Gestiegene datenschutzrechtrechtliche Haftungsrisiken nach Cyber-Vorfällen

Jan Spittka

Es gibt so gut wie keine Cyber-Vorfälle mehr, bei denen nicht auch personenbezogene Daten, also Informationen über natürliche Personen, betroffen sind. Bei Ransomware-Angriffen werden in der Regel vor der Verschlüsselung große Datenmengen exfiltriert, um mit der Androhung der Veröffentlichung zusätzliches Erpressungspotential zu schaffen. Zwar stellt nicht jeder Data Breach auch zwingend eine Verletzung der Datenschutz-Grundverordnung (DSGVO) dar, oft werden hierdurch aber unzureichende technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung offengelegt oder ein Unternehmen verliert personenbezogene Daten die es nicht (mehr) hätte verarbeiten dürfen. Schließlich werden auch Cyber-Policen am Markt angeboten, die Datenschutzverstöße jenseits des klassischen Data Breach abdeckenden. Cyber-Vorfälle haben also immer eine datenschutzrechtliche Komponente, die – gerade aufgrund jüngerer Entwicklungen – zu einem erhöhten Haftungsrisiko für den Versicherungsnehmer und damit auch zu einem gesteigerten Risiko für den Versicherer führen können.

Geldbußen

Liegt dem Cyber-Vorfall ein Datenschutzverstoß durch den Versicherungsnehmer zugrunde, kann die zuständige Datenschutzbehörde empfindliche Geldbuße verhängen (Art. 83 DSGVO). Im Mai 2022 hat der Europäische Datenschutzausschuss (EDSA), das EU-weite Koordinationsgremium der Datenschutzbehörden, ein Konzept zur Bußgeldberechnung vorgelegt. Hierdurch wird das Bußgeldmodell der deutschen Datenschutzbehörden abgelöst, welches aufgrund seiner starken Fokussierung auf den Unternehmensumsatz einer gerichtlichen Überprüfung nicht standgehalten hatte. Zwar berücksichtigt auch das EDSA-Bußgeldmodell den Unternehmensumsatz, aber nicht bußgelderhöhend, sondern als Möglichkeit der Absenkung der Geldbuße bei Unternehmen mit weniger als 500 Millionen Euro Jahresumsatz. Allerdings will auch der EDSA bei der Bebußung von Unternehmen nicht den Umsatz der jeweiligen datenschutzrechtlich verantwortlichen juristischen Person zugrunde legen, sondern analog zum EU-Kartellrecht den Begriff der „wirtschaftlichen Einheit“. Diese umfasst jedenfalls die Konzernmutter und – je nach Konzernstruktur – gegebenenfalls den Konzernumsatz. Auch behält sich der EDSA vor, alle juristischen Personen der wirtschaftlichen Einheit gesamtschuldnerisch zu bebußen. Inwieweit das EDSA-Bußgeldmodell einer gerichtlichen Kontrolle standhalten wird, bleibt abzuwarten. Angriffspunkte gibt es genug. In Deutschland kommt als Variable hinzu, dass Unternehmen, die Opfer eines Data Breach durch das Beweisverwertungsverbot des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG) geschützt werden, welches es Datenschutzbehörden verbietet, Informationen aus Breach Notifications für Bußgeldverfahren zu verwenden. Dies gilt jedoch nicht für andere Mitgliedstaaten. Zudem wird die Europarechtskonformität der Regelung immer wieder angezweifelt. Schließlich ist auch noch nicht geklärt, ob DSGVO-Geldbußen überhaupt versicherbar sind.

Schadensersatz

Neben Geldbußen drohen dem Versicherungsnehmer bei Datenschutzverstößen zudem vermehrt Schadensersatzklagen durch betroffene Personen. Hierbei sieht die DSGVO insbesondere einen Anspruch auf immateriellen Schadensersatz vor, also Ersatz von Schäden jenseits konkreter Vermögensschäden. Waren insbesondere die deutschen Gerichte in der Vergangenheit recht zurückhaltend, was das Zusprechen immateriellen Schadensersatzes nach Cyber-Vorfällen betrifft, scheint sich ein Wandel abzuzeichnen. Im Nachgang zu einem Data Breach bei einem Finanzdienstleister haben das LG München I 2.500 Euro (Urt. v. 9.12.2021, Az. 31 O 16606/20) und das LG Köln 1.200 Euro (Urt. v. 18.5. 2022, Az. 28 O 328/21) an immateriellem Schadensersatz für betroffene Personen ausgeurteilt. Hierbei handelt es sich um einen klassischen Streuschaden, der aufgrund einer Vielzahl an Betroffenen (im vorliegenden Fall 33.200) in die Millionen gehen kann. Solche Drittschäden sind in der Regel von der Cyber-Police erfasst. Allerdings hat das AG München in diesem Komplex das Verfahren ausgesetzt und dem EuGH eine Reihe von Fragen zur Schadensberechnung vorgelegt, insbesondere vor dem Hintergrund der Gefahr einer Kommerzialisierung durch Legal-Tech-Unternehmen (EuGH-Rs. C-182/22 – ED).

Verbraucherschutzklagen

Nachdem der EuGH die Klagebefugnis von Verbraucherschutzorganisationen bei Datenschutzverstößen in einer aktuellen Entscheidung bejaht hat (Urt. v. 28.4.2022, Az. C-319/20), drohen nach Datenschutzverstößen nunmehr auch verbraucherschutzrechtliche Klagen auf Unterlassung und Beseitigung gegen Versicherungsnehmer, deren Kosten gegebenenfalls unter die Cyber-Police fallen. Auch durch diese Entwicklung dürfte das „private enforcement“ nach Cyber-Vorfällen weiter zunehmen. Der konkrete Umfang der Klagebefugnis muss jedoch noch geklärt werden, ebenso wie die Frage, ob die Musterfeststellungsklage bei Datenschutzverstößen genutzt werden kann.

Fazit

Aufgrund der Vielzahl an weiterhin ungeklärten Rechtsfragen bleibt die datenschutzrechtliche Haftung eine der großen Variablen der Cyber-Versicherung. Die vorgenannten rechtlichen Entwicklungen lassen jedoch vermuten, dass die Durchsetzung von Datenschutzverstößen im Zusammenhang mit Cyber-Vorfällen zunehmen wird und die Sanktionen härter werden. Versicherer sind daher gut beraten, Risiken neu zu bewerten und beim Abschluss neuer Policen verstärkt auf die Datenschutz-Compliance des Versicherungsnehmers zu achten.