Versicherbarkeit von DSGVO-Bußgeldern in der Cyber-Versicherung
Die Liste der Unternehmen, gegen die zuletzt ein DSGVO-Bußgeld verhängt wurde, wird monatlich länger und länger. Prominente Fälle bekannter Unternehmen, die Bußgelder aufgrund von Datenschutzverstößen zahlen mussten, sind z. B. H&M (Bußgeld: 35 Millionen Euro wegen der Bespitzelung von Mitarbeitern), AOK Baden-Württemberg (1,2 Millionen Euro wegen unzureichender technischer und organisatorischer Maßnahmen) oder 1&1 (900.000 Euro wegen der unrechtmäßigen Weitergabe von Kundendaten). Zuletzt machte auch Amazon durch negative Schlagzeilen auf sich aufmerksam.
Rekord-DSGVO-Bußgeld in Höhe von 746 Millionen Euro gegen Amazon
Der Onlinehändler gab Ende Juli in seinem Quartalsbericht bekannt, dass er von der luxemburgischen Datenschutzbehörde mit einer Strafe von 746 Millionen Euro belegt wurde. Es handelt sich um das höchste publik gewordene Bußgeld, das bislang auf Grundlage der DSGVO verhängt wurde. Details zu den Gründen sind bisher nicht bekannt, da die luxemburgische Datenschutzaufsichtsbehörde zur Verschwiegenheit verpflichtet ist. Amazon bestreitet die Vorwürfe und behauptet, dass keine Verletzung des Schutzes personenbezogener Daten vorläge und keine Kundendaten an Dritte preisgegeben worden seien. Es ist damit zu rechnen, dass Amazon juristisch gegen die Entscheidung vorgehen wird.
Rechtlicher Rahmen zur Verhängung eines DSGVO-Bußgelds
Bußgelder können von Datenschutzbehörden gegen Unternehmen verhängt werden, die gegen datenschutzrechtliche Vorschriften verstoßen. Etwa wenn Kundendaten veröffentlicht werden, personenbezogene Daten ohne Einwilligung der Berechtigten herausgegeben oder aufgrund unzureichender Sicherungsmaßnahmen entwendet werden oder wenn unrechtmäßig private Daten von Mitarbeitern erfasst und gespeichert werden. Das Bußgeld kann in beträchtlicher Höhe anfallen. So gibt Art. 83 Abs. 5 DSGVO den Datenschutzbehörden die Möglichkeit, Bußgelder bis zu einer Höhe von 4 % des weltweit erzielten Jahresumsatzes zu verhängen. Die Höhe bemisst sich nach verschiedenen Kriterien. So sind z. B. Art, Schwere und Dauer des Verstoßes zu berücksichtigen und ob „nur“ fahrlässig oder sogar vorsätzlich gehandelt wurde. Auch ob es sich um einen erstmaligen oder wiederholten Verstoß handelt sowie, ob der Verstoß lediglich ein punktuelles Versagen darstellt oder ob Schwachstellen genereller Art zutage treten, wird bei der Bemessung der Bußgeldhöhe berücksichtigt.
Versicherbarkeit von DSGVO-Bußgeldern in der Cyber-Versicherung
Juristisch umstritten ist die Frage, ob Bußgelder versicherbar sind und ob sie im Rahmen einer Cyber-Police vom Versicherungsschutz umfasst sein können. Der Verstoß, der zur Verhängung des Bußgeldes führt, ist in der Regel ein sogenanntes „deckungsauslösendes Ereignis“ im Sinne der Cyber-Bedingungen, weil es sich beispielsweise um eine Datenschutz- oder Datenvertraulichkeitsverletzung handelt. Bedingungsgemäß können die Verstöße daher prinzipiell in den Anwendungsbereich der Cyber-Police fallen. Fraglich ist jedoch, ob Bußgelder nach geltendem Recht überhaupt versicherbar sind. Die Frage ist nicht pauschal zu beantworten und es sind verschiedenen Aspekte des Anwendungsbereichs der Cyber-Versicherung in Bezug auf DSGVO-Bußgelder zu berücksichtigen. Insbesondere ist zu differenzieren, ob Versicherungsschutz für die Abwehr des erhobenen bußgeldbelasteten Vorwurfs gewährt wird oder ob das Bußgeld selbst vom Versicherungsschutz umfasst ist.
Abwehrdeckung
An der Zulässigkeit von Deckungsbausteinen, die auf die Verhinderung oder Verminderung von Bußgeldern abzielen, bestehen keine rechtlichen Bedenken. In vielen Cyber-Policen (z. B. in den Finlex Cyber Spezialkonzepten) sind Abwehrkosten umfasst, um gegen den Bußgeldbescheid vorzugehen. Versicherungsschutz besteht nach den Finlex Cyber Spezialkonzepten dann, wenn aufgrund eines deckungsauslösenden Ereignisses Straf-, Ordnungswidrigkeiten- oder sonstiges behördliche Verfahren eingeleitet werden. Wird ein DSGVO-Bußgeldverfahren gegen ein versichertes Unternehmen geführt, sind die Kosten zur Wahrnehmung der rechtlichen Interessen des Unternehmens demnach grundsätzlich versichert.
Beratungskosten
Darüber hinaus werden bedingungsgemäß auch Rechtsanwaltskosten im Vorfeld eines möglichen DSGVO-Bußgeldverfahrens getragen. Der Versicherungsschutz sieht z. B. die Erstattung von Rechtsanwaltskosten für die rechtliche Prüfung eines zugrundeliegenden deckungsauslösenden Ereignisses vor. Eingeschlossen ist hierbei eine Empfehlung zur weiteren rechtlichen Vorgehensweise zur Minderung der negativen Folgen. Bestenfalls kann in diesem Stadium bereits vorbeugend gehandelt werden, um ein DSGVO-Bußgeldverfahren zu verhindern, indem beispielsweise ein Rechtsanwalt bei der freiwilligen Meldung eines Vorfalls an die Datenschutzbehörde unterstützend mitwirkt.
Reputationsschäden
Ebenfalls ist denkbar, dass im Zuge eines öffentlichkeitswirksamen Bußgeldprozesses ein Reputationsschaden des versicherten Unternehmens droht. Hier sehen die Finlex Bedingungen verschieden Leistungen vor, um den Reputationsschaden abzumildern oder zu verhindern. Beispielsweise sind vom Versicherungsschutz die Beauftragung eines externen Krisenberaters umfasst oder die Platzierung von Nachrichten, Darstellungen oder Anzeigen in verschiedenen Medien. Die Maßnahmen sind sehr vielfältig und können z. B. eine Entschuldigung des Versicherungsnehmers auf ganzseitigen Zeitungsanzeigen umfassen, wie es British Airways nach einem Datendiebstahl vor einigen Jahren veranlasste.
Versicherbarkeit von Bußgeldern
Differenzierter zu beurteilen ist die Frage, ob das Bußgeld an sich ebenfalls versicherbar ist. Hier sehen die Finlex Bedingungen vor, dass Versicherungsschutz für Entschädigungen mit Strafcharakter und für Bußgelder wegen einer Ordnungswidrigkeit besteht, die im Zusammenhang mit einem deckungsauslösenden Ereignis gegen versicherte Unternehmen verhängt werden. DSGVO-Bußgelder sind nach dem Wortlaut der Bedingungen somit grundsätzlich versichert.
Der Versicherungsschutz steht jedoch unter dem Vorbehalt, dass das Bußgeld nur umfasst ist, sofern der Versicherbarkeit kein gesetzliches Versicherungsverbot entgegensteht. Ob ein solches Verbot existiert, ist rechtlich höchst umstritten. Nach wohl herrschender juristischer Meinung ist ein verhängtes Bußgeld in Deutschland nicht versicherbar, weil der Verssicherungsschutz den gesetzlichen Präventionszweck vereiteln würde. Es wird in der versicherungsrechtlichen Literatur jedoch auch vertreten, dass hier differenzierter vorzugehen sei. Danach müsse u. a. nach der Art des Bußgeldes unterschieden werden und es käme insbesondere darauf an, welcher Verschuldensgrad (Vorsatz, grobe Fahrlässigkeit oder leichte Fahrlässigkeit) für die Verletzung einschlägig ist.
Ob das Bußgeld an sich versichert ist, lässt sich daher pauschal weder bejahen noch verneinen. Solange der Gesetzgeber hierzu keine Klarheit schafft oder höchstrichterlich über die Frage der Versicherbarkeit von Bußgeldern entschieden wird, bleibt die Ungewissheit, ob Versicherungsschutz für Bußgelder besteht.
Finlex Cyber Spezialkonzepte
Mit den Finlex Cyber Policen sind Sie bis dahin jedoch gut gewappnet, da in diesen Versicherungsschutz für das Bußgeld an sich vorgesehen ist, sofern dem kein gesetzliches Versicherungsverbot entgegensteht. Darüber hinaus besteht Versicherungsschutz nach einem deckungsauslösenden Ereignis insbesondere für die Verfahrenskosten, um gegen den Bußgeldbescheid vorzugehen sowie für etwaige Beratungskosten und Kosten, um Reputationsschäden auszugleichen.
Haben Sie Fragen zu den Finlex Cyber Spezialkonzepten? Ihre Ansprechpartner bei Finlex stehen Ihnen jederzeit zur Seite. Sprechen Sie uns gerne an.
Similar Posts
Financial Lines Summit Austria: Branchentreffen bringt neue Erkenntnisse
[vc_column width="1/1"]Zum ersten Financial Lines Summit Austria lud Finlex Ende Juni in das k47.wien ein. Auf dem einzigartigen und interaktiven…
Cyber-Risiken – die Evolution der Cyber-Bedrohungslandschaft und ihre Auswirkungen auf den Cyber-Versicherungsmarkt
[vc_column width="1/1"]Die Cyber-Bedrohungslandschaft entwickelt sich kontinuierlich weiter. Cyber-Angriffe werden zunehmend gefährlicher, die Techniken, mit denen Angreifer in Systeme eindringen, immer…
GDV-Statistik zur D&O-Versicherung – Finlex bestätigt Schadentrends
[vc_column width="1/1"]Nach der neuesten GDV-Statistik stiegen die Anzahl der Schäden sowie die Entschädigungszahlungen der gemeldeten D&O-Schäden bereits das zweite Jahr…
NIS Directive – A liability trap for managing directors?
The NIS Directive has been in force since January 16, 2023 and it defines EU-wide minimum standards for the protection…
Finlex brings Matthias Lange on board: New Head of Sales & Key Account Management
[vc_column width="1/1"]Finlex, the leading technology-based specialist for Cyber and Financial Lines insurance, has appointed Matthias Lange as its new Head…
Finlex Market Report 2024
Auch dieses Jahr analysiert Finlex die Marktsituation der D&O- und Cyber-Versicherung. Der Market Report 2024 bietet dank der Kooperation von…
Crowdstrike-Vorfall – Erhalten betroffene Unternehmen eine Entschädigung aus ihrer Cyber-Versicherung?
Ein fehlerhaftes Update des US-amerikanischen IT- Sicherheitsdienstleisters Crowdstrike hat am Freitag zu weitreichenden Störungen geführt. Experten sprechen vom größten, nicht…
Weshalb ein stabiler D&O-Markt unwahrscheinlich ist
In den letzten Jahren wurde die deutsche Wirtschaft durch die Covid-19 Pandemie, geopolitische Krisen sowie hohe Inflation geprägt. Sowohl wirtschaftliche…
Berkley Deutschland – einer der führenden Anbieter von Spezialversicherungen und Risikolösungen für den Mittelstand mit umfassendem Produktangebot in Deutschland und Österreich
Im Interview sprechen Alexa von Brevern, Manager Financial Lines und Manuel Metz, Manager Cyber Europe darüber, warum Versicherungsschutz insbesondere für…
Finlex Financial Lines Summit Austria 2024
This was our 1st Financial Lines Summit Austria - the industry meeting of the rapidly growing cyber and financial lines…