Die Zukunft im 3D-Printing: Rechtsprobleme und gesetzliche Grenzen?

Als Preis des Erfolg von 3D-Printing sehen die Analysten des Marktforschungsunternehmen Gartner eine Fülle von Rechtsproblemen um „Intellectual Property” heraufziehen. Das steht in ihrem neuesten Report zum Thema. Eine entsprechender dpa-Bericht schaffe es denn auch gleich u. a. ins Handelsblatt und die SZ.

Mit ihrer Einschätzung, dass 3D-Printing bei Urheberrechten, gewerblichen Schutzrechten und geistigem Eigentum noch für Bewegung sorgen wird, haben die Gartner-Leute ganz sicher recht. Auch ihre Prognose, dass das Bioprinting lebender Zellkulturen zu künstlichen Organen oder für andere Zwecke zu rechtlichem Regulierungsbedarf und öffentlichen Diskussionen führen wird, wenn es sich auf breiter Front durchsetzt, ist sicher richtig. Doch die spannende Frage ist ja: Was kann man heute tun, um sich als Startup im 3D-Druck-Sektor schon möglichst sicher aufzustellen? Und über welche Maßnahmen sollten Unternehmen nachdenken, die damit rechnen müssen, dass Bauteile einfach nachgedruckt oder Patent- und Urheberrechte missachtet werden?

Wie exakt man an die  wie immer ebenso genauen wie schlagzeilenträchtigen Zahlenangaben aus den Zukunftsszenarien der Analysten glauben will, (Zitat: „Gartner sagt vorher, dass der 3D-Druck bis 2018 zu jährlichen Verlusten bei geistigem Eigentum von mindestens 100 Milliarden Dollar jährlich führen wird.”) bleibt jedem selbst überlassen. Interessanter als numerische Zahlenspiele finde ich persönlich es, die jetzige Rechtslage darauf abzuklopfen, wie die juristische Situation für 3D-Printing-Unternehmen aussieht. Mein Ergebnis können Sie hier nachlesen: 3D-Druck als Massenmarkt: Was Start-ups über Recht, Risiken und Versicherungen wissen sollten

(A propos: Falls Sie Fragen zu betrieblichen Versicherungen rund um 3D-Printing haben – sprechen Sie mich an. Ich bin Versicherungsmakler und auf IT-Unternehmen und ihr Risikomanagement spezialisiert.)

 

Cloud-Kunde zahlt nicht, Cloud-Anbieter löscht Daten? Vorsicht, Haftungsrisiko.

Cloud Services sind mittlerweile Alltag in der IT-Branche. Und damit rücken auch rechtliche Probleme in den Fokus, an die vorher kaum jemand gedacht hat, die aber eben den Geschäftsalltag bestimmen. Zum Beispiel die Frage, wie ein Cloud-Dienstleister reagieren soll, wenn der Unternehmenskunde für das vereinbarte Bereithalten der Daten, Software etc.  nicht bezahlt. Kann der Cloud-Service die Daten dann einfach löschen?

Eher nicht, zumindest nicht „einfach so” – so könnte man einen Beitrag von Rechtsanwalt Jens Ferner zusammenfassen. Vorsicht ist schon deshalb angebracht, weil es um große Haftungssummen gehen kann. Kundenkartei, Produktdaten oder Buchhaltungsvorgänge – diese Daten sind viel wert und ihr Verlust führt schnell zu teuren Folgeschäden. Entsprechend hoch können dann spätere Schadenersatzansrpüche durch den Kunde oder einen Insolvenzverwalter ausfallen.

Auch wenn Cloud-Anbieter eine entsprechende Regelung in den AGB  hat, kann er Probleme bekommen, so Rechtsanwalt Ferner. Der Bundesgerichtshof den Hostingvertrag zwar vor einigen jahren als Mischform von Miet- und Werkvertrag gekennzeichnet (BGH, 4. 3. 2010 -III ZR 79/09). Aber für IT-Rechtsexperte Ferner überwiegen speziell beim Cloud-Vertrag die mietvertraglichen Aspekte.

Und der Vermieter eines Lagerraums etwa darf die dort untergebrachten Dinge auch nicht einfach entsorgen, wenn der Kunde nicht zahlt – er muss sie einlagern und gegebenenfalls verwerten. Analog dazu, so Jens Ferner, müsse auch der Cloud-Anbieter vorgehen: Die Daten zumindest vorerst sichern. Das sei angesichts der niedrigen Kosten auch zumutbar. Anders als der Lagerverwalter darf er die Daten aber nicht verwerten – der Datenschutz verhindert den Zugriff darauf. Doch wie lange das Speichern für den nichtzahlenden Kunden dauern soll, dazu macht der Fachbeitrag leider keine genauen Angaben. „Durch ein geeignetes und beweissicheres Prozedere kann man hier dafür Sorge tragen, dass die Daten letztlich gelöscht werden können.” lautet die eher vage Aussage.

Natürlich muss es nicht sein, dass das Gericht in einem konkreten Fall  die Sichtweise von Jens Ferner teilt. Aber die Möglichkeit besteht durchaus. Und das Szenario zeigt wieder einmal, dass man als IT-Dienstleister sehr viel schneller in Haftungsfallen treten kann, als einem lieb ist. Gut, wenn die Haftpflichtversicherung  des Unternehmens und die persönliche Haftungspolice des Geschäftsführers aktuell und genau auf die Risiken hin angepasst sind, die sich aus dem eigenen Geschäftsmodell tatsächlich ergeben.

  • Natürlich kann auch der beste Versicherungsvertrag Vorsicht nicht ersetzen und Pech nicht verhindern. Aber eine gute Betriebs- und Produkthaftpflichtversicherung bietet nicht nur finanziellen Schutz bei begründeten und berechtigten Schadenersatzansprüchen gegen das Unternehmen. Sie hilft auch, unbegründete Ansprüche juristisch abzuwehren, denn sie übernimmt die Anwalts- und Gerichtskosten.
  • Außerdem gewährt eine gute Haftpflichtversicherung grundsätzlich auch bei Fahrlässigkeit Versicherungsschutz.
  • Wenn ein Gericht die Datenlöschung später als vorsätzlich begangene Straftat einstuft, wird kein Versicherer bezahlen. Aber: Juristen machen einen Unterschied zwischen Vorsatz , bedingtem Vorsatz und Fahrlässigkeit.  Im konkreten Fall ist diese Unterscheidung sehr wichtig – dafür, ob die Versicherung bezahlt, aber auch für die Frage, ob der Geschäftsführer bzw. Inhaber eines Unternehmens persönlich haftet oder strafrechtlich belangt wird. Richtig versichert zu sein  bedeutet auch, sich einen guten, fachkundigen Strafverteidiger leisten zu können, und das  nicht erst mit Eröffnung des gerichtlichen Verfahrens,  sondern bereits ab Einleitung der Ermittlungen.

Den Beitrag von Jens Ferner finden Sie hier: „Cloud-Computing und IT-Vertragsrecht: Dürfen Anbieter Daten der Kunden bei Zahlungsverzug löschen?”

Haben Sie Fragen zu Versicherungsmöglichkeiten und Risikomanagement in Bezug auf ein konkretes IT-Geschäftsfeld?

Sprechen Sie mich an.

Datenschutz bringt echte Marktvorteile – und nicht nur Karma-Punkte

Versichern und vermeiden

Als Versicherungsmakler liegt es mir am Herzen, dass die Risiken, gegen die ich die von mir betreuten Unternehmen versichere, möglichst nie Realität werden.

Nicht, weil die Versicherung dann zahlen muss. (Als Versicherungsmakler bin ich kein Versicherungsvertreter, das kann man gar nicht oft genug wiederholen. Ich verkaufe nicht Produkte eines Versicherers, ich „verkaufe” vielmehr Know-how und Beratung, damit der Versicherungsnehmer markt- und risikogerechten Versicherungsschutz bekommt. Dabei stehe ich auf Seiten des Versicherungsnehmers. Dazu bin ich sogar gesetzlich verpflichtet.)

Sondern deshalb, weil kein Schaden immer besser ist als selbst ein anstandslos regulierter Schaden. (Das erspart dem versicherten Unternehmen Ärger und mir  Arbeit, schließlich kümmere ich mich auch um Schadensregulierung.)

Und deshalb liegt mir das Thema Datenschutz am Herzen.

 

Datenschutz: vom Nerd-Thema zum Risikofaktor

Zu den großen Risiken im IT-Umfeld gehört mittlerweile das des Datenlecks. Aus einem Dornröschenthema für Fachjuristen und engagierte Nerds ist in wenigen Monaten ein echtes Damoklesschwert geworden, das jetzt über allen baumelt, die die Zeichen der Zeit nicht erkannt haben.

Denn inzwischen legen auch die Verbraucher Wert auf Datenschutz. „Datenschutz darf Geld kosten” – so fasste der vzbz die Ergebnisse einer Umfrage unter Verbrauchern zusammen, die er bei TNS Emnid in Auftrag gegeben hatte. Mehr als ein Drittel der Befragten zeigt sich demnach bereit, größere Datensicherheit auch mit einem höheren Preis zu honorieren. Und für Unternehmen ist inzwischen auch klar, wie riskant es ist, wenn das eigene Risikomanagement im Blindflug erfolgt.

(Etwa bei der Cloud – wenn man persönliche Daten von Dritten an einen Dienst außerhalb der EU übergibt, noch dazu unverschlüsselt bzw. mit Schlüsseln, die auf dem Server dort liegen, und der Vertrag außerdem keine Grundlage für Regressansprüche an den Cloud-Anbieter hergibt,  falls doch etwas passiert, und auch keine Lösch- oder Auskunftsansprüche nach deutschem Recht – das ist dann z. B. Blindflug.)

Aber eigentlich wollte ich gar nicht  von den Risiken beim Datenschutz reden – sondern von den Chancen. Denn das ist ja das Gute: Beim Thema „Datenschutz” geht es nicht darum, nur den Teufel an die Wand malen – man kann auch auf real existierende Vorteile verweisen. Ein funktionierendes Datenschutzkonzept ist ein echter Marktvorteil geworden. Sowohl bei Unternehmenskunden wie auch bei Endverbrauchern.

Datenschutz-Risiko: Quasi ein Schnelltest

Wie groß der eigene Handlungsbedarf ist, lässt sich – zumindest vorab – schon mit ein paar einfachen Punkten herausfinden.  Wer das alles so spontan unterschreiben kann, ist schon mal recht gut aufgestellt:

  • Bei uns gibt es einen Datenschutzbeauftragten, und zwar nicht nur pro forma. (Oder: Wir brauchen wirklich keinen.)
  • Sowohl in den Verträgen mit unseren Kunden wie auch mit unseren Dienstleistern sind Datenschutzansprüche klar geregelt, auch der Haftungsfall.
  • Für alle personenbezogenen Daten, die wir speichern, haben wir entweder eine gesetzliche Befugnis oder eine nachweisbare Einwilligung der Betreffenden. Und wir können personenbezogene Daten komplett löschen und tun dies auch, wenn der Nutzer sich abmeldet, kündigt o. ä.  Und zwar auch von allen Backup-Systemen etc.
  • Unsere Security-Policies und Schutzmaßnahmen sind auf den Stand der Zeit. Und auch die Privat-Geräte der Mitarbeiter bilden keine Lücke im System.
  • Falls doch etwas passiert, und wir verantwortlich sind (und das sind wir selbst dann, wenn unser Provider/Dienstleister/Cloud-Dienst/Mitarbeiter … schuld ist), dann kommen zwar Schadenersatzforderungen auf uns zu, aber wir sind versichert. Wir haben das Thema Datenschutz schließlich rechtzeitig mit unserem Versicherungsmakler durchgesprochen.

Falls Sie Fragen oder Anmerkungen zum Thema „Datenschutz-Risiken und Versicherungen“ haben: Sprechen Sie mich an.

 

 

 

Bring your own device (BYOD): Bring Dein eigenes Gerät, die Firma haftet?

Drei Studien, ein Problem

  • Fast ein Drittel aller deutschen Unternehmen mit mehr als 1.000 Mitarbeitern hat durch BYOD bereits wichtige Daten verloren. Das besagt eine Studie, über die Heise berichtet.
  • Andererseits erlaubt mit  43 % annähernd die Hälfte der IT-Unternehmen hierzulande den Mitarbeitern, eigene Geräte für die Arbeit zu nutzen, von denen wiederum nur 60 % dafür feste Regeln aufstellen –  so eine andere Studie vom Branchenverband Bitkom.
  • Wobei Betriebsvereinbarungen etc. oft ohnehin wenig bringen: Fast die Hälfte der Arbeitnehmer bis 32 schert sich schlichtweg nicht um Verbote und Einschränkungen und nutzt die eigenen Geräte einfach trotzdem. Das ergab eine Fortinet-Umfrage zum BYOD-Verhalten der „Generation Y“.

Kaum noch ohne BYOD

Dass BYOD für  die Rechner- und Datensicherheit des Unternehmens  ein Horror ist, liegt auf der Hand. Heterogene Hardware, unterschiedliche Betriebssysteme, eine völlig uneinheitliche Ausrüstung  mit Firewalls, Virensoftware und Backup-Programmen, wenn überhaupt vorhanden. Dazu Nutzer, die das jeweilige Gerät als Teil ihrer persönlichen Ausrüstung begreifen, an allen möglichen Orten im Internet unterwegs sind, unkontrolliert herunterladen und installieren, mit weiß wem Kontakt haben und fleißig Wechseldatenträger nutzen …

Arbeitsrechtlich bzw. juristisch ist BYOD ebenfalls ein Alptraum. Arbeit und Privatsphäre, persönliche und Unternehmensdaten, Privatbesitz und Firmeneigentum – alles vermischt sich. Da freut sich der Anwalt, wenn es zu Konflikten kommt …

Dazu kommen die steuerlichen Unklarheiten, wenn Privat- und Firmeneigentum, berufliche und private Nutzung sich vermischen.

Trotzdem kann man BYOD oft kaum noch wirksam verbieten – s.o. Außerdem macht ein BYOD-VErbot die Suche nach jungen Talenten für den „Mangelberuf Anwendungsentwickler“  und ähnliche Jobs sehr viel schwieriger.  Daneben ist BYOD der Preis (und der Köder) für die erhöhte Verfügbarkeit wichtiger Leute und spart oft Anschaffungskosten.

Schutzmaßnahmen festklopfen

Ganz wichtig: Eine verbindliche und arbeitsrechtlich wirksame Richtlinie zu BYOD etablieren.

Wichtig ist aber auch, die einschlägigen Risiken klar zu erfassen und versichert zu haben. Gerade an dieser Front ist das Unternehmen abhängig vom Verhalten Dritter und anfällig für Pleiten, Pech und Pannen.

Wenn das ganz große Datenleck oder der Komplettverlust wichtiger Firmendaten da ist, hilft Ihnen auch ein Haftungsanspruch gegen den Sündenbock  nicht mehr viel.  Dann retten  Sie nur noch gute Nerven und eine ausreichende Deckung in Ihrer Versicherungspolice.

Punkte für eine BYOD-Richtlinie

Dennoch: Die arbeitsrechtliche Absicherung von  BYOD ist absolut zentral – schon deshalb, um das Bewusstsein der Mitarbeiter zu schärfen und um Rechtsstreitigkeiten mit dem eigenen Personal von vornherein den Boden zu entziehen. Welche Punkte  in Sachen BYOD im Arbeitsvertrag oder per Betriebsvereinbarung zu klären sind, haben die Rechtsanwälte Sebastian Dramburg und Matthias Sziedat in einem Gastbeitrag für Deutsche-Startups.de aufgelistet. Die von ihnen genannten Punkte kurz zusammengefasst:

  • Klare Regeln dazu, wer wie viel bezahlt für Anschaffung, Zubehör und Reparaturen
  • Haftung bei Softwarenutzung ohne Lizenz
  • Regeln für Verlust oder Beschädigung
  • Klare Abmachungen zum Umgang mit persönlichen Daten des Mitarbeiters auf dem Gerät
  • Regeln für den Fall des Ausscheidens des Mitarbeiters oder bei akuten Konflikten

Fragen an Ihren Versicherer

Zusätzlich sollten Sie sich aber bei jedem dieser Punkte auch fragen: Wie steht mein Unternehmen da, wenn die Richtlinie nicht greift?

Ist das neue iPhone, das der Marketingchef auf der Messe liegen lässt, versichert? Wenn der Entwickler im Streit geht und das Unternehmen keinen Zugriff mehr auf den bislang erstellten Code auf dessen Laptop hat, wer bezahlt dann die Vertragsstrafe an den Kunden? Wie steht es, wenn der Vertriebsmitarbeiter sich einen Trojaner einfängt und die Kunden verteilt, die dann Schadensersatz fordern? Kann man für den Schaden vorsorgen, der entsteht, wenn ein Mitarbeiter die Kundendaten auf „seinem“ Laptop für ein eigenes Unternehmen nutzt?

Wie immer gilt: Das sind zum einen Themen für Ihre IT-Sicherheit. Das alles sind aber auch Versicherungsfragen.  Sie sollten Sie Ihrem Versicherungsmakler oder Ihrem Versicherer stellen, bevor es passiert.

Fazit

BYOD ist ein Risiko, an dem Sie aber vermutlich kaum vorbeikommen. Um das Risiko zu begrenzen, müssen Sie es auf drei Ebenen angehen:

  1. auf Ebene der  IT-Sicherheit: in Bezug auf die Geräte selbst,
  2. auf arbeitsrechtlicher Ebene: in Bezug auf Ihre Mitarbeiter
  3. auf Unternehmensebene:  in Bezug auf Ihre betrieblichen Versicherungen

Außerdem sollten Sie mit dem Steuerberater über dieses Thema sprechen.

Links

EU-Datenschutzgrund­verordnung: Was auf IT-Unternehmen zukommt

Datenschutz ist großes Thema – auch auf EU-Ebene. Doch abseits täglich wechselnder Aufregungen über abgehörte Handys und und Netzknotenpunkte gibt es beim Datenschutz auch Bewegungen, die den Geschäftsalltag der Unternehmen sehr konkret beeinflussen werden: Die neue EU-Datenschutzgrundverordnung nimmt Gestalt an.

Die geltende EU-Richtlinie zum Datenschutz stammt aus dem Jahr 1995. Damals tröpfelten die Daten oft noch mit 28.8 kBit/s durch das Modem in den Rechner. Und mit ähnlicher Geschwindigkeit schien sich auch die Nachfolgeverordnung über die verschlungenen Pfade der europäischen Gesetzgebung zu bewegen. Immerhin – sie hat das EU-Parlament erreicht und wurde dort in einer Kompromissfassung beschlossen .

Verabschiedet sehen will die zuständige Kommissarin, Viviane Reding, die neue Datenschutzverordnung bis April 2014 – das ist sehr ambitioniert. Aber im Mai 2014 sind EU-Wahlen. Und nachdem das Datenschutzthema nun dank Angela Merkels Smartphone endgültig die Schlagzeilen beherrscht, scheint vieles möglich. Es könnte sich also mittelfristig einiges ändern für IT-Unternehmen.

Der jetzige Text der Vereinbarung ist noch längst nicht der Stand, der dann irgendwann auch in Kraft tritt – vorher müssen EU-Kommission und die Regierungen der Mitgliedsstaaten zustimmen. Und allein bis jetzt gab es schon über 3.000 Änderungsanträge, wie Matthias Spielkamp auf iRights.info berichtet.

Interessante Regelungen enthält die Vorlage in jedem Fall:

  • Unternehmen, die von der Verordnung erfasst werden, müssen einen Datenschutzbeauftragten ernennen, eine Risikoanalyse zur Datenverarbeitung erstellen und sich alle zwei Jahre einer Überprüfung unterziehen. Aus Sicht des Risikomanagements ist das eine Risikoerhöhung. Wenn der Audit nicht bestanden wird, drohen ja Geschäftsausfälle.
  • Gelten soll die Verordnung für Unternehmen, wenn sie die Datensätze von mehr als 5000 Nutzern speichern –  das ist schnell erreicht. Demgegenüber wollte die EU-Kommission die Schwelle durch eine Mitarbeiterzahl 250 festlegen. Das ist natürlich ein großer Unterschied. Denn auch kleine Unternehmen haben schnell 5000 Newsletter-Abonnenten, Bestelladressen oder Datensätze in der von ihnen verwalteten Kundendatenbank.
  • Wie immer die Schwelle bestimmt wird: Firmen unterhalb davon brauchen keinen Datenschutzbeauftragten mehr. Das deutsche Datenschutzrecht schreibt im Moment vor, dass ein – externer oder interner – Datenschutzbeauftragter berufen werden muss, wenn mindestens zehn Mitarbeiter mit der Verarbeitung persönlicher Nutzerdaten zu tun haben. (Andererseits: Mit dem Datenschutzbeauftragten ist das Unternehmen die Haftung für Datenschutzverstöße ohnehin nicht los. Die bleibt im Zweifelsfall direkt bei der Geschäftsleitung – wo sie übrigens auch jetzt schon ist.)
  • Auch noch umstritten ist die Frage, wie hoch die Sanktionen bei Verstößen ausfallen. Dieser Aspekt ist aus aus Sicht des Risikomanagements natürlich besonders interessant. Die EU-Kommission wollte Strafen für Unternehmen auf eine Million Euro oder bei zwei Prozent des Jahresumsatzes deckeln. Die Parlamentsvorlage ist deutlich schärfer und legte die Grenze bei 100 Millionen Euro und fünf Prozent vom Umsatz fest. Der „Preis” für Datenschutzverstöße hat natürlich sehr direkte Auswirkungen darauf, wie teuer die Prämien der Vermögensschadenhaftpflicht oder der D&O- (Managerhaftpflicht)-Policen werden.
  • Geregelt wird auch das Recht auf Auskunft über gespeicherte Daten und auf deren Löschung. Beides schreibt das deutsche Datenschutzrecht im Grundsatz ja auch schon vor. Neu wäre aber, dass ein Unternehmen auch dafür verantwortlich ist, alles „Vertretbare“ zu unternehmen, um Dritte, welche die Daten verarbeitet haben, davon in Kenntnis zu setzen, dass der Betroffene die Löschung seiner Daten und damit auch Verlinkungen verlangt. Hier kündigen sich möglicherweise neue Haftungsrisiken an, die durch entsprechende Verträge mit Geschäftspartnern, aber auch durch Anpassung der eigenen Haftpflichtversicherung aufgefangen werden müssen.
  • Persönliche Daten dürfen nur mit Einwilligung erfasst oder verarbeitet werden. Allerdings gibt es eine etwas schwammige Ausnahmeregelung, die bei Datenschutzaktivisten Protest auslöst. Mal abwarten, wie dieser Punkt am Ende gefasst wird.
  • Auch nicht ohne ist für die Anbieter das Recht aus Datenportabilität: Selbst erstellte Profile und Inhalte soll der Nutzer von einem Dienst zum anderen mitnehmen können wie die Rufnummer beim Wechsel des Mobilfunkvertrags. Die bisher genutzte Plattform muss dann die gespeicherten, möglicherweise bereits veröffentlichten und von anderen Nutzern geteilten Inhalte löschen. Auch das ein neues Haftungsrisiko.
  • Datenschutzverstöße wie Datendiebstahl müssen den Betroffenen ohne Verzögerung, mindestens innerhalb 72 Stunden, mitgeteilt werden. Das begründet wiederum mögliche Ansprüche von Kunden, die zu spät über Datenverluste informiert werden.
  • Datenschutzrechtliche Ansprüche von EU-Bürgern werden durch die EU-Verordnung vereinheitlicht. Zur Zeit können Services mit Sitz in den USA sich auf dortige Bestimmungen zurückziehen, auch bei deutschen Kunden. Das wird dann Vergangenheit sein – auch US-Dienste müssen sich an die EU-Vorschriften halten, wenn sie EU-Nutzer haben. Ob das auch durchsetzbar ist, muss man allerdings abwarten.

Wie gesagt: Noch ist vieles im Fluss, die große Schlacht der Lobbyisten, Aktivisten und Einflussgruppen ist noch lange nicht vorbei. Aber eines ist sicher: Datenschutz hat einen Preis, und den zahlen unter anderem die Unternehmen. Zum Beispiel in Form erhöhter Versicherungsprämien für Policen mit erweiterter Deckung. Um so wichtiger ist es, die Versicherungsverträge optimal zu gestalten, um weder Geld zu verschenken noch von Deckungslücken bedroht zu werden.

 

Ein externer Datenschutz­beauftragter braucht eine Zusatz-Versicherung (auch ein Rechtsanwalt)

Externer Datenschutzbeauftragter? Haftpflicht-Zusatzversicherung nötig

Wenn Sie als externer Datenschutzbeauftragter tätig sind und keine Zusatzversicherung bzw. Deckungserweiterung Ihrer Berufshaftpflichtpolice haben, führen Sie eine gewagte Existenz. Sie haben dann Haftungsrisiken übernommen, die vermutlich nicht versichert sind. Das gilt auch, wenn Sie als Rechtsanwalt eine Pflichtversicherung haben.

Ihre Haftung aus der Tätigkeit als externer Datenschutzbeauftragter ist durch die „normale” Berufshaftpflichtversicherung bzw. Vermögensschadenhaftpflicht nicht abgedeckt.

Die Deckungserweiterung kann durchaus zu einer Zusatzprämie führen, die sich im Regelfall am Honorarumsatz der Tätigkeit als Datenschutzbeauftragter bemisst.

Das gilt auch bei Rechtsanwälten

Vielen externen Datenschutzbeauftragten ist nicht bewusst, dass diese Zusatztätigkeit in der Deckung Ihrer Berufshaftpflichtversicherung nicht automatisch enthalten ist. Es ist aber so – das haben mir auf Anfrage alle gängigen Anwaltsversicherer bestätigt. Eine typische Begründung lautet, die Arbeit als Datenschutzbeauftragter sei ja keine freiberufliche Tätigkeit.

Auch bei der Bundesrechtsanwaltskammer konnte ich keine Bestätigung dafür bekommen, dass man dort die Tätigkeit als externer Datenschutzbeauftragter zum typischen Tätigkeitsprofil eines Anwalts zählt, die also unter das Berufsbild des Rechtsanwalts subsumiert werden könnte.

Es bleibt dabei: Als externer Datenschutzbeauftragter brauchen Sie in aller Regel

  • entweder eine eigene Haftpflichtversicherung speziell für diese Tätigkeit, oder
  • eine Erweiterung der Deckung Ihrer Berufshaftpflicht-Police,

… sonst stehen sei im Haftungsfall „nackt” da.

Eine Anmerkung aus Sicht der Kunden

Haben Sie als Datenschutzbeauftragter versäumt, sich für diese Tätigkeit zu versichern, können die Folgen für Ihre Kunden mindestens ebenso problematisch sein. Verschulden Sie einen Datenschutzverstoß, hat der Kunden zwar grundsätzlich einen Anspruch auf Regress für den entstandenen Schaden einschließlich der Vermögensschäden. Doch das wird wenig nutzen, wenn die finanzielle Absicherung dafür fehlt.

Im Zweifel kann sogar eine persönliche Haftung des Geschäftsführers oder Inhabers Ihres Auftraggebers abgeleitet werden (Auswahlverschulden). Schon deshalb sollte jedes Unternehmen, das einen externen Datenschutzbeauftragten unter Vertrag nimmt, einen Versicherungsnachweis speziell für diese Tätigkeit verlangen. Sie selbst wiederum können mit einem solchen Versicherungsnachweis gegenüber potenziellen Kunden punkten.

Interner oder externer Datenschutzbeauftragter? Auch Risiken und Haftung zählen

Ob ein interner oder externer Datenschutzbeauftragter für ein IT-Unternehmen die bessere Wahl ist, hängt nicht nur von den direkten Kosten ab. Wichtig sind auch die Auswirkungen auf das Unternehmensrisiko und mögliche Haftungsgesichtspunkte.

Haftung beim Datenschutz

Für IT-Unternehmen ist es besonders „leicht”, gegen Datenschutzbestimmungen zu verstoßen. Mit personenbezogenen Daten zu arbeiten ist für sie ja Alltag. Dafür genügt es schon, wenn sie für ein anderes Unternehmen eine Datenbank mit dessen Kunden-, Bestell- oder Personaldaten anlegen oder pflegen. Prompt ergibt sich eine ganze Reihe von Rechtspflichten (aus dem Bundesdatenschutzgesetzes BDSG , aber auch aus anderen Gesetzen wie dem  TKG oder dem TMG) und damit eine Menge Stolperfallen.

Die Liste der Details, auf die das Unternehmen beim Datenschutz  achten muss, reicht …

  • von der formellen, schriftlich fixierten Beauftragung  bei Datenverarbeitung im Auftrag des Kunden …
  •  über die Bestellung eines kompetenten  internen oder externen Datenschutzbeauftragten (Pflicht spätestens ab 10 Personen, die  mit personenbezogenen Daten zu tun haben einschließlich freier Mitarbeiter, Praktikanten etc.) sowie …
  • umfangreichen Dokumentationspflichten (interner und externer Verfahrensnachweis) bis hin zu …
  • Auskunfts- und Belehrungspflichten gegenüber Dritten.

Für die Einhaltung der Datenschutzvorschriften ist die Geschäftsführung verantwortlich. Diese Verantwortung lässt sich auch nicht einfach delegieren, bei einem Datenschutzverstoß muss sich der Geschäftsführer oder der Vorstand zumindest ein Organisationsverschulden anrechnen lassen.

Wann haftet ein externer Datenschutzbeauftragter?

Schon aus Haftungsgesichtspunkten ist es oft sinnvoll, einen externen Datenschutzbeauftragen zu engagieren. Dieser haftet grundsätzlich einmal dafür, dass er seine Funktion ordentlich erfüllt –  egal ob es sich um einen Rechtsanwalt handelt oder ob man einen spezialisierten Dienstleister wie etwa den TÜV oder das IITR nutzt. Natürlich kommt es auf die Vertragsgestaltung an, ein kompletter Haftungsausschluss oder die pauschale Beschränkung auf eine bestimmte Summe  ist für externe Datenschutzbeauftragte nach gängiger Rechtsansicht jedoch nicht möglich.

Deshalb brauchen externe Datenschutzbeauftragte auch unbedingt eine Versicherung ihrer beruflichen Vermögensschadenshaftpflicht. Von einem externen Datenschutzbeauftragten sollten Sie sich deshalb auf jeden Fall eine Versicherungsbestätigung vorlegen lassen, als Nachweis einer angemessenen Vermögensschadenhaftpflichtversicherung. Handelt es sich um einen  Rechtsanwalt, dann ist er zwar ohnehin pflichtversichert, aber seine  anwaltliche Berufshaftpflichtversicherung deckt nicht von vornherein mögliche Schäden aus der Tätigkeit als externer Datenschutzbeauftragter ab. Dafür ist eine Erweiterung der Police oder eine Zusatzversicherung notwendig. Das gilt natürlich auch für andere Berufe.

Allerdings kann ein  Unternehmen, das einen externen Datenschutzbeauftragten bestellt, die Haftung nicht einfach an diesen „weitergeben”. Kommt es zu einem Datenschutzverstoß, ist dennoch die Unternehmensleitung die Adresse für den Geschädigten. Muss das Unternehmen aber z. B. Schadenersatz leisten, kann es seinerseits den externen Datenschutzbeauftragen in Anspruch nehmen, falls dieser durch seine Tätigkeit den Verstoß hätte verhindern können und müssen.

Im Gegensatz zu einem internen Mitarbeiter, der als Arbeitnehmer nur beschränkt haftet, muss ein externer Beauftragter nicht etwa grob fahrlässig oder vorsätzlich gehandelt haben, um zu haften – einfaches Verschulden reicht grundsätzlich. Deshalb ist der Versicherungsnachweis wichtig. Er stellt sicher, dass die  die Ansprüche des Unternehmens im Falle eines Falles nicht ins Leere gehen.

Hat die Geschäftleitung jedoch einen unversicherten Datenschutzbeauftragten unter Vertrag genommen und gehen Regressansprüche finanziell ins Leere, muss der Geschäftsführer bzw. Inhaber unter Umständen sogar damit rechnen, dass ihm das als Auswahlverschulden zur Last gelegt und daraus seine eigene persönliche Haftung abgeleitet wird.

Unternehmensrisiken verringern

Eine Anmerkung aus der Sicht des Versicherungsmaklers und Versicherungsexperten: Die Haftung des externen Datenschutzbeauftragten reduziert  das Risiko von Unternehmen und Geschäftsführung und damit den Versicherungsbedarf. Solche Haftungsaspekte sind für das Unternehmen selbst wichtig, sie fallen aber auch für mich als Versicherungsmakler ins Gewicht, wenn ich die Unternehmensrisiken begutachte.

Wie man sieht, ist  betrifft die Arbeit eines Versicherungsmakler nicht nur den Versicherungsabschluss. Meine Kunden und Mandanten erhalten gleichzeitig auch wichtige Anhaltspunkte für ihre Geschäftsentscheidungen.

Noch zwei Anmerkungen:

  •  Ein externer Datenschutzbeauftragter ist selbst aus Sicht des Personalwesens oft die sinnvollere Alternative. Ein interner Datenschutzbeauftragter ist im Rahmen dieser Tätigkeit von Weisungen unabhängig, hat Anspruch auf fortlaufende Weiterbildungen und genießt einen besonderen Kündigungsschutz – das kann zu Konflikten führen.
  • Immer wieder kommen Geschäftsführer auf die Idee, sich selbst zum Datenschutzbeauftragten zu bestellen oder dafür den Steuerberater zu nehmen, aber das  funktioniert nicht. Der Beauftragte darf nach gängiger Rechtsmeinung nicht in einem grundsätzlichen Interessenkonflikt zu seiner sonstigen Tätigkeit für das Unternehmen stehen.

Branchenübergreifende Cyber-Risk-Versicherung – lohnt sich das für KMU?

Das in Deutschland recht neue Konzept der branchenübergreifenden Cyber-Risk-Versicherung auch für KMU, das zur Zeit in Deutschland für Veränderungen auf dem Versicherungsmarkt sorgt, zeigt: Die Versicherungsbranche ist ein exzellenter Seismograph für wirtschaftliche und gesellschaftliche Veränderungen.

Eine Cyber-Risk-Versicherung für alle Branchen?

Das Cyber-Risiko betrifft inzwischen Unternehmen aller Branchen und Größen. Bei den Versicherern führt das zu neuen Versicherungsprodukten. Branchenübergreifende Cyber-Policen werden inzwischen z. B. von AIG oder der Allianz (AGCS)  angeboten. Der Standard-Vertrag einer Cyber-Risk-Versicherung für KMU hat typischerweise etwa eine Deckung von 10 Millionen €, bildet als so genannte Multiline-Police einen allgemeinen Risiko-Querschnitt ab und umfasst mehrere Elemente:

  • eine Versicherung von Vermögensschäden Dritter: Der Versicherer zahlt, wenn z. B. durch Attacken auf das eigene Unternehmen Vermögensschäden bei dessen Kunden entstehen.
  • Ersatz für Schäden, die dem Unternehmen selbst entstehen, etwa weil Datenverlust dazu führt, dass Unternehmensteile lahmgelegt werden.
  • Zu den Leistungen gehört auch die Kostenübernahme von Dienstleistungen, die als Teil des Krisenmanagements die Folgen einer Cyber-Attacke abmildern. Die Palette reicht von IT-Nothilfe über Rechtsberatung bis zur Unterstützung bei der Krisen-PR.

Cyber-Risiken sind eine reelle Bedrohung – und versicherbar

Immer weitergehende Vernetzung, immer schnellere IT-Marktzyklen, direkte Anbindung an Kunden und Verbraucher, dazu wachsende Datenmengen, die verarbeitet, gespeichert und ausgetauscht werden müssen: all das hat die Risikosituation der Unternehmen komplett umgekrempelt.

Wenn Unternehmen ihre Produkte, Daten, Mitarbeiter und andere Ressourcen bei einem virtuellen Angriff nicht schützen können, drohen hohe Folgeschäden: Ausfall von Web-Services oder IT-Infrastruktur, Vermögensschäden beim Unternehmen selbst, Vermögensschäden bei Geschäftspartnern, Datenverlust bei Kunden und Verbrauchern, Verlust von geistigem Eigentum. Und nicht nur die bezifferbaren Schäden und Haftpflichten sind ein Problem. Erfolgreiche Hacker-Angriffe mit Datenverlust führen außerdem zu Image-Schäden. Kunden verlieren das Vertrauen, das Ansehen der Marke sinkt.

Für IT-Unternehmen in den USA oder in Großbritannien ist es längst Standard, Cyber-Risiken als reelle Bedrohung der eigenen Geschäftstätigkeit wahrzunehmen und zu versichern. Deshalb haben gerade englische und amerikanische Versicherer seit langem Erfahrung auf diesem Gebiet.

Vertrag von der Stange oder individuelle Anpassung?

Die Versicherer locken damit, dass für den Abschluss keine aufwändige individuelle Risikobewertung notwendig sei. Das ist aber ein zweischneidiges Schwert – die individuelle Betrachtung liefert ja oft auch Einsparpotenziale. Warum Risiken versichern, die nicht existieren? Auch die Dienstleistungen zur Krisenreaktion, die im Paket enthalten sind, sollten genau und im Einzelnen geprüft werden.

Das bedeutet aber nicht, dass Cyber-Risk-Versicherungen wenig taugen. Im Gegenteil – der Abschluss ist für viele Unternehmen sinnvoll. Es kommt nur darauf an, die Situation des einzelnen Unternehmens und die Bandbreite an Versicherungsleistungen optimal aufeinander abzustimmen. Der Versicherungsnehmer kann viel Geld einsparen, wenn Preis,Versicherungssumme sowie Selbstbehalte bzw. Sublimits (niedrigere Obergrenzen für bestimmte Einzelrisiken) auf den tatsächlichen Bedarf hin angepasst werden.

Was auch bedeutet: Meine Arbeit als Berater und Versicherungsmakler wird durch diese Entwicklung nicht gefährdet. Im Gegenteil: Fachmännische, individuelle Betreuung in Versicherungsfragen wird für meine Mandanten immer wichtiger.

Macht eine Cyber-Security-Police für Ihr Unternehmen Sinn?

Ich kann Sie beraten. Sie erreichen mich über das Kontaktformular, per Telefon unter +49 030 863 926 990 oder per E-Mail an fs@acant-makler.de.

3D-Druck: Desaster von Plastik-Spaghetti bis zum juristischen GAU

Dass 3D-Druck nicht immer nur Freude bereitet, weiß vermutlich jeder, der irgendwann  zusehen durfte, wie stundenlange Arbeit am Ende zu einem undefinierbaren Etwas aus der 3D-Druck-Hölle führt. Es gibt sogar eine eigene (englischsprachige) Flickr-Gruppe, die sich solchen 3D-Druck-Desastern widmet: The Art of 3D Print Failure.

Dort gibt es nicht nur wunderschöne Fotos völlig verkorkster 3D-Drucke, man diskutiert auch darüber, wie sich solche Probleme vermeiden lassen.

Unternehmen, deren Geschäftsmodell mit 3D-Druck zu tun hat, müssen sich aber auch auf ganz andere Scherereien einstellen – auf Probleme juristischer Art.

Das bedeutet nicht, dass jeder Druck vom Anwalt begutachtet werden müsste, aber StartUps im 3D-Druck-Bereich sollten über die juristischen Fallstricke informiert sein. In meinem Leitfaden steht, wo die Probleme lauern: Es geht um Haftungsfragen, Urheberrecht, Marken- und Geschmacksmusterschutz, Produkthaftungsfragen (im 3D-Umfeld besonders kompliziert) und nicht zuletzt auch um Strafrecht – all das kann zum Stolperstein werden.

Link: „3D-Druck als Massenmarkt: Was Start-ups über Recht, Risiken und Versicherungen wissen sollten”

Ob IT oder Versicherungen: Kopfschmerzen sollte man auslagern

Eigentlich gleicht das, was ich als Versicherungsmakler für IT-Unternehmen anbiete, in vielem dem Service, den externe IT-Dienstleister für Ihre Kunden erbringen. Ich übernehme als Experte für Versicherungen die Verantwortung für einen Bereich, der …

  • eigenes Know-how erfordert,
  • fortlaufend im Auge behalten werden muss
  • für das Unternehmen von großer Bedeutung ist, aber nicht unbedingt etwas mit dem Kerngeschäft zu tun hat.

So erspare ich Ihnen, eigenes Know-how für Versicherungen aufzubauen, also für ein  Themengebiet, das Sie ansonsten nicht benötigen, das aber sehr komplex ist.

Betriebliche Versicherungen benötigen genau wie IT-Strukturen ständige Pflege. Das betrifft im IT-Bereich Aktualisierungen, Upgrades, Patches sowie neue technische Entwicklungen und Anforderungen. Daraus ergibt sich die Notwendigkeit, sich ständig auf dem Laufenden zu halten. Bei mir im Versicherungsbereich ist das nicht anders. Auch Versicherungen müssen fortlaufend angepasst werden – an Veränderungen bei der Ausstattung oder dem Geräteinventar, an neue Kunden (mit anderen Haftungsrisiken) und neue Verträge, an Veränderungen bei den Mitarbeitern, an Gesetzesänderungen (die neue Haftungsrisiken bringen können) und an die Marktlage in der Versicherungsbranche, bei der ständig Angebote und Produkte hinzukommen oder wegfallen.

Dabei nebenher den Überblick zu behalten – das ist nicht zu schaffen. Der Versicherungsbereich setzt genau wie der IT-Bereich umfangreiche, hochspezialisierte Fachkenntnisse voraus – praktische Erfahrung sollte ebenfalls dazukommen. Dieses Know-how in Form einer eigenen Position im Unternehmen zu schaffen ist teuer und für ein mittelständisches Unternehmen meistens überdimensioniert. Als externer Berater und Vermittler liefere ich Versicherungs-Branchenwissen „on demand”.

Gerade weil ich nicht nur Ihr Unternehmen kenne, sondern die Versicherungsbelange und Versicherungsfälle vieler Unternehmen vergleichen kann, weiß ich, wie sich die spezifischen Risiken Ihres Unternehmens analysieren und in passende Policen „übersetzen” lassen – so wie ein Systemhaus oder ein Ausrüster die Erfahrungen aus all den früheren Aufträgen einsetzt, um bei einem neuen Kunden den IT-Bedarf zu bestimmen und konkrete Systeme als Lösung zu konzipieren.

Als Versicherungsmakler bin ich nicht nur dafür da, Ihnen einmalig einen oder mehrere Versicherungsverträge zu besorgen, die dann irgendwo im Safe liegen wie der Mietvertrag oder der Gesellschaftsvertrag. Vielmehr ist es Teil meiner Arbeit, darauf zu achten, dass Ihr Versicherungsschutz aktuell bleibt, mit dem Unternehmen mitwächst und neuen Herausforderungen gerecht wird. Oder anders gesagt: Meine Aufgabe ist es, Ihnen zumindest diese Kopfschmerzen zu ersparen.