Frank Schwandt

Cookie-Monster und die Rechtsunsicherheit

von

In einer idealen Welt würde das Online-Recht klar umsetzbare Vorgaben für Website-Betreiber liefern. Die Wirklichkeit ist weit davon entfernt.

Ein Beispiel von vielen: Ob deutschen Seitenbetreiber jedes Mal vorher um Erlaubnis fragen müssen, bevor sie Cookies setzen, ist höchst umstritten. Die Konferenz der Datenschutzbeauftragten von Bund und Ländern neigt natürlich zur restriktiven Sicht. Ob der BGH zustimmen würde, weiß keiner, jedenfalls bis jetzt. Die Folge ist wieder einmal Rechtsunsicherheit.

Versicherungen sind kein Allheilmittel dagegen – aber sie können das Risiko durchaus begrenzen, auch wenn das nicht allgemein bekannt ist. Die Versicherer bieten entsprechende Produkte unter ganz unterschiedlichen Namen an (Cyber-Versicherung, Media-Police, IT-Safe Care – um ein paar Beispiel zu nennen.) Die genauen Deckungsvereinbarungen muss man sich im Einzelfall anschauen. Aber grundsätzlich lässt sich der Schaden versichern, der entsteht, wenn Ihnen jemand aus den  Cookies Ihrer Unternehmenswebsite einen Strick drehen bzw. einen Verstoß gegen Datenschutzrecht konstruieren will. Zumindest solange, wie die Cookie-Zustimmung noch nicht allgemeiner Standard in Deutschland ist und die fehlende Abfrage nicht als grob fahrlässig ausgelegt werden kann.

Man könnte fast sagen: Auch Rechtsunsicherheit ist ein Stück weit versicherbar.

Die Versicherungskosten der Dortmunder Champions-League-Versicherung

von

Borussia Dortmund ist, wie man gerade überall (z. B. in der FAZ) lesen kann, gegen das Nichterreichen der Champions League versichert.

Das  zeigt zunächst einmal, dass man wirklich für alle möglichen branchenspezifischen Risiken eine Deckung bekommt – auch in speziellen Branchen.  Als ich vor vielen Jahren in London hospitierte,  war ich zusammen mit einem Versicherungsmakler bei einer Bank, die Interesse an einer „Bilanzausgleichsversicherung“ hatte …

Interessant finde ich aber auch, was zu den Kosten dieser – vom BVB nicht bestätigten – Versicherung gegen sportlichen Misserfolg gesagt wird. Der Artikel vermutet, dass die Versicherungskosten „bei 30 Prozent der Versicherungssumme“ liegen. Ist das dann wirklich gutes Risikomanagement? Auch wenn der Vereinsvorstand jetzt sicher froh ist – wäre das Geld nicht besser renditeträchtig investiert worden?

Nein, eben nicht – denn diese Versicherung ist wie jede Police eine „Wette“, und nur auf den ersten Blick teuer. Erzielte Überschüsse muss die Borussia Dortmund GmbH & Co. KG auf Aktien versteuern. Versicherungskosten sind Betriebsausgaben. Damit reduziert sich der Aufwand betriebswirtschaftlich um die Hälfte.

Außerdem sind Versicherungskosten planbare Kosten. Und die Kosten planbarer Absicherung muss man mit dem vergleichen, was man bei einer Krise ohne Vorbereitung aufwenden müsste.

Deshalb können scheinbar hohen Versicherungskosten betriebswirtschaftlich Sinn machen. Der Zweckbetrieb des Vereins ist geschützt vor außergewöhnlichen Umständen wie Ertragsausfällen oder Bilanzverlusten bei Tabellenplatz 18 und kann auch bei sportlicher Krise seine Gläubiger weiter bedienen. Außerdem erhält er Zeit, einen Sanierungsplan zu erarbeiten. Ohne aktives Risikomanagement wäre bei einem Spitzenverein angesichts der hohen Investitionen und des Fremdmitteleinsatzes wohl spätestens nach zwei bis drei verkorksten Spielzeiten auch finanziell der Abpfiff angesagt.

Oder in Sportreporterdeutsch: Wenn man plötzlich unter Druck gerät, muss man rasch umschalten können.

IT-Projekt mit Freelancern als Subunternehmer: Wie versichern?

von

Folgende Konstellation tritt im IT-Projektgeschäft immer wieder auf: Eine IT-Firma übernimmt einen größeren Auftrag. Zur Abwicklung des Projekts heuert sie eine Reihe Freelancer oder kleinere Dienstleister an. Zum Beispiel, weil sie Personal und Ressourcen nicht dauerhaft aufstocken will. Oder weil für dieses konkrete Projekt besondere Services gebraucht werden, die man sich extern dazu holt.

Damit ist der Auftragnehmer des Kunden seinerseits Auftraggeber gegenüber den Subunternehmen. Juristisch wie versicherungstechnisch ist das oft knifflig.

Häufig besteht der Auftraggeber darauf, dass sein Auftragnehmer eine Projektversicherung aufweist. Eine Projektversicherung wird vor allem dann teuer, wenn es um ein kleines Projektvolumen geht – für die Versicherungen ist eine Million Euro das kleinste Projektvolumen, für das sie Policen verkaufen. Umfasst der tatsächliche Auftrag nur 100.000 Euro, sind die Kosten trotzdem gleich hoch. In diesem Fall muss man sich überlegen, ob man das Risiko nicht auf andere Art und Weise sinnvoller abdeckt – etwa durch eine Versicherung,  die das Unternehmen über das Projekt hinaus absichert und so mehr Schutz bei gleichen Kosten bietet.

Ein Hauptproblem für den „Mittelmann“ ist außerdem die oft unklare juristische Lage. Welchen rechtlichen Status hat das projektbezogen zusammengestellte Team eigentlich? Ist das möglicherweise eine GbR? (Das kann auch dann der Fall sein, wenn der Vertrag mit den Subunternehmern das explizit verneint!) Oder droht im Gegenteil die Einstufung der Freelancer als Scheinselbstständige? Was steht denn genau in den Projektverträgen und ist es auch belastbar?

Mit genau diesen Fragen muss ich mich automatisch befassen, wenn ich nach Versicherungen für das Projekt suche. Dass ich studierter Jurist bin, hilft eine Menge).  Ein positiver Nebeneffekt meiner Arbeit als Versicherungsmakler – denn die Position zwischen Baum und Borke, sprich zwischen Auftraggeber einerseits und Subunternehmern andererseits kann schnell recht ungemütlich werden.

Nicht nur, wenn der Auftraggeber nicht zahlt. Auch bei möglichen Haftungsfragen droht Ärger. Wer zahlt den Schaden – der Subunternehmer bzw. Freelancer, der ihn verursacht hat? Oder der Hauptauftragnehmer,mit dem der Kunde den Vertrag hat? Hat der Kunde womöglich sogar die Möglichkeit zur Durchgriffshaftung, eben weil das Konstrukt eine GbR darstellt, auch wenn das eigentlich niemand so wollte?

Gut, wenn man solche Fragen vorab schon mal durchgesprochen hat – und gleichzeitig eine Police vermittelt bekommt, die genau auf das Projekt und das eigene Risiko zugeschnitten ist.

Cyber-Risiken und Haftungsansprüche in den USA versichern

von

Gregg Steinhafel, Ex-CEO des US-Einzelhandelsriesen Target, ist ein besonders prominentes Beispiel dafür, wie drastisch die persönlichen Folgen von IT-Sicherheitsmängeln für Manager ausfallen können: Erst verdarben Hacker ihm  die Weihnachtsfeiertage 2013 – mit dem Diebstahl von Kundendaten in großem Stil. Ein halbes Jahr später kostete ihn der Vorfall dann auch noch den Vorstandsposten. Oder wie das  Handelsblatt schrieb: „Daten weg, Kunden weg, Chef weg“.

Und was, wenn ein deutsches Unternehmen Geschäfte in den USA macht und dort für Cyber-Schäden haftbar gemacht werden soll? In Amerika sind Schadenersatzsummen bekanntlich oft (alp-)traumhaft hoch. Sind solche Ansprüche durch die Cyber-Versicherung mit abgedeckt?

Hier muss man ein wenig ins Detail gehen: Grundsätzlich sind Auslandsrisiken durch Haftungsansprüche Dritter im Normalfall mitversichert. Eine Cyber-Versicherung bzw. Haftpflicht-Police bietet Deckung also auch im Ausland.

Es gibt aber Länder, die ausgeschlossen sind – zum Beispiel solche, die nur die Regulierung durch vor Ort registrierte Versicherungen zulassen. Und praktisch alle großen Versicherer schließen Ansprüche in den USA und Kanada durch Standardklauseln aus – das „litigation law“ dort ist einfach zu hemmungslos für eine pauschale Deckung. Trotzdem ist es oft möglich,  Haftpflichtansprüche in den USA auch ohne teure Zusatzdeckungen mitversichert zu bekommen, vor allem bei auf weltweiten Schutz spezialisierte Gesellschaften wie z. B. ACE. Die Versicherer wollen das Risiko aber vorher einzelfallbezogen in Augenschein nehmen.

Deutsche Unternehmen, die ihr USA-Geschäft mit in ihre Cyber-Versicherung einschließen wollen, sollten also dafür sorgen, dass die Deckung ihrer Police entsprechend erweitert wird, möglichst ohne Kosten. Und auf zwei weitere Dinge gilt es aufzupassen:

  • Die Mitarbeiter sollten mitversichert sein. Denn auch in den USA kann schnell eine persönliche Haftung entstehen.
  • Und zweitens: Manche Versicherer verfügen über ein eigenes Data Breach Team in den USA, das im Schadensfall als schnelle Eingreiftruppe fungiert – ein entscheidender Vorteil.

Übrigens: Auf solche Details zu achten, ist Teil meiner Aufgabe als Versicherungsmakler. Haben Sie Fragen dazu? Rufen Sie mich an: 030 863926 990.

Stockfotos als Abmahnrisiko – aber eine Cyber-Versicherung schützt

von

Nehmen wir an, irgendein schlechter Mensch lädt fremde Fotos bei einer Stockfoto-Datenbank hoch, um sie dort zu verkaufen. Oder eine unzuverlässige Werbeagentur dreht dem Kunden Bilder ohne Lizenz an. Der gutgläubige Kunde baut die Fotos auf der eigenen Website ein – und erhält etwas später vom  Fotografen eine Schadenersatzforderung.

Dann sind die Chancen groß, dass bezahlt werden muss. Wer fremde Fotos im Internet nutzt, muss selbst nachprüfen, ob eine lückenlose „Rechtekette“ bis hin zum Fotografen existiert. Er darf sich nicht auf die Zusicherung eines „Zwischenhändlers” verlassen, dass urheberrechtlich schon alles okay sei. Das hat das OLG München vor einiger Zeit ausdrücklich bestätigt (Beschl. v. 15.01.2015 – 29 W 2554/14).

Das man solche „Sorgfaltspflichten” im Geschäftsalltag gar nicht immer umsetzen kann, liegt auf der Hand. Wie soll man  alle Verträge der beauftragten Werbeagentur oder einer Bilddatenbank (vermutlich mit Sitz im Ausland) und aller weiterer Beteiligten kontrollieren?  Zum Glück hilft eine Cyber-Versicherung  auch gegen dieses Rechts- und Abmahnrisiko. Eine Cyber-Police schließt im Regelfall auch Schäden durch Urheberrechtsverletzungen ein. Wenn der Verstoß nicht gerade sehenden Auges begangen wurde, wäre eine solche Schadenersatzforderung also regulierbar.

 

Britischer Minister für mehr Cyber-Versicherungsschutz

von

Ein Regierungsbericht aus Großbritannien beklagt den eklatanten Mangel an Cyber-Versicherungsschutz, meldet die BBC. Obwohl 81 Prozent der britischen Unternehmen in den zurückliegenden zwölf Monaten Opfer einer Sicherheitsverletzung wurden, seien nur zwei Prozent angemessen gegen Cyber-Risiken versichert, so der Minister für Kabinettsangelegenheiten, Francis Meade.

Die Hälfte der befragten Firmenchefs wusste nicht einmal von der Möglichkeit, sich gegen Cyber-Risiken zu versichern.

Als Konsequenz will die Regierung in London die Unternehmen nun verstärkt zum Abschluss von Cyber-Versicherungen motivieren. Bleibt aus deutscher Sicht hinzuzufügen: Die Cyber-Versicherungslücke ist bei uns kaum weniger groß und die Cyber-Risiken sowieso nicht. Der Unterschied ist, dass hier die Politik bislang noch nicht so recht verstanden hat, wie sinnvoll Cyber-Versicherungsschutz als Mittel gegen dieses Risiko ist.

Nicht nur aufgrund der finanziellen Unterstützung. Wenn der Schadensfall eintritt, ist die ebenfalls in der Police enthaltene, schnelle Unterstützung durch Berater und Spezialisten genau so wichtig, wie der Regierungsbericht unterstreicht.

 

Neue Cyber-Leitlinie der Versicherer: „Brandschutz des 21. Jahrhunderts“

von

Anfang der Woche war ich auf der CeBIT. Dort hat der Verband der Sachversicherer (VdS) seine neue „VdS-Cyber-Leitlinie VdS 3473“ zur Informationssicherheit in KMU vorgestellt, die voraussichtlich im Juli in Kraft tritt. Unternehmen, die diese Anforderungen an Technik, Organisation, Präventionsmaßnahmen und Managementprozesse einhalten, werden eine Cyber-Versicherung zu günstigen Standardbedingungen abschließen können. Damit sind sie vor den Folgen von Hacks, Datenverlusten, Havarien etc. geschützt, auch vor daraus resultierenden Schadenersatzforderungen.

Hintergrund der Einführung: Der Bedarf nach Cyber-Absicherung wird auch den Unternehmen immer mehr bewusst. Aber bislang fehlen – anders als beim Brandschutz oder Arbeitssicherheit – vor allem bei KMU allgemein genutzte IT-Sicherheitsstandards. Das ist für die Versicherer ein Problem. Sie wollen schnell und einfach einschätzen, woran sie bei einem neuen Kunden sind.

Deshalb will der VdS seine neue Richtlinie speziell bei KMU rasch populär machen. Dazu beitragen soll bereits jetzt ein kleines Web-Tool zur Selbsteinschätzung, der VdS-Quick-Check. Wenn dessen Ergebnisse in Ordnung sind, reicht das dem Versicherer als Risikobeurteilung bereits aus. Zeigt die Auswertung gelbe oder rote Felder, wird den Unternehmen der ein- oder zweitägige „Quick-Audit“ durch Experten empfohlen, und als große Lösung die komplette Zertifizierung.

Parallel wird eine Fortbildung zum „Informationssicherheitsbeauftragten“ angeboten.

Die neue Leitlinie bringt nicht nur für die Versicherer selbst, sondern auch für unsere Kunden, die Unternehmen mit Versicherungsbedarf, wirklich Vorteile:

  •  Der Nachweis des eigenen IT-Qualitätsstandards ist mit  der VdS-Leitlinie  viel unaufwändiger als mit dem IT-Grundschutz-Katalog des BSI.
  • Für die vielen unterschiedlichen Versicherungsangebote der Versicherer wird ein gemeinsamer Maßstab festgelegt, Deckungsinhalte und Prämien sind besser vergleichbar.
  • Das Netzwerk von Experten, das bei der Risikoaufnahme hilft, steht dann auch im Schadenfall kurzfristig bereit, um die Wiederherstellung der IT-Sicherheit zu gewährleisten.
  • Die VdS-Richtlinien machen die Haftung des Managements für IT-Sicherheit und Compliance transparent und –  mit einer Cyber-Versicherung und D&O-Lösungen – versicherbar.

Fazit: Zumindest den Quick-Check würde ich jedem Unternehmen empfehlen. Diese zwanzig Minuten sind sicher sinnvoll investiert, denn damit zeigt sich der aktuelle Stand des Unternehmens in Sachen Cyber-Sicherheit.

Versicherungsfall bei der IT-Haftpflicht: Das „Wann“ ist ganz entscheidend!

von

Frage eines Interessenten zum Thema IT-Haftpflichtversicherung: „Angenommen, unser Unternehmen schließt eine IT-Haftpflichtversicherung ab. Und dann ergibt sich auf einmal ein Schaden aus einem Projekt, das wir schon vor einem halben Jahr abgeschlossen haben – ein Programmierfehler, die falsche Hardware, irgend so etwas. Ist das dann auch gedeckt?“

Die Antwort: Es kommt darauf an. Am besten erklärt man es an einem Beispiel:

  • Nehmen wir an, Ihr Versicherungsschutz beginnt laut Vertrag am 1. Juni.
  • Bereits am 5. April  wurde beim Kunden eine mit mangelnder Sorgfalt erstellte Software installiert. Ein Fehler im Quellcode wartet darauf, Unheil anzurichten. (Der Fehler darf bei Abschluss des Versicherungsvertrags aber noch nicht bekannt gewesen sein!)
  • Am 13. Juli ist es dann soweit – das Problem wird virulent, die Datenbank des Kunden havariert, seine Produktion stockt.
  • Am 2. August erreicht sie das Einschreiben mit der Schadenersatzforderung.

Ist dieser Schaden durch Ihre IT-Haftpflicht gedeckt? Das hängt davon ab, welches von drei möglichen, branchenüblichen Prinzipien für die Definition des Versicherungsfalls bei Ihrer Police gilt:

  • Das Verstoßprinzip: Entscheidend ist der Zeitpunkt, zu dem die Pflichtverletzung passierte, die zur Haftpflicht führt.  In unserem Fall ist das im April, also vor Versicherungsbeginn, deshalb haben Sie mit dem Verstoßprinzip Pech.
  • Das Schadensereignisprinzip: Hier ist der Zeitpunkt des Schadens ausschlaggebend. Das war bei uns im Juli, im Folgemonat des Versicherungsbeginns. Hier haben Sie also Glück, die Ansprüche sind versichert.
  • Das Claims-made-Prinzip macht das Datum zum Stichtag, an dem die Schäden geltend gemacht werden, bei uns der  2. August. Auch in diesem Fall sind Sie geschützt.

Wenn der Softwarefehler allerdings beim Abschluss der Versicherung schon bekannt war, dann ist es so gut wie unmöglich, dafür eine Deckung zu erhalten – egal, wie der Versicherungsfall bei Ihrem Vertrag definiert ist.

Und daran sieht man, weshalb es wichtig ist, einen fachkundigen Versicherungsmakler zu haben. Denn der kann Ihnen sagen, welchen Schutz eine bestimmte Police Ihnen tatsächlich bietet.

 

Kurzfristige Haftpflichtversicherung für IT-Projekte?

von

Bei IT-Projekten ab einer bestimmten Größe (Honorarumsatz ab einer Million Euro – Daumenregel) lohnt es sich, über eine spezielle IT-Projektversicherung nachzudenken. Diese deckt – je nach individueller Ausgestaltung –  typische Projektrisiken:

  • Vertragsstrafen (überzogene Fristen, Verstoß gegen Datenschutz oder Vertraulichkeit),
  • außerordentliche Kündigung oder Rücktritt des Auftraggebers
  • … und natürlich projektbezogene Haftpflichten z. B. bei Mängeln oder Schäden.

Solche Projektversicherungen bieten dem Auftragnehmer Schutz  – etwa einem kleineren IT-Dienstleister, der einen großen Auftrag an Land zieht, dafür aber auch mit Personal und Hardware in Vorleistung gehen muss. Zweitens ist ein versichertes Projekt aber auch für den Finanzierer weniger riskant – deshalb lässt es sich im Bankgespräch leichter „verkaufen“.

Vielleicht liegt es an diesem Gesichtspunkt, dass ich immer wieder einmal nach kurzfristigen Projektversicherungen gefragt werde. Das macht aber ohne Betriebs- und Vermögensschadenhaftpflichtversicherung keinen Sinn. Denn diese endet nicht, wenn das Projekt abgeschlossen ist. Ein Schaden kann auch später entstehen und geltend gemacht werden. Deshalb sollte Ihre Versicherungsschutz eine ausreichende Nachhaftung umfassen. Dann sind Sie auch auf der sicheren Seite, wenn ein Programmierfehler oder ein Hardwareschaden erst nach zwei Jahren zuschlägt.

Haben Sie Fragen zum Versichern von IT-Projekten?

Ich beantworte sie gerne.

Das schmutzige kleine Geheimnis der Cyber-Security

von

„Here’s the dirty little secret of cyber security, though: nothing is 100 per cent secure.“

„Hier ist das schmutzige kleine Geheimnis der Cyber-Sicherheit: Nichts ist zu 100 Prozent sicher.“ Das ist die zentrale Aussage in einem Beitrag der britischen IT-News-Website The Register.

Eigentlich will der Artikel erklären, dass ein Viren- und Malware-Scanner zwar unverzichtbar ist, aber keineswegs ausreicht, um die Rechner im Firmennetzwerk gegen Angriffe zu sichern. Man braucht vielmehr „layered security“, d.h. mehrere Schichten von Sicherheitsmaßnahmen. Es geht darum, weitere Löcher stopfen, durch Zugangsfilter für zwielichtige Websites, durch Viren- und Spamfilter auf dem Mailserver und durch pflichtbewusstes Installieren von  Updates und Patches.

Das ist alles richtig. Ansonsten ist der Artikel sicher nicht der beste Ratgeber zur Cyber-Security, den es je gab. Von Firewalls und mobilen Datenträgern zum Beispiel spricht er  gar nicht erst. Und das Konzept der „layered security“ ist ja nicht gerade neu. ABER: Der Satz oben ist entscheidend. Es gibt keine hundertprozentige IT-Sicherheit.

Ich füge hinzu: Dafür gibt es Cyber-Versicherungen. Denn das ist eine Sicherheitsmaßnahme, die auch der hinterhältigste Hacker der Welt nicht löschen, deaktivieren, zum Absturz bringen oder überschreiben kann.