Der Europäische Gerichtshof sorgt für verschärfte Haftung bei DSGVO-Verstößen, zum Glück kann die Schadenersatzpflicht versichert werden. Fotograf: Laurent Verdier via Pixabay

EuGH verschärft Datenschutz-Haftung – zum Glück lassen sich Datenschutzverletzungen versichern

Die Rechtsprechung des EuGH der letzten Monate verschärft das Risiko, für Datenschutzverletzungen zu haften. Unternehmen können solche Schadenersatzforderungen versichern. Allerdings ist der Versicherungsmarkt schwierig. Als Fach-Versicherungsmakler sorgt die Berliner acant.service GmbH für optimalen Schutz vor ruinösen Schadenersatzklagen aufgrund von Datenschutzverletzungen.

Schadenersatz für Datenschutzverstöße: neue Rechtsprechung steigert das Risiko

Der Europäische Gerichtshof hat in den letzten Monaten mehrere Entscheidungen zur DSGVO und zum Datenschutzrecht getroffen. In der Summe steigern sie das Risiko von Unternehmen, für Datenschutzverletzungen haften zu müssen, beträchtlich.

So können bereits „gefühlsmäßige Beeinträchtigungen“ durch eine Datenschutzverletzung Schadenersatzansprüche begründen. Mehr noch: allein schon die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann Schadenersatz rechtfertigen.

Angesichts dieser Entwicklung wird die Möglichkeit, das Unternehmen durch eine Cyberversicherung auch gegen DSGVO-Verstöße zu versichern, immer wichtiger. Gleichzeitig wird der Versicherungsmarkt zunehmend schwierig. Der Berliner Makler acant.service GmbH hilft Unternehmen dabei, individuell passenden Versicherungsschutz zu gestalten.

Der EuGH und die Schadenersatzpflicht für DSGVO-Verstöße

Der Europäische Gerichtshof hat sich in den letzten Monaten in einer ganzen Reihe von Urteilen zur Haftung für Datenschutzverstöße geäußert. Einige der Entscheidungen sind bemerkenswert:

  • Zwar reicht ein DSGVO-Verstoß für sich genommen nicht, um Schadenersatz zu fordern. Dafür genügen jedoch bereits kleine und auch immaterielle Schäden, beispielsweise „vorübergehende gefühlsmäßige Beeinträchtigungen“ durch den Datenmissbrauch. Eine Bagatellgrenze gibt es nicht. Dieses Fazit aus EuGH, 04.05.2023 – C-300/21 ist besonders dann fatal, wenn Daten einer großen Zahl von Personen missbraucht oder gestohlen werden: diese können dann grundsätzlich alle eine jeweils kleine, in der Summe aber sehr umfangreiche Entschädigung fordern. In dem Fall klagte ein Mann, dem die österreichische Post ohne Einwilligung eine hohe Affinität zu einer bestimmten Partei zugeordnet hatte. Er machte „großes Ärgernis“, einen „Vertrauensverlust“ und ein „Gefühl der Bloßstellung“ als Schaden geltend und forderte 1.000 Euro.

  • Unbefugter Zugriff auf personenbezogene Daten bedeutet zwar nicht automatisch, dass die Datenschutzmaßnahmen unzureichend waren. Allerdings ist das Unternehmen in der Beweispflicht, bei dem sich das Datenleck ereignet hat. Es muss nachweisen, dass es „in keinerlei Hinsicht“ verantwortlich ist. Und wenn eine betroffene Person den Missbrauch ihrer Daten auch nur befürchtet, kann das einen immateriellen Schaden darstellen, der zu Schadenersatz berechtigt. So kann man EuGH, 14.12.2023 – C-340/21 zusammenfassen. Die Klage drehte sich um einen Cyberangriff auf die IT-Systeme der bulgarischen Steuerverwaltung.

  • Datenschutzrechtlich Verantwortliche, also etwa Unternehmen, haften zwar nur dann für Missbrauch der von ihnen gespeicherten personenbezogenen Daten, wenn ihnen ein Verschulden anzulasten ist. Die Höhe der Entschädigung ist jedoch nicht an den Grad des Verschuldens gekoppelt. Damit sind selbst bei geringem Verschulden hohe Entschädigungen möglich, wenn der Datenverlust oder -missbrauch bei den Betroffenen zu hohen Schäden führt. Das Urteil EuGH, 21.12.2023 – C-667/21 kam zustande, nachdem der Angestellte des Medizinischen Dienstes einer Krankenkasse gegen seinen Arbeitgeber klagte.
    Auf seiner Grundlage werden jedoch auch hohe Schadenersatzpflichten begründbar, falls kleine technische Versäumnisse, von einfallsreichen Hackern für großangelegten Datendiebstahl genutzt werden.

  • Um Schadenersatzforderungen zu begründen, müssen Hacker gestohlene Daten nicht zum Identitätsdiebstahl genutzt haben. Ein entsprechender, immaterieller Schaden kann bereits dann bestehen, wenn Daten gestohlen wurden, die die Betroffenen identifizierbar machen. Das ergibt sich aus dem Schlussantrag des Generalanwalts zu den Fällen EuGH – C-182/22 und EuGH – C-189/22, die sich auf eine Datensicherheitsverletzung bei dem Broker Scalable Capital beziehen. Der EuGH hat noch nicht entschieden, folgt aber häufig dem Schlussantrag der Generalanwaltschaft.

Cyberversicherungen und Rechtsschutzversicherungen schützen

Das Risiko datenschutzrechtlicher Haftung wird für Unternehmen kontinuierlich brisanter. Dafür sorgen einerseits immer neue und raffinierte Angriffsmethoden von Cyber-Kriminellen. Andererseits setzt der europäische Gerichtshof einen Rechtsprechungsrahmen, der Schadenersatzforderungen gegen Unternehmen aufgrund von DSGVO-Verstößen in vielen Fällen begünstigt.

Ein Teil der notwendigen Reaktion sind professionelle IT-Sicherheit und Datenschutzvorkehrungen. Doch das genügt nicht. Solche Vorkehrungen gewährleisten nie komplette Sicherheit. Umso wichtiger ist Versicherungsschutz als Ergänzung:

  • Die finanziellen Folgen von Datenschutzverletzungen sind im Standardumfang von Cyber-Versicherungen abgedeckt. Eine Versicherungspolice fängt in der Regel die DSGVO-Schadenersatzpflichten nach einem erfolgreichen Hackerangriff auf.
  • Eine Rechtsschutzversicherung verhindert, dass Rechtsstreitigkeiten nach einem Datenverlust das betroffene Unternehmen ruinieren.

Als Fachmakler hilft acant dabei, den richtigen Versicherungsschutz zu erhalten

Allerdings ist der Markt für Cyber-Versicherungen in den letzten Jahren deutlich schwieriger geworden. Grund sind die massiv gestiegenen Schadensfälle durch erfolgreiche Angriffe auf Unternehmen. Die Versicherer bestehen auf umfangreichen Auflagen und Prüfungen. Außerdem haben sich die Versicherungsbedingungen vieler Angebote klar verschlechtert. Es wird schwieriger, individuell passende Policen zu finden bzw. auszuhandeln.

Umso wichtiger ist die Unterstützung und Beratung durch einen Fachmakler für Cyberversicherungen. Die acant.service GmbH hat 2013 als einer der ersten Versicherungsmakler in Deutschland die Vermittlung von Cyberpolicen begonnen. Inzwischen blickt das Berliner Unternehmen auf mehr als zehnjährige Erfahrung zurück: es kennt den Markt genau, hat direkte Kontakte zu den einschlägigen Versicherern und weiß, wie man auch in einem herausforderungsvollen Markt optimalen Cyber-Versicherungsschutz und individuelle Lösungen gewährleistet.
Interesse? Rufen Sie uns an (0176 10318791) oder schreiben Sie uns eine Nachricht!

Cyber-Versicherung hilft Vereinspräsident nach Datenschutzskandal - Symbolbild: Chiraphat Phaungmala via Pixabay

Stabile Abwehr: ein Bundesligaverein, ein Datenschutzskandal und eine Cyber-Versicherung

Bei uns geht es um Versicherungen, nicht um Fußball. Die internen Querelen beim Bundesligaverein VfB Stuttgart sind aber auch aus Versicherungsmakler- Perspektive interessant. Im Mittelpunkt des Konflikts steht nämlich ein – vermutlich – handfester DSGVO-Verstoß. Eine Cyber-Versicherung spielt ebenfalls eine wichtige Rolle.

Rudelbildung: Offene Eskalation zwischen dem Vorstandschef und dem Aufsichtsratsvorsitzenden

Seit Beginn dieser Saison spielt der VfB Stuttgart als Aufsteiger wieder erste Bundesliga. Bisher sehr erfolgreich. Trotzdem gibt es großen Ärger. Thomas Hitzlsperger, Vorstandvorsitzender der fürs Profigeschäft zuständigen Aktiengesellschaft VfB AG, hat Claus Vogt, seinen Aufsichtsratsvorsitzenden und Präsidenten des VfB e. V. , offen angegriffen.

Ein „tiefer Riss“ gehe durch den Verein, zwischen dem Aufsichtsratsvorsitzenden einerseits und „dem gesamten Vorstand der AG und zahlreichen Gremienmitgliedern aus Präsidium, Aufsichtsrat und Vereinsbeirat sowie Mitarbeiterinnen und Mitarbeitern“ andererseits. „Der Profilierungswunsch eines Einzelnen“ bedrohe die Existenz des VfB. Jetzt will Hitzlsperger selbst e.V.-Präsident werden.

Hintergrund: Der Umgang mit einem massiven DSGVO-Verstoß

Konflikte zwischen Vorstand und Aufsichtsrat gibt es in vielen AGs. Eine derart klare Grätsche hat trotzdem Seltenheitswert. Hauptauslöser des Konflikts ist der Umgang mit einer massiven Datenschutzaffäre, zu der es offenbar von 2016 bis 2018 kam. In dieser Zeit versuchte die Vereinsführung, die Mitglieder von der Ausgliederung des Profigeschäfts in besagte AG zu überzeugen. Rechtzeitig vor der entscheidenden Mitgliederversammlung wurde eine externe PR-Agentur beauftragt. Ihr Job: Guerilla-Marketing bei Facebook & Co. Dazu soll sie aus der Vereinszentrale personenbezogene Daten von Mitgliedern samt Telefonnummern und E-Mailadressen erhalten haben, insgesamt mehr als 200.000 Datensätze.

Es sah nach einem klaren Datenschutz-Verstoß aus. 2020 berichtete der Kicker. Der VfB-Kommunikationschef wurde beurlaubt. Der Landesdatenschutzbeauftragte startete eine Untersuchung. Vogt beauftragte die Berliner Kanzlei Esecon mit eigenen Nachforschungen. Dieses Mandat sei jedoch „ohne Ausschreibung, ohne Kostenschätzung und ohne Projektplan“ erteilt worden und habe zu „ausufernden Kosten“ geführt, so Hitzlsperger. Nun müsse die AG den Verein unterstützen, um ihn vor der Zahlungsunfähigkeit zu bewahren.

Zahlungsunfähig wegen einer Datenschutz-Aufklärung? Nicht, wenn die Cyber-Versicherung einspringt

Die Honorare von Esecon für die Aufklärungsarbeit rund um den DSGVO-Verstoß sollen sich auf 400.000 Euro belaufen – bisher. Viel Geld für einen Verein. Er darf ja, anders als die ausgegliederte AG, keine Gewinne anstreben, und nur begrenzt Rücklagen bilden.

Trotzdem konnte VfB-Präsident Vogt gegen Hitzlspergers Vorwurf mit einem entscheidenden Argument punkten: Die Kosten sind offenbar gedeckt durch eine Cyber-Versicherung, die der Verein mit der Allianz abgeschlossen hat. Die Versicherungssumme soll eine mittlere sechsstellige Summe betragen. Die Aufklärung von Datenschutzverstößen gehört bei einer Cyber-Versicherung in der Regel zu den versicherten Leistungen. Eine gute Cyber-Versicherung schützt nicht nur vor Schäden durch Viren und Trojaner, sondern auch durch DSGVO-Verstöße.

Cyber-Versicherung: Risikomanagement fürs Unternehmen, Absicherung für den Manager

Wie der Machtkampf beim VfB Stuttgart ausgeht, muss sich erst noch zeigen. Aber zwei Dinge stehen bereits fest:

  • Die Folgekosten eines größeren Datenschutzverstoßes können eine Organisation die Existenz kosten. Umgekehrt kann eine Cyber-Versicherung die Existenz retten – wenn man sie hat.
  • Wer als Führungskraft beizeiten eine Cyber-Versicherung abschließt, kann später damit punkten, dass er seiner Sorgfaltspflicht nachgekommen ist und vorgesorgt hat.

Wir von acant vermitteln seit vielen Jahren schwerpunktmäßig Cyber-Versicherungsschutz für Unternehmen, Vereine und andere Organisationen. Wir wissen, worauf es ankommt und wie Sie sich maßgeschneidert absichern. Rufen Sie uns an: 030 863 926 990.

DSGVO-Bußgelder Symbolbild, Foto: Achim Thiemermann via Pixabay

DSGVO-Bußgelder berechnen – und versichern

Konzept für die Bußgeldhöhe bei Datenschutzverstöße durch Unternehmen

Vor kurzem haben die zur „deutschen Datenschutzkonferenz“ zusammengefassten Datenschutzbeauftragten ein Konzept vorgestellt, nach dem sie Bußgelder bei DSGVO-Verstößen berechnen wollen.

Die Kalkulation ist durchaus kompliziert und einzelfallabhängig. Eines lässt sich aber direkt sagen: Es kann sehr schnell sehr teuer werden.

Drei Schritte zum DSGVO-Bußgeld

Grundsätzlich wird ein DSGVO-Bußgeld dem Konzept zufolge in drei Stufen ermittelt:

  1. Ausgangspunkt ist ein „Grundwert“, der vom Jahresumsatz abhängt. Der niedrigste Grundwert (bis 750.000 Euro Jahresumsatz) ist 972 Euro. Liegt der Jahresumsatz bei zwei Mio. Euro, gilt ein Grundwert von 4.722 Euro. Bei 12. Mio. Euro Jahresumsatz sind es schon 38.194 Euro.
  2. Dann kommt ein sogenannter „Faktor“ ins Spiel, mit dem der Grundwert multipliziert wird. Er soll der Schwere des Datenschutzverstoßes entsprechen: wie lange hat der Verstoß gedauert, gab es frühere Vorfälle, wie schwer sind die Folgen für die Betroffenen, … ? Solche Aspekte entscheiden darüber, ob der Grundwert mit einem Faktor von bis zu 12 oder mehr multipliziert wird.
  3. Schließlich gibt es noch eine Korrekturmöglichkeit, um das Bußgeld je nach Einzelfall noch abzumildern, wenn besondere Umstände vorliegen – etwa dann, wenn andernfalls die Insolvenz droht.

Hausnummer: 5.000 Euro Bußgeld für ein Kleinunternehmen bei fehlender Einwilligung

Was dieses Konzept für die Praxis bedeutet, hat Rechtsanwalt Thomas Helbing aus Berlin zusammengefasst. Zitat: „Bei einem mittleren Verstoß gegen materielle Datenschutzvorschriften (z.B. Verarbeitung ohne Rechtsgrundlage) wird der Betrag mit dem Faktor 6 multipliziert. Da kommen bei einem KMU mit einstelligem Millionenumsatz schnell € 50.000,- zusammen und bei einem Freiberufler mit minimalem Umsatz immerhin € 5.000.

Mit anderen Worten: Wenn ein kleines Unternehmen von nicht mehr als einer halben Mio. Euro Jahresumsatz die Daten eines Kunden speichert, ohne dass dessen Genehmigung nachgewiesen werden kann, droht ihm nach Anwalt Helbings Einschätzung bereits ein Bußgeld von rund 5.000 Euro.

Versichern hilft – auch gegen die Kosten von Datenschutzverstößen

Angesichts solcher Summen sollte man juristische Gegenmaßnahmen ausloten, wenn es zum Bußgeldverfahren kommt. Zum Glück lässt sich auch vorher schon etwas tun: Sie können Ihr Unternehmen klug versichern, auch gegen das DSGVO-Risiko:

  • Es gibt Cyber-Versicherungen, die eine Deckung für Bußgelder wegen Datenschutzverstößen umfassen. Ein typisches Beispiel: Sublimit für DSGVO-Bußgelder von 500.000 Euro pro Schadensfall.
  • Präventiven Schutz bietet zudem der Abschluss einer D&O-Versicherung für die Geschäftsführung oder den Vorstand. Ist ein Datenschutzverstoß durch den Manager oder Geschäftsführer verschuldet worden, kann sich das Unternehmen an dessen Haftpflichtversicherung halten (und gleichzeitig ist er selbst vor dem Ruin geschützt).
  • Zudem können Betriebshaftpflicht- und betriebliche Rechtsschutzversicherungen Teile der Kosten abdecken.

Kostenlose Beratung und Prüfung Ihrer Versicherungspolicen

Was Ihre bestehenden betrieblichen Versicherungen im Fall von Datenschutzverstößen bereits abdecken, und wo es Lücken gibt, die Sie schließen sollten, das erfahren Sie von uns: Wir von acant prüfen Ihre Versicherungsverträge und beraten Sie ausführlich. Natürlich ohne, dass Kosten für Sie anfallen.

Interesse? Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Solche Bußgelder werden bereits laufend verhängt

Übrigens werden die Bußgelder, die bei Datenschutzverstößen verhängt werden, von vielen Geschäftsleuten unterschätzt. Auf der Seite Enforcementtracker.com können Sie sich anschauen, was in verschiedenen Ländern Europas laufend gefordert wird. Das sind mal ein paar Tausend Euros für die unerlaubte Videoaufzeichnung im Döner-Laden, aber auch eine sechsstellige Summe für nicht gelöschte Datensätze vergangener Kunden beim Essenslieferanten Delivery Hero.