Risikobewertung neu definieren

Datenschutz-Grundverordnung und Bundesdatenschutzgesetz – eine Herausforderung für die Versicherungswirtschaft

Von Dr. Henning Schaloske und Amrei Zürn, LL.M.

Beitrag als PDF (Download)

Seit dem 25.05.2018 finden die Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) Anwendung. Für die Versicherungswirtschaft ist das insbesondere aus zwei Gesichtspunkten relevant: Zum einen müssen Versicherungsunternehmen selbst die datenschutzrechtlichen Anforderungen einhalten. Zum anderen stellen sich versicherungsvertraglich Herausforderungen, die wir nachfolgend in ausgewählten Aspekten aufzeigen.

Im Blickpunkt: Cyberversicherung und D&O-Versicherung

Das neue Datenschutzrecht stellt insbesondere angesichts weitreichender Haftungs- und Sanktionsmöglichkeiten besonders die Cyberversicherung und die D&O-Versicherung vor neue Risiken.

Mit Art. 82 DSGVO wurde eine Haftungsnorm eingeführt, wonach jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz hat. Nach dem alten BDSG war umstritten, ob auch immaterielle Schäden ersetzt werden. Dieser Streit hat sich mit dem eindeutigen Wortlaut von Art. 82 ­DSGVO erledigt. Haftungsadressat ist grundsätzlich das Unternehmen selbst und – entsprechend den allgemeinen Grundsätzen der Außenhaftung – nicht ein verantwortliches Organmitglied. Solche Schadensersatzansprüche sind für die Cyberversicherung im Rahmen des Drittschadenbausteins relevant. Mit Blick auf die D&O-Versicherung erlangen sie Bedeutung, wenn Mitglieder von Geschäftsführungsorganen wegen Verletzung ihrer datenschutzspezifischen Organisationspflichten von dem Unternehmen nach §§ 93 Abs. 2 Satz 1 AktG, 43 Abs. 2 GmbHG in Regress genommen werden. Gerade mit Blick auf die Datenschutzcompliance ist davon auszugehen, dass die D&O-Versicherer zukünftig vermehrt mit Schadensfällen konfrontiert werden. Das gilt ähnlich auch für das Thema IT-Sicherheit. Anknüpfend an ­Compliancethemen rund um Kartellrecht und Korruption, handelt es sich um zwei Rechtsbereiche, die verstärkt in den Vordergrund der Schadenspraxis treten werden und den „Trend“ von Inanspruchnahmen aufgrund vermeintlich unzureichender Maßnahmen zur Sicherstellung legalen Verhaltens des Unternehmens weiter verstärken.

Über die Schadensersatzhaftung enthalten die ­Art. 83 DSGVO, §§ 41 ff. BDSG als Sanktion eine weitreichende Möglichkeit zur Verhängung von Bußgeldern. Konnte nach dem alten BDSG lediglich ein Bußgeld in Höhe von maximal 300.000 Euro festgesetzt werden, sind künftig Bußgelder in Höhe von bis zu  20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens möglich. Auch insoweit gilt, dass die Art. 83 DSGVO, §§ 41 ff. BDSG als Adressaten primär Unternehmen im Blick haben, die unmittelbar für Datenschutzverletzungen haften sollen.

Hinsichtlich solcher Bußgelder enthalten Cyberversicherungen in der Regel Klauseln, wonach Versicherungsschutz für von Versicherten entrichtete Bußgelder wegen Datenschutzverletzungen besteht, sofern kein gesetzliches Versicherungsverbot entgegensteht. Das wird zukünftig verstärkt die Frage der Versicherbarkeit von Bußgeldern aufwerfen. Während dazu eine gesetzgeberische oder höchstrichterliche Klärung fehlt und im Übrigen weitgehend von einer Sittenwidrigkeit entsprechenden Versicherungsschutzes ausgegangen wird, bestehen durchaus gute Gründe für differenzierte Lösungen.

Ist ein Regress möglich?

Im Rahmen der D&O-Versicherung stellt sich mit Blick auf Bußgelder auch im Bereich des Datenschutzrechts die Frage, ob der Regress einer gegen ein Unternehmen verhängten Geldbuße im Wege der Geltendmachung eines Schadensersatzanspruchs nach §§ 43 Abs. 2 GmbHG, 93 Abs. 2 Satz 1 AktG gegen ein Mitglied der Geschäftsführung ganz oder beschränkt zulässig oder ausgeschlossen ist. Eine höchstrichterliche Entscheidung liegt zu dieser Frage bislang bekanntlich nicht vor. Anknüpfend an die weithin diskutierte Entscheidung des Landesarbeitsgerichts Düsseldorf im Bereich des Kartellrechts, wird die weitere Klärung abzuwarten sein. Hieran anknüpfend, stellt sich in deckungsrechtlicher Hinsicht die Frage nach der Versicherbarkeit solcher Regressansprüche. Anders als die strittige Frage des haftungsrechtlichen Regresses ist dessen Versicherbarkeit klar zu bejahen.

Fazit

Für Versicherer stellen sich neue Herausforderungen und Aufgaben bei der Risikobewertung. Dem sollte durch entsprechende Abläufe im Underwriting und der Wording-Gestaltung möglichst präventiv Rechnung getragen werden. Das betrifft gerade auch die Abgrenzung etwa von Cyber-, VSV- und D&O-Versicherungen. Wir sind davon überzeugt, dass die datenschutzrechtliche Compliance schnell ein relevantes Thema in der Schadenspraxis wird.

Henning.schaloske@clydeco.com

Amrei.zuern@clydeco.com