Verschärfter Datenschutz: D&O künftig noch wichtiger

Verschärfter Datenschutz: D&O künftig noch wichtiger

Dr. Brigitta Schwarzer, MBA

Die Letztverantwortung für Datenschutzverletzungen liegt beim Management. Jedes Unternehmen sollte sich entsprechend absichern.

Am 25. Mai 2018 wurde die Datenschutzgrundverordnung (DSGVO) der EU in Österreich wirksam. Zeitgleich traten das Datenschutz-Anpassungsgesetz 2018 und das Datenschutz-Deregulierungsgesetz 2018 in Kraft.

Unternehmen, die personenbezogene Daten verarbeiten, haben nun deutlich mehr Pflichten, gleichzeitig werden die Rechte der Dateninhaber gestärkt. Bei Verstößen gegen die DSGVO drohen saftige Strafen: Vorgesehen sind Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

Experten erwarten, dass es in Zusammenhang mit der DSGVO künftig vermehrt zu rechtlichen Auseinandersetzungen kommen und die D&O-Versicherung deshalb öfter in Anspruch genommen werden dürfte. Diese Einschätzung beruht darauf, dass die Letztverantwortung auch für die Bereiche Datenschutz und IT-Sicherheit beim Management eines Unternehmens liegt.

Als „Knackpunkt“ für D&O-Deckung auslösende Haftungsfälle sehen Fachleute den Art. 24 DSGVO. Gemäß diesem hat der Verantwortliche für die Verarbeitung der Daten geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verwendung der Daten gemäß DSGVO erfolgt. Falls erforderlich, hat der Verantwortliche für die Anwendung geeigneter Datenschutzvorkehrungen zu sorgen. Wenn auf den unteren Ebenen Fehler passieren, landet der Ball am Ende beim Vorstand oder Geschäftsführer, auch Datenschutz wird deshalb künftig wohl zu einem Compliance-Thema werden.

Jedes Unternehmen – unabhängig davon, ob es über eine Cyberversicherung, die auch für die Folgen von Datenschutzverletzungen Deckung bietet, verfügt oder lediglich eine „normale“ D&O-Versicherung abgeschlossen hat – sollte letztere sorgfältig überprüfen, ob sie gegen Datenschutzverletzungen eine entsprechende Absicherung hat. Folgende Fragestellungen spielen dabei eine wesentliche Rolle:

  • Enthält die D&O-Versicherung eine eigene Cyber-Ausschnittsdeckung?
  • Gehören auch der Datenschutzbeauftragte und andere Personen, die mit der Durchführung der datenschutzrechtlichen Bestimmungen befasst sind, zum Kreis der versicherten Personen bzw. möchte die Versicherungsnehmerin, dass sie dazugehören?
  • Fallen jene Tätigkeiten, welche die mit der Durchführung der datenschutzrechtlichen Bestimmungen versicherten Personen ausüben, unter die versicherte Tätigkeit?
  • Zu welchem Zeitpunkt und in welchem Ausmaß greifen die Bestimmungen zu Abwehr/Verteidigungskosten und vorbeugenden Rechtskosten bei Datenschutzverletzungen?
  • Lässt die D&O-Polizze zu, dass im Falle der Verhängung von Geldbußen Innenansprüche gegen versicherte Personen geltend gemacht werden können?

In den vergangenen Jahren hat die Zahl der D&O-Inanspruchnahmen massiv zugenommen. Bis Schäden endgültig abgewickelt sind, dauert es inzwischen oft mehrere Jahre. Daher achten Unternehmen und Makler bei D&O-Versicherungen zunehmend nicht nur auf die Höhe der Prämien, sondern auch auf die Fähigkeit des Versicherers, Schadenfälle zügig und professionell abzuwickeln.