Datenschutz im Verein - per Rechtsschutz versicherbar

Datenschutz im Verein: Datenschutz-Baustein für Vereins-Rechtsschutz

Datenschutzvorschriften gelten auch für Vereine

Viele e. V. haben inzwischen zwar eine Datenschutzerklärung auf der Vereinswebsite. Aber das Datenschutzrecht verlangt mehr als das. Grundsätzlich darf ohne Einwilligung der Betroffenen nicht einmal der runde Geburtstag von Vereinsmitgliedern veröffentlicht werden, oder das aktuelle Mannschaftsfoto mit dem Namen der Spieler.

Für eine Abmahnung reicht schon ein Einzelner

Das gilt grundsätzlich für alle – Sportvereine, Kleingartenvereine, Brauchtumsvereine oder was auch immer. Für eine teure Abmahnung reicht schon ein einziger Querulant aus. Noch größer ist das Risiko, wenn der Verein auch die personenbezogenen Daten von Vereinsfremden „verarbeitet“. Dann etwa, wenn Mitglieder anderer Vereine an Wettkämpfen, Vorführungen oder Treffen teilnehmen.

Rechtsschutzversicherung gegen Datenschutzverstöße im Verein

Die Roland hat deshalb einen speziellen Baustein für ihre Rechtsschutzversicherungen auf den Markt gebracht, der im Fall von Datenschutzverstößen die rechtlichen Risiken für Vereine und Vereinsvorstände abdeckt. Für manche Vereine ist dieser Rechtsschutz-Baustein mit Sicherheit sinnvoll.

Fragen?

Rufen Sie uns an. Das kostet nichts, und wir beraten Sie gern dazu, welche Form von Versicherungsschutz für Ihren Verein Sinn ergibt, und welche nicht. Sie erreichen uns unter 030 863 926 990 oder 0176 10318791.

Medical Identity Fraud: Identitätsdiebstahl im Gesundheitswesen

Identitätsdiebstahl bei Patienten

Die Süddeutsche Zeitung schreibt heute über das Phänomen des „Medical Identity Fraud“, den äußerst lukrativen Diebstahl von Patientendaten.

Auch dieser Trend kommt wieder einmal aus den USA. Dort ist die digitale Gesundheitskarte längst Realität. Patientendaten werden zentral gespeichert. Bereits bei 2,3 Millionen Menschen wurden diese Datensätze gestohlen und von Fremden missbraucht. Diese Form des Identitätsdiebstahl wächst in den USA schneller als alle anderen, etwa der Klau von Bankdaten.

Denn im Gesundheitswesen ist Identitätsdiebstahl besonders lukrativ: Mit den Daten kann man sich Schmerz- oder Schlafmittel verschreiben lassen und verkaufen. Ganze Operationen oder umfangreiche Behandlungen werden in falschem Namen abgerechnet. Auch eine Krankenversicherung lässt sich abschließen. Der Schwarzmarktwert solcher Datensätze ist entsprechend hoch.

Den Schaden hat derjenige, dessen Daten gestohlen wurden — aber auch Versicherungen, Artzpraxen und Gesundheitseinrichtungen aller Art, die Opfer betrügerischer Abrechnungen werden. Gegen diese Form des Missbrauchs wurde deshalb ein eigener Branchenverband gegründet, die Medical Identity Fraud Alliance.

Auch in Deutschland steigt das Risiko

Noch ist das Phänomen in Deutschland nicht so weit verbreitet wie in den USA. Aber auch hier ist der Missbrauch von Patientendaten ein Risiko. Noch beschränkt sich die elektronische Gesundheitskarte — salopp gesagt — auf das Patientenfoto, das die Chipkarte ziert. Dabei wird es aber nicht bleiben. Im Dezember letzten Jahres wurde das E-Health-Gesetz beschlossen, damit kommt der Datenaustausch im Gesundheitswesen allmählich ins Rollen.

In den nächsten Jahren werden nach und nach immer weitere Funktionen eingeführt. Ziel ist die digital verfügbare Patientenakte. So soll es in der Arztpraxis einen Stammdatenabgleich mit Datensätzen auf einem zentralen Server geben. Daten zu Allergien oder Vorerkrankungen sollen ebenso auf der Karte gespeichert sein wie Medikationspläne – auf die dann auch die Apotheke zugreifen kann. Auch Behandlungsdaten von Chronikern beispielsweise nach einem Klinikaufenthalt werden auf diesem Weg für Anschlussbehandlungen verfügbar gemacht, und elektronische Arztbriefe weitergereicht.

Diese Funktionen können die medizinische Behandlung sehr erleichtern. Auch das Einsparpotenzial ist groß. Aber dass damit automatisch auch das Missbrauchsrisiko steigt, liegt auf der Hand. Berichte über Sicherheitsprobleme bei der elektronischen Gesundheitskarte gibt es mehr als genug. Dieses Risiko wird auch zum Problem für Praxen, Kliniken und anderen Gesundheitseinrichtungen und -versorgern. Und schon beim Streit um EC-Karten-Missbrauch hat sich gezeigt, dass die Verwender einer Chipkarte gern für Sicherheitslücken im System haftbar gemacht werden, wenn sie diese nicht technisch detailliert nachweisen können.

Zwar haftet der Krankenversicherer für Behandlungskosten, wenn die Karte missbräuchlich verwendet wurde, ohne dass dies erkennbar war. Arztpraxen, Kliniken oder Versorgungseinrichtungen haften jedoch gegenüber den Patienten (und allen anderen Geschädigten, etwa den Versicherern), wenn sie für ein Datenleck verantwortlich sind (oder gemacht werden), das zu Identitätsdiebstahl und anderem Missbrauch führt. Wie teuer so etwas werden kann, einschließlich aller Folgekosten, lässt sich leicht ausmalen.

Versicherer sammelt Fitness-Daten

Virulent wird das Datenschutz-Problem natürlich erst recht, wenn die Player im Gesundheitswesen nicht nur die vorgeschriebenen Formen des Datenaustausch betreiben, sondern die Infrastruktur für eigene Angebote nutzen. Ein Vorstoß in dieser Richtung war die Idee von TK-Chef  Jens Baas, seinen Versicherten kostenlos Fitness-Tracker in Form von Armbändern zur Verfügung zustellen. Die würden z. B. Trainingszeiten registrieren, Schritte zählen und die Pulsfrequenz messen – und diese Daten in der elektronischen Patientenakte mitpeichern.

Solche Angebote können für Kunden sehr attraktiv sein – aber auch sie öffnen zwangsläufig neue Ansatzpunkte für Datendiebstahl. Anbieter, die diese Möglichkeiten nutzen, sollten sich absichern.

Die finanziellen Folgen von Identitätsdiebstahl lassen sich versichern

Auch für Artzpraxen, Kliniken, Gesundheitseinrichtungen und Dienstleister im Gesundheitsbereich wie etwa Dentallabore lautet die Empfehlung deshalb: Dieses Risiko lässt sich versichern! Wenn es zum medizinischen Identitätsdiebstahl kommt, kann eine Versicherung die finanziellen Folgen abfangen und so für das Überleben der Einrichtung entscheidend sein.

Wenn Sie mehr über die Versicherungsmöglichkeiten erfahren wollen, beraten wir Sie gern.

Reputationsschaden: Eine Firma, ein Virus, 300 Mio. E-Mails

Viren-Mail, gefälschter Absender, Chaos perfekt

„Etwas Vergleichbares haben wir noch nicht erlebt. Die immensen Reaktionen haben dazu geführt, dass wir alles, alles vom Netz nehmen mussten.“

Das sagte der Geschäftsführer einer kleinen Siegener Betriebs aus der Metallbranche dem WDR, nachdem ein Mitarbeiter scheinbar innerhalb kurzer Zeit scheinbar 300 Mio. virenverseuchte Word-Dateien per E-Mail in alle Welt verschickt hatte. Dabei war das Unternehme völlig schuldlos. Der Absender war gefälscht und sollte nur die Adressaten nur zum Öffnen des Dokument verleiten.

Mit Erfolg. Bei einer Empfänger-Firma wurde sogar das Firmennetzwerk samt der Maschinensteuerungen lahmgelegt. Das Siegener Unternehmen bekam, obwohl schuldlos, die Folgen heftig zu spüren, Geschädigte aus aller Welt machten ihrem Unmut per E-Mail, telefonisch oder auch persönlich Luft. Selbst die Betriebsferien zu Weihnachten verzögerten sich aufgrund des Wirbels.

Der Reputationsschaden ist versicherbar

Den größten Schaden in solchen Fällen stellt aber meistens der Imageverlust dar: Der Reputationsschaden kann – trotz erwiesener Unschuld – erheblich sein.

Die einzige gute Nachricht im Zusammenhang mit derartigen Meldungen: Solche Schäden sind versicherbar, eine Cyber-Police deckt neben den anderen Folgeschäden auch den Reputationsschaden ab.

Die unschöne Geschichte zeigt, dass die Gefahr durch Makroviren in Office-Dokumenten (Excel, Word, PowerPoint) keine Nostalgie, sondern wieder hochaktuell ist. Ein Grund mehr, die Mitarbeiter wieder einmal auf gesundes Misstrauen gegenüber E-Mail-Anhängen einzuschwören, selbst aus scheinbar bekannter Quelle. Und vor allem auch ein Grund, konkret über eine Cyber-Versicherung nachzudenken, die in einem solchen Fall hilft, die finanziellen Schäden aufzufangen.

Falls Sie Fragen haben: Rufen Sie uns einfach an – 030 863 926 990.

Safe Harbor und die praktischen Folgen

Bye bye, Safe Harbor im Datenschutz

Der EuGH hat bekanntlich im Oktober das Safe-Harbor-Abkommen zwischen den USA und der EU gekippt, das die Übermittlung personenbezogener Daten an Rechenzentren in den USA erlaubte, wenn diese besonders zertifiziert sind. Das war einmal – wer weiterhin auf Basis dieses Abkommens Daten übermittelt, verstößt gegen Datenschutzrecht. Bis Januar 2016 werden solche Datenschutzverstöße zwar erst einmal nicht geahndet, bis dahin wollen die Politiker schauen, ob sie die Situation gelöst bekommen. Aber verlassen sollten Unternehmen sich darauf nicht. Wer  einen Cloud-Service oder E-Mail-Dienstleister mit Sitz bzw. Rechenzentrum in den USA nutzt und an diesen Kundendaten, Adressatenverzeichnisse oder Arbeitnehmerdaten übermittelt, muss damit auf die sogenannten „EU-Standardvertragsklauseln für Auftragsdatenverarbeitung“ umstellen.  Aber auch deren Geltung steht zumindest mittelfristig in Frage. Und überhaupt: Der Großteil der Unternehmen hat dem Themen bisher wenig Beachtung geschenkt und wird daran wohl nichts ändern. Zumal praktikable Lösungen Mangelware sind.

Datenschutzmanagement ist keine Nebensache mehr

„Das Urteil mag eine große Bedeutung für viele Unternehmen haben. Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.“

Das teilte der Berliner Rechtsanwalt Thomas Schwenke den Lesern seines Blogs nach der Safe-Harbor-Entscheidung mit – und hat damit vollkommen recht. Weiter schreibt er:

„Die Datenschutzanforderungen werden Sie ohnehin kaum alle perfekt erfüllen können. Das heißt jedoch nicht, dass Sie es gleich lassen sollten. Ganz im Gegenteil, sollten Sie rechtlich so viel wie möglich richtig machen.“

Ich füge hinzu: Und außerdem brauchen Sie Versicherungsschutz! Das ist gerade jetzt wichtig, weil absolute Compliance in Bezug auf Datenschutzrecht schwierig bis unmöglich ist.

Natürlich kann eine Versicherung nicht den verantwortlichen Umgang mit dem Thema Datenschutz ersetzen. Aber Betriebshaftpflicht, D&O (Managerhaftpflicht) und Cyberversicherung sind die geeigneten Instrumente, um das Unternehmen vor finanziellen Verlusten durch Datenschutzverletzungen zu bewahren. Jedes sinnvolle Risikomanagement schließt in diesem Bereich Versicherungslösungen mit ein.

Das liegt nicht nur am Rechtsrisiko. Mitarbeitern, Kunden und Geschäftspartner erwarten, dass Datenschutz ernst genommen wird. Wer sich darauf nicht einstellt, riskiert nicht nur hohe Folgekosten (und Schadenersatzforderungen), sondern auch einen empfindlichen Reputationsverlust.

Praktische Folgen für Unternehmen

Und was bedeutet das jetzt ganz praktisch? Unternehmen sollten sich darüber klar werden, an wen sie personenbezogene Daten weitergeben, auf welcher vertraglichen Grundlage das geschieht und wer dafür haftet. (Im Zweifel ist das immer erst einmal der eigene Vorstand oder die Geschäftsführung).  Um das Thema müssen sich Betriebe auch dann kümmern, wenn sie keinen Datenschutzbeauftragten haben müssen.

  • Wenn möglich und sinnvoll, sollte man zu Geschäftspartnern wechseln, die die Daten in der EU speichern und verarbeiten.
  • Der Standort der Rechenzentren muss  bei jedem Dienstleister oder Geschäftspartner bekannt sein, an den personenbezogene Daten weitergegeben werden.
  • Wenn es noch keine Datenschutzerklärung gibt, sollte man sie erstellen.
  • Wenn Auftragsdatenverarbeitung ohne Vertrag vorliegt, sollte das unbedingt geändert werden.
  • Wenn Daten in die USA übermittelt werden, müssen die Verträge auf Safe-Harbor-Klauseln überprüft werden. Wenn man fündig wird, besteht Handlungsbedarf. Dazu sollte man sich, wenn nötig, beraten lassen.
  • Weil das Datenschutzrecht sehr im Fluss ist, müssen Unternehmen die Folgen möglicher Datenschutzverstöße versichern. Dazu gehört auch, das Management gegen persönliche Inanspruchnahme aufgrund von Versäumnissen abzusichern: Die Vermeidung von Datenschutzverstößen ist Verantwortung der Geschäftsführung.

Fragen Sie uns jederzeit

Mit dem Versichern von IT-Risiken, Rechtsrisiken und persönlichen Haftungsrisiken kennen wir genau aus.  Und wir haben für alle Ihre Fragen ein offenes Ohr: 030 863 926 990 oder info@acant.de.

 

Online-Dienst verkauft – Datenschutz-Debakel

Datenschutz-Bußgeld für Käufer und Verkäufer

Ein Online-Shop wird verkauft, zusammen mit der Kundendatei – schließlich ist der Kundenstamm einer der größten „Assets“ bei so einem Asset Deal. Und dann verhängt plötzlich der Landesdatenschutzbeauftrage ein Bußgeld in fünfstelliger Höhe – sowohl für den Käufer wie den Verkäufer. Der Stuttgarter Rechtsanwalt Clemens Pfitzer, der über diesen Fall berichtet, resümmiert: „Die bayerischen Datenschützer scheinen ernst zu machen.

Grund für das Bußgeld: Bei dem Geschäft wurden E-Mail-Adressen und andere persönliche Kundendaten ohne Einwilligung und ohne Widerspruchsmöglichkeit verkauft. Namen und Postadressen von Kunden können bei einer Betriebsübernahme relativ problemlos mit verkauft werden. Für E-Mail-Adressen,Telefonnummern, Kreditkarten- und Kontodaten sowie die Bestellhistorien der Kunden benötigt man jedoch eine – nachweisbare – Einwilligung (Opt-in). Zumindest aber müssen die Kunden von der Übertragung erfahren und ihr widersprechen können (Opt-out).

Auch dagegen kann man sich versichern!

Als Versicherungsmakler zählt für uns natürlich auch immer die Frage: Hätte man sich dagegen versichern können?

Klare Antwort: Ja! Eine so genannte W&I-Versicherung (Warranty and Indemnity Insurance) bezahlt, wenn ein Unternehmen ein Garantieversprechen im Rahmen einer Übernahme nicht einhalten kann.

Fragen zu Ihrer Absicherung?

Datenschutzvorschriften können schnell sehr teuer werden – nicht nur beim Asset Deal, auch im laufenden Geschäft oder aufgrund persönlicher Haftung. Haben Sie Fragen dazu, wie Sie sich und Ihr Unternehmen absichern können? Rufen Sie mich doch einfach an: 030 863 926 990.

Datenschutz: Windows 10 in zehn Minuten fesseln und knebeln

Windows 10 - Datenschutz - Anleitung der Verbraucherzentrale Nordrhein-Westfalen (Screenshot)
Zehn Minuten für ein datensparsames Windows 10

Anders als bei Vista oder Windows 8 (schreckliche Erinnerung …) kann man nach dem Upgrade auf Windows 10 in vielen Fällen tatsächlich direkt weiterarbeiten, ohne große Brüche.

Aber auch hier gibt es Fallen. Ab Werk lautet offenbar das Datenschutzprinzip bei Windows 10: Weitergeben – wann immer, wo immer und an wen immer.

Zum Glück lässt sich die Datenschleuder auch auf deutlich weniger Umdrehungen schalten. Wie das geht, zeigt die Verbraucherzentrale Nordrhein-Westfalen in einer schnellen Anleitung: Datenschutzeinstellungen für Windows 10.

Durchschnittskosten einer Datenschutzverletzung

Was Datenklau aktuell so kostet …

Schon seit zehn Jahren erstellt das Ponemon Institute Studien über die konkreten Kosten von Datenschutzverletzung. Die Statistiken gibt es sowohl global als auch für Einzelstaaten. Die Ausgabe „2015 Cost of Data Breach Study: Germany“ (auf Englisch, bei IBM als PDF) nennt konkrete Zahlen für Deutschland (bezogen auf Datenschutzverletzungen im Jahr 2014).

Was eine Datenschutzverletzung an Kosten verursacht

Die wichtigsten Werte:

  • Rund 3,2 Mio. € (3,52 Mio. $) beträgt der Gesamtschaden der Unternehmen durch Datenschutzverletzungen.
  • 139 € (152 $) steuert dazu jeder einzelne verlorene oder kompromittierte persönliche Datensatz (Daten zu einer Person) im Durchschnitt bei. Das ist eine Steigerung von mehr als acht Prozent gegenüber dem Vorjahr. Mehr als die Hälfte sind indirekte Folgekosten, etwa Umsatzeinbußen durch verlorene Kunden.
  • Die Kosten der gesetzlich vorgeschriebene) Information Betroffener liegen pro Fall bei durchschnittlich 219.000 € (240.000 $).
  • Besonders hohe Kosten durch Datenschutzverletzungen liefen im Finanzsektor, der Industrie und der Dienstleistungsbranche an, auch weil hier die Kunden am schnellsten vergrault werden. Einzelhandel, Logistik und öffentliche Hand hatten Schäden unter dem globalen Durchschnittswert.
  • Mehr als die Hälfte der Datenschutzverletzungen beruhten auf absichtlichen Angriffen mit kriminellem Hintergrund – diese Zwischenfälle sind auch teurer als Datenverluste durch technische oder menschliche Fehler.
  • Kommen Sicherheitsmaßnahmen wie Verschlüsselung zum Einsatz, liegen die Kosten im Durchschnitt niedriger.

Das Kostenrisiko ist real. Versichern ist gute Unternehmensführung

Fazit: Versichern macht Sinn.  Das Kostenrisiko ist real, durch eine Versicherung lässt es sich kontrolliert in die Bücher nehmen – und aus dem unversteuerten Gewinn bezahlen. Die Alternative – nichts tun – ist nicht nur riskant, sondern auch schlechte Unternehmensführung.

Eine Cyber-Versicherung bringt schon etwas, bevor eine Datenschutzverletzung eintritt, weil sie zu einer Analyse des individuellen Unternehmensrisikos führt. Tritt der Ernstfall ein, steht Ihnen eine „schnelle Eingreiftruppe“ aus IT-Spezialisten, Anwälten und PR-Leuten zur Verfügung. Und natürlich fängt die Cyber-Versicherung sowohl Ihre Haftung gegenüber Betroffenen als auch Ihre Eigenschäden auf.

Für weitere Informationen genügt ein Anruf bei Acant  (030 863 926 990) oder eine Nachricht an uns.

Warum Ihr Unternehmen eine Cyber-Police braucht

Ganz einfach: Ihr Unternehmen braucht eine Cyber-Police, damit bei einem Cyber-Angriff oder IT-Zwischenfall …

  1. Ihre Datenbestände versichert sind.
    Kunden-, Buchhaltungs- und Produktdaten sind, anders als Maschinen und Inventar, nicht in den klassischen betrieblichen Versicherungen enthalten.
  2. … Ansprüche Dritter an Sie versichert sind
    Ansprüche, die Kunden im Fall verlorener Kundendaten gegen Sie stellen, sind im Regelfall ohne Cyber-Police nicht abgedeckt. Schadenersatzforderungen aufgrund von im Internet verletzter Urheber- und Persönlichkeitsrechte auch nicht.
  3. … sämtliche Folgeschäden versichert sind
    Betriebsunterbrechung als Teil der Deckung klassischern Unternehmensversicherungen. Aber ohne Zusatz- und Folgekosten wie entgangener Umsatz, Datenrettungskosten, Aufwand für Krisen-PR, anwaltliche Beratung, Information aller Betroffener, Reputationsverlust, Rechtsstreitigkeiten etc.
  4. … Spezialisten für den Ernstfall bereitstehen, die Ihrem Unternehmen schnell helfen.
    Weil auch den Versicherungsgesellschaften daran gelegen ist, den Schaden gering zu halten, vermittelt man Ihnen im Schadensfall schnell Hilfe, z. B.  IT-Sicherheits- und Datenrettungsexperten, Anwälte und PR-Berater.

Übrigens: Der Zusatzgewinn an Unternehmens- und Planungssicherheit durch eine Cyber-Police kostet Ihr Unternehmen im Normalfall kaum ein Zehntel vom Jahresumsatz. Natürlich sind die konkreten Kosten abhängig vom Einzelfall. Aber selbst kleine Unternehmen mit weniger als einer Mio. Euro Jahresumsatz zahlen für die Cyber-Police nur sehr selten mehr als ein halbes Prozent davon.

Fragen?

Gerne – bitte an fs@acant-makler.de oder 030 863 926 990 oder per Kontaktformular

Cyber-Risk-Versicherungen: Wichtiger Risikoschutz – aber auch Kostenfalle

Die Bedrohung aus dem Internet ist für Unternehmen längst sehr real, auch für KMU. Es ist dringend geboten, diese Risiken zu versichern, entsprechend wächst der Markt an einschlägigen Versicherungsprodukten rasant. Doch beim Abschluss von Cyber-Risk-Versicherungen gilt es, genau hinzuschauen.

Was Cyber-Risk-Versicherungen leisten

„Klassische“ Firmenpolicen erfassen zwar im Regelfall u. a. Sachschäden, Haftpflichtrisiken und Vermögensschäden. Oft genug sind die „neuen“ Risiken durch Computer- und Internetkriminalität gegen Unternehmen damit aber nicht gedeckt.

Typische Beispiele: Durch einen Angriff auf das eigene Unternehmen werden auch der Datenbestand eines Geschäftspartners und damit dessen Kundendaten kompromittiert. Deshalb haben diese Kunden als Dritte einen Entschädigungsanspruch, der jedoch nicht unbedingt in einer klassischen Unternehmenspolice enthalten ist. Auch die eigenen Folgeschäden sind oft nicht abgedeckt: Die Produktion liegt zwei Wochen lahm, weil relevante Auftragsdaten bei einem Einbruch zerstört wurden? Das neue Modell kommt nicht mehr exklusiv auf den Markt, weil die Innovationen schon gestohlen und kopiert wurden? Auf solchen Kosten bleibt ein Unternehmen leicht sitzen – wenn diese Cyber-Risiken nicht versichert wurden.

Ein zusätzliches Element von Cyber-Versicherungen sind flankierende Maßnahmen zur Betreuung im Schadensfall, beispielsweise Rechtsberatung zu den Informationspflichten gegenüber Geschädigten bei Datenlecks oder eine Hotline mit IT-Expertenrat zur Schadensbegrenzung und Spurensicherung.

Der Markt an Cyber-Risk-Versicherungen wächst

Mit schöner Regelmäßigkeit berichten die Medien über spektakuläre Cybercrime-Fälle. Sony und Vodafone waren nur zwei besonders prominente Opfer von vielen. Allein in diesem Jahr gab es außerdem zwei Datenklau-Skandale, die 16 bzw. 18 Millionen Datensätze betrafen. Dazu kommt das Dauerthema NSA-Spionage oder Warnungen des Verfassungsschutzes vor Cyberangriffen aus China.

In der Folge hat sich in den Unternehmen (und auch bei den Verbrauchern und Kunden) ein Bewusstsein für die Bedrohung entwickelt. Jetzt soll dafür echtes Risikomanagement her. Für die Versicherungsunternehmen, die auf manchen Geschäftsfeldern ja ziemlich zu kämpfen haben, ist das natürlich eine gute Nachricht: Sie drängen mit neuen Produkten auf den Markt und können bei der Akquise die unbestreitbaren Gefahren als Argument nutzen.

Kaum ein Bereich an Versicherungen wächst so rasant wie Cyber-Risk-Versicherungen – gerade startete die Württembergische mit einer eigenen Cyber-Police, die auf kleine und mittelständische Unternehmen ausgelegt ist, in den nächsten Monaten werden voraussichtlich diverse weitere Assekuranzen ihre Produkte lancieren. Als ich im September letzten Jahres über branchenübergreifende Cyber-Risk-Policen für KMU berichtete, war das Angebot noch auf wenige Alternativen begrenzt.

Aber: Der unüberlegte Abschluss von Versicherungen birgt ebenfalls Risiken

Ein Unternehmen, das eine nennenswerte IT-Abteilung unterhält (so gut wie jedes also), sollte sich absichern. Das sollte  allerdings nicht unüberlegt geschehen. Nicht nur  eine fehlende, auch eine falsche Versicherung kann teuer werden.

  • Wer nicht aufpasst, erhält eine nutzlose, teure Mehrfachversicherung. Wenn die Vermögensschadenhaftpflicht bereits in der bestehenden Haftpflichtpolice enthalten ist und nun noch ein zweites Mal im hastig abgeschlossenen Cyber-Risk-Vertrag steht, dann zahlt man auch doppelt – für eine Deckung, das man nur einmal braucht. Und wenn ein IT-Unternehmen durch Fachanwälte bereits bestens betreut ist, benötigt es keine zusätzliche Rechtsberatung im Schadensfall.
  • Ein zweiter Aspekt ist die mögliche Schadenshöhe. Der Wert der Hardware in einem Rechenzentrum lässt sich recht exakt beziffern und damit im Risikomanagement auch ziemlich genau abbilden. Beim möglichen Folgeschaden eines Datendiebstahls ist das sehr viel schwieriger. Wie beziffert man den Vertrauensschaden im Markt? Welche Forderungshöhe entsteht, wenn bei den Kunden von Kunden Schäden entstehen können? Bei einem Vertrag „von der Stange“ sind Schadenshöhen pauschaliert. Dann bezahlt man leicht zu viel, oder die Deckungsumme ist zu gering. Wie hoch die Risiken sind, muss detailliert und für den Einzelfall kalkuliert werden.

Es muss genau geprüft werden, ob Ihr tatsächlich bestehendes, individuelles Unternehmensrisiko am günstigsten durch eine Deckungserweiterung der bestehenden Versicherungsverträge aufgefangen wird. Ist eine zusätzliche Cyber-Versicherung sinnvoll, müssen die vorhandenen Policen oft reduziert werden, um kein Geld zu verschwenden.

Hier komme ich ins Spiel

Als Unternehmen ab einer bestimmten Größe  – spätestens ab einem Jahresumsatz im zweistelligen Millionenbereich – benötigen Sie  eine auf Sie zugeschnittene, sorgfältig ausgewählte und individuell ausverhandelte Police. Und Sie benötigen eine auf Ihr Interesse ausgerichteten Beratung.

Dafür zu sorgen, ist genau meine Dienstleistung als Versicherungsmakler.

Sie haben eine Frage zu Cyber-Risiken oder suchen kompetente Beratung?

Sie erreichen mich über das Kontaktformular, per Telefon unter +49 030 863 926 990 oder per E-Mail an fs@acant-makler.de.

Wenn Mitarbeiter Unternehmens-Laptops privat nutzen, besteht Regelungsbedarf

Klare Trennung von Arbeit und Privatleben, von Wohnung und Büro – das war einmal. Heute wachsen beide Welten zusammen, und das hat Folgen. Vor einiger Zeit haben wir uns mit den Risiken befasst, die dann entstehen, wenn die Arbeitnehmer ihre eigenen Geräte für die Arbeit nutzen  („BYOD – Bring Deinen Rechner mit, die Firma haftet?”). Aber auch das Umgekehrte ist Alltag: Die Firma stellt Laptop, Tablet oder Smartphone, die Mitarbeiter nutzen diese auch privat. Und auch hier gibt es ein paar Aspekte, die  Geschäftsführer und Arbeitgeber kennen sollten.

Die private Nutzung ist nicht steuerpflichtig

Im Prinzip ist es wie bei Firmenwagen: Der Arbeitgeber kann, wenn er das möchte,  die private Nutzung der zu dienstlichen Zwecken überlassenen Fahrzeuge ausdrücklich gestatten. Wobei Laptops in einer Beziehung im Vorteil sind: Anders als beim Firmenwagen stellt die unentgeltliche Überlassung in diesem Fall  keinen „geldwerten Vorteil“ dar, muss also nicht versteuert werden. Das steht inzwischen ausdrücklich im Gesetz (§ 3 Nr. 45 EStG). Voraussetzung ist allerdings, dass das Gerät Eigentum des Arbeitgebers bleibt und dem Mitarbeiter nicht etwa geschenkt oder günstig überlassen wird. Dann fallen durch den Firmen-Laptop übrigens auch keine Sozialversicherungsbeiträge an.

Wenn die private Nutzung gestattet wird, kann der Arbeitgeber darüber bestimmen, in welcher Art und in welchem Umfang der Laptop privat genutzt werden darf. Falls nichts vereinbart worden ist, dann ist der Arbeitnehmer gut beraten, sich Klarheit darüber zu verschaffen – und sich an diese Regeln anschließend auch zu halten. Andernfalls steht nämlich recht schnell eine Verletzung des Arbeitsvertrages im Raum. Das kann in eine Abmahnung münden oder im schlimmsten Fall eine Kündigung nach sich ziehen. Selbst Schadenersatzansprüche des Arbeitgebers sind nicht ausgeschlossen. Wer im Urlaub in Übersee ausgiebig mit dem Firmen-Webstick surft und damit eine saftige Rechnung produziert, kann vom Chef anschließend zur Kasse gebeten werden.

Arbeitsrechtliche Aspekte

Gibt es keine klare Vereinbarung über eine private Nutzung, dann darf der Arbeitnehmer den Laptop erst recht nicht während der Arbeitszeit für private Zwecke nutzen. Wer während der Arbeitszeit seine privaten Bankgeschäfte tätigt oder den nächsten Urlaub bucht, der verletzt nämlich seine Pflicht zur Arbeitsleistung. Umgekehrt kann die Privatnutzung quasi zum Gewohnheitsrecht werden: Wenn es im Unternehmen üblich ist, einen Laptop zwischendurch auch für private Zwecke einzusetzen, kann sich hieraus eine stillschweigende Einwilligung des Arbeitgebers im Sinne einer „betrieblichen Übung“ ergeben.

Doch auch dann bleiben noch zahlreiche Fragen offen: In welchem Umfang darf der Laptop genutzt werden, wie viel darf der Arbeitnehmer surfen, sind bestimmte Formen der Nutzung (pornographische Angebote z. B. ) untersagt usw.

Klare Vereinbarungen sind wichtig

Klarheit kann hier nur eine eindeutig formulierte, verbindliche Nutzungsrichtlinie schaffen – , gleichgültig, ob man das Kind nun „Internet-Policy“, „Guidelines“ oder „Zusatzvereinbarung“ nennt und  im Arbeitsvertrag oder per Betriebsvereinbarung festhält. Vergleichbare Regelungen sollen übrigens auch für Mobiltelefone oder Tablets getroffen werden.

Darin lässt sich unter anderem festhalten, ob die private Nutzung überhaupt gestattet ist und ob sie, wenn ja, etwa auf die Pausenzeiten und den Feierabend beschränkt bleibt. Der Arbeitgeber kann den Mitarbeitern untersagen, betriebsfremde Software auf dem Laptop zu installieren, bestimmte Daten (etwa Filme) herunterzuladen oder manche Dienste (P2P-Tauschbörsen) zu nutzen.

Explizite Vorschrift sollte sein, dass Firmendaten unter keinen Umständen zu anderen Zwecken oder auf externen Medien gespeichert werden. Sie sind und bleiben Firmeneigentum.

Doch selbst wenn der Arbeitnehmer  trotz eines ausdrücklichen Verbots private Daten gespeichert hat, rechtfertigt dies noch keine Kündigung. Das hat das Bundesarbeitsgericht in einem konkreten Fall entschieden ( BAG, Urt. v. 24.03.2011, 1 AZR 282/10):  Pikanterweise hatte ausgerechnet der Chef der IT-Abteilung eines Unternehmens private Daten auf dem Firmen-Laptop und Firmendaten auf einer privaten Festplatte gespeichert, beides war laut Arbeitsvertrag untersagt .

Erlaubte Privatnutzung kann zum Anspruch führen

Ob die sofortige Rückgabe des Laptops bei Freistellung des Arbeitnehmers verlangt werden kann, hängt wesentlich davon ab, ob das Gerät ausschließlich für dienstliche Zwecke überlassen worden ist. In diesem Fall kann der Arbeitgeber den Laptop mit der Freistellung zurückverlangen.  Ist dagegen eine private Nutzung erlaubt worden, handelt es sich bei diesem Privileg um einen Einkommensbestandteil, der selbst im Falle einer Freistellung nicht entzogen werden darf, genauso wenig wie das Gehalt als solches.

Allerdings kann wie bei der Überlassung eines Dienstwagens ein Widerrufsvorbehalt für den Arbeitgeber vereinbart werden. Dieses Vorrecht darf aber nicht zu allgemein formuliert sein: Kann das Widerrufsrecht laut Vereinbarung  jederzeit und unbegründet ausgeübt werden, wird diese Regelung vor einem Arbeitsgericht mit großer Wahrscheinlichkeit nicht bestehen. Besser ist es, den Widerruf explizit an bestimmte Gründe zu knüpfen wie etwa die Freistellung, aber auch Versetzungen in andere Tätigkeitsbereiche etc.

Datenschutz

Probleme können sich aber auch aus einem ganz anderen Grund ergeben – denn auch der Datenschutz muss beachtet werden. Der private E-Mail-Verkehr des Arbeitnehmers darf zum Beispiel nicht einfach durch Datensicherungsroutinen zusammen mit den Firmen-E-Mails gespeichert werden. Dann könnte selbst das Finanzamt  unter Umständen im Rahmen einer Betriebsprüfung auf den privaten Schriftwechsel des Mitarbeiters Zugriff haben, weil die Mails zusammen mit anderen betrieblichen Mails archiviert worden sind.  Damit hat das Unternehmen ein Problem, denn es gibt datenschutzrechtlich geschützte Informationen des Mitarbeiters heraus – und haftet dafür.

Versicherungsverträge anpassen!

Als Versicherungsfachmann betrachte ich natürlich auch dieses Thema aus der Perspektive des Risikomanagements. Die private Nutzung von Firmen-Laptops zu gestatten kann aus Sicht der Mitarbeitermotivation sehr sinnvoll sein. Damit verändern sich jedoch auch die Risiken des Unternehmens, die versichert werden müssen.

Das reicht von möglichen Ansprüchen aufgrund von Datenschutzverstößen – denken Sie an das Beispiel mit der Betriebsprüferin vom Finanzamt, die plötzlich Einsicht in private Mails erhält – über verlorengegangene Firmendaten bis hin zu arbeitsrechtlichen Auseinandersetzungen. Diese Risiken sollten möglichst genau und realistisch in Ihren Versicherungsverträgen abgebildet werden – so, dass keine akuten Risiken „offen” bleiben, aber auch so, dass nicht für die Deckung von Risiken bezahlt wird, die gar nicht von Belang sind.

Entscheidend ist, wie die tatsächliche Praxis im Unternehmen aussieht. Deshalb sind klare Vereinbarungen nicht nur juristisch von Vorteil, sie senken auch Ihr Unternehmensrisiko und damit Ihre Kosten.

Wollen Sie mehr wissen über die private Nutzung von Firmen-Laptops und die daraus resultierenden Versicherungsfragen? Ich gebe Ihnen gerne Antwort .