Neue Cyber-Leitlinie der Versicherer: „Brandschutz des 21. Jahrhunderts“

Anfang der Woche war ich auf der CeBIT. Dort hat der Verband der Sachversicherer (VdS) seine neue „VdS-Cyber-Leitlinie VdS 3473“ zur Informationssicherheit in KMU vorgestellt, die voraussichtlich im Juli in Kraft tritt. Unternehmen, die diese Anforderungen an Technik, Organisation, Präventionsmaßnahmen und Managementprozesse einhalten, werden eine Cyber-Versicherung zu günstigen Standardbedingungen abschließen können. Damit sind sie vor den Folgen von Hacks, Datenverlusten, Havarien etc. geschützt, auch vor daraus resultierenden Schadenersatzforderungen.

Hintergrund der Einführung: Der Bedarf nach Cyber-Absicherung wird auch den Unternehmen immer mehr bewusst. Aber bislang fehlen – anders als beim Brandschutz oder Arbeitssicherheit – vor allem bei KMU allgemein genutzte IT-Sicherheitsstandards. Das ist für die Versicherer ein Problem. Sie wollen schnell und einfach einschätzen, woran sie bei einem neuen Kunden sind.

Deshalb will der VdS seine neue Richtlinie speziell bei KMU rasch populär machen. Dazu beitragen soll bereits jetzt ein kleines Web-Tool zur Selbsteinschätzung, der VdS-Quick-Check. Wenn dessen Ergebnisse in Ordnung sind, reicht das dem Versicherer als Risikobeurteilung bereits aus. Zeigt die Auswertung gelbe oder rote Felder, wird den Unternehmen der ein- oder zweitägige „Quick-Audit“ durch Experten empfohlen, und als große Lösung die komplette Zertifizierung.

Parallel wird eine Fortbildung zum „Informationssicherheitsbeauftragten“ angeboten.

Die neue Leitlinie bringt nicht nur für die Versicherer selbst, sondern auch für unsere Kunden, die Unternehmen mit Versicherungsbedarf, wirklich Vorteile:

  •  Der Nachweis des eigenen IT-Qualitätsstandards ist mit  der VdS-Leitlinie  viel unaufwändiger als mit dem IT-Grundschutz-Katalog des BSI.
  • Für die vielen unterschiedlichen Versicherungsangebote der Versicherer wird ein gemeinsamer Maßstab festgelegt, Deckungsinhalte und Prämien sind besser vergleichbar.
  • Das Netzwerk von Experten, das bei der Risikoaufnahme hilft, steht dann auch im Schadenfall kurzfristig bereit, um die Wiederherstellung der IT-Sicherheit zu gewährleisten.
  • Die VdS-Richtlinien machen die Haftung des Managements für IT-Sicherheit und Compliance transparent und –  mit einer Cyber-Versicherung und D&O-Lösungen – versicherbar.

Fazit: Zumindest den Quick-Check würde ich jedem Unternehmen empfehlen. Diese zwanzig Minuten sind sicher sinnvoll investiert, denn damit zeigt sich der aktuelle Stand des Unternehmens in Sachen Cyber-Sicherheit.

Versicherungsfall bei der IT-Haftpflicht: Das „Wann“ ist ganz entscheidend!

Frage eines Interessenten zum Thema IT-Haftpflichtversicherung: „Angenommen, unser Unternehmen schließt eine IT-Haftpflichtversicherung ab. Und dann ergibt sich auf einmal ein Schaden aus einem Projekt, das wir schon vor einem halben Jahr abgeschlossen haben – ein Programmierfehler, die falsche Hardware, irgend so etwas. Ist das dann auch gedeckt?“

Die Antwort: Es kommt darauf an. Am besten erklärt man es an einem Beispiel:

  • Nehmen wir an, Ihr Versicherungsschutz beginnt laut Vertrag am 1. Juni.
  • Bereits am 5. April  wurde beim Kunden eine mit mangelnder Sorgfalt erstellte Software installiert. Ein Fehler im Quellcode wartet darauf, Unheil anzurichten. (Der Fehler darf bei Abschluss des Versicherungsvertrags aber noch nicht bekannt gewesen sein!)
  • Am 13. Juli ist es dann soweit – das Problem wird virulent, die Datenbank des Kunden havariert, seine Produktion stockt.
  • Am 2. August erreicht sie das Einschreiben mit der Schadenersatzforderung.

Ist dieser Schaden durch Ihre IT-Haftpflicht gedeckt? Das hängt davon ab, welches von drei möglichen, branchenüblichen Prinzipien für die Definition des Versicherungsfalls bei Ihrer Police gilt:

  • Das Verstoßprinzip: Entscheidend ist der Zeitpunkt, zu dem die Pflichtverletzung passierte, die zur Haftpflicht führt.  In unserem Fall ist das im April, also vor Versicherungsbeginn, deshalb haben Sie mit dem Verstoßprinzip Pech.
  • Das Schadensereignisprinzip: Hier ist der Zeitpunkt des Schadens ausschlaggebend. Das war bei uns im Juli, im Folgemonat des Versicherungsbeginns. Hier haben Sie also Glück, die Ansprüche sind versichert.
  • Das Claims-made-Prinzip macht das Datum zum Stichtag, an dem die Schäden geltend gemacht werden, bei uns der  2. August. Auch in diesem Fall sind Sie geschützt.

Wenn der Softwarefehler allerdings beim Abschluss der Versicherung schon bekannt war, dann ist es so gut wie unmöglich, dafür eine Deckung zu erhalten – egal, wie der Versicherungsfall bei Ihrem Vertrag definiert ist.

Und daran sieht man, weshalb es wichtig ist, einen fachkundigen Versicherungsmakler zu haben. Denn der kann Ihnen sagen, welchen Schutz eine bestimmte Police Ihnen tatsächlich bietet.

 

Das schmutzige kleine Geheimnis der Cyber-Security

„Here’s the dirty little secret of cyber security, though: nothing is 100 per cent secure.“

„Hier ist das schmutzige kleine Geheimnis der Cyber-Sicherheit: Nichts ist zu 100 Prozent sicher.“ Das ist die zentrale Aussage in einem Beitrag der britischen IT-News-Website The Register.

Eigentlich will der Artikel erklären, dass ein Viren- und Malware-Scanner zwar unverzichtbar ist, aber keineswegs ausreicht, um die Rechner im Firmennetzwerk gegen Angriffe zu sichern. Man braucht vielmehr „layered security“, d.h. mehrere Schichten von Sicherheitsmaßnahmen. Es geht darum, weitere Löcher stopfen, durch Zugangsfilter für zwielichtige Websites, durch Viren- und Spamfilter auf dem Mailserver und durch pflichtbewusstes Installieren von  Updates und Patches.

Das ist alles richtig. Ansonsten ist der Artikel sicher nicht der beste Ratgeber zur Cyber-Security, den es je gab. Von Firewalls und mobilen Datenträgern zum Beispiel spricht er  gar nicht erst. Und das Konzept der „layered security“ ist ja nicht gerade neu. ABER: Der Satz oben ist entscheidend. Es gibt keine hundertprozentige IT-Sicherheit.

Ich füge hinzu: Dafür gibt es Cyber-Versicherungen. Denn das ist eine Sicherheitsmaßnahme, die auch der hinterhältigste Hacker der Welt nicht löschen, deaktivieren, zum Absturz bringen oder überschreiben kann.

 

Cyber-Schwachstelle Heimcomputer – selbst im Kanzleramt

„Regin”, ein NSA-/GCHQ-Trojaner, wurde auf einem Laptop im Bundeskanzleramt entdeckt. Er kam von einem infizierten Heimcomputer  per USB-Stick. Eine hochrangige Mitarbeiterin hatte sich Arbeit mit nach Hause genommen. „Die Benutzung eines privaten USB-Sticks für solche Dateitransfers sei verboten, hieß es weiter.” Tja.

„Spear fishing” heißt es, gezielt einer bestimmten Person durch eine auf sie zugeschnittene Fake-Nachricht „Malware” unterzujubeln. Hat immer wieder Erfolg. Aber eine Cyber-Risk-Versicherung hilft auch dann.

Quellen: „Bild” und z. B. auch Golem.de.

Cyber-Risk – von Sony bis zum Stahlwerk

Ein bizarres Schurkenregime, gehässige Tratsch-Mails, Regierungsstäbe im Krisenmodus, jetzt auch noch der Playstation-GAU –  die vielen grellen Details der Sony-Hackerstory verdrängen wichtige Aspekte in den Hintergrund:

  • Eigentlich nichts besonderes. Sony beherrscht die Schlagzeilen. Kaum erwähnt: Die Schäden eines deutschen Stahlwerks durch einen „Hochofen-Hack”. Oder der britische Dienstleister für Software-Entwicklung, pleite aufgrund eine Cyber-Erpressung. Oder, oder, oder: siehe BSI-Lagebericht zur IT-Sicherheit 2014, Punkt 3.3, „Vorfälle in der Wirtschaft”.
    Merke: Cyber-Angriffe sind längst Gegenwart – fast schon Routine. Außer für das Opfer, natürlich. Übrigens: Eine Cyber-Police deckt auch Erpressungsgelder ab.
  • Mit kleinen Mitteln viel bewegt. Nordkorea ist rückständig, die Wirtschaft ein Fiasko. Trotzdem reichte es für den Mega-Treffer beim Großkonzern Sony.
    Merke: Man muss nicht groß, reich und mächtig sein für erfolgreiche Cyber-Angriffe. Nur skrupellos.
  • Wer den Schaden hat, braucht Freunde. Es dauerte lange, bis Sony rechtlich gegen Websites vorging, die die geklaute Daten veröffentlichten, und bis die PR-Gegenreaktion lief.
    Merke: Bei einem Cyber-Angriff brauchen Sie schnell gute Leute auf Ihrer Seite. Eine Cyber-Risk-Versicherung sorgt u. a. auch dafür. Denn es liegt auch im Interesse des Versicherers, die Folgeschäden gering zu halten.
  • Der Rufschaden ist am schlimmsten. Gehässige Bemerkungen über Angelina Jolie sind harmlos im Vergleich zum verlorenen Vertrauen des Marktes. Fast schon 13.000 Retweets bisher:

    Merke: Ein Cyber-Angriff gefährdet den Ruf Ihres Unternehmens – und kostet Sie damit Kunden.

Wenn Sie Fragen zum Thema Cyber-Risk-Versicherungen haben: Ich beantworte sie gerne.

Cyber-Risk-Versicherungen: Wichtiger Risikoschutz – aber auch Kostenfalle

Die Bedrohung aus dem Internet ist für Unternehmen längst sehr real, auch für KMU. Es ist dringend geboten, diese Risiken zu versichern, entsprechend wächst der Markt an einschlägigen Versicherungsprodukten rasant. Doch beim Abschluss von Cyber-Risk-Versicherungen gilt es, genau hinzuschauen.

Was Cyber-Risk-Versicherungen leisten

„Klassische“ Firmenpolicen erfassen zwar im Regelfall u. a. Sachschäden, Haftpflichtrisiken und Vermögensschäden. Oft genug sind die „neuen“ Risiken durch Computer- und Internetkriminalität gegen Unternehmen damit aber nicht gedeckt.

Typische Beispiele: Durch einen Angriff auf das eigene Unternehmen werden auch der Datenbestand eines Geschäftspartners und damit dessen Kundendaten kompromittiert. Deshalb haben diese Kunden als Dritte einen Entschädigungsanspruch, der jedoch nicht unbedingt in einer klassischen Unternehmenspolice enthalten ist. Auch die eigenen Folgeschäden sind oft nicht abgedeckt: Die Produktion liegt zwei Wochen lahm, weil relevante Auftragsdaten bei einem Einbruch zerstört wurden? Das neue Modell kommt nicht mehr exklusiv auf den Markt, weil die Innovationen schon gestohlen und kopiert wurden? Auf solchen Kosten bleibt ein Unternehmen leicht sitzen – wenn diese Cyber-Risiken nicht versichert wurden.

Ein zusätzliches Element von Cyber-Versicherungen sind flankierende Maßnahmen zur Betreuung im Schadensfall, beispielsweise Rechtsberatung zu den Informationspflichten gegenüber Geschädigten bei Datenlecks oder eine Hotline mit IT-Expertenrat zur Schadensbegrenzung und Spurensicherung.

Der Markt an Cyber-Risk-Versicherungen wächst

Mit schöner Regelmäßigkeit berichten die Medien über spektakuläre Cybercrime-Fälle. Sony und Vodafone waren nur zwei besonders prominente Opfer von vielen. Allein in diesem Jahr gab es außerdem zwei Datenklau-Skandale, die 16 bzw. 18 Millionen Datensätze betrafen. Dazu kommt das Dauerthema NSA-Spionage oder Warnungen des Verfassungsschutzes vor Cyberangriffen aus China.

In der Folge hat sich in den Unternehmen (und auch bei den Verbrauchern und Kunden) ein Bewusstsein für die Bedrohung entwickelt. Jetzt soll dafür echtes Risikomanagement her. Für die Versicherungsunternehmen, die auf manchen Geschäftsfeldern ja ziemlich zu kämpfen haben, ist das natürlich eine gute Nachricht: Sie drängen mit neuen Produkten auf den Markt und können bei der Akquise die unbestreitbaren Gefahren als Argument nutzen.

Kaum ein Bereich an Versicherungen wächst so rasant wie Cyber-Risk-Versicherungen – gerade startete die Württembergische mit einer eigenen Cyber-Police, die auf kleine und mittelständische Unternehmen ausgelegt ist, in den nächsten Monaten werden voraussichtlich diverse weitere Assekuranzen ihre Produkte lancieren. Als ich im September letzten Jahres über branchenübergreifende Cyber-Risk-Policen für KMU berichtete, war das Angebot noch auf wenige Alternativen begrenzt.

Aber: Der unüberlegte Abschluss von Versicherungen birgt ebenfalls Risiken

Ein Unternehmen, das eine nennenswerte IT-Abteilung unterhält (so gut wie jedes also), sollte sich absichern. Das sollte  allerdings nicht unüberlegt geschehen. Nicht nur  eine fehlende, auch eine falsche Versicherung kann teuer werden.

  • Wer nicht aufpasst, erhält eine nutzlose, teure Mehrfachversicherung. Wenn die Vermögensschadenhaftpflicht bereits in der bestehenden Haftpflichtpolice enthalten ist und nun noch ein zweites Mal im hastig abgeschlossenen Cyber-Risk-Vertrag steht, dann zahlt man auch doppelt – für eine Deckung, das man nur einmal braucht. Und wenn ein IT-Unternehmen durch Fachanwälte bereits bestens betreut ist, benötigt es keine zusätzliche Rechtsberatung im Schadensfall.
  • Ein zweiter Aspekt ist die mögliche Schadenshöhe. Der Wert der Hardware in einem Rechenzentrum lässt sich recht exakt beziffern und damit im Risikomanagement auch ziemlich genau abbilden. Beim möglichen Folgeschaden eines Datendiebstahls ist das sehr viel schwieriger. Wie beziffert man den Vertrauensschaden im Markt? Welche Forderungshöhe entsteht, wenn bei den Kunden von Kunden Schäden entstehen können? Bei einem Vertrag „von der Stange“ sind Schadenshöhen pauschaliert. Dann bezahlt man leicht zu viel, oder die Deckungsumme ist zu gering. Wie hoch die Risiken sind, muss detailliert und für den Einzelfall kalkuliert werden.

Es muss genau geprüft werden, ob Ihr tatsächlich bestehendes, individuelles Unternehmensrisiko am günstigsten durch eine Deckungserweiterung der bestehenden Versicherungsverträge aufgefangen wird. Ist eine zusätzliche Cyber-Versicherung sinnvoll, müssen die vorhandenen Policen oft reduziert werden, um kein Geld zu verschwenden.

Hier komme ich ins Spiel

Als Unternehmen ab einer bestimmten Größe  – spätestens ab einem Jahresumsatz im zweistelligen Millionenbereich – benötigen Sie  eine auf Sie zugeschnittene, sorgfältig ausgewählte und individuell ausverhandelte Police. Und Sie benötigen eine auf Ihr Interesse ausgerichteten Beratung.

Dafür zu sorgen, ist genau meine Dienstleistung als Versicherungsmakler.

Sie haben eine Frage zu Cyber-Risiken oder suchen kompetente Beratung?

Sie erreichen mich über das Kontaktformular, per Telefon unter +49 030 863 926 990 oder per E-Mail an fs@acant-makler.de.

Wer haftet, wenn IT-Mitarbeiter Fehler machen – das Unternehmen oder der Mitarbeiter selbst?

Shit happens.

Wenn man im IT-Bereich arbeitet, sollte man als Arbeitnehmer natürlich dafür sorgen, dass Schäden so weit wie irgend möglich vermieden werden – dem eigenen Unternehmen zuliebe, der Kunden wegen, und ganz besonders im eigenen Interesse. Aber was passiert, wenn jemand dann doch „Mist gebaut” hat?

Viele IT-ler – vom Support-Mitarbeiter bis hin zum Vorstand oder Geschäftsführer – wissen nicht wirklich über die persönlichen Haftungsrisiken Bescheid, die der Beruf jeden Tag mit sich bringt.

Der Arbeitnehmer haftet gegenüber seinem Arbeitgeber.

Das gilt um so umfassender, je höher er in der Hierarchie steht. Wie für jeden Arbeitnehmer gelten für den IT-Leiter, den Sicherheitsbeauftragten oder Administratoren so genannte „arbeitsvertragliche Nebenpflichten” in Form von Schutz-, Mitwirkungs-, Geheimhaltungs- oder Aufklärungspflichten. Dabei wird juristisch ein „fiktiver“ Maßstab angelegt – als Vergleich dient ein „typischer” Mitarbeiter mit durchschnittlichen Fähigkeiten in einer vergleichbaren Position. Mit anderen Worten: An den leitenden Mitarbeiter werden höhere Anforderungen gestellt als an den gewöhnlichen Mitarbeiter.

Wenn der Arbeitnehmer seine Pflichten aus dem Arbeitsvertrag verletzt und beim Arbeitgeber deshalb ein Schaden eintritt, dann haftet der Mitarbeiter. Im Gesetz (§ 619a BGB) ist für solche Fälle allerdings eine Umkehr der Beweislast verankert: Der Arbeitgeber muss das Verschulden des Arbeitnehmers beweisen.

Die Haftung gegenüber dem Arbeitgeber richtet sich nach dem Grad der Fahrlässigkeit.

Die juristischen Kriterien für die Haftung von Arbeitnehmern im Rahmen des sogenannten innerbetrieblichen Schadensausgleichs wurden von der Rechtsprechung ursprünglich für „gefahrgeneigte Arbeit“ entwickelt. Die neuere Rechtsprechung hat sie aber längst auf jede Tätigkeit ausgeweitet, einschließlich von IT-Berufen. Sie bestimmen, dass der Arbeitnehmer nur beschränkt für Schäden haftet, die er im Rahmen seiner beruflichen Tätigkeit fahrlässig verursacht hat, und zwar abhängig vom Ausmaß der Fahrlässigkeit. (Der Begriff der „Gefahrgeneigtheit“ geistert trotzdem noch immer durch das Vokabular im Arbeitsrecht, er wird im eigentlichen Sinn jedoch heute nur noch dafür benutzt, um in bestimmten Fällen den Schaden zwischen Arbeitnehmer und Arbeitgeber aufzuteilen.)

Juristen unterscheiden zwischen leichter, mittlerer und grober Fahrlässigkeit sowie Vorsatz.

  • Bei leichter Fahrlässigkeit (Kategorie: „Passiert jedem mal”, etwa ein zu Boden gefallenes und deshalb kaputtes iPad) haftet der Arbeitnehmer nicht gegenüber seinem Arbeitgeber.
  • Bei mittlerer Fahrlässigkeit wird es komplizierter. Die liegt dann vor, wenn der Arbeitnehmer seine Sorgfaltspflicht missachtet hat. Ein Beispiel könnte sein, dass ein Gerät mit dem falschen Netzteil verbunden und durch Überspannung beschädigt wurde. In diesem Fall wird der Schaden zwischen Arbeitnehmer und Arbeitgeber aufgeteilt, wobei je nach den Gegebenheiten im konkreten Fall eine Quote (z. B. 40/60 oder 50/50) festgelegt wird. Die Kriterien dafür sind u. a. das Ausmaß des Fehlverhaltens (Wie blöd muss man sich anstellen, damit so etwas passiert?), die Gefahrgeneigtheit der konkreten Arbeit (Wie leicht kann dabei etwas schief gehen?) und die Person des Arbeitnehmers (Wie viel Erfahrung hat er, ist ihm so etwas schon öfter passiert?). Aber auch die Frage nach dem Mitverschulden des Arbeitgebers ist wichtig (Wurde dafür gesorgt, das konkrete Risiko wenn möglich zu verringern, z. B. durch Informationen? Hätte der Arbeitgeber die Möglichkeit gehabt, diese Art Schaden zu versichern, aber darauf verzichtet?) All das fließt in die Beurteilung ein und ergibt dann die Quote der Schuldzuteilung, die im Streitfall vom Gericht festgelegt wird.
  • Einfacher ist der Fall wieder bei grober Fahrlässigkeit („Darf nicht passieren”) oder gar bei Vorsatz. Wer betrunken die Datenbank verwalten will und dabei zerschießt, oder gar bewusst Passwörter an Dritte verrät, der haftet seinem Arbeitgeber in der Regel voll für den Schaden, den dieser dadurch erleidet. Vorsatz ist allerdings nur dann gegeben, wenn Sie als Arbeitgeber beweisen können, dass der Arbeitnehmer den Schaden bewusst herbeiführen wollte. Und auch hier kann die Haftungspflicht des Angestellten dadurch geringer werden, wenn der Arbeitgeber zur Schadenhöhe beitragen hat – weil er zum Beispiel mögliche und zumutbare Versicherungen nicht abgeschlossen hat.

Gegenüber Kunden, Kollegen und unbeteiligten Dritten haftet der Arbeitnehmer voll.

Anders sieht es bei der Haftung gegenüber Dritten wie beispielsweise Kunden des Unternehmens aus. Für die dort eingetretenen, von ihm verschuldeten Schäden haftet der IT-Mitarbeiter persönlich und in voller Höhe.

Bei leichter Fahrlässigkeit, im Einzelfall sogar bei mittlerer und grober Fahrlässigkeit, hat der Mitarbeiter allerdings einen Freistellungsanspruch gegen seinen Arbeitgeber, soweit er nach den gerade genannten Kriterien nicht haften muss.

Versichern!

Noch einmal: Wenn der Mitarbeiter bei seiner Arbeit für das Unternehmen mittelmäßig fahrlässig handelt und dadurch beim Kunden einen Schaden für das Unternehmen verursacht, dann aber ins Feld führen kann, dass diese Tätigkeit ja problemlos hätte versichert werden können, dann hat er sehr gute Chancen, mit diesem Argument vor Gericht Gehör zu finden, soweit ein Rückgriff des Versicherers auf den Mitarbeiter vertraglich ausgeschlossen ist  – das ist gängige Rechtsprechung.

Generall hat das Unternehmen im Streit um die Haftung gegenüber dem Arbeitnehmer immer das Problem der Beweislast.

Dazu kommt, dass die Chancen für Zahlungsfähigkeit im Vergleich bei der Versicherung deutlich besser aussehen – diese kann sich ja rückversichern. Dagegen kann gerade in der IT-Branche ein einfacher Angestellter ganz schnell Schäden anrichten, die seine finanziellen Ressourcen weit übersteigen. Ein Schadenersatzanspruch, den Sie mangels Zahlungsfähigkeit nicht durchsetzen können, nützt Ihnen wenig.

Fazit: Auch die Risiken, die sich aus möglichen Fehlern Ihrer Mitarbeiter ergeben, sollten unbedingt angemessen versichert sein.

Wenn Sie Fragen dazu haben

Ich berate Sie gerne. Rufen Sie mich an oder schicken Sie mir eine Nachricht.

Das neue Punktesystem für Verkehrssünder

Autofahrer müssen sich auf Änderungen einstellen: Ein neues Punktesystem hat seit 1. Mai die bislang bekannten „Punkte in Flensburg” abgelöst. Nach dem neuen „Fahreignungs-Bewertungssystem” werden in Zukunft vor allem solche Verkehrsverstöße  ins neue „Fahreignungs-Register” eingetragen, die die Sicherheit von Verkehrsteilnehmern gefährden.

Pro Verstoß kann man nun höchstens drei Punkte „sammeln”:

  • Für „verkehrsbeeinträchtigende Ordnungswidrigkeiten”, die mindestens 60 € Bußgeld kosten, gibt es einen Punkt (z. B. Überholen im Überholverbot). Nach zwei Jahren und sechs Monaten wird er wieder gelöscht.
  •  Für Verstöße, mit denen man sich ein befristetes Fahrverbot bzw. ein Regelfahrvebot einhandelt, bekommt zwei Punkte  (z. B. Fahren mit mehr als 0,5 Promille oder „Fahren bei Dunkelrot”); Löschung nach fünf Jahren.
  • Verkehrsstraftaten, die zur Entzug der Fahrerlaubnis führen, bringen drei Punkte (z.B. Fahrerflucht, Fahren ohne Führerschein, „Vollrausch”), Löschung erst nach zehn Jahren.

Bei 8 Punkten ist  der Führerschein weg: Dann wird  zwingend die Fahrerlaubnis entzogen. Zurück bekommt man die „Pappe” wie bisher mit medizinisch-psychologischem Gutachten, dem berühmten „Idiotentest”.

Anders als früher verlängern sich die Löschfristen nicht, wenn Einträge dazu kommen. Zum Ausgleich gibt es nur noch sehr eingeschränkte Möglichkeiten, Punkte vorzeitig zu tilgen.

Das aktuelle Punktekonto wurde zum Stichtag in das neue System konvertiert. Häufig ist das Sündenregister seither kleiner: Alte Punkte wurden nur umgerechnet, wenn der entsprechende Verstoß auch nach neuer Rechtslage eingetragen wird.  Nicht sicherheitsrelevante Verkehrssünden wie etwa das unerlaubte Fahren in der Umweltzone bleiben zukünftig ohne Eintrag. (Für dieses Vergehen wurde dafür das Bußgeld verdoppelt …)

Weitere Informationen gibt es beim Bundesverkehrsministerium.

Tipp: Verkehrsrechtsschutz abschließen. Aber nicht irgendeinen.

Für Viel-Fahrer wirklich sinnvoll: Eine Verkehrsrechtsschutzpolice bewahrt Sie vor den Kosten eines Rechtstreits nach Unfall oder Polizeikontrolle und macht juristische Gegenwehr finanziell möglich. Aber welche Police passt? Fahrzeug-Verkehrsrechtsschutz oder Fahrerverkehrsrechtsschutz, Unternehmens- und Privatkundenpolice – oder doch eine Familienrechtsschutzversicherung?
Mit welchen Klauseln im Versicherungsvertrag Sie gut fahren und was dagegen nuir Kosten verursacht, kann ich Ihnen sagen. Rufen Sie mich an (030 863 926 990, mobil: 0176 10318791) oder schicken Sie mir eine Nachricht.

Wenn Mitarbeiter Unternehmens-Laptops privat nutzen, besteht Regelungsbedarf

Klare Trennung von Arbeit und Privatleben, von Wohnung und Büro – das war einmal. Heute wachsen beide Welten zusammen, und das hat Folgen. Vor einiger Zeit haben wir uns mit den Risiken befasst, die dann entstehen, wenn die Arbeitnehmer ihre eigenen Geräte für die Arbeit nutzen  („BYOD – Bring Deinen Rechner mit, die Firma haftet?”). Aber auch das Umgekehrte ist Alltag: Die Firma stellt Laptop, Tablet oder Smartphone, die Mitarbeiter nutzen diese auch privat. Und auch hier gibt es ein paar Aspekte, die  Geschäftsführer und Arbeitgeber kennen sollten.

Die private Nutzung ist nicht steuerpflichtig

Im Prinzip ist es wie bei Firmenwagen: Der Arbeitgeber kann, wenn er das möchte,  die private Nutzung der zu dienstlichen Zwecken überlassenen Fahrzeuge ausdrücklich gestatten. Wobei Laptops in einer Beziehung im Vorteil sind: Anders als beim Firmenwagen stellt die unentgeltliche Überlassung in diesem Fall  keinen „geldwerten Vorteil“ dar, muss also nicht versteuert werden. Das steht inzwischen ausdrücklich im Gesetz (§ 3 Nr. 45 EStG). Voraussetzung ist allerdings, dass das Gerät Eigentum des Arbeitgebers bleibt und dem Mitarbeiter nicht etwa geschenkt oder günstig überlassen wird. Dann fallen durch den Firmen-Laptop übrigens auch keine Sozialversicherungsbeiträge an.

Wenn die private Nutzung gestattet wird, kann der Arbeitgeber darüber bestimmen, in welcher Art und in welchem Umfang der Laptop privat genutzt werden darf. Falls nichts vereinbart worden ist, dann ist der Arbeitnehmer gut beraten, sich Klarheit darüber zu verschaffen – und sich an diese Regeln anschließend auch zu halten. Andernfalls steht nämlich recht schnell eine Verletzung des Arbeitsvertrages im Raum. Das kann in eine Abmahnung münden oder im schlimmsten Fall eine Kündigung nach sich ziehen. Selbst Schadenersatzansprüche des Arbeitgebers sind nicht ausgeschlossen. Wer im Urlaub in Übersee ausgiebig mit dem Firmen-Webstick surft und damit eine saftige Rechnung produziert, kann vom Chef anschließend zur Kasse gebeten werden.

Arbeitsrechtliche Aspekte

Gibt es keine klare Vereinbarung über eine private Nutzung, dann darf der Arbeitnehmer den Laptop erst recht nicht während der Arbeitszeit für private Zwecke nutzen. Wer während der Arbeitszeit seine privaten Bankgeschäfte tätigt oder den nächsten Urlaub bucht, der verletzt nämlich seine Pflicht zur Arbeitsleistung. Umgekehrt kann die Privatnutzung quasi zum Gewohnheitsrecht werden: Wenn es im Unternehmen üblich ist, einen Laptop zwischendurch auch für private Zwecke einzusetzen, kann sich hieraus eine stillschweigende Einwilligung des Arbeitgebers im Sinne einer „betrieblichen Übung“ ergeben.

Doch auch dann bleiben noch zahlreiche Fragen offen: In welchem Umfang darf der Laptop genutzt werden, wie viel darf der Arbeitnehmer surfen, sind bestimmte Formen der Nutzung (pornographische Angebote z. B. ) untersagt usw.

Klare Vereinbarungen sind wichtig

Klarheit kann hier nur eine eindeutig formulierte, verbindliche Nutzungsrichtlinie schaffen – , gleichgültig, ob man das Kind nun „Internet-Policy“, „Guidelines“ oder „Zusatzvereinbarung“ nennt und  im Arbeitsvertrag oder per Betriebsvereinbarung festhält. Vergleichbare Regelungen sollen übrigens auch für Mobiltelefone oder Tablets getroffen werden.

Darin lässt sich unter anderem festhalten, ob die private Nutzung überhaupt gestattet ist und ob sie, wenn ja, etwa auf die Pausenzeiten und den Feierabend beschränkt bleibt. Der Arbeitgeber kann den Mitarbeitern untersagen, betriebsfremde Software auf dem Laptop zu installieren, bestimmte Daten (etwa Filme) herunterzuladen oder manche Dienste (P2P-Tauschbörsen) zu nutzen.

Explizite Vorschrift sollte sein, dass Firmendaten unter keinen Umständen zu anderen Zwecken oder auf externen Medien gespeichert werden. Sie sind und bleiben Firmeneigentum.

Doch selbst wenn der Arbeitnehmer  trotz eines ausdrücklichen Verbots private Daten gespeichert hat, rechtfertigt dies noch keine Kündigung. Das hat das Bundesarbeitsgericht in einem konkreten Fall entschieden ( BAG, Urt. v. 24.03.2011, 1 AZR 282/10):  Pikanterweise hatte ausgerechnet der Chef der IT-Abteilung eines Unternehmens private Daten auf dem Firmen-Laptop und Firmendaten auf einer privaten Festplatte gespeichert, beides war laut Arbeitsvertrag untersagt .

Erlaubte Privatnutzung kann zum Anspruch führen

Ob die sofortige Rückgabe des Laptops bei Freistellung des Arbeitnehmers verlangt werden kann, hängt wesentlich davon ab, ob das Gerät ausschließlich für dienstliche Zwecke überlassen worden ist. In diesem Fall kann der Arbeitgeber den Laptop mit der Freistellung zurückverlangen.  Ist dagegen eine private Nutzung erlaubt worden, handelt es sich bei diesem Privileg um einen Einkommensbestandteil, der selbst im Falle einer Freistellung nicht entzogen werden darf, genauso wenig wie das Gehalt als solches.

Allerdings kann wie bei der Überlassung eines Dienstwagens ein Widerrufsvorbehalt für den Arbeitgeber vereinbart werden. Dieses Vorrecht darf aber nicht zu allgemein formuliert sein: Kann das Widerrufsrecht laut Vereinbarung  jederzeit und unbegründet ausgeübt werden, wird diese Regelung vor einem Arbeitsgericht mit großer Wahrscheinlichkeit nicht bestehen. Besser ist es, den Widerruf explizit an bestimmte Gründe zu knüpfen wie etwa die Freistellung, aber auch Versetzungen in andere Tätigkeitsbereiche etc.

Datenschutz

Probleme können sich aber auch aus einem ganz anderen Grund ergeben – denn auch der Datenschutz muss beachtet werden. Der private E-Mail-Verkehr des Arbeitnehmers darf zum Beispiel nicht einfach durch Datensicherungsroutinen zusammen mit den Firmen-E-Mails gespeichert werden. Dann könnte selbst das Finanzamt  unter Umständen im Rahmen einer Betriebsprüfung auf den privaten Schriftwechsel des Mitarbeiters Zugriff haben, weil die Mails zusammen mit anderen betrieblichen Mails archiviert worden sind.  Damit hat das Unternehmen ein Problem, denn es gibt datenschutzrechtlich geschützte Informationen des Mitarbeiters heraus – und haftet dafür.

Versicherungsverträge anpassen!

Als Versicherungsfachmann betrachte ich natürlich auch dieses Thema aus der Perspektive des Risikomanagements. Die private Nutzung von Firmen-Laptops zu gestatten kann aus Sicht der Mitarbeitermotivation sehr sinnvoll sein. Damit verändern sich jedoch auch die Risiken des Unternehmens, die versichert werden müssen.

Das reicht von möglichen Ansprüchen aufgrund von Datenschutzverstößen – denken Sie an das Beispiel mit der Betriebsprüferin vom Finanzamt, die plötzlich Einsicht in private Mails erhält – über verlorengegangene Firmendaten bis hin zu arbeitsrechtlichen Auseinandersetzungen. Diese Risiken sollten möglichst genau und realistisch in Ihren Versicherungsverträgen abgebildet werden – so, dass keine akuten Risiken „offen” bleiben, aber auch so, dass nicht für die Deckung von Risiken bezahlt wird, die gar nicht von Belang sind.

Entscheidend ist, wie die tatsächliche Praxis im Unternehmen aussieht. Deshalb sind klare Vereinbarungen nicht nur juristisch von Vorteil, sie senken auch Ihr Unternehmensrisiko und damit Ihre Kosten.

Wollen Sie mehr wissen über die private Nutzung von Firmen-Laptops und die daraus resultierenden Versicherungsfragen? Ich gebe Ihnen gerne Antwort .

IT-Projektversicherung: Wie Sie den Projekterfolg versichern können

Eine Projektversicherung sichert Unternehmen gegen das Scheitern von IT-Projekten ab – und zwar beide Seiten, sowohl Auftraggeber wie auch Dienstleister.

IT-Projekte, die „aus dem Ruder gelaufen”,  „vor die Wand gefahren”,  „versumpft” oder „gekippt” sind, kennt jeder, der auch nur entfernt mit der Branche zu tun hat. Allein schon die vielen  Begriffe, die dafür im Umlauf sind, aber auch die laufenden Regalmeter an Ratgeber-Literatur zu Projektmanagement zeigen, wie häufig IT-Projekte scheitern.. Und das bringt bekanntlich sowohl  Auftraggeber wie Auftragnehmer in die Bredouille, bis hin zur Gefährdung der Existenz des Unternehmens.

Bei größeren IT-Projekten – ab etwa einem Honorarumsatzvolumen von einer Million Euro – ist es deshalb üblich und sinnvoll, dass der Auftraggeber oder Projektträger für das Gesamtprojekt eine Projektversicherung abschließt.  Die Kosten der Prämie werden anteilig nach Budgetanteil auf die Dienstleister umgelegt. Je nach Sachlage kann die Prämie oft auch in Tranchen bezahlt werden. Versicherungsnehmer ist der Auftraggeber selbst, die Auftragnehmer sind so genannte „Mitversicherungsnehmer”.

Welche Ansprüche für welchen Fall in welcher Höhe versichert sind, regelt die Police, die bei einer Projektversicherung immer individuell ausgehandelt wird. Dabei sollten sich auch die IT-Dienstleister die Bedingungen der Projektversicherung ganz genau anschauen – schon deshalb, weil sie es sind, die die Projektversicherung bezahlen. Ob man Änderungen durchsetzen soll und kann, hängt natürlich davon ab, ob man über die nötige Verhandlungsmacht verfügt und wie groß der Umfang des Auftrags ist. Aber Auftragnehmer sollten zumindest wissen, worauf sie sich einlassen.

IT-Unternehmen, die stark projektbezogen arbeiten, können sich auch mit einer so genannten „durchlaufenden” Versicherung vor Projektkatastrophen schützen. Achten Sie beim Abschluss darauf, dass die Versicherung alle ihre Projekte abdeckt. Die Prämie richtet sich üblicherweise nach dem Gesamt-Honorarumsatz. Neben der Haftpflicht gegenüber Auftraggebern und Dritten sowie dem Forderungsausfall kann man damit auch eigene Vermögensschäden versichern – zum Beispiel die Kosten, die entstehen, wenn Sie Personal und Ausrüstung für einen Auftraggeber beschafft haben, der dann plötzlich abspringt.

Falls Sie Fragen haben oder eine konkrete Police begutachtet haben wollen: Sprechen Sie mich an.