Haftungsfreistellung zum Herunterladen. Kostenlos. Mit Warnung.

Ob wir nicht eine Haftungsfreistellungsklausel hätten, hat uns ein Anrufer vor kurzem gefragt. Er ist Programmierer, Freelancer und will verständlicherweise dafür sorgen, dass er nicht bei jedem von ihm ausgeführten Auftrag grenzenlos haftet.

Fein, haben wir uns gedacht – und tatsächlich eine Musterklausel zur Haftungsfreistellung (PDF) erstellen lassen, die Sie gerne kostenlos herunterladen und übernehmen dürfen. Aber lesen Sie unbedingt die Warnhinweise, die wir dazugepackt haben.

(Spoiler: Haftung kann man durch sogenannte formularmäßige Klauseln bestenfalls begrenzt ausschließen. Eine solche juristische Wunderpille bringt deshalb mehr Schaden als Nutzen. Was wirklich hilft, ist das Versichern der Haftung.)

Mehr

IT-Compliance, Teil 2: Persönliche Manager-Haftung für IT-Sicherheitsmängel

Wie fehlende IT-Compliance zu Schadenersatzforderungen gegen die Geschäftsleitung führen kann.

  • Im ersten Teil ging es um Compliance generell, und warum Compliance-Verstöße schnell zur persönlichen Haftung aus Geschäftsleiterverantwortung führen können.
  • In dieser Folge wollen wir uns speziell mit IT-Compliance als Risiko für persönliche Schadenersatzansprüche befassen.

Zur Compliance gehört die IT-Sicherheit des Unternehmens

Maßnahmen, die IT-Sicherheitsstandards und Datenschutz-Vorschriften im Unternehmen verankern, sind für die Compliance genauso wichtig wie Abläufe, die eine korrekte Buchführung garantieren oder Bestechung verhindern. Ohne solide, professionelle IT-Security lässt sich weder das vom Gesetzgeber vorgeschriebene Risikomanagement betreiben noch das von Investoren und Kapitalgebern erwartete Niveau an Corporate Governance erreichen.

Ein großer Teil der Werte des Unternehmens ist digital: Ohne Daten, Hardware, Netzwerke und Systeme sind weder Produktion noch Rechnungswesen, Vertrieb oder Marketing denkbar. Datenbestände bilden das Wissen eines Betriebs ab. Selbst so schwer fassbare Dinge wie das Vertrauen

Mehr

IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme

Mehr

Das geplante Kassengesetz: Haftung trotz Zertifikat?

Wer mit Kassen-EDV bzw. Registrierkassen zu tun hat, muss sich auf neue Herausforderungen einstellen. Und auch sonst kann man hier etwas lernen, und zwar: Wenn eine Software oder ein System für einen haftungskritischen Bereich gedacht ist, verringert selbst ein Zertifikat das eigene Haftungsrisiko nicht unbedingt.

Doch der Reihe nach …

Kassensysteme bald nur noch mit BSI-Zertifikat?

Das Bundesfinanzministerium möchte durch neue gesetzliche Vorschriften verhindern, dass in Bargeld-Branchen wie der Gastronomie manipulierte Kassensysteme den Staat um Steuereinnahmen bringen. Es will deshalb verschiedene Dinge ändern:

  • Steuerprüfer sollen jederzeit eine „Kassen-Nachschau” durchführen können, und der Einsatz fehlerhafter Kassensysteme oder fehlende Kassendaten können bis zu 25.000 Euro Bußgeld kosten.
  • Außerdem sollen Kassensysteme manipulationssicher sein und alle relevanten Kassen- und Transaktionsdaten für Berechtigte – wie den Prüfer vom Finanzamt – digital abfragbar machen. Eine „technische Sicherheitseinrichtung” wird Pflicht, bestehend aus einem Sicherheitsmodul, einem Speicher für Kassendaten und einer digitalen Schnittstelle. Und das Ganze muss ein BSI-Zertifikat besitzen.

So steht es im Entwurf zum geplanten „Kassengesetz“. Leider bringt das den Betreibern und Einrichtern von Kassensystemen wohl kaum mehr Rechtssicherheit. Im Gegenteil, es erscheint schwer umsetzbar.

Zertifikat gleich ordnungsgemäß? Von wegen.

Diese Kritik an dem Projekt formuliert ein interessanter Kommentar zu dem Gesetzentwurf von Gerhard Schmidt, Diplom-Informatiker und Chefredakteur beim Forum Elektronische Steuerprüfung.

Schmidt wundert sich über die geplante Einführung vorgeschriebener Positiv-Zertifikate. Ein kurzer Seitenblick auf Buchhaltungssoftware zeigt, warum. Bislang hat die Finanzverwaltung es nämlich rundheraus abgelehnt, für Buchführungssoftware eine belastbare Positiv-Zertifizierung auszustellen, etwa in Form einer so genannten verbindlichen Auskunft. Eine solche Zertifizierung würde dem Betreiber des Programms bescheinigen, dass sein System ordnungsgemäß arbeitet, und ihn damit im Effekt von der Haftung freistellen, wenn es dann doch zu Beanstandungen kommt. Diesen Schutz will das Finanzamt aber nicht gewähren.

Statt solcher Positiv-Zertifikate der Finanzverwaltung gibt es bisher nur „Negativ-Negativ-Zertifikate” der Hersteller von Buchhaltungssoftware: So nennt Schmidt Bescheinigungen der Software-Anbieter, dass mit ihrem Programm etwa GoBD-konform gearbeitet werden kann – was aber nicht ausschließt, dass auch missbräuchliche Anwendungsweisen möglich sind. Es liegt auf der Hand, dass solche Dokumente im Zweifelsfall das Unternehmen kaum vor Ordnungswidrigkeitsverfahren und die Verantwortlichen nicht vor der persönlichen Haftung schützen (Motto: „Sie haben nicht für eine ordnungsgemäße Buchführung in Ihrem Unternehmen gesorgt, Sie haften!”).

Zurück zu den Kassensystemen: Ein BSI-Zertifikat macht bei ihnen nur Sinn, wenn es sich um ein Positiv-Zertifikat handelt, demzufolge das zertifizierte System gar nicht missbräuchlich benutzt werden kann. Diese Prüfung wäre aber praktisch kaum machbar, zumal dann nicht nur ein bestimmtes Produkt, sondern auch jede einzelne Installation überprüft oder geeicht werden müsste. Und ob das BSI für von ihm begutachtete Systeme die volle Haftung übernehmen würde? Daran meldet Schmidt Zweifel an – mit Recht.

Die Haftung wird da bleiben, wo sie jetzt schon ist … bei Ihnen

Im Endeffekt wird bei digitalen Kassensystemen zumindest aus Sicht der Haftungsfrage wohl alles so bleiben, wie es ist: Dafür, dass die Kassen ordnungsgemäß betrieben werden, haftet das Unternehmen und im Durchgriff auch dessen Organe, sprich Geschäftsführer oder Vorstände. Dafür, dass die Kassen ordnungsgemäß funktionieren und nicht beispielsweise von außen manipuliert werden, haftet aber natürlich auch derjenige, der die Systeme herstellt, plant, liefert und /oder einrichtet – und im Zweifel auch dessen Führungspersonal.

Deshalb bleibt Absicherung der Haftung weiterhin zentral. Vor Schadenersatzforderungen und Haftung schützen Elektronik- und Maschinenversicherungen, Cyber-Policen, D&O-Versicherungen (Managerhaftpflicht) sowie persönliche und betriebliche Rechtsschutzversicherungen.

Welche dieser Elemente in welcher Form für Ihren Fall relevant sind und auf welche Sie verzichten können, erfahren Sie vom Versicherungsmakler Ihres Vertrauens. Zum Beispiel von uns – rufen Sie uns an unter 30 863 926 990.

Kassengesetz: Kassen mit Zertifikat (Quelle: BMF)

So stellt sich das BMF die Regelung zu neuen Kassensystemen mit Zertifikat vor. (Quelle: Bundesministerium für Finanzen)

Mehr

Kontrolle der Software-Lizenzen: Ja, die dürfen das.

Bei einem acant-Kunden meldet sich die Business Software Alliance – und verlangt geradezu ultimativ, sämtliche Lizenzen für alle dort eingesetzten Microsoft-Produkte nachzuweisen, Dazu Angaben, wer was wann wie nutzt. Bei einem Unternehmen mit rund 70 Mitarbeitern bzw. Arbeitsplätzen sowie diversen Servern ist das ein ganz schöner Aufwand.

Wie das denn sein kann, fragt mich der Inhaber. Und auch gleich: Ob ich weiß, was passiert, wenn irgendwo etwas doch nicht hinhaut? Er kontrolliert ja nicht jeden einzelnen Rechner persönlich.

Nun bin ich Versicherungsmakler und kein Fachanwalt für IT-Recht bzw. Urheber- und Medienrecht. Aber immerhin bin ich gelernter Volljurist. Und ich weiß: Im Urheberrechtsgesetz steht, dass im Fall von Urheberverstößen „in gewerblichem Ausmaß“ der Inhaber der Lizenz-Rechte das Recht auf „Vorlage und Besichtigung“ (§ 101a UrhG) hat. Weiter steht da wörtlich: „Besteht die hinreichende Wahrscheinlichkeit einer in gewerblichem Ausmaß begangenen Rechtsverletzung, erstreckt sich der Anspruch auch auf die Vorlage von Bank-, Finanz- oder Handelsunterlagen.“

Die Wachhunde für Software-Lizenzen von der Software Business Alliance, hinter der neben Microsoft auch Adobe, Symantec, Apple, Trend Micro und viele andere Software-Anbieter stehen, dürfen also ganz schön viel. Sogar die Buchführung kontrollieren, wenn sie einen konkreten Verdacht haben. Wenn der kontrollierte Betrieb sich weigert, können die Prüfer sich eine einstweilige Verfügung besorgen und trotzdem loslegen – das steht auch im Gesetz.

Zum Glück hat unser Kunde eine IT-Betriebsvereinbarung, die neben anderen Vorschriften zur IT-Sicherheit alle Mitarbeiter auch dazu verpflichtet, nur lizenzierte Software zu benutzen. (Beim Abschluss einer Cyber-Versicherung sind solche Regelungen ein Pluspunkt und senken die Prämie!)

Nur: Wenn dann doch irgendein Mitarbeiter ein schwarz installiertes Programm nutzt oder der Administrator gar überall Software installiert, für die gar keine ordentliche Lizenz vorliegt, haften die Geschäftsführung oder der Inhaber trotzdem. Das steht ebenfalls ausdrücklich im Urhebergesetz (§ 99 UrhG), und es ist wohl auch ohne diesen Paragraphen ableitbar.  Und noch schlimmer: Urheberrechtsverstöße führen nicht nur zu durchaus heftigen zivilrechtlichen Ansprüchen, sie sind auch eine Straftat ((§§ 106 – 110 UrhG). Da können also schnell mal eine Anzeige und ein Ermittlungsverfahren drohen.

Deshalb empfehle ich immer:

  • Lizenzen genau archivieren und Lizenzbedingungen einhalten. Man fliegt auch als „kleiner Mittelständler“ keineswegs unter dem Radar der Software-Copyright-Luftüberwachung. Nicht darauf vertrauen, dass schon niemand vorbeikommen wird!
  • Klare Vereinbarung mit allen Mitarbeitern, dass eigenmächtig installierte Programme verboten sind. Das bringt die Geschäftsführung zwar nicht aus der Schusslinie, aber zumindest kann sie dann gegen die Angestellten vorgehen, die einem den Ärger einbrocken.
  • Versichern! Zum ist eine D&O-Versicherung für den Inhaber oder die Geschäftsführer notwendig, damit das Fehlverhalten eines Administrators nicht in persönliche Haftungsansprüchen gegen den Chef mündet. Das geht schneller als gedacht.
  • Und zweitens eine Rechtsschutzversicherung einschließlich Strafrechtsschutz, damit man wenigstens die Einleitung eines Ermittlungsverfahrens (Anhörung) bzw. dessen Durchführung mit anwaltlicher Hilfe halbwegs schadlos übersteht

 

Wenn Sie Fragen dazu haben, wie Sie mit Versicherungen auch dieses Risiko in den Griff bekommen: Sie erreichen uns über 030 863 926 990 oder das Kontaktformular

 

Mehr

Von Winterkorn lernen heißt: sich eine D&O-Versicherung zulegen

Über die Abgastest-Tricksereien bei VW haben Sie bestimmt schon jede Menge gelesen. Ich will nicht noch mal alles wiederkäuen. Nur ein paar Anmerkungen aus meiner Warte:

  • Software kann einen ins Verderben reiten – bzw. in die persönliche Haftung. Auch wenn es hier ausnahmsweise daran lag, dass sie funktioniert hat.
  • VW hat, so hört man, die persönliche Haftpflicht der Vorstände mit 500 Millionen Euro abgesichert. Die Zurich-Gruppe, die das Risiko versichert hat, soll schon Rückstellungen bilden.
  • Die 500 Millionen Euro Deckungssumme werden aber nicht reichen. Schließlich drohen viele Milliarden an Schäden – für die die Manager persönlich haftbar gemacht werden dürften.
  • Wenn Winterkorn und seinen Kollegen nachgewiesen werden kann, dass sie selbst hinter den Tricksereien stecken, werden die D&O-Versicherungen nicht zahlen. Das tun sie bei Vorsatz nie. Dann kann der Konzern bei den Vorständen pfänden, was zu holen ist, und bleibt auf dem Rest der Summe sitzen.
  • Bei strafrechtlichen Ermittlungen  oder Anklageerhebung hilft nur eine persönliche Rechtsschutzversicherung, die auch Strafrechtsschutz umfasst. Sie verhindert natürlich keine Verurteilung – aber sie zahlt neben dem Anwalt auch für Gutachter und Sachverständige. Wenn es allerdings zu einer Verurteilung wegen einer vorsätzlichen Straftat kommt, ist der Versicherungsschutz rückwirkend hinfällig.
  • In solchen Fällen gehen dann auch Topmanager in die Privatinsolvenz, so wie Ex-Arcandor-Chef Middelhoff.
  • Wenn die Vorstände tatsächlich nichts von der defeat device gewusst haben sollten, hilft Ihnen das erst mal gar nichts. Es liegt in ihrer Verantwortung als Vorstände, die betrieblichen Prozesse so zu organisieren, dass Pflichtverletzungen unterbleiben,  zumindest aber bekannt und abgestellt werden.
  • Vorstände können sogar für Compliance-Verstöße haftbar gemacht werden, die in einem ganz anderen Geschäftsbereich passiert sind. Das hat auch einem Siemens-Manager das Genick gebrochen: 15 Millionen Euro plus Zinsen.
  • Man muss kein VW-Vorstand sein, um ein solches Haftungsrisiko zu haben. Das ist beim Geschäftsführer eines mittelständischen Unternehmens nicht anders. Gut, dann erreichen die Schäden vielleicht keine zehnstelligen Summen. Aber auch für einige Millionen persönlich geradestehen zu müssen ändert die Lebensperspektive sehr entscheidend.
  • Die D&O-Versicherung zahlt das Unternehmen.
  • Eine Telefonnummer für alle, die noch keine haben: 030 863 926 990. Glauben Sie mir – wenn Sie ein Unternehmen verantwortlich leiten, brauchen Sie eine solche Versicherung. Und wir sind Spezialisten dafür.
Mehr