Die Anzahl von verhängten DSGVO-Bußgeldern gegen Unternehmen nimmt in der letzter Zeit enorm zu. Beispielsweise gab Ende Juli der Online-Versandhändler Amazon bekannt, dass gegen ihn von der luxemburgischen Datenschutzbehörde ein Bußgeld in Höhe von 746 Millionen Euro verhängt wurde. Amazon bestreitet die Vorwürfe zwar, dennoch zeigt dieser Fall, dass ein verhängtes DSGVO-Bußgeld den Betroffenen teuer zu stehen kommt. Zur Absicherung dieses finanziellen Risikos wird oftmals eine Cyber-Versicherung empfohlen. Doch werden wirklich alle finanziellen Risiken von einer Cyber-Versicherung übernommen?
Verstoßen Unternehmen gegen die datenschutzrechtlichen Vorschriften der DSGVO, können die zuständigen Datenschutzbehörden ein Bußgeld verhängen. Art. 33 DSGVO sieht vor, dass eine Meldung an die Datenschutz-Aufsichtsbehörde erfolgen muss, sofern ein Verstoß gegen den Datenschutz festgestellt worden ist und dieser voraussichtlich zu einem Risiko für die Rechte und Freiheiten eines Betroffenen führen kann. Dabei muss eine Datenschutzverletzung nicht zwangsläufig auf etwas Großes wie beispielsweise einen Hackerangriff zurückzuführen sein. Auch der alleinige Verlust eines unverschlüsselten USB-Sticks kann eine solche Verletzung darstellen. Die Meldung bezüglich eines datenschutzrechtlichen Verstoßes muss innerhalb von 72 Stunden erfolgen. Erfolgt eine verspätete oder überhaupt keine Meldung, kann ein Bußgeld in beträchtlicher Höhe drohen. Gemäß Art. 83 V DSGVO können die Behörden ein Bußgeld bis zu 20 Millionen Euro oder einer Höhe von 4% des weltweiten Jahresumsatzes verhängen. Die Bemessung der Höhe erfolgt anhand verschiedener Kriterien, wie zum Beispiel der Art, Schwere und Dauer des Verstoßes. Außerdem spielt der Fahrlässigkeitsmaßstab eine tragende Rolle. Unternehmen, die vorsätzlich gehandelt haben, müssen mit höheren Bußgeldern rechnen wie Unternehmen, die „nur“ fahrlässig gehandelt haben.
Fraglich ist, ob DSGVO-Bußgelder von dem Schutz der Cyber-Versicherung umfasst sind. Der Verstoß, welcher zur Verhängung des Bußgeldes führt, ist in der Regel ein „deckungsauslösendes Ereignis“. Denn es handelt sich hierbei um eine Datenschutz- oder Datenvertraulichkeitsverletzung im Sinne der Cyber-Versicherung. Demnach können solche Verstöße grundsätzlich in den Anwendungsbereich der Cyber-Policen fallen. Um zu beantworten, ob Bußgelder von der Cyber-Versicherung umfasst sind, ist eine differenzierte Betrachtung notwendig. Insbesondere ist zu unterscheiden, ob der Versicherungsschutz sich auf die Abwehr des Vorwurfes oder auf das konkrete Bußgeld beziehen soll.
Bei Deckungsbausteinen innerhalb einer Cyber-Versicherung, die auf die Verhinderung oder Vermeidung von DSGVO-Bußgeldern abzielen, bestehen keine rechtlichen Bedenken. Kosten die anfallen, um gegen den Bußgeldbescheid der zuständigen Behörde vorzugehen, sind in vielen Cyber-Policen umfasst. Kommt es somit zu einem DSGVO-Bußgeldverfahren gegen den Versicherungsnehmer, so sind seine Kosten zur Wahrnehmung seiner rechtlichen Interessen grundsätzlich erstattungsfähig.
Zusätzlich zu den Abwehrkosten umfassen viele Cyber-Policen auch Rechtsanwaltskosten, welche bereits im Vorfeld eines möglichen DSGVO-Bußgeldverfahrens entstehen können. Beinhaltet sind insbesondere etwaige Empfehlungen zur weiteren rechtlichen Vorgehensweise um negative Folgen eines DSGVO-Verstoßen zu minimieren.
Neben den hohen Bußgeldern eines DSGVO-Verstoßes sind die möglichen Reputationsschäden eines Unternehmens nicht zu unterschätzen. Auch diesbezüglich können Policen etwaige Leistungen vorsehen, um den Reputationsschaden abzumildern oder möglicherweise zu verhindern. So kann es durchaus möglich sein, dass zum Beispiel die Beauftragung eines externen Krisenberaters oder die gezielte Platzierung von Nachrichten von dem Versicherungsschutz umfasst sind.
Die zentrale Frage ist jedoch, ob ebenfalls die Bußgelder von dem Versicherungsschutz umfasst sein können. In der Regel werden viele Policen DSGVO-Bußgelder nach dem Wortlaut mit versichern. Dieser Versicherungsschutz bezüglich des Bußgeldes steht aber unter dem Vorbehalt, dass dem Schutz kein gesetzliches Versicherungsverbot entgegensteht. Ob ein solches Verbot in Deutschland existiert, ist rechtlich höchst umstritten. Nach wohl herrschender Meinung besteht für ein verhängtes Bußgeld keine Versicherbarkeit, da sonst der gesetzlich verankerte Präventionszweck vereitelt werden würde. Ein anderer Teil vertritt jedoch die Ansicht, dass eine differenzierte Betrachtungsweise notwendig sei. Nach dieser Ansicht müsse unter anderem nach der Art des Bußgeldes und dem Verschuldensgrad unterschieden werden. Ob letztendlich das DSGVO-Bußgeld versicherbar ist oder nicht, lässt sich pauschal nicht beantworten. Dazu fehlt es an entsprechender Klarheit durch den Gesetzgebers oder an einer höchstrichterlichen Rechtsprechung. Doch auch wenn das Bußgeld möglicherweise nicht durch eine Cyber-Versicherung versicherbar ist, bietet der Abschluss einer solchen Versicherung doch zahlreiche andere Deckungselemente bei DSGVO-Verletzungen. Weitere Informationen zur Cyber-Versicherung erhalten Sie hier: