Die zunehmende Digitalisierung erhöht die Effizienz von Unternehmen, bringt jedoch auch Haftungsrisiken mit sich. Der Bundesgerichtshof (BGH) urteilte aktuell, dass auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 der Datenschutzgrundverordnung (DSGVO) darstellen kann. Dies ruft die Relevanz der D&O-Versicherung auf den Plan.
Ausgangslage
Die D&O-Versicherung („Directors & Officers Liability“, auch Manager-Haftpflicht) ist eine Versicherung gegen Vermögensschäden, verursacht auf der Ebene der Unternehmensleitung durch Geschäftsführer, Vorstände, Aufsichtsräte und sonstige der Führungsriege angehörige Personen.
Über die D&O versicherte „echte“ Vermögensschäden sind finanzielle Einbußen, die ohne eine vorhergehende Verletzung von Personen oder Sachen entstehen. Beispiele hierfür sind Schäden durch eine fehlerhafte Beratung oder durch Vertragsbruch.
Immaterielle Schäden haben noch einen anderen Charakter: Es handelt sich um Tatbestände ohne direkten Vermögens-, Sach- oder Personenschaden. Beispiele sind Persönlichkeitsrechtsverletzungen, Reputationsschäden (Rufschädigung eines Unternehmens oder einer Person) oder die Verletzung von Geheimhaltungspflichten oder Datenschutzvorgaben, die keine direkten Vermögensfolgen haben.
Die klassische D&O ist eine Vermögensschaden-Haftpflichtversicherung, d. h. sie deckt begründete Ansprüche gegen Führungskräfte wegen Pflichtverletzungen, aus denen ein Vermögensnachteil entsteht, sowie die Abwehrkosten wie Anwalts- und Gerichtskosten bei unbegründeten Vorwürfen.
Immaterielle Schäden sind typischerweise nicht gedeckt – es sei denn, sie führen mittelbar zu einem Vermögensschaden (z. B. durch Reputationsverlust bedingte Umsatzeinbußen) oder sie sind ausdrücklich in den Versicherungsbedingungen eingeschlossen. Hierbei zeigen einige Versicherer allerdings große Zurückhaltung.
Szenario nach Art. 82 DSGVO
Jede Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den/ die Verantwortlichen. Das ist die Kernaussage der Regelung in Art. 82 DSGVO. Gemäß aktueller Rechtsprechung des BGH (Entscheidung vom 18.11.2024, Aktenzeichen VI ZR 10/24) muss hierbei weder eine missbräuchliche Verwendung der Daten erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
BGH stärkt Betroffenenrechte: Schadenersatz bei Datenschutzverletzungen
Mit dieser Rechtsprechung hat der BGH die Rechte Betroffener maßgeblich gestärkt. Datenschutz- und Datenrechtsverletzungen können daher per se eine Vielzahl von Schadenersatzansprüchen nach sich ziehen. Hierbei kommen nicht nur Ansprüche gegen das Unternehmen in Betracht (so die Ausgangslage der BGH-Rechtsprechung), sondern es ist durchaus denkbar, dass auch die für Datenrechtsvorfälle verantwortlichen Entscheidungsträger auf der Führungsebene direkt und persönlich auf Schadenersatz in Anspruch genommen werden.
Von der Haftung zur Deckung: Sind die Haftungsrisiken von Mitgliedern der Unternehmensleitung wegen immaterieller Schäden auf Grundlage des Art. 82 DSGVO versicherbar? Die Antwort lautet: Ja! In unseren D&O-Spezialkonzepten können wir die wichtigsten Tatbestände immaterieller Schäden in Deckung nehmen. Hierzu zählen Ansprüche wegen Persönlichkeitsrechtsverletzungen, wegen Verletzung des Allgemeinen Gleichbehandlungsgesetzes ebenso wie Reputationsschäden und Inanspruchnahmen wegen Datenschutz- und Datenrechtsverletzungen. Dies ist allerdings kein Marktstandard. Es ist daher ratsam, die bestehenden Versicherungsbedingungen sorgfältig zu prüfen.
Die Mitversicherung von DSGVO-Schäden ist bereits in einigen unserer AVW-D&O-Konzepte bedingungsseitig enthalten. Gerne prüfen wir Ihren Versicherungsschutz, ob und inwieweit auch immaterielle Schäden gedeckt sind. Wenden Sie sich bei Fragen hierzu gerne an Ihren Kundenmanager.
Julia Bestmann
Ass. jur., Fachbereich HUK / Financial Lines, AVW-Gruppe
