Cyber-Attacken nehmen an Häufigkeit und Schwere stetig zu. Zu den „Opfern“ zählen Großkonzerne ebenso wie mittelständische und Kleinunternehmen. So hatte es beispielsweise ein Finanzdienstleistungsunternehmen aus München getroffen. Mehr als 33.000 Kundendaten (unter anderem Name, Anschrift, E-Mail-Adresse, Handynummer, IBAN sowie Ausweiskopien der Kunden) tauchten infolge eines Datenlecks im Darknet auf. Die Täter haben zudem versucht, mit den gestohlenen Kundendaten Kredite zu erlangen. Einer der Kunden verklagte das Finanzdienstleistungsunternehmen auf Schmerzensgeld. Das Landgericht (LG) München hat diesem Kunden Schmerzensgeld in Höhe von 2.500 Euro zugesprochen (Urteil vom 9. Dezember 2021, Az. 31 O 16606/20, noch nicht rechtskräftig).
.jpg)
In der Folge ist davon auszugehen, dass das Urteil des LG München „erhebliche Indizwirkung“ für die Geltendmachung von Ansprüchen aus Artikel 82 der Datenschutz-Grundverordnung (DSGVO | „Haftung und Recht auf Schadenersatz“) haben wird und viele Kund:innen dazu animieren wird, Schmerzensgeld gegen von Datenlecks betroffene Unternehmen geltend zu machen. Die gute Nachricht für Architektur-, (Bau-) Ingenieur- und sonstige Bauplanungsbüros ist aber: Abwehrkosten und Ansprüche aus Artikel 82 DSGVO sind in einer Cyberpolice grundsätzlich versicherbar.
Dem Urteil des LG München liegt ein Anspruch aus Artikel 82 DSGVO zugrunde. Dieser stellt eine eigenständige, unmittelbar geltende, deliktsrechtliche Anspruchsgrundlage dar, die zum einen den Zweck hat, einen Ausgleich für durch Datenschutzrechtsverletzungen erlittene materielle und immaterielle Schäden zu schaffen, und zum anderen Datenschutzrechtsverletzungen zu sanktionieren, um weitere Verstöße zu verhindern. Voraussetzung für einen Anspruch aus Artikel 82 DSGVO ist zunächst, dass ein Verstoß gegen eine Bestimmung der DSGVO vorliegt (zum Beispiel die Verletzung von Datensicherheitsvorgaben gemäß Artikel 32 DSGVO). Zudem muss der Verantwortliche, gegen den der Ersatzanspruch gerichtet ist, den Datenschutzverstoß fahrlässig oder vorsätzlich verschuldet haben. Das Verschulden wird grundsätzlich vermutet. Um sich zu entlasten, muss der Verantwortliche daher nachweisen, für das schadensauslösende Ereignis nicht verantwortlich gewesen zu sein. Kann das von einem Datenleck betroffene Unternehmen zum Beispiel nachweisen, dass alles Zumutbare getan wurde, um Datenlecks vorzubeugen, ist eine Entlastung unter Umständen möglich. Elementarer Kern eines begründeten Schadensersatzanspruches nach Artikel 82 DSGVO ist nach ständiger Rechtsprechung insbesondere der Eintritt eines „kausalen Schadens“. Dies können zum einen materielle Schäden sein, die finanziell konkret beziffert werden (zum Beispiel Vermögensverluste durch die Nutzung der Zahlungsdaten des Betroffenen). Zum anderen kommt auch der Ersatz von immateriellen Schäden (also Schmerzensgeld) in Betracht. Um einen Schmerzensgeldanspruch zu begründen, muss nach Ansicht der herrschenden Meinung dem Betroffenen ein spürbarer Nachteil entstanden sein, der aus einer objektiv nachvollziehbaren, mit gewissem Gewicht erfolgten Beeinträchtigung von persönlichkeitsbezogenen Belangen resultiert.
Einen eben solchen Anspruch auf Schmerzensgeld sprach das LG München dem betroffenen Kunden des Finanzdienstleistungsunternehmens in Höhe von 2.500 Euro zu. Das LG München sieht es zum einen als erwiesen an, dass unbefugte Dritte Zugriff auf dessen Kundendaten hatten, und stuft dies als „Identitätsdiebstahl“ ein, welcher einen Anspruch auf Schadensersatz begründet. Zum anderen habe das Finanzdienstleistungsunternehmen keine ausreichenden organisatorischen Maßnahmen getroffen, um den streitgegenständlichen Datenverlust zu verhindern. Das LG München geht davon aus, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre. Demnach liege ein datenschutzrechtlicher Verstoß vor, den das Unternehmen zu vertreten habe. Dem Kunden sei somit ein spürbarer Nachteil entstanden, der die Zahlung eines Schmerzensgeldes rechtfertigt. Weil der betroffene Kunde sich nach wie vor dem Risiko ausgesetzt fühlt, dass die über ihn erbeuteten Daten für Identitätsdiebstähle, Zugriffsversuche auf von ihm genutzten Online-Dienste oder sonstige Betrugsversuche verwendet werden (unter anderem ist es bereits zu insgesamt zehn fehlgeschlagenen Login-Versuchen bei seinem E-Mail-Anbieter gekommen), hat das LG München das Finanzdienstleistungsunternehmen dazu verpflichtet, dem Kläger auch alle materiellen, künftigen durch das Datenleck entstandene Schäden zu ersetzen.
Obwohl das Urteil des LG München noch nicht rechtskräftig ist, ist zu erwarten, dass es „erhebliche Indizwirkung“ für die Durchsetzung von Ansprüchen aus Artikel 82 DSGVO haben wird. Das Urteil schafft erstmals einen Orientierungsrahmen für Kund:innen, die Opfer eines Datenlecks bei einem Unternehmen wurden, bei dem eine Vielzahl von Kundendaten gestohlen und geleakt wurden. Allein die weiteren 33.000 Kunden des Finanzdienstleistungsunternehmens, die von dem konkreten Leak betroffen waren, dürften sich durch das Urteil animiert fühlen, ebenfalls Schmerzensgeld geltend zu machen. Insbesondere vor dem Hintergrund, dass sich immer mehr Prozessfinanzierer, Rechtsdienstleister und Legal-Tech-Unternehmen auf die Durchsetzung von datenschutzrechtlichen Ansprüchen spezialisieren, liegt die Vermutung nahe, dass in naher Zukunft eine regelrechte Klagewelle wegen Ansprüchen aus Artikel 82 DSGVO auf die deutschen Gerichte zukommen wird.
Die gute Nachricht ist, dass für Sachverhalte, in denen Architektur-, (Bau-) Ingenieur- und sonstige Bauplanungsbüros von Kund:innen auf Schadensersatz in Anspruch genommen werden, weil diesen Unternehmen Daten der Kunden „gestohlen“ wurden, nach Einschätzung zumindest eines namhaften deutschen Cyber-Versicherers grundsätzlich Versicherungsschutz über die Cyber-Versicherung bestehen kann. Entscheidend ist hierbei, dass ein sogenanntes „deckungsauslösendes Ereignis“ vorliegt. Dieses ist in dem Urteil des LG München zugrundeliegenden Sachverhalt in einer Datenschutz- bzw. Datenvertraulichkeitsverletzung zu sehen, weil eine Verletzung datenschutzrechtlicher Sicherheitsvorgaben gemäß Artikel 31 DSGVO gegeben ist. Liegt also ein solches „deckungsauslösendes Ereignis“ vor, ist der Haftpflichtteil der Cyber-Police ansteuerbar. Der Versicherungsschutz umfasst hierbei zum einen die Prüfung der Haftpflichtfrage durch den Versicherer. Auf Grundlage der Einschätzung gewährt der Versicherer sodann Versicherungsschutz für die gerichtliche und außergerichtliche Abwehr von unbegründeten Ansprüchen oder stellt das versicherte Unternehmen von begründeten Ansprüchen frei. Im vorliegenden Sachverhalt bedeutet dies, dass vom Versicherungsschutz sowohl die angefallenen Abwehrkosten umfasst wären, als auch das an den Kunden zu leistende Schmerzensgeld, da die Abwehr der Ansprüche nicht erfolgreich war. Architektur-, (Bau-) Ingenieur- und sonstige Bauplanungsbüros sind daher gut beraten, das Kostenrisiko einer drohenden Klagewelle wegen Ansprüchen aus Artikel 82 DSGVO durch den Abschluss einer entsprechenden Cyberpolice zu minimieren. Im Fall der Fälle droht aufgrund der Inanspruchnahme durch eine Vielzahl betroffener Kunden ein Millionenschaden. Rechnet man die möglichen Schadenzahlungen der 33.000 betroffenen Kunden des Münchner Finanzdienstleistungsunternehmens à 2.500 Euro hoch, kommt man auf eine Gesamtsumme möglicher Schmerzensgeldansprüchen von über 80 Millionen Euro. Hierbei sind Rechtsanwalts- und Gerichtskosten noch nicht einmal mit eingerechnet.
Vorstand und Aufsichtsrat eines als GmbH oder AG geführten Architektur-, (Bau-) Ingenieur- und sonstigen Bauplanungsbüros sind im Rahmen der Legalitätspflicht gehalten, für die Einhaltung gesetzlicher Vorschriften im Bereich „IT-Sicherheit und Datenschutz“ zu sorgen. Ein Versagen entsprechender Organisations- und Sorgfaltspflichten im Zusammenhang mit Cyber-Risiken kann in der Folge auch zu einem Fall der persönlichen Manager-Haftung und damit auch der Directors-and-Officers-Versicherung (D&O), einer Vermögensschadenhaftpflichtversicherung für Organe und leitende Angestellte eines Unternehmens, werden. Insbesondere, wenn ein Vermögensschaden bei dem Unternehmen verbleibt, weil zum Beispiel keine Cyber-Versicherung abgeschlossen wurde, oder die Cyber-Versicherung den finanziellen Verlust nicht oder nicht in Gänze absichert. Wie das Beispiel des Münchner Finanzdienstleistungsunternehmens zeigt, bedarf es einer aktiven Auseinandersetzung des Managements mit den Themen „IT-Sicherheit“ bzw. „Risikomanagement“. Themen wie „IT-Governance“, „Krisenmanagement“, „Notfallpläne“, „Trainings und Awareness zur IT-Sicherheit“ sollten daher regelmäßige Tagesordnungspunkte bei Vorstands- und Aufsichtsratssitzungen sein. Indem die Manager:innen diesen Sorgfaltspflichten nachkommen, minimieren sie nicht nur ihre persönliche Haftung, sondern verringern mit konsequenten Krisenmanagementmaßnahmen ebenfalls die Eintrittswahrscheinlichkeit und Höhe eines potentiellen Cyberschadens. Einige Versicherer hinterfragen die Zusammenhänge von Cyber-Risiken im Rahmen einer D&O-Versicherung bereits und gewähren etwa Prämiennachlässe bei Vorlegen einer Cyber-Versicherung oder reagieren mit Ausschlüssen für Cyber-Risiken im Rahmen der D&O. Das neuerliche Urteil gegen das Münchner Finanzdienstleistungsunternehmen wird sicherlich diesen Trend auch bei anderen Versicherern weiter forcieren, Kapazitäten und Verzahnungen zwischen Cyber- und D&O-Versicherung genauer zu prüfen.
Insbesondere eine enge Abstimmung der Konzepte zur D&O- und Cyberversicherung ist daher künftig noch wichtiger, um den herausfordernden IT-Risiken unser Zeit ganzheitlich zu begegnen. Wir von der pisa Versicherungsmakler GmbH empfehlen in der Regel einen Abschluss beider Deckungen (Cyber und D&O), und idealerweise beim selben Versicherer. Damit im Schadenfall, falls beide Deckungen betroffen sind, nicht der D&O-Versicherer den Schaden auf den Cyber-Versicherer bzw. der Cyber-Versicherer auf den D&O-Versicherer abzuwälzen versucht. Wir von der pisa Versicherungsmakler GmbH stehen als unabhängiger Fachversicherungsmakler für die Bauplanungsbranche Architektur-, (Bau-) Ingenieur- und sonstigen Bauplanungsbüros gerne beratend zur Seite, wenn es um angemessene und weitreichende Cyber-Deckungen sowie um D&O-Versicherungen geht. Sie haben Fragen? Sprechen Sie uns gerne an.
