Coupang·SKT, mehrere zehn Millionen personenbezogene Daten versichert – maximale Entschädigung bis zu 1 Milliarde KRW … Tatsächliche Schadensersatzzahlung eher unwahrscheinlich

Trotz des jüngsten groß angelegten Lecks von persönlichen Informationen haben große Informations- und Telekommunikationsunternehmen wie Coupang und SK Telecom lediglich die gesetzlich vorgeschriebene Mindestversicherungssumme für die Entschädigungsversicherung bei Datenlecks abgeschlossen, um Geschädigte zu entschädigen. Dies unterstreicht erneut das strukturelle Problem, dass im Schadensfall keine ausreichende Entschädigung möglich ist.

Wie aus Versicherungskreisen am 8. bekannt wurde, hat Coupang derzeit bei der Meritz Feuerversicherung eine Haftpflichtversicherung für Datenschutzverletzungen mit einer Deckungssumme von 10 Milliarden Won abgeschlossen und den jüngsten Vorfall mit etwa 33,7 Millionen geleakten personenbezogenen Datensätzen noch nicht als Versicherungsfall gemeldet. Nicht nur Coupang, auch SK Telecom, bei denen Daten von rund 23 Millionen Nutzern abgeflossen sind, haben lediglich bei der Hyundai Marine & Fire Insurance eine ähnliche Versicherung mit dem gleichen Limit von 10 Milliarden Won abgeschlossen.

Nach dem geltenden Datenschutzgesetz müssen Unternehmen ab einer bestimmten Umsatzhöhe eine Entschädigungsversicherung für Datenlecks abschließen. Die im Vergleich zur Unternehmensgröße sehr niedrige gesetzliche Mindestversicherungssumme wird jedoch als problematisch angesehen. So genügt es beispielsweise selbst bei Unternehmen mit einem Jahresumsatz von über 10 Billionen Won oder über zehn Millionen Datensätzen, eine Versicherung mit einer Deckungssumme von lediglich 10 Milliarden Won abzuschließen, um die gesetzlichen Anforderungen zu erfüllen. Dies führt dazu, dass auch bei tatsächlichen Großschäden die tatsächliche Entschädigung durch die Versicherung äußerst begrenzt ist.

Die Versicherungsbranche fordert, angesichts der bisherigen Schadensfälle und der Opferzahlen die gesetzlich vorgeschriebene Mindestversicherungssumme auf etwa 1 Billion Won anzuheben. Begründet wird dies damit, dass selbst bei einer zivilrechtlichen Schadenersatzklage gegen das Unternehmen eine teilweise Entschädigung durch die Versicherung die Kostenlast tatsächlich verteilen und den Opferschutz ermöglichen würde. Es gibt Stimmen, die darauf hinweisen, dass in einigen Fällen die zu niedrige Versicherungssumme von Unternehmen missbraucht wird, um sich der Verantwortung zu entziehen oder Entschädigungszahlungen zu verzögern.

Vor diesem Hintergrund planen der Verband der Schadenversicherer und andere Branchenvertreter, in Kürze bei der Datenschutzkommission und anderen Regierungsstellen eine Anhebung der Mindestversicherungssumme zu fordern. Besonders für Unternehmen mit einem Umsatz über 10 Billionen Won oder mehr als 10 Millionen Datensätzen wird überlegt, eine Pflichtversicherungssumme von mindestens 1 Billion Won vorzuschreiben. Gleichzeitig werden verstärkt Forderungen laut, Bußgelder und andere administrative Maßnahmen gegenüber nicht versicherten Unternehmen aktiver umzusetzen.

Derzeit gibt es allerdings noch keinen Fall, in dem ein Unternehmen wegen fehlender Versicherung mit einem Bußgeld belegt wurde. Da die Datenschutzkommission den genauen Umfang der versicherungspflichtigen Unternehmen nicht kennt und bislang keine konkreten Maßnahmen ergriffen hat, liegt die Versicherungsquote derzeit nur bei 2 % bis 8 % aller schätzungsweise 83.000 bis 380.000 versicherungspflichtigen Unternehmen.

Es gibt die Einschätzung, dass sich bei Fortsetzung dieses Trends bei zukünftigen Datenschutzverletzungen Debatten über die Wirksamkeit des Opferschutzes ergeben werden und dies letztlich zu einem Vertrauensverlust in die Unternehmen sowie zu verschärften Versicherungs- und Regulierungsreformen führen könnte. Deshalb ist es dringend erforderlich, dass Regierung und Parlament die entsprechenden Regelungen verbessern.