IT Branchenrisiko

Digitales Kaufrecht, Symbolfoto: Mediamodifier via Pix abay

Neues digitales Kaufrecht für elektronische Waren, Dienstleistungen und Angebotsbestandteile

von

Seit 2022 gilt ein eigenes Kaufrecht für digitale Produkte, digitale Dienstleistungen, digitale Inhalte und andere digitale Angebote

Verkaufen Sie Software, gestalten Sie Web-Designs, bieten Sie kostenpflichtige Downloads an oder beraten Sie per Videomeeting? In diesem Fall gilt für Sie seit dem 01. Januar 2022 ein neues Kaufrecht, wenn Ihre Kunden Verbraucher sind und keine Unternehmen.

Das neue Kaufrecht greift auch dann, wenn nur ein Teil Ihres Angebots aus digitalen Produkten besteht. Wenn Sie elektronische Geräte zusammen mit einer Software oder einer App anbieten, dann fallen diese digitalen Komponenten ebenfalls unter neue Bestimmungen.

Um was genau geht es im Kaufrecht?

Die Vorschriften des Kaufrechts schreiben die Ansprüche fest, die der Verkäufer oder Dienstleister und sein Kunde gegeneinander haben. Damit legt es auch die Optionen im Fall von Problemen fest:

  • Es liefert die Rechtsgrundlage fürs Forderungsmanagement, falls Kunden nicht wie vereinbart zahlen.
  • Es legt Gewährleistung und Haftung fest, falls der Anbieter nicht so liefert oder leistet, wie er müsste.

Die Kernpunkte des neuen digitalen Kaufrechts bei Verbrauchern

  • Im Bürgerlichen Gesetzbuch ist von der „Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen (digitale Produkte)“ die Rede: sie werden im neuen Abschnitt „Verbraucherverträge über digitale Produkte“ geregelt (§327 – §372s BGB).
  • Ob die „Bereitstellung“ per Download oder auf einem Datenträger erfolgt, ist gleichgültig. Ausgenommen vom neuen Kaufrecht sind dagegen einige Bereiche wie z. B. Finanzdienstleistungen und digital vereinbarte Heilbehandlungen.
  • Außerdem gelten neue Regeln für Sachmängel. In Bezug auf die Gewährleistung wird nun zwischen analogen Produkten, digitalen Produkten und „Waren mit digitalen Elementen“ unterschieden (§475a, b, c BGB). Waren mit digitalen Elementen sind Paketangebote: etwa ein GPS-Tracker samt dazugehöriger Software, oder ein Analysegerät mit dazugehöriger Online-Schulung. Für die Software bzw. die Online-Schulung gelten bei Sachmängeln die Vorschriften für digitale Produkte, für die Geräte selbst die Regeln für analoge Waren.
  • Auf kostenlos bereitgestellte quelloffene Software wird das digitale Kaufrecht nicht angewendet. Dafür gilt es explizit auch dann, wenn Verbraucher zwar kein Geld für die Nutzung eines Dienstes oder einer App bezahlen, im Gegenzug aber personenbezogene Daten bereitstellen.
  • Ein digitales Produkt muss das leisten bzw. umfassen, was ausdrücklich vereinbart war (subjektive Anforderungen). Der Kunde kann außerdem erwarten, dass es sich zur „gewöhnlichen Verwendung“ eignet, also die marktüblichen Erwartungen erfüllt. Andernfalls ist es grundsätzlich mangelhaft.
  • Ausnahme: es wurde ausdrücklich vereinbart, dass das Produkt oder die Dienstleistung bestimmte Ausstattungsmerkmale, Funktionen oder Inhalte nicht umfasst. Das muss dem Kunden aber klar gesagt werden.
  • Ein Mangel liegt bei digitalen Produkten außerdem dann vor, wenn sie sich nicht installieren, anschließen bzw. integrieren lassen, oder wenn vereinbarte bzw. notwendige und erwartbare Aktualisierungen ausbleiben.

Bei mangelhaften digitalen Produkten oder Dienstleistungen können Verbraucher den Preis mindern, Nacherfüllung erfordern oder vom Kaufvertrag zurücktreten. Die Wahl liegt bei ihnen, nicht beim Verkäufer.

Digitale Produkte oder Produktbestandteile und Verbraucher als Kunden? Dann sollten Sie reagieren

Wenn Sie bzw. Ihr Unternehmen digitale Produkte an Verbraucher verkaufen oder digitale Dienstleistungen erbringen, sollten sie auf das neue Kaufrecht reagieren:

  • Nehmen Sie sich Vertragstexte, AGB und Pflichtinformationen vor – vermutlich müssen Sie an die neue Rechtslage angepasst werden.
  • Auch Ihre Werbung und Ihr Marketing sollten Sie auf den Prüfstand stellen. Halten Ihre Produkte das, was Werbeaussagen, Testinstallationen, Demos oder Werbe-Clips versprechen? Entsprechen Ihre Dienstleistungsangebote dem, was Käufer vermutlich erwarten bzw. was Marktstandard ist? Diskrepanzen sollten klar zum Ausdruck gebracht werden, sonst können Käufer einen Mangel geltend machen. Noch schlimmer: Verbraucherschutzverein können Sie abmahnen.
  • Auch bei diesem Thema bieten die richtigen Versicherungen Schutz. Produktversicherungen decken das Risiko einer Haftung aufgrund von Produktmängeln ab. Ein Knackpunkt bei dieser Form des Versicherungsschutzes sind regelmäßig Folgeschäden. Lassen Sie sich genau beraten!
  • Für Dienstleister, die ihre Dienstleistungen digital erbringen, ist eine Vermögensschadenhaftpflicht sinnvoll, um mögliche Ansprüche aus der Mängelhaftung in den Griff zu bekommen.
  • Ebenfalls ausgesprochen sinnvoll: eine Rechtsschutzversicherung, die im Falle von Rechtsstreitigkeiten die eigenen Anwalts- und Gerichtskosten absichert.
  • Last but not least: bei Kapitalgesellschaften sollten Geschäftsführer oder Vorstände sich durch eine D&O-Versicherung schützen, weil sie im Fall einer Sorgfaltspflichtverletzung mit dem persönlichen Vermögen haften.

Wir von acant helfen Ihnen dabei, Ihr Unternehmen optimal zu versichern: Schreiben Sie uns, oder rufen Sie an: 030 863 926 990.

Cyberversicherung mit Rechtsschutz-Baustein, Symbolbild: Emil Lija via Pixabay

Cyber-Versicherung mit Rechtsschutz für den Manager

von

Cyber-Versicherung mit Rechtsschutzbaustein: gute Idee

Ein neuer Baustein für die Cyberversicherung von Cogitanda umfasst Rechtsschutz für Manager und Führungskräfte. Diese erweiterte Deckung ist für Geschäftsführer, Vorstände, Aufsichtsräte und Beiräte eine sinnvolle Sache. Der Grund ist einfach: Schäden durch Cyberangriffe können für die Verantwortlichen des betroffenen Unternehmens schnell zum Vorwurf von Versäumnissen und darüber in die persönliche Haftung führen – und ebenso zu langwierigen wie kostspieligen juristischen Auseinandersetzungen.

Der Baustein umfasst Vermögensschaden-Rechtsschutz, Anstellungsvertrags-Rechtsschutz sowie Strafrechtsschutz. Pro Schadensfall reicht die Deckung bis zu einer Million Euro. Das bedeutet: Rechtskosten für Streit um Schadenersatzforderungen sind ebenso abgedeckt wie Anwalts- und Gerichtskosten bei einer Auseinandersetzung um die Kündigung bzw. Vertragsauflösung sowie die Rechtskosten im Fall strafrechtlicher Vorwürfe.

Drei wichtige Versicherungen: Cyber-Versicherung, D&O-Police, persönlicher Rechtsschutz

2016 haben wir von acant uns das erste Mal mit diesem Haftungsrisiko auseinandergesetzt. Das war in den Beiträgen IT-Compliance und persönliche Haftung und Persönliche Manager-Haftung für IT-Sicherheitsmängel.

Damals hatte noch kaum jemand die persönliche Haftung nach Cybervorfälle als Thema auf dem Schirm. Aber wir haben Recht behalten. Inzwischen hat die Flut der Cyberattacken und der damit verbundenen Betriebsunterbrechungen und Folgeschäden das Thema der persönlichen Haftung von Managern für Versäumnisse in der IT-Sicherheit ganz klar ins Zentrum gerückt.

Zum Glück lässt sich ein großer Teil des Risikos durch Versicherungen auffangen.

  • Zum einen benötigt das Unternehmen – jedes Unternehmen! – eine Cyberversicherung, um Schäden durch Trojaner-Angriffe, Datendiebe und Hacker aufzufangen.
  • Außerdem benötigt die Geschäftsleitung eine D&O-Versicherung, die sie vor den Schadenersatzforderungen im Fall persönlicher Haftung schützt. Sonst haftet sie mit ihrem persönlichen Vermögen für Sorgfaltspflichtverletzungen, etwa problematische Zahlungen bei Insolvenzgefahr oder eben fehlende Vorkehrungen gegen Hackerangriffe.
  • Rechtsschutz ist die dritte Komponente: Was nützt es, wenn man zwar von der Haftung freigestellt wurde, dafür jedoch mit ruinösen Rechtskosten konfrontiert ist.

Wo in Ihrem Fall bereits Versicherungsschutz vorliegt und wo zusätzliche Deckungen für Sie sinnvoll sind, dazu können die Fachleute von acant Sie beraten. Schreiben Sie uns, oder rufen Sie an: 030 863 926 990.

IT-Dienstleister hat die Zugangsdaten: Datenschutzverstoss - Symbolbild: Photo Mix via Pixabay

Datenklau mit Zugangsdaten des IT-Dienstleisters: Schadenersatz

von

Wer hat eigentlich Zugangsdaten zu Ihren IT-Systemen?

Nicht gelöschte Zugangsdaten werden schnell zum teuren Risiko. Zur IT-Sicherheit im Unternehmen gehört es, Zugänge von Mitarbeitern und Dienstleistern regelmäßig zu überprüfen und bei Bedarf zu löschen.

Wenn ein Unternehmen die Zugangsdaten früherer Mitarbeiter und Dienstleister nicht deaktiviert und Unbefugte damit Daten stehlen, drohen Schadenersatzansprüche – und die können ohne Versicherung existenzbedrohend werden.

All das zeigt ein Fall, über den das Landgericht München I vor kurzem entschieden hat (LG München, 09.12.2021 – 31 O 16606/20). Das Urteil unterstreicht, warum Unternehmen unbedingt ihre Haftung für Datenschutzverstöße versichern sollten.

Haftung für Kundendaten, die über den Zugang eines Dienstleisters gestohlen wurden

Das Gericht sprach einem früheren Kunden des Finanzdienstleisters Scalable Capital 2.500 Euro Schadenersatz und einen zusätzlichen Anspruch auf Ersatz aller noch entstehenden Schäden zu.

Der Mann hatte bei dem Online-Broker ein Depotkonto eingerichtet und dazu viele personenbezogene Daten übermittelt. Diese fielen unbekannten Datendieben in die Hände: von der Post- und E-Mail-Adresse sowie der Handynummer über das Geburtsdatum und die Steuer-ID bis zu Wertpapierabrechnungen und der IBAN des Referenzkontos. Auch eine Ausweiskopie und das Porträtfoto fürs Post-Ident-Verfahren wurden entwendet.

Ausgangspunkt waren Zugangsdaten von CodeShip Inc., ein früherer Cloud- bzw. SaaS-Dienstleister von Scalable Capital („Software as a Service“, Cloud-Hosting von Anwendungen). Obwohl die Geschäftsbeziehung schon 2015 geendet hatte, funktionierte der CodeShip-Zugang zur IT von Scalable Jahre später noch immer. Mit diesen Zugangsdaten unternahmen Unbekannte drei großen Daten-Raubzüge: im April, im August und im Oktober 2020 wurden 389.000 Datensätze von insgesamt 33.200 Scalable-Kunden ausgelesen. Die Informationen wurden später für versuchten Kreditbetrug genutzt und im Darknet zum Verkauf angeboten.

Zugangsdaten beim Dienstleister, Haftung beim Auftraggeber

Scalable muss also zahlen, obwohl für den Hack bei CodeShip hinterlegte Zugangsdaten missbraucht wurden. Dabei befasste sich das Gericht gar nicht erst mit der möglichen Verantwortlichkeit von Scalable für Sicherheitsmängel beim früheren Dienstleister. Es sah entscheidende Versäumnisse bei dem Online-Broker selbst: Der hätte den Zugang des ehemaligen Geschäftspartners längst deaktivieren bzw. die Löschung des Zugangs überprüfen müssen.

Stattdessen verließ er sich fahrlässigerweise darauf, dass der frühere Geschäftspartner die Zugangsdaten schon löschen würde. In diesem Versäumnis sahen die Richter einen Datenschutzverstoß. Dieser führte zur Haftung des Finanzunternehmens. Es nützte ihm wenig, dass er nach dem Vorfall sofort Gegenmaßnahmen getroffen hatte und dem betroffenen Kunden noch kein konkreter materieller Schaden entstanden war.

Dem Unternehmen droht eine Klagewelle

Die 2.500 Euro plus Zinsen, die dem klagenden Kunden zugesprochen wurden, sollte man nicht unterschätzen. Von der Datenschutzverletzung waren wie erwähnt mehr als dreißigtausend Kunden betroffen. Sollte sich eine größere Anzahl von ihnen zur Klage entschließen, können schnell gewaltige Summen zusammenkommen.

Das Risiko von Datenschutzverletzungen lässt sich versichern!

  • Immer häufiger gestehen die Gerichte den Betroffenen einer Datenschutzverletzung Anspruch auf Schadenersatz zu.
  • Ein konkreter finanzieller Schaden muss dafür nicht vorliegen. Auch Nichtvermögensschäden begründen Entschädigungsansprüche, etwa Identitätsdiebstahl, Rufschädigung, gesellschaftliche Nachteile oder der Verlust der Vertraulichkeit (LG München I, 02.09.2021 – 23 O 10931/20).
  • Dazu kommen Bußgelder. Die sind bei Verstößen gegen die Datenschutzvorschriften oft von empfindlicher Höhe.

  • Der Verweis auf das hohe IT-Sicherheitsniveau nützte Scalable Capital vor Gericht gar nichts. Ja, die IT-Infrastruktur war gemäß ISO 27001 zertifiziert. Entscheidend war jedoch der nicht gelöschte Zugang. Das bestätigt wieder einmal: Selbst aktuelle Technik und Zertifizierungen garantieren keine IT-Sicherheit. Genau deshalb sind Versicherungen sinnvoll.

  • Die gute Nachricht: Die Haftung aus Datenschutzverstößen lässt sich versichern, solange sie nicht gerade vorsätzlich begangen werden. Auch für das Risiko der Unternehmensleitung, für solche Vorfälle persönlich zu haften, gibt es Versicherungsschutz. Das Gleiche gilt für Eigenschäden aus einer Cyber-Attacke.

acant hilft Ihnen beim Risikomanagement

Wir von acant sind Spezialversicherungsmakler für technische Unternehmensrisiken, Cyber-Bedrohungen und Manager-Haftung. Wir beraten Sie gerne dazu, wie sich das Risiko der Datenschutzhaftung in Ihrem Unternehmen betriebswirtschaftlich sinnvoll versichern lässt. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns!

Digitalisierungspflicht für Lohn-Unterlagen, Symbolfoto: Jana Schneider via Pixabay

Lohnbuchhaltung: Digitalisierungspflicht für begleitende Lohndokumente

von

Neue Digitalisierungspflicht für Arbeitgeber

Schon seit dem Beginn des Jahres 2022 gilt für Arbeitgeber in Deutschland eine neue Digitalisierungspflicht. Eine ganze Reihe von Dokumenten zum Lohnkonto müssen in elektronischer Form bereitgestellt werden, wenn die Krankenkasse oder ein Betriebsprüfer der Deutschen Rentenversicherung danach fragt.

Die wichtigsten Informationen zur Digitalisierungspflicht stehen in einem „Gemeinsamen Rundschreiben der Sozialversicherungen“ vom 18. März 2022.

Welche Lohndokumente müssen digital vorliegen? Die Pflicht gilt zum Beispiel für die Erklärung eines Minijobbers, mit der er auf Rentenversicherungsbeiträge verzichtet, für Semesterbescheinigungen von Werkstudenten, für Bescheinigungen zur Staatsbürgerschaft  und für A1-Bescheinigungen von Mitarbeitern auf Auslands-Geschäftsreise. Die vollständige Liste findet sich in etwas verklausulierter Form im Gesetz: § 8 Abs. 2 Beitragsverfahrensverordnung.

Müssen jetzt alle alten Unterlagen eingescannt werden? Nein, das ist nur Pflicht, wenn ein Dokument seit Jahresbeginn 2022 ausgestellt wurde. Weiterreichende Digitalisierung ist freiwillig.

Wie müssen die Dokumente digital vorliegen? Erlaubt sind die Dateiformate PDF, TIFF, JPG, BMP und PNG. Die Archivierung muss gemäß GoBD erfolgen – d. h. revisionssicher (jede Änderung eines Dokuments muss  erkennbar sein) und für Außenstehende nachvollziehbar geordnet. Dokumente wie ein Gehaltsverzicht, die auf Papier eine Unterschrift erfordern, müssen in der digitalen Version eine fortgeschrittene oder qualifizierte Signatur aufweisen.

Was tun, wenn die Voraussetzungen für digitale Signaturen fehlen? Dann ist es gestattet, sich mit einem unsignierten Scan eines Papierdokuments zu behelfen. In diesem Fall muss der Arbeitgeber die Papierversion ebenfalls aufbewahren.

Gibt es eine Möglichkeit, sich den Digitalsierungsaufwand zu ersparen? Ja, bis einschließlich 2026 können Unternehmen sich davon befreien lassen. Den Antrag müssen sie an das regionale Prüfbüro der Deutschen Rentenversicherung richten.

Risikomanagement für Arbeitgeber: Parallel zum Digitalisieren versichern

Schon seit langem müssen Arbeitgeber alle Meldungen zur Sozialversicherung elektronisch übermitteln. Mit der anstehenden Einführung einer elektronischen Arbeitsunfähigkeitsbescheinigung und der Digitalisierungspflicht für Lohnunterlagen wächst die Zahl der digitalen Informationen in der Lohnbuchhaltung immer weiter an.

Das Problem: Viele der personenbezogenen Arbeitnehmerdaten, mit denen Arbeitgeber zwangsläufig zu tun haben, sind von der DSGVO besonders geschützt. Das gilt zum Beispiel für Angaben zum Einkommen, zu einer Lohnpfändung oder zu krankheitsbedingten Ausfallzeiten. Und natürlich für alle Stammdaten wie Name, Adresse, Kontonummer und Zahl der Kinder.

  • Werden solche Daten zur Beute eines Hackers, haftet der Arbeitgeber. Das gilt selbst dann, wenn sich der Datendiebstahl beim Steuerberater oder beim Lohnabrechnungsdienstleister ereignet.
  • Genauso problematisch ist es, wenn ein Verschlüsselungstrojaner ins Unternehmen eingeschleust wird und die Ransomware vorgeschriebene Lohn-Unterlagen unlesbar macht. Auch dann haftet der Arbeitgeber für den Verlust der Dokumente

Gemessen an diesem Risiko sind die Prämien für eine Cyberversicherung, die vor den Folgen eines Datendiebstahls schützt, Peanuts: In den meisten Fällen kostet sie nicht mehr als wenige Promille vom Jahresumsatz.

Fragen? Wir von acant können Sie beantworten. Schreiben Sie uns, oder rufen Sie an: 030 863 926 990.

Cyber-Versicherung oder Cyber-Sicherheit? Falsche Frage! Symbolbild: Andreas Lischka via Pixabay

Cyber-Versicherung oder IT-Sicherheit? Falsche Frage!

von

Entweder oder? So einfach ist es nicht

Vor kurzem bin ich in einem Fachbeitrag über folgende Passage gestolpert:

Eine gute Cybersecurity, die den Hackern eine aufmerksame und wirksame Verteidigung entgegenstellt, und eine Versicherung schließen sich nicht aus. Im Gegenteil: Häufig ist ein Mindestmaß an Security Voraussetzung für Versicherungen. Doch die Kosten für beides gleichzeitig sind oft sehr hoch und nicht von jedem Unternehmen zu stemmen. In diesem Fall muss ein Unternehmen besonders kosteneffizient handeln. Dabei lässt sich festhalten, dass ein Euro in eine gute Sicherheitsstruktur hier fast immer besser angelegt ist als in eine Versicherung. Sie verhindert, dass der Schaden überhaupt erst entsteht.

Frank Kölmel, „Was Cyberversicherungen leisten können – und was nicht“, Security-Insider.de

Wo sollten kluge Geschäftsleute ihr Geld besser investieren – in eine Cyber-Versicherung oder in technische IT-Sicherheitsmaßnahmen? Diese Frage, die der Autor anspricht, liegt mir am Herzen, seit ich mit Cyber-Versicherungen beschäftigte. (Und das sind mittlerweile fast zehn Jahre. acant war einer der ersten Makler in Deutschland, der sich auf Cyber-Risiken spezialisierte.)

Allerdings glaube ich nicht, dass die Frage „Cyber-Versicherung oder Cyber-Sicherheitstechnik?“ wirklich Sinn ergibt. Wer so fragt, hat ein Grundprinzip im Risikomanagement nicht verstanden.

Ganz einfach: Es braucht beides, Cyber-Versicherung und Cyber-Sicherheit

Bestimmte Maßnahmen verringern die Wahrscheinlichkeit, dass ein Schadensereignis wie die Betriebsunterbrechung durch Ransomware eintritt. Zu diesen Maßnahmen gehören technische Sicherheitsmaßnahmen, aber auch organisatorische Vorkehrungen wie Schulungen und strikt durchgesetzte Verhaltensregeln. Wenn die Kosten solcher Maßnahmen die geringere Schadenswahrscheinlichkeit rechtfertigen, ergeben sie betriebswirtschaftlich Sinn.

Diese Maßnahmen können Schäden aber nicht vollkommen ausschließen bzw. verhindern. Auch das ist schlicht eine Frage der Wahrscheinlichkeit. Schulungen können Leichtsinn nicht unterbinden. Technik kann Störungen erleiden, falsch verwendet oder bewusst missbraucht werden. Sabotage ist immer möglich.

Und deshalb erfordert ein vernünftiges IT-Sicherheitskonzept auch Versicherungen. Die können, wie Frank Kölmel richtig anmerkt, den Schadenseintritt nicht verhindern. Das ist auch nicht ihr Sinn. Sie können dafür etwas, was die Technololgie nicht schafft: Sie kompensieren den Schaden, wenn es doch zur Sicherheitsverletzung kommt.

Wer sich keine Cyber-Versicherung leisten kann, kann sich keine IT leisten

So könnte man es etwas überspitzt formulieren. Eine fachgerecht administrierte Unternehmens-IT hält das Risiko erfolgreicher Cyber-Angriffe in einem beherrschbaren Rahmen. Es sinkt aber keineswegs auf Null. Auch wenn mittlerweile jeder die Aussage kennt: Die Frage ist nicht, ob es zur IT-Sicherheitsverletzung kommt, sondern wann sie sich ereignet. Aufgabe der IT-Fachleute ist es, dieses „wann“ möglichst hinauszuzögern.

Wenn der Schaden dann doch eintritt, wird die Cyber-Versicherung wichtig. Die Versicherungsprämien, die das Unternehmen über die Jahre hinweg überwiesen (und als Betriebsausgaben geltend gemacht) hat, haben die Kosten des Cyber-Angriffs oder der Datenschutz-Panne schon im Voraus in planbarer Form bezahlt. Jetzt übernimmt die Versicherung die Kosten. Das Schadenereignis reißt also kein Loch in die Bilanz. Ebenso unvorhergesehene wie unvermeidbare Ausgaben wurden auf einen langen Zeitraum verteilt und betriebswirtschaftlich sinnvoll minimiert.

Es geht auch weniger abstrakt

Eine Cyber-Versicherung leistet viel mehr, als nur Schäden zu begleichen. Die meisten Versicherer leisten Akut-Hilfe direkt nach einer Attacke. Sie helfen bei der forensischen Analyse und dem Beseitigen der aufgetretenen Sicherheitslücke. In der Deckung sind nicht nur Eigenschäden eingeschlossen, sondern auch Schadenersatzansprüche anderer Unternehmen und Personen.

Cyberangriffe sind längst ein Teil der Unternehmensrealität. Technik und organisatorische Vorkehrungen mildern das Risiko ab. Versicherungen machen das Restrisiko betriebswirtschaftlich tragbar. Unternehmen können sich längst nicht mehr leisten, auf eine der beiden Komponenten zu verzichten.

Genauso wenig wie auf Beratung. So wie die Netzwerksicherheitslösung zum Firmennetz passen muss, hilft die Cyber-Versicherung nur, wenn sie auf das Unternehmen abgestimmt wurde. Dafür zu sorgen, ist unser Geschäftsfeld. Wir von acant sind auf Cyber-Versicherungen spezialisiert. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular!

Cloud-Ausfall versichern, Symbolfoto: ImaArtist via Pixabay

Versicherung gegen den Ausfall der Cloud

von

Hängt Ihr Betrieb davon ab, dass bei Dritten die Server laufen?

Nutzt Ihr Unternehmen Cloud-Speicher oder Hosted-Service-Angebote wie SaaS, PaaS oder Iaas („Software as a Service“, „Platform as a Service“, „Infrastructure as a Service“)? Wickeln Sie zum Beispiel Payment, Downloads, Logistiksteuerung oder andere Prozesse über die Server von Dritten ab?

Dann teilen sie das Downtime-Risiko Ihrer Dienstleister: Wenn deren Server ausfallen, schmieren Ihre Geschäftsprozesse ebenfalls ab. Fällt die gemietete Cloud aus, stockt Ihr Geschäftsablauf. Das ist ärgerlich

Und noch brisanter ist das Ausfallrisiko, wenn Sie Ihren eigenen Kunden Zugang zu Dateien, Software oder Service Levels zusagen, die vom Plattform- oder Cloud-Provider abhängen. Natürlich können Sie den Anbieter in Haftung nehmen, wenn es zu einer Downtime kommt. Aber das ist umständlich und langwierig. Zunächst sind immer einmal Sie selbst mit den unzufriedenen Kunden, mit Schadenersatzforderungen, Umsatzverlusten und Betriebsunterbrechungen konfrontiert.

Cloud-Ausfallversicherung zahlt pro Downtime-Stunde

Nun gibt es ein neues Versicherungsprodukt, das genau auf diese Art Risiko ausgerichtet ist. Die Cloud-Ausfallversicherung fängt den Schaden durch die Betriebsunterbrechung nach einem Ausfall beim Dienstleister auf.

Das Ganze funktioniert so: Der Versicherungskunde gibt an, welcher Cloud-Server bzw. welcher Dienst für ihn wichtig ist. Der Versicherer überwacht den Server mit einem eigenen Monitoring-Dienst. Kommt es zu einem Ausfall, wird die Länge der Downtime automatisch erfasst und für jede Stunde Nicht-Verfügbarkeit eine vorher festgelegte Summe ausgezahlt.

Zwei positive Aspekte der Cloud-Versicherung

Die Versicherungsleistung erfolgt unabhängig von der Ausfallursache. Das ist ein klarer Vorteil: Schließlich ist es dem Shop-Betreiber egal, warum Angreifer, fehlende Wartung, Sabotage oder schlichtes Pech zu der Havarie beim Fulfillment-Partner führten. Er muss sich damit herumschlagen, dass seine Bestellungen stocken oder die Kunden ihre Downloads nicht durchführen können.

Ein weiterer Vorteil: Der Kunde muss die Downtime bei seinem Dienstleister dem Versicherer gegenüber nicht nachweisen. Durch die feste Ausfallentschädigung ist auch kein aufwändiger Nachweis seines finanziellen Schadens notwendig.

Fazit

Alle Risiken sind mit der Cloud-Ausfallversicherung nicht vom Tisch. Eine pauschale Versicherungsleistung ist schwierig, wenn die Höhe des eigenen Schadens durch den Ausfall der Cloud stark variieren kann. In manchen Fällen wird es sinnvoller sein, die Service Levels aufzustocken und sich eine höhere Uptime zusichern zu lassen.


Für Unternehmen, die kritische Daten oder Dienste hosten lassen, ist die Cloud-Ausfallversicherung aber eine gute Zusatzabsicherung. Eine große Havarie kann schließlich die Existenz des Hosting-Anbieters gefährden. Oder es gibt Streit um Haftung und Schadenersatzpflicht. Dann ist es ein Segen, wenn der Versicherer davon unabhängig die Betriebsunterbrechung zuverlässig auffängt.

Versichern Sie Ihr Risiko durch IT-Ausfälle bei Dritten: Wir beraten Sie

IT-Ausfälle beim Dienstleister als eigenes Geschäftsrisiko: Als Spezial-Versicherungsmakler für sämtliche IT-Risiken kennen wir von acant dieses Problem. Mit uns können Sie besprechen, wie Versicherungen Sie vor Betriebsunterbrechungen, Schadenersatzforderungen oder Umsatzeinbrüchen schützen, die Ausfälle bei Dritten verursacht haben. Fragen Sie uns zu Ihren Möglichkeiten!

Betriebshaftpflicht nicht versichert bei IT-Dienstleistern, Symbolfoto Dünnes Eis von PublicDomainPictures via Pixabay

Haftungsrisiken für IT-Dienstleister: Dünnes Eis bei Projektverzug und Datenverlust

von

Viele IT-Dienstleister schätzen die eigentlichen Risiken falsch ein

Der IT- und Cyber-Versicherer Hiscox hat kleine und mittelständische IT-Dienstleister befragt. Eines der Ergebnisse: Die Risikoeinschätzung der Manager und Managerinnen passt nicht zu dem, was die Hiscox-Schadenstatistik als eigentliche Branchenrisiken ausweist.

Anders gesagt: die IT-Dienstleister unterschätzen, für welche Art Schadenersatzforderung am häufigsten bezahlt wird. Zudem sind gerade kleinere Unternehmen oft nicht ausreichend versichert.

Branchenrisiken von IT-Dienstleistungsunternehmen: Einschätzung und Fakten

Die IT-Entscheider sahen die Risiko-Rangliste so:

  1. Datenverlust durch Cyberangriff oder menschliches Versagen
  2. Ausfall der IT-Infrastruktur
  3. Projektverzögerung, Projektausfall oder Projektabbruch.

Die Schadenstatistik des Versicherers zeichnet dagegen ein anderes Bild der tatsächlichen Risiken:

  1. Projektverzögerung, Projektausfall oder Projektabbruch
  2. Datenverlust des Kunden durch Programmierfehler
  3. Kundenklagen wegen vermeintlicher Fehler des Dienstleisters

Für die Studie wurden etwas mehr als 200 Manager und Managerinnen sowie leitende Angestellte kleiner und mittelständischer IT-Dienstleistungsunternehmen befragt.

Zu wenige IT-Dienstleister sind versichert

Knapp 49 % der befragten Unternehmen haben eine IT-Betriebshaftpflichtversicherung, die durch den Betrieb verursachte Personen- und Sachschäden deckt. Knapp 44 Prozent sind gegen Cyber- und Datenrisiken versichert. Eine IT-Berufshaftpflicht zur Deckung von Vermögensschäden haben knapp 39 Prozent.

Gerade bei kleinen Unternehmen fehlen oft betriebliche Versicherungen. Beispielsweise haben etwa nur 22 Prozent in diesem Segment eine IT-Betriebshaftpflichtversicherung abgeschlossen.

Fehlende Versicherungen sind auch ein Problem für die Auftraggeber

Dabei darf man nicht übersehen: Mangelndes Risikomanagement von IT-Unternehmen steigert auch das Risiko der Auftraggeber. Schließlich fehlen dann oft die Mittel zum Begleichen von Schadenersatzforderungen, wenn der Auftragnehmer eines IT-Projekts für Mängel oder Verzögerungen verursacht.

Mit dem Versichern von IT-Projekten haben wir uns in den Beiträgen „Gewährleistungs- oder Erfüllungsbürgschaft für IT-Projekte“ und „IT-Projekt mit Freelancern als Subunternehmer versichern“ befasst.

Es gab noch weitere interessante Ergebnisse

Natürlich ging es nicht nur um Versicherungen und Haftung. Die Umfrage ergab außerdem weitere interessante Ergebnisse, zum Beispiel diese:

  • Mehr als 40 Prozent der IT-Dienstleister haben seit der Pandemie mehr Aufträge bekommen. Allerdings profitierten vor allem größere Betriebe, kaum die kleineren.
  • Als Digitalisierungsbremsen sehen die IT-Fachleute in erster Linie fehlendes Know-how bei ihren Auftraggebern sowie bürokratische Hürden. Investitionszurückhaltung und auch Datenschutzvorgaben werden seltener genannt.

acant berät IT-Dienstleister und ihre Kunden zu Versicherungen

acant ist Spezialmakler für IT-Versicherungen sowie für Managerhaftpflicht-Policen. Wir beraten Sie ausführlich und selbstverständlich kostenlos dazu, wie Sie ihre geschäftlichen Risiken günstig und verlässlich absichern – ob als IT-Dienstleister oder als Auftraggeber.
Rufen Sie uns an oder schreiben Sie uns!

Standard-Vertragsklauseln EU Datenschutz, Symbolfoto: Adrian Malec via Pixabay

Neue Standard-Vertragskauseln der EU zum Datenschutz: Haftung versichert?

von

Datenschutz: Neue Standard-Vertragsklauseln für Datenaustausch

Schon seit Ende Juni gelten neue Standard-Vertragsklauseln der EU für den Datenaustausch mit Staaten außerhalb der EU, wenn diese keinen angemessenen Datenschutz gewährleisten.

Diese Musterklauseln machen es möglich, dass EU-Unternehmen (also auch deutsche) personenbezogene Daten in Drittstaaten verarbeiten, dorthin transferieren oder dort speichern lassen. Und zwar auch in solchen Drittstaaten, deren Datenschutzrecht weniger streng ist als die in der EU gültige Datenschutzgrundverordnung (DSGVO). Das gilt zum Beispiel für die USA. Die Klauseln sollen gewährleisten, dass EU-Bürger auch dort ihre Datenschutzrechte wahrnehmen können.

Wenn ein Unternehmen einen Online-Service nutzt, bei dem personenbezogene Daten auf einem US-Server gespeichert werden können, muss der Vertrag mit dem Geschäftspartner Datenschutzbestimmungen gemäß EU-Standardvertragsklauseln enthalten. Sonst liegt ein DSGVO-Verstoß vor. Und die sind teuer.

Welcher Zeitrahmen gilt für die Übernahme der neuen Standard-Vertragsklauseln?

Die alten Versionen der Standard-Vertragsklauseln dürfen nur noch eine Weile verwendet werden. Spätestens am September 2021 müssen bei neu abgeschlossenen Verträgen über Datenaustausch oder Datenspeicherung die neuen Standardklauseln eingesetzt werden. Und ab dem 27. Dezember 2022 müssen alle Verträge, die bislang die alten Klauseln enthalten, auf die neuen Versionen umgestellt sein.

Was bedeutet das praktisch?

Unternehmer, die einen Cloud-Provider, einen Newsletter-Versender, ein Online-Marketing-Tool oder ähnliche Online-Services nutzen, sollten genau hinschauen. Speichert der Anbieter alle Daten in einem EU-Staat? Dann ist die Sache problemlos. Das Gleiche gilt für Länder, deren Datenschutz-Vorschriften dem Schutzniveau der DSGVO „angemessen“ sind. Aktuell sind etwa Südkorea, Kanada, Großbritannien, Japan und die Schweiz auf dieser Liste.

Für andere Länder sollten die Standard-Datenschutzklauseln der EU Teil des Vertrags werden. Das ist allerdings auch kein Allheilmittel: Das Unternehmen muss trotzdem sichergehen, dass der Datenschutz auch in der Realität gewährleistet wird. Es muss eine Risikoprüfung durchführen. Und es darf selbstverständlich nur personenbezogene Daten verarbeiten, speichern oder weitergeben, wenn die betreffende Person eingewilligt hat oder sonst eine Rechtsgrundlage besteht. Das gilt aber generell, nicht nur beim Datentransfer aus der EU heraus.

Das Risiko

Ein Problem ergibt sich, wenn das Datenschutzniveau dort, wo der Server steht, niedriger liegt als bei der DSGVO. Das ist auch in den USA der Fall. Dort haben beispielsweise staatliche Dienste sehr weitgehende Zugriffsmöglichkeiten. Mit den Standard-Vertragsbedingungen garantiert der Geschäftspartner, dass er trotzdem für angemessenen Datenschutz sorgt.

Datenschutzrecht ist eine komplexe Sache. Für internationales Datenschutzrecht gilt das erst recht. Ein Verstoß kann hohe Kosten verursachen. Allein die Bußgelder können bis zu zwei Prozent vom Jahresumsatz ausmachen. Dazu kommen aufwändige Hinweispflichten. Man muss alle Betroffenen informieren. Und jeder von Ihnen kann Schadenersatz verlangen.

Das Risiko ist keine Theorie. Es muss auch nicht erst zu einer Datenschutzverletzung kommen, damit man das Unternehmen in die Bredouille gerät. Schon jetzt verschicken die Landesdatenschutzbehörden Fragebögen an Unternehmen. Darin verlangen sie konkrete Auskunft darüber, welche Dienstleister man nutzt und wo diese die Daten speichern. Das berichtet die Anwaltskanzlei FPS, die zudem eine Checkliste zu den EU-Standardvertragsklauseln vorbereitet hat.

Abhilfe: Verträge prüfen lassen – und sich vor allem versichern!

Geht es bei Geschäftsbeziehungen mit Firmen im Nicht-EU-Ausland in irgendeiner Form um den Transfer personenbezogener Daten? Dann kann es ratsam sein, selbst bei kleineren Aufträgen die vorgelegten Standard-Verträge mit Blick auf den Datenschutz prüfen zu lassen. Grundsätzlich gilt: Anbieter, die die Speicherung und Verarbeitung innerhalb der EU garantieren, vermindern das Datenschutzrisiko enorm.

Ein zweiter, wichtiger Punkt sind geeignete Haftpflichtversicherungen. Die Gewährleistung des Datenschutzes ist eine Rechtspflicht. Damit ist die Haftpflicht gedeckt, wenn das Unternehmen in Haftung genommen wird. Voraussetzung ist natürlich, dass es seine Haftpflicht versichert hat, und dass der Datenschutzverstoß nicht vorsätzlich oder grob fahrlässig erfolgt ist. Eine Cyber-Versicherung und eine Rechtsschutzversicherung können zusätzliche Kosten auffangen: Eigenschäden beispielsweise und Anwalts- bzw. Gerichtskosten. Gleiches gilt für eine Manager-Haftpflichtversicherung.

Decken Ihre betriebliche Versicherungen die Datenschutz-Risiken ab?

Wie steht es um den Versicherungsschutz Ihres Unternehmens in Sachen Datenschutzverletzung? acant prüft Ihre Versicherungsverträge und kontrolliert, wie weit die Deckungen reichen.

Das ist selbstverständlich kostenlos. Haben Sie Interesse? Nehmen Sie Kontakt auf!

Datenschutzversto? Bußgeld versichern - Symbolbild: Steve Buissinne via Pixabay

Eine Versicherung gegen Datenschutzverstöße

von

Zack, Datenschutzverstoß, Bußgeld: Geht im Geschäftsalltag ganz schnell

Vor kurzem hat Dagmar Hartge, die Brandenburgische Landesdatenschutzbeauftragte, ihren Tätigkeitsbericht 2020 veröffentlicht. Der Bericht liefert viele Beispiele dafür, wie schnell ein Unternehmen ins Visier der Datenschützer gerät. Die Folge ist dann häufig ein Bußgeld, das wehtut.

Einige Beispiele:

  • Ein Kreditvermittler schickt einem potenziellen Kreditnehmer eine abschlägige E-Mail. Darin nennt er dessen negative Schufa-Werte. Weil die E-Mail nicht komplett verschlüsselt ist, moniert der Abgelehnte einen Datenschutzverstoß. Die Landesdatenschutzbeauftragte sieht es genauso: Der Kreditvermittler wird offiziell verwarnt.
  • Ein Immobilienmakler soll ein Haus an Käufer vermitteln. In den Werbeunterlagen veröffentlicht er Fotos, die er vom Eigentümer bekommt. Darunter sind auch Fotos einer Einliegerwohnung. Die Mieter sehen eine Datenschutzverletzung. Auch dafür gibt es eine Verwarnung.
  • Ein anderes Immobilienunternehmen macht Drohnen-Fotos von Objekten, die es verkaufen will. Dummerweise sind auch Teile der Nachbargrundstücke abgebildet. Deren Eigentümer beschweren sich. Die Landesdatenschutzbeauftragte übt Druck aus, bis das Immobilienunternehmen die Fotos von der Website nimmt.
  • Ein Wirt benutzt die Kontaktdaten-Liste seiner Gäste, die er wegen Corona führen muss, um ihnen Werbung zu schicken. Das darf er aber nicht – Bußgeld.
  • Eine Ballettschule veröffentlicht auf Facebook Bilder, auf denen die Mädchen beim Tanzen zu sehen sind. Die Eltern wurden nicht um Erlaubnis gefragt. Ergebnis: Ein Bußgeld in vierstelliger Höhe.
  • Günstiger kommt eine Arzthelferin davon, die sich in einen Patienten der Praxis verliebt. Sie kontaktiert ihn über die Telefonnummer in der Patientendatei. Auch das ist ein Datenschutzverstoß. Immerhin ist ihr Bußgeld nur dreistellig.
  • Ein Tourismus-Unternehmen lässt seine Datenbank mit Kunden und Gastgebern ungesichert im Netz. Als das Landesamt vorstellig wird, bleiben trotz erster Korrekturen Sicherheitslücken. Das Unternehmen muss sich auf ein Bußgeld einstellen.

Datenschutzverstoß? Diese Kosten übernimmt Ihre Cyber-Versicherung

  • Manche Cyber-Versicherungen versichern DSGVO-Bußgelder, soweit dies gesetzlich erlaubt ist. (Natürlich nicht bei Vorsatz.)
  • Beim Vorwurf eines Datenschutzverstoßes braucht man den Anwalt. Und auch schon vorher: Dann, wenn man herausfinden will, ob ein Datenschutzverstoß vorliegt, über den man die Behörden informieren muss. Die Kosten für beides sind als Teil der Cyber-Deckung versicherbar.
  • Viele Cyber-Versicherungen haben selbst spezialisierte Anwälte unter Vertrag, die im Notfall direkt helfen.
  • Nach einem Datenschutzverstoß haben die Betroffenen Anspruch auf Schadenersatz. Solche Forderungen decken Cyber-Versicherungen ebenfalls.
  • Wenn der Geschäftsführer dafür haften soll, dass der Datenschutzverstoß möglich war, deckt eine D&O-Versicherung (Manager-Haftpflichtversicherung) die Schadenersatzforderung .
  • Viele Cyber-Versicherer stellen Fachleute für Krisen-PR. Sie helfen bei einem Datenschutz-Gau, Imageschäden zu minimieren.

acant hilft beim Eindämmen der DSGVO-Risiken

Datenschutz ist eine gute Sache. Für Unternehmen wird er allerdings schnell zum Glatteis. Es gibt einfach zu viele Möglichkeiten, im Geschäftsalltag gegen Datenschutzbestimmungen zu verstoßen.

Dieses finanzielle Risiko lässt sich durch eine Cyber-Versicherung weitgehend eindämmen, genauso wie die Schäden durch Hacker und Trojaner. acant ist als Spezialmakler für Cyber-Policen der richtige Ansprechpartner.

Wir finden die Versicherung, die Sie und Ihr Unternehmen optimal schützt. Schreiben Sie uns oder rufen Sie uns an: 030 863 926 990

IT-Sicherheitschecks zum Selbermachen - Symbolbild: Methawee Krasaeden via Pixabay,

Schnelltests mit begrenztem Nutzen: IT-Sicherheitscheck zum Selbermachen

von

IT-Sicherheitscheck im Internet: in wenigen Minuten die Bedrohung ausloten?

Corona-Schnelltests können zu einem falschen Gefühl der Sicherheit führen. Nur bei Wiederholung sind die Ergebnisse zuverlässig. Bei einem IT-Sicherheitscheck zum Selbermachen besteht ein ähnliches Risiko. Es gibt immer mehr davon im Internet. Als erste Orientierung sind sie in Ordnung. Eine belastbare Analyse der eigenen IT-Sicherheit innerhalb von Minuten liefern sie allerdings nicht. Das liegt in der Natur der Sache.

Natürlich kann man allgemeine Grundsätze für eine gute IT-Sicherheit abfragen: Software und Hardware auf aktuellem Stand? Profis für IT-Sicherheit zuständig? Mitarbeiter geschult? Notfallpläne vorbereitet? Sicherheitstechnologie installiert? Etc. etc. Aber ob das vor Ort wirklich umgesetzt wird und funktioniert, muss man schon genauer prüfen.

Hier vergleich ich alles … ach, wirklich?

Das Ganze erinnert mich an die Vergleichsplattformen, auf denen man neben Krediten oder DSL-Verträgen auch Versicherungen aller Art vergleichen kann. Hauptgesichtspunkt sind die Kosten. Natürlich kann man den Vertrag dann auch gleich abschließen. Der Plattformbetreiber erhält dafür Provision.

Betriebliche (und die meisten privaten!) Versicherungen kann man aber nicht sinnvoll vergleichen, indem man nur auf den Endpreis schaut. Die Versicherungsbedingungen sind wichtig. Anders als bei der privaten Kfz-Versicherung sind sie bei einer Betriebshaftpflicht-Versicherung nicht einfach standardisiert. Und das ist das Problem.

Deshalb sind auch Vergleichsplattformen nur zur ersten Orientierung sinnvoll, wenn überhaupt. Sonst hat man zwar ruckzuck eine Versicherung. Die eigene Tätigkeit ist aber möglicherweise von der Deckung ausgeschlossen. Oder die Sachversicherungsleistung ist auf den Zeitwert begrenzt. Vielleicht unterliegt das entscheidende Risiko einem Sublimit, das die Versicherung praktisch wertlos macht. Oder, oder, oder … während man sich abgesichert glaubt.

Gute Beratung ist ihr Geld wert

Natürlich ist das mehr Aufwand. Zunächst muss man jemand finden, der sich auskennt und objektiv berät. Zeit muss man ebenfalls investieren. Der Berater muss sich schließlich ein klares Bild der konkreten Gegebenheiten machen. Im Gegenzug kann man sich dafür auf die Analyse und die Handlungsempfehlungen verlassen.

Wenn es um Versicherungen geht, sind wir von acant Ihre Ansprechpartner: Wir schreiben Beratung groß und kennen den Versicherungsmarkt ganz genau. Wenn es um die IT-Sicherheit Ihres Betriebs geht, sind IT-Security-Experten die richtige Adresse. Wir können Ihnen gern gute Berater empfehlen.

IT-Sicherheitscheck: eine kleine Übersicht

Nach all den Worten der Warnung hier nun einige Tools für den IT-Sicherheits-Selbstcheck:

  • Verband der Sachversicherer: VdS-Quickchecks – diese Checks zur IT-Sicherheit, zum Datenschutz und zur Sicherheit von Produktionsanlagen sind vergleichsweise nützlich, weil sie ins Detail gehen. Außerdem spiegeln sie die Erfahrung mit Risikoeinschätzungen wieder.
  • Sicherheitstool Mittelstand: SiToM: Hier kann man ein „Projekt“ anlegen, das sich de facto als große Checkliste entpuppt. Immerhin sind die Fragen vergleichsweise detailliert.
  • Transferstelle IT-Sicherheit im Mittelstand: Sec-O-Mat. Dieses Tool soll dabei helfen, einen Aktionsplan auszuarbeiten.
  • Deutschland sicher im Netz: DsiN-Sicherheitscheck.
Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung. (Screenshot)
Immerhin: Der IT-Sicherheitscheck von DsiN fragt nach einer Cyber-Versicherung.

Sprechen Sie uns an

Rufen Sie uns an, wenn Sie Fragen oder Anmerkungen haben: 030 863 926 990. Oder schreiben Sie uns eine Nachricht. Sie können auch gern einen Kommentar hinterlassen.