zurück zur Übersicht

Beitrag speichern

Finlex: Auswirkungen der aktuellen EuGH-Rechtsprechung auf die Cyber-Versicherung

(Bild: © Stockwerk-Fotodesign - stock.adobe.com)

Finlex: Auswirkungen der aktuellen EuGH-Rechtsprechung auf die Cyber-Versicherung

28. Februar 2024

|

7 Min. Lesezeit

|

Recht & Wissen

Der EuGH hat in drei kürzlich ergangenen Urteilen (C-687/21, C-340/21 und C-456/22) seine Rechtsprechung zur datenschutzrechtlichen Verantwortlichkeit und den Voraussetzungen eines Schadenersatzanspruchs gem. Art. 82 DSGVO konkretisiert. Damit werde laut Finlex der Trend des EuGH fortgesetzt, die Haftung von Unternehmen zu verschärfen, so dass zukünftig vermehrt mit Inanspruchnahmen zu rechnen sei, was auch Einfluss auf die Cyber-Versicherung haben werde.

Kerstin Quirchtmayr

Redakteur/in: Kerstin Quirchtmayr - Veröffentlicht am 2/28/2024

Die Cyber-Versicherung wird deshalb davon betroffen sein, da Sachverhalte, in denen Unternehmen von Kunden auf Schadenersatz gem. Art. 82 DSGVO in Anspruch genommen werden, grundsätzlich unter die Deckung von Cyber-Policen fallen. Der Beitrag fasst die EuGH-Urteile C-687/21, C-340/21 sowie C-456/22 kurz zusammen, erläutert die Voraussetzungen eines Schmerzensgeldanspruchs gem. Art. 82 DSGVO und schließt mit einem Blick auf die Versicherbarkeit solcher Ansprüche in der Cyber-Versicherung.

EuGH-Urteil vom 15.01.2024, Az. C-687/21: Kein Schmerzensgeld ohne nachgewiesene Kenntnisnahme

Ein Verbraucher erwarb bei einem Elektrofachhändler ein Haushaltsgerät. Versehentlich wurde das Gerät mit den Kauf- und Kreditvertragsunterlagen einem anderen Kunden ausgehändigt, der sich vorgedrängelt hatte. Obwohl der Irrtum schnell bemerkt und die Unterlagen zurückgegeben wurden, klagte der wahre Käufer auf Schadensersatz wegen des Risikos, die Kontrolle über seine personenbezogenen Daten zu verlieren. Der EuGH lehnte einen Anspruch gemäß Artikel 82 DSGVO ab. Nach dem Urteil besteht kein Anspruch auf Schmerzensgeld, wenn die Daten zwar weitergegeben, aber nicht von Unbefugten zur Kenntnis genommen wurden. Alleinige Sorgen um möglichen Missbrauch begründen keinen Anspruch auf immateriellen Schadensersatz.

EuGH-Urteil vom 14.12.2023, Az. C-340/21: Schmerzensgeld bei Angst vor Datenmissbrauch

Eine bulgarische Behörde wurde Opfer eines Hackerangriffs, bei dem Daten von über 6 Millionen Personen gestohlen und veröffentlicht wurden. Eine Betroffene klagte auf Schadensersatz wegen der Furcht vor Datenmissbrauch. Der EuGH entschied zugunsten der Klägerin: Die berechtigte Angst vor möglichem Datenmissbrauch begründet einen Schmerzensgeldanspruch. Die Behörde war in der Pflicht, angemessene Sicherheitsmaßnahmen zu ergreifen, um die Daten zu schützen. Erfolglose Schutzmaßnahmen allein entlasten nicht von der Verantwortung. Die Behörde hätte nachweisen müssen, dass ihre Maßnahmen wirksam waren und sie nicht für den Schaden haftet.

EuGH-Urteil vom 14.12.2023, Az. C-456/22: Keine Bagatellgrenze bei Schmerzensgeld

Eine Gemeinde in Baden-Württemberg veröffentlichte ohne rechtliche Grundlage die Namen zweier Personen auf ihrer Website. Obwohl der Eintrag kurz darauf gelöscht wurde, forderten die Betroffenen Schadensersatz nach Art. 82 DSGVO wegen unzulässiger Datenveröffentlichung. Der EuGH entschied zugunsten der Kläger: Auch bei Bagatellschäden besteht ein Anspruch auf Schmerzensgeld gemäß Art. 82 DSGVO. Die betroffenen Personen müssen lediglich nachweisen, dass sie einen immateriellen Schaden erlitten haben. Das Urteil stärkt die Rechte von Betroffenen und hebt die Bagatellgrenze für Schadenersatz im Sinne der DSGVO auf.

Voraussetzungen eines Schmerzensgeldanspruchs gemäß Art. 82 DSGVO

Die Urteile des EuGH drehen sich stets um die Frage, ob Betroffene einen Anspruch aus Art. 82 DSGVO haben. Diese Bestimmung bietet eine eigenständige rechtliche Grundlage für Schadensersatz bei Datenschutzverletzungen. Um einen Anspruch geltend zu machen, muss zunächst ein Verstoß gegen die DSGVO vorliegen, der fahrlässig oder vorsätzlich begangen wurde. Das Verschulden wird in der Regel vermutet, aber der Verantwortliche kann sich entlasten, indem er nachweist, angemessene Sicherheitsmaßnahmen getroffen zu haben. Ein kausaler Schaden ist für einen begründeten Schadensersatzanspruch wesentlich. Dies kann sowohl materielle Schäden als auch immaterielle Schäden (Schmerzensgeld) umfassen. Für ein Schmerzensgeld muss der Betroffene nachweisen, dass er einen spürbaren Nachteil erlitten hat, der aus einer nachvollziehbaren Beeinträchtigung persönlicher Belange resultiert.

Versicherbarkeit in der Cyber-Versicherung

Dr. Marcel Straub, Head of Legal bei Finlex:

"Erfreulich ist, dass für Sachverhalte, in denen Unternehmen von Kunden auf Schadenersatz gem. Art. 82 DSGVO in Anspruch genommen werden, grundsätzlich Deckung im Rahmen von Cyber- Versicherungen besteht. Der Anwendungsbereich der Cyber-Versicherung ist in aller Regel eröffnet, da ein sog. deckungsauslösendes Ereignis in Form einer Verletzung datenschutzrechtlicher Bestimmungen vorliegt. Als Daten gelten hierbei in vielen Bedingungswerken auch physische Dokumente bzw. nicht-elektronische Daten, so dass auch im Sachverhalt des Elektrofachhändlers (Az. C-687/21), bei welchem Kauf- und Kreditvertragsunterlagen versehentlich einem anderen Kunden ausgehändigt wurden, ein deckungsauslösendes Ereignis anzunehmen wäre."

Liegt ein deckungsauslösendes Ereignis vor, ist der Haftpflichtteil der Police ansteuerbar. Der Versicherungsschutz umfasst hierbei zunächst die Prüfung der Haftpflichtfrage durch den Versicherer. Auf Grundlage der Einschätzung gewährt der Versicherer sodann Versicherungsschutz für die gerichtliche und außergerichtliche Abwehr von unbegründeten Ansprüchen oder stellt das versicherte Unternehmen von begründeten Ansprüchen frei.

Dr. Marcel Straub:

"Für die vorliegenden Fälle bedeutet dies, dass ein Versicherer in allen drei EuGH-Fällen zum einen die angefallenen angemessenen Abwehrkosten hätte tragen müssen. Zum anderen wäre vom Versicherungsschutz grundsätzlich auch umfasst, dass ein Versicherer den vom Unternehmen an die Kunden zu leistenden Schadenersatz tragen müsste. In den Fällen Az. C-340/21 und Az. C-456/22 bestünde daher Versicherungsschutz sowohl für die Kosten der erfolglosen Abwehr der geltend gemachten Ansprüche als auch für die zu leistenden Schadenersatzansprüche gem. Art. 82 DSGVO."

Ausblick

Die Urteile erweitern die bestehende Rechtsprechung zu Art. 82 DSGVO und präzisieren die bereits erkennbare Linie des EuGH. Durch die Betonung der Notwendigkeit einer konkreten und individuellen Bewertung von Sicherheitsmaßnahmen sowie die Verantwortung von Datenverarbeitern und die Verneinung einer Bagatellgrenze für immaterielle Schäden stärkt der EuGH weiter die Rechte von betroffenen Personen bei Datenschutzverletzungen.

zurück zur Übersicht

Beitrag speichern

sharing is caring

Das könnte Sie auch interessieren

Neue Rechtsprechung zu „wrongful birth“ und „wrongful conception“

Neue Rechtsprechung zu „wrongful birth“ und „wrongful conception“

28.02.24

|

3 Min.

Neue Richtlinien für Nachhaltige Finanzprodukte

Neue Richtlinien für Nachhaltige Finanzprodukte

28.02.24

|

2 Min.

Neue Partnerbetreuerin der Österreichischen Beamtenversicherung (ÖBV)

Neue Partnerbetreuerin der Österreichischen Beamtenversicherung (ÖBV)

28.02.24

|

1 Min.

Anadi Bank Geschäftsergebnis 2023: Nettozinsertrag verdoppelt

Anadi Bank Geschäftsergebnis 2023: Nettozinsertrag verdoppelt

27.02.24

|

2 Min.

Live TV Serie „Betriebsnachfolge“: Zivilrechtliche Themen bei der Umgründung einer Gesellschaft

Live TV Serie „Betriebsnachfolge“: Zivilrechtliche Themen bei der Umgründung einer Gesellschaft

27.02.24

|

3 Min.

VVO: Österreichs Versicherungen zahlen täglich rund 48 Mio. Euro aus

VVO: Österreichs Versicherungen zahlen täglich rund 48 Mio. Euro aus

27.02.24

|

3 Min.

Pflichten des Versicherers bei Auswahl des Vertriebsweges

Pflichten des Versicherers bei Auswahl des Vertriebsweges

26.02.24

|

4 Min.

Private Krankenversicherung (PKV) bis zu 9% teurer

Private Krankenversicherung (PKV) bis zu 9% teurer

26.02.24

|

2 Min.

Neue Schnittstellenanbindung zwischen ÖBV und ARISECUR

Neue Schnittstellenanbindung zwischen ÖBV und ARISECUR

26.02.24

|

1 Min.

Sparzinsen sinken wieder

Sparzinsen sinken wieder

23.02.24

|

3 Min.

CORUM präsentiert neue Markenbotschafter

CORUM präsentiert neue Markenbotschafter

23.02.24

|

1 Min.

Kündigung einer vinkulierten Gebäudebündelversicherung mittels § 8 Abs. 3 VersVG möglich?

Kündigung einer vinkulierten Gebäudebündelversicherung mittels § 8 Abs. 3 VersVG möglich?

23.02.24

|

3 Min.


Ihnen gefällt dieser Beitrag?

Dann hinterlassen Sie uns einen Kommentar!

(Klicken um Kommentar zu verfassen)