Versicherbarkeit von DSGVO-Bußgeldern in der Cyber-Versicherung
Die Liste der Unternehmen, gegen die zuletzt ein DSGVO-Bußgeld verhängt wurde, wird monatlich länger und länger. Prominente Fälle bekannter Unternehmen, die Bußgelder aufgrund von Datenschutzverstößen zahlen mussten, sind z. B. H&M (Bußgeld: 35 Millionen Euro wegen der Bespitzelung von Mitarbeitern), AOK Baden-Württemberg (1,2 Millionen Euro wegen unzureichender technischer und organisatorischer Maßnahmen) oder 1&1 (900.000 Euro wegen der unrechtmäßigen Weitergabe von Kundendaten). Zuletzt machte auch Amazon durch negative Schlagzeilen auf sich aufmerksam.
Rekord-DSGVO-Bußgeld in Höhe von 746 Millionen Euro gegen Amazon
Der Onlinehändler gab Ende Juli in seinem Quartalsbericht bekannt, dass er von der luxemburgischen Datenschutzbehörde mit einer Strafe von 746 Millionen Euro belegt wurde. Es handelt sich um das höchste publik gewordene Bußgeld, das bislang auf Grundlage der DSGVO verhängt wurde. Details zu den Gründen sind bisher nicht bekannt, da die luxemburgische Datenschutzaufsichtsbehörde zur Verschwiegenheit verpflichtet ist. Amazon bestreitet die Vorwürfe und behauptet, dass keine Verletzung des Schutzes personenbezogener Daten vorläge und keine Kundendaten an Dritte preisgegeben worden seien. Es ist damit zu rechnen, dass Amazon juristisch gegen die Entscheidung vorgehen wird.
Rechtlicher Rahmen zur Verhängung eines DSGVO-Bußgelds
Bußgelder können von Datenschutzbehörden gegen Unternehmen verhängt werden, die gegen datenschutzrechtliche Vorschriften verstoßen. Etwa wenn Kundendaten veröffentlicht werden, personenbezogene Daten ohne Einwilligung der Berechtigten herausgegeben oder aufgrund unzureichender Sicherungsmaßnahmen entwendet werden oder wenn unrechtmäßig private Daten von Mitarbeitern erfasst und gespeichert werden. Das Bußgeld kann in beträchtlicher Höhe anfallen. So gibt Art. 83 Abs. 5 DSGVO den Datenschutzbehörden die Möglichkeit, Bußgelder bis zu einer Höhe von 4 % des weltweit erzielten Jahresumsatzes zu verhängen. Die Höhe bemisst sich nach verschiedenen Kriterien. So sind z. B. Art, Schwere und Dauer des Verstoßes zu berücksichtigen und ob „nur“ fahrlässig oder sogar vorsätzlich gehandelt wurde. Auch ob es sich um einen erstmaligen oder wiederholten Verstoß handelt sowie, ob der Verstoß lediglich ein punktuelles Versagen darstellt oder ob Schwachstellen genereller Art zutage treten, wird bei der Bemessung der Bußgeldhöhe berücksichtigt.
Versicherbarkeit von DSGVO-Bußgeldern in der Cyber-Versicherung
Juristisch umstritten ist die Frage, ob Bußgelder versicherbar sind und ob sie im Rahmen einer Cyber-Police vom Versicherungsschutz umfasst sein können. Der Verstoß, der zur Verhängung des Bußgeldes führt, ist in der Regel ein sogenanntes „deckungsauslösendes Ereignis“ im Sinne der Cyber-Bedingungen, weil es sich beispielsweise um eine Datenschutz- oder Datenvertraulichkeitsverletzung handelt. Bedingungsgemäß können die Verstöße daher prinzipiell in den Anwendungsbereich der Cyber-Police fallen. Fraglich ist jedoch, ob Bußgelder nach geltendem Recht überhaupt versicherbar sind. Die Frage ist nicht pauschal zu beantworten und es sind verschiedenen Aspekte des Anwendungsbereichs der Cyber-Versicherung in Bezug auf DSGVO-Bußgelder zu berücksichtigen. Insbesondere ist zu differenzieren, ob Versicherungsschutz für die Abwehr des erhobenen bußgeldbelasteten Vorwurfs gewährt wird oder ob das Bußgeld selbst vom Versicherungsschutz umfasst ist.
Abwehrdeckung
An der Zulässigkeit von Deckungsbausteinen, die auf die Verhinderung oder Verminderung von Bußgeldern abzielen, bestehen keine rechtlichen Bedenken. In vielen Cyber-Policen (z. B. in den Finlex Cyber Spezialkonzepten) sind Abwehrkosten umfasst, um gegen den Bußgeldbescheid vorzugehen. Versicherungsschutz besteht nach den Finlex Cyber Spezialkonzepten dann, wenn aufgrund eines deckungsauslösenden Ereignisses Straf-, Ordnungswidrigkeiten- oder sonstiges behördliche Verfahren eingeleitet werden. Wird ein DSGVO-Bußgeldverfahren gegen ein versichertes Unternehmen geführt, sind die Kosten zur Wahrnehmung der rechtlichen Interessen des Unternehmens demnach grundsätzlich versichert.
Beratungskosten
Darüber hinaus werden bedingungsgemäß auch Rechtsanwaltskosten im Vorfeld eines möglichen DSGVO-Bußgeldverfahrens getragen. Der Versicherungsschutz sieht z. B. die Erstattung von Rechtsanwaltskosten für die rechtliche Prüfung eines zugrundeliegenden deckungsauslösenden Ereignisses vor. Eingeschlossen ist hierbei eine Empfehlung zur weiteren rechtlichen Vorgehensweise zur Minderung der negativen Folgen. Bestenfalls kann in diesem Stadium bereits vorbeugend gehandelt werden, um ein DSGVO-Bußgeldverfahren zu verhindern, indem beispielsweise ein Rechtsanwalt bei der freiwilligen Meldung eines Vorfalls an die Datenschutzbehörde unterstützend mitwirkt.
Reputationsschäden
Ebenfalls ist denkbar, dass im Zuge eines öffentlichkeitswirksamen Bußgeldprozesses ein Reputationsschaden des versicherten Unternehmens droht. Hier sehen die Finlex Bedingungen verschieden Leistungen vor, um den Reputationsschaden abzumildern oder zu verhindern. Beispielsweise sind vom Versicherungsschutz die Beauftragung eines externen Krisenberaters umfasst oder die Platzierung von Nachrichten, Darstellungen oder Anzeigen in verschiedenen Medien. Die Maßnahmen sind sehr vielfältig und können z. B. eine Entschuldigung des Versicherungsnehmers auf ganzseitigen Zeitungsanzeigen umfassen, wie es British Airways nach einem Datendiebstahl vor einigen Jahren veranlasste.
Versicherbarkeit von Bußgeldern
Differenzierter zu beurteilen ist die Frage, ob das Bußgeld an sich ebenfalls versicherbar ist. Hier sehen die Finlex Bedingungen vor, dass Versicherungsschutz für Entschädigungen mit Strafcharakter und für Bußgelder wegen einer Ordnungswidrigkeit besteht, die im Zusammenhang mit einem deckungsauslösenden Ereignis gegen versicherte Unternehmen verhängt werden. DSGVO-Bußgelder sind nach dem Wortlaut der Bedingungen somit grundsätzlich versichert.
Der Versicherungsschutz steht jedoch unter dem Vorbehalt, dass das Bußgeld nur umfasst ist, sofern der Versicherbarkeit kein gesetzliches Versicherungsverbot entgegensteht. Ob ein solches Verbot existiert, ist rechtlich höchst umstritten. Nach wohl herrschender juristischer Meinung ist ein verhängtes Bußgeld in Deutschland nicht versicherbar, weil der Verssicherungsschutz den gesetzlichen Präventionszweck vereiteln würde. Es wird in der versicherungsrechtlichen Literatur jedoch auch vertreten, dass hier differenzierter vorzugehen sei. Danach müsse u. a. nach der Art des Bußgeldes unterschieden werden und es käme insbesondere darauf an, welcher Verschuldensgrad (Vorsatz, grobe Fahrlässigkeit oder leichte Fahrlässigkeit) für die Verletzung einschlägig ist.
Ob das Bußgeld an sich versichert ist, lässt sich daher pauschal weder bejahen noch verneinen. Solange der Gesetzgeber hierzu keine Klarheit schafft oder höchstrichterlich über die Frage der Versicherbarkeit von Bußgeldern entschieden wird, bleibt die Ungewissheit, ob Versicherungsschutz für Bußgelder besteht.
Finlex Cyber Spezialkonzepte
Mit den Finlex Cyber Policen sind Sie bis dahin jedoch gut gewappnet, da in diesen Versicherungsschutz für das Bußgeld an sich vorgesehen ist, sofern dem kein gesetzliches Versicherungsverbot entgegensteht. Darüber hinaus besteht Versicherungsschutz nach einem deckungsauslösenden Ereignis insbesondere für die Verfahrenskosten, um gegen den Bußgeldbescheid vorzugehen sowie für etwaige Beratungskosten und Kosten, um Reputationsschäden auszugleichen.
Haben Sie Fragen zu den Finlex Cyber Spezialkonzepten? Ihre Ansprechpartner bei Finlex stehen Ihnen jederzeit zur Seite. Sprechen Sie uns gerne an.
