Erforderliche Versicherungen im Zusammenhang mit Datenschutzverletzungen

In der heutigen Zeit ist der Begriff „Datenschutz“ und „Datenschutzverletzung“ nicht mehr wegzudenken. Gerade für Unternehmer, die für die Einhaltung von Datenschutzbestimmungen verantwortlich sind, ist es von maßgeblicher Bedeutung, im Falle einer Datenschutzverletzung entsprechend abgesichert zu sein. Welche Versicherungen in diesem Zusammenhang interessant sein könnten, zeigt nachstehender Beitrag.

Was ist eine Datenschutzverletzung?

Die Datenschutz-Grundverordnung (kurz „DSGVO“) definiert eine Datenschutzverletzung wie folgt (Artikel 4 Z 12 DSGVO):

„Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Laienhaft könnte man den Begriff „Datenschutzverletzung“ auch als „Datenpanne“ oder „Datenleck“ bezeichnen.

Liegt eine Datenschutzverletzung vor, bestehen für den Betroffenen im Wesentlichen zwei Möglichkeiten, die für den Verantwortlichen/Unternehmer einen finanziellen Schaden zur Folge haben könnten:

Möglichkeit 1: Beschwerde bei der Datenschutzbehörde (Artikel 77 DSGVO und § 24 DSG)

Die Betroffenen haben das Recht auf eine Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Eine Verarbeitung personenbezogener Daten ist insbesondere nur dann zulässig, wenn eine Rechtsgrundlage für ihre Verarbeitung vorliegt. Eine mögliche Rechtsgrundlage ist die Einwilligung der Betroffenen.

Liegt im Beschwerdeverfahren laut Datenschutzbehörde ein Verstoß vor, wird die Verletzung mittels Bescheid festgestellt. Die Datenschutzbehörde kann ebenso Geldbußen verhängen, wenn Verstöße gegen Datenschutzbestimmungen begangen wurden. Dann drohen drakonische Geldbußen bis zu € 20 000 000 (§ 24 DSG iVm Artikel 83 DSGVO).

Auch wenn die Datenschutzbehörde eine Verletzung feststellt, muss der Betroffene die angefallenen Kosten (zB Rechtsanwaltskosten) des Verfahrens selbst tragen. Anders als im gerichtlichen Zivilverfahren gibt es vor der Datenschutzbehörde keinen Kostenersatz. Der Unternehmer, der für die Datenschutzverletzung verantwortlich war, muss dem Betroffenen also keine Kosten ersetzen. Für den Betroffenen gibt es aber die Möglichkeit, die Kosten des Beschwerdeverfahrens als Schadenersatz beim Zivilgericht einzuklagen (OLG Linz zu 2 R 149/21a). Mit anderen Worten kann der Betroffene die angefallenen Kosten vor der Datenschutzbehörde mittels Klage gegen den Unternehmer (=Verursacher der Kosten) beim Zivilgericht fordern. Für die Einbringung der Klage beim Zivilgericht sollte auch eine Deckung aus der Rechtsschutzversicherung gegeben sein.

Doch nicht nur die Kosten, sondern auch andere Art von Schäden können vom Unternehmer/Verantwortlichen gefordert werden.

Möglichkeit 2: Schadenersatzklage beim Gericht (Artikel 82 DSGO und § 29 DSG)

Die DSGVO gewährt jeder Person, der wegen eines Verstoßes gegen sie ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz (Artikel 82 DSGVO). Dazu gehören unter anderem Diskriminierung, Rufschädigung, Identitätsdiebstahl oder gesellschaftliche Nachteile. Dieser Schadenersatz muss mittels Klage vor dem Landesgericht geltend gemacht werden (§ 29 Abs 2 DSG).

Auch im Arbeitsbereich werden Daten von ehemaligen ArbeitnehmerInnen häufig rechtswidrig und ohne Rechtfertigungsgrund bzw. Einwilligung verarbeitet. Ausgeschiedene ArbeitnehmerInnen haben zumeist ein Interesse daran, dass ihre Daten (wie beispielsweise Bilder auf Social Media oder im Internet) nicht weiterhin verwendet werden.

Beispielsweise wurde von einem Gericht ein Schadenersatz von € 1.000,00 zugesprochen, weil ein Arbeitgeber ein Foto eines Arbeitnehmers ohne Zustimmung auf Facebook veröffentlichte. Für die unzulässige Weitergabe von Gesundheitsdaten durch den ehemaligen Arbeitgeber an die Ausländerbehörde wurden € 1.500,00 zugesprochen.

 

Welche Absicherung ist für Unternehmen bei Datenschutzverletzungen von Relevanz?

Für den Unternehmer/Arbeitgeber, der für die Einhaltung der Datenschutzbestimmungen verantwortlich ist, ist es empfehlenswert, sich entsprechend abzusichern. Benötigt dafür wird eine Betriebshaftpflichtversicherung. Zu beachten ist, dass eine „Standard-Betriebshaftpflichtversicherung“ für die Verletzung von datenschutzrechtlichen Bestimmungen keine Leistung vorsieht. Die Einschluss-Klausel sollte in etwas wie folgt lauten:

„Vom Versicherungsschutz umfasst sind Schadenersatzansprüche nach datenschutzrechtlichen Bestimmungen wie insbesondere der DSGVO und des Datenschutz-Gesetzes (DSG).“

Dieser Einschluss ist separat zu vereinbaren. Erst durch den Einschluss ist für den Unternehmer gewährleistet, dass dieser im Falle einer Forderung aufgrund datenschutzrechtlicher Verstöße ausreichend abgesichert ist. Die Haftpflichtversicherung übernimmt insb. die anfallenden Kosten (z. B. Gerichts- und Rechtsanwaltskosten) und den geltend gemachten Schadenersatzbetrag.

Aber auch für den Auftragsverarbeiter kann eine Haftpflichtversicherung bedeutsam sein. „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Artikel 4 Z 8 DSGVO). Der Betroffene kann sowohl vom Verantwortlichen/Unternehmer, als auch vom Auftragsverarbeiter eine Entschädigung fordern (Artikel 82 Abs 2 DSGVO).

Dass dieses Risiko nicht zu unterschätzen ist, zeigen nachstehende Beispiele:

• Datenpanne mit mehr als 33.000 betroffene Kundendaten aufgrund eines Konfigurationsfehlers (https://www.derstandard.at/story/2000134778563/datenleck-in-baden-33-000-adressen-ungeschuetzt-im-netz).
• Datenpanne mit über 200 Millionen betroffene Kundendaten aufgrund eines Hackerangriffes (https://www.heise.de/news/Rund-230-Millionen-Deezer-Datensaetze-zu-Have-I-been-pwned-hinzugefuegt-7445237.html)
• Datenpanne mit rund 3 Millionen betroffene Kundendaten aufgrund eines Konfigurationsfehlers (https://www.heise.de/news/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html)
• Datenpanne mit über 200 Millionen betroffene Kundendaten aufgrund eines Hackerangriffes (https://www.golem.de/news/fluggesellschaft-9-millionen-easyjet-kunden-von-datenleck-betroffen-2005-148604.html)

Würden beispielsweise nur jeweils 2 000 Betroffene einen Schadenersatz von je € 300,00 fordern, würde der Unternehmer mit einer Klagsforderung von € 600.000 konfrontiert sein. Im Falle eines Prozessverlustes könnte dies einen wirtschaftlichen Ruin für das Unternehmen bedeuten.

Unter diesem Aspekt ist der Abschluss einer entsprechenden Haftpflichtversicherung sinnvoll.

Wie können sich Betroffene gegen Datenschutzverletzungen absichern?

Damit der Betroffene unter Umständen einen Schadenersatz gerichtlich geltend machen kann, ist der Abschluss einer Rechtsschutzversicherung erforderlich.

Ohne Rechtsschutzversicherung ist die Geltendmachung eines Schadenersatzanspruches aufgrund einer Datenschutzverletzung nicht empfehlenswert; insb. aufgrund des Kostenrisikos. Der Abschluss einer Rechtschutzversicherung ist empfehlenswert, da diese Versicherung im Falle eines Rechtsstreites insb. die Anwalts- und Gerichtskosten übernimmt.

Folgende „Lebensbereiche“ könnten/sollten mit einer Rechtsschutzversicherung versichert werden:

• Verkehrsbereich (zB Streitigkeiten mit dem Unfallgegner)
• Arbeitsbereich (zB Streitigkeiten mit dem Arbeitgeber)
• Wohnbereich (zB Streitigkeiten mit dem Vermieter)
• Vertragsbereich (zB Streitigkeiten aufgrund abgeschlossener Verträge wie Kraftfahrzeug, Reparaturvertrag, (Flug)Reisen, Kreditvertrag, Küche, Waschmaschine…)
• Deliktsbereich (Streitigkeiten aufgrund eines fehlerhaften Verhaltens eines Dritten; zB Schmerzengeld wegen Ski- oder Radunfall….)
• Sozialbereich (zB Streitigkeiten mit dem Sozialversicherungsträger)
• Familie/Erbschaft (zB Erbschaftsstreit)

Fazit

Eine Datenschutzverletzung kann weitreichende Folgen haben. Der Unternehmer/Verantwortliche ist für die Einhaltung der Datenschutzbestimmungen zuständig und wird im Falle eines Datenlecks schadenersatzpflichtig. Damit Schadenersatzforderungen der Betroffenen durch den Unternehmer abgewehrt bzw. befriedigt werden können, ist der Abschluss einer Betriebs-Haftpflichtversicherung erforderlich.

Damit der Betroffene ohne Kostenrisiko eine Schadenersatzklage bei Gericht einbringen kann, ist der Abschluss einer Rechtsschutzversicherung erforderlich.

Zum Autor

Mag. Dr. Daniel Lehner (+43 676 825 235 34)

• Selbständiger Versicherungsvertreter
• Leiter der Abteilung Kfz-/Rechtsschutz-Vertrag bei einem österreichischen Versicherer
• Diplomstudium der Rechtswissenschaften
• Doktoratsstudium der Rechtswissenschaften (Dissertation: Deckungsumfang und Risikoausschluss der Rechtsschutzversicherung)
• Versicherungsmakler-Prüfung
• Rechtsanwaltsprüfung
• Abgelegte Richterprüfung
• 5-jährige Tätigkeit in einer Rechtsanwaltskanzlei mit Schwerpunkt Versicherungs- und Datenschutzrecht
• Weitere Informationen unter www.versichertbeilehner.at