Die Absicherungen des straf- und zivilrechtlichen Haftungsrisikos von Vorständen, Geschäftsführern sowie Aufsichtsratsmitgliedern durch spezifische Versicherungen ist in den letzten Jahren auch bei mittelständischen Unternehmen zu einem festen Bestandteil modernen Risikomanagements geworden. Es ist mittlerweile vielen Verantwortungsträgern bewusst geworden, wie sehr sich die Wahrscheinlichkeit erhöht hat, wegen oft nur behaupteter Sorgfaltspflichtverletzungen mit Schadenersatzforderungen konfrontiert zu werden.
Gesetzliche Einrichtungen, wie etwa die Wirtschafts- und Korruptionsstaatsanwaltschaft oder die Finanzpolizei prüfen akribisch allfällige Rechtsverletzungen von Unternehmensleitern, oftmals ausgelöst durch anonyme Anzeigen über eine Whistle-Blower-Hotline. Strafrechtliche Erhebungen und Voruntersuchungen sind die Folge, schlimmstenfalls droht eine Anklage wegen Untreue (§ 153 StGB). Selbst wenn die Verfolgungshandlungen entweder eingestellt werden oder im gerichtlichen Hauptverfahren ein Freispruch erfolgt, sind die üblicherweise erheblichen Verteidigungs- und Vertretungskosten vom Beschuldigten zu übernehmen; der für den Fall des Freispruchs von der Republik Österreich zu entrichtende Kostenersatz beträgt selten mehr als zehn Prozent der angefallenen Rechtsanwaltshonorare.
Aber selbst nach Entkräftung der strafrechtlichen Vorwürfe besteht für Organmitglieder die Gefahr, nach der Verfahrenseinstellung zivilrechtlichen Schadenersatzforderungen von geschädigten Dritten (Außenhaftung) oder im Zuge der Innenhaftung – wenn die Gesellschaft aufgrund der strengen gesetzlichen Haftungstatbestände (insbesondere § 25 GmbHG, § 84 AktG) ihr eigenes Leitungsorgan angreift – gegenüber zu stehen.
Zur Absicherung der persönlichen Haftung von Geschäftsleitungsorganen kommen verschiedene Arten von Deckungskonzepten in Betracht:
• Jedes Mitglied des Geschäftsleitungsorgans schließt für sich zur Deckung seines eigenen Haftpflichtrisikos eine persönliche D&O-Versicherung ab. Neben der D&O-Polizze sollte ein solches „Managerpaket“ auch eine Strafrechtsschutz-, Vertrauensschaden- und Dienstvertragsrechtsschutzversicherung umfassen.
• Abschluss einer Gruppenhaftpflichtversicherung, durch die Gesellschaft für sämtliche ihrer Organmitglieder und zweckmäßigerweise ihre leitenden Angestellten oder für die Organmitglieder und leitenden Angestellten des Konzern eine Firmenpolizze abschließt (D&O-Versicherung im eigentlichen Sinn).
• Versicherung für fremde Rechnung im Sinne der §§ 74 ff VersVG, bei denen die Gesellschaft als Versicherungsnehmerin eine Versicherung für ein bestimmtes Organmitglied abschließt und nicht bloß die Prämie für eine persönliche D & O-Versicherung ersetzt.
• Abschluss einer Eigenschadenversicherung durch die Gesellschaft für den Ersatz von Schäden, die ihr durch Pflichtverletzungen ihrer Organmitglieder entstehen.
• Abschluss einer Forderungsausfallsversicherung für den Fall der Uneinbringlichkeit von Schadenersatzforderungen. Die Leistungspflicht des Versicherers wird in diesen Fällen von der Feststellung der Vorfrage der Haftung im Deckungsprozess zwischen der versicherten Gesellschaft und dem Versicherer abhängig gemacht. Mit der Leistungserbringung durch den Versicherer gehen etwaige Haftpflichtansprüche von der Gesellschaft auf diesen über (§ 67 VersVG). Der Versicherer wäre im Anschluss daran zum Regress gegenüber den Organmitgliedern berechtigt.
3.1. Wesen, Funktionsweise
Die D&O-Versicherung (Directors and Officers-Liability Insurance) ist eine Vermögenschaden-Haftpflichtversicherung für fremde Rechnung gemäß §§ 149 ff iVm §§ 74 ff VersVG (sie enthält mit dem Company Reimbursement und Entity Cover auch Elemente einer Eigenversicherung ), die ein Unternehmen für seine Organe, leitende Angestellte und sonstige besondere Funktionsträger abschließt. Die Gestaltungsrechte aus dem Versicherungsvertrag für fremde Rechnung stehen der Gesellschaft als Versicherungsnehmerin zu; sie kann etwa über eine allfällige Vertragskündigung bestimmen, ist als Versicherungsnehmerin allerdings auch zur Prämienzahlung verpflichtet. Die aus dem Versicherungsvertrag zustehenden Rechte kommen hingegen der versicherten Führungskraft zu.
Die D&O-Versicherung bezweckt den Schutz des Vermögens der versicherten Organmitglieder sowie des sonstigen der Managementebene (iwS) zugehörigen Personenkreises. Das wirtschaftliche Interesse der Gesellschaft an der Erhöhung der Wahrscheinlichkeit, Schadenersatzforderungen gegen ihre (insbesondere) Geschäftsführer auch tatsächlich einbringen zu können, wird durch den Abschluss einer D&O-Versicherung lediglich mittelbar gefördert.
Als Haftpflichtversicherung der vom Versicherungsschutz umfassten Geschäftsleitungsorgane und leitenden Angestellten zählt die D&O-Versicherung zur Passivenversicherung und damit zur Schadensversicherung. Da die D&O-Versicherung in Ermangelung einer gesetzlichen Verpflichtung zu ihrem Abschluss zur freiwilligen Haftpflichtversicherung zählt, kommen die besonderen Vorschriften über die Pflichtversicherung (§§ 158b ff VersVG) nicht zur Anwendung.
Als Passivenversicherung dient die D&O-Versicherung dem Schutz des Vermögens des Versicherten gegen Belastungen durch Aufwendungen (Abwehrfunktion) und Verbindlichkeiten (Schadensausgleichsfunktion). Diese Arten von Belastungen (und nicht der Schaden des geschädigten Dritten) stellen den versicherten Schaden im Sinne des § 49 VersVG dar. Schutzobjekt der Passivenversicherung ist somit das gesamte Vermögen des jeweiligen Versicherten. Dadurch unterscheidet sich die Passivenversicherung von der Aktivenversicherung, die auch als Versicherung mit besonderem Schutzobjekt bezeichnet wird.
Beim Abschluss einer D&O-Versicherung sind die Bestimmungen über die Unterversicherung nicht anwendbar (vgl § 56 VersVG). Das bedeutet, dass auch in jenen Fällen, in denen die Ansprüche des Dritten die Versicherungssumme übersteigen, das Versicherungsunternehmen Rechtsschutzleistungen in voller Höhe und nicht etwa nur nach dem Verhältnis zwischen der Versicherungssumme und den Ansprüchen des Dritten zu leisten hat.
Das Konzept sieht vor, dass der Versicherer der jeweils versicherten Person jene Leistungen ersetzt, die diese wegen einer im Rahmen der Ausübhung ihrer Tätigkeit begangenen Pflichtverletzung gegenüber dem Anspruchsteller zu erbringen hat.
Zum versicherten Personenkreis einer durch die Gesellschaft abgeschlossenen D & O-Versicherung können neben sämtlichen GmbH-Geschäftsführern, Vorstands- und Aufsichtsratsmitgliedern auch gehören
• gewerberechtliche Geschäftsführer,
• verantwortliche Beauftragte gemäß § 9 Abs 2 VStG,
• sonstige Beauftragte, denen kraft Gesetzes keine verwaltungsstrafrechtliche Haftung übertragen werden darf,
• inländische Vertreter,
• Beiratsmitglieder ,
• Filial-, Niederlassungs- und Betriebsleiter,
• Compliance -Verantwortliche.
Die betrieblichen Anforderungen für den Abschluss einer D&O-Versicherung sind mittlerweile sehr vielschichtigt: Neben einem umfangreichen Fragebogen wird seitens der wenigen in Frage kommenden Versicherer vor allem auch auf die Richtigkeit des Jahresabschlusses abgestellt. Jede Bilanzberichtigung – aus welchen Gründen auch immer – ist daher dem Versicherer unverzüglich anzuzeigen. Es ist prinzipiell notwendig auf den ersten Blick vergleichbare Produkte im Hinblick auf Ausschlüsse zu eingehend zu vergleichen, weil insoweit erheblich divergierende Vertragsgrundlagen bestehen.
3.2 Deckungselemente der D&O-Versicherung
Im Gegensatz zu den gesetzlichen Berufshaftpflichtversicherung, die sich auf „geregelte Bedingungswerken“ stützen, beruhen die Vertragsgrundlagen der D&O-Versicherung weitgehend auf freien Vereinbarungen. Bei der Beurteilung der Qualität entsprechender Produkte ist wegen der Unterschiedlichkeit der Leistungen Vorsicht geboten; die ausgewiesene Prämie ist jedenfalls ein ungeeigneter Entscheidungsparameter für einen Vertragsabschluss.
D&O-Versicherungen zeichnen sich auch dadurch aus, dass es sog. unversicherbare Risiken gibt; darunter fallen etwa Schadenzahlungen im Falle einer vorsätzlichen Handlung oder Unterlassung durch eine vom Versicherungsschutz umfasste Person. Häufig anzutreffen ist
der Deckungsausschluss „Kartellrecht“ bzw. „Preisabsprachen“.
Wesentlich umfangreicher als Deckungsausschlüsse- und -einschränkungen ist der Leistungsteil, der ohne detaillierte Prüfung der zugrundeliegenden Regelungswerke nicht ohne weiteres erkennbar ist.
Die folgende Checkliste will zu einer Sensibilisierung beitragen, welche konkrete Absicherungen und Schutzfunktionen in einer D&O-Deckung enthalten sind bzw. sein sollten.
• Weit gefasster auf individuelle Bedürfnisse des Kunden ausgerichteter Personenkreis;
• Mitversicherung auch von Tätigkeiten in fremden Unternehmen, etwa als Aufsichtsratsmitglied;
• Unbegrenzte Rückwärtsversicherung, sofern keine bekannten Pflichtverletzungen vorliegen;
• Unverfallbare und zeitlich unbegrenzte Nachmeldefrist ab Vertragsbeginn;
• Kein Ausschluss für operative Tätigkeiten;
• Möglichkeit, die Versicherungssumme einerseits auf Schadenzahlung und andererseits auf anwaltliche Abwehrkosten zu verteilen;
• Mitversicherung öffentlich-rechtlicher Ansprüche (BAO, ASVG, GSVG);
• Vereinbarung einer Update-Klausel;
• Übernahme der Kosten für Reputationsschäden;
• Vorbeugende Rechtskosten bis zur Höhe der Versicherungssumme;
• Forensische Dienstleistungen;
• Interne Untersuchungen;
• Kündigungsverzicht des Versicherers im Schadenfall;
• Retirement Cover – zusätzliche Versicherungssumme für ausgeschiedene Organmitglieder für den Fall, dass die Pauschalversicherungssumme nicht ausreicht;
• Wiederauffüllung der Versicherungssumme nach Schadenereignissen;
• Kündigungsverzicht des Versicherers im Falle der Insolvenz;
• Keine Zurechnung fremden und deckungsschädlichen Wissens, verursacht z.B. durch weitere Geschäftsführer oder Mitglieder eines Aufsichtsrats / Beirats;
• Anfechtungsverzicht bei arglistiger Täuschung für unbeteiligte versicherte Personen;
Es ist naheliegend, dass angesichts der Komplexität der Produkte es empfehlenswert ist, einen versierten unabhängigen Versicherungsmakler als Berater für die Entscheidung hinzuziehen.
3.3 Aktuelle Praxisprobleme
Drei Jahre Krisenszenario, von der Pandemie über stetig ansteigende Cyber-attacken, Unterbrechung der Lieferketten, bis hin zum unseligen Ukraine-Krieg haben die gemeldeten Schäden aus Anspruchsstellungen bei den einschlägigen Versicherungsgesellschaften anwachsen lassen; die Inflation befeuert zudem die betragliche Höhe der Forderungen und deren Zuerkennung ebenso wie die Rechtsanwalts- und Sachverständigenhonorare für die Anspruchsabwehr.
Dazu kommt die zunehmende Anzahl an Insolvenzen als ein weiteres Element der Risikoverschärfung, welche die Gefährdungslage betroffener Geschäftsführer verstärkt. Dies betrifft sowohl ehemalige Unternehmensleiter der insolventen Gesellschaft als auch Organmitglieder von Geschäftspartnern in der Rechtsform einer Kapitalgesellschaft, deren wirtschaftliche Erfolge durch entsprechende Zahlungsausfälle beeinträchtigt wurden. Im letzteren Fall wäre denkbar, dass den Verantwortlichen vorgeworfen wird, sie hätten zu spät auf absehbare finanzielle Einbußen reagiert und keine vorsorglichen präventiven Maßnahmen zur Abfederung getroffen.
Zweifellos der schlimmste Fall besteht darin, wenn im Zuge des Insolvenzverfahrens der vormalige Geschäftsführer durch den Insolvenzverwalter mit Schadenersatzansprüchen verfolgt wird, die durch behauptete Sorgfaltspflichtverletzungen begründet sind und die Insolvenz der Gesellschaft ausgelöst haben sollen. Diese Haftung ist unbegrenzt mit dem gesamten Privatvermögen und solidarisch mit allfälligen weiteren Geschäftsführern. Die zu Lasten von Organmitgliedern bestehende Beweislastumkehr im Sinne des § 1298 ABGB erschwert GmbH-Geschäftsführern (§ 25 Abs 2 GmbHG) sowie Vorstands- und Aufsichtsratsmitgliedern (§ 84 Abs 2 AktG) einen erfolgreichen Freibeweis. Am Ende dieses Verfahrens droht insbesondere GmbH-Geschäftsführern die Privatinsolvenz.
Die vorgenannten Umstände haben dazu geführt, dass einerseits spürbar mehr Schäden gemeldet worden und andererseits Schadenleistungen markant und nachhaltig nach oben gegangen sind und weiterhin gehen werden. Ein baldiges Ende dieser Entwicklung ist vorerst nicht erkennbar.
Die Risikoträger, vornehmlich aus Deutschland, Großbritannien, Frankreich und den USA, reduzieren immer öfter Leistungsinhalte der einschlägigen Versicherungsverträge und erhöhen die Prämien, teilweise verlassen sogar Versicherungsgesellschaften den deutschen und österreichischen Markt zur Gänze.
Etlichen anfragenden Firmen wird mitgeteilt, dass seitens der Versicherungsgesellschaften kein Angebot unterbreitet wird. Aber auch Verlängerungen bestehender Verträge werden meist nur mehr gegen höhere Versicherungsprämien akzeptiert. Betriebe in wirtschaftlicher Schieflage sind so gut wie chancenlos, eine adäquate Absicherung zu erhalten.
Besondere Beachtung ist der Reduktion von Leistungsinhalten der Verträge zu widmen. Bei Vertragsverlängerungen – die Laufzeit einer D&O-Versicherung beträgt selten mehr als ein Jahr und erfordert daher eine jährliche Erneuerung – werden vielfach zusätzliche Ausschlüsse festgelegt, zum Beispiel territoriale Ausschlüsse aufgrund des Ukraine-Krieges oder als Folge einer Cyber-Attacke gegen das Unternehmen. Sehr nachteilig für die versicherte Gesellschaft eine Verkürzung von Nachmeldehaftungen, die gewährleisten sollen, dass nach Beendigung des Versicherungsvertrages (etwa wegen Ausscheiden eines Organmitglieds Anspruchsstellungen abgewehrt und/oder erfüllt werden.
Bei D&O-Versicherungen wird es immer schwieriger die benötigten und erwünschten Versicherungssummen tatsächlich zu erhalten; die betrifft vor allem größere Unternehmen und deren Management.
In der jüngsten Zeit kommen aber erfreulicherweise aus Deutschland zarte Signale die eine positive Entwicklung in Richtung einer leichten Aufweichung des in den letzten Jahren massiv verhärteten Marktes erwarten lassen. Es sollte dann wieder einfacher werden auch schwierige Risken mit adäquaten Versicherungssummen platzieren zu können. Es ist zu hoffen, dass sich dieser Trend weiter verstärken wird.
3.4 Abschluss einer personen- bzw. mandatsbezogenen Unternehmensleiterdeckung
Um die dargestellten teilweise großen Hürden beim Abschluss einer Firmenpolizze zu vermeiden, ist mittlerweile der persönlichen und mandatsbezogenen Absicherung durch Unternehmensleiterdeckungen der Vorzug zu geben. Solche Lösungen erfordern meist geringere Versicherungssummen, da die Vertragsleistungen lediglich einer Person zur Verfügung gestellt wird. Das Organmitglied ist und bleibt verfügungsberechtigter Versicherungsnehmer des Vertrages und kann damit über Inhalt, Summe oder Laufzeit selbst disponieren; diese Vorteile sind bei einer vom Unternehmen abgeschlossenen D&O-Versicherungen im Falle der Beendigung der Organfunktion nicht mehr gegeben.
Zusätzlich eignet sich diese Versicherungsform aus verschiedenen versicherungstechnischen Gründen besser für die absolut empfehlenswerte Kombination der Absicherung von reinen Vermögenschäden mit einer spezifischen Strafrechtsschutzversicherung, welche die Aufgabe hat, die Kosten für zweckgerichtete anwaltliche Vertretungen und Verteidigungen bei vorangegangenen strafrechtlichen Verfolgungshandlungen zu übernehmen. Typischerweise ist dieses Haftungsrisiko in D&O-Versicherungen nicht enthalten, und wenn dann nur mit unzureichenden Leistungen.
Übersicht: Privatlösung versus Unternehmenslösung
Zu warnen ist vor der verbreitet vertretenen Auffassung, die gesetzlich verpflichtend bestehende Berufshaftpflichtversicherung, die etwa für Berufsangehörige der Kammer der Steuerberater und Wirtschaftsprüfer obligatorisch ist, würde auch für Schadensfälle aus zusätzlichen Mandaten, wie z.B. Vorstands- und/oder Aufsichtsratspositionen in Gesellschaften oder Privatstiftungen, Gültigkeit haben. Zwar besteht die Möglichkeit die Deckungen dieser Berufshaftpflichtversicherungsverträge entsprechend zu erweitern, eine automatische Mitversicherung dieser Zusatzrisken besteht jedoch nicht. Insoweit ist die Überprüfung der Polizze durch einen unabhängigen Versicherungsmakler geboten.
Auf GmbH-Geschäftsführer und Vorstandsmitglieder von (europäischen) Aktiengesellschaften ist § 10 Abs 2 Z 2 AKG nicht anzuwenden. Diesem kleinen Beitragsvorteil steht der große Nachteil gegenüber, dass bei Streitigkeiten aus dem Anstellungsvertrag kein Anspruch auf eine rechtsfreundliche Vertretung durch die Arbeiterkammer besteht. Aus diesem Grund ist ergänzend der Abschluss einer Anstellungsvertrags-Rechtsschutzversicherung zu empfehlen, welche die Kosten einer rechtlichen Auseinandersetzung des Geschäftsführers / Vorstandsmitglieds mit dem vormaligen Dienstgeber unter Versicherungsschutz stellt. Mit dieser einfachen haftungsprophylaktischen Maßnahme sind die vor dem Handelsgericht oder Arbeits- und Sozialgericht ausgetragenen Streitigkeiten adäquat versichert.
Die dem Unternehmen aus vorsätzlichen unerlaubten Handlungen eigener Mitarbeiter oder Vertrauenspersonen entstandenen Vermögenschäden finden keinen unmittelbaren Ersatz in einer D&O-Versicherung. Erst bei einer Rückforderung der entstandene Vermögensverluste durch die Gesellschaft beim verantwortlichen Geschäftsführer würde die D&O-Versicherung – ebenfalls eine Form der Eigenschadenversicherung – unter Umständen eintrittspflichtig werden. Eine Vertrauensschadenversicherung ersetzt allerdings vorab derartige Verluste sowohl im Eigenschadenbereich, wie auch jene geschädigter Dritter, wodurch der Regress gegenüber der Geschäftsleitung unterbleiben kann.
Eine D&O-Versicherung ist zweifelsfrei ein nützliches Instrument – mehr aber auch nicht – für Geschäftsführer und anderer Führungskräfte der Gesellschaft, das mit ihrer Tätigkeit verbundene Risiko in einem gewissen Umfang abzudecken. Ein „Freibrief“ für Sorglosigkeit ist eine D&O-Versicherung keinesfalls. Die vorteilhafteste Situation für alle Beteiligten ist es, den Versicherungsschutz erst gar nicht in Anspruch nehmen zu müssen.
Resümierend ist festzuhalten, dass noch viel mehr als bei klassischen Versicherungsformen die Höhe der Prämie kein brauchbarer Indikator für Qualität des Produktes darstellt, ganz im Gegenteil.
Kurz zusammengefasst lässt sich sagen, dass
• Managerversicherungen auch im unternehmerischen Mittelstand angekommen sind,
• sich in den letzten Monaten die Haftungsrisken von Geschäftsleitungsorganen in Anbetracht der aktuellen Krisenszenarien spürbar verschärft haben,
• steigendes Schäden bei den einschlägigen Versicherern eingetreten sind,
• der „Risikoappetit“ der Anbieter allgemein zurückgegangen ist,
• am Versicherungsabschluss interessierte Gesellschaften mit einem höheren Prämienniveau bei gleichzeitig geringeren Leistungen zu rechnen haben,
• die Versicherungswirtschaft im Hinblick auf neue und erweiterte Deckungsausschlüsse sehr kreativ ist.
In Anbetracht der insgesamt eher unerfreulichen Rahmenbedingungen geben wir nachfolgende Empfehlungen ab:
• Prüfung bestehender Polizzen durch mit der Materie betraute Experten
• Erhöhung von Versicherungssummen falls möglich
• Bündige Kombination Strafrechtsschutz- mit Vermögenschadenhaftpflichtversicherung
• Priorität personenbezogener vor unternehmensbezogener Absicherungen
• Auf unbegrenzte Nachhaftungsfristen achten
• Besondere Vorsicht beim Wechsel des Versicherers wegen denkbarem Entfall von Leistungsinhalten des Altvertrages
Dr. Helmut Tenschert ist selbständiger Versicherungsmakler und Produktentwickler; sein fachlicher Schwerpunkt sind Haftpflicht-, D&O- und Rechtsschutzversicherungen. (helmut.tenschert@einstein-versicherungsmakler.at). Dr. Tenschert ist Mitglied der Rechtsservice- und Schlichtungsstelle der österreichischen Versicherungsmakler.
Prof. Prof. (FH) Mag. Dr. Christian Fritz, LL.M. LL.M. MBA MLS ist Partner einer Steuerberatungskanzlei in Innsbruck, allgemein beeideter und gerichtlich zertifizierter Sachverständiger, Wirtschaftsmediator sowie Fachbuchautor. Sein Spezialgebiet ist unter anderem die Beratung von Geschäftsführern, Vorstands- und Aufsichtsratsmitgliedern.
Die international tätige Wirtschaftskanzlei DLA Piper veröffentlichte im Jänner dieses Jahres ihren jährlich erscheinenden Bericht zu DSGVO-Strafen und Datenpannen. Wir klären Sie dazu auf!
Im Jahr 2022 wurde ein Anstieg der Bußgelder und Strafen um insgesamt 50% verzeichnet – was bedeutet, dass es im EWR insgesamt rund 1,64 Mrd. EUR an Strafen wegen Verstößen gegen die DSGVO gegeben hat. Ein Großteil davon wurde in Irland vergeben, da dort viele der US-amerikanischen Tech-Konzerne ihren europäischen Sitz haben. Die höchste Einzelstrafe aus dem Vorjahr wurde auch in Irland vergeben, nämlich an die Meta-Tochter Instagram: stolze 405 Millionen EUR musste der Konzern wegen Datenschutzverstößen im Zusammenhang mit minderjährigen Usern zahlen. Auch die zweithöchste Strafe richtete sich gegen den Meta-Konzern, da mittels Scraping personenbezogene Daten von Facebook-Usern im Internet frei zugänglich gemacht wurden.
Auch in Österreich gab es mit 8 Millionen EUR eine sehr hohe Strafe, die den Rewe Konzern betraf – im speziellen das Kundenbindungsprogramm „Jö Bonus Club“. Noch ist diese Strafe nicht rechtskräftig, der Rewe-Konzern legte bereits Berufung dagegen ein.
Neben der weiteren Verfolgung und Überprüfung von Datentransfer in Drittländer und verhaltensbasierter Werbung, setzten sich verschiedene europäische Datenschutzbehörden auch mit KIs auseinander. So gab es gleich in mehreren Ländern Millionenstrafen gegen Clearview AI, das ein KI-Programm ist, mit dem biometrische Profile von Personen erstellt werden können. Dafür wurden Milliarden an Fotos aus dem Internet gesammelt – weswegen diese KI auch unter die Zuständigkeit der europäischen Datenschutzbehörden fiel. Insgesamt beliefen sich die Strafen gegen Clearview AI auf 69 Millionen Euro, doch auch in Zukunft werden KIs und fortgeschrittene Algorithmen Thema der Datenschutzbehörden, da für die Funktion dieser unweigerlich personenbezogene Daten verwendet werden müssen. Der Datenschutz wird also weiter spannend bleiben!
Allerspätestens seit „Home-Office“ sind Laptops aus der Arbeitswelt nicht mehr wegzudenken. Mobiles Arbeiten lautet das Zauberwort. Häufig ersetzen mittlerweile Laptops stationäre Geräte komplett, was nicht nur Vorteile mit sich bringen kann. Stichwort: „Liegenlassen“ oder „vergessen“. Einen Laptop zu verlieren ist nicht nur ärgerlich, sondern kann auch ein Datenschutz- und Sicherheitsrisiko darstellen. Je nachdem welche Daten sich auf dem Laptop befinden, kann das auch noch kostspielig werden. Eine dänische Gemeinde bekam etwa wegen eines verlorenen Laptops ein Bußgeld von über 10.000€ aufgebrummt. Ein verlorener Laptop muss allerding nicht automatisch zu einem Risiko für Sie werden. 🙂
Durch das Verschlüsseln von Laptops und Festplatten können Sicherheitsrisiken nachhaltig verringert werden. Wird ein Laptop, auf dem personenbezogene Daten gespeichert sind, von einem Unternehmen bereitgestellt, sollte es mittlerweile zu den Pflichten der IT oder des IT-Dienstleisters gehören, diese auch zu verschlüsseln. Schließlich müssen Unternehmen laut DSGVO technische und organisatorische Maßnahmen ergreifen, um die Vertraulichkeit von personenbezogenen Daten zu gewährleisten und auch z. B. den Verlust zu verhindern. Es geht jedoch nicht nur um die Vertraulichkeit personenbezogener Daten, sondern in hohem Maße auch um den Schutz von Geschäfts- und Betriebsgeheimnissen. Zusammengefasst also um die große Spielwiese der Informationssicherheit.
Zu den organisatorischen Maßnahmen für den Datenschutz zählen Handlungsanweisungen im Umgang mit der Technik, Passwörterrichtlinien und die Schulung der Mitarbeiter. Die Implementierung technischer Maßnahmen gestaltet sich im Detail zwar von Betriebssystem zu Betriebssystem anders, eines ist jedoch besonders wichtig: Externe Festplatten und Laptops müssen zusätzlich zu den gängigen Sicherheitsvorkehrungen verschlüsselt werden. Allen Sicherheitsmaßnahmen voran ist dabei das Festlegen einer Pre-Boot-Authentication für die Festplatte, was so viel bedeutet wie „Vorstartauthentifizierung“. Dadurch muss sich der Benutzer identifizieren, bevor Daten aus dem Betriebssystem ausgelesen werden. Dafür wird mehr oder weniger ein eigener „Raum“ geschaffen, der unabhängig vom Betriebssystem funktioniert und es Kriminellen erschwert, auf Daten zuzugreifen.
Wird ein Gerät verloren, auf dem personenbezogene Daten gespeichert sind, stellt das immer eine Datenpanne dar. Ob diese der Behörde aber auch gemeldet werden muss, und – im worst case – auch betroffene Personen verständigt werden müssen – hängt von den von IHNEN getroffenen Maßnahmen ab. Sichern Sie sich also ab, indem Sie auf Nummer sicher gehen und treffen Sie geeignete Vorkehrungen!
Das Jahr 2023 ist erst wenige Wochen alt und schon jetzt versuchen sich die europäischen Datenschutzbehörden mit Strafen gegen Tech-Konzerne gegenseitig den Rang der „Bußgeld-Top News“ in diversen Portalen abzulaufen. Begonnen hatte die irische Datenschutzbehörde (DPC), welche gegen die Facebook- und Instagram- Mutter Meta Platforms eine Strafe von satten 390 Millionen Euro für Verstöße gegen die Datenschutzgrundverordnung im Werbegeschäft verhängte. Die französische Datenschutzbehörde (CNIL) zog nur kurz darauf nach und veröffentlichte ihrerseits ein noch im Dezember 2022 verhängtes Bußgeld gegen den Konzern Apple in der Höhe von immerhin 8 Millionen Euro. Laut CNIL hat Apple gegen französische (Datenschutz-) Gesetze verstoßen, da für zielgerichtete Werbung (Targeting) keine Einwilligung im App Store eingeholt wurde.
Eine Privatperson beschwerte sich bei der CNIL über die Personalisierung von Werbung im Apple App Store, woraufhin die CNIL bereits in den Jahren 2021 und 2022 mehrere Untersuchungen im genannten App Store durchführte. Und sie wurde fündig: Eine Zustimmung der französischen iPhone-Nutzer (Betriebssystem 14.6) für zielgerichtete Werbung (Targeting) wurde im App Store – bevor dieser Kennungen für Werbezwecke auf den Endgeräten hinterlegte – nicht eingeholt. Ein Verstoß gegen das französische Datenschutzgesetz, so die CNIL.
„Die CNIL stellte fest, dass unter der alten Version 14.6 des iPhone-Betriebssystems, Identifier für bestimmte Zwecke – darunter der Personalisierung von im App Store gespeicherten Werbeanzeigen – standardmäßig automatisch aus dem Endgerät ausgelesen wurden, ohne dass eine Einwilligung eingeholt wurde.“ Nach Recherche der CNIL erfolgte das bei jedem Besuch im App Store.
Es gibt zwar eine Möglichkeit, diesen Parameter als Nutzer erfolgreich zu deaktivieren, dazu muss aber vorab eine unzumutbare Vielzahl an Aktionen ausgeführt werden.
Für gewöhnlich bei verhängten Strafen gegen Tech-Konzerne, nehmen diese die Bußgelder zwar zur Kenntnis, sind aber mit der Begründung alles andere als einverstanden und auch in diesem Fall sieht sich Apple im Recht: Man biete den Nutzern „eine klare Wahlmöglichkeit, ob sie personalisierte Werbung wünschen oder nicht“ bzw. wird „die Privatsphäre für ein grundsätzliches Menschenrecht gehalten wird und die Nutzer sollen immer selbst entscheiden, ob ihre Daten geteilt werden und mit wem“.
Ein löblicher Ansatz, hätte Apple das vollends umgesetzt, wäre gar keine Bestrafung erfolgt. Die Realität: Eine Geldstrafe in Höhe von 8 Millionen Euro gegen das Unternehmen Apple Distribution International. „Man werde in Berufung gehen“, so ein Sprecher des Apple Konzerns. Wen wundert’s 😉
Sie haben es sicher schon einmal auf einer Webseite gesehen: Cookie-Banner, bei denen man zwar „Alle akzeptieren“ klicken kann, beim Ablehnen muss man dann aber in Untermenüs herumsuchen. Das sind zwar nur ein paar Klicks mehr, doch genau das wurde dem TikTok Konzern jetzt zum Verhängnis.
Die französische Datenschutzbehörde veröffentlichte ihre Entscheidung dazu Anfang des Jahres. Sie befand, dass nach Artikel 82 des französischen Datenschutzgesetzes, das Ablehnen von Cookies genauso einfach sein müsse, wie das Akzeptieren der Cookies. Das Erschweren des Ablehnens der Cookies verhindere nämlich die Freiwilligkeit der Einwilligung zur Datenverarbeitung. Erschwerend kam hinzu, dass der Zweck der Cookies und damit der Grund für die Datensammlung nicht ausreichend erklärt wurde. Dieser kleine Fehler kostete dem Tiktok-Konzern stolze 5 Millionen Euro an Bußgeld.
Schon im Februar will der Konzern seinen Cookie-Banner mit einem „Alle ablehnen“-Button erweitern und die Datenverarbeitungen den Nutzern besser erklären. Tiktok war wegen seines Datenhungers schon öfter mit Kritik konfrontiert, verspricht aber auch in anderen Bereichen weitere Verbesserungen. Während in Großbritannien parallel ein weiteres Verfahren zu Datenschutzverstößen des Konzerns läuft, bei dem die drohende Strafe über 30 Millionen Euro beträgt, reiste der TikTok-CEO Shou Zi Chew Mitte Jänner nach Brüssel, um sich unter anderem über den Datenschutz mit EU-Spitzenbeamten zu beraten. Besprochen wurde auch das 2024 in Kraft tretende Gesetz über digitale Dienste, welches weitere rechtliche Verschärfungen für Unternehmen mit sich bringen wird.
Das Unternehmen „Fortum Marketing and Sales“ wollte die Leistung seines Online-Nutzerportals erhöhen und beauftragte dafür den IT-Dienstleister „Pika“. Bei der Beauftragung geht noch alles mit „rechten Dingen“ zu, doch dann der Schock: Datenpanne! Wegen einer nicht ordnungsgemäß geprüften Datenbank fanden sich Kundendaten im Netz wieder und konnten ohne viel Aufwand kopiert werden. Dritte ließen sich diese Chance natürlich nicht entgehen und schöpften die Daten ab. Die Behörde strafte nicht nur den Auftragsverarbeiter, sondern auch den Verantwortlichen – und diesen sogar mit einer horrenden Summe von über einer Million Euro! Doch wie konnte das trotz existierenden Datenschutz- und IT-Richtlinien passieren? Und warum hafteten beide Unternehmen?
Im Zuge der vermeintlichen Verbesserung der technischen Infrastruktur Fortums wurden Änderungen an eben jener durchgeführt. Der IT-Dienstleister hatte zwar nicht nur unternehmenseigene Sicherheitsrichtlinien und vertraglich festgelegte Anforderungen von Fortum einzuhalten, bei der Anlegung der Kundendatenbank auf einem neuen Server wurde aber beides nicht beachtet. Weder war der Server ausreichend geschützt, noch wurde die Datenbank mit Dummy-Daten getestet. Die Datenbank wurde stattdessen sofort mit echten Kundendaten in Betrieb genommen, was sich als Fehler herausstellen sollte, da sich die Daten frei zugänglich im Netz wiederfanden. Und schlimmer noch: Pika informierte ihre Kunden nicht selbst über die Datenpanne. Das mussten zwei Internetnutzer übernehmen!
Die Behörde entscheidet
Fortum versuchte sich in der Untersuchung der Datenschutzbehörde mit dem Verweis auf ihre vertraglich festgelegten Anforderungen zu verteidigen, schließlich wurde der Meinung des Unternehmens nach die Datenpanne von ihrem Auftragsverarbeiter verursacht. Die polnische Datenschutzbehörde stellte aber fest, dass Fortum den Auftragsverarbeiter auf die Wirksamkeit von technischen und organisatorischen Maßnahmen zu prüfen hat. Und das fortlaufend. Fortum versäumte außerdem, die Einführung der Maßnahmen sicherzustellen, was die Behörde auch als Pflicht des Verantwortlichen sieht. Beide Firmen verstießen also gegen die DSGVO – Pika wegen der Nichtergreifung geeigneter Maßnahmen und Fortum, da sie vernachlässigten, (nicht) eingeführte Sicherheitsmaßnahmen zu überprüfen. Die Folge? Fast 1,9 Millionen Euro Strafe für Fortum Marketing and Sales und eine Strafe von über 55.000 Euro für Pika.
Praxistipps
• Prüfen Sie technische Maßnahmen auf ausreichende Sicherheit bei Ihren IT-Dienstleistern regelmäßig.
• Vertrauen Sie nicht blind auf die vertraglich zugesicherten technischen und organisatorischen Maßnahmen.
• Lassen Sie nachweislich neue IT-Systeme/Applikationen immer vor ihrer Einführung mit Dummy-Daten testen!
Und fragen Sie am besten uns, wenn Sie Fragen haben! 😉
Wenn Sie unseren Newsletter regelmäßig lesen, werden Ihnen schon so manche Tipps geläufig sein, wie Strafen der Datenschutzbehörde vermieden werden können. Eine im November 2022 erlassene Entscheidung zeigt, dass Sie Datenpannen auch dann nicht auf die leichte Schulter nehmen sollten, wenn der Betroffene das Leck seiner Daten selbst herbeigeführt hat.
Ein Kunde schloss einen Vertrag mit einem Telekommunikationsunternehmen ab. Im Zuge dessen gab er seine E-Mailadresse an, um den Vertrag auch auf elektronischem Weg zu erhalten. Nachdem der Kunde seine Daten mit Unterschrift als richtig bestätigte, wurde der Vertrag automatisch an die angegebene Mailadresse geschickt. Im Nachhinein fiel dem Kunden auf, dass er bei Vertragsabschluss irrtümlich eine falsche E-Mailadresse angegeben hatte und meldete dies dem besagten Unternehmen. Bereits zu diesem Zeitpunkt hätte dem Unternehmen klar sein sollen, dass es zu einer Datenpanne gekommen war. Ein Verstoß der DSGVO war für das Unternehmen jedoch nicht erkennbar und es kam daher nicht auf die Idee den Vorfall der Datenschutzbehörde zu melden. Immerhin hatte der Kunde seine E-Mailadresse ja freiwillig mit dem Wissen angegeben, dass eine Kopie seines Vertrages an die von ihm angegebene und als richtig bestätigte Adresse geschickt werden würde.
Inzwischen wandte sich der (dann falsche) Empfänger der E-Mail an die polnische Datenschutzbehörde, da ihm vom Telekommunikationsunternehmen der Vertrag zugeschickt wurde, der offensichtlich für eine andere Person mit demselben Namen bestimmt war. Der Vertrag enthielt personenbezogene Daten wie Name, Adresse, Telefonnummer, Personalausweisnummer und PESEL-Nummer (nationale Identifikationsnummer).
Die Behörde sah dies natürlich als Datenpanne und verhängte gegen das Unternehmen eine Strafe in der Höhe von umgerechnet 53.154 €.
Die Tatsache, dass der Kunde selbst seine E-Mailadresse angegeben und auch bestätigt hatte, änderte nichts daran, dass es sich um eine Datenschutzverletzung mit hohem Risiko einer realistischen negativen Beeinträchtigung der Rechte und Freiheiten des Kunden handelte. Das Unternehmen hätte die falsche Email-Adresse auf keinen Fall mehr verwenden dürfen. Die Datenpanne hätte jedenfalls an die Datenschutzbehörde gemeldet werden müssen und auch der Kunde hätte über die Verletzung des Schutzes seiner Daten informiert werden müssen.
Erschwerend wertete die Datenschutzbehörde insbesondere die Art und den Inhalt der betroffenen Daten. Das Risiko einer Datenpanne und der soziale und wirtschaftliche Wert der Daten hätten dem Unternehmen bewusst sein müssen. Erschwerend war auch die Tatsache, dass keine Meldung an die Behörde erfolgte, obwohl das Unternehmen bereits zweimal, sowohl vom Kunden, als auch dem Empfänger des Vertrages, über die erfolgte Datenschutzverletzung informiert worden war.
• Verständigen Sie unverzüglich (jedoch LÄNGSTENS binnen 72 Stunden) die zuständige Aufsichtsbehörde.
• Informieren Sie bei hohem Risiko die betroffene Person, auch wenn Sie davon ausgehen, dass sie schon von der Datenschutzverletzung Kenntnis hat.
• Kontaktieren Sie uns, wir unterstützen Sie bei Datenpannen 24/7 😉
Stein des Anstoßes auch für den späteren Warnbrief der Landesbeauftragten für den Datenschutz (LfD) in Niedersachsen war ein Bußgeld, welches die LfD gegen die Hannoversche Volksbank verhängte. Und das hatte es in sich: 900.000 Euro!
Das Finanzinstitut wertete mittels eines sogenannten Smart-Data-Verfahrens Daten von aktuellen sowie früheren Kunden aus, um diesen gezieltere Werbung zukommen zu lassen. Dabei wurde das digitale Nutzungsverhalten ausgewertet – etwa das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Verwendung von Kontoauszugsdruckern sowie die Anzahl an Überweisungen im Online-Banking im Vergleich zu Besuchen in der Filiale. Ziel dieses Verfahrens war es, auf Grund der ermittelten Werte eine Aussage darüber zu treffen, ob ein Kunde mit hoher Wahrscheinlichkeit Interesse an einem bestimmten Produkt (z.B. Immobilienkredit, Kreditkarte, Wertpapiere, etc.) hat. Zusätzlich dazu wurden die Daten außerdem noch mit der Schufa (= ähnlich dem KSV) abgeglichen.
Nun ist Profiling durch die DSGVO nicht per se verboten. Es darf aber nur durchgeführt werden, wenn gemäß Art 22 Abs 2 DSGVO eine ausreichende Rechtsgrundlage vorliegt: (a).die (automatisierte) Profilbildung ist für die Erfüllung eines Vertrages erforderlich, (b.) eine nationale Rechtsvorschrift erlaubt es, (c.) die von Profiling betroffene Person gibt ihre ausdrückliche Einwilligung. So weit so schlecht, die Hannoversche Volksbank berief sich nämlich auf ihr „berechtigtes Interesse“ um eine Profilbildung der Kunden zu rechtfertigen. An „einem informierten und freiwilligen Opt-in führe aber kein Weg vorbei“ urteilte der LfD und verhängte das Bußgeld.
Die Verhängung des Bußgeldes an die Hannoversche Volksbank nahm die LfD Niedersachsen zum Anlass, einen Präventivschlag in Form eines „Warnbriefes“ an die anderen 89 genossenschaftlichen Banken in Niedersachsen zu versenden, um eindringlich vor der Durchführung solcher Smart-Data-Verfahren zu warnen. Teilweise wird seitens der Banken zwar mit Einwilligungsformularen gearbeitet, laut LfD könnten die Kunden jedoch nicht frei(willig) und selbstständig den Umfang der Smart-Data-Verfahren steuern. Für die Profilbildung werden nämlich auch u.a. Informationen wie Bezug von sozialen Leistungen, Höhe der Fahrzeugkosten, Umsätze mit bspw. Amazon und PayPal, etc. für die Beantragung eines Kredits einbezogen.
Ein Auszug aus diesem „Warnbrief“ der LfD Niedersachsen, Barbara Thiel:
„Es muss sichergestellt sein, dass die betroffenen Personen die Kontrolle über die Verarbeitung dieser [Anm. Zahlungsverkehrsdaten] Daten ausüben können. Ich habe mich dazu entschieden, Warnungen auszusprechen, um die Banken davon abzuhalten, schwerwiegende Verstöße gegen das Datenschutzrecht zu begehen. Ich werde auch Vor-Ort-Kontrollen durchführen, um zu überprüfen, ob die Banken die Verfahren trotz der Warnung einführen.“
Haben Sie in den letzten Jahren, genauer seit dem Jahr 2018 die Vergleichsportale bzw. Online-Marktplätzen von Check24, Idealo, Tyre24 oder hood.de genutzt? Dann hoffen wir, dass sich Ihre Käufe gelohnt haben. Unter Umständen haben Sie die Waren dort nämlich nicht nur mit Geld, sondern auch mit Ihren Daten bezahlt!
Die eingangs erwähnten deutschen Unternehmen bieten neben einem (Preis-)Vergleichsportal die Möglichkeit an, über sogenannte Online-Marktplätze die verglichenen Waren auch zu erwerben. Ähnlich wie bei dem Onlineportal Willhaben werden dabei Produkte auch über Dritthändler angeboten, die mittels einer Schnittstelle mit dem Online-Marktplatz verbunden sind.
Diese Schnittstelle war in dem Fall auch die Schwachstelle: Nicht ausreichend geschützt und in der Folge wurden jahrelang Kundendaten (Adressdaten, Bankdaten, etc.) von mehr als 700.000 Personen im Netz offengelegt und konnten ohne Schwierigkeiten ausgelesen werden.
Wie so oft wird versucht, die Verantwortung auf den jeweils anderen zu schieben. Laut eigenen Aussagen seien die Online-Marktplätze (und damit Check24, Idealo, etc.) nicht die Bösen und schon gar nicht verantwortlich. Eine Vertragsbeziehung wird nicht mit ihnen abgeschlossen, sondern erfolgt vielmehr zwischen der Kundschaft und den Drittanbietern.
Mehrere deutsche Landesdatenschutzbeauftragte sehen das aber anders und die Onlinehändler sehr wohl in der Pflicht, da jede Person einerseits seine Daten direkt bei den Betreibern der Online-Marktplätze hinterlegt und andererseits oftmals gar nicht weiß, dass er überhaupt einen Vertrag mit einem Dritthändler abschließt.
In jedem Fall überprüfen, ob Sie seit dem Jahr 2018 bei einem der genannten Online-Marktplätze eingekauft haben. Ob und in welchem Ausmaß Ihre Daten von dem Datenleck betroffen waren, lässt sich schwer feststellen. Seiten wie https://haveibeenpwned.com/ geben einen groben Aufschluss darüber, ob z.B. die eigene E-Mail-Adresse von einem Data Breach betroffen ist.
Unter Umständen haben Sie auch einen Anspruch auf Schadenersatz, den Art 82 DSGVO explizit vorsieht. Gerne unterstützen wir Sie auch in diesem Zusammenhang.