Ein externer Datenschutz­beauftragter braucht eine Zusatz-Versicherung (auch ein Rechtsanwalt)

Externer Datenschutzbeauftragter? Haftpflicht-Zusatzversicherung nötig

Wenn Sie als externer Datenschutzbeauftragter tätig sind und keine Zusatzversicherung bzw. Deckungserweiterung Ihrer Berufshaftpflichtpolice haben, führen Sie eine gewagte Existenz. Sie haben dann Haftungsrisiken übernommen, die vermutlich nicht versichert sind. Das gilt auch, wenn Sie als Rechtsanwalt eine Pflichtversicherung haben.

Ihre Haftung aus der Tätigkeit als externer Datenschutzbeauftragter ist durch die „normale” Berufshaftpflichtversicherung bzw. Vermögensschadenhaftpflicht nicht abgedeckt.

Die Deckungserweiterung kann durchaus zu einer Zusatzprämie führen, die sich im Regelfall am Honorarumsatz der Tätigkeit als Datenschutzbeauftragter bemisst.

Das gilt auch bei Rechtsanwälten

Vielen externen Datenschutzbeauftragten ist nicht bewusst, dass diese Zusatztätigkeit in der Deckung Ihrer Berufshaftpflichtversicherung nicht automatisch enthalten ist. Es ist aber so – das haben mir auf Anfrage alle gängigen Anwaltsversicherer bestätigt. Eine typische Begründung lautet, die Arbeit als Datenschutzbeauftragter sei ja keine freiberufliche Tätigkeit.

Auch bei der Bundesrechtsanwaltskammer konnte ich keine Bestätigung dafür bekommen, dass man dort die Tätigkeit als externer Datenschutzbeauftragter zum typischen Tätigkeitsprofil eines Anwalts zählt, die also unter das Berufsbild des Rechtsanwalts subsumiert werden könnte.

Es bleibt dabei: Als externer Datenschutzbeauftragter brauchen Sie in aller Regel

  • entweder eine eigene Haftpflichtversicherung speziell für diese Tätigkeit, oder
  • eine Erweiterung der Deckung Ihrer Berufshaftpflicht-Police,

… sonst stehen sei im Haftungsfall „nackt” da.

Eine Anmerkung aus Sicht der Kunden

Haben Sie als Datenschutzbeauftragter versäumt, sich für diese Tätigkeit zu versichern, können die Folgen für Ihre Kunden mindestens ebenso problematisch sein. Verschulden Sie einen Datenschutzverstoß, hat der Kunden zwar grundsätzlich einen Anspruch auf Regress für den entstandenen Schaden einschließlich der Vermögensschäden. Doch das wird wenig nutzen, wenn die finanzielle Absicherung dafür fehlt.

Im Zweifel kann sogar eine persönliche Haftung des Geschäftsführers oder Inhabers Ihres Auftraggebers abgeleitet werden (Auswahlverschulden). Schon deshalb sollte jedes Unternehmen, das einen externen Datenschutzbeauftragten unter Vertrag nimmt, einen Versicherungsnachweis speziell für diese Tätigkeit verlangen. Sie selbst wiederum können mit einem solchen Versicherungsnachweis gegenüber potenziellen Kunden punkten.

Interner oder externer Datenschutzbeauftragter? Auch Risiken und Haftung zählen

Ob ein interner oder externer Datenschutzbeauftragter für ein IT-Unternehmen die bessere Wahl ist, hängt nicht nur von den direkten Kosten ab. Wichtig sind auch die Auswirkungen auf das Unternehmensrisiko und mögliche Haftungsgesichtspunkte.

Haftung beim Datenschutz

Für IT-Unternehmen ist es besonders „leicht”, gegen Datenschutzbestimmungen zu verstoßen. Mit personenbezogenen Daten zu arbeiten ist für sie ja Alltag. Dafür genügt es schon, wenn sie für ein anderes Unternehmen eine Datenbank mit dessen Kunden-, Bestell- oder Personaldaten anlegen oder pflegen. Prompt ergibt sich eine ganze Reihe von Rechtspflichten (aus dem Bundesdatenschutzgesetzes BDSG , aber auch aus anderen Gesetzen wie dem  TKG oder dem TMG) und damit eine Menge Stolperfallen.

Die Liste der Details, auf die das Unternehmen beim Datenschutz  achten muss, reicht …

  • von der formellen, schriftlich fixierten Beauftragung  bei Datenverarbeitung im Auftrag des Kunden …
  •  über die Bestellung eines kompetenten  internen oder externen Datenschutzbeauftragten (Pflicht spätestens ab 10 Personen, die  mit personenbezogenen Daten zu tun haben einschließlich freier Mitarbeiter, Praktikanten etc.) sowie …
  • umfangreichen Dokumentationspflichten (interner und externer Verfahrensnachweis) bis hin zu …
  • Auskunfts- und Belehrungspflichten gegenüber Dritten.

Für die Einhaltung der Datenschutzvorschriften ist die Geschäftsführung verantwortlich. Diese Verantwortung lässt sich auch nicht einfach delegieren, bei einem Datenschutzverstoß muss sich der Geschäftsführer oder der Vorstand zumindest ein Organisationsverschulden anrechnen lassen.

Wann haftet ein externer Datenschutzbeauftragter?

Schon aus Haftungsgesichtspunkten ist es oft sinnvoll, einen externen Datenschutzbeauftragen zu engagieren. Dieser haftet grundsätzlich einmal dafür, dass er seine Funktion ordentlich erfüllt –  egal ob es sich um einen Rechtsanwalt handelt oder ob man einen spezialisierten Dienstleister wie etwa den TÜV oder das IITR nutzt. Natürlich kommt es auf die Vertragsgestaltung an, ein kompletter Haftungsausschluss oder die pauschale Beschränkung auf eine bestimmte Summe  ist für externe Datenschutzbeauftragte nach gängiger Rechtsansicht jedoch nicht möglich.

Deshalb brauchen externe Datenschutzbeauftragte auch unbedingt eine Versicherung ihrer beruflichen Vermögensschadenshaftpflicht. Von einem externen Datenschutzbeauftragten sollten Sie sich deshalb auf jeden Fall eine Versicherungsbestätigung vorlegen lassen, als Nachweis einer angemessenen Vermögensschadenhaftpflichtversicherung. Handelt es sich um einen  Rechtsanwalt, dann ist er zwar ohnehin pflichtversichert, aber seine  anwaltliche Berufshaftpflichtversicherung deckt nicht von vornherein mögliche Schäden aus der Tätigkeit als externer Datenschutzbeauftragter ab. Dafür ist eine Erweiterung der Police oder eine Zusatzversicherung notwendig. Das gilt natürlich auch für andere Berufe.

Allerdings kann ein  Unternehmen, das einen externen Datenschutzbeauftragten bestellt, die Haftung nicht einfach an diesen „weitergeben”. Kommt es zu einem Datenschutzverstoß, ist dennoch die Unternehmensleitung die Adresse für den Geschädigten. Muss das Unternehmen aber z. B. Schadenersatz leisten, kann es seinerseits den externen Datenschutzbeauftragen in Anspruch nehmen, falls dieser durch seine Tätigkeit den Verstoß hätte verhindern können und müssen.

Im Gegensatz zu einem internen Mitarbeiter, der als Arbeitnehmer nur beschränkt haftet, muss ein externer Beauftragter nicht etwa grob fahrlässig oder vorsätzlich gehandelt haben, um zu haften – einfaches Verschulden reicht grundsätzlich. Deshalb ist der Versicherungsnachweis wichtig. Er stellt sicher, dass die  die Ansprüche des Unternehmens im Falle eines Falles nicht ins Leere gehen.

Hat die Geschäftleitung jedoch einen unversicherten Datenschutzbeauftragten unter Vertrag genommen und gehen Regressansprüche finanziell ins Leere, muss der Geschäftsführer bzw. Inhaber unter Umständen sogar damit rechnen, dass ihm das als Auswahlverschulden zur Last gelegt und daraus seine eigene persönliche Haftung abgeleitet wird.

Unternehmensrisiken verringern

Eine Anmerkung aus der Sicht des Versicherungsmaklers und Versicherungsexperten: Die Haftung des externen Datenschutzbeauftragten reduziert  das Risiko von Unternehmen und Geschäftsführung und damit den Versicherungsbedarf. Solche Haftungsaspekte sind für das Unternehmen selbst wichtig, sie fallen aber auch für mich als Versicherungsmakler ins Gewicht, wenn ich die Unternehmensrisiken begutachte.

Wie man sieht, ist  betrifft die Arbeit eines Versicherungsmakler nicht nur den Versicherungsabschluss. Meine Kunden und Mandanten erhalten gleichzeitig auch wichtige Anhaltspunkte für ihre Geschäftsentscheidungen.

Noch zwei Anmerkungen:

  •  Ein externer Datenschutzbeauftragter ist selbst aus Sicht des Personalwesens oft die sinnvollere Alternative. Ein interner Datenschutzbeauftragter ist im Rahmen dieser Tätigkeit von Weisungen unabhängig, hat Anspruch auf fortlaufende Weiterbildungen und genießt einen besonderen Kündigungsschutz – das kann zu Konflikten führen.
  • Immer wieder kommen Geschäftsführer auf die Idee, sich selbst zum Datenschutzbeauftragten zu bestellen oder dafür den Steuerberater zu nehmen, aber das  funktioniert nicht. Der Beauftragte darf nach gängiger Rechtsmeinung nicht in einem grundsätzlichen Interessenkonflikt zu seiner sonstigen Tätigkeit für das Unternehmen stehen.

Branchenübergreifende Cyber-Risk-Versicherung – lohnt sich das für KMU?

Das in Deutschland recht neue Konzept der branchenübergreifenden Cyber-Risk-Versicherung auch für KMU, das zur Zeit in Deutschland für Veränderungen auf dem Versicherungsmarkt sorgt, zeigt: Die Versicherungsbranche ist ein exzellenter Seismograph für wirtschaftliche und gesellschaftliche Veränderungen.

Eine Cyber-Risk-Versicherung für alle Branchen?

Das Cyber-Risiko betrifft inzwischen Unternehmen aller Branchen und Größen. Bei den Versicherern führt das zu neuen Versicherungsprodukten. Branchenübergreifende Cyber-Policen werden inzwischen z. B. von AIG oder der Allianz (AGCS)  angeboten. Der Standard-Vertrag einer Cyber-Risk-Versicherung für KMU hat typischerweise etwa eine Deckung von 10 Millionen €, bildet als so genannte Multiline-Police einen allgemeinen Risiko-Querschnitt ab und umfasst mehrere Elemente:

  • eine Versicherung von Vermögensschäden Dritter: Der Versicherer zahlt, wenn z. B. durch Attacken auf das eigene Unternehmen Vermögensschäden bei dessen Kunden entstehen.
  • Ersatz für Schäden, die dem Unternehmen selbst entstehen, etwa weil Datenverlust dazu führt, dass Unternehmensteile lahmgelegt werden.
  • Zu den Leistungen gehört auch die Kostenübernahme von Dienstleistungen, die als Teil des Krisenmanagements die Folgen einer Cyber-Attacke abmildern. Die Palette reicht von IT-Nothilfe über Rechtsberatung bis zur Unterstützung bei der Krisen-PR.

Cyber-Risiken sind eine reelle Bedrohung – und versicherbar

Immer weitergehende Vernetzung, immer schnellere IT-Marktzyklen, direkte Anbindung an Kunden und Verbraucher, dazu wachsende Datenmengen, die verarbeitet, gespeichert und ausgetauscht werden müssen: all das hat die Risikosituation der Unternehmen komplett umgekrempelt.

Wenn Unternehmen ihre Produkte, Daten, Mitarbeiter und andere Ressourcen bei einem virtuellen Angriff nicht schützen können, drohen hohe Folgeschäden: Ausfall von Web-Services oder IT-Infrastruktur, Vermögensschäden beim Unternehmen selbst, Vermögensschäden bei Geschäftspartnern, Datenverlust bei Kunden und Verbrauchern, Verlust von geistigem Eigentum. Und nicht nur die bezifferbaren Schäden und Haftpflichten sind ein Problem. Erfolgreiche Hacker-Angriffe mit Datenverlust führen außerdem zu Image-Schäden. Kunden verlieren das Vertrauen, das Ansehen der Marke sinkt.

Für IT-Unternehmen in den USA oder in Großbritannien ist es längst Standard, Cyber-Risiken als reelle Bedrohung der eigenen Geschäftstätigkeit wahrzunehmen und zu versichern. Deshalb haben gerade englische und amerikanische Versicherer seit langem Erfahrung auf diesem Gebiet.

Vertrag von der Stange oder individuelle Anpassung?

Die Versicherer locken damit, dass für den Abschluss keine aufwändige individuelle Risikobewertung notwendig sei. Das ist aber ein zweischneidiges Schwert – die individuelle Betrachtung liefert ja oft auch Einsparpotenziale. Warum Risiken versichern, die nicht existieren? Auch die Dienstleistungen zur Krisenreaktion, die im Paket enthalten sind, sollten genau und im Einzelnen geprüft werden.

Das bedeutet aber nicht, dass Cyber-Risk-Versicherungen wenig taugen. Im Gegenteil – der Abschluss ist für viele Unternehmen sinnvoll. Es kommt nur darauf an, die Situation des einzelnen Unternehmens und die Bandbreite an Versicherungsleistungen optimal aufeinander abzustimmen. Der Versicherungsnehmer kann viel Geld einsparen, wenn Preis,Versicherungssumme sowie Selbstbehalte bzw. Sublimits (niedrigere Obergrenzen für bestimmte Einzelrisiken) auf den tatsächlichen Bedarf hin angepasst werden.

Was auch bedeutet: Meine Arbeit als Berater und Versicherungsmakler wird durch diese Entwicklung nicht gefährdet. Im Gegenteil: Fachmännische, individuelle Betreuung in Versicherungsfragen wird für meine Mandanten immer wichtiger.

Macht eine Cyber-Security-Police für Ihr Unternehmen Sinn?

Ich kann Sie beraten. Sie erreichen mich über das Kontaktformular, per Telefon unter +49 030 863 926 990 oder per E-Mail an fs@acant-makler.de.

3D-Druck: Desaster von Plastik-Spaghetti bis zum juristischen GAU

Dass 3D-Druck nicht immer nur Freude bereitet, weiß vermutlich jeder, der irgendwann  zusehen durfte, wie stundenlange Arbeit am Ende zu einem undefinierbaren Etwas aus der 3D-Druck-Hölle führt. Es gibt sogar eine eigene (englischsprachige) Flickr-Gruppe, die sich solchen 3D-Druck-Desastern widmet: The Art of 3D Print Failure.

Dort gibt es nicht nur wunderschöne Fotos völlig verkorkster 3D-Drucke, man diskutiert auch darüber, wie sich solche Probleme vermeiden lassen.

Unternehmen, deren Geschäftsmodell mit 3D-Druck zu tun hat, müssen sich aber auch auf ganz andere Scherereien einstellen – auf Probleme juristischer Art.

Das bedeutet nicht, dass jeder Druck vom Anwalt begutachtet werden müsste, aber StartUps im 3D-Druck-Bereich sollten über die juristischen Fallstricke informiert sein. In meinem Leitfaden steht, wo die Probleme lauern: Es geht um Haftungsfragen, Urheberrecht, Marken- und Geschmacksmusterschutz, Produkthaftungsfragen (im 3D-Umfeld besonders kompliziert) und nicht zuletzt auch um Strafrecht – all das kann zum Stolperstein werden.

Link: „3D-Druck als Massenmarkt: Was Start-ups über Recht, Risiken und Versicherungen wissen sollten”

Ob IT oder Versicherungen: Kopfschmerzen sollte man auslagern

Eigentlich gleicht das, was ich als Versicherungsmakler für IT-Unternehmen anbiete, in vielem dem Service, den externe IT-Dienstleister für Ihre Kunden erbringen. Ich übernehme als Experte für Versicherungen die Verantwortung für einen Bereich, der …

  • eigenes Know-how erfordert,
  • fortlaufend im Auge behalten werden muss
  • für das Unternehmen von großer Bedeutung ist, aber nicht unbedingt etwas mit dem Kerngeschäft zu tun hat.

So erspare ich Ihnen, eigenes Know-how für Versicherungen aufzubauen, also für ein  Themengebiet, das Sie ansonsten nicht benötigen, das aber sehr komplex ist.

Betriebliche Versicherungen benötigen genau wie IT-Strukturen ständige Pflege. Das betrifft im IT-Bereich Aktualisierungen, Upgrades, Patches sowie neue technische Entwicklungen und Anforderungen. Daraus ergibt sich die Notwendigkeit, sich ständig auf dem Laufenden zu halten. Bei mir im Versicherungsbereich ist das nicht anders. Auch Versicherungen müssen fortlaufend angepasst werden – an Veränderungen bei der Ausstattung oder dem Geräteinventar, an neue Kunden (mit anderen Haftungsrisiken) und neue Verträge, an Veränderungen bei den Mitarbeitern, an Gesetzesänderungen (die neue Haftungsrisiken bringen können) und an die Marktlage in der Versicherungsbranche, bei der ständig Angebote und Produkte hinzukommen oder wegfallen.

Dabei nebenher den Überblick zu behalten – das ist nicht zu schaffen. Der Versicherungsbereich setzt genau wie der IT-Bereich umfangreiche, hochspezialisierte Fachkenntnisse voraus – praktische Erfahrung sollte ebenfalls dazukommen. Dieses Know-how in Form einer eigenen Position im Unternehmen zu schaffen ist teuer und für ein mittelständisches Unternehmen meistens überdimensioniert. Als externer Berater und Vermittler liefere ich Versicherungs-Branchenwissen „on demand”.

Gerade weil ich nicht nur Ihr Unternehmen kenne, sondern die Versicherungsbelange und Versicherungsfälle vieler Unternehmen vergleichen kann, weiß ich, wie sich die spezifischen Risiken Ihres Unternehmens analysieren und in passende Policen „übersetzen” lassen – so wie ein Systemhaus oder ein Ausrüster die Erfahrungen aus all den früheren Aufträgen einsetzt, um bei einem neuen Kunden den IT-Bedarf zu bestimmen und konkrete Systeme als Lösung zu konzipieren.

Als Versicherungsmakler bin ich nicht nur dafür da, Ihnen einmalig einen oder mehrere Versicherungsverträge zu besorgen, die dann irgendwo im Safe liegen wie der Mietvertrag oder der Gesellschaftsvertrag. Vielmehr ist es Teil meiner Arbeit, darauf zu achten, dass Ihr Versicherungsschutz aktuell bleibt, mit dem Unternehmen mitwächst und neuen Herausforderungen gerecht wird. Oder anders gesagt: Meine Aufgabe ist es, Ihnen zumindest diese Kopfschmerzen zu ersparen.

IHK München zu IT-Versicherungen: Im Zweifel lieber einen Versicherungsmakler

„Jeder Firmenchef müsse zuerst dafür sorgen, dass die Infrastruktur sicher und zuverlässig laufe, um Schäden der IT zu vermeiden. Zudem sei es notwendig, sich gegenüber den Providern oder Dienstleistern absichern. „Dabei gilt es aufzupassen, dass diese ihre Gewährleistung oder Haftung nicht ausschließen“, so Karger. Dann erst kämen die Versicherungen ins Spiel. Allerdings gestalte sich häufig schon die vorgelagerte detaillierte Risikoanalyse als äußerst schwierig, weil vielen Unternehmern das entsprechende IT- und Versicherungswissen fehle. Er rät daher, im Zweifelsfall lieber einen Versicherungsmakler oder -berater zu konsultieren, der Firmenchefs durch den Dschungel der Versicherungsprodukte geleitet.

So zitiert ein Fachbeitrag der IHK München den Münchner Fachanwalt für Informationstechnologierecht Dr. Michael Karger. Kernpunkt des Artikels: Versicherungen sind nur ein Baustein beim Risikomanagement für IT-Unternehmen und  IT-Abteilungen, aber eben ein wichtiger. Daneben spielen weitere Gesichtspunkte für die IT-Risikominimierung eine wichtige Rolle, etwa technische Schutzmaßnahmen und die haftungsrechtlich günstige Gestaltung von Verträgen. Die Autorin, Eva Müller-Tauber, gibt in ihrem Beitrag außerdem einen Überblick über die wichtigsten IT-Versicherungen wie Elektronikversicherung, Datenträgerversicherung und Mehrkostenversicherung (diese deckt betriebliche Zusatzkosten ab, die bei einem eingetretenen Sachschaden notwendig werden, um eine Betriebsunterbrechung oder Beeinträchtigung der Betrieblichsabläufe zu verhindern).  Daneben nennt sie auch Beispiele, wie individuelle Anpassungen aussehen können, etwa eine Neugeräte-Klausel oder eine Allgefahren-Police, die auch Schäden absichert, die nicht durch Feuer, Wasser oder Einbruch, sondern beispielsweise durch falsche Bedienung oder Überspannung entstehen.

Haftpflichtversicherung als Kundenvorteil

Durch eine umfassende Haftpflichtversicherung geschützt zu sein, das ist für IT-Unternehmen auch ein Marketing-Argument. Für den Kunden ist es schließlich ein greifbarer Vorteil, wenn er im Falle eines Falles nicht auf seinem Vermögensschaden sitzen bleibt.

Es erfordert sicher Fingerspitzengefühl, die Haftpflichtversicherung als Argument zu vermitteln. Als IT-Dienstleister oder -Hersteller wollen Sie mögliche Kunden nicht aktiv dazu bringen, über all das nachzudenken, was schief gehen könnte. Der Hinweis taugt nicht für einen offensiven Umgang.

Aber Sie können damit wirkungsvoll parieren, wenn der Kunde von sich aus mögliche Fehler, Ausfälle, Beanstandungen oder Mängel anspricht. „Und was ist, wenn der Shopanbindung doch einmal ausfällt? Dann fällt ja sofort der ganze Umsatz weg.” Nun werden Sie – oder Ihre Vertriebler – vermutlich das Qualitätsmanagement, die Sicherheits-Policies und das Handling von Reklamations- und Kulanzfällen erläutern. Aber erst das Schlussargument „… und selbstverständlich sind wir außerdem umfassend haftpflichtversichert, unsere Vermögensschadenhaftpflicht hat eine Deckungssumme von … Euro.” macht die Antwort rund. Damit zeigen Sie, dass Sie wirklich professionell aufgestellt sind.

Angenommen, Sie müssten sich operieren lassen: Dann denken Sie bestimmt nicht gerne daran, dass die OP auch schiefgehen könnte. Hauptsache ist doch, dass der Operateur ein erfahrener Spezialist ist. Wenn er jedoch zusätzlich zu seiner Erfahrung auch über eine Haftpflichtversicherung mit hoher Deckungssumme verfügt, das spricht doch nicht gegen ihn, oder? Eher im Gegenteil.

Nicht ausreichend versichert? Geschäftsführer haften auch persönlich.

Als GmbH-Geschäftsführer hat man einen recht riskanten Job – das ist den meisten Geschäftsführern durchaus klar. Zahlungsunfähigkeit nicht rechtzeitig erkannt? Steuer- oder Sozialversicherungsschulden? Schon können Sie ganz schnell persönlich „dran” sein.

Weniger bekannt ist: Der Geschäftsführer haftet auch für mangelnde Risikovorsorge. Das fällt bei IT-Unternehmen besonders in Gewicht.

Datenverlust bei der von Ihnen erstellten Datenbank? Schadsoftware in dem von Ihrem Unternehmen betreuten System? Verlust von Nutzerdaten beim Kunden? Ein Softwarefehler führt zu Personenschäden? Die Folge in jedem dieser Fälle: Der Kunde verlangt Schadenersatz – auch für die Folgeschäden wie Umsatzausfall etc.

Sie müssen dann nachweisen können, dass Sie …

  1. sich um Vorsorgemaßnahmen wie Datensicherung etc. gekümmert haben, z. B. durch sorgfältig archivierte Protokolle und Anweisungen.
  2. das Nötige getan haben, um die Folgen absehbarer Risiken für Ihr Unternehmen aufzufangen – z. B. durch Versicherungen.

Sonst steht ganz schnell die Frage nach Ihrer persönlichen Haftung im Raum.

Ein guter Grund, sich persönlich darum zu kümmern, dass Ihr Unternehmen die richtigen Versicherungspolicen hat. Ein noch besserer Grund, dafür zu sorgen, dass Sie selbst abgesichert sind – durch eine gute Berufshaftpflichtversicherung oder eine angemessene D&O-Police (Directors- and Officers- bzw. Manager-Haftpflichtversicherung).