Cyber Versicherung und DSGVO-Bußgeld

 

Wie kann eine Cyber Versicherung einen Einfluss auf die Höhe des DSGVO-Bußgeldes haben? Diese und weitere Fragen zum Thema DSGVO-Bußgelder und Cyber Versicherung beantworten wir im folgenden Beitrag.

210325_Cyber_Versicherung_und_DSGVO_Bussgeld

Wie wird eigentlich das DSGVO-Bußgeld ermittelt? Artikel 83 DSGVO liefert hier einen Hinweis. Zum einen ist die Rede von „Geldbußen von bis zu 20 Millionen EUR oder bis zu vier Prozent des gesamten Jahresumsatzes des vorangegangenen Geschäftsjahrs“. Zum anderen werden Geldbußen aber auch „nach den Umständen des Einzelfalls“ verhängt.

Das Bußgeld der DSGVO wird oft in den Medien zitiert. Es sind bereits viele Fälle öffentlich bekannt. Nachfolgend haben wir einige veröffentlichte Beispiele aufgeführt:

  1. Der Hamburger Verkehrsbund meldete am 13.02.2020 eine Datenpanne an betroffene Personen und die Aufsichtsbehörde zu spät und bezahlte dafür 20.000 €.
  2. Die AOK Baden-Württemberg musste am 30.06.2020 ein Bußgeld i.H.v. 1.240.000 € bezahlen, weil sie die Daten von Gewinnspielteilnehmern für Webezwecke verwendet hatte. Die Einwilligung dazu lag allerdings nicht überall vor.
  3. H&M musste am 01.10.2020 ein Bußgeld i.H.v. von 35.258.708 € bezahlen, da Mitarbeiter absichtlich bespitzelt und diese Informationen den zuständigen Führungskräften zur Verfügung gestellt wurden.
  4. notebooksbilliger .de musste am 08.01.2021 10.400.000 € wegen unrechtmäßiger Videoüberwachung von Mitarbeitern und Kunden bezahlen.

 

Die DSGVO- Bußgeld Berechnungsformel

Inzwischen haben die Datenschutzbehörden eine Berechnungsformel für die Höhe des DSGVO-Bußgeldes eingeführt, die wir nachfolgend erklären, um die Höhe nachvollziehbar darzustellen:

Maßgebliche Basis für die Berechnung des DSGVO-Bußgeldes ist der Tagessatz des jeweiligen Unternehmens. Dieser wird über den Vorjahresumsatz geteilt durch 365 Tage berechnet. Dieser ermittelte Tagessatz wird multipliziert mit gewissen Faktoren. Multiplikator 1 spiegelt die Schwere des Verstoßes wider und hat eine Bandbreite von 1 bis 14,4. Bei besonders schweren Verstößen kann ein höherer Faktor angewandt werden. Im dritten und letzten Schritt wird das Grundbußgeld noch durch die individuellen Maßnahmen des betroffenen Unternehmens verringert oder sogar erhöht. Maßgeblich sind hier die Fahrlässigkeit des Verstoßes, die Kooperation mit den Datenschutzbehörden, die eingeleiteten Gegenmaßnahmen und die bisherige Anzahl der datenschutzrechtlichen Verstöße.

Die verschiedenen Zu- bzw. Abschläge des DSGVO- Bußgeldes

Tablet_dsgvo2Tablet_dsgvo

Ein Rechenbeispiel

Unser Kunde betreibt eine Zahnarztpraxis und erzielte im letzten Jahr 1.000.000 € Umsatz. Ein Mitarbeiter der Buchhaltung öffnet eine vermeintliche Bewerbung und infiziert das Netzwerk mit einer Ransomware der dritten Generation. Dadurch werden die Krankenakten der Kunden verschlüsselt und auf die Rechner der Angreifer kopiert. Durch die Cyber Versicherung hat unser Kunde sofortigen Zugang zu einem Experten-Netzwerk. Der Vorfall wird juristisch korrekt und umgehend gemeldet, Gegenmaßnahmen werden sofort umgesetzt. Es handelt sich um einen erstmaligen Verstoß des Unternehmens.

Die finanziellen Kosten werden von der Versicherung gedeckt – allerdings verhängt die Datenschutzbehörde ein Bußgeld, da es sich um einen Datenschutzvorfall handelt. Hier gilt der Grundsatz, dass Bußgelder nicht versicherbar sind. Trotzdem hat sich die Versicherung in doppelter Weise für den Kunden gelohnt und zahlbar gemacht, wie wir im Folgenden schildern:

Wenden wir die DSGVO-Bußgeld Berechnungsformel konkret an:

1.000.000 € Umsatz führt zu einem Tagessatz von 2.739,72 €.  Die Datenschutzbehörden setzen die Schwere des Verstoßes fest. Da es sich um sehr sensible personenbezogene Daten handelt, wird der Faktor auf „schwer“ und der Multiplikator damit auf 8 eingestuft.

Es ergibt sich also ein Grundbußgeld von 21.917,80 € (Tagessatz x 8).

Durch die schnelle und korrekte Reaktion des Kunden werden folgende Faktoren festgelegt:

  • Normale Fahrlässigkeit,
  • sehr gute Kooperation,
  • sehr gute Gegenmaßnahmen und
  • es handelte sich um den ersten Verstoß des Mandanten.

Die Faktoren verringern das Bußgeld auf 10.958,90 € (-0 % Fahrlässigkeit; -25 % Kooperation; -25 % Gegenmaßnahmen; -0% Anzahl des Verstoßes).

Hätte unser Kunde diesen Zugriff auf das Experten-Netzwerk – sprich die Versicherung – nicht gehabt, wäre er im Schadensfall auf sich allein gestellt gewesen. Dies hätte dann zu folgendem Bußgeld führen können:

Grundbußgeld 21.917,80 € x 100 % ( -0 % Fahrlässigkeit; +50 % Kooperation; +50 % Gegenmaßnahmen; -0% Anzahl des Verstoßes) = 43.835,60 €

Fazit:

Wie das Beispiel aufzeigt, trägt eine Cyber Versicherung nicht zwingend alle anfallenden Kosten im Schadensfall. Bußgelder sollen die Unternehmer bewusst sensibilisieren und die hohe Bedeutung des Datenschutzes unterstreichen. Durch das Netzwerk der Versicherung schaffen wir eine Interessensgemeinschaft, von der Sie als Unternehmer schlussendlich mehrfach profitieren. Final sogar in der Festsetzung des Bußgeldes. In diesem Fall ersparte es dem Kunden 32.876,70 € (43.835,60 € – 10.958,90 €) Strafe!