IT Branchenrisiko

Standard-Vertragsklauseln EU Datenschutz, Symbolfoto: Adrian Malec via Pixabay

Neue Standard-Vertragskauseln der EU zum Datenschutz: Haftung versichert?

von

Datenschutz: Neue Standard-Vertragsklauseln für Datenaustausch

Schon seit Ende Juni gelten neue Standard-Vertragsklauseln der EU für den Datenaustausch mit Staaten außerhalb der EU, wenn diese keinen angemessenen Datenschutz gewährleisten.

Diese Musterklauseln machen es möglich, dass EU-Unternehmen (also auch deutsche) personenbezogene Daten in Drittstaaten verarbeiten, dorthin transferieren oder dort speichern lassen. Und zwar auch in solchen Drittstaaten, deren Datenschutzrecht weniger streng ist als die in der EU gültige Datenschutzgrundverordnung (DSGVO). Das gilt zum Beispiel für die USA. Die Klauseln sollen gewährleisten, dass EU-Bürger auch dort ihre Datenschutzrechte wahrnehmen können.

Wenn ein Unternehmen einen Online-Service nutzt, bei dem personenbezogene Daten auf einem US-Server gespeichert werden können, muss der Vertrag mit dem Geschäftspartner Datenschutzbestimmungen gemäß EU-Standardvertragsklauseln enthalten. Sonst liegt ein DSGVO-Verstoß vor. Und die sind teuer.

Welcher Zeitrahmen gilt für die Übernahme der neuen Standard-Vertragsklauseln?

Die alten Versionen der Standard-Vertragsklauseln dürfen nur noch eine Weile verwendet werden. Spätestens am September 2021 müssen bei neu abgeschlossenen Verträgen über Datenaustausch oder Datenspeicherung die neuen Standardklauseln eingesetzt werden. Und ab dem 27. Dezember 2022 müssen alle Verträge, die bislang die alten Klauseln enthalten, auf die neuen Versionen umgestellt sein.

Was bedeutet das praktisch?

Unternehmer, die einen Cloud-Provider, einen Newsletter-Versender, ein Online-Marketing-Tool oder ähnliche Online-Services nutzen, sollten genau hinschauen. Speichert der Anbieter alle Daten in einem EU-Staat? Dann ist die Sache problemlos. Das Gleiche gilt für Länder, deren Datenschutz-Vorschriften dem Schutzniveau der DSGVO „angemessen“ sind. Aktuell sind etwa Südkorea, Kanada, Großbritannien, Japan und die Schweiz auf dieser Liste.

Für andere Länder sollten die Standard-Datenschutzklauseln der EU Teil des Vertrags werden. Das ist allerdings auch kein Allheilmittel: Das Unternehmen muss trotzdem sichergehen, dass der Datenschutz auch in der Realität gewährleistet wird. Es muss eine Risikoprüfung durchführen. Und es darf selbstverständlich nur personenbezogene Daten verarbeiten, speichern oder weitergeben, wenn die betreffende Person eingewilligt hat oder sonst eine Rechtsgrundlage besteht. Das gilt aber generell, nicht nur beim Datentransfer aus der EU heraus.

Das Risiko

Ein Problem ergibt sich, wenn das Datenschutzniveau dort, wo der Server steht, niedriger liegt als bei der DSGVO. Das ist auch in den USA der Fall. Dort haben beispielsweise staatliche Dienste sehr weitgehende Zugriffsmöglichkeiten. Mit den Standard-Vertragsbedingungen garantiert der Geschäftspartner, dass er trotzdem für angemessenen Datenschutz sorgt.

Datenschutzrecht ist eine komplexe Sache. Für internationales Datenschutzrecht gilt das erst recht. Ein Verstoß kann hohe Kosten verursachen. Allein die Bußgelder können bis zu zwei Prozent vom Jahresumsatz ausmachen. Dazu kommen aufwändige Hinweispflichten. Man muss alle Betroffenen informieren. Und jeder von Ihnen kann Schadenersatz verlangen.

Das Risiko ist keine Theorie. Es muss auch nicht erst zu einer Datenschutzverletzung kommen, damit man das Unternehmen in die Bredouille gerät. Schon jetzt verschicken die Landesdatenschutzbehörden Fragebögen an Unternehmen. Darin verlangen sie konkrete Auskunft darüber, welche Dienstleister man nutzt und wo diese die Daten speichern. Das berichtet die Anwaltskanzlei FPS, die zudem eine Checkliste zu den EU-Standardvertragsklauseln vorbereitet hat.

Abhilfe: Verträge prüfen lassen – und sich vor allem versichern!

Geht es bei Geschäftsbeziehungen mit Firmen im Nicht-EU-Ausland in irgendeiner Form um den Transfer personenbezogener Daten? Dann kann es ratsam sein, selbst bei kleineren Aufträgen die vorgelegten Standard-Verträge mit Blick auf den Datenschutz prüfen zu lassen. Grundsätzlich gilt: Anbieter, die die Speicherung und Verarbeitung innerhalb der EU garantieren, vermindern das Datenschutzrisiko enorm.

Ein zweiter, wichtiger Punkt sind geeignete Haftpflichtversicherungen. Die Gewährleistung des Datenschutzes ist eine Rechtspflicht. Damit ist die Haftpflicht gedeckt, wenn das Unternehmen in Haftung genommen wird. Voraussetzung ist natürlich, dass es seine Haftpflicht versichert hat, und dass der Datenschutzverstoß nicht vorsätzlich oder grob fahrlässig erfolgt ist. Eine Cyber-Versicherung und eine Rechtsschutzversicherung können zusätzliche Kosten auffangen: Eigenschäden beispielsweise und Anwalts- bzw. Gerichtskosten. Gleiches gilt für eine Manager-Haftpflichtversicherung.

Decken Ihre betriebliche Versicherungen die Datenschutz-Risiken ab?

Wie steht es um den Versicherungsschutz Ihres Unternehmens in Sachen Datenschutzverletzung? acant prüft Ihre Versicherungsverträge und kontrolliert, wie weit die Deckungen reichen.

Das ist selbstverständlich kostenlos. Haben Sie Interesse? Nehmen Sie Kontakt auf!

Datenschutzversto? Bußgeld versichern - Symbolbild: Steve Buissinne via Pixabay

Eine Versicherung gegen Datenschutzverstöße

von

Zack, Datenschutzverstoß, Bußgeld: Geht im Geschäftsalltag ganz schnell

Vor kurzem hat Dagmar Hartge, die Brandenburgische Landesdatenschutzbeauftragte, ihren Tätigkeitsbericht 2020 veröffentlicht. Der Bericht liefert viele Beispiele dafür, wie schnell ein Unternehmen ins Visier der Datenschützer gerät. Die Folge ist dann häufig ein Bußgeld, das wehtut.

Einige Beispiele:

  • Ein Kreditvermittler schickt einem potenziellen Kreditnehmer eine abschlägige E-Mail. Darin nennt er dessen negative Schufa-Werte. Weil die E-Mail nicht komplett verschlüsselt ist, moniert der Abgelehnte einen Datenschutzverstoß. Die Landesdatenschutzbeauftragte sieht es genauso: Der Kreditvermittler wird offiziell verwarnt.
  • Ein Immobilienmakler soll ein Haus an Käufer vermitteln. In den Werbeunterlagen veröffentlicht er Fotos, die er vom Eigentümer bekommt. Darunter sind auch Fotos einer Einliegerwohnung. Die Mieter sehen eine Datenschutzverletzung. Auch dafür gibt es eine Verwarnung.
  • Ein anderes Immobilienunternehmen macht Drohnen-Fotos von Objekten, die es verkaufen will. Dummerweise sind auch Teile der Nachbargrundstücke abgebildet. Deren Eigentümer beschweren sich. Die Landesdatenschutzbeauftragte übt Druck aus, bis das Immobilienunternehmen die Fotos von der Website nimmt.
  • Ein Wirt benutzt die Kontaktdaten-Liste seiner Gäste, die er wegen Corona führen muss, um ihnen Werbung zu schicken. Das darf er aber nicht – Bußgeld.
  • Eine Ballettschule veröffentlicht auf Facebook Bilder, auf denen die Mädchen beim Tanzen zu sehen sind. Die Eltern wurden nicht um Erlaubnis gefragt. Ergebnis: Ein Bußgeld in vierstelliger Höhe.
  • Günstiger kommt eine Arzthelferin davon, die sich in einen Patienten der Praxis verliebt. Sie kontaktiert ihn über die Telefonnummer in der Patientendatei. Auch das ist ein Datenschutzverstoß. Immerhin ist ihr Bußgeld nur dreistellig.
  • Ein Tourismus-Unternehmen lässt seine Datenbank mit Kunden und Gastgebern ungesichert im Netz. Als das Landesamt vorstellig wird, bleiben trotz erster Korrekturen Sicherheitslücken. Das Unternehmen muss sich auf ein Bußgeld einstellen.

Datenschutzverstoß? Diese Kosten übernimmt Ihre Cyber-Versicherung

  • Manche Cyber-Versicherungen versichern DSGVO-Bußgelder, soweit dies gesetzlich erlaubt ist. (Natürlich nicht bei Vorsatz.)
  • Beim Vorwurf eines Datenschutzverstoßes braucht man den Anwalt. Und auch schon vorher: Dann, wenn man herausfinden will, ob ein Datenschutzverstoß vorliegt, über den man die Behörden informieren muss. Die Kosten für beides sind als Teil der Cyber-Deckung versicherbar.
  • Viele Cyber-Versicherungen haben selbst spezialisierte Anwälte unter Vertrag, die im Notfall direkt helfen.
  • Nach einem Datenschutzverstoß haben die Betroffenen Anspruch auf Schadenersatz. Solche Forderungen decken Cyber-Versicherungen ebenfalls.
  • Wenn der Geschäftsführer dafür haften soll, dass der Datenschutzverstoß möglich war, deckt eine D&O-Versicherung (Manager-Haftpflichtversicherung) die Schadenersatzforderung .
  • Viele Cyber-Versicherer stellen Fachleute für Krisen-PR. Sie helfen bei einem Datenschutz-Gau, Imageschäden zu minimieren.

acant hilft beim Eindämmen der DSGVO-Risiken

Datenschutz ist eine gute Sache. Für Unternehmen wird er allerdings schnell zum Glatteis. Es gibt einfach zu viele Möglichkeiten, im Geschäftsalltag gegen Datenschutzbestimmungen zu verstoßen.

Dieses finanzielle Risiko lässt sich durch eine Cyber-Versicherung weitgehend eindämmen, genauso wie die Schäden durch Hacker und Trojaner. acant ist als Spezialmakler für Cyber-Policen der richtige Ansprechpartner.

Wir finden die Versicherung, die Sie und Ihr Unternehmen optimal schützt. Schreiben Sie uns oder rufen Sie uns an: 030 863 926 990

IT-Sicherheitschecks zum Selbermachen - Symbolbild: Methawee Krasaeden via Pixabay,

Schnelltests mit begrenztem Nutzen: IT-Sicherheitscheck zum Selbermachen

von

IT-Sicherheitscheck im Internet: in wenigen Minuten die Bedrohung ausloten?

Corona-Schnelltests können zu einem falschen Gefühl der Sicherheit führen. Nur bei Wiederholung sind die Ergebnisse zuverlässig. Bei einem IT-Sicherheitscheck zum Selbermachen besteht ein ähnliches Risiko. Es gibt immer mehr davon im Internet. Als erste Orientierung sind sie in Ordnung. Eine belastbare Analyse der eigenen IT-Sicherheit innerhalb von Minuten liefern sie allerdings nicht. Das liegt in der Natur der Sache.

Natürlich kann man allgemeine Grundsätze für eine gute IT-Sicherheit abfragen: Software und Hardware auf aktuellem Stand? Profis für IT-Sicherheit zuständig? Mitarbeiter geschult? Notfallpläne vorbereitet? Sicherheitstechnologie installiert? Etc. etc. Aber ob das vor Ort wirklich umgesetzt wird und funktioniert, muss man schon genauer prüfen.

Hier vergleich ich alles … ach, wirklich?

Das Ganze erinnert mich an die Vergleichsplattformen, auf denen man neben Krediten oder DSL-Verträgen auch Versicherungen aller Art vergleichen kann. Hauptgesichtspunkt sind die Kosten. Natürlich kann man den Vertrag dann auch gleich abschließen. Der Plattformbetreiber erhält dafür Provision.

Betriebliche (und die meisten privaten!) Versicherungen kann man aber nicht sinnvoll vergleichen, indem man nur auf den Endpreis schaut. Die Versicherungsbedingungen sind wichtig. Anders als bei der privaten Kfz-Versicherung sind sie bei einer Betriebshaftpflicht-Versicherung nicht einfach standardisiert. Und das ist das Problem.

Deshalb sind auch Vergleichsplattformen nur zur ersten Orientierung sinnvoll, wenn überhaupt. Sonst hat man zwar ruckzuck eine Versicherung. Die eigene Tätigkeit ist aber möglicherweise von der Deckung ausgeschlossen. Oder die Sachversicherungsleistung ist auf den Zeitwert begrenzt. Vielleicht unterliegt das entscheidende Risiko einem Sublimit, das die Versicherung praktisch wertlos macht. Oder, oder, oder … während man sich abgesichert glaubt.

Gute Beratung ist ihr Geld wert

Natürlich ist das mehr Aufwand. Zunächst muss man jemand finden, der sich auskennt und objektiv berät. Zeit muss man ebenfalls investieren. Der Berater muss sich schließlich ein klares Bild der konkreten Gegebenheiten machen. Im Gegenzug kann man sich dafür auf die Analyse und die Handlungsempfehlungen verlassen.

Wenn es um Versicherungen geht, sind wir von acant Ihre Ansprechpartner: Wir schreiben Beratung groß und kennen den Versicherungsmarkt ganz genau. Wenn es um die IT-Sicherheit Ihres Betriebs geht, sind IT-Security-Experten die richtige Adresse. Wir können Ihnen gern gute Berater empfehlen.

IT-Sicherheitscheck: eine kleine Übersicht

Nach all den Worten der Warnung hier nun einige Tools für den IT-Sicherheits-Selbstcheck:

  • Verband der Sachversicherer: VdS-Quickchecks – diese Checks zur IT-Sicherheit, zum Datenschutz und zur Sicherheit von Produktionsanlagen sind vergleichsweise nützlich, weil sie ins Detail gehen. Außerdem spiegeln sie die Erfahrung mit Risikoeinschätzungen wieder.
  • Sicherheitstool Mittelstand: SiToM: Hier kann man ein „Projekt“ anlegen, das sich de facto als große Checkliste entpuppt. Immerhin sind die Fragen vergleichsweise detailliert.
  • Transferstelle IT-Sicherheit im Mittelstand: Sec-O-Mat. Dieses Tool soll dabei helfen, einen Aktionsplan auszuarbeiten.
  • Deutschland sicher im Netz: DsiN-Sicherheitscheck.
Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung. (Screenshot)
Immerhin: Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung.

Sprechen Sie uns an

Rufen Sie uns an, wenn Sie Fragen oder Anmerkungen haben: 030 863 926 990. Oder schreiben Sie uns eine Nachricht. Sie können auch gern einen Kommentar hinterlassen.

Cyberversicherung gegen Hackerangriff auf Patientendaten, Symbolfoto: Reggi Tirtakusumah via Pixabay

Hackerangriff auf Patientendaten: gegen den Psychotherapeuten-Alptraum gibt’s eine Versicherung

von

Ende Oktober wurde bekannt, dass ein Hacker sich erfolgreich Zugriff auf den Server eines finnischen Psychotherapiezentrums verschafft hatte. Er entwendete rund 40.000 digitale Patientenakten – mit den Adressangaben der jeweiligen Person. Und mit Aufzeichnungen der Therapeuten über die Inhalte von Therapiesitzungen, zum Teil über Jahre hinweg.

Gestohlen wurden diese Informationen wohl schon vor rund zwei Jahren. Im Herbst dieses Jahres forderten Erpresser fast 500.000 Euro. Als Reaktion auf die Zahlungsverweigerung stellten sie hunderte der Datensätze ins Internet. Außerdem erhielten Tausende der betroffenen Therapiepatienten eine persönliche Erpresserbotschaft. (Mehr Infos zu dem Fall gibt es zum Beispiel bei der FAZ.)

Psychotherapeutische Patientendaten sind für Datendiebe und Hacker besonders wertvoll

Wenn es um Psychotherapie geht, sind die Patientendaten ganz besonders sensibel. Schließlich enthält die Patientenakte Diagnosen von psychischen Krankheiten, Vermerke zu den Symptomen der jeweiligen Störung, Angaben zu den verschriebenen Psychopharmaka – und die Aufzeichnungen der Psychotherapeuten über die Therapiegespräche mit all ihren intimen Details. Es gibt wohl kaum vertraulichere Informationen.

Aus Sicht von Hackern ist das pures Gold: Derart private Daten lassen sich teuer verkaufen, denn sie machen die Betroffenen erpressbar und manipulierbar. Das gilt natürlich für viele Patientendaten, ganz besonders jedoch für die aus Psychiatrie oder Psychotherapie.

Wenn Sie in Ihrer Praxis oder Therapie-Einrichtung mit Daten von Psychotherapie-Patienten zu tun haben, dann stellt Ihre IT ein hoch attraktives Ziel für Hacker dar. Das gilt auch dann, wenn es bei Ihnen nicht um Zehntausende, sondern „nur“ um Dutzende oder Hunderte von Patienten geht. Gleichzeitig sind solche personenbezogenen Informationen ganz besonders geschützt. In diesem Punkt ist das Datenschutzrecht eindeutig.

Cyber-Versicherung und Vertrauensschutzversicherung: auch für Ärzte und Psychotherapeuten unbedingt empfehlenswert

Um die Risiken eines Hackerangriffs zu verringern, ist ein guter IT-Sicherheitsstandard wichtig. Doch dieser Schutz allein reicht nicht aus – Technik weist immer ein Restrisiko auf. Und weil sie von Menschen verwendet wird, ist dieses Restrisiko ziemlich groß.

Versicherungsschutz kann Ihre psychologische Praxis oder Ihre Therapieeinrichtung auch dann vor Schaden bewahren, wenn Hacker die Sicherheitssysteme überwinden oder Mitarbeiter sich nicht an die Vorschriften halten. Inzwischen gibt es eine Vielzahl von Policen, die zielgenau auf Heilberufe zugeschnitten sind. Eine solche Versicherung kann Sie vor der Kostenlawine schützen, die nach einer IT-Sicherheitsverletzung und dem Bruch der Vertraulichkeit droht – vor den Kosten für die Tätersuche im System und für das Neuinstallieren des Rechnernetzes, den Kosten für die Ermittlung und Benachrichtigung aller Betroffenen, Schadenersatzforderungen, Rechtsberatungskosten etc.

Außerdem bieten oder finanzieren viele Versicherer schnelle Eingreifteams – IT-Spezialisten, PR-Berater und Anwälte, die im Akutfall schnell bereitstehen.

Die Versicherungskosten belaufen sich in der Regel nur auf wenige Promille des Jahresumsatzes.

Sprechen Sie uns an. acant ist auf Cyberversicherungsschutz spezialisiert. Wir sorgen dafür, dass Ihre Therapiepraxis eine effektive, aber kostenbewusste Versicherung gegen Hackerangriff auf Ihre Patientendaten erhält. Sie erreichen uns telefonisch unter 030 863 926 990 oder mit einer Nachricht per Kontaktformular.

Cyberversicherung, Elektronikversicherung, Maschinenversicherung - Symbolfoto: Michal Jarmoluk via Pixabay

All in one: Cyber-Versicherung, Maschinenversicherung, Elektronikversicherung

von

… und dazu eine Deckung für die Betriebsunterbrechung im Schadensfall

Für Unternehmen, die sich „in einem Aufwasch“ gegen Schäden …

  • durch einen Cyberangriff
  • an ihrer Elektronik
  • an ihren Maschinen

versichern wollen, gibt es mittlerweile Cyber-Policen mit entsprechender Deckungserweiterung für das elektronische Betriebsvermögen und die Maschinen des Betriebs.

Aus Sicht des Versicherungsexperten gibt es an dem Angebot mehrere positive Details:

  • Die Deckungserweiterungen betreffen je eine pauschale Maschinenversicherung und Elektronikversicherung.
  • Mitversichert ist auch eine Betriebsunterbrechung, die sich durch Maschinen- oder Elektronikschäden ergibt. Das ist ein wichtiger Punkt, denn was nützt der Schadenersatz für das kaputte Gerät, wenn der zweiwöchige Umsatzausfall dem Unternehmen das Genick bricht?
  • Es besteht keine Gefahr, dass eine Unterversicherung zur Kürzung der Versicherungsleistung führt. Bei anderen Sachpolicen kann es passieren, dass der Versicherer nach der Schadensmeldung erst einmal den Versicherungswert ermittelt, dann eine Unterversicherung moniert und deshalb nur einen Teil des Schadens ersetzt. Bei diesen Bausteinen handelt es sich dagegen um eine Versicherung „auf erstes Risiko“ mit Auszahlung der vollen Versicherungssumme. Und zwar unabhängig davon, ob der Versicherungswert der Versicherungssumme entspricht.
    Dieser Punkt ist bei Schadensfällen in der Praxis wichtig, denn es ist gar nicht so einfach, den Wert von Maschinen sowie elektronischen Anlagen und Geräten sauber zu bestimmen. Außerdem spart man sich den Aufwand, ständig aktuelle Inventar-Listen mit den aktuellen Versicherungswerten aller Maschinen und Anlagen zu führen.
  • Dadurch, dass sowohl Elektronik wie Maschinen versichert sind, spart man sich die Abgrenzung zwischen den beiden Versicherungsarten. Das ist keineswegs banal. Bei der Überprüfung der Bestandsversicherungen von Neukunden erleben wir immer wieder, dass eine elektronische Anlage als Maschine versichert ist, oder umgekehrt. Das kann im Schadensfall den Versicherungsschutz kosten. Wenn sowieso beides versichert ist, sind solche Probleme ausgeschlossen.

Cyber-, Elektronik- und Maschinenversicherung: Lohnt sich die Drei-in-eins-Police?

Brauchen Sie denn für Ihr Unternehmen eine Versicherungspolice, die erstens vor Verletzungen Ihrer IT-Sicherheit durch Hackerangriffe schützt, zweitens eine Maschinenversicherung umfasst und drittens auch Ihre Elektronik abdeckt? Sind diese Deckungen vielleicht schon vorhanden, vielleicht als Teil anderer Versicherungen wie einer Inhaltsversicherung?

Ob die Drei-in-eins-Police sinnvoll ist, lässt sich nicht pauschal sagen. Das Versicherungsangebot besitzt klare Vorteile, aber natürlich haben jeder Baustein und jede Deckungserweiterung ihren Preis.

Wie teuer, wie wichtig und wie gefährdet sind die Maschinen in Ihrem Unternehmen? Für welche davon ist eine Maschinenversicherung sinnvoll und notwendig? Wie steht es um die elektronischen Anlagen?

Solche Fragen können wir nur im konkreten Fall beantworten. Aber wir können Sie beantworten, und zwar kompetent. Versicherungen sind unser Metier, Cyber- und andere technische Risiken sind unser Schwerpunkt.

Rufen Sie uns an. 030 863 926 990. Oder schreiben Sie uns eine Nachricht. Wir nehmen uns Zeit für Ihre Fragen. Und wir prüfen gern und kostenlos Ihre bestehenden Versicherungen. Vielleicht können Sie für weniger Geld deutlich besseren Schutz bekommen?

Geschäftsführerhaftung für IT-Sicherheit - Symbolbild, Foto: Myriam Zilles auf Pixabay

Geschäftsführerhaftung: GmbH-Geschäftsführer haften für versäumte IT-Sicherheit. Versichern schützt.

von

Für IT-Sicherheitsversäumnisse im Unternehmen haften Sie als GmbH-Geschäftsführer schneller, als Ihnen lieb sein kann. Persönlich, mit Ihrem privaten Vermögen.

Dieser Beitrag fasst im Überblick zusammen:

  • warum das Gewährleisten von IT-Sicherheit zu den Pflichten von GmbH-Geschäftsführern gehört,
  • wie schnell ein Cyber-Angriff zu immensen Schäden führt und
  • warum die Haftung dafür in vielen Fällen an der Geschäftsführung der GmbH hängen bleibt.

Dagegen können Sie sich versichern. Das sollten Sie auch tun – mit einer Cyberversicherung für Ihr Unternehmen, und einer D&O-Police, die Ihre Managerhaftpflicht deckt.

Der Beitrag erklärt ausführlich, warum das nicht aus der Luft gegriffen ist. Sie können uns auch direkt nach Versicherungsschutz für Cyberangriffe und Geschäftsführer-Haftung fragen: 030 863 926 990

IT-Sicherheit – die Achillesferse der Unternehmen

Unternehmen bieten Cyberkriminellen eine große Angriffsoberfläche. Das gilt auch für mittelständische und kleinere Unternehmen. Opfer eines gezielten oder zufälligen Cyberangriffs zu werden, ist heute Betriebsrisiko.

Schließlich kommen überall Rechner und Smartphones zum Einsatz, werden E-Mails geschrieben, werden Buchungen per Software erledigt und Bestell- oder Kundendaten abgespeichert. Maschinen, Fahrzeuge und Gebäudetechnik sind zunehmend vernetzt. Mitarbeiter nutzen Firmengeräte häufig auch privat. Umgekehrt hängt in Home-Office-Zeiten das Firmennetzwerk nicht selten von der Sicherheit privater WLAN-Router ab.

Ein erfolgreicher digitaler Angriff kostet das Unternehmen viele Nerven, eine Menge Zeit und vor allem sehr viel Geld. Der Schaden kann schnell existenzbedrohend sein – das ist keine Übertreibung. Systemausfälle dauern in der Regel Tage und Wochen, oft sogar Monate – bis dahin ist nur eingeschränkter Geschäftsbetrieb möglich. Jeder Kunde, Mitarbeiter oder Außenstehende, von dem personenbezogene Daten entwendet wurden, muss benachrichtigt, gegebenenfalls auch entschädigt werden. Auch der Notfalleinsatz von IT-Spezialisten, Anwälten und Experten von Krisen-PR ist nicht umsonst. Weitere Kostenrisiken: Schadenersatzklagen, verlorene Kunden, ein beschädigtes Image.

Der IT-Branchenverband Bitkom fand heraus, dass drei von vier deutschen Unternehmen Opfer von Datendiebstahl, Industriespionage oder Sabotage wurden. Er geht von einer Schadenssumme von 100 Mrd. Euro jährlich aus.

Das Gewährleisten von IT-Sicherheit ist Chefsache

IT-Sicherheit ist ein Thema, mit dem sich die Unternehmensführung beschäftigen muss. Natürlich muss der Chef oder die Chefin nicht selbst eine Firewall installieren. Aber sie müssen den Aufgabenbereich in qualifizierte Hände legen und zudem überwachen, ob die IT-Abteilung, der Administrator oder ein externen Dienstleister sich tatsächlich um angemessene digitale Sicherheit kümmern.

Das liegt auch im Eigeninteresse der Geschäftsführung. In einer GmbH oder UG (haftungsbeschränkt) führen Pflichtverletzungen schnell in die persönliche Haftung. Zu diesen Pflichten gehört der Schutz vor Cyberangriffen. GmbH-Geschäftsführer und AG-Vorstände tragen die Verantwortung dafür, dass die Gesellschaft funktionierende Lösungen für diese Bedrohung etabliert. Das gilt unabhängig davon, ob sie persönlich Interesse an digitaler Technologie haben.

Geschäftsführerhaftung: Wurde das IT-Sicherheitsthema versäumt, haftet der GmbH-Geschäftsführer

Kann die Geschäftsführung nach einer Cyber-Attacke nicht beweisen, dass sie für angemessene Vorkehrungen gesorgt hat, dann droht ihr die persönliche Haftung gegenüber der Gesellschaft oder Dritten, unter anderem für …

  • Schäden des Unternehmens z. B. durch beschädigte Geräte oder Waren, verdorbene Vorräte und den Lohn für untätige Mitarbeiter
  • Umsatzeinbußen durch die Betriebsunterbrechung: Maschinen stehen still, der Online-Shop ist nicht erreichbar etc.
  • Schadenersatz für geschädigte Kunden, Lieferanten oder Geschäftspartner sowie Vertragsstrafen für Verzögerungen, Nichterfüllung etc.
  • Schadenersatz für den Verlust personenbezogener Daten: Unternehmen, die personenbezogene Daten verarbeiten (und das sind so gut wie alle, man denke nur an Kunden- und Arbeitnehmerdaten), haften für materielle und immaterielle Schäden aus nicht DSGVO-konformer Verarbeitung
  • Kosten für das Neuinstallieren oder Wiederhochfahren der Systeme, für Forensik, Krisenmaßnahmen und Krisenberater (wie Anwälte und PR-Fachleute)
  • Schäden durch Imageverlust oder abgewanderte Kunden, auch solche Schäden sind grundsätzlich schadenersatzpflichtig, selbst wenn sie schwerer zu beziffern sind

Fragen zur Haftung für Schäden durch Cyberangriffe

Eine schwere IT-Sicherheitsverletzung beschert der GmbH außerplanmäßige Kosten. Das senkt den Gewinn und den Wert der Anteile. Wie wahrscheinlich ist es, dass die GmbH-Gesellschafter das auf sich beruhen lassen?

Der Geschäftsführer ist von vornherein in einer ungünstigen Situation, denn er muss die Verschuldensvermutung widerlegen, die das BGB ihm aufbürdet. Ohne ordnungsgemäß dokumentierte IT-Maßnahmen wird ihm dieser Nachweis schwer gelingen.

Haftung per AGB ausschließen?

Lässt sich die Haftung der Gesellschaft gegenüber Kunden und Geschäftspartnern nicht durch Allgemeine Geschäftsbedingungen ausschließen, so dass der Rückgriff auf den Geschäftsführer gar nicht erst notwendig wird?

Leider nein: Verhindert ein Cyberangriff, dass die Lieferung nicht vollständig oder fristgerecht erfolgt oder vertrauliche Informationen verloren werden, hilft kein Verweis auf AGB-Klauseln zum Haftungsausschluss vereinbart. Kann das funktionieren? Die vertragsgemäße Lieferung stellt ebenso wie die Vertraulichkeit eine wesentliche Vertragspflicht dar und kann nicht vertraglich abbedungen werden.

Arbeitnehmer in Haftung nehmen?

Vielleicht hat ein Arbeitnehmer den verhängnisvollen Dateianhang unvorsichtigerweise geöffnet. Den Mitarbeiter für sein Fehlverhalten persönlich haftbar zu machen, ist jedcoh ebenso wenig erfolgversprechend, Die Haftung von Arbeitnehmern ist auf fahrlässiges Handeln beschränkt. Und selbst dann wird bei mittlerer Fahrlässigkeit der Schaden in der Regel quotiert – ein Teil wird also dem Arbeitgeber zugewiesen.

Bei grober Fahrlässigkeit mag der Arbeitnehmer voll haftbar sein, doch selbst dann setzt die Rechtsprechung des Bundesarbeitsgerichts enge Grenzen. Ansprüche aus Haftung über ein Jahresgehalt des Mitarbeiters hinaus sind kaum möglich. Gemessen an den Kosten eines Cyberangriffs ist das ein Tropfen auf den heißen Stein.

Externen IT-Dienstleister haftbar machen?

Selbst wenn die IT-Dienstleistungen von externen Unternehmen eingekauft wurden, ist es schwierig, nach einem Cyberangriff einen Schadenersatzanspruch gegenüber dem Dienstleister durchzusetzen. Der Dienstleister haftet für die IT-Leistung, die er als Hauptleistung erbringt. Sie muss jedoch nicht zwangsläufig dem Stand der Technik entsprechen. Selbst wenn die installierte Technik versagt, ein Virus von der Antivirensoftware nicht erkannt wurde oder Hacker eine Server-Sicherheitslücke fanden: Gehörte es zur Hauptleistung, solche Angriffsflächen auszuschließen? Das scheitert vermutlich schon am Budget, den ein derart umfassender Auftrag erfordert hätte.

Die Geschäftsführerhaftung ist die einfachste Weg zum Schadenersatz

Schadenersatzansprüche aus einem Cyberangriff bleiben daher meist am GmbH-Geschäftsführer hängen, sowohl die Haftung gegenüber dem Unternehmen als auch gegenüber Dritten.

Maßstab für die Geschäftsführerpflichten bzw. die Geschäftsführerhaftung ist auch in puncto IT die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ (§ 43 Abs. 2 GmbHG).

Eine Pflicht ergibt sich zudem aus dem Aktiengesetz (§ 91 Abs. 2 AktG). Es verlangt vom Vorstand, „geeignete Maßnahmen“ zur Risikoerkennung und -vermeidung. Die Rechtsprechung geht von einer „Ausstrahlungswirkung“ aus und überträgt diese Leitungspflicht auf GmbH-Geschäftsführer: diese müssen ebenfalls für Organisationsstandards sorgen, die eine Bestandsgefährdung des Unternehmens vermeiden. Cyberangriffe bedeuten eine Bestandsgefährdung.

Ein Organisationsverschulden und damit eine Pflichtverletzung durch mangelnde IT-Sicherheitsvorsorge kann sich aus weiteren Vorschriften ergeben:

  • § 109 TKG schreibt für Telekommunikationsanbieter technische Schutzmaßnahmen vor
  • § 13 Abs. 7 TMG verpflichtet Anbieter von Telemedien zu Maßnahmen gegen unerlaubten Zugriff, zum Schutz personenbezogener Daten und zum Verhindern von Störungen durch äußere Angriffe.
  • § 8a BSIG enthält Vorgaben zur Sicherheit in der Informationstechnik für Betreiber Kritischer Infrastrukturen.
  • § 25a Abs. 1 Nr. 5 KWG macht Finanzdienstleistern und Kreditinstituten Auflagen zur Geschäftsorganisation und schreibt ein Risikomanagement-System vor.
  • Art. 24 DSGVO verlangt eine IT nach dem Stand der Technik. Daraus folgt zugleich die Verpflichtung, dies durch eine sorgfältige und vollständige Dokumentation nachzuweisen.

IT-Risiken als Haftungsfalle: Handlungsempfehlungen für GmbH-Geschäftsführer

  • Zunächst muss das Cyber-Risiko des Unternehmens analysiert werden. Es geht um ganz konkrete Szenarien: Mit welcher Wahrscheinlichkeit sind welche Art von Sicherheitsverletzungen möglich, welche Konsequenzen und Kosten ergeben sich?

    Für diese Aufgabe benötigen Sie Ihre IT-Verantwortlichen. Ideal ist ein Experte speziell für IT-Sicherheit mit Zertifizierung nach ISO 27001. Weil Risikomanagement weit über Technologie hinausgeht, sollen Sie auch uns einbeziehen. Wir von acant sind als Versicherungsmakler auf Cyberrisiken spezialisiert und kennen die Schadensszenarien aus der Praxis. Schließlich haben wir regelmäßig damit zu tun.

  • Ein zweiter, wichtiger Schritt zur Abwehr der persönlichen Haftung: Sie müssen eine umfassende, aussagekräftige Dokumentation sicherstellen: dazu gehört der Ist-Zustand, die relevanten Bedrohungsszenarien und die Vorsorge- und Schutzmaßnahmen, die ergriffen werden. Zu diesen Maßnahmen gehört auf jeden Fall ein professionelles Datensicherungskonzept und ein praxistauglicher Notfallplan.

  • Dritter Schritt sind betriebliche Versicherungen. Einschlägig sind Cyberversicherungen, Vertrauensschadenversicherungen, Elektronik- oder Maschinenversicherungen sowie Deckungen für Rechtsschutz und Betriebshaftpflicht. Welche dieser Versicherungen zu konkreten Risiken des Unternehmens und des Geschäftsführung passen und betriebswirtschaftlich sinnvoll sind, hängt vom Einzelfall ab.

    Das Versichern des Unternehmens ist solides Risikomanagement. Schließlich weisen Sie Sie damit die Sorgfalt der Geschäftsführung bei der Abwehr von IT-Bedrohungen nach. Nicht wenige Juristen halten den Abschluss einer Cyber-Versicherung durch die Geschäftsführung für verpflichtend.
  • Das persönliche Element der Vorsorge ist eine D&O-Versicherung: diese deckt als Absicherung für den GmbH-Geschäftsführer dessen Geschäftsführerhaftung.

Bei diesen Schritten können wir von acant Sie und Ihr Unternehmen unterstützen. Genau dafür sind wir als Spezialmakler für Cyberrisiken und Geschäftsführerhaftung da. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Vorbereitet auf mögliche Cyber-Angriffe? Drei Grundregeln für kleinere Unternehmen

von

Schon mit ein paar Grundregeln sind auch kleinere Unternehmen im Fall eines Cyber-Angriffs viel besser vorbereitet. Für Cyber-Risiken gilt nichts anderes als für das Feuer-Risiko: Es kann jeden treffen, aber nicht überall entstehen die gleichen Schäden, denn das hängt von der Vorbereitung ab. Wenige, einfache Schritte können viel ausmachen.

(Wohlgemerkt: Es geht hier nicht um Technik – Firewalls, Intrusion Detection und ähnliches mehr. Sondern um das Vorbereitet-sein des Unternehmens, als Organisation.)

Was im Brandfall gilt …

Wie viel Schaden droht, wenn in einem Betrieb Feuer ausbricht? Dafür ist entscheidend, ob der Betrieb vorbereitet ist. Funktionieren die Feuerlöscher, wurden keine Brandschutztüren zugestellt? Fühlt sich gleich der erste Mitarbeiter, der den Brand bemerkt, für den Anruf bei der Feuerwehr zuständig? Kennen alle die Fluchtwege, und wissen sie, wo die Notausknöpfe und Unterbrechungsschalter in Werkstätten und Produktionshallen sind? Solche kleinen Dinge können viel Schaden verhindern.

… ist im Cyber-Angriffsfall nicht anders

Im Fall einer Cyber-Attacke auf die Unternehmens-IT gilt das Gleiche: Ein paar Verhaltensregeln können bereits einen guten Teil des Schaden eindämmen.

  • Grundregel für alle: reagieren – nicht warten. Die Mitarbeiter müssen aktiv werden, wenn es Anzeichen für einen Cyberangriff gibt. Der komische Dateianhang führt beim Bürorechner zu eigenartigem Verhalten? Ausschalten, vom Netz trennen, umgehend Bescheid sagen!
    DIe Mitarbeiter sollten geistig auf die Möglichkeit von Cyberangriffen vorbereitet sein. Das Bewusstsein für die digitale Gefahr muss Teil der Unternehmenskultur werden.
  • Klären, wer für IT-Notfälle zuständig ist. In größeren Unternehmen ist klar, wen man bei einem möglichen Trojaner-Befall anruft. Dort gibt es eine IT-Abteilung mit – hoffentlich – fertigen Notfallplänen. In kleineren Unternehmen gibt es vielleicht keinen eigenen Administrator. Gibt es einen externen Dienstleister für IT-Notfälle, und wissen alle, wie man ihn erreicht?
  • Eine funktionierende Datensicherung einrichten. Von einem Moment zum anderen alle- Personal-, Kunden-, Buchhaltungs-, Produktionsdaten etc. weg? Dann stehen auch kleinere Unternehmen vor dem Nichts, ohne Zugriff auf ihre geschäftlichen Informationen. Für eine niedrige vierstellige Summe bekommt man ein solides Backup-System für ein kleineres Unternehmen eingerichtet. Daran zu sparen ist wie auf Feuerlöscher zu verzichten. Mehr im Beitrag „Wie kann Datensicherung vor Ransomware schützen?

Natürlich ersetzen diese Regeln nicht eine professionell gemanagte und installierte IT-Security. Aber sie ergänzen sie um einen wichtigen Aspekt.

Vorbereitet sein – und versichern!

Brandschutzmaßnahmen und eine Feuerversicherung schließen sich nicht aus. Im Gegenteil. Das Gleiche gilt für die Bedrohung durch Cyber-Risiken, denn eine Cyber-Versicherung gehört zum Vorbereitet sein dazu.

Der Unterschied ist eher, dass die Wahrscheinlichkeit für einen Cyber-Angriff deutlich höher liegt als das Risiko einer Brandkatastrophe.

Haben Sie Fragen oder Anmerkungen? Rufen Sie uns an: +49 (0)30 863 926 990

Versicherungssumme - Daumenregel, Symbolbild: Luisella Planeta Leoni via Pixabay

Versicherungssumme bestimmen: Daumenregel für Unternehmen

von

Sinnvolle Versicherungssumme: In welcher Höhe sollen wir das versichern?

Bei Sachversicherungen wie einer Maschinenversicherung oder Gebäudeversicherung lässt sich die sinnvolle Höhe der Versicherungssumme relativ leicht bestimmen. Der wichtigste Parameter sind die Gestehungskosten, also die Anschaffungs- bzw. Baukosten bzw. der Wiederbeschaffungswert

Schwieriger wird es bei Versicherungen wie der Cyberversicherung, einer Haftpflicht- oder Vertrauensschadenversicherung. Sie sichern abstraktere Risiken ab. Natürlich kann man prinzipiell auch hier durch ausgefeilte Kostenrechnung die optimale Versicherungssumme bestimmen. Aber dafür benötigt man dann sehr detaillierte Zahlen. Entscheidende Faktoren sind unter anderem die Bonität, der Umsatz, die geschäftliche Prognose oder auch der Wert der Marke.

Versicherungshöhe: Die bewährte Daumenregel

Trotzdem sollte es nicht nur vom Bauchgefühl abhängen, in welcher Höhe Cyberschäden, Pflichtverletzungen eigener Mitarbeiter oder andere Risiken dieser Art versichert werden. Zum Glück gibt es eine Daumenregel in Form von zwei Leitfragen, mit denen man sich einem sinnvollen Versicherungswert recht gut annähern kann:

„Angenommen, ein solcher Schaden tritt ein – plötzlich, unvorhergesehen und unversichert.

  • Bis zu welcher Höhe würde Ihr Unternehmen den Schaden dann aus eigenen Mitteln begleichen wollen bzw. können?“
  • Ab welcher Höhe droht Ihrem Unternehmen dadurch die Insolvenz?

Auf diese Fragen finden Geschäftsleute in der Regel recht schnell eine konkrete Ziffer als „Hausnummer“. Damit weiß man dann, in welchem Rahmen sich die Deckung ungefähr bewegen sollte.

Schadenshöhe, Schadenswahrscheinlichkeit und Risikobereitschaft

Natürlich ist das Ganze nur ein Teil der Versicherungsentscheidung. Für eine sinnvolle betriebliche Versicherung muss zudem klar sein, wie wahrscheinlich ein Schadensereignis ist. Außerdem geht es auch um die grundsätzliche Strategie des Unternehmens: Wie viel Risiko möchte man akzeptieren?

Es ist nicht unsere Aufgabe als Versicherungsmakler Versicherungskunden zu einem bestimmten Kurs zu erziehen. Risiko ist immer Teil des Geschäfts, wie viel man in Kauf nehmen möchte, bestimmt die Unternehmensführung. Unser Job ist es, die Versicherungsprodukte zu finden, die individuell am besten zum Kunden passen:

  • die individuelle Risikokultur seines Unternehmens
  • sein konkretes Risikoprofil (welche Bedrohungen sind überhaupt relevant?),
  • die Schadenshöhe, ab der eine Deckung gewünscht oder benötigt wird.

Haben Sie Fragen?

Wir nehmen uns Zeit für Sie: Telefon 030 863 926 990 oder per Kontaktformular.

IT-Sicherheit und die Vertrauensschaden-Versicherung

von

Vertrauensschäden versichern: Schutz vor krummen Touren von innen

Eine Vertrauensschadenversicherung deckt den Vertrauensbruch von innen ab. Genauer: Das Unternehmen versichert sich gegen Schäden aus unerlaubten Handlungen von Unternehmensangehörigen und anderen Vertrauensträgern und Vertretern.

Einige typische Beispiele:

  • Ein Mitarbeiter späht die Zugangsdaten der Personalbuchhalterin aus und nutzt sie, um die Erstattung für seine Spesenabrechnungen zu manipulieren.
  • Eine scheinbare Flirt-Bekanntschaft wird auf den Prokuristen angesetzt. Sie bringt ihn dazu, entgegen den Sicherheitsvorschriften Dateien von ihr auf seinem Firmen-Tablet zu öffnen. Kriminelle erhalten so Zugriff auf die Firmendaten.
  • Als Reaktion auf seine Kündigung löscht ein IT-Administrator sämtliche Daten auf den Servern der Entwicklungsabteilung einschließlich der Backups. Die notwendigen Zugriffsrechte besitzt er.
  • Ein Außendienstmitarbeiter auf Dienstreise lässt sich abends im Strip-Club den Firmen-Laptop mit sensiblen, wichtigen Daten stehlen.

Eine Vertrauensschadenversicherung schützt auch gegen IT-basierten Missbrauch

Eine Vertrauensschadenversicherung deckt digitale wie analoge Unterschlagungen, Sachbeschädigungen, Sabotagehandlungen und andere unerlaubte Handlungen von Unternehmensangehörigen und -vertretern ab, die das Unternehmen finanziell schädigen.

Da Unternehmen im Regelfall für Pflichtverletzungen ihrer Arbeitnehmer gegenüber Dritten haften, sind mit den Vertrauensschäden auch Schadenersatzforderungen von Außenstehenden gedeckt: beispielsweise die Ansprüche von Kunden, deren Daten von einem Mitarbeiter entwendet und anschließend missbraucht wurden.

Die Beispiele oben waren etwas tendenziös. Bei allen ging es um digitale Daten oder Hardware. Aber dieser Punkt ist wichtig: Vertrauensschadenversicherungen helfen bei Schäden, die zwar mit der Unternehmens-IT zu tun haben, in der es aber keinen unerlaubten Eingriff in die IT gab.

Der Mitarbeiter, der seinen eigenen Zugriff zum Firmennetz nutzt, um das Unternehmen zu schädigen, der sich sein Passwort stehlen lässt oder weitergibt, außerdem Fälle von CEO Fraud, all das wird eine Cyber-Versicherung nicht unbedingt decken. Es fällt in der Regel aber unter die Vertrauensschadenversicherung.

Vertrauensschadenversicherung: Schutz vor Wirtschaftskriminalität

Eine betriebliche Vertrauensschadenversicherung schützt vor vielen Fällen von Wirtschaftskriminalität. Und zwar auch dann, wenn bei der unerlaubten Handlung keine Hackerangriffe oder sabotiert wurden und auch keine IT-Fehlfunktion für Pannen sorgte.

Damit ist die Vertrauensschaden-Police eine wichtige Ergänzung zur Cyber-Versicherung. Allerdings muss man dabei genau hinschauen:

  • darauf, welchen Risiken das Unternehmen tatsächlich ausgesetzt ist,
  • auf das Kleingedruckte in den Versicherungsverträgen
  • auf die effektiven Kosten für den gesamten Versicherungsschutz bzw. darauf, wie sich beide Versicherungstypen in konkreten Fall kostensparend kombinieren lassen

Als Spezialmakler für IT-Risiken können wir von acant Ihr Unternehmen dabei zielgerichtet und kompetent beraten. Ein Anruf genügt: 030 863 926 990

Betriebsschließungsversicherung, Symbolbild leeres Hotel von Valentin J-W from Pixabay

Urteil zur Betriebsschließung: Der Versicherer muss zahlen

von

Ein neues Urteil zum Versicherungsrecht stärkt Versicherungskunden den Rücken und bekräftigt ihre Ansprüche – das finden wir von acant sehr gut!

Versicherungsnehmer-freundliches Urteil zur Betriebsschließungsversicherung

Die Betriebsschließungsversicherung haben wir erst vor kurzem erwähnt: in Zeiten, in denen viele Betriebe aufgrund der Pandemie geschlossen bleiben, ist sie ein wichtiges Thema.

Ein aktuelles Thema ist sie allerdings auch im Versicherungsrecht. Zum Beispiel diskutieren die Juristen darüber, ob der Versicherer auch dann zahlen muss, wenn ein Betrieb durch allgemein verfügte Maßnahmen zur Virus-Bekämpfung praktisch lahmgelegt wurde, auch wenn er theoretisch noch hätte öffnen können.

Nun hat das Landgericht Mannheim den Versicherungsnehmern den Rücken gestärkt. Wir als Versicherungsmakler begrüßen diese Entscheidung pro Versicherungskunde sehr, auch wenn die Rechtslage damit noch nicht endgültig geklärt ist.

Keine touristischen Übernachtungen, Hotel zu – trotzdem kein Versicherungsfall „Betriebsschließung“?

Ein Hotelbesitzer betreibt zwei Hotels in Berlin und ein Hotel in Hamburg, jeweils mit Restaurant. Aufgrund des Epidemie-Maßnahmen schließt er alle drei Häuser: Touristen darf er ab ca. Mitte März nicht mehr übernachten lassen. Geschäftsreisende übernachten schon vor der Pandemie kaum bei ihm. Und seine Hotelgastronomie eignet sich nicht für reinen Verkauf „to go“.

Der Hotelbetreiber meldet sich bei seinem Versicherer – doch der will nicht zahlen. Er findet gleich mehrere Begründungen für die Weigerung:

  • Es hätte keine Schließung für genau diese Hotels vorgelegen, nur eine Allgemeinverfügung für alle Hotels.
  • Außerdem hätten die Häuser ja offen bleiben können, nur eben nicht für Touristen.
  • Und schließlich habe der Versicherungsvertrag Fälle von Covid-19/SARS-CoV-2 gar nicht umfasst. Der Virus sei bei Vertragsabschluss noch nicht im Infektionsschutzgesetz aufgeführt gewesen.

Doch diese Ablehnungsgründe überzeugten die Richter keineswegs. Sie befanden, dass die gegebenen Einschränkungen faktisch wie eine Betriebsschließung zu sehen seien. Deshalb bestehe Anspruch auf die Versicherungsleistung.

Versicherungsbedingungen gelten so, wie ein Versicherungskunde sie normalerweise versteht

Das Urteil bedeutet keineswegs, dass alle Rechtsfragen zur Betriebsschließungsversicherung nun abschließend geklärt sind. Aber für Versicherungskunden ist es ein klares, positives Signal. Die Kammer hat erneut einen wichtigen Grundsatz der Rechtsprechung im Versicherungsrecht bekräftigt:

„Maßstab der Auslegung ist, wie ein durchschnittlicher Versicherungsnehmer ohne versicherungsrechtliche Spezialkenntnisse die jeweilige Klausel bei verständiger Würdigung,
aufmerksamer Durchsicht und Berücksichtigung des erkennbaren Zusammenhangs verstehen muss.“

LG Mannheim, 29.04.2020 – 11 O 66/20

Einfacher ausgedrückt: Versicherungsklauseln gelten so, wie ein normaler Mensch sie versteht. Und deshalb war in diesem Fall die durch Maßnahmen gegen das Corona-Virus verursachte Schließung mitversichert.

Neues Urteil zum Versicherungsrecht? Wir von acant verfolgen die Rechtsprechung genau

Wir von acant haben genau im Blick, was sich im Versicherungsrecht tut. Schließlich sind solche Entscheidungen für uns als Versicherungsmakler wichtig.

  • Zum einen haben wir damit ein wichtiges Argument in der Hand, wenn wir irgendwann für einen unserer Kunden mit einer Versicherungsgesellschaft über die Versicherungsleistung sprechen.
  • Zum zweiten achten wir darauf, welche Versicherungsgesellschaft sich wie verhält, wenn es um Schadensregulierung geht. Auch wenn alle Versicherer gewinnorientierte Unternehmen sind: es gibt durchaus Unterschiede in Stil und Verhalten. Und die fließen in unsere Beratung mit ein.

Wir von acant kümmern uns im Versicherungsfall um die Regelung des Schadens und verhandeln mit den Versicherern. Dabei stehen klar auf Seite unserer Kunden. Und wir kennen uns im Versicherungsrecht sehr genau aus.

Haben Sie Fragen? Sprechen Sie uns einfach an.