Cyber-Risiko Home Office, Symbolfoto von Free-Photos from Pixabay

Cyberrisiko Home Office – Versicherungsschutz für das Unternehmen?

Die Corona-Epidemie hat Millionen von Arbeitnehmern das Arbeiten im Home Office beschert. Und den Cyber-Kriminellen ganz neue Chancen. Was passiert, wenn die Wohnung der Mitarbeiter zum Einfallstor für Cyber-Gangster wird: Hat das Unternehmen dann Versicherungsschutz?

Dank der Pandemie sind plötzlich jede Menge gefälschter Corona-Informationen unterwegs. Die geheimen Infos über den Erreger? In Wirklichkeit Viren der digitalen Art. Die Bankfiliale hat epidemie-bedingt geschlossen, der Kunde soll sich online anmelden? Phishing zum Diebstahl der Zugangsdaten. Der Shop mit dem Wundermittel? Billiger Betrug.

Das Büro am Küchentisch als IT-Sicherheitsrisiko

Doch das ist nicht alles. Auch die Arbeit von zu Hause aus bringt neue Bedrohungen für die IT-Sicherheit.

  • Home Office erhöht grundsätzlich die Angriffsfläche des Unternehmens. Ganz besonders dann, wenn die Mitarbeiter private Laptops und Telefone verwenden. Bei denen sind weder regelmäßige Updates noch andere Schutzmaßnahmen gewährleistet. Oft stecken sie voller Spyware.
  • Selbst mit Geräten vom Arbeitgeber ist Home Office problematisch. Privates und Dienstliches geht schneller durcheinander. Wenn es IT-Sicherheitsvorschriften überhaupt gibt, werden sie gern missachtet. Die Kontrolle durch Kollegen entfällt.
  • Datenübermittlung, Fernzugriffe, Filesharing, Video-Konferenzen – alles zusätzliche Angriffspunkte.
  • Der durch Corona erforderliche Umzug ins Home Office kam überraschend. Die Mitarbeite musste in ihren Wohnzimmern schnell arbeitsfähig werden. Da fiel die IT-Sicherheit oft unter den Tisch.
  • Besonders gefährlich: Oft haben die Mitarbeiter sich in Eigeninitiative schnelle Lösungen gebastelt. Dateiaustausch über schlecht abgesicherte, kostenlose Cloud-Angebote beispielsweise. Angreifer freuen sich darüber.

Informationen und Tipps:

Zahlt die Versicherung bei einem Cyberangriff auf das Home Office?

Bleibt die Frage; Wie steht es um den Versicherungsschutz des Unternehmens, wenn Cyberattacken durch den Heimarbeitsplatz des Mitarbeiters erfolgen? Zahlt die Cyberversicherung, wenn Ransomware so das Firmennetz lahmlegt? Oder wenn die Kundendaten auf diesem Umweg ins Darknet abfließen?

Wenn der Arbeitgeber Versicherungsnehmer der Cyberversicherung ist, tritt diese für Schäden an Unternehmensdaten und -systemen ein, selbst wenn das Desaster in einem privaten Wohnzimmer ausgelöst wurde. Das gilt auch für die Haftung.

Bei Angriffen über das Home Office ist ähnlich wie bei für die Firma genutzten Privatgeräten (BYOD): Schäden an Firmengeräten durch den ins Büro mitgebrachten USB-Stick sind grundsätzlich gedeckt. Schäden fürs Unternehmensnetzwerk durch den in der heimischen Küche genutzten Firmen-Laptop ebenfalls.

Das gilt grundsätzlich sowohl für Cyber-Risiken wie für die Haftpflicht. Natürlich kommt es auf die genauen Versicherungsbedingungen an.

Außenversicherung

Nicht versichert sind dagegen die privaten Geräte der Mitarbeiter, sowie externe betriebliche Geräte. Letzteres gilt zumindest dann, wenn deren Standort im Wohnzimmer des Arbeitnehmers liegt und im Versicherungsvertrag nicht aufgeführt ist.

Abhilfe schaffen kann eine sogenannte Außenversicherung.

Oft lassen sich Versicherer mit sich reden. So konnten wir erreichen, dass die Deckung der Elektronikversicherung eines acant-Kunden von der stationären Computer-, Büro- und Kommunikationstechnik in den Büroräumen auf das Home Office der Mitarbeiter ausgedehnt wurde. Der Kunde erhielt also quasi eine Außenversicherung in Höhe der Versicherungssumme. Wohlgemerkt: ohne zusätzliche Prämie!

Was wir von acant jetzt für Sie tun können

  • Wir überprüfen für Sie, welchen Versicherungsschutz Ihr Unternehmen momentan hat. Sind Cyberangriffe auf Mitarbeiter gedeckt? Sie übermitteln uns Ihre Policen, wir geben Ihnen die Antwort. Kostenlos, versteht sich.
  • Außerdem loten wir mit Ihnen zusammen aus, wie Sie zu Cyber-Versicherungsschutz für Ihre Home-Office-Arbeiter kommen. Das kann durch Deckungserweiterung oder eine neue Police geschehen. Wir legen Ihnen sinnvolle und günstige Angebote vor, Sie wählen aus. Übrigens: acant vermittelt unabhängig von den Versicherern.

Interesse? Fragen? Sie erreichen uns unter 49 (0)30 863 926 990 oder per Kontaktformular.

Betriebsschließung und Quarantäne wegen Corona? Symbolfoto: Eduardo Davad via Pixabay

Quarantäne, Tätigkeitsverbot, Betriebsschließung: Ein paar Hinweise für den betrieblichen Infektionsfall

Alle reden über das Corona-Virus. Wir auch.

Natürlich sind wir Versicherungsmakler für Unternehmen und keine Experten für Infektionsbekämpfung – da empfehlen wir das Robert-Koch-Institut. Aber wir haben Hinweise zu Pandemie-Aspekten, die für Arbeitgeber und Unternehmensleitungen wichtig sind:

  • Besteht Versicherungsschutz, wenn es durch das Virus zu einer Betriebsunterbrechung oder Betriebsschließung kommt?
  • Zahlt die Berufsunfähigkeitsversicherung, wenn Sie aufgrund von Quarantäne nicht arbeiten können?
  • Wie ist das mit der Lohnfortzahlung für Mitarbeiter?

Können die Behörden den Betrieb wegen der Infektionsgefahr schließen oder Arbeitnehmer in Quarantäne schicken?

Ja. Aufgrund von Ansteckungsgefahr können die Gesundheitsbehörden anordnen, dass bestimmte Orte nicht mehr betreten werden dürfen. Das können auch Ihre Firmenräume, Verkaufsräume etc. sein.

Die Behörden können ebenfalls anordnen, dass Erkrankte zu Hause oder in einer medizinischen Einrichtung bleiben müssen. Das Gleiche gilt für Menschen ohne Krankheitssymptome, die Kontakt mit Infizierten hatten.

Für Berufe wie ärztliche Tätigkeiten, bei denen ein besonderes Infektionsrisiko besteht, kann auch ein berufliches Tätigkeitsverbot angeordnet werden.

Im Extremfall können auch in Deutschland ganze Regionen abgeriegelt werden, so wie es in Italien angeordnet wurde.

Bezahlt die Betriebsunterbrechungsversicherung bei Schließung wegen Quarantäne?

Die Betriebsunterbrechungsversicherung zahlt bei Betriebsunterbrechungen durch Infektionsschutzmaßnahmen in der Regel nicht. Das gilt übrigens auch für Betriebsunterbrechung durch epidemiebedingte Störungen der Lieferkette, etwa durch Produktionsengpässe in China.

Auch eine Ertragsausfallversicherung wird dann in der Regel nicht leisten.

Ein Sonderfall ist die Existenz-Betriebsunterbrechungsversicherung. Dabei ist die Arbeitsunfähigkeit des Inhabers als Unterbrechungsursache mitversichert. Im Zweifel kommt es jedoch immer auf die genauen Versicherungsbedingungen an. Für Ärzte, Zahnärzte und andere Freiberufler gibt es Praxisausfallversicherungen, die je nach Versicherungsbedingungen ebenfalls leisten.

Betriebsschließungsversicherung

Außerdem gibt es spezielle Betriebsschließungsversichungen, die auch die Schließung zu Infektionsschutzmaßnahmen abdecken. Sie werden vor allem für lebensmittelverarbeitende Unternehmen sowie Betriebe im Bereich Gastronomie und Hotellerie angeboten. Hier kommt es dann darauf an, ob sämtliche vom Infektionsschutzgesetz erfassten Krankheiten gedeckt sind oder nur die, die schon zum Abschluss des Versicherungsvertrags dazu zählten.

Leider gilt: Wenn Sie jetzt schnell noch eine solche Police abschließen möchten, müssen wir Sie enttäuschen. Diese Versicherungen werden entweder nicht mehr angeboten. Oder Sie werden das Coronavirus vergeblich unter den möglichen Versicherungsfällen suchen.

Ganze Region abgeriegelt?

Übrigens: Wenn statt einzelner Patienten oder Firmen komplette Regionen unter Quarantäne gestellt werden, liegt normalerweise kein Versicherungsfall mehr vor. Das gilt als höhere Gewalt, und die Versicherung zahlt nicht. Ob und wann Ihre Versicherung leisten muss, kann ich Ihnen sagen, wenn Sie mir Ihren Versicherungsvertrag schicken. (Dieser Service kostet Sie nichts.)

Zahlt meine Berufsunfähigkeitsversicherung?

Wenn Sie persönlich in Folge eine Corona-Infektion berufsunfähig werden, wird Ihre private Berufsunfähigkeitspolice grundsätzlich zahlen. Dafür muss normalerweise die Berufsunfähigkeit 50 Prozent betragen, und zwar für eine Frist von mindestens sechs Monaten.

Je nach Versicherungsbedingungen kann die Leistungspflicht auch dann gelten, wenn Sie Ihren Beruf aufgrund eines Tätigkeitsverbot gemäß Infektionsschutzgesetz nicht ausüben können. Solche Infektionsklauseln gibt es vor allem in Berufsunfähigkeitsversicherungen für Medizinberufe. Auch dann ist meist eine Mindestdauer von sechs Monaten Voraussetzung , damit die Versicherung zahlt.

Was passiert, wenn meine Arbeitnehmer am Coronavirus erkranken?

Ob Corona oder Beinbruch, das macht keinen Unterschied: In der Regel erhält der Mitarbeiter zunächst sechs Wochen Lohnfortzahlung, dann Krankengeld von der Krankenkasse.

Und wenn Mitarbeiter aufgrund von Quarantäne nicht arbeiten können?

Zunächst müssen Sie als Arbeitgeber bei einer vom Gesundheitsamt verhängten Quarantäne den Lohn oder das Gehalt für sechs Wochen fortzahlen. Die Lohnkosten können Sie sich  jedoch später in aller Regel vom Gesundheitsamt erstatten lassen. Das gilt übrigens auch im Fall eines Tätigkeitsverbots.

Versicherungsfragen? Bei uns gibt es Antworten

Wenn Sie Fragen zu Versicherungen und Versicherungsschutz haben – bei uns bekommen Sie Antworten und Beratung. Rufen Sie uns einfach an: 030  863  926  990.

Faktor Mensch in der IT-Sicherheit - Symbolbild von User 024-657-834 via Pixabay

Einfallstor Großhirnrinde: Der Faktor Mensch in der IT-Sicherheit

Technik ist prinzipiell beherrschbar, der Faktor Mensch eher nicht. Jedenfalls dann nicht, wenn keiner sich keine echten Gedanken darum gemacht hat.

Und deshalb sind die Probleme der IT-Sicherheit in der Theorie im Wesentlichen gelöst und in der Praxis oft ein einziges Desaster.

So könnte man einen Vortrag auf den Punkt bringen, den Linus Neumann, einer der Sprecher des Chaos Computer Clubs, auf dem CCC-Kongress Ende Dezember in Leipzig gehalten hat.

Die Präsentation gibt es auf Youtube. Das Anschauen kostet fast eine Dreiviertelstunde Lebenszeit. Aber es lohnt sich. Weil einige Aspekte des täglichen IT-Risikos mal aus ganz ungewohnter Perspektive geschildert werden. Außerdem ist es erstaunlich unterhaltsam und man versteht alles Wesentliche auch ohne IT-Fachwissen.

„Hirne Hacken“: Linus Neumann vom CCC zum Mensch als (Unsicherheits-)Faktor in der IT-Sicherheit

Einige der Erkenntnisse aus dem Vortrag

  • Die IT-Sicherheit liefert seit Jahren keinen wirklichen Fortschritt bei den immer gleichen Angriffsrisiken, z. B. Betrügereien oder Schad-Makros in Office-Dateien.
  • Selbst Experten werden immer wieder Opfer. (Faktor Mensch halt.)
  • Das Problem untauglicher Passwörter ist nicht dadurch auszurotten, dass man den Leuten die Verwendung möglichst langer, schwer zu erratender unterschiedlicher Passwörter predigt. Das tun die meisten trotzdem nicht.
  • Die Art und Weise, wie Microsoft Word auf die Gefahr durch bösartige Makros in zugeschickten oder heruntergeladenen Dateien hinweist, ist völlig untauglich. Gleichzeitig sind die Hinweise so gestaltet, dass sie eine unvorsichtige Reaktion leicht machen: ein großer Button, der die Makro-Ausführung ermöglicht.
  • Russischer Staatsbürger? Dann gibt es den rettenden Code nach Attacke eines Verschlüsselungstrojaners von den Cyber-Kriminellen für umsonst.
  • Kein Backup, kein Mitleid.
  • Wer Passwörter oder Zugangsdaten abfischen oder die Leute zum Installieren von Schadsoftware bringen will, muss Angst auslösen – oder eine Routine-Handlung.
  • Beim Risikomanagement auf Ebene der Unternehmensorganisation erhält das Social Engineering (gegen Menschen gerichtete Tricks) bei IT-Angriffen meistens selten genug Aufmerksamkeit.
  • Dabei gibt es Maßnahmen, um die Nutzer als IT-Sicherheitsschwachstelle weniger angreifbar zu machen. Eine solche Maßnahme sind Phishing-Scheinangriffe im Auftrag der eigenen Geschäftsführung mit anschließender Aufklärung. Hintergrund: Mitarbeiter entwickeln meist erst dann ein Bewusstsein für Phishing-Risiken, wenn sie selbst zum Opfer geworden sind.

Die Punkte sind unsere Wiedergabe, keine Zitate. Wir haben einige davon nach Hinweisen von Linus Neumann korrigiert oder zumindest präzisiert – danke für das Feedback. Und vielleicht sollte man noch hinzufügen, dass er in der Präsentation nicht nur Probleme anspricht, sondern auch Lösungen vorschlägt.

Apropos Mensch – es wird noch dieser Tweet zitiert …

Eine Cyberversicherung setzt genau beim Risiko Mensch an

Bleibt aus unserer Sicht noch der Hinweis: Genau deshalb ist eine Cyber-Versicherung gegen Schäden durch IT-Risiken ein wirklich sinnvoller Baustein für das Risikomanagement.

Der Cyber-Versicherungsschutz hängt nicht davon ab, dass Technik im Ernstfall auch funktioniert. Und er schützt selbst dann, wenn Menschen dumme Fehler machen.

Wie immer: Bei Fragen oder Anmerkungen kann man mit uns von acant einfach reden. Rufen Sie uns an: 0176 10318791.

Eine IT-Versicherung ist sinnvoll - Symbolbild, Foto Michal Jarmoluk via Pixabay

38 Prozent: diese Zahl belegt, dass sich eine IT-Versicherung lohnt

Mehr als ein Drittel der Unternehmen nimmt ihre IT-Versicherung auch in Anspruch

38 Prozent aller deutschen IT-Dienstleister mit einer IT-Versicherung haben diese schon einmal genutzt. Mit anderen Worten: Bei mehr als einem Drittel ist der Versicherungsfall eingetreten, und die Unternehmen haben davon profitiert, versichert zu sein.

Das Ergebnis beruht auf einer Umfrage, die Bitkom Research 2019 bei 305 mittelständischen IT-Dienstleistern durchgeführt hat.

Eine IT-Versicherung ist sinnvolles Risikomanagement

Eindrücklicher kann lässt es sich wohl kaum untermauern: IT-Risiken zu versichern ist betriebswirtschaftlich sinnvoll.

Es ist wie bei Kfz-Versicherungen: Selbst wenn diese nicht vorgeschrieben wären, sollte man sie trotzdem haben. Aus Sicht des Risikomanagements ist das Risiko eines Unfalls einfach zu hoch, um auf diesen Versicherungsschutz zu verzichten.

Beim Risiko eines Cyberangriffs, einer IT-Panne oder eines Datenverlusts gilt das heute genauso. Diese Bedrohung ist Teil der Unternehmensrealität. Zum Glück gibt es Cyberversicherungen, die Unternehmen vor den finanziellen Folgen effektiv schützen.

Wir beraten Sie gern – ausführlich und kostenlos

Interesse an einer IT-Versicherung? Bei acant wird individuelle Beratung großgeschrieben. Wir nehmen uns Zeit für Ihre Fragen. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Windows 7 - Support-Ende - Bild von daosorio via Pixabay

Noch bei Windows 7? Dann muss es jetzt fix gehen: Das können Sie tun

Noch immer mit Windows 7 unterwegs?

Wenn bei Ihnen noch ein Rechner mit Windows 7 läuft, dann sind Sie nicht der letzte mit dem Uralt-Windows. Das ist zwar 2009 erschienen, vor mehr als zehn Jahren. In Berliner Verwaltungen laufen dem RBB zufolge noch mehr als 20.000 Computer damit. Und wenn man den Online-Datensammlern von Netmarketshare glaubt, waren es weltweit zum Jahreswechsel noch etwa ein Viertel aller Windows-Rechner.

Nun war Windows 7 eine der stabileren Versionen und machte nicht allzu viele Probleme – ein Grund für viele Nutzer, nichts daran zu ändern. Außerdem gibt es gerade in Firmen oft irgendeine alte Software, die mal jemand für eine ganz bestimmte Aufgabe geschrieben oder angepasst oder installiert hat und die anschließend nie mehr angefasst wird. Genau wie der Rechner, auf dem sie läuft.

Und dann ist plötzlich der Lebenszyklus des Betriebssystems vorbei.

Windows 7: Am Dienstag, 14. 01. 2020, endet der Support

Am 14. Januar, so hat Microsoft schon lange angekündigt, gibt es ein letztes Mal Updates für Windows 7. Dann ist Schluss.

Das bezieht sich nicht nur auf das Reparieren von Bugs, sondern auch und vor allem auf Sicherheitsupdates.

Sicherheitslücken, die danach entdeckt werden, bleiben also offen. Das macht den alten Rechner zum Einfallstor für Schädlinge und die Sache gefährlich.

Was tun? Aktualisieren oder ESU-Lizenz!

Wenn Sie noch einen Computer mit Windows 7 irgendwo haben, dann müssen Sie jetzt aktiv werden. Es gibt zwei Möglichkeiten:

  • Sie können einfach auf Windows 10 aktualisieren. Das ist die sinnvollste Lösung. Vor Jahren hatte Microsoft im Rahmen einer befristeten Aktion den kostenlosen Upgrade angeboten. Obwohl die Aktion längst beendet ist, funktioniert das immer noch, so eine Chip-Umstiegsanleitung, für die das vor kurzem überprüft wurde. Sie brauchen dazu nur Ihren Lizenzcode für Windows 7.
  • Wenn der alter Rechner mit Windows 10 nicht mehr zurechtkommt, können Sie eine sogenannte ESU-Lizenz kaufen. ESU steht für „Extended Security Updates“ und bedeutet: Es gibt noch für ein Jahr kritische Sicherheitsupdates. Das hat allerdings einen stolzen Preis: 70 Euro für ESU bis 13. Januar 2021 laut Software-Express, wo die ESU-Lizenzen verkauft werden.

Keine Panik – aber aktiv werden

Es besteht kein Anlass zu Panikreaktionen, wenn Ihnen jetzt siedend heiß einfällt, dass auf dem alten Computer für die Lüftungssteuerung noch Windows 7 läuft. Aber Sie sollten aktiv werden. Auch wenn ein Windows-Update kaum zu einem lustigen Wochenende gehört.

Aber wenn Sie sich über ein veraltetes Betriebssystem einen Virus oder Trojaner ins Haus holen, dann wird das garantiert noch unangenehmer. (Sogar dann, wenn Sie eine Cyber-Versicherung haben. Und ohne ganz besonders.)

IT-Notfall - es brennt ... Foto: Thomas Wolter via Pixabay

Verhalten bei IT-Notfällen

Die IT-Notfallkarte

Vor einigen Monaten hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine kleine „IT-Notfallkarte“ veröffentlicht. Man kann sie dort herunterladen, ausfüllen und sie in Büros, Fertigungshallen, Werkstätten, Lagerräumen etc. aufhängen, neben den Hinweisen zum Verhalten im Brandfall oder bei Arbeitsunfällen.

„Verhalten bei IT-Notfällen“ – so sieht die IT-Notfallkarte des BSI aus.

Ganz wirkungslos ist die Kampagne offenbar nicht, denn ich bekomme das Kärtchen in letzter Zeit immer öfter zu sehen, zumindest am Bildschirm. Und das finde ich als Versicherungsmakler mit Schwerpunkt auf Versicherungen für technische und digitalen Risiken sehr gut – wie alles, das für mehr Problem- und Risikobewusstsein in Sachen Cyber-Bedrohungen sorgt.

Es ist absolut richtig, dass man IT-Notfälle als echte Bedrohung ins Bewusstsein rückt

Schließlich kann ein einziger falscher Klick dafür sorgen, dass ein Verschlüsselungstrojaner oder ein Hackerangriff die Existenz des Unternehmens gefährden, zumindest aber die Jahresbilanz verhageln.

Zur Vorbereitung auf den IT-Notfall gehört mehr als eine Notfallkarte

Trotzdem: Mit dem Aufhängen der Karte ist es nicht getan. Entscheidend ist, dass der Umgang mit IT-Risiken im Unternehmen auch gelebt wird und Vorbereitungen getroffen werden:

  • Die Mitarbeiter müssen Bewusstsein dafür entwickeln, dass Viren, Trojaner und Hacker den ganzen Betrieb lahmlegen können und eine einzige unvorsichtige Aktion dafür ausreicht.
  • Es muss tatsächlich eine Notfall-Nummer geben, die man jederzeit anrufen kann. (Existiert es eine solche Nummer bei Ihnen?)
  • Die Mitarbeiter darf keine Scheu haben, sich dort zu melden. Auch dann nicht, wenn er nicht genau weiß, ob wirklich ein Notfall vorliegt.
  • Er muss dem Administrator sofort sagen können, an welchem Gerät er gerade arbeitet. Es braucht also eine eindeutige Kennzeichnung (gibt es vermutlich), und der Mitarbeiter muss die auch sehen können (den internen Host-Namen, eine Inventarnummer etc.)
  • Außerdem sollten die Mitarbeiter wissen, was bei akutem Verdacht auf eine Virus- oder Trojaner-Infektion zu tun ist. (Das Gerät muss vom Netz: sofort LAN-Kabel ziehen und/oder WLAN-Router aus. Wenn möglich, Screenshots machen oder den Bildschirm mit dem Handy fotografieren. Dann das Gerät direkt ohne Herunterfahren ausschalten – und ausgeschaltet lassen. Notieren, was man gerade gemacht hat, in welchem Programm, mit welcher Datei, mit welchem Kommunikationspartner etc.)

Viele Cyber-Versicherer bieten eine Notfall-Hotline mit IT-Expertenrat

Gut, wenn man versichert ist: Viele Cyberversicherer haben eine Notfallnummer für ihre Versicherten, rund um die Uhr und an jedem Tag mit IT-Experten besetzt. Außerdem bieten sie in der Regel vorbereitete Notfallpläne, damit klar ist, was zu tun ist und wer informiert werden muss. Drittens haben viele Versicherungsgesellschaften Experten in Bereitschaft, die sich im Ernstfall vor Ort um Schadensbegrenzung und Notfallmaßnahmen kümmern: IT-Fachleute, Krisen-PR-Experten und Juristen. (Das macht für den Versicherer Sinn, er will ja den Schaden begrenzen, den er bezahlen muss.)

Interesse an den Leistungen und Kosten der verschiedenen Cyber-Versicherungen?

Wir bei acant sind keine Experten für Erste Hilfe bei IT-Notfällen. Aber wir wissen genau, wie man Ihr Unternehmen am besten dagegen versichert. Rufen Sie uns an oder schreiben Sie uns eine Nachricht – wir beraten Sie gern.

Fotos auf der Betriebsfeier? Einwilligung nötig - Foto: Matan Vizel via Pixabay

Muster-Datenschutzhinweis Foto/Video für Ihre Betriebsfeier

Die Zeit der weihnachtlichen Betriebsfeiern, Vereinsfeste etc. bricht an.

Wenn der Veranstalter (z. B. das Unternehmen) dabei Fotos und Videos machen lässt und die vielleicht auch veröffentlichen will, sollte er die Rechtslage im Auge haben: Er muss die Teilnehmer, Mitarbeiter, Mitglieder oder Gäste vorher darauf hinweisen und sich deren Einverständnis sichern. Sonst droht ein Verstoß gegen Datenschutzvorschriften und Persönlichkeitsrechte.

Praktischerweise hat der Berliner Rechtsanwalt Thomas Schwenke einen Online-Gererator für Datenschutzhinweise zu Foto- und Videoaufnahmen bei Veranstaltungen parat: Datenschutzhinweise zu Foto- und Videoaufnahmen bei Veranstaltungen

In diesem Sinne: frohes Fest und schöne Bilder!

DSGVO-Bußgelder Symbolbild, Foto: Achim Thiemermann via Pixabay

DSGVO-Bußgelder berechnen – und versichern

Konzept für die Bußgeldhöhe bei Datenschutzverstöße durch Unternehmen

Vor kurzem haben die zur „deutschen Datenschutzkonferenz“ zusammengefassten Datenschutzbeauftragten ein Konzept vorgestellt, nach dem sie Bußgelder bei DSGVO-Verstößen berechnen wollen.

Die Kalkulation ist durchaus kompliziert und einzelfallabhängig. Eines lässt sich aber direkt sagen: Es kann sehr schnell sehr teuer werden.

Drei Schritte zum DSGVO-Bußgeld

Grundsätzlich wird ein DSGVO-Bußgeld dem Konzept zufolge in drei Stufen ermittelt:

  1. Ausgangspunkt ist ein „Grundwert“, der vom Jahresumsatz abhängt. Der niedrigste Grundwert (bis 750.000 Euro Jahresumsatz) ist 972 Euro. Liegt der Jahresumsatz bei zwei Mio. Euro, gilt ein Grundwert von 4.722 Euro. Bei 12. Mio. Euro Jahresumsatz sind es schon 38.194 Euro.
  2. Dann kommt ein sogenannter „Faktor“ ins Spiel, mit dem der Grundwert multipliziert wird. Er soll der Schwere des Datenschutzverstoßes entsprechen: wie lange hat der Verstoß gedauert, gab es frühere Vorfälle, wie schwer sind die Folgen für die Betroffenen, … ? Solche Aspekte entscheiden darüber, ob der Grundwert mit einem Faktor von bis zu 12 oder mehr multipliziert wird.
  3. Schließlich gibt es noch eine Korrekturmöglichkeit, um das Bußgeld je nach Einzelfall noch abzumildern, wenn besondere Umstände vorliegen – etwa dann, wenn andernfalls die Insolvenz droht.

Hausnummer: 5.000 Euro Bußgeld für ein Kleinunternehmen bei fehlender Einwilligung

Was dieses Konzept für die Praxis bedeutet, hat Rechtsanwalt Thomas Helbing aus Berlin zusammengefasst. Zitat: „Bei einem mittleren Verstoß gegen materielle Datenschutzvorschriften (z.B. Verarbeitung ohne Rechtsgrundlage) wird der Betrag mit dem Faktor 6 multipliziert. Da kommen bei einem KMU mit einstelligem Millionenumsatz schnell € 50.000,- zusammen und bei einem Freiberufler mit minimalem Umsatz immerhin € 5.000.

Mit anderen Worten: Wenn ein kleines Unternehmen von nicht mehr als einer halben Mio. Euro Jahresumsatz die Daten eines Kunden speichert, ohne dass dessen Genehmigung nachgewiesen werden kann, droht ihm nach Anwalt Helbings Einschätzung bereits ein Bußgeld von rund 5.000 Euro.

Versichern hilft – auch gegen die Kosten von Datenschutzverstößen

Angesichts solcher Summen sollte man juristische Gegenmaßnahmen ausloten, wenn es zum Bußgeldverfahren kommt. Zum Glück lässt sich auch vorher schon etwas tun: Sie können Ihr Unternehmen klug versichern, auch gegen das DSGVO-Risiko:

  • Es gibt Cyber-Versicherungen, die eine Deckung für Bußgelder wegen Datenschutzverstößen umfassen. Ein typisches Beispiel: Sublimit für DSGVO-Bußgelder von 500.000 Euro pro Schadensfall.
  • Präventiven Schutz bietet zudem der Abschluss einer D&O-Versicherung für die Geschäftsführung oder den Vorstand. Ist ein Datenschutzverstoß durch den Manager oder Geschäftsführer verschuldet worden, kann sich das Unternehmen an dessen Haftpflichtversicherung halten (und gleichzeitig ist er selbst vor dem Ruin geschützt).
  • Zudem können Betriebshaftpflicht- und betriebliche Rechtsschutzversicherungen Teile der Kosten abdecken.

Kostenlose Beratung und Prüfung Ihrer Versicherungspolicen

Was Ihre bestehenden betrieblichen Versicherungen im Fall von Datenschutzverstößen bereits abdecken, und wo es Lücken gibt, die Sie schließen sollten, das erfahren Sie von uns: Wir von acant prüfen Ihre Versicherungsverträge und beraten Sie ausführlich. Natürlich ohne, dass Kosten für Sie anfallen.

Interesse? Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Solche Bußgelder werden bereits laufend verhängt

Übrigens werden die Bußgelder, die bei Datenschutzverstößen verhängt werden, von vielen Geschäftsleuten unterschätzt. Auf der Seite Enforcementtracker.com können Sie sich anschauen, was in verschiedenen Ländern Europas laufend gefordert wird. Das sind mal ein paar Tausend Euros für die unerlaubte Videoaufzeichnung im Döner-Laden, aber auch eine sechsstellige Summe für nicht gelöschte Datensätze vergangener Kunden beim Essenslieferanten Delivery Hero.

Cyber-Versicherung - für wenn es brennt in der IT. Foto: Myriam Zilles via Pixabay

„Brauchen wir eine Cyber-Versicherung?“

Die Fragen hören wir oft. Doch die Fakten sprechen für sich.

„Braucht mein Unternehmen wirklich eine Cyber-Versicherung?“

Ja. Genau, wie jedes Holzhaus eine Feuerversicherung braucht.

 Dieser Vergleich ist nicht übertrieben. E-Mail, Buchhaltung, Warenwirtschaft, Steuerung – praktisch alles ist heute digital. Das schafft gewaltige Angriffsflächen, in so gut wie jedem Unternehmen. Ein Funke genügt, um das Holzhaus zu vernichten. Ein unvorsichtiger Klick eines Mitarbeiters, eine unentdeckte Sicherheitslücke genügt, um Ihr komplettes Unternehmen lahmzulegen.

  • Wie lange ist bei Ihnen der Betrieb unterbrochen, wenn sämtliche Daten im gesamten Unternehmen plötzlich verschlüsselt und nicht mehr lesbar sind? Alle E-Mails, alle Zahlungsvorgänge, alle Personaldaten, alle Kundenadressen etc. etc.? Wenn alle Informationen wiederbeschafft, alle Systeme neu installiert werden müssen?
  • Geraten personenbezogene Daten in die falschen Hände, muss jeder einzelne Betroffene benachrichtig werden – und jeder kann Schadenersatz fordern – ehemalige Kunden, Interessenten, frühere Geschäftspartner und Mitarbeiter, alle, deren Namen, Adressen oder Zahlungsdaten gestohlen wurden. Von Bußgeldern und dem Imageschaden haben wir da noch gar nicht gesprochen. Genauso wenig wie von den Kosten für IT-Notfallexperten, PR-Krisenberater und spezialisierten Anwälten.
  • Schließlich sind da noch die Eigenschäden nach IT-Fehlfunktionen und Cyberangriffen: Sachschäden durch Fehlsteuerung zum Beispiel oder Vertragsstrafen durch Software-Fehlfunktionen.

Diese Schäden lassen sich allesamt versichern. Angesichts des Risikos eine sehr sinnvolle Option.


„Schutz vor Cyber-Angriffen? Unsere IT-Leute sind da Experten“

Eine Brandschutzversicherung ist auch dann sinnvoll, wenn man Feuerlöscher hat (und umgekehrt).

Technische Schutzmaßnahmen (Virenschutz, Firewall, regelmäßige Aktualisierungen etc.) sind unverzichtbar. Aber Technik kann das Risiko nie auf null absenken – schon weil der Mensch bei vielen Cyberangriffen die entscheidende Schwachstelle darstellt. Im Gegenteil. Versicherung und konkrete Schutzmaßnahmen sind keine Alternativen, sie ergänzen sich gegenseitig.

Eine Cyber-Versicherung fängt das unvermeidliche Restrisiko auf.

„Gemessen am Risiko ist eine Cyber-Versicherung doch viel zu teuer“

Nein, im Gegenteil: Die Versicherungskosten liegen in der Regel bei maximal einem Promille des Jahresumsatzes.

Im Verhältnis zu den Versicherungskosten und dem Schadensrisiko ist es betriebswirtschaftlich absolut sinnvoll, Cyber-Risiken zu versichern. Es gibt unterschiedliche Policen mit unterschiedlichen Versicherungsbedingungen. Doch in aller Regel beträgt die Versicherungsprämie nicht mehr als maximal ein Promille des Jahresumsatzes. Nur bei Kleinunternehmen oder besonders gefährdeten Unternehmen liegen die Versicherungskosten regelmäßig etwas höher.

Im Gegenzug bietet die Cyber-Police einen breiten Querschnitt an Versicherungsleistungen: Sie deckt Personen- und Sachschäden ab, die durch IT-Sicherheitsverletzungen entstehen, aber auch die Schadenersatzpflicht, die daraus resultiert. Zudem ist in vielen Policen Rechtsschutz enthalten. Außerdem stellen die Versicherer im Schadensfall oft eine Art schnelle Eingreiftruppe bereit: IT-Experten, spezialisierte Rechtsanwälte und Leute für Krisen-PR, die dann sofort helfen.

Cyber-Versicherungsschutz ist nicht teuer. Jedenfalls dann nicht, wenn der Versicherungsvertrag zum Unternehmen passt.

„Wer sich gegen Cyber-Angriffe versichert, kümmert sich automatisch weniger um IT-Sicherheit, oder nicht?“

Wird ein Holzhausbesitzer mit Feuerversicherung automatisch nachlässiger im Umgang mit offenen Flammen?

Wer eine Cyber-Versicherung abschließt und dann die Vorsicht im Internet aufgibt, schadet vor allem sich selbst. Eine Cyber-Versicherung abschließen und dann auf vernünftige Passwörter verzichten, das ist wie die Haustür offen lassen, weil man gegen Einbruchschäden versichert ist. Die Versicherungsgesellschaft stört das weniger – sie leistet dann einfach nicht.

Der Abschluss einer Cyber-Versicherung zeigt gerade, dass man sich der digitalen Bedrohungen bewusst ist.

Die Cyber-Versicherung ist eine sinnvolle Antwort auf ein akutes Risiko

Die Bedrohung durch Hacker, Viren und Trojaner lässt sich nicht mehr ignorieren: Die Frage ist nicht ob, sondern wann ein Unternehmen betroffen ist.

Gleichzeitig werden Datenschutz- und Compliance-Anforderungen immer strenger.

Eine Cyber-Versicherung bietet in dieser Situation auf ähnliche Art Schutz wie eine Krankentagegeld-Versicherung für die Arbeitsfähigkeit von Selbstständigen: Sie kann den Ausfall nicht verhindern. Aber sie sorgt dafür, dass die wirtschaftlichen Folgen beherrschbar bleiben.

Wir von acant sind Experten für Cyber-Versicherungsschutz. Rufen Sie uns an: Wir beantworten Ihre Fragen. Kostenlos und ausführlich.

Schwachstelle Fenster Versicherungsfall - - Foto von Анастасия Гепп via Pixabay

Ausgesperrt? Aber nicht lange …

Ausgesperrt – und der Schlüssel ist in der Wohnung? Eine vertrackte Situation. All oft leichter lösen lässt als gedacht – zu leicht, aus Sicht der Versicherungsbedingungen.

Und schon ist man drin

Sie gehen aus der Wohnung und ziehen die Tür zu. Dann fällt es Ihnen ein: Der Schlüssel ist noch drin. Ärgerlich, nicht wahr?
Aber vielleicht haben sie ja Glück, und irgendwo ist ein Fenster oder die Balkontür gekippt. Das reicht schon:

Oder Sie ersparen sich die Kletterei. Wenn Sie nicht gerade eine selbstverriegelnde Tür haben, reicht in der Regel eine Fahrradspeiche, ein fester Draht, oder ein krummes, aber festes Stück Plastik, z. B. von einer Cola-Flasche. Damit kriegt man eine Tür auf, die nur zugezogen wurde. Sehen Sie selbst:

Und wo ist das Problem?

Das Problem besteht darin, dass auf die Art auch Einbrecher schnell drin sind. Und wenn Sie es denen zu einfach machen, dann droht doppelter Schaden: Dann kommt die Versicherung nicht für die Einbruchsschäden auf. Wegen Fahrlässigkeit. Das gilt auch für die altbekannte Sache mit dem Schlüssel unter dem Fußabtreter oder unter dem Blumentopf neben der Tür.

Und am Rechner?

Aussperren kann man sich bekanntlich auch vom Computer, oder Smartphone, oder aus der Banking-App, oder all den anderen digitalen Dingen, für die man ein Passwort oder eine PIN braucht. Deshalb gibt es dort das Gegenstück zum Schlüssel unterm Blumentopf: den Klebezettels am Schreibtisch.

Aber damit ist im Falle eines Falles der Versicherungsschutz ebenfalls dahin.

Lieber einmal fürs Öffnen zahlen als auf dem Einbruchsschaden sitzen bleiben

  • Mit den Tipps oben sparen Sie sich den Schlüsseldienst. Wenn Sie jedoch beim Gehen Fenster gekippt lassen und die Tür nur zuziehen, sparen Sie Ihrer Versicherungsgesellschaft Geld. Die muss ja dann nicht leisten, falls jemand einbricht.
  • Ganz ähnlich ist es mit Passwörtern, die auf PostIt-Zetteln notiert neben dem Gerät kleben. Weg damit!
  • Und schließlich: Solche Fahrlässigkeit ist auch bei Unternehmensversicherungen nicht gedeckt. Deshalb: Sind Sie sicher, dass niemand von Ihren Mitarbeiterinnen und Mitarbeitern leichtsinnig ist?

Übrigens: Wenn Sie wissen wollen, was Ihre Versicherungsbedingungen sonst noch ein- bzw. ausschließen, dann fragen Sie uns. Wir von acant verstehen das Kleingedruckte, und übersetzen es gern für Sie in normales Deutsch.