Datenschutz im Verein - per Rechtsschutz versicherbar

Datenschutz im Verein: Datenschutz-Baustein für Vereins-Rechtsschutz

Datenschutzvorschriften gelten auch für Vereine

Viele e. V. haben inzwischen zwar eine Datenschutzerklärung auf der Vereinswebsite. Aber das Datenschutzrecht verlangt mehr als das. Grundsätzlich darf ohne Einwilligung der Betroffenen nicht einmal der runde Geburtstag von Vereinsmitgliedern veröffentlicht werden, oder das aktuelle Mannschaftsfoto mit dem Namen der Spieler.

Für eine Abmahnung reicht schon ein Einzelner

Das gilt grundsätzlich für alle – Sportvereine, Kleingartenvereine, Brauchtumsvereine oder was auch immer. Für eine teure Abmahnung reicht schon ein einziger Querulant aus. Noch größer ist das Risiko, wenn der Verein auch die personenbezogenen Daten von Vereinsfremden „verarbeitet“. Dann etwa, wenn Mitglieder anderer Vereine an Wettkämpfen, Vorführungen oder Treffen teilnehmen.

Rechtsschutzversicherung gegen Datenschutzverstöße im Verein

Die Roland hat deshalb einen speziellen Baustein für ihre Rechtsschutzversicherungen auf den Markt gebracht, der im Fall von Datenschutzverstößen die rechtlichen Risiken für Vereine und Vereinsvorstände abdeckt. Für manche Vereine ist dieser Rechtsschutz-Baustein mit Sicherheit sinnvoll.

Fragen?

Rufen Sie uns an. Das kostet nichts, und wir beraten Sie gern dazu, welche Form von Versicherungsschutz für Ihren Verein Sinn ergibt, und welche nicht. Sie erreichen uns unter 030 863 926 990 oder 0176 10318791.

Wie bei einer Cyber-Versicherung: die richtige Wahl entscheidet.

Die richtige Cyberversicherung: wichtig, sinnvoll, nicht ganz einfach

Thema Cyberversicherung: über die Unternehmensversicherungen speziell gegen Cyber-Kriminalität und IT-Katastrophen wird immer öfter berichtet. Dabei wird – zumindest in seriösen Quellen – stets dazugesagt, dass dies ein komplexes Thema ist.

Seit Jahren meine Rede! Eine Cyberversicherung erfordert Beratung, sonst bringt sie statt Nutzen nur Kosten. Aber heute beschlossen, mal andere argumentieren zu lassen, und zitiere nur:

Leistungen und Kosten von Cyber-Policen

Die Leistungen von Cyber-Policen unterscheiden sich allerdings je nach Anbieter teilweise deutlich. Unternehmer müssen das genau prüfen. (…) Die Prämienkosten variieren stark, sie richten sich nach Risiko und Größe der Firma, der Art der Daten und der vereinbarten Leistungen. Die Spanne reicht von 500 bis über 100.000 Euro pro Jahr

U. Hottelet, „Wie können sich Unternehmen/Selbständige gegen Cyber-Risiken versichern?“ Haufe.de

Als Versicherungsmakler achte ich strikt darauf, dass Prämienkosten, Deckung und faktisches Risiko für den Kunden betriebswirtschaftlich optimal passen. Das ist eine meiner Kernleistungen.

Risikoanalyse und Versicherungsschutz prüfen

Eines der größten Hindernisse für eine stärkere Verbreitung von Cyberversicherungen ist die sehr aufwendige Risikoanalyse. (…) Wichtig ist es, den Versicherungsschutz genau zu prüfen, also in welchen Fällen gezahlt wird und in welchem Umfang.

Teresa Ritter, Arbeitskreis Öffentliche Sicherheit im Bitkom e. V., in AssCompact 1/2019

Versicherungsschutz prüfen bedeutet, alle Unter- und Teildeckungen, die Deckungsausschlüsse und die Versicherungsbedingungen genau im Blick zu haben. Das ist mein Job. Und die Risikoanalyse führe ich gemeinsam mit meinen Kunden durch.

Die Bedeutung des individuellen Geschäftsmodells

Branchen und Betriebsarten haben für die Cyberversicherung nur untergeordnete Bedeutung. So ist das Cyberrisiko einer lokalen Boutique völlig anders zu bewerten als das eines (vielleicht auch kleinen) Online-Händlers. Und das, obwohl beide Unternehmen Kundendaten sammeln, möglicherweise Kreditkartendaten verarbeiten und ihre Daten und Systeme eventuell auch beide vollständig selbst betreiben oder durch Dritte betreiben lassen. (…) Entscheidend ist, das Geschäftsmodell des Kunden zu durchdringen.

Michael Franke, Leonard Wolf (Franke und Bornberg), in AssCompact 1/2019

Jede Beratung bei acant beginnt damit, Geschäftsmodell und individuelle Situation des Kunden genau festzustellen. Nur dann kann man überhaupt anfangen, sich über Versicherungen zu unterhalten.

Am Thema Cyber-Versicherung kommt man nicht mehr vorbei

Bei der Anzahl stellen wir mittlerweile fest, dass auf jeder zehnten Police mittlerweile ein Schadensfall gemeldet worden ist. Wir sehen Cyberversicherungen von der Aufmerksamkeit her bei den Top fünf-Themen, und das wird in Zukunft sicher eines der Top drei-Themen sein.

Jens Krickhahn, Allianz – AGCS, gegenüber BR24

Für acant ist das Thema Cyber-Versicherung nicht neu. Wir vermitteln  seit 2013 Cyberversicherungen, haben entsprechende Erfahrung und kennen den Markt sehr genau.

Bei acant gibt es zu jeder vermittelten Cyber-Versicherung die nötige Beratung dazu. Neutral und kostenlos.

Wir von acant sind Versicherungsmakler. Dem Kunden das jeweils beste Versicherungsprodukt zu vermitteln und dabei nur seinen Interessen verpflichtet zu sein, schreibt uns das Gesetz vor. Es ist auch unser eigenes Interesse. Schließlich leben wir von der Qualität der Vermittlungsleistung. Und von langfristigen Geschäftsbeziehungen.

Wenn Sie mehr über mögliche Versicherungen gegen Hacker, Trojaner, Datenpannen & Co. wissen wollen, dann fragen Sie uns einfach. Wir legen Wert auf individuelle Beratung – und die ist kostenlos. Sie erreichen uns unter 0 30 863 926 990, oder per  E-Mail ah info@acant.de.

Ohne Sicherheitsmaßnahmen sind Geschäftsgeheimnisse schnell ausgespäht.

Das Geschäftsgeheimnisgesetz kommt – sichern Sie Ihre Geschäftsgeheimnisse

Geplantes Gesetz zum Schutz von Geschäftsgeheimnissen

Bereits seit einiger Zeit befindet sich der Entwurf zum sogenannten Geschäftsgeheimnisgesetz in der Pipeline (zurzeit im Bundestag). Dabei sind Regierung und Parlament zu spät dran, eigentlich hätte die EU-Richtlinie (EU) 2016/943 schon letzten Sommer in deutsches Recht umgesetzt sein müssen. Wann das neue Gesetz kommt, steht noch nicht fest. Aber es wird kommen.

Geschäftsgeheimnis ist nur, was auch angemessen geschützt wird

Dem Entwurf zufolge können alle möglichen Informationen eines Unternehmens Geschäftsgeheimnis sein (sofern sie wirtschaftlichen Wert haben und geheim sind): neben Bauplänen, Rezepturen oder Quellcodes beispielsweise auch Kundenlisten, Bezugsquellen, ein Marketing- oder ein Geschäftsplan.

Das gilt jedoch nur, wenn das Unternehmen für diese Informationen auch angemessene Geheimhaltungsmaßnahmen getroffen hat. Nach der bisherigen Rechtslage ( (§§ 17 – 19 UWG) muss dagegen nur der Wille zur Geheimhaltung klar erkennbar sein.

Das bedeutet: Ohne Schutzmaßnahmen keine Ansprüche bei Missbrauch/Diebstahl

Daraus folgt ganz praktisch: Mit der neuen Rechtslage müssen Unternehmen nachweisen können, dass sie sich aktiv um angemessenen Schutz ihrer Geschäftsgeheimnisse gekümmert haben. Nur dann können sie gegen Fälle von Missbrauch oder „Diebstahl“ von Geschäftsgeheimnissen vorgehen.

Wer den Schutz der eigenen Geschäftsgeheimnisse versäumt hat, kann keinen Schadenersatz fordern, falls ein Arbeitnehmer internes Know-how unter der Hand weitergibt oder ein Wettbewerber es für Konkurrenzangebote nutzt. Und es besteht kein Anspruch, dass die abgekupferten Produkte vom Markt genommen werden.


Schutz durch Technik, durch organisatorische Maßnahmen und durch Vertragsklauseln

Worin „angemessener Schutz“ besteht, hängt vom konkreten Fall ab, vom wirtschaftlichen Wert die Information etc. Grundsätzlich gibt es drei Handlungsfelder:

  • IT-Security sowie andere technische Maßnahmen, etwa Videoüberwachung und/oder elektronische Zutrittssysteme.
  • Organisatorische Schritte: klare Zuständigkeit für Geheimhaltungsmaßnahmen, Schulungen und ein internes Berechtigungsmanagement (Regeln: wer darf was sehen/hat wo Zugang etc. – und wer nicht?).
  • Ganz wichtig: Wirksame vertragliche Verschwiegenheitsklauseln, in den Arbeitsverträgen und in Vereinbarungen mit Geschäfts- und Projektpartnern.

Geschäftsgeheimnisse versichern?

Es gibt keine spezielle „Geschäftsgeheimnisversicherung“. Wettbewerbsrechtliche und urheberrechtliche Themen sind fast immer vom Versicherungsschutz ausgeschlossen.

Cyberversicherungen gibt es allerdings auch ohne solchen Ausschluss. Dann sind auch Geschäftsgeheimnisse in der Deckung enthalten. Das Beziffern des Schadens kann kompliziert werden. Anwalts- und Gerichtskosten sollten aber in jedem Fall „drin“ sein.

Umgekehrt gibt es eine ganze Reihe von Versicherungen, mit denen man sich schützen kann, falls man selbst zum Ziel von Ansprüchen wegen der Verletzung von Geschäftsgeheimnissen wird. Versichern kann man etwa:

  • Vertrauensschaden
  • Betriebshaftpflicht
  • Managerhaftpflicht
  • Strafrechtsschutz
  • Cyber-Schutz

Rufen Sie uns an, wenn Sie Fragen haben

Haben Sie Fragen konkret zu Ihrem Unternehmensrisiko und möglichem Versicherungsschutz? Rufen Sie uns doch einfach an (0 30 863 926 990) oder schreiben Sie uns eine E-Mail (info@acant.de). Wir nehmen uns Zeit für Sie – und unsere Antworten kosten Sie keinen Cent!

So kompliziert muss das Versichern des Unternehmens nicht sein.

Drei typische Fehler beim Versichern von Unternehmen: Eine Mini-Checkliste

Wenn Unternehmen beim Abschluss von Versicherungen Fehler machen, dann hat das die gleichen Auswirkungen wie Fehler auf anderen Gebieten, etwa beim Marketing, der Produktplanung oder beim Personalmanagement: Das Unternehmen verliert Geld.

Versicherungen machen schließlich nur dann Sinn, wenn sie dem Unternehmen unterm Strich Geld sparen.

Mini-Checkliste:

  • Sie wissen nicht, was genau Ihre Versicherungen genau abdecken. Viel schlimmer: Sie können es nicht jederzeit problemlos herausfinden. Das ist übrigens der Normalfall. Wie viele Unternehmen beschäftigen schon einen Versicherungsrechtler?

    Einfache Lösung: Ein vertrauenswürdiger, fester Versicherungsmakler. Der erklärt Ihnen jederzeit, was Sie versichert haben und was nicht. Einmal, bevor Sie die Police abschließen, und danach jederzeit auf Zuruf. In gewisser Weise haben Sie damit also doch einen Versicherungsrechtler an Bord.

  • Ihre Versicherungen sind nicht mehr aktuell, weil sie vor Jahren abgeschlossen wurden, aber seither nicht mehr an die Veränderungen im Unternehmen angepasst wurden.

    Machen Sie die Probe aufs Exempel: Bilden Ihre Unternehmen das ab, was es in den letzten Jahren an Veränderungen im Personalbestand, an Aufträgen, neuer Ausrüstung und an Investitionen gab?

    Zum Glück gibt es auch dafür eine einfache Lösung: Ein fester Versicherungsmakler, der Ihr Unternehmen kennt, mit dem Sie vertrauensvoll zusammenarbeiten und der sich aus eigenem Antrieb darum kümmert, das die Versicherungsverträge jedes Jahr an Veränderungen des Betriebs angepasst werden.

  • Sie sind überversichert oder unterversichert und verlieren deshalb Geld. Wenn Sie überversichert sind, zahlen Sie laufend für Deckungen, die Sie nicht benötigen. Wenn Sie unterversichert sind, müssen Sie im Versicherungsfall den Schaden selbst auffangen. Für die Versicherungsgesellschaft ist übrigens beides kein Problem, die kommt immer auf ihre Rechnung.

    Auch hier ist wieder der Versicherungsmakler die Lösung. Weil er weiß, wie man die Risiken eines echten, lebendes Unternehmens erfasst und diese dann in Deckungen abbildet.

Beim Versichern können die meisten Unternehmen sparen. Aber nicht durch den scheinbar billigsten Vertragsabschluss.

Um es nochmal zu sagen: Versicherungen sind nur dann sinnvoll, wenn sie Ihrem Unternehmen Geld sparen, bezogen auf eine sinnvolle, realistische Einschätzung der individuellen Situation.

Der schnelle, einfache und scheinbar günstige Abschluss von Versicherungen beispielsweise über eine Vergleichsplattform leistet genau das jedoch nicht.

Wenn Sie wissen wollen, wie Ihr Unternehmen teure Fehler beim Versichern vermeiden kann, dann rufen Sie mich einfach an: 030 863 926 990 oder 0176 10318791. info@acant.de funktioniert natürlich auch, um Kontakt aufzunehmen.

Praktische IT-Sicherheit im Geschäftsalltag speziell für kleine und mittlere Unternehmen

Das Problem ist bekannt – gesucht wird die Lösung:

Auch kleine und mittlere Unternehmen sind handfesten digitalen Risiken ausgesetzt. Den Inhabern und Geschäftsführern ist das auch längst klar. Das weiß ich aus meinen täglichen Gesprächen mit Kunden und Interessenten. Fast jeder hat von Unternehmen gehört, in denen ein Verschlüsselungstrojaner auf dem USB-Stick den gesamten Betrieb für Tage lahmgelegt hat, oder ein unzufriedener Mitarbeiter mal eben die Unternehmensdaten vernichten konnte, oder ein Software-Fehler die Produktion stoppte.

Es fehlt nicht am Problembewusstsein, sondern daran, dass der Weg zur Lösung nicht klar ist. Denn auch wenn es oft genau so dargestellt wird: Sicherheit ist kein Produkt, dass man einmal einkauft, installiert und dann abhakt (leider). Die IT-Sicherheit des eigenen Unternehmens ist ein Prozess, den man zum Laufen bringen muss. Das mag abgedroschen klingen. Aber ich denke dabei an praktische, umsetzbare Schritte, und konkrete Dienstleistungen, die man sich einkaufen kann.

Frage eins: Wer ist dafür zuständig, die IT-Sicherheit im Auge zu haben?

Das ist der Startpunkt, und bereits auf diese Frage gibt es in vielen Büros, Werkstätten und Firmen keine klare Antwort.

Ein Unternehmen mit zehn oder zwanzig Mitarbeitern kann sich keinen eigenen IT-Sicherheitsbeauftragten installieren. Aber in dem Fall sollte es einen externen Dienstleister dafür geben. Jemand, der das Unternehmen mit Blick auf die IT-Sicherheit durchleuchtet ,die wirklich nötigen Maßnahmen anstößt oder gleich durchführt. Und zwar regelmäßig – etwa einmal im Jahr. Oder immer dann, wenn das Geschäft erweitert wird, sich etwas in den Abläufen ändert etc.

Benötigt wird dafür ein Dienstleister mit dem nötigen Know-how und Engagement. Sinnvollerweise sollte er eine Zertifizierung mitbringt (BSI IT-Grundschutz/ISO 27001). Und im eigenen Unternehmen muss klar sein, wer Ansprechpartner ist. Übrigens hat es nach meiner Erfahrung für kleine und mittlere Unternehmen Vorteile, wenn auch ihr IT-Dienstleister aus diesem Segment kommt. Dann bringt er eher die Flexibilität und Bereitschaft mit, sich wirklich individuell mit dem „kleinen“ Kunden auseinanderzusetzen, und der Draht ist deutlich kürzer. Er muss allerdings absolut professionell arbeiten.

Übrigens: Ab ca. 50 Mitarbeitern, oder in Branchen mit besonders sensiblen Daten wie dem Gesundheitsbereich, lohnt sich das Einrichten der Position eines IT-Sicherheitsbeauftragen: dann ist nicht nur die Vorbereitung auf Risiken, sondern auch die Reaktionsfähigkeit im Krisenfall eine ganz andere. Und gerade das schnelle, gezielte Reagieren im Ernstfall spart dem Unternehmen erhebliche Summen.

Frage zwei: Was wird dafür getan, um die Mitarbeiter auf IT-Risiken aufmerksam zu machen?

Das ist ein anderer Punkt, den viele kleine und mittlere Unternehmen völlig vernachlässigen, obwohl er sich einfach ändern lässt. Für die meisten Mitarbeiter sind Computer, Laptop und Telefon Geräte, die man zum Arbeiten (Einkaufen, Chatten …) benutzt. Dass es viele digitale Gefahren gibt, wissen sie abstrakt. Aber ist ihnen konkret klar, woran man eine Phishing-Mail erkennt, warum man Passwörter nicht per WhatsApp verschickt und was droht, wenn man Gratis-Spiele-Apps auf dem Firmenhandy installiert?

Schulung heißt das Zauberwort. Und die Umsetzung im Alltag, ausgehend vom Chef: Der muss durch das eigene Beispiel klarmachen, dass bestimmte Verhaltensweise am Smartphone oder Laptop genauso unverantwortlich sind wie das Rauchen im Tanklager oder eine unbeaufsichtigte Kasse. Entwickelt das Team im Alltag ein normales, angemessenes IT-Sicherheitsbewusstsein, reduziert sich die die Angriffsfläche des Unternehmens enorm.

Frage drei: Stimmt die grundlegende IT-Infrastruktur?

Hier geht es um ganz konkrete Punkte, und wenn es jemand gibt, der für IT-Sicherheit zuständig und kompetent ist (Frage eins), dann sind diese Dinge fast schon abgehakt: Hat das Unternehmen einen sicheren Server, auf dem es Daten ablegt (ob in der Secure Cloud eines großen Anbieters, bei einem kleinen, aber sicherheitsbewussten Provider oder im eigenen Unternehmen)? Ist die Software, die im Unternehmen eingesetzt wird, einigermaßen sicher, und wird sie einheitlich und professionell verwaltet? Gibt es grundlegende Vorkehrungen, Firewall, Virenschutz etc.? Werden alle wichtigen Daten gesichert, werden sensible Daten beim Löschen wirklich gelöscht? Und so weiter.

Frage vier: Wer sorgt laufend für den Fall vor, dass es doch zu einer Sicherheitsverletzung kommt?

Das machen wir, die acant.service GmbH. Dafür sind wir Versicherungsmakler.

Übrigens ist auch das ein Prozess, kein einmaliger Einkauf. Für sinnvollen Versicherungsschutz, auch und gerade gegen digitale Gefahren, muss zunächst einmal genau geschaut werden, wo das Unternehmen wirklich Risiken ausgesetzt ist. Ein nicht existentes Risiko zu versichern ist teuer. Ein existentes Risiko nicht zu versichern ist ebenfalls teuer. Das muss also passen. Dafür sind wir Experten da.

Anschließend muss der Versicherungsschutz aktuell gehalten werden. Deshalb überprüfen wir bei jedem Kunden von uns jedes Jahr, ob die Deckungen weiterhin passen, oder geändert werden müssen. Wenn es Veränderungen gibt – neue Maschinen, eine neue Niederlassung, ein besonders großer Auftrag, ein Sonderprojekt – natürlich auch zwischendurch.

Das gehört zu unserem Service als Versicherungsmakler, genau wie das Recherchieren und Aushandeln der optimalen Police oder die Betreuung im Schadensfall. Deshalb ist Frage vier besonders leicht zu beantworten: Sie müssen uns dafür nur anrufen (030 863 926 990 oder 0176 10318791).

Smart car als Sicherheitsrisiko

Smart Cars im Visier der Hacker, Versicherungen für Drohnen, Vibratoren als Datenschleuder

Warum sollte man einer Versicherung gegen Cyber-Risken zumindest mal ein paar Gedanken gewidmet haben? Man muss eigentlich nur Nachrichten lesen, um die Frage zu beantworten. Das zeigen diese Fundstücke aus den letzten Tagen – alle mit einem Bezug zu Technologie, Risiko, Haftung und Versicherung. Als Versicherungsmakler sind das ja nun mal unsere Themen.

Read moreSmart Cars im Visier der Hacker, Versicherungen für Drohnen, Vibratoren als Datenschleuder

Haftungsfreistellung zum Herunterladen. Kostenlos. Mit Warnung.

Ob wir nicht eine Haftungsfreistellungsklausel hätten, hat uns ein Anrufer vor kurzem gefragt. Er ist Programmierer, Freelancer und will verständlicherweise dafür sorgen, dass er nicht bei jedem von ihm ausgeführten Auftrag grenzenlos haftet.

Fein, haben wir uns gedacht – und tatsächlich eine Musterklausel zur Haftungsfreistellung (PDF) erstellen lassen, die Sie gerne kostenlos herunterladen und übernehmen dürfen. Aber lesen Sie unbedingt die Warnhinweise, die wir dazugepackt haben.

(Spoiler: Haftung kann man durch sogenannte formularmäßige Klauseln bestenfalls begrenzt ausschließen. Eine solche juristische Wunderpille bringt deshalb mehr Schaden als Nutzen. Was wirklich hilft, ist das Versichern der Haftung.)

IT-Compliance, Teil 2: Persönliche Manager-Haftung für IT-Sicherheitsmängel

Wie fehlende IT-Compliance zu Schadenersatzforderungen gegen die Geschäftsleitung führen kann.

  • Im ersten Teil ging es um Compliance generell, und warum Compliance-Verstöße schnell zur persönlichen Haftung aus Geschäftsleiterverantwortung führen können.
  • In dieser Folge wollen wir uns speziell mit IT-Compliance als Risiko für persönliche Schadenersatzansprüche befassen.

Zur Compliance gehört die IT-Sicherheit des Unternehmens

Maßnahmen, die IT-Sicherheitsstandards und Datenschutz-Vorschriften im Unternehmen verankern, sind für die Compliance genauso wichtig wie Abläufe, die eine korrekte Buchführung garantieren oder Bestechung verhindern. Ohne solide, professionelle IT-Security lässt sich weder das vom Gesetzgeber vorgeschriebene Risikomanagement betreiben noch das von Investoren und Kapitalgebern erwartete Niveau an Corporate Governance erreichen.

Ein großer Teil der Werte des Unternehmens ist digital: Ohne Daten, Hardware, Netzwerke und Systeme sind weder Produktion noch Rechnungswesen, Vertrieb oder Marketing denkbar. Datenbestände bilden das Wissen eines Betriebs ab. Selbst so schwer fassbare Dinge wie das Vertrauen der Kunden in die Datensicherheit und das Prestige der Marke in den sozialen Netzwerken sind digital assets. Sie müssen geschützt werden, weil jede Beschädigung immer auch ein finanzieller Schaden ist.

Diese digitalen Werte sind ein Teil des Kapitals, das der Unternehmensleitung anvertraut wurde. Sie ist rechenschaftspflichtig: Der Vorstand oder die Geschäftsführer müssen ihren verantwortungsvollen Umgang nachweisen. Ein wichtiger Teil davon sind angemessene Vorsorgemaßnahmen zum Schutz und zur Erhaltung dieser Werte. All das gehört zu den Geschäftsführungspflichten.

Die Aufgaben lassen sich delegieren – die Haftung nicht

Dass bedeutet nicht, dass sich das Management selbst um technische Maßnahmen wie die Installation von Datensicherungsroutinen kümmern muss oder persönlich den Verschlüsselungsgrad des Cloud-Anbieters überprüfen sollte. Natürlich werden die fachlichen Aufgaben in aller Regel delegiert – an die IT-Abteilung, andere Fachabteilungen oder auch an externe Dienstleister. Aber die Geschäftsleitung muss Sorge tragen, dass alle Maßnahmen, die zur Herstellung von IT-Compliance nötig sind, von qualifizierten Kräften erledigt werden. Und in jedem Fall bleibt die Geschäftsleitung dafür verantwortlich, dass sie die Beauftragten sinnvoll auswählt und die Ausführung angemessen überwacht. Diese Pflicht selbst lässt sich nicht delegieren, genauso wenig wie die Haftung für Versäumnisse, die daraus folgt.

Es geht auch keineswegs nur um technische Lösungen. IT-Compliance schließt die betrieblichen Prozesse ein. Schließlich nützt die Technik wenig, wenn dann ein von Sorglosigkeit oder Unwissen geprägter Umgang damit Sicherheitslücken aufreißt. Deshalb müssen zur technischen Ausstattung und Überwachung entsprechende betriebsorganisatorische Maßnahmen kommen: Angefangen von der Fortbildung der Mitarbeiter über genau abgestufte Zugriffsmöglichkeiten bis zu klaren, arbeitsrechtlich verbindlichen Regeln zur IT-Nutzung: Dürfen Mitarbeiter das Internet auch für private Zwecke nutzen? Können private Geräte für Arbeitszwecke gebraucht werden? Wer ist für Passwortsicherheit verantwortlich? Wer hat Zutritt zum Serverraum? Was muss wie archiviert werden? Nur wenn auch solche Punkte verbindlich geregelt sind, und alle Mitarbeiter wissen, dass diese Regeln durchgesetzt werden, kann man von IT-Compliance sprechen.

Im Umkehrschluss bedeutet das: Wenn die Geschäftsleitung es versäumt hat, für ausreichende technische und organisatorische Sicherheitsmaßnahmen zu sorgen, dann kann ihr das als Pflichtverletzung ausgelegt werden – und dann drohen Regressansprüche im Schadensfall.

Ein wichtiger Teil der Risikomanagements: IT-Risiken versichern

IT-Risiken lassen sich wie andere betriebliche Risiken in vielen Fällen durch eine Versicherung in den Griff bekommen. Soweit Rechner, Software und Daten betroffen sind, schützen Cyber-Versicherungen vor den finanziellen Folgen von Angriffen, Computer-Sabotage, mangelnder Vorsicht oder Havarien. Weitere einschlägige Versicherungen sind Maschinen- und Elektronikversicherungen. Cyber-Versicherungen bieten den Vorteil, dass sie nicht nur den Wert der betroffenen Geräten und Daten selbst in der Deckung enthalten, sondern auch Bausteine für andere Schadensfolgen wie Ansprüche von Geschädigten, Lieferverzögerungen, Rechtskosten und Kosten für Notfall- und Aufklärungsmaßnahmen.

Vor allem machen Versicherungen das Risiko bilanziell beherrschbar. Anstatt im Schadensfall schlagartig und unvorhergesehen den gesamten Schaden finanzieren zu müssen, lassen sich die Kosten des Schadens in planbare Prämien umwandeln – die zudem als Betriebsausgaben die Steuerlast senken. Ohne Versicherung muss der Schaden dagegen aus dem – versteuerten – Eigenkapital bezahlt oder teuer durch Fremdkapitalaufnahme finanziert werden.

Sinnvoller, angepasster Versicherungsschutz ist ein wichtiger Baustein für IT-Compliance.

Ein Haftungsrisiko: Datenschutzrecht

Datenschutzbestimmungen können besonders leicht zur Stolperfalle für Führungskräfte werden und zu persönlicher Haftung führen. In vielen Fällen übertragen die Gesetze die Verantwortung für die Einhaltung sogar explizit an die Geschäftsführung. Allerdings gibt es viele Regelungen: Einschlägig sind Bundesdatenschutzgesetz (BDSG) , das Telemediengesetz (TMG) , das Telekommunikationsgesetz (TKG) das Signaturgesetz (SigG) und das IT-Sicherheitsgesetz samt der zugehörigen KRITIS-Verordnung, die die Bereiche Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung betrifft. Für 2017 steht die KRITIS-Regelung der Bereiche Finanzen, Transport, Verkehr und Gesundheit an. Und ab 2018 wird die europäische Datenschutzgrundverordnung (EU-DSGVO) zur Anwendung kommen.

Die Strafen, mit denen Unternehmen bei Datenschutzverstößen belegt werden können, haben es in sich. Das BDSG sieht Geldbußen von bis 50.000 Euro vor, für schwere Verstöße bis 300.000 Euro. Das IT-Sicherheitsgesetz ermöglicht Bußgelder bis zu 100.000 Euro. Die EU-DSGVO legt sogar Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes fest.

Ein Kostentreiber neben Bußgeldern ist die gesetzliche Pflicht, nach einem Datenschutzverstoß alle Betroffenen zu informieren. Das muss, rasch, individuell und in rechtlich angemessener Form geschehen – und führt zu entsprechenden Ausgaben. Kopiert hat ein Hacker die Daten von zehntausend Kunden und Interessenten schnell. An jeden ein juristisch stichhaltiges Schreiben aufzusetzen, kostet dagegen viel Zeit und noch mehr Geld.

Und da die Verantwortung für die Einhaltung der Datenschutzvorschriften bei der Geschäftsführung liegt, können aus den Kosten von Versäumnissen sehr schnell Schadenersatzforderungen gegen das Führungspersonal werden.

Ein weiteres Haftungsrisiko: Digitale Buchhaltung

Buchführungspflichten waren schon immer mit Haftungsrisiken belastet. Seitdem die Bücher elektronisch geführt werden, gilt das noch mehr. Zum einen stellt das Handelsgesetzbuch Anforderungen an digitale Handelsbücher (§§ 238, 239, 257 HGB). Zum anderen hat das Bundesfinanzministerium die GoBD veröffentlicht, Grundsätze zur Führung und Aufbewahrung von Unterlagen in elektronischer Form. Sie verlangen, dass digital geführte Bücher vollständig, richtig, übersichtlich und zeitgerecht sein müssen. Jede nachträgliche Änderung, etwa nach einer Fehlbuchung, muss erkennbar sein. Für jede Buchung müssen Belege existieren. Außerdem gilt die Pflicht zur Archivierung: sämtliche Dokumente, auch E-Mails, müssen abrufbereit vorgehalten werden, solange für sie die gesetzliche Aufbewahrungsfrist gilt.

Versäumnisse können sogar ein Straftatbestand sein (§ 283b StGB). In jedem Fall drohen jedoch teure Folgen, denn wenn das Finanzamt Grund hat, an dem Aufzeichnung zu zweifeln oder keine mehr vorliegen, dann wird die steuerliche Bemessungsgrundlage einfach geschätzt.

Noch ein Haftungsrisiko: Vertragsvereinbarungen

Inzwischen sind Vereinbarungen zur IT-Sicherheit und zum Datenschutz Teil vieler Verträge, direkt oder über Liefer- und Geschäftsbedingungen. Der Lieferant kann etwa dazu verpflichtet werden, die IT-Sicherheitsnorm ISO 27001 oder einen BSI-Grundschutzlevel einzuhalten. An Verstöße gegen diese Pflicht kann eine Vertragsstrafe gebunden sein. In anderen Fällen führt das Fehlen oder der Verlust der Zertifizierung zu einer außerordentlichen Kündigung. Auch hier können die resultierenden Einbußen wiederum die persönliche Haftung eines verantwortlichen Geschäftsführers oder Vorstands aktivieren.

Die möglichen Folgen von IT-Sicherheitslücken

Eine mangelhafte oder komplett versäumte IT-Compliance hat teure Folgen. Neben rein wirtschaftlichen Folgen wie Reputationsverlust und entgangenen Aufträgen etwa:

  • Den verantwortlichen Organmitgliedern drohen wegen Organisationsverschulden Bußgelder, im Extremfall sogar Freiheitsstrafen.
  • Dem Unternehmen stehen Schadenersatzforderungen gegen die Organe zu (§§ 91, 93, 116 AktG).
  • Im Raum steht die Abschöpfung des „gesamten wirtschaftlichen Vorteils“ durch Verfall, § 73 StGB, § 29a OWiG
  • Schmerzhaft können Schadenersatzansprüche von Wettbewerbern gemäß § 33 GWB werden.
  • Von Seiten des Finanzamts drohen ein Abzugsverbot, eine Schätzung und die Weiterleitung des Vorgangs an die Staatsanwaltschaft.
  • Gefährdet ist auch das Unternehmens-Rating.
  • Für öffentliche Aufträge kann national eine Sperre die Folge von Compliance-Verstößen sein, international droht die Aufnahme in die „Black List“.

 

IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme nicht mehr reagieren, Kundendaten oder wichtige Unternehmenswerte ins Ausland transferiert wurden, Produktionsausfälle und Lieferverzögerungen zu Vertragsstrafen führen, Datenschutzverletzungen einen Shitstorm ausgelöst haben und die Marke beschädigt ist.

Stellt mangelnde IT-Sicherheit ein Führungsversagen dar, das Schadenersatzansprüche begründet? Das ist die entscheidende Frage. Die Antwort ist juristisch komplex, berührt verschiedene Rechtsgebiete, richtungsweisende Gerichtsentscheidungen gibt es noch nicht. Im Ergebnis lautet sie jedoch ja.

Beispiele: Haftungsszenarios

Die folgenden Beispiele sind fiktiv. Aber sie sind realistisch.

  • Ein Hacker schleust Schadsoftware in die Produktionssteuerung ein. Das führt zum Totalschaden mehrerer Fertigungsanlagen. Die Produktion fällt monatelang aus, viele Arbeitnehmer sitzen herum. Das Unternehmen kündigt vielen von ihnen, das Arbeitsgericht hebt die Kündigungen jedoch auf: eine betriebsbedingte Kündigung sei ungerechtfertigt: Sie wären überflüssig, wenn das Management durch eine Cyber- oder Produktionsausfallversicherung Vorsorge gegen den Schaden getroffen hätte. Daraufhin wird der bisherige Geschäftsführer von den Anwälten der Gesellschaft auf Schadenersatz über die Lohnkosten in sechsstelliger Höhe verklagt.
  • Ein als GmbH geführter Online-Shop wird verkauft – einschließlich der digitalen Kundenkartei. Er hat dafür aber nicht die erforderliche Genehmigung seiner bisherigen Kunden. Die Landesdatenschutzbehörde verhängt 10.000 Euro Bußgeld. Der GmbH-Geschäftsführer, der den Verkauf durchgeführt hat, wird von seiner Gesellschaft in Regress genommen.
  • Ein Unternehmen klagt vor dem Finanzgericht gegen einen Umsatzsteuerbescheid für einen zurückliegenden Zeitraum. Dabei stellt sich heraus, dass die Belege, die vor einigen Jahren digital archiviert wurden, nicht mehr abrufbar sind. Ohne Nachweise lässt sich das eigentlich sehr aussichtreiche Verfahren nicht gewinnen, das Unternehmen zu einer Steuernachzahlung in sechsstelliger Höhe verurteilt. Einer der Gesellschafter verklagt den Geschäftsführer auf Schadenersatz.

Compliance und IT-Compliance

Anders ausgedrückt: Wenn Sie Geschäftsführer oder Vorstand einer Kapitalgesellschaft sind, besteht für Sie durchaus ein sehr reelles Risiko, persönlich mit Schadenersatzansprüchen für Cyber-Schäden des Unternehmens konfrontiert zu werden und dafür mit dem eigenen Vermögen zu haften.

Der Grund ist einfach: IT-Compliance ist als umfassende Management-Aufgabe ein Teil der gesamten Compliance-Pflichten. Wie auf anderen Risikofeldern – Korruption, unternehmensinterne Diskriminierung, Steuerrecht etc. – gehört es auch bei der IT-Sicherheit zum Verantwortungsbereich des Managements, durch die unternehmensinterne Steuerung der Prozesse die Gefahren von vornherein einzugrenzen und die systematische Befolgung von Regeln sicherzustellen.

Ich möchte in diesem zweitteiligen Beitrag zur IT-Compliance zeigen, warum das Szenario persönlicher Haftung für Cyber-Schäden keine Panikmache ist, sondern ernstgenommen werden muss:

  • Im ersten Teil geht es um Compliance und Haftung allgemein. Die Gefahr, für Unternehmensschäden persönlich in Haftung genommen zu werden und dabei seine gesamte Existenz zu verlieren, wird nach wie vor von vielen Führungskräften unterschätzt. Sie ist aber sehr real, wie sich an konkreten Beispielen zeigen lässt.
  • Im zweiten Teil sind speziell IT-Compliance und Haftungsrisiken rund um IT-Sicherheitsverletzungen Thema – und die Frage, wie diese Risiken sich wirksam verringern lassen.

Compliance

Sowohl AG-Vorstände wie auch GmbH-Geschäftsführer sind gesetzlich dazu verpflichtet, ein Überwachungssystem einzurichten, mit dem sich Entwicklungen, die den Fortbestand des Unternehmens gefährden können, frühzeitig erkennen lassen. Compliance ist auch Teil des Lageberichts einer Kapitalgesellschaft. (§§ 289, 315, 317 Abs. 2 HGB). Bei börsennotierten AGs müssen die Wirtschaftsprüfer auch die Risikofrüherkennungssysteme kontrollieren (§ 91 Abs. 2 AktG, § 317 Abs. 4 HGB).

Compliance Management ist ein Trendthema. Aber deshalb sollte man nicht darauf schließen, dass es sich dabei nur um eine Modeerscheinung handelt. Die Zahl der Veröffentlichungen ist kaum überschaubar, das Gleiche gilt für Beratungsangebote, Schulungen und den Softwaremarkt für Compliance-Management-Systeme.

All das ein klares Zeichen für den real existierenden Bedarf. Vorstände und Geschäftsführungen benötigen funktionierende Compliance-Lösungen, unabhängig von der Größe der von ihnen geführten Unternehmen.

Compliance Management bedeutet sicherzustellen, dass regelkonformes Verhalten im Unternehmen nicht allein vom Zufall oder dem guten Willen Einzelner abhängt. Die Regeln und Anforderungen müssen zum einen explizit gemacht und zweitens in die geschäftlichen Prozesse selbst eingebettet sein.

Für ein funktionierendes Compliance Management zu sorgen, gehört zu den Sorgfaltspflichten eines Vorstands beziehungsweise eines GmbH-Geschäftsführers. Gute Compliance ist aber nicht nur Prävention gegen Steuer- und Zollprüfungen oder staatsanwaltliche Ermittlungen. Als ein Messwert für Corporate Governance, die Qualität der Geschäftsführung, wird funktionierende Compliance auch von Analysten honoriert. Die Konditionen für Kapitalaufnahme werden günstiger, Versicherungsprämien fallen niedriger aus, denn Compliance ist immer auch Risikovorsorge.

Grundlage der Haftung: die Geschäftsleiterverantwortung

Zuständig und verantwortlich für eine funktionierende Compliance sind grundsätzlich immer die Geschäftsführer einer GmbH beziehungsweise die Vorstände einer Aktiengesellschaft. Das ergibt sich aus ihrer Geschäftsleiterverantwortung, die bei GmbH-Geschäftsführern aus § 43 GmbHG und bei AG-Vorständen aus den § 76 Abs. 1 AktG und § 93 AktG folgt. Zudem hat der Vorstand wie erwähnt die ausdrückliche Pflicht zur Einführung eines Überwachungssystems, „damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Absatz 2 AktG).

Wie weit die Verantwortung reicht, zeigt ein weitreichendes Urteil des Landgerichts München. Die Richter verurteilten einen ehemaligen Siemens-Vorstand zu 15 Millionen Euro Schadenersatz an das Unternehmen. Der Vorwurf: Er hatte kein Compliance-System installiert und damit nicht vorgesorgt, um ein auf schwarzen Kassen beruhendes Schmiergeldsystem zu verhindern (LG München, 10.12.2013, 5 HKO 1387/10). Das Besondere an dem Urteil ist der Umstand, dass diese Missstände gar nicht in den von diesem Vorstand intern verantworteten Bereich fielen.

Das Landgericht dehnte die Compliance-Pflicht also über den Geschäftsbereich eines einzelnen Vorstands hinaus auf die gesamte Vorstandsverantwortung aus. Das Strafgesetzbuch enthält in § 299 StGB das klare Verbot, Bestechungen im Geschäftsverkehr einzufädeln und abzuwickeln. Die Rechtsprechung macht es dem Vorstand einer AG und der Geschäftsführung einer GmbH zur Aufgabe, dafür Sorge zu tragen, dass Straftaten im Unternehmen erst gar nicht möglich sind. Das wurde dem ehemaligen Siemens-Vorstand zum Verhängnis.

Diese Pflicht zum Risikomanagement gilt auch für die Prävention von Cyberstraftaten und IT-Havarien.

Selbst wenn Compliance-Verstöße oder andere Pflichtverletzungen dazu führen, dass man persönlich in Haftung genommen wird, muss das nicht das Ende der eigenen wirtschaftlichen Existenz bedeuten. Und zwar dann nicht, wenn man über eine D&O-Versicherung (Geschäftsführer-Haftpflichtversicherung) abgesichert ist. Fragen Sie uns: 030 863 926 990

Cyber-Versicherungen: Es rollt – aber nicht immer in die richtige Richtung

Seit etwa drei Jahren sind Cyber-Versicherungen unser Hauptthema als Versicherungsmakler. Am Anfang war das nicht unbedingt ein Selbstläufer. „Wieso versichern? Wir haben doch unsere IT-Leute. Und Virenschutz und eine Firewall.“ – so klang es oft. Das hat sich geändert.

Geschäftsleute hören schließlich auch Nachrichten. Es hat sich herumgesprochen, dass Datendiebstahl und Computer-Havarien beim Mittelständler um die Ecke genauso vorkommen wie bei Weltkonzernen. Dass trotz ausgefeilter IT-Sicherheit ein Restrisiko bleibt. Und dass eine erfolgreiche Cyber-Attacke nicht nur Unternehmensdaten und Reputation, sondern auch Bilanz und Rating beschädigen kann, wenn keine Versicherung das Unternehmensergebnis rettet.

Dazu kommt der steigende Regulierungsdruck: EU-Richtlinien und Bundesgesetze bringen neue Sicherheits- und Informationspflichten. Selbst eine Vorgabe wie die Qualitätsmanagement-Norm ISO 9001 macht inzwischen Risikomanagement zur Pflicht. Natürlich geben Großunternehmen diesen Druck fleißig an Auftragnehmer und Zulieferer weiter. Denn jede neue Vorschrift führt ja auch zu neuen Haftungsrisiken.

Die Folge dieser Entwicklungen sehe ich täglich: Inzwischen verstehen meine Gesprächspartner, wozu die Cyber-Versicherungen gut sind, die acant vermittelt. Ich könnte glücklich und zufrieden sein. Statt dessen ich mache mir schon wieder Sorgen …

Etwas Hintergrund: Versicherungsbranche zwischen Angst und Hoffnung

Große Versicherungskonzerne wie die Allianz oder auch Hiscox investieren derzeit viel Geld, um das Produkt Cyber-Versicherungen im Markt zu positionieren. Die Versicherungsbranche weiß, dass hier noch viel Potenzial steckt. Die gute alte „Münchner Rückversicherungsgesellschaft“, heute unter dem schnittigeren Namen „Munich Re“ einer der weltweit führenden Rückversicherer und mit Töchtern wie Ergo auch am Erstversicherungsmarkt ein Riese, erwartet bis 2020 ein weltweites Marktvolumen von acht bis zehn Milliarden US-Dollar. Das ist eine Verdreifachung innerhalb von fünf Jahren. Auf Deutschland bezogen fäll die Wachstumsprognose noch viel steiler aus, weil hier gegenüber den USA noch großer Cyber-Nachholbedarf herrscht.

Gleichzeitig gibt es in den Versicherungsgesellschaften intern genug warnende Stimmen. Die Cyberrisiken sind nicht nur für die Versicherungskunden bedrohlich – sie sind auch für die Versicherungsbranche nicht ohne. Wenn erst einmal praktisch alle Unternehmen versichert sind, gleichzeitig aber auch jeder Kühlschrank, jedes Auto und jeder Container vernetzt ist, dann kann ein einziger Trojaner globale Schäden anrichten wie sonst nur Wirbelstürme oder Erdbeben.

Dazu kommt, dass Cyber-Policen ein neues Produkt sind. Die Versicherer haben für ihre Kalkulation keine Schadensstatistiken, die Jahrzehnte zurückreichen. Und noch schlimmer: Das Produkt Cyber-Police erfordert – außer bei Freelancern und kleineren Unternehmen – einiges an individueller Bestandsaufnahme, Anpassung und Beratung. Cyber-Versicherungen für Unternehmen lassen sich nicht unbedingt am Telefon oder per Internet verkaufen.

Die Reaktion der Versicherer besteht darin, die Cyber-Versicherungsprodukte so rasch wie möglich weiter zu entwickeln und auszudifferenzieren. Spezielle Branchenpolicen rücken immer mehr in den Horizont, beispielsweise Cyberversicherungen speziell für Online-Shops oder Rechtsanwälte. Und generell herrscht im Bereich des Kleingedruckten der Verträge viel Bewegung – wenn man nur darauf achtet.

Viele Kunden werden unzufrieden sein

Und damit sind wir bei dem, was mir Sorgen macht: Auch Unternehmenskunden achten zu wenig auf das Kleingedruckte, obwohl es darüber entscheidet, ob eine Versicherung eine gute Investition darstellt oder verlorenes Geld.

In den nächsten Jahren werden viele Unternehmen Cyber-Versicherungen abschließen – und ein guter Teil dieser neuen Versicherungskunden wird später sehr unzufrieden sein. Dabei ist die Versicherung selbst sehr sinnvoll, die Unternehmen brauchen diesen Schutz. Aber viele der Policen werden nicht zum Versicherungsbedarf passen. Es wird zu Unter- oder Überdeckungen kommen. Und oft werden Nebenleistungen wie die Vermittlung von IT-Notfallteams fehlen oder qualitative Mängel aufweisen.

Das ist teuer und ärgerlich für die Versicherten. Und es ist schlecht für uns als Makler, denn damit droht ein kompletter Produkttyp in Verruf zu geraten. Dabei könnte es auch ganz anders sein.

Cyber-Policen bündeln verschiedene Deckungen

Wer Cyber-Versicherungskunde wird, kauft einen neuen Typ Versicherung: Sie deckt nicht nur ein neues Feld von Risiken ab, sondern auch unterschiedliche Risikotypen.

Ein traditioneller Versicherungsvertrag bezieht sich entweder auf Eigenschäden oder auf Drittschäden/Schadenersatzansprüche oder auf Rechtsschutz. Die Cyber-Versicherung bündelt jedoch Deckungen für alle diese Risiken, eingegrenzt auf IT-/Daten-/Computerschäden.

Und sie packt noch etwas dazu, jedenfalls bei guten Produkten: Schnelle Dienstleistungen im Schadensfall. Das ist besonders wichtig, denn wenn plötzlich Ihre Unternehmens-IT ausfällt, dann muss schnell ein Forensiker her: Er klärt, wer oder was den Schaden wie verursacht hat, damit man diese Lücke schnell stopfen kann. Außerdem werden IT-Fachleute gebraucht, die verlorene Daten wiederherstellen und Systeme neu installieren. Juristische Fachleute müssen klären, welche Informations- und Handlungspflichten bestehen und wie man auf Ansprüche Dritter reagiert. Und, ganz wichtig: In vielen Fällen ist Krisen-PR gefragt, weil die Medien und soziale Netze überkochen, auch dafür braucht man Fachleute.

Das Bündel: Chance oder Belastung

Dieses Bündel an Deckungen und Diensten macht Cyber-Versicherungen sehr komplex. Im besten Fall sind damit alle Risiken abgedeckt, für den Schadensfall ist vorgesorgt. Aber: Jeder dieser Aspekte kann auch Probleme machen.

Die Versicherung kann zu wenig Schutz bieten. Viele Policen, die angeboten werden, bringen nicht alle genannten Elemente mit. Zum Beispiel bieten einige namhafte Versicherungsgesellschaften keine Dienstleister im Schadensfall, weil sie die entsprechenden Netzwerke und Erfahrung nicht haben. Das muss man aber wissen. Andere Versicherer verkaufen Policen, die zu einseitig auf Eigenschäden oder nur auf Drittschäden ausgerichtet sind.

Die Police kann zu viel versichern – und damit zu teuer sein. Nicht jedes Unternehmen braucht die Standarddeckungen in jedem Bereich. Wer keine Produktion hat, muss auch keinen Produktionsausfall versichern. Wenn Sie kaum persönliche Daten Dritter speichern, muss das datenschutzrechtliches Risiko nicht teuer abgedeckt werden.

Außerdem sind die entsprechenden Bausteine oft bereits in anderen betrieblichen Versicherungen enthalten. Wenn das Unternehmen schon umfassenden Rechtsschutz abgeschlossen hat, muss dieser Baustein nicht noch einmal in der Cyberversicherung enthalten sein, wo er dann ja auch ein zweites Mal kostet.

Entscheidend: der genaue Blick – und ein guter Makler

Nicht in jedem Fall ist die Cyber-Versicherung von der Stange schlecht. (Sonst würden wir nicht selbst ein Formular anbieten, mit dem Sie sich in wenigen Minuten zum Antrag auf Cyberversicherung klicken können.) Aber wenn das Unternehmen etwas größer oder das Geschäftsmodell in irgendeiner Weise unkonventionell ist, dann lohnt es sich, einen Versicherungsmakler anzurufen, damit

  • der Versicherungsschutz wirklich genau zu Ihrer Risikoexponierung passt
  • sowohl Überversicherung wie Unterversicherung ausgeschlossen werden (beides ist teuer)
  • Ihr Versicherer im Versicherungsfall auch wirklich schnelle Hilfe bietet

Um dieses Ergebnis sicherzustellen, muss der Makler Ihre Geschäftstätigkeit ebenso unter die Lupe nehmen wie die bestehenden Versicherungsverträge. Er wird das Risiko so ausschreiben, dass der Versicherer fehlende, aber benötigte Bausteine im Versicherungsvertrag ergänzt oder überflüssige Deckungen streicht. Und er wird darauf achten, dass die Policen aktuell und passend bleiben, denn weil Cyber-Versicherungen noch so neu sind, schrauben die Versicherer viel an den Details herum, so dass sich die Bedingungen immer wieder ändern. Auch darauf muss man achten.

Es gibt nicht sehr viele Versicherungsmakler, die sich mit dieser Materie wirklich gut auskennen: die wissen welcher Versicherer wo seine Stärken hat und wie man im Schadenfall dafür sorgt, dass die Schäden minimiert werden. Ich würde sagen: In Deutschland existieren davon eine Handvoll. Ich glaube, in aller Bescheidenheit: Einer davon sind wir.

Sie können also auch bei uns anrufen, ganz unverbindlich, um Fragen zu stellen und das Thema auszuloten. Bringen Sie ein wenig Zeit mit, damit wir Ihr Unternehmen kennenlernen können. Im Gegenzug werden wir uns Zeit für Sie nehmen. Denn falls wir Ihren Versicherungsvertrag vermitteln, dann sollen Sie damit zufrieden sein. Langfristig.