„Erfreulich ist, dass für Sachverhalte, in denen Unternehmen von Kunden auf Schadenersatz gem. Art. 82 DSGVO in Anspruch genommen werden, grundsätzlich Deckung im Rahmen von Cyber- Versicherungen besteht. Der Anwendungsbereich der Cyber-Versicherung ist in aller Regel eröffnet, da ein sog. deckungsauslösendes Ereignis in Form einer Verletzung datenschutzrechtlicher Bestimmungen vorliegt,“ beruhigt Dr. Marcel Straub, Head of Legal bei Finlex. „Als Daten gelten hierbei in vielen Bedingungswerken auch physische Dokumente bzw. nicht-elektronische Daten, so dass auch im Sachverhalt des Elektrofachhändlers (Az. C-687/21), bei welchem Kauf- und Kreditvertragsunterlagen versehentlich einem anderen Kunden ausgehändigt wurden, ein deckungsauslösendes Ereignis anzunehmen wäre,“ ergänzt der Syndikusrechtsanwalt.
Liegt ein deckungsauslösendes Ereignis vor, ist der Haftpflichtteil der Police ansteuerbar. Der Versicherungsschutz umfasst hierbei zunächst die Prüfung der Haftpflichtfrage durch den Versicherer. Auf Grundlage der Einschätzung gewährt der Versicherer sodann Versicherungsschutz für die gerichtliche und außergerichtliche Abwehr von unbegründeten Ansprüchen oder stellt das versicherte Unternehmen von begründeten Ansprüchen frei.
„Für die vorliegenden Fälle bedeutet dies, dass ein Versicherer in allen drei EuGH-Fällen zum einen die angefallenen angemessenen Abwehrkosten hätte tragen müssen. Zum anderen wäre vom Versicherungsschutz grundsätzlich auch umfasst, dass ein Versicherer den vom Unternehmen an die Kunden zu leistenden Schadenersatz tragen müsste. In den Fällen Az. C-340/21 und Az. C-456/22 bestünde daher Versicherungsschutz sowohl für die Kosten der erfolglosen Abwehr der geltend gemachten Ansprüche als auch für die zu leistenden Schadenersatzansprüche gem. Art. 82 DSGVO“, fasst Dr. Straub zusammen.
Ausblick
Die Urteile erweitern die bestehende Rechtsprechung zu Art. 82 DSGVO und präzisieren die bereits erkennbare Linie des EuGH. Durch die Betonung der Notwendigkeit einer konkreten und individuellen Bewertung von Sicherheitsmaßnahmen sowie die Verantwortung von Datenverarbeitern und die Verneinung einer Bagatellgrenze für immaterielle Schäden stärkt der EuGH weiter die Rechte von betroffenen Personen bei Datenschutzverletzungen.
Dr. Straub: „Von den mehr als 200 Cyber-Claims, die wir mit der Finlex Claims-Abteilung in den letzten zwei Jahren begleitet haben, waren bislang nur sehr wenige Ansprüche gegen Unternehmen auf einen Schadenersatz aus Art. 82 DSGVO gerichtet. Aufgrund der neuerlichen Rechtsprechung ist zukünftig jedoch vermehrt mit dahingehenden Inanspruchnahmen zu rechnen. Unternehmen sind daher gut beraten – auch im Hinblick auf das Kostenrisiko wegen Ansprüchen aus Art. 82 DSGVO – eine Cyber-Police abzuschließen. Selbst wenn sich ein etwaiger Anspruch auf Schadenersatz gem. Art. 82 DSGVO für den einzelnen Betroffenen in der Regel lediglich im drei- oder vierstelligen Bereich bewegt, droht bei einem Sachverhalt mit einer Vielzahl an Betroffenen ein Millionenschaden. Geht man beispielsweise davon aus, dass einem mittelständischen Unternehmen 10.000 Kundendaten entwendet werden und jedem Betroffenen 500 Euro Schmerzensgeld zustehen, würde sich die Gesamtsumme möglicher Schmerzensgeldansprüchen ohne Rechtsanwalts- und Gerichtskosten bereits auf 5 Mio. Euro summieren. Unternehmen ist daher dringend geraten, ihre IT und die Kundendaten zu schützen.
Darüber hinaus sollte unbedingt das Risikomanagement geschärft werden und im Hinblick auf die Beweislast eine belastbare Dokumentation über getroffene Maßnahmen etabliert werden. Zudem sollte sich jedes Unternehmen ernsthaft darüber Gedanken machen, eine Cyber-Versicherung abzuschließen, um das Kostenrisiko zu minimieren und um im Fall der Fälle einen Spezialisten an seiner Seite zu haben.“