanuel Bär

Im Berlin Capital Club findet am Dienstag, den 10. September 2024  von 09:00 bis 10:30 ein Business-Talk-Frühstück mit Immanuel Bär statt. Der Mitgründer der Prosec GmbH prüft durch Sicherheits-Scans und Penetration Testing, ob die IT-Systeme von Unternehmen möglichen Angreifern standhalten. Die Tests im Kundenauftrag sind realistisch, aber gefahrlos.

Gemeinsam mit Frank Schwandt, Berliner Fachmakler für Cyber-Versicherungsschutz, stellt Immanuel Bär beim Business-Talk-Frühstück seine Arbeit vor. Er wird zeigen, wie Cyber-Sicherheit in der Praxis möglich ist. Und er wird auf das persönliche Haftungsrisiko eingehen, das die EU-Richtlinie zur Cyber-Sicherheit (NIS2) für Geschäftsführer bedeutet: sie haften persönlich für eine angemessene IT-Sicherheit.

Die Anmeldung zum Business-Talk-Frühstück mit Immanuel Bär und acant-Geschäftsführer Frank Schwandt ist unter events@berlincapitalclub.de oder unter +49 30 2062976 möglich.

Cyber-Versicherung hilft Vereinspräsident nach Datenschutzskandal - Symbolbild: Chiraphat Phaungmala via Pixabay

Stabile Abwehr: ein Bundesligaverein, ein Datenschutzskandal und eine Cyber-Versicherung

Bei uns geht es um Versicherungen, nicht um Fußball. Die internen Querelen beim Bundesligaverein VfB Stuttgart sind aber auch aus Versicherungsmakler- Perspektive interessant. Im Mittelpunkt des Konflikts steht nämlich ein – vermutlich – handfester DSGVO-Verstoß. Eine Cyber-Versicherung spielt ebenfalls eine wichtige Rolle.

Rudelbildung: Offene Eskalation zwischen dem Vorstandschef und dem Aufsichtsratsvorsitzenden

Seit Beginn dieser Saison spielt der VfB Stuttgart als Aufsteiger wieder erste Bundesliga. Bisher sehr erfolgreich. Trotzdem gibt es großen Ärger. Thomas Hitzlsperger, Vorstandvorsitzender der fürs Profigeschäft zuständigen Aktiengesellschaft VfB AG, hat Claus Vogt, seinen Aufsichtsratsvorsitzenden und Präsidenten des VfB e. V. , offen angegriffen.

Ein „tiefer Riss“ gehe durch den Verein, zwischen dem Aufsichtsratsvorsitzenden einerseits und „dem gesamten Vorstand der AG und zahlreichen Gremienmitgliedern aus Präsidium, Aufsichtsrat und Vereinsbeirat sowie Mitarbeiterinnen und Mitarbeitern“ andererseits. „Der Profilierungswunsch eines Einzelnen“ bedrohe die Existenz des VfB. Jetzt will Hitzlsperger selbst e.V.-Präsident werden.

Hintergrund: Der Umgang mit einem massiven DSGVO-Verstoß

Konflikte zwischen Vorstand und Aufsichtsrat gibt es in vielen AGs. Eine derart klare Grätsche hat trotzdem Seltenheitswert. Hauptauslöser des Konflikts ist der Umgang mit einer massiven Datenschutzaffäre, zu der es offenbar von 2016 bis 2018 kam. In dieser Zeit versuchte die Vereinsführung, die Mitglieder von der Ausgliederung des Profigeschäfts in besagte AG zu überzeugen. Rechtzeitig vor der entscheidenden Mitgliederversammlung wurde eine externe PR-Agentur beauftragt. Ihr Job: Guerilla-Marketing bei Facebook & Co. Dazu soll sie aus der Vereinszentrale personenbezogene Daten von Mitgliedern samt Telefonnummern und E-Mailadressen erhalten haben, insgesamt mehr als 200.000 Datensätze.

Es sah nach einem klaren Datenschutz-Verstoß aus. 2020 berichtete der Kicker. Der VfB-Kommunikationschef wurde beurlaubt. Der Landesdatenschutzbeauftragte startete eine Untersuchung. Vogt beauftragte die Berliner Kanzlei Esecon mit eigenen Nachforschungen. Dieses Mandat sei jedoch „ohne Ausschreibung, ohne Kostenschätzung und ohne Projektplan“ erteilt worden und habe zu „ausufernden Kosten“ geführt, so Hitzlsperger. Nun müsse die AG den Verein unterstützen, um ihn vor der Zahlungsunfähigkeit zu bewahren.

Zahlungsunfähig wegen einer Datenschutz-Aufklärung? Nicht, wenn die Cyber-Versicherung einspringt

Die Honorare von Esecon für die Aufklärungsarbeit rund um den DSGVO-Verstoß sollen sich auf 400.000 Euro belaufen – bisher. Viel Geld für einen Verein. Er darf ja, anders als die ausgegliederte AG, keine Gewinne anstreben, und nur begrenzt Rücklagen bilden.

Trotzdem konnte VfB-Präsident Vogt gegen Hitzlspergers Vorwurf mit einem entscheidenden Argument punkten: Die Kosten sind offenbar gedeckt durch eine Cyber-Versicherung, die der Verein mit der Allianz abgeschlossen hat. Die Versicherungssumme soll eine mittlere sechsstellige Summe betragen. Die Aufklärung von Datenschutzverstößen gehört bei einer Cyber-Versicherung in der Regel zu den versicherten Leistungen. Eine gute Cyber-Versicherung schützt nicht nur vor Schäden durch Viren und Trojaner, sondern auch durch DSGVO-Verstöße.

Cyber-Versicherung: Risikomanagement fürs Unternehmen, Absicherung für den Manager

Wie der Machtkampf beim VfB Stuttgart ausgeht, muss sich erst noch zeigen. Aber zwei Dinge stehen bereits fest:

  • Die Folgekosten eines größeren Datenschutzverstoßes können eine Organisation die Existenz kosten. Umgekehrt kann eine Cyber-Versicherung die Existenz retten – wenn man sie hat.
  • Wer als Führungskraft beizeiten eine Cyber-Versicherung abschließt, kann später damit punkten, dass er seiner Sorgfaltspflicht nachgekommen ist und vorgesorgt hat.

Wir von acant vermitteln seit vielen Jahren schwerpunktmäßig Cyber-Versicherungsschutz für Unternehmen, Vereine und andere Organisationen. Wir wissen, worauf es ankommt und wie Sie sich maßgeschneidert absichern. Rufen Sie uns an: 030 863 926 990.