Reputationsschaden: Eine Firma, ein Virus, 300 Mio. E-Mails

Viren-Mail, gefälschter Absender, Chaos perfekt

„Etwas Vergleichbares haben wir noch nicht erlebt. Die immensen Reaktionen haben dazu geführt, dass wir alles, alles vom Netz nehmen mussten.“

Das sagte der Geschäftsführer einer kleinen Siegener Betriebs aus der Metallbranche dem WDR, nachdem ein Mitarbeiter scheinbar innerhalb kurzer Zeit scheinbar 300 Mio. virenverseuchte Word-Dateien per E-Mail in alle Welt verschickt hatte. Dabei war das Unternehme völlig schuldlos. Der Absender war gefälscht und sollte nur die Adressaten nur zum Öffnen des Dokument verleiten.

Mit Erfolg. Bei einer Empfänger-Firma wurde sogar das Firmennetzwerk samt der Maschinensteuerungen lahmgelegt. Das Siegener Unternehmen bekam, obwohl schuldlos, die Folgen heftig zu spüren, Geschädigte aus aller Welt machten ihrem Unmut per E-Mail, telefonisch oder auch persönlich Luft. Selbst die Betriebsferien zu Weihnachten verzögerten sich aufgrund des Wirbels.

Der Reputationsschaden ist versicherbar

Den größten Schaden in solchen Fällen stellt aber meistens der Imageverlust dar: Der Reputationsschaden kann – trotz erwiesener Unschuld – erheblich sein.

Die einzige gute Nachricht im Zusammenhang mit derartigen Meldungen: Solche Schäden sind versicherbar, eine Cyber-Police deckt neben den anderen Folgeschäden auch den Reputationsschaden ab.

Die unschöne Geschichte zeigt, dass die Gefahr durch Makroviren in Office-Dokumenten (Excel, Word, PowerPoint) keine Nostalgie, sondern wieder hochaktuell ist. Ein Grund mehr, die Mitarbeiter wieder einmal auf gesundes Misstrauen gegenüber E-Mail-Anhängen einzuschwören, selbst aus scheinbar bekannter Quelle. Und vor allem auch ein Grund, konkret über eine Cyber-Versicherung nachzudenken, die in einem solchen Fall hilft, die finanziellen Schäden aufzufangen.

Falls Sie Fragen haben: Rufen Sie uns einfach an – 030 863 926 990.

Safe Harbor und die praktischen Folgen

Bye bye, Safe Harbor im Datenschutz

Der EuGH hat bekanntlich im Oktober das Safe-Harbor-Abkommen zwischen den USA und der EU gekippt, das die Übermittlung personenbezogener Daten an Rechenzentren in den USA erlaubte, wenn diese besonders zertifiziert sind. Das war einmal – wer weiterhin auf Basis dieses Abkommens Daten übermittelt, verstößt gegen Datenschutzrecht. Bis Januar 2016 werden solche Datenschutzverstöße zwar erst einmal nicht geahndet, bis dahin wollen die Politiker schauen, ob sie die Situation gelöst bekommen. Aber verlassen sollten Unternehmen sich darauf nicht. Wer  einen Cloud-Service oder E-Mail-Dienstleister mit Sitz bzw. Rechenzentrum in den USA nutzt und an diesen Kundendaten, Adressatenverzeichnisse oder Arbeitnehmerdaten übermittelt, muss damit auf die sogenannten „EU-Standardvertragsklauseln für Auftragsdatenverarbeitung“ umstellen.  Aber auch deren Geltung steht zumindest mittelfristig in Frage. Und überhaupt: Der Großteil der Unternehmen hat dem Themen bisher wenig Beachtung geschenkt und wird daran wohl nichts ändern. Zumal praktikable Lösungen Mangelware sind.

Datenschutzmanagement ist keine Nebensache mehr

„Das Urteil mag eine große Bedeutung für viele Unternehmen haben. Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.“

Das teilte der Berliner Rechtsanwalt Thomas Schwenke den Lesern seines Blogs nach der Safe-Harbor-Entscheidung mit – und hat damit vollkommen recht. Weiter schreibt er:

„Die Datenschutzanforderungen werden Sie ohnehin kaum alle perfekt erfüllen können. Das heißt jedoch nicht, dass Sie es gleich lassen sollten. Ganz im Gegenteil, sollten Sie rechtlich so viel wie möglich richtig machen.“

Ich füge hinzu: Und außerdem brauchen Sie Versicherungsschutz! Das ist gerade jetzt wichtig, weil absolute Compliance in Bezug auf Datenschutzrecht schwierig bis unmöglich ist.

Natürlich kann eine Versicherung nicht den verantwortlichen Umgang mit dem Thema Datenschutz ersetzen. Aber Betriebshaftpflicht, D&O (Managerhaftpflicht) und Cyberversicherung sind die geeigneten Instrumente, um das Unternehmen vor finanziellen Verlusten durch Datenschutzverletzungen zu bewahren. Jedes sinnvolle Risikomanagement schließt in diesem Bereich Versicherungslösungen mit ein.

Das liegt nicht nur am Rechtsrisiko. Mitarbeitern, Kunden und Geschäftspartner erwarten, dass Datenschutz ernst genommen wird. Wer sich darauf nicht einstellt, riskiert nicht nur hohe Folgekosten (und Schadenersatzforderungen), sondern auch einen empfindlichen Reputationsverlust.

Praktische Folgen für Unternehmen

Und was bedeutet das jetzt ganz praktisch? Unternehmen sollten sich darüber klar werden, an wen sie personenbezogene Daten weitergeben, auf welcher vertraglichen Grundlage das geschieht und wer dafür haftet. (Im Zweifel ist das immer erst einmal der eigene Vorstand oder die Geschäftsführung).  Um das Thema müssen sich Betriebe auch dann kümmern, wenn sie keinen Datenschutzbeauftragten haben müssen.

  • Wenn möglich und sinnvoll, sollte man zu Geschäftspartnern wechseln, die die Daten in der EU speichern und verarbeiten.
  • Der Standort der Rechenzentren muss  bei jedem Dienstleister oder Geschäftspartner bekannt sein, an den personenbezogene Daten weitergegeben werden.
  • Wenn es noch keine Datenschutzerklärung gibt, sollte man sie erstellen.
  • Wenn Auftragsdatenverarbeitung ohne Vertrag vorliegt, sollte das unbedingt geändert werden.
  • Wenn Daten in die USA übermittelt werden, müssen die Verträge auf Safe-Harbor-Klauseln überprüft werden. Wenn man fündig wird, besteht Handlungsbedarf. Dazu sollte man sich, wenn nötig, beraten lassen.
  • Weil das Datenschutzrecht sehr im Fluss ist, müssen Unternehmen die Folgen möglicher Datenschutzverstöße versichern. Dazu gehört auch, das Management gegen persönliche Inanspruchnahme aufgrund von Versäumnissen abzusichern: Die Vermeidung von Datenschutzverstößen ist Verantwortung der Geschäftsführung.

Fragen Sie uns jederzeit

Mit dem Versichern von IT-Risiken, Rechtsrisiken und persönlichen Haftungsrisiken kennen wir genau aus.  Und wir haben für alle Ihre Fragen ein offenes Ohr: 030 863 926 990 oder info@acant.de.

 

Online-Dienst verkauft – Datenschutz-Debakel

Datenschutz-Bußgeld für Käufer und Verkäufer

Ein Online-Shop wird verkauft, zusammen mit der Kundendatei – schließlich ist der Kundenstamm einer der größten „Assets“ bei so einem Asset Deal. Und dann verhängt plötzlich der Landesdatenschutzbeauftrage ein Bußgeld in fünfstelliger Höhe – sowohl für den Käufer wie den Verkäufer. Der Stuttgarter Rechtsanwalt Clemens Pfitzer, der über diesen Fall berichtet, resümmiert: „Die bayerischen Datenschützer scheinen ernst zu machen.

Grund für das Bußgeld: Bei dem Geschäft wurden E-Mail-Adressen und andere persönliche Kundendaten ohne Einwilligung und ohne Widerspruchsmöglichkeit verkauft. Namen und Postadressen von Kunden können bei einer Betriebsübernahme relativ problemlos mit verkauft werden. Für E-Mail-Adressen,Telefonnummern, Kreditkarten- und Kontodaten sowie die Bestellhistorien der Kunden benötigt man jedoch eine – nachweisbare – Einwilligung (Opt-in). Zumindest aber müssen die Kunden von der Übertragung erfahren und ihr widersprechen können (Opt-out).

Auch dagegen kann man sich versichern!

Als Versicherungsmakler zählt für uns natürlich auch immer die Frage: Hätte man sich dagegen versichern können?

Klare Antwort: Ja! Eine so genannte W&I-Versicherung (Warranty and Indemnity Insurance) bezahlt, wenn ein Unternehmen ein Garantieversprechen im Rahmen einer Übernahme nicht einhalten kann.

Fragen zu Ihrer Absicherung?

Datenschutzvorschriften können schnell sehr teuer werden – nicht nur beim Asset Deal, auch im laufenden Geschäft oder aufgrund persönlicher Haftung. Haben Sie Fragen dazu, wie Sie sich und Ihr Unternehmen absichern können? Rufen Sie mich doch einfach an: 030 863 926 990.

Datenschutz: Windows 10 in zehn Minuten fesseln und knebeln

Windows 10 - Datenschutz - Anleitung der Verbraucherzentrale Nordrhein-Westfalen (Screenshot)
Zehn Minuten für ein datensparsames Windows 10

Anders als bei Vista oder Windows 8 (schreckliche Erinnerung …) kann man nach dem Upgrade auf Windows 10 in vielen Fällen tatsächlich direkt weiterarbeiten, ohne große Brüche.

Aber auch hier gibt es Fallen. Ab Werk lautet offenbar das Datenschutzprinzip bei Windows 10: Weitergeben – wann immer, wo immer und an wen immer.

Zum Glück lässt sich die Datenschleuder auch auf deutlich weniger Umdrehungen schalten. Wie das geht, zeigt die Verbraucherzentrale Nordrhein-Westfalen in einer schnellen Anleitung: Datenschutzeinstellungen für Windows 10.

Durchschnittskosten einer Datenschutzverletzung

Was Datenklau aktuell so kostet …

Schon seit zehn Jahren erstellt das Ponemon Institute Studien über die konkreten Kosten von Datenschutzverletzung. Die Statistiken gibt es sowohl global als auch für Einzelstaaten. Die Ausgabe „2015 Cost of Data Breach Study: Germany“ (auf Englisch, bei IBM als PDF) nennt konkrete Zahlen für Deutschland (bezogen auf Datenschutzverletzungen im Jahr 2014).

Was eine Datenschutzverletzung an Kosten verursacht

Die wichtigsten Werte:

  • Rund 3,2 Mio. € (3,52 Mio. $) beträgt der Gesamtschaden der Unternehmen durch Datenschutzverletzungen.
  • 139 € (152 $) steuert dazu jeder einzelne verlorene oder kompromittierte persönliche Datensatz (Daten zu einer Person) im Durchschnitt bei. Das ist eine Steigerung von mehr als acht Prozent gegenüber dem Vorjahr. Mehr als die Hälfte sind indirekte Folgekosten, etwa Umsatzeinbußen durch verlorene Kunden.
  • Die Kosten der gesetzlich vorgeschriebene) Information Betroffener liegen pro Fall bei durchschnittlich 219.000 € (240.000 $).
  • Besonders hohe Kosten durch Datenschutzverletzungen liefen im Finanzsektor, der Industrie und der Dienstleistungsbranche an, auch weil hier die Kunden am schnellsten vergrault werden. Einzelhandel, Logistik und öffentliche Hand hatten Schäden unter dem globalen Durchschnittswert.
  • Mehr als die Hälfte der Datenschutzverletzungen beruhten auf absichtlichen Angriffen mit kriminellem Hintergrund – diese Zwischenfälle sind auch teurer als Datenverluste durch technische oder menschliche Fehler.
  • Kommen Sicherheitsmaßnahmen wie Verschlüsselung zum Einsatz, liegen die Kosten im Durchschnitt niedriger.

Das Kostenrisiko ist real. Versichern ist gute Unternehmensführung

Fazit: Versichern macht Sinn.  Das Kostenrisiko ist real, durch eine Versicherung lässt es sich kontrolliert in die Bücher nehmen – und aus dem unversteuerten Gewinn bezahlen. Die Alternative – nichts tun – ist nicht nur riskant, sondern auch schlechte Unternehmensführung.

Eine Cyber-Versicherung bringt schon etwas, bevor eine Datenschutzverletzung eintritt, weil sie zu einer Analyse des individuellen Unternehmensrisikos führt. Tritt der Ernstfall ein, steht Ihnen eine „schnelle Eingreiftruppe“ aus IT-Spezialisten, Anwälten und PR-Leuten zur Verfügung. Und natürlich fängt die Cyber-Versicherung sowohl Ihre Haftung gegenüber Betroffenen als auch Ihre Eigenschäden auf.

Für weitere Informationen genügt ein Anruf bei Acant  (030 863 926 990) oder eine Nachricht an uns.

Warum Ihr Unternehmen eine Cyber-Police braucht

Ganz einfach: Ihr Unternehmen braucht eine Cyber-Police, damit bei einem Cyber-Angriff oder IT-Zwischenfall …

  1. Ihre Datenbestände versichert sind.
    Kunden-, Buchhaltungs- und Produktdaten sind, anders als Maschinen und Inventar, nicht in den klassischen betrieblichen Versicherungen enthalten.
  2. … Ansprüche Dritter an Sie versichert sind
    Ansprüche, die Kunden im Fall verlorener Kundendaten gegen Sie stellen, sind im Regelfall ohne Cyber-Police nicht abgedeckt. Schadenersatzforderungen aufgrund von im Internet verletzter Urheber- und Persönlichkeitsrechte auch nicht.
  3. … sämtliche Folgeschäden versichert sind
    Betriebsunterbrechung als Teil der Deckung klassischern Unternehmensversicherungen. Aber ohne Zusatz- und Folgekosten wie entgangener Umsatz, Datenrettungskosten, Aufwand für Krisen-PR, anwaltliche Beratung, Information aller Betroffener, Reputationsverlust, Rechtsstreitigkeiten etc.
  4. … Spezialisten für den Ernstfall bereitstehen, die Ihrem Unternehmen schnell helfen.
    Weil auch den Versicherungsgesellschaften daran gelegen ist, den Schaden gering zu halten, vermittelt man Ihnen im Schadensfall schnell Hilfe, z. B.  IT-Sicherheits- und Datenrettungsexperten, Anwälte und PR-Berater.

Übrigens: Der Zusatzgewinn an Unternehmens- und Planungssicherheit durch eine Cyber-Police kostet Ihr Unternehmen im Normalfall kaum ein Zehntel vom Jahresumsatz. Natürlich sind die konkreten Kosten abhängig vom Einzelfall. Aber selbst kleine Unternehmen mit weniger als einer Mio. Euro Jahresumsatz zahlen für die Cyber-Police nur sehr selten mehr als ein halbes Prozent davon.

Fragen?

Gerne – bitte an fs@acant-makler.de oder 030 863 926 990 oder per Kontaktformular

Cyber-Risk-Versicherungen: Wichtiger Risikoschutz – aber auch Kostenfalle

Die Bedrohung aus dem Internet ist für Unternehmen längst sehr real, auch für KMU. Es ist dringend geboten, diese Risiken zu versichern, entsprechend wächst der Markt an einschlägigen Versicherungsprodukten rasant. Doch beim Abschluss von Cyber-Risk-Versicherungen gilt es, genau hinzuschauen.

Was Cyber-Risk-Versicherungen leisten

„Klassische“ Firmenpolicen erfassen zwar im Regelfall u. a. Sachschäden, Haftpflichtrisiken und Vermögensschäden. Oft genug sind die „neuen“ Risiken durch Computer- und Internetkriminalität gegen Unternehmen damit aber nicht gedeckt.

Typische Beispiele: Durch einen Angriff auf das eigene Unternehmen werden auch der Datenbestand eines Geschäftspartners und damit dessen Kundendaten kompromittiert. Deshalb haben diese Kunden als Dritte einen Entschädigungsanspruch, der jedoch nicht unbedingt in einer klassischen Unternehmenspolice enthalten ist. Auch die eigenen Folgeschäden sind oft nicht abgedeckt: Die Produktion liegt zwei Wochen lahm, weil relevante Auftragsdaten bei einem Einbruch zerstört wurden? Das neue Modell kommt nicht mehr exklusiv auf den Markt, weil die Innovationen schon gestohlen und kopiert wurden? Auf solchen Kosten bleibt ein Unternehmen leicht sitzen – wenn diese Cyber-Risiken nicht versichert wurden.

Ein zusätzliches Element von Cyber-Versicherungen sind flankierende Maßnahmen zur Betreuung im Schadensfall, beispielsweise Rechtsberatung zu den Informationspflichten gegenüber Geschädigten bei Datenlecks oder eine Hotline mit IT-Expertenrat zur Schadensbegrenzung und Spurensicherung.

Der Markt an Cyber-Risk-Versicherungen wächst

Mit schöner Regelmäßigkeit berichten die Medien über spektakuläre Cybercrime-Fälle. Sony und Vodafone waren nur zwei besonders prominente Opfer von vielen. Allein in diesem Jahr gab es außerdem zwei Datenklau-Skandale, die 16 bzw. 18 Millionen Datensätze betrafen. Dazu kommt das Dauerthema NSA-Spionage oder Warnungen des Verfassungsschutzes vor Cyberangriffen aus China.

In der Folge hat sich in den Unternehmen (und auch bei den Verbrauchern und Kunden) ein Bewusstsein für die Bedrohung entwickelt. Jetzt soll dafür echtes Risikomanagement her. Für die Versicherungsunternehmen, die auf manchen Geschäftsfeldern ja ziemlich zu kämpfen haben, ist das natürlich eine gute Nachricht: Sie drängen mit neuen Produkten auf den Markt und können bei der Akquise die unbestreitbaren Gefahren als Argument nutzen.

Kaum ein Bereich an Versicherungen wächst so rasant wie Cyber-Risk-Versicherungen – gerade startete die Württembergische mit einer eigenen Cyber-Police, die auf kleine und mittelständische Unternehmen ausgelegt ist, in den nächsten Monaten werden voraussichtlich diverse weitere Assekuranzen ihre Produkte lancieren. Als ich im September letzten Jahres über branchenübergreifende Cyber-Risk-Policen für KMU berichtete, war das Angebot noch auf wenige Alternativen begrenzt.

Aber: Der unüberlegte Abschluss von Versicherungen birgt ebenfalls Risiken

Ein Unternehmen, das eine nennenswerte IT-Abteilung unterhält (so gut wie jedes also), sollte sich absichern. Das sollte  allerdings nicht unüberlegt geschehen. Nicht nur  eine fehlende, auch eine falsche Versicherung kann teuer werden.

  • Wer nicht aufpasst, erhält eine nutzlose, teure Mehrfachversicherung. Wenn die Vermögensschadenhaftpflicht bereits in der bestehenden Haftpflichtpolice enthalten ist und nun noch ein zweites Mal im hastig abgeschlossenen Cyber-Risk-Vertrag steht, dann zahlt man auch doppelt – für eine Deckung, das man nur einmal braucht. Und wenn ein IT-Unternehmen durch Fachanwälte bereits bestens betreut ist, benötigt es keine zusätzliche Rechtsberatung im Schadensfall.
  • Ein zweiter Aspekt ist die mögliche Schadenshöhe. Der Wert der Hardware in einem Rechenzentrum lässt sich recht exakt beziffern und damit im Risikomanagement auch ziemlich genau abbilden. Beim möglichen Folgeschaden eines Datendiebstahls ist das sehr viel schwieriger. Wie beziffert man den Vertrauensschaden im Markt? Welche Forderungshöhe entsteht, wenn bei den Kunden von Kunden Schäden entstehen können? Bei einem Vertrag „von der Stange“ sind Schadenshöhen pauschaliert. Dann bezahlt man leicht zu viel, oder die Deckungsumme ist zu gering. Wie hoch die Risiken sind, muss detailliert und für den Einzelfall kalkuliert werden.

Es muss genau geprüft werden, ob Ihr tatsächlich bestehendes, individuelles Unternehmensrisiko am günstigsten durch eine Deckungserweiterung der bestehenden Versicherungsverträge aufgefangen wird. Ist eine zusätzliche Cyber-Versicherung sinnvoll, müssen die vorhandenen Policen oft reduziert werden, um kein Geld zu verschwenden.

Hier komme ich ins Spiel

Als Unternehmen ab einer bestimmten Größe  – spätestens ab einem Jahresumsatz im zweistelligen Millionenbereich – benötigen Sie  eine auf Sie zugeschnittene, sorgfältig ausgewählte und individuell ausverhandelte Police. Und Sie benötigen eine auf Ihr Interesse ausgerichteten Beratung.

Dafür zu sorgen, ist genau meine Dienstleistung als Versicherungsmakler.

Sie haben eine Frage zu Cyber-Risiken oder suchen kompetente Beratung?

Sie erreichen mich über das Kontaktformular, per Telefon unter +49 030 863 926 990 oder per E-Mail an fs@acant-makler.de.

Wenn Mitarbeiter Unternehmens-Laptops privat nutzen, besteht Regelungsbedarf

Klare Trennung von Arbeit und Privatleben, von Wohnung und Büro – das war einmal. Heute wachsen beide Welten zusammen, und das hat Folgen. Vor einiger Zeit haben wir uns mit den Risiken befasst, die dann entstehen, wenn die Arbeitnehmer ihre eigenen Geräte für die Arbeit nutzen  („BYOD – Bring Deinen Rechner mit, die Firma haftet?”). Aber auch das Umgekehrte ist Alltag: Die Firma stellt Laptop, Tablet oder Smartphone, die Mitarbeiter nutzen diese auch privat. Und auch hier gibt es ein paar Aspekte, die  Geschäftsführer und Arbeitgeber kennen sollten.

Die private Nutzung ist nicht steuerpflichtig

Im Prinzip ist es wie bei Firmenwagen: Der Arbeitgeber kann, wenn er das möchte,  die private Nutzung der zu dienstlichen Zwecken überlassenen Fahrzeuge ausdrücklich gestatten. Wobei Laptops in einer Beziehung im Vorteil sind: Anders als beim Firmenwagen stellt die unentgeltliche Überlassung in diesem Fall  keinen „geldwerten Vorteil“ dar, muss also nicht versteuert werden. Das steht inzwischen ausdrücklich im Gesetz (§ 3 Nr. 45 EStG). Voraussetzung ist allerdings, dass das Gerät Eigentum des Arbeitgebers bleibt und dem Mitarbeiter nicht etwa geschenkt oder günstig überlassen wird. Dann fallen durch den Firmen-Laptop übrigens auch keine Sozialversicherungsbeiträge an.

Wenn die private Nutzung gestattet wird, kann der Arbeitgeber darüber bestimmen, in welcher Art und in welchem Umfang der Laptop privat genutzt werden darf. Falls nichts vereinbart worden ist, dann ist der Arbeitnehmer gut beraten, sich Klarheit darüber zu verschaffen – und sich an diese Regeln anschließend auch zu halten. Andernfalls steht nämlich recht schnell eine Verletzung des Arbeitsvertrages im Raum. Das kann in eine Abmahnung münden oder im schlimmsten Fall eine Kündigung nach sich ziehen. Selbst Schadenersatzansprüche des Arbeitgebers sind nicht ausgeschlossen. Wer im Urlaub in Übersee ausgiebig mit dem Firmen-Webstick surft und damit eine saftige Rechnung produziert, kann vom Chef anschließend zur Kasse gebeten werden.

Arbeitsrechtliche Aspekte

Gibt es keine klare Vereinbarung über eine private Nutzung, dann darf der Arbeitnehmer den Laptop erst recht nicht während der Arbeitszeit für private Zwecke nutzen. Wer während der Arbeitszeit seine privaten Bankgeschäfte tätigt oder den nächsten Urlaub bucht, der verletzt nämlich seine Pflicht zur Arbeitsleistung. Umgekehrt kann die Privatnutzung quasi zum Gewohnheitsrecht werden: Wenn es im Unternehmen üblich ist, einen Laptop zwischendurch auch für private Zwecke einzusetzen, kann sich hieraus eine stillschweigende Einwilligung des Arbeitgebers im Sinne einer „betrieblichen Übung“ ergeben.

Doch auch dann bleiben noch zahlreiche Fragen offen: In welchem Umfang darf der Laptop genutzt werden, wie viel darf der Arbeitnehmer surfen, sind bestimmte Formen der Nutzung (pornographische Angebote z. B. ) untersagt usw.

Klare Vereinbarungen sind wichtig

Klarheit kann hier nur eine eindeutig formulierte, verbindliche Nutzungsrichtlinie schaffen – , gleichgültig, ob man das Kind nun „Internet-Policy“, „Guidelines“ oder „Zusatzvereinbarung“ nennt und  im Arbeitsvertrag oder per Betriebsvereinbarung festhält. Vergleichbare Regelungen sollen übrigens auch für Mobiltelefone oder Tablets getroffen werden.

Darin lässt sich unter anderem festhalten, ob die private Nutzung überhaupt gestattet ist und ob sie, wenn ja, etwa auf die Pausenzeiten und den Feierabend beschränkt bleibt. Der Arbeitgeber kann den Mitarbeitern untersagen, betriebsfremde Software auf dem Laptop zu installieren, bestimmte Daten (etwa Filme) herunterzuladen oder manche Dienste (P2P-Tauschbörsen) zu nutzen.

Explizite Vorschrift sollte sein, dass Firmendaten unter keinen Umständen zu anderen Zwecken oder auf externen Medien gespeichert werden. Sie sind und bleiben Firmeneigentum.

Doch selbst wenn der Arbeitnehmer  trotz eines ausdrücklichen Verbots private Daten gespeichert hat, rechtfertigt dies noch keine Kündigung. Das hat das Bundesarbeitsgericht in einem konkreten Fall entschieden ( BAG, Urt. v. 24.03.2011, 1 AZR 282/10):  Pikanterweise hatte ausgerechnet der Chef der IT-Abteilung eines Unternehmens private Daten auf dem Firmen-Laptop und Firmendaten auf einer privaten Festplatte gespeichert, beides war laut Arbeitsvertrag untersagt .

Erlaubte Privatnutzung kann zum Anspruch führen

Ob die sofortige Rückgabe des Laptops bei Freistellung des Arbeitnehmers verlangt werden kann, hängt wesentlich davon ab, ob das Gerät ausschließlich für dienstliche Zwecke überlassen worden ist. In diesem Fall kann der Arbeitgeber den Laptop mit der Freistellung zurückverlangen.  Ist dagegen eine private Nutzung erlaubt worden, handelt es sich bei diesem Privileg um einen Einkommensbestandteil, der selbst im Falle einer Freistellung nicht entzogen werden darf, genauso wenig wie das Gehalt als solches.

Allerdings kann wie bei der Überlassung eines Dienstwagens ein Widerrufsvorbehalt für den Arbeitgeber vereinbart werden. Dieses Vorrecht darf aber nicht zu allgemein formuliert sein: Kann das Widerrufsrecht laut Vereinbarung  jederzeit und unbegründet ausgeübt werden, wird diese Regelung vor einem Arbeitsgericht mit großer Wahrscheinlichkeit nicht bestehen. Besser ist es, den Widerruf explizit an bestimmte Gründe zu knüpfen wie etwa die Freistellung, aber auch Versetzungen in andere Tätigkeitsbereiche etc.

Datenschutz

Probleme können sich aber auch aus einem ganz anderen Grund ergeben – denn auch der Datenschutz muss beachtet werden. Der private E-Mail-Verkehr des Arbeitnehmers darf zum Beispiel nicht einfach durch Datensicherungsroutinen zusammen mit den Firmen-E-Mails gespeichert werden. Dann könnte selbst das Finanzamt  unter Umständen im Rahmen einer Betriebsprüfung auf den privaten Schriftwechsel des Mitarbeiters Zugriff haben, weil die Mails zusammen mit anderen betrieblichen Mails archiviert worden sind.  Damit hat das Unternehmen ein Problem, denn es gibt datenschutzrechtlich geschützte Informationen des Mitarbeiters heraus – und haftet dafür.

Versicherungsverträge anpassen!

Als Versicherungsfachmann betrachte ich natürlich auch dieses Thema aus der Perspektive des Risikomanagements. Die private Nutzung von Firmen-Laptops zu gestatten kann aus Sicht der Mitarbeitermotivation sehr sinnvoll sein. Damit verändern sich jedoch auch die Risiken des Unternehmens, die versichert werden müssen.

Das reicht von möglichen Ansprüchen aufgrund von Datenschutzverstößen – denken Sie an das Beispiel mit der Betriebsprüferin vom Finanzamt, die plötzlich Einsicht in private Mails erhält – über verlorengegangene Firmendaten bis hin zu arbeitsrechtlichen Auseinandersetzungen. Diese Risiken sollten möglichst genau und realistisch in Ihren Versicherungsverträgen abgebildet werden – so, dass keine akuten Risiken „offen” bleiben, aber auch so, dass nicht für die Deckung von Risiken bezahlt wird, die gar nicht von Belang sind.

Entscheidend ist, wie die tatsächliche Praxis im Unternehmen aussieht. Deshalb sind klare Vereinbarungen nicht nur juristisch von Vorteil, sie senken auch Ihr Unternehmensrisiko und damit Ihre Kosten.

Wollen Sie mehr wissen über die private Nutzung von Firmen-Laptops und die daraus resultierenden Versicherungsfragen? Ich gebe Ihnen gerne Antwort .

Datenschutz bringt echte Marktvorteile – und nicht nur Karma-Punkte

Versichern und vermeiden

Als Versicherungsmakler liegt es mir am Herzen, dass die Risiken, gegen die ich die von mir betreuten Unternehmen versichere, möglichst nie Realität werden.

Nicht, weil die Versicherung dann zahlen muss. (Als Versicherungsmakler bin ich kein Versicherungsvertreter, das kann man gar nicht oft genug wiederholen. Ich verkaufe nicht Produkte eines Versicherers, ich „verkaufe” vielmehr Know-how und Beratung, damit der Versicherungsnehmer markt- und risikogerechten Versicherungsschutz bekommt. Dabei stehe ich auf Seiten des Versicherungsnehmers. Dazu bin ich sogar gesetzlich verpflichtet.)

Sondern deshalb, weil kein Schaden immer besser ist als selbst ein anstandslos regulierter Schaden. (Das erspart dem versicherten Unternehmen Ärger und mir  Arbeit, schließlich kümmere ich mich auch um Schadensregulierung.)

Und deshalb liegt mir das Thema Datenschutz am Herzen.

 

Datenschutz: vom Nerd-Thema zum Risikofaktor

Zu den großen Risiken im IT-Umfeld gehört mittlerweile das des Datenlecks. Aus einem Dornröschenthema für Fachjuristen und engagierte Nerds ist in wenigen Monaten ein echtes Damoklesschwert geworden, das jetzt über allen baumelt, die die Zeichen der Zeit nicht erkannt haben.

Denn inzwischen legen auch die Verbraucher Wert auf Datenschutz. „Datenschutz darf Geld kosten” – so fasste der vzbz die Ergebnisse einer Umfrage unter Verbrauchern zusammen, die er bei TNS Emnid in Auftrag gegeben hatte. Mehr als ein Drittel der Befragten zeigt sich demnach bereit, größere Datensicherheit auch mit einem höheren Preis zu honorieren. Und für Unternehmen ist inzwischen auch klar, wie riskant es ist, wenn das eigene Risikomanagement im Blindflug erfolgt.

(Etwa bei der Cloud – wenn man persönliche Daten von Dritten an einen Dienst außerhalb der EU übergibt, noch dazu unverschlüsselt bzw. mit Schlüsseln, die auf dem Server dort liegen, und der Vertrag außerdem keine Grundlage für Regressansprüche an den Cloud-Anbieter hergibt,  falls doch etwas passiert, und auch keine Lösch- oder Auskunftsansprüche nach deutschem Recht – das ist dann z. B. Blindflug.)

Aber eigentlich wollte ich gar nicht  von den Risiken beim Datenschutz reden – sondern von den Chancen. Denn das ist ja das Gute: Beim Thema „Datenschutz” geht es nicht darum, nur den Teufel an die Wand malen – man kann auch auf real existierende Vorteile verweisen. Ein funktionierendes Datenschutzkonzept ist ein echter Marktvorteil geworden. Sowohl bei Unternehmenskunden wie auch bei Endverbrauchern.

Datenschutz-Risiko: Quasi ein Schnelltest

Wie groß der eigene Handlungsbedarf ist, lässt sich – zumindest vorab – schon mit ein paar einfachen Punkten herausfinden.  Wer das alles so spontan unterschreiben kann, ist schon mal recht gut aufgestellt:

  • Bei uns gibt es einen Datenschutzbeauftragten, und zwar nicht nur pro forma. (Oder: Wir brauchen wirklich keinen.)
  • Sowohl in den Verträgen mit unseren Kunden wie auch mit unseren Dienstleistern sind Datenschutzansprüche klar geregelt, auch der Haftungsfall.
  • Für alle personenbezogenen Daten, die wir speichern, haben wir entweder eine gesetzliche Befugnis oder eine nachweisbare Einwilligung der Betreffenden. Und wir können personenbezogene Daten komplett löschen und tun dies auch, wenn der Nutzer sich abmeldet, kündigt o. ä.  Und zwar auch von allen Backup-Systemen etc.
  • Unsere Security-Policies und Schutzmaßnahmen sind auf den Stand der Zeit. Und auch die Privat-Geräte der Mitarbeiter bilden keine Lücke im System.
  • Falls doch etwas passiert, und wir verantwortlich sind (und das sind wir selbst dann, wenn unser Provider/Dienstleister/Cloud-Dienst/Mitarbeiter … schuld ist), dann kommen zwar Schadenersatzforderungen auf uns zu, aber wir sind versichert. Wir haben das Thema Datenschutz schließlich rechtzeitig mit unserem Versicherungsmakler durchgesprochen.

Falls Sie Fragen oder Anmerkungen zum Thema „Datenschutz-Risiken und Versicherungen“ haben: Sprechen Sie mich an.

 

 

 

EU-Datenschutzgrund­verordnung: Was auf IT-Unternehmen zukommt

Datenschutz ist großes Thema – auch auf EU-Ebene. Doch abseits täglich wechselnder Aufregungen über abgehörte Handys und und Netzknotenpunkte gibt es beim Datenschutz auch Bewegungen, die den Geschäftsalltag der Unternehmen sehr konkret beeinflussen werden: Die neue EU-Datenschutzgrundverordnung nimmt Gestalt an.

Die geltende EU-Richtlinie zum Datenschutz stammt aus dem Jahr 1995. Damals tröpfelten die Daten oft noch mit 28.8 kBit/s durch das Modem in den Rechner. Und mit ähnlicher Geschwindigkeit schien sich auch die Nachfolgeverordnung über die verschlungenen Pfade der europäischen Gesetzgebung zu bewegen. Immerhin – sie hat das EU-Parlament erreicht und wurde dort in einer Kompromissfassung beschlossen .

Verabschiedet sehen will die zuständige Kommissarin, Viviane Reding, die neue Datenschutzverordnung bis April 2014 – das ist sehr ambitioniert. Aber im Mai 2014 sind EU-Wahlen. Und nachdem das Datenschutzthema nun dank Angela Merkels Smartphone endgültig die Schlagzeilen beherrscht, scheint vieles möglich. Es könnte sich also mittelfristig einiges ändern für IT-Unternehmen.

Der jetzige Text der Vereinbarung ist noch längst nicht der Stand, der dann irgendwann auch in Kraft tritt – vorher müssen EU-Kommission und die Regierungen der Mitgliedsstaaten zustimmen. Und allein bis jetzt gab es schon über 3.000 Änderungsanträge, wie Matthias Spielkamp auf iRights.info berichtet.

Interessante Regelungen enthält die Vorlage in jedem Fall:

  • Unternehmen, die von der Verordnung erfasst werden, müssen einen Datenschutzbeauftragten ernennen, eine Risikoanalyse zur Datenverarbeitung erstellen und sich alle zwei Jahre einer Überprüfung unterziehen. Aus Sicht des Risikomanagements ist das eine Risikoerhöhung. Wenn der Audit nicht bestanden wird, drohen ja Geschäftsausfälle.
  • Gelten soll die Verordnung für Unternehmen, wenn sie die Datensätze von mehr als 5000 Nutzern speichern –  das ist schnell erreicht. Demgegenüber wollte die EU-Kommission die Schwelle durch eine Mitarbeiterzahl 250 festlegen. Das ist natürlich ein großer Unterschied. Denn auch kleine Unternehmen haben schnell 5000 Newsletter-Abonnenten, Bestelladressen oder Datensätze in der von ihnen verwalteten Kundendatenbank.
  • Wie immer die Schwelle bestimmt wird: Firmen unterhalb davon brauchen keinen Datenschutzbeauftragten mehr. Das deutsche Datenschutzrecht schreibt im Moment vor, dass ein – externer oder interner – Datenschutzbeauftragter berufen werden muss, wenn mindestens zehn Mitarbeiter mit der Verarbeitung persönlicher Nutzerdaten zu tun haben. (Andererseits: Mit dem Datenschutzbeauftragten ist das Unternehmen die Haftung für Datenschutzverstöße ohnehin nicht los. Die bleibt im Zweifelsfall direkt bei der Geschäftsleitung – wo sie übrigens auch jetzt schon ist.)
  • Auch noch umstritten ist die Frage, wie hoch die Sanktionen bei Verstößen ausfallen. Dieser Aspekt ist aus aus Sicht des Risikomanagements natürlich besonders interessant. Die EU-Kommission wollte Strafen für Unternehmen auf eine Million Euro oder bei zwei Prozent des Jahresumsatzes deckeln. Die Parlamentsvorlage ist deutlich schärfer und legte die Grenze bei 100 Millionen Euro und fünf Prozent vom Umsatz fest. Der „Preis” für Datenschutzverstöße hat natürlich sehr direkte Auswirkungen darauf, wie teuer die Prämien der Vermögensschadenhaftpflicht oder der D&O- (Managerhaftpflicht)-Policen werden.
  • Geregelt wird auch das Recht auf Auskunft über gespeicherte Daten und auf deren Löschung. Beides schreibt das deutsche Datenschutzrecht im Grundsatz ja auch schon vor. Neu wäre aber, dass ein Unternehmen auch dafür verantwortlich ist, alles „Vertretbare“ zu unternehmen, um Dritte, welche die Daten verarbeitet haben, davon in Kenntnis zu setzen, dass der Betroffene die Löschung seiner Daten und damit auch Verlinkungen verlangt. Hier kündigen sich möglicherweise neue Haftungsrisiken an, die durch entsprechende Verträge mit Geschäftspartnern, aber auch durch Anpassung der eigenen Haftpflichtversicherung aufgefangen werden müssen.
  • Persönliche Daten dürfen nur mit Einwilligung erfasst oder verarbeitet werden. Allerdings gibt es eine etwas schwammige Ausnahmeregelung, die bei Datenschutzaktivisten Protest auslöst. Mal abwarten, wie dieser Punkt am Ende gefasst wird.
  • Auch nicht ohne ist für die Anbieter das Recht aus Datenportabilität: Selbst erstellte Profile und Inhalte soll der Nutzer von einem Dienst zum anderen mitnehmen können wie die Rufnummer beim Wechsel des Mobilfunkvertrags. Die bisher genutzte Plattform muss dann die gespeicherten, möglicherweise bereits veröffentlichten und von anderen Nutzern geteilten Inhalte löschen. Auch das ein neues Haftungsrisiko.
  • Datenschutzverstöße wie Datendiebstahl müssen den Betroffenen ohne Verzögerung, mindestens innerhalb 72 Stunden, mitgeteilt werden. Das begründet wiederum mögliche Ansprüche von Kunden, die zu spät über Datenverluste informiert werden.
  • Datenschutzrechtliche Ansprüche von EU-Bürgern werden durch die EU-Verordnung vereinheitlicht. Zur Zeit können Services mit Sitz in den USA sich auf dortige Bestimmungen zurückziehen, auch bei deutschen Kunden. Das wird dann Vergangenheit sein – auch US-Dienste müssen sich an die EU-Vorschriften halten, wenn sie EU-Nutzer haben. Ob das auch durchsetzbar ist, muss man allerdings abwarten.

Wie gesagt: Noch ist vieles im Fluss, die große Schlacht der Lobbyisten, Aktivisten und Einflussgruppen ist noch lange nicht vorbei. Aber eines ist sicher: Datenschutz hat einen Preis, und den zahlen unter anderem die Unternehmen. Zum Beispiel in Form erhöhter Versicherungsprämien für Policen mit erweiterter Deckung. Um so wichtiger ist es, die Versicherungsverträge optimal zu gestalten, um weder Geld zu verschenken noch von Deckungslücken bedroht zu werden.