20.000 Euro betrug das erste Bußgeld, das die Behörden nach dem endgültigen Inkraftreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 erhoben. Betroffen war das baden-württembergische Flirt-Portal Knuddels. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hatte einen Verstoß gegen die in Artikel 32 vorgeschriebene Datensicherheit festgestellt, und daraufhin die Strafe verhängt. Bei einem Angriff auf die Systeme des Portals hatten Hacker über 800.000 E-Mail-Adressen und beinahe 2 Millionen Nutzernamen und Passwörter geklaut, die ohne jeden Schutz auf den Servern des Unternehmens lagen.

Bei leichten Verstößen können 2 Prozent des Jahresumsatzes oder bis zu 10 Millionen Euro an Strafgeldern fällig werden. Bei schweren Verstößen, etwa wenn persönliche Daten ohne ausreichende Einwilligung genutzt werden, sind es 4 Prozent und maximal 20 Millionen Euro. Vor der DSGVO wurden schwere Datenschutzverstöße in Deutschland mit maximal 300.000 Euro geahndet.

Strenge Regeln für Unternehmen

Die Datenschutzgrundverordnung der Europäischen Union regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Die wichtigsten Vorgaben hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) wie folgt zusammengefasst:

• Es gelten strenge Informationspflichten zur Verwendung erhobener Daten
• Es muss eine Datenschutzfolgeabschätzung erstellt werden
• Es muss ein Datenschutzbeauftragter ernannt werden
• Es gelten strenge Meldepflichten bei Datenpannen (innerhalb von 72 Stunden nach einem Datenabgriff müssen die Aufsichtsbehörden informiert werden).
• Es bestehen technische Vorgaben an die IT- Sicherheit
• Es drohen hohe Strafen bei Verstößen gegen den Datenschutz

Welchen Schutz eine Cyber-Versicherung bietet

Auf jedes Unternehmen, gleich welcher Größe, das in irgendeiner Form Daten von Kunden, Mitarbeitern und Lieferanten verarbeitet und speichert, ist die DSGVO anzuwenden. Selbst, wer lediglich ein Kontaktformular auf seiner Internetseite anbietet, ist betroffen.

Insbesondere die verschärften Meldefristen in Kombination mit den höheren Bußgeldern bei einem Missbrauch der Daten können laut GDV eine Cyber-Versicherung für viele Unternehmen notwendig machen. Denn sie übernimmt im Ernstfall unter anderem die Kosten für eine Rechtsberatung. Direkt nach einer Datenpanne ist die schnelle Hilfe von spezialisierten IT- und Datenschutz-Anwälten extrem wichtig. Sie können einschätzen, ob und – wenn ja – an wen der Datenverlust zu melden ist, um Strafzahlungen zu vermeiden.

Die Cyber-Versicherung bezahlt auch eine PR-Agentur, die hilft, den Schaden für den eigenen Ruf möglichst zu minimieren. Nicht abgedeckt sind dagegen üblicherweise die Strafzahlungen sowie ein eventuell folgender Rechtsstreit aufgrund des Bußgeldes.