Hohes Kostenrisiko bei Prozessen für Datenverarbeiter:

Hilft die Assekuranz bei Datenschutz-Delikten?

25.08.1978

KÖLN/MÜNCHEN (ee) - Mit dem Bundesdatenschutzgesetz sind Tatbestände konkretisiert worden, in denen ein Betroffener Schadenersatz von einer datenverarbeitenden Stelle verlangen kann, wenn durch die mißbräuchliche Verwendung von Daten oder durch die Verwendung falscher Daten tatsächliche oder angebliche Vermögensschäden entstanden sind. Für den Datenverarbeiter ein brisantes Problem. Etwa wenn er in einem Zivilprozeß für Verdienstausfall, Kredit- und Rufschädigung haftbar gemacht werden soll. Unserer Autor Hans-Dieter Stegutweit setzt sich hier mit dem Kostenrisiko solcher Prozesse auseinander - und er prüft den Gedanken, wie weit es sinnvoll ist, sich gegen Risiken aus der Verarbeitung personenbezogener Daten zu versichern.

Gerade Vermögensschäden gehören zu den unkalkulierbaren Risiken. Bei Ersatzansprüchen nach dem Bundesdatenschutzgesetz kommt erschwerend hinzu, daß es dafür noch keine gefestigte Rechtsprechung gibt. In dieser Situation haben mehrere Versicherungsunternehmen ein Konzept zur Deckung der Haftpflicht für Vermögensschäden aus Verstößen gegen das Bundesdatenschutzgesetz entwickelt. Versicherungsschutz wird natürlichen und juristischen Personen, Gesellschaften sowie anderen Personenvereinigungen des privates Rechts sowie den im Gesetz genannten öffentlichen Stellen gewährt, soweit sie personenbezogene Daten verarbeiten oder verarbeiten lassen und wegen eines durch Verletzung von Vorschriften des Bundesdatenschutzgesetzes unmittelbar verursachten Vermögensschadens von (...)em dritten auf Schadenersatz in An(...)ch genommen werden. Mitversichert ist die persönliche gesetzliche Haftpflicht der Organe und Bediensten des Versicherungsnehmers, zu denen auch der Datenschutzbeauftragte rechnet. Aufgabe der Haftpflichtversicherung ist die Abwehr unberechtigter und die Befriedigung berechtigter Schadenersatzansprüche.

Die Haftung für vorsätzliches Handeln ist - wie bei anderen Versicherungsarten auch - ausgeschlossen. Der Versicherungsschutz erstreckt sich ferner nicht auf Ansprüche auf Auskunft, Berichtigung, Sperrung und Löschung sowie die hiermit zusammenhängenden Verfahrenskosten. Auch Bußen, Strafen und Kosten derartiger Verfahren fallen nicht unter die Deckung. Für das Kostenrisiko bieten Rechtsschutzversicherer einen speziellen Versicherungsschutz, den Daten-Rechtsschutz. Beide Versicherungen, Haftpflicht und Rechtsschutz, können einzeln oder zusammen abgeschlossen (...). Für den kombinierten Abschluß (...)ugt in der Regel ein einziger Antrag, da die großen Versicherungskonzerne sowohl über Haftpflicht- als auch Rechtsschutz-Versicherungsunternehmen verfügen.

Das Deckungskonzept der Vermögensschaden-Haftpflichtversicherung für EDV-Anwender weicht in einigen Punkten von den Allgemeinen Versicherungsbedingungen zur Haftpflichtversicherung von Vermögensschäden ab. So sind in der Versicherungsschutz nicht einbezogen Ansprüche wegen unmittelbarer oder mittelbarer Sachschäden an

- Akten und anderen für die Sachbehandlug in Betracht kommenden Schriftstücken,

- sonstigen beweglichen Sachen, die das Objekt der versicherten Betätigung des Versicherungsnehmers bilden.

Der Versicherungsnehmer bleibt insoweit auf den Abschluß einer Computermißbrauch- oder einen allgemeinen Vertrauensschaden-Versicherung angewiesen.

Ausgeschlossen sind ferner Haftpflichtansprüche des Versicherungsnehmers selbst gegen seine Bediensteten, etwa den Datenschutzbeauftragten, sowie Haftpflichtansprüche dritter, die mit dem Versicherungsnehmer durch Personalunion, Gesellschaftsverhältnis oder Kapitalbeteiligung verbunden sind, gegen den Versicherungsnehmer oder dessen Bedienstete. Abweichend von den Allgemeinen Bedingungen gilt nicht nur für juristische Personen, sondern auch für natürliche Personen und Personenvereinigungen, die für sich selbst Versicherung nehmen, daß sie sich Verstöße ihrer Organe und Angestellten zurechnen lassen müssen, soweit sie sie gesetzlich zu vertreten haben. So gelten in der Person des Verstoßenden gegebene subjektive Umstände, durch die der Versicherungsschutz beeinflußt wird, als beim Versicherungsnehmer selbst vorliegend. Konkret bedeutet das den Ausschluß von Haftpflichtansprüchen etwa

- wegen Schadenstiftung durch wissentliches Abweichen von Gesetz, Vorschrift, Anweisung oder Bedingung des Berechtigten oder durch sonstige wissentliche Pflichtverletzung;

- von Sozien und Angehörigen des Versicherungsnehmers sowie von Personen, die mit ihm in häuslicher Gemeinschaft leben.

Zeitlich umfaßt der Versicherungsschutz die Folgen aller während der Versicherungsdauer begangenen Verstöße, soweit sie dem Versicherer nicht später als zwei Jahre nach Beendigung des Versicherungsvertrags gemeldet werden. Vorläufig wird die Versicherung nur mit einjähriger Laufzeit abgeschlossen, allerdings mit Verlängerungsmöglichkeit. In der Kombination von relativ kurzer Vertragsdauer mit der zweijährigen Meldefrist für Schadenursachen liegt eine Beschränkung des Risikos für den Versicherer. Denn gerade bei Vermögensschäden können zwischen Schadenursache, Schadenereignis und Ansprucherhebung größere Zeiträume liegen. Da das Bundesdatenschutzgesetz bereits seit Jahresbeginn 1978 gilt, ist denkbar, daß bereits Verstöße in der Zwischenzeit bis zum Abschluß der Versicherung vorgekommen sind, von denen der Versicherungsnehmer keine Ahnung hat. Zur Sicherheit empfiehlt sich daher der Abschluß einer sogenannten Rückwärtsversicherung. Sie bietet Deckung gegen in der Vergangenheit vorgekommene Verstöße, die dem Versicherungsnehmer beziehungsweise Versicherten oder seinen Sozien bis zum Abschluß der Rückwärtsversicherung nicht bekanntgeworden sind.

Eine Ergänzung zur Daten-Haftpflichtversicherung für Vermögensschäden ist die Daten-Rechtsschutzversicherung. Sie bietet den Schutz, den die Haftpflichtversicherung ausschließt, allerdings beschränkt auf das Kostenrisiko. Gedeckt sind die Abwehr von Ansprüchen auf Auskunft, Berichtigung, Sperrung und Löschung personenbezogener Daten sowie die Verteidigung in Verfahren wegen des Vorwurfs einer Straftat oder Ordnungswidrigkeit nach dem Bundesdatenschutzgesetz. Der persönliche und zeitliche Deckungsumfang ist bei beiden Versicherungsformen identisch.

Abweichend von den Allgemeinen Bedingungen für die Rechtsschutzversicherung sehen die Sonderbedingungen für Daten-Rechtsschutz vor:

- Wird dem Versicherungsnehmer vorgeworfen, eine Straftat nach dem Bundesdatenschutzgesetz begangen zu haben, so besteht kein Versicherungsschutz, wenn der Versicherungsnehmer wegen dieser Straftat rechtskräftig verurteilt wird; in diesem Fall ist er verpflichtet, dem Versicherer die erbrachten Leistungen zurückzuerstatten.

- Ausgeschlossen ist der Versicherungsschutz in Verfahren wegen einer Ordnungswidrigkeit, soweit hierfür anderweitig Versicherungsschutz besteht.

Die Versicherungssummen betragen (nach den Tarifen des größten deutschen Versicherers) beim Daten-Rechtsschutz wahlweise 50 000 oder 100 000 Mark je Versicherungsfall, bei der Daten-Haftpflicht wahlweise 100 000 oder 200 000 Mark je Versicherungsfall bei jeweils zweifacher Jahreshöchstleistung. Das bedeutet, daß bei einer Versicherungssumme von 200 000 Mark je Haftpflicht-Versicherungsfall für mehrere Versicherungsfälle im Jahr insgesamt höchstens 400 000 Mark von der Versicherungsgesellschaft zu erwarten sind. Eine möglichst hohe Versicherungssumme ist daher empfehlenswert. (Wie weit die Deckungssummen im Daten-Rechtsschutz "reichen", zeigt die Tabelle anhand beispielhaft gewählter Streitwerte.)

Die Höhe der Prämie richtet sich in beiden Versicherungszweigen nicht nur nach der gewählten Deckungssumme, sondern wesentlich auch nach

- Betriebsart (Produktion, Dienstleistung, Datenverarbeitung für fremde Zwecke);

- Branche (mit der Möglichkeit eines Beitragsnachlasses, wenn sonstige Versicherungen bei demselben Versicherungsunternehmen bestehen);

- Zahl der Angestellten (kaufmännisches und technisches Büropersonal beziehungsweise Praxispersonal);

- Zahl der "Betroffenen", über die Daten gespeichert sind (Kunden, Patienten, Lieferanten, Arbeitnehmer etc.; Größenklassen: bis 100 000, über 100 000 bis 500 000, über 500 000).

Fazit: Jedes Unternehmen, das Daten automatisch verarbeitet oder mit vergleichbaren Mitteln arbeitet, wird von dem neuen Bundesdatenschutzgesetz betroffen. Die daraus resultierenden Prozeßkosten- und Schadenersätzrisiken bleiben vorerst unkalkulierbar. Datenschutz-Versicherungen, vor allem in der Kombination von Haftpflicht- und Rechtsschutz, nehmen den betroffenen Unternehmen die Risiken weitgehend ab.