Am 25. Mai 2018 ist die Europäische Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Sie ersetzt in vielen Bereichen das Bundesdatenschutzgesetz (BDSG). So wird in Artikel 82 DS-GVO die Haftung aufgrund der Verletzung von Datenschutzgesetzen neu geregelt. Neben dem Schadensersatz für materielle Schäden ist auch der Ersatz immaterieller Schäden wie Schmerzensgeld erfasst. Zudem wurden die Geldbußen für Unternehmen auf bis zu 4 % des Vorjahresumsatzes bzw. auf bis zu 20 Mio. EUR erhöht.

Mit der geänderten Rechtslage stellt sich die Frage, ob eine Anpassung des Versicherungsschutzes, insbesondere bei den betrieblichen Versicherungen, erforderlich wird.

Besteht Handlungsbedarf bei Haftpflichtversicherungen?

Je nachdem, ob es sich bei der Police um eine Gewerbe- oder Industrie- Haftpflichtversicherung handelt, sind die Bedingungen der einzelnen Versicherer und auch die Vertragswerke der Makler sehr unterschiedlich ausgestaltet. Moderne Bedingungswerke bieten bereits eine weitreichende Absicherung mit hohen Sublimiten auch für Vermögensschäden.

Grundsätzlich sind in der Haftpflichtversicherung gesetzliche Schadensersatzansprüche privatrechtlichen Inhalts versichert. Allerdings ist die DS-GVO eine öffentlich-rechtliche Norm und keine privatrechtliche Gesetzesregelung. 

Die wesentliche Frage ist zunächst, welche Art von Drittschäden überhaupt entstehen können und ob diese über die Betriebshaftpflicht mitversichert wären.

Grundsätzlich bieten die Betriebshaftpflichtversicherungen Deckungsschutz für Personen-, Sach- und Vermögensschäden. So kann durch die Verletzung von Datenschutzgesetzen ein Personenschaden in Form einer psychischen Störung entstehen, weil persönliche Daten des Geschädigten an Unbefugte oder an die Öffentlichkeit geraten sind. Der Schadensersatzanspruch für den Personenschaden selbst und der möglicherweise daraus folgende immaterielle Schaden als sogenannter Vermögensfolgeschaden wäre in Höhe der Versicherungssumme für Personenschäden im Rahmen einer üblichen Betriebshaftpflichtversicherung abgesichert.

Gerade bei Datenschutzverletzungen geht es jedoch mehr um den Ersatz von immateriellen Schäden und Kosten, sodass die Vermögensschadendeckung in den Fokus rückt. Deshalb beinhalten viele Bedingungswerke die Erweiterung des Versicherungsschutzes und abweichend zum generellen Ausschluss nach Ziffer 7.15 AHB (Allgemeine Haftpflicht Bedingungen) die Mitversicherung der gesetzlichen Haftpflicht aufgrund von Vermögensschäden aus der Verletzung von Vorschriften des Bundesdatenschutzgesetzes (BDSG) über personenbezogene Daten. 

Viele Versicherer bezeichnen diesen Baustein als „Internetbaustein“ oder „Zusatzbaustein für die Nutzer von Internettechnologien“. Durch diese Zusatzbedingungen besteht Versicherungsschutz für Schäden aus dem Austausch, der Übermittlung und der Bereitstellung elektronischer Daten. Im Rahmen der Versicherungssumme für Vermögensschäden sind Persönlichkeits- und Namensrechtsverletzungen, die im Zusammenhang mit der Verletzung von Datenschutzgesetzen bestehen, ebenfalls mitversichert. 

Zu beachten ist jedoch, dass einige Versicherer diese Zusatzdeckung lediglich sublimitiert zur Verfügung stellen. Hier gilt es zu prüfen, ob die Höhe dieses Sublimits ausreichend ist. Zudem ist die Mitversicherung von Urheberrechten bei den meisten Bedingungen ausgeschlossen, insbesondere dann, wenn diese nicht auf die Verletzung von Datenschutzgesetzen durch den Missbrauch personenbezogener Daten zurückzuführen sind.

Bitte beachten Sie, dass im Rahmen der üblichen Betriebshaftpflichtversicherung Versicherungsschutz für Abwehrkosten und Schadensersatz geleistet wird. Der Ersatz von behördlichen Bußgeldern nach der DS-GVO ist grundsätzlich nicht versichert.

Moderne Bedingungswerke bieten durch die Mitversicherung des Internetbausteins bereits ausreichenden Deckungsschutz, sodass kein gesonderter Handlungsbedarf besteht. Bei älteren Policen und Bedingungen empfiehlt es sich, die Höhe der Versicherungssumme, Sublimite und Klauseln zu überprüfen, um diese ggf. auf den neuesten Standard zu bringen.

Soweit eine Anpassung Ihres Haftpflichtvertrages in Bezug auf Internet- und Cyber-Zusatzbausteine empfehlenswert erscheint, werden wir Sie hierzu kontaktieren. 

Wir weisen zudem darauf hin, dass für eine umfassende Absicherung gegen Ansprüche aus Datenschutzverletzungen und weitere Schäden im Zusammenhang mit Hackerangriffen der Abschluss einer gesonderten Cyberversicherung empfehlenswert ist. Über die Cyberversicherung sind neben den üblichen Haftpflichtbausteinen bei Drittansprüchen auch Eigenschäden wie die Betriebsunterbrechung und der hieraus entgangene Gewinn versicherbar. Zudem sind Forensik-, Krisenberatungsdienstleistungen sowie Anwaltskosten im Versicherungsschutz enthalten.
Gerne beraten wir Sie hierzu.

Besteht Handlungsbedarf bei Rechtsschutzversicherungen?

Wenn Sie eine Firmen-Rechtsschutzversicherung für Ihr Unternehmen abschließen, sind die Rechtskosten im Rahmen des aktivierbaren Bausteins „Daten- und Verwaltungs-Rechtsschutz“ mitversichert. 

Mit Blick auf die DS-GVO bieten ausgesuchte Versicherer zusätzlich speziell hierfür entwickelte Produkte an, wie z. B. der ROLAND-Rechtsschutz mit „JurData“. Dieses Produkt ist eine kostengünstige rechtliche Absicherungsmöglichkeit. Es bündelt die wichtigsten Leistungen für rechtliche Konflikte rund um das Thema Datenschutz. Das Unternehmen ist vor den finanziellen Folgen von Rechtsstreitigkeiten bei DS-GVO-Verstößen geschützt. 

Es besteht die Möglichkeit, die „JurData“ als Stand-alone-Lösung oder als Ergänzung zum bestehenden Firmen- oder Universal-Straf-Rechtsschutz abzuschließen – mit beträchtlichen Mehrwerten:

•    für Unternehmen, Gewerbetreibende, Vereine und Vermieter
•    Daten- und Verwaltungs-Rechtsschutz
•    Straf- und Ordnungswidrigkeiten-Rechtsschutz
•    Deckungsklage-Rechtsschutz für Cyberpolicen
•    Schadensersatz-Rechtsschutz

Berechnungsgrundlage ist die Anzahl der Mitarbeitenden Ihres Unternehmens.
Gerne lassen wir Ihnen entsprechende Ergänzungsangebote zukommen.

Wie steht es um die D&O-Versicherungen (Directors & Officers)?

Grundsätzlich besteht bei D&O-Versicherungen kein Handlungsbedarf im Zusammenhang mit der DS-GVO, da Vermögensschäden aufgrund gesetzlicher Haftpflichtansprüche gegen die versicherten Personen vom Versicherungsschutz erfasst sind. 
Voraussetzung ist, dass der Geschäftsführer oder der Vorstand aufgrund einer Pflichtverletzung (z. B. Organisationsverschulden) im Zusammenhang mit Datenschutzverletzungen persönlich in Anspruch genommen wird. Ein expliziter Ausschluss im Zusammenhang mit Datenschutzverletzungen oder Cyberattacken findet sich in den in Deutschland üblichen Bedingungen aktuell nicht. 
Auch die Datenschutzbeauftragten werden in neueren Bedingungen als mitversicherte Personen benannt. Allerdings sind üblicherweise Ansprüche/Schäden aus der rein operativen Tätigkeit dieser Beauftragten nicht versichert, es sei denn, sie werden gemeinsam mit einem Organ wegen einer Pflichtverletzung in Anspruch genommen.

In anderen Ländern, wie z. B. der Schweiz oder Italien, ist die Tendenz zur Aufnahme von klarstellenden Zusatzklauseln im Zusammenhang mit der DS-GVO in der D&O-Versicherung zu beobachten.

Informationsverpflichtungen nach der DS-GVO bei betrieblichen Versicherungen

Sei es beim Arztbesuch oder im Internet: Als Privatpersonen erleben wir seit dem Inkrafttreten der neuen Verordnung im Mai 2018 ständig, dass wir zunächst die Einwilligungserklärung zur DS-GVO unterzeichnen und bestätigen müssen.

Auch bei bestimmten betrieblichen Versicherungen, insbesondere den personenbezogenen Versicherungen, ist bei der Vertrags- und Schadenbearbeitung die Einhaltung und die Information über die Erfassung und Speicherung personenbezogener Daten nach der DS-GVO erforderlich.

Die Informationspflichten nach §§ 13, 14 DS-GVO zur sind bei der Verarbeitung von personenbezogenen Daten zu beachten. Die für unsere Maklertätigkeit relevanten Informationen haben wir auf unserer Homepage unter https://www.deas.de/fileadmin/pdf/Kundenerstinformationen/deas_allg_05_18_Datenschutz.pdf  hinterlegt. Diese Informationen gelten zunächst für Versicherungsverträge, in denen personenbezogene Daten von natürlichen Personen erfasst werden, z. B. Name und Geburtsdatum in der Krankenzusatz-/Auslandreisekrankenversicherung.

Aber auch bei betrieblichen Versicherungen, die zunächst im Versicherungsvertrag keine individuelle Erfassung und Verarbeitung von personenbezogenen Daten vorsehen, kann es bei Eintritt eines Schadenfalls, in den eine natürliche Person involviert oder sogar geschädigt ist, erforderlich werden, im Sinne der DS-GVO zu informieren.

Beispielhaft und nicht abschließend kann dies schadenseitig bei nachfolgenden Versicherungssparten vorkommen:

•    Betriebliche Haftpflichtversicherung, wenn eine natürliche Person Anspruchsteller oder geschädigt ist,
•    Gruppenunfallversicherung
•    Auslandsreisekrankenversicherung
•    Dienstreisekaskoversicherung
•    Reisegepäckversicherung
•    D&O-Versicherung
•    Vertrauensschadenversicherung
•    Strafrechtsschutzversicherung 
•    Kfz-Versicherung

Je nach Art des Schadenfalls können im Zusammenhang mit der Meldung und vor Beginn der Bearbeitung zusätzlich ergänzende Datenschutz- oder Schweigepflichtentbindungserklärungen der betroffene Person erforderlich sein. Dabei kann die Form der Zusendung je nach System der Verwender sehr variieren z. B. in Briefform, Textform oder als Link zum Anklicken.

Nicht alle Umsetzungsfragen lassen sich in der gebotenen Kürze darstellen bzw. klären. Wenn Sie unsicher sind, was zu tun ist, um die geforderten Standards zu erfüllen, nehmen Sie mit uns Kontakt auf. Wir helfen Ihnen gerne.