Datenlecks & DSGVO: Wer haftet?
Datenlecks wie bei Facebook und VW zeigen: Management kann haftbar gemacht werden. Daher ist es sinnvoll, die D&O-Versicherung auf eine DSGVO-Anpassung zu prüfen.
Die Digitalisierung hat Unternehmen effizienter gemacht – aber auch verwundbarer. Besonders bei Datenschutzverstößen ist das Management zunehmend in der Verantwortung. Spätestens seit dem Urteil des Bundesgerichtshofs (BGH) im November 2024 ist klar: Schon der kurzfristige Verlust der Kontrolle über personenbezogene Daten stellt einen immateriellen Schaden dar – ohne dass es zu einem konkreten Missbrauch kommen muss.
Das bringt neue Haftungsrisiken, insbesondere für Geschäftsführer, Vorstände und Führungskräfte. Denn klassische D&O-Versicherungen decken in der Regel keine immateriellen Schäden ab – es sei denn, sie wurden speziell erweitert.
BGH stärkt Rechte Betroffener – Management unter Druck
Das Urteil des BGH sorgt für Aufsehen: Der § 82 DSGVO bietet Betroffenen einen Anspruch auf Schadensersatz – auch bei immateriellen Schäden. Hier heißt es: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Es bedarf keiner konkreten missbräuchlichen Verwendung der Daten zum Nachteil des Betroffenen oder sonstiger zusätzlicher spürbarer negativer Folgen. Der Anspruchsteller müsse auch keine weiteren psychischen Beeinträchtigungen vortragen, wodurch deutlich wird, dass die Kontrolle über die eigenen personenbezogenen Daten ein eigenes Rechtsgut darstellt, dessen Beeinträchtigung einen immateriellen Schaden begründet.
„Das Absenken der Hürden zur Durchsetzung von Schadenersatz-Ansprüchen kann schwerwiegende Folgen für das Management haben.“
Datenschutzverstöße mit Konsequenzen
Für Unternehmen bedeutet das: Datenschutzverstöße können tausendfache Ansprüche nach sich ziehen, auch wenn kein unmittelbarer Vermögensschaden vorliegt. Jens Hartmann, D&O-Experte von Funk: „Das Absenken der Hürden zur Durchsetzung solcher Ansprüche kann schwerwiegende Folgen haben. Dies wird deutlich, wenn man sich vor Augen führt, dass regelmäßig Tausende Datensätze in Folge von DSGVO-Verstößen veröffentlicht werden.“
Erweiterter Schutz durch D&O-Anpassungen
Da stellt sich die Frage: Greift eine D&O-Versicherung, die Personen aus dem Management versichert? „Bei diesen immateriellen Schadensersatzansprüchen geht es ausdrücklich nicht um den Ausgleich von Vermögensnachteilen“, sagt Jens Hartmann. „Damit sind diese Ansprüche in einer klassischen D&O-Police auch nicht abgedeckt, denn diese versichert materielle Schäden.“ Funk hat seine D&O-Versicherungsbedingungen überarbeitet und den Schutz auf immaterielle DSGVO-Schäden ausgedehnt. Dieser Schutz ist allerdings teilweise durch Sublimits begrenzt.
Berühmte Datenleck-Vorfälle
Beispiele aus den letzten Jahren zeigen: Datenlecks und Verstöße gegen die DSGVO treffen auch namhafte internationale Konzerne.
Fall 1: Facebook – Millionenklagen weltweit
Im Jahr 2021 gelangten Unbekannte an die Facebook-Daten von mehr als 500 Millionen Personen und veröffentlichten diese im Internet. Darunter Namen, Handynummern, Wohnorte und Arbeitgeber. Das führte weltweit zu einer Reihe von Sammelklagen. Meta, der Mutterkonzern von Facebook, hat bereits mit vielen Betroffenen Vergleiche abgeschlossen, um die Schaffung eines Präzedenzfalls zu vermeiden. Das BGH-Urteil gibt nun aber den Betroffenen recht.
Fall 2: VW – Standortdaten ungeschützt
2024 entdeckte das Magazin Spiegel, dass Daten von 800.000 E-Autos über Monate ungeschützt auf einem Amazon-Cloudspeicher lagen. Bewegungsprofile konnten theoretisch rekonstruiert werden – ein enormer Cyber-Sicherheitsvorfall. Die Ursache: eine Sicherheitslücke bei einer VW-Tochtergesellschaft, die selbst nichts davon bemerkte.
Fazit: Management braucht erweiterten Schutz
Datenschutz ist nicht mehr nur Sache der IT – sondern ein zentraler Risikofaktor für Unternehmensleitungen. Das BGH-Urteil macht deutlich, dass das Management auch bei immateriellen Schäden haftet. Ein umfassender Cyber-Schutz in Verbindung mit einer angepassten D&O-Versicherung ist daher unerlässlich.
Maßgeschneiderter Schutz für Ihr Management
Individuelle Beratung zu Cyber-Schutz und D&O-Versicherung erhalten Sie bei Funk – sprechen Sie uns an!
Jetzt Kontakt aufnehmen
12.05.2025
Ihr Kontakt
