IT Branchenrisiko

Cyber-Versicherung für Rechtsanwälte: Deckungslücke trotz Deckungserweiterung

von

Cyber-Versicherungsschutz für Rechtsanwälte per Zusatzbaustein?

Vor kurzem rief ein Rechtsanwalt an, der um eine zweite Meinung bat. Der Versicherungsmakler seiner Kanzlei hatte ihm vorgeschlagen, die Deckung seiner Berufshaftpflichtversicherung um einen Cyberversicherungs-Baustein zu erweitern. Der Anwalt war sich nicht recht sicher und fragte uns nach einer zweiten Meinung.

Die Cyber-Deckungserweiterung der AXA

Diesen Baustein bietet AXA seit einiger Zeit speziell für Rechtsanwälte und Notare an.  Die Idee ist eigentlich gut: Statt einer teuren, kompletten Cyber-Police wird die ohnehin vorhandene Berufshaftpflicht quasi durch ein „Plugin” aufgerüstet – und die Kanzlei gegen die finanziellen Folgen von Datenschutzverletzungen und Cyber-Kriminalität geschützt.

Der AXA-Baustein umfasst IT-bedingte Vermögenseigenschäden wie die Datenwiederherstellung und das Reputationsmanagement nach einem Hackerangriff mit Datenverlust. Kosten für die Informations- und Kreditüberwachung, Sachverständige, für internetbezogenen Strafrechtsschutz, Erpressungsgelder und weitere Mehrkosten sind auch „mit drin“.

Haftpflicht ohne Selbstverschulden

Die Beschränkung auf Eigenschäden scheint sinnvoll, denn die Haftpflicht ist bei einem Rechtsanwalt oder Notar ja ohnehin pflichtversichert. Aber: Die Berufshaftpflichtversicherung leistet in aller Regel nur bei einer Pflichtverletzung.  So war es auch bei diesem Anwalt.

Eine Cyber-Attacke oder eine IT-Panne kann dagegen auch ohne eigenes Verschulden eintreten. Ein Trojaner, der eine bislang unbekannte Sicherheitslücke ausnutzt, kann auch bei völlig adäquater IT-Sicherheit zuschlagen. Dann sind möglicherweise Mandantendaten und vertrauliche Informationen kompromittiert. Die Haftungsansprüche der Mandanten an die Kanzlei sind aber nicht versichert – ohne Fahrlässigkeit kein Versicherungsfall!

Deckungserweiterung: Günstige Option – aber nur, wenn es passt

Bei einer großen Kanzlei mit einer individuellen Police hätte sich auch die dafür nötige Deckung zusätzlich aushandeln lassen. Bei einem Einzelanwalt blieb nur die Wahl zwischen der Deckungslücke oder einer kompletten Cyber-Versicherung (die zu einer teilweisen Überdeckung führt). Er hat sich für letzteres entschieden.

Deckungserweiterungen gibt es  übrigens nicht nur für Rechtsanwälte, sondern auch für andere Branchen und Berufsgruppen, etwa Ärzte, Ingenieure und Architekten. Und sie sind auch keineswegs immer sinnlos, im Gegenteil. Man muss nur – wie immer bei Versicherungen – zwei Dinge genau unter die Lupe nehmen: die angebotene Deckung und das eigene Risiko.

Ist  eine Erweiterung Ihrer bestehenden Versicherungen um Cyber-Versicherungsschutz für Sie sinnvoll? Das kann ich für Sie und mit Ihnen klären – rufen Sie mich einfach an: 030 863 926 990.

Eine Cyber-Versicherung schützt auch Ihre Bilanz

von

Vor knapp einem Jahr hat sich der Elektronik- und Technologiekonzern Bosch gegen Cyber-Angriffe versichert – mit einer Deckung in Höhe von 100 Mio. Euro. Damals, vor dem Sony-Hack und dem gekaperten Bundestagsnetzwerk, war das eine Schlagzeile wert. Inzwischen kann man davon ausgehen, dass sehr viele DAX-Unternehmen ähnliche Policen besitzen, in vergleichbarer Größenordnung.

Und zwar nicht einfach nur, weil das Cyber-Risiko mittlerweile  auch die Vorstandesetagen aufschreckt. Dahinter stehen Bilanzschutz und angewandtes Risikomanagement.

  • Planbarkeit: Ein Cyber-Angriff oder eine größere IT-Havarie ist ein nicht vorhersehbarer Schaden – mit riesigem Schadenspotenzial (von der unangenehmen Pflicht zu Ad-hoc-Meldungen ganz abgesehen). Die Versicherungsprämie ist dagegen eine feste, bekannte und kalkulierbare Größe. Sie wird normales Element der gesamten betrieblichen Planung, vom Cash Flow bis zur Ergebnisprognose.
  • Kostenvorteil: Ist das Unternehmen nicht versichert, muss es die Kosten für den Schaden nicht nur mit einem Schlag tragen, sondern auch aus dem bereits versteuerten Gewinn oder durch kurzfristig beschafftes Kapital finanzieren. Diese Aufwendungen sind damit sehr teuer. Wird der Schaden durch die Versicherungsprämien gewissermaßen vorfinanziert, stellen diese Kosten dagegen Betriebsausgaben dar. Allein das senkt den Aufwand grob veranschlagt um die Hälfte.

Deshalb ist eine Versicherung praktizierter Bilanzschutz. Sie macht das Risiko betriebswirtschaftlich beherrschbar und sorgt dafür, dass ein Schadensfall zwar vielleicht ihr Netzwerk, aber nicht die Bilanz zum Kippen bringt.

Dafür muss das tatsächliche Cyber-Risiko Ihres Unternehmens exakt ausgelotet und die Versicherungspolice genau auf Ihre Situation angepasst werden. Es sollte weder zu einer Über- noch zu einer Unterdeckung kommen. Sonst sind entweder die laufenden Kosten zu hoch – oder die Kosten im Schadensfall. Der Versicherungsmarkt bietet jedoch inzwischen die passenden Produkte. Und für Auswahl, Anpassung und Vermittlung Ihrer Cyber-Versicherung bin ich als Ihr Versicherungsmakler zuständig.

Die Sicherheitslücke überhaupt …

von

Wer die Website von Mark Semmler besucht, wird dort so begrüßt:

Das größte Sicherheitslücke sind leider Sie: Screenshot der Header-Grafik von Mark-Semmler.de

Nicht sehr schmeichelhaft. Aber der Mann leitet das Entwicklerteam für die Cyber-Leitlinie des Sachversicherer-Verbands. Er weiß, wovon er redet.

Wenn nicht Sie selbst die Sicherheitslücke sind, dann eben Ihr Praktikant, der mit seinen wichtigen Arbeitsabläufen angibt. Der frustrierte Kollege, der nicht befördert wurde. Oder der Faulpelz aus dem Marketing, der stets dasselbe Passwort nutzt und seinen Laptop am Tisch liegen lässt, wenn er noch einen Kaffee holt.

IT-Sicherheit lässt sich nicht einfach fertig installieren. Es gibt auch keine Rundum-Lösung zu kaufen. Wenn alles nur eine Frage der Technik wäre, gäbe es längst nur noch verschüsselte E-Mails – den meisten Leuten ist Verschlüsseln aber zu umständlich.

Für die Sicherheitslücke Mensch gibt es keinen Patch. Aber man kann sie versichern.

Das IT-Sicherheitsgesetz wird teuer – Versichern senkt das Kostenrisiko

von

Es wird mit großer Sicherheit teuer …

Im Sommer dürfte das IT-Sicherheitsgesetz in Kraft treten. Im Moment liegt der Gesetzesentwurf beim Bundestag. Es bringt dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) mehr Bedeutung und für so genannte „Betreiber kritischer Infrastrukturen“ neue Pflichten und Kosten – aber auch für jeden geschäftlichen Website-Betreiber.

Unklar: Betreiber einer kritischen Infrastruktur

Noch ist völlig unklar, wer dazu zählt. Genaue Festlegungen soll es erst später per Rechtsverordnung geben.

Bislang ist die Zielgruppe nur über zwei Merkmale eingegrenzt: Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ (§ 2 Abs. 10 BSIG n. F.) – ziemlicher Gummi also.

Immerhin: Kleinst- und Kleinunternehmen sind ausgenommen. Andere Betreiber müssen …

  • innerhalb von zwei Jahren verbindliche IT-Sicherheitsstandards einführen. (Welche? Auch noch nicht klar …).
  • deren Einhaltung alle zwei Jahre zertifizieren lassen
  • eine permanent erreichbare „Kontaktstelle“ zum BSI einrichten
  • Cyber-Zwischenfälle sowie Störungen und Bedrohungen der IT-Sicherheit unverzüglich an das BSI melden – auch solche, die nicht zu Ausfällen oder Störungen führten. (Immerhin darf dann die Meldung anonym erfolgen)

Neue Sicherheitspflicht für jeden geschäftlichen Website-Betreiber

Eine Änderung im Telemediengesetz verpflichtet zudem Diensteanbieter (d. h. Website- und Webservice-Betreiber) dazu, alles an Cyber- und Datenschutzmaßnahmen zu installieren, was „technisch möglich und wirtschaftlich zumutbar“ (§ 13 TMG n. F.) ist.

Eine Cyber-Versicherung hilft

Meldepflichten, Zertifizierungspflichten, verpflichtende IT-Sicherheitsstandards – all das ist nicht nur in der Umsetzung teuer. Zusätzlich drohen bei Verstößen Bußgelder und Schadenersatzansprüche Dritter.

Genau hier hilft eine Cyber-Versicherung, die Kostenrisiken im Griff zu halten:

  • Bei einem erfolgreichen Cyberangriff, einem technischen Zwischenfall oder menschlichem Versagen im Cyberbereich sind ihr Eigenschaden sowie Ausfall– und Folgekosten versichert (Produktionsausfälle, zerstörte Hardware, Datenwiederherstellung etc.)
  • Wichtiger noch: die Schadenersatzansprüche, die andere in diesem Fall an Sie stellen, sind ebenfalls versichert (denken Sie an Kunden, deren Daten geklaut wurden)
  • Die Versicherer halten Dienstleister für den Krisenfall bereit, die schnelle Hilfe bieten (Datenrettung, Krisen-PR, Rechtsberatung etc.)
  • Und, aktuell im Zusammenhang mit dem IT-Sicherheitsgesetz wichtig: Wenn gegen Ihr Unternehmen ein Bußgeldverfahren aufgrund von IT-Sicherheitsverletzung läuft, sind Ihre Rechtsanwalts- und Gerichtskosten mitversichert.

 

Der Trend geht zum Zweit-Makler. Aus gutem Grund.

von

Inzwischen nutzen viele unserer Kunden acant als „Zweitmakler“. Ihr angestammter Versicherungsmakler bleibt für die klassischen betrieblichen Versicherungen zuständig, wir betreuen als Fachmakler die Themen Cyberversicherung, Geschäftsführer-/Managerhaftung sowie IT-Projektversicherung.

Wie bei Rechtsanwälten und Ärzten wächst auch bei Versicherungsmaklern der Bedarf an Fachbetreuung für bestimmte Gebiete.

Beispiel Cyber-Police: Der Versicherungstyp ist jung. Die Major Player wie Allianz Global, AXA, ACE, Chubb, R+V, BVK, Hiscox, Württembergische, AIG und die Gothaer haben noch keine jahrelange Schadenerfahrung. Sie passen ihre Produkte deshalb laufend an. Schwerpunkte und Zielgruppen der Policen sind zudem sehr unterschiedlich. Deutsche Versicherern siedeln das Cyber-Thema oft in den Haftpflichtabteilung an, US-Assekuranzen eher bei „Financial Lines“. Daraus ergeben sich  unterschiedliche Vertragsausrichtungen: eher haftpflichtorientiert mit Deckungserweiterung für Eigenschäden im deutschen Fall, Individualpolicen auf Basis von Versicherungsklauseln für Garantieversicherungen oder für Vertrauensschaden und Computermissbrauch bei US-Gesellschaften.

Um zu wissen, was davon für Ihren Bedarf am besten passt und gleichzeitig die geringsten Kosten verursacht, sollte Ihr Versicherungsmakler sich schon etwas häufiger mit Cyber-Risiken befasst haben. Bei persönlichen Haftungsrisiken im Beruf ist das nicht anders. Hier ist es die Rechtsentwicklung, die dafür sorgt, dass sich der Markt für D&O-Policen und andere Betriebs- und Berufshaftpflichtversicherungen laufend ändert. Deshalb sollten Sie auch hier einem Fachmakler vertrauen.

Zweite Meinung?

Sie können sich übrigens auch an uns wenden, wenn Sie eine zweite Meinung zu Versicherungsangelegenheiten einholen wollen. Rufen Sie  an (030 863 926 990) oder schreiben Sie uns.

Cookie-Monster und die Rechtsunsicherheit

von

In einer idealen Welt würde das Online-Recht klar umsetzbare Vorgaben für Website-Betreiber liefern. Die Wirklichkeit ist weit davon entfernt.

Ein Beispiel von vielen: Ob deutschen Seitenbetreiber jedes Mal vorher um Erlaubnis fragen müssen, bevor sie Cookies setzen, ist höchst umstritten. Die Konferenz der Datenschutzbeauftragten von Bund und Ländern neigt natürlich zur restriktiven Sicht. Ob der BGH zustimmen würde, weiß keiner, jedenfalls bis jetzt. Die Folge ist wieder einmal Rechtsunsicherheit.

Versicherungen sind kein Allheilmittel dagegen – aber sie können das Risiko durchaus begrenzen, auch wenn das nicht allgemein bekannt ist. Die Versicherer bieten entsprechende Produkte unter ganz unterschiedlichen Namen an (Cyber-Versicherung, Media-Police, IT-Safe Care – um ein paar Beispiel zu nennen.) Die genauen Deckungsvereinbarungen muss man sich im Einzelfall anschauen. Aber grundsätzlich lässt sich der Schaden versichern, der entsteht, wenn Ihnen jemand aus den  Cookies Ihrer Unternehmenswebsite einen Strick drehen bzw. einen Verstoß gegen Datenschutzrecht konstruieren will. Zumindest solange, wie die Cookie-Zustimmung noch nicht allgemeiner Standard in Deutschland ist und die fehlende Abfrage nicht als grob fahrlässig ausgelegt werden kann.

Man könnte fast sagen: Auch Rechtsunsicherheit ist ein Stück weit versicherbar.

IT-Projekt mit Freelancern als Subunternehmer: Wie versichern?

von

Folgende Konstellation tritt im IT-Projektgeschäft immer wieder auf: Eine IT-Firma übernimmt einen größeren Auftrag. Zur Abwicklung des Projekts heuert sie eine Reihe Freelancer oder kleinere Dienstleister an. Zum Beispiel, weil sie Personal und Ressourcen nicht dauerhaft aufstocken will. Oder weil für dieses konkrete Projekt besondere Services gebraucht werden, die man sich extern dazu holt.

Damit ist der Auftragnehmer des Kunden seinerseits Auftraggeber gegenüber den Subunternehmen. Juristisch wie versicherungstechnisch ist das oft knifflig.

Häufig besteht der Auftraggeber darauf, dass sein Auftragnehmer eine Projektversicherung aufweist. Eine Projektversicherung wird vor allem dann teuer, wenn es um ein kleines Projektvolumen geht – für die Versicherungen ist eine Million Euro das kleinste Projektvolumen, für das sie Policen verkaufen. Umfasst der tatsächliche Auftrag nur 100.000 Euro, sind die Kosten trotzdem gleich hoch. In diesem Fall muss man sich überlegen, ob man das Risiko nicht auf andere Art und Weise sinnvoller abdeckt – etwa durch eine Versicherung,  die das Unternehmen über das Projekt hinaus absichert und so mehr Schutz bei gleichen Kosten bietet.

Ein Hauptproblem für den „Mittelmann“ ist außerdem die oft unklare juristische Lage. Welchen rechtlichen Status hat das projektbezogen zusammengestellte Team eigentlich? Ist das möglicherweise eine GbR? (Das kann auch dann der Fall sein, wenn der Vertrag mit den Subunternehmern das explizit verneint!) Oder droht im Gegenteil die Einstufung der Freelancer als Scheinselbstständige? Was steht denn genau in den Projektverträgen und ist es auch belastbar?

Mit genau diesen Fragen muss ich mich automatisch befassen, wenn ich nach Versicherungen für das Projekt suche. Dass ich studierter Jurist bin, hilft eine Menge).  Ein positiver Nebeneffekt meiner Arbeit als Versicherungsmakler – denn die Position zwischen Baum und Borke, sprich zwischen Auftraggeber einerseits und Subunternehmern andererseits kann schnell recht ungemütlich werden.

Nicht nur, wenn der Auftraggeber nicht zahlt. Auch bei möglichen Haftungsfragen droht Ärger. Wer zahlt den Schaden – der Subunternehmer bzw. Freelancer, der ihn verursacht hat? Oder der Hauptauftragnehmer,mit dem der Kunde den Vertrag hat? Hat der Kunde womöglich sogar die Möglichkeit zur Durchgriffshaftung, eben weil das Konstrukt eine GbR darstellt, auch wenn das eigentlich niemand so wollte?

Gut, wenn man solche Fragen vorab schon mal durchgesprochen hat – und gleichzeitig eine Police vermittelt bekommt, die genau auf das Projekt und das eigene Risiko zugeschnitten ist.

Cyber-Risiken und Haftungsansprüche in den USA versichern

von

Gregg Steinhafel, Ex-CEO des US-Einzelhandelsriesen Target, ist ein besonders prominentes Beispiel dafür, wie drastisch die persönlichen Folgen von IT-Sicherheitsmängeln für Manager ausfallen können: Erst verdarben Hacker ihm  die Weihnachtsfeiertage 2013 – mit dem Diebstahl von Kundendaten in großem Stil. Ein halbes Jahr später kostete ihn der Vorfall dann auch noch den Vorstandsposten. Oder wie das  Handelsblatt schrieb: „Daten weg, Kunden weg, Chef weg“.

Und was, wenn ein deutsches Unternehmen Geschäfte in den USA macht und dort für Cyber-Schäden haftbar gemacht werden soll? In Amerika sind Schadenersatzsummen bekanntlich oft (alp-)traumhaft hoch. Sind solche Ansprüche durch die Cyber-Versicherung mit abgedeckt?

Hier muss man ein wenig ins Detail gehen: Grundsätzlich sind Auslandsrisiken durch Haftungsansprüche Dritter im Normalfall mitversichert. Eine Cyber-Versicherung bzw. Haftpflicht-Police bietet Deckung also auch im Ausland.

Es gibt aber Länder, die ausgeschlossen sind – zum Beispiel solche, die nur die Regulierung durch vor Ort registrierte Versicherungen zulassen. Und praktisch alle großen Versicherer schließen Ansprüche in den USA und Kanada durch Standardklauseln aus – das „litigation law“ dort ist einfach zu hemmungslos für eine pauschale Deckung. Trotzdem ist es oft möglich,  Haftpflichtansprüche in den USA auch ohne teure Zusatzdeckungen mitversichert zu bekommen, vor allem bei auf weltweiten Schutz spezialisierte Gesellschaften wie z. B. ACE. Die Versicherer wollen das Risiko aber vorher einzelfallbezogen in Augenschein nehmen.

Deutsche Unternehmen, die ihr USA-Geschäft mit in ihre Cyber-Versicherung einschließen wollen, sollten also dafür sorgen, dass die Deckung ihrer Police entsprechend erweitert wird, möglichst ohne Kosten. Und auf zwei weitere Dinge gilt es aufzupassen:

  • Die Mitarbeiter sollten mitversichert sein. Denn auch in den USA kann schnell eine persönliche Haftung entstehen.
  • Und zweitens: Manche Versicherer verfügen über ein eigenes Data Breach Team in den USA, das im Schadensfall als schnelle Eingreiftruppe fungiert – ein entscheidender Vorteil.

Übrigens: Auf solche Details zu achten, ist Teil meiner Aufgabe als Versicherungsmakler. Haben Sie Fragen dazu? Rufen Sie mich an: 030 863926 990.

Stockfotos als Abmahnrisiko – aber eine Cyber-Versicherung schützt

von

Nehmen wir an, irgendein schlechter Mensch lädt fremde Fotos bei einer Stockfoto-Datenbank hoch, um sie dort zu verkaufen. Oder eine unzuverlässige Werbeagentur dreht dem Kunden Bilder ohne Lizenz an. Der gutgläubige Kunde baut die Fotos auf der eigenen Website ein – und erhält etwas später vom  Fotografen eine Schadenersatzforderung.

Dann sind die Chancen groß, dass bezahlt werden muss. Wer fremde Fotos im Internet nutzt, muss selbst nachprüfen, ob eine lückenlose „Rechtekette“ bis hin zum Fotografen existiert. Er darf sich nicht auf die Zusicherung eines „Zwischenhändlers” verlassen, dass urheberrechtlich schon alles okay sei. Das hat das OLG München vor einiger Zeit ausdrücklich bestätigt (Beschl. v. 15.01.2015 – 29 W 2554/14).

Das man solche „Sorgfaltspflichten” im Geschäftsalltag gar nicht immer umsetzen kann, liegt auf der Hand. Wie soll man  alle Verträge der beauftragten Werbeagentur oder einer Bilddatenbank (vermutlich mit Sitz im Ausland) und aller weiterer Beteiligten kontrollieren?  Zum Glück hilft eine Cyber-Versicherung  auch gegen dieses Rechts- und Abmahnrisiko. Eine Cyber-Police schließt im Regelfall auch Schäden durch Urheberrechtsverletzungen ein. Wenn der Verstoß nicht gerade sehenden Auges begangen wurde, wäre eine solche Schadenersatzforderung also regulierbar.

 

Britischer Minister für mehr Cyber-Versicherungsschutz

von

Ein Regierungsbericht aus Großbritannien beklagt den eklatanten Mangel an Cyber-Versicherungsschutz, meldet die BBC. Obwohl 81 Prozent der britischen Unternehmen in den zurückliegenden zwölf Monaten Opfer einer Sicherheitsverletzung wurden, seien nur zwei Prozent angemessen gegen Cyber-Risiken versichert, so der Minister für Kabinettsangelegenheiten, Francis Meade.

Die Hälfte der befragten Firmenchefs wusste nicht einmal von der Möglichkeit, sich gegen Cyber-Risiken zu versichern.

Als Konsequenz will die Regierung in London die Unternehmen nun verstärkt zum Abschluss von Cyber-Versicherungen motivieren. Bleibt aus deutscher Sicht hinzuzufügen: Die Cyber-Versicherungslücke ist bei uns kaum weniger groß und die Cyber-Risiken sowieso nicht. Der Unterschied ist, dass hier die Politik bislang noch nicht so recht verstanden hat, wie sinnvoll Cyber-Versicherungsschutz als Mittel gegen dieses Risiko ist.

Nicht nur aufgrund der finanziellen Unterstützung. Wenn der Schadensfall eintritt, ist die ebenfalls in der Police enthaltene, schnelle Unterstützung durch Berater und Spezialisten genau so wichtig, wie der Regierungsbericht unterstreicht.