Neue EuGH-Urteile machen Cyberversicherungen für Unternehmen noch wichtiger

In drei Urteilen um den Jahreswechsel hat der EuGH konkrete Aussagen getätigt, wann Betroffene bei Abhandenkommen von Daten einen Anspruch auf Ersatz von immateriellen Schäden gem. Art 82 DSGVO gegen Unternehmen haben. Generell setzt sich mit den Urteilen der Trend des EuGH fort, die Haftung von Unternehmen zu verschärfen. Im Blogbeitrag erläutern wir die Voraussetzungen eines Schmerzensgeldanspruchs und nehmen die Versicherbarkeit solcher Ansprüche über eine Cyberversicherung unter die Lupe.

EuGH-Urteile und Folgen

In den drei Urteilen des EuGH (Az. C-687/21, C-340/21 und C-456/22) ging es jeweils um einen Anspruch aus Art. 82 DSGVO. Dieser Artikel regelt die Haftung und das Recht auf Schadenersatz bei Datenschutzrechtsverletzungen wie beispielsweise Datenmissbrauch infolge von Hackerangriffen auf Unternehmen und bezieht sich sowohl auf materielle als auch auf immaterielle Schäden. Grundlegend kann auch die missbräuchliche Verwendung von physischen Dokumenten bzw. nicht-elektronischen Daten einen Schadenersatz auslösen. Die oben angesprochenen Urteile stärken insbesondere die Rechte von Betroffenen auf Schadenersatz für immaterielle Schäden und damit auf Schmerzensgeld.

Folgende Voraussetzungen eines Schmerzensgeldanspruch gem. Art. 82 DSGVO leiten sich aus diesen Urteilen ab:

• Es muss ein Verstoß gegen eine Bestimmung der DSGVO vorliegen.
• Der Verantwortliche muss den Datenschutzverstoß fahrlässig oder vorsätzlich verschuldet haben.
• Das von einem Datenleck oder einer Exfiltration betroffene Unternehmen kann nicht nachweisen, dass es alle Zumutbare getan hat, um dem Datenabfluss vorzubeugen.
• Dem Geschädigten muss ein spürbarer Nachteil entstanden sein, entweder materiell oder immateriell. Dabei gibt es keine Bagatellgrenze.

Wann greift eine Cyber-Versicherung?

Wenn ein Unternehmen auf Schadenersatz nach Art. 82 DSGVO in Anspruch genommen wird, besteht grundsätzlich Deckung im Rahmen einer Cyberversicherung. Hintergrund ist, dass in der Regel ein sogenanntes deckungsauslösendes Ereignis in Form einer Verletzung datenschutzrechtlicher Bestimmungen vorliegt. Damit greift der Haftpflichtteil der Police. In diesem Fall prüft der Versicherer zunächst die Haftpflichtfrage. Er wehrt unbegründete Ansprüche gerichtlich und außergerichtlich ab und stellt das versicherte Unternehmen von begründeten Ansprüchen frei. Das bedeutet, dass der Versicherer entweder die Abwehrkosten trägt oder den vom Unternehmen an die Kunden zu leistenden Schadenersatz im Rahmen der vereinbarten Versicherungssumme trägt.

Warum wird die Cyberversicherung mit diesen Urteilen noch wichtiger?

Bislang gab es nur sehr wenige Ansprüche gegen Unternehmen auf einen Schadenersatz aus Art. 82 DSGVO. Die neuerlichen Rechtsprechungen ebnen aber den Weg zu mehr Inanspruchnahmen. Deswegen ist es Unternehmen dringend anzuraten, eine Cyberpolice abzuschließen. Zwar mag auf den ersten Blick ein Anspruch auf Schadenersatz für einzelne Betroffene lediglich im drei- bis vierstelligen Bereich liegen, aber bei einem Sachverhalt mit vielen Betroffenen – und das ist bei den meisten Datenabflüssen aus Unternehmen der Fall – droht schnell ein Millionenschaden. Werden einem mittelständischen Unternehmen beispielsweise 10.000 Kundendaten entwendet und jeder Betroffene bekommt 500€ Schmerzensgeld zugesprochen, würde sich die Gesamtsumme möglicher Schmerzensgeldansprüche bereits auf 5 Mio. Euro summieren – und dass ohne Rechtsanwalts- und Gerichtskosten.

Empfehlungen und Tipps

1. Verstehen Sie die IT- und Datensicherheit als fortlaufenden Prozess mit höchster Priorität auf Geschäftsführungsebene.
2. Schärfen Sie das Risikomanagement und ergreifen Sie geeignete technische und organisatorische Maßnahmen, um eine angemessene Sicherheit bei der Verarbeitung personenbezogener Daten sicherzustellen.
3. Etablieren Sie eine belastbare Dokumentation über getroffene Maßnahmen im Hinblick auf die Beweislast.
4. Sichern Sie bestmöglich das Restrisiko, das technisch und organisatorisch nicht darstellbar ist, mit einer Cyberversicherung ab.
5. Nutzen Sie die weiteren Vorteile einer Cyber-Police, wie beispielsweise den kostenlosen Support mit kaltstartfähigen IT-Sicherheitsfirmen, die Unterstützung durch PR-Manager und spezialisierte Rechtsanwälte sowie Präventionsmaßnahmen wie Awareness-Schulungen und IT-Sicherheitstrainings für Ihre Mitarbeiter.

Wenn Sie Unterstützung und Beratungsbedarf haben, kommen Sie einfach auf uns zu. Unsere Cyber-Versicherungsexperten stehen Ihnen hier gerne zur Seite und helfen Ihnen auch beim Produktvergleich, der Ermittlung einer adäquaten Versicherungssumme oder beim Ausfüllen der Risikofragebögen. Im EE-Bereich ist Marius Janning (02938/9780-32; janning@evk-oberense.de, Ihr Ansprechpartner, im Sachbereich Günter Engnath (02938/9780-26, engnath@evk-oberense.de).