Geschäftsführerhaftung für IT-Sicherheit - Symbolbild, Foto: Myriam Zilles auf Pixabay

Geschäftsführerhaftung: GmbH-Geschäftsführer haften für versäumte IT-Sicherheit. Versichern schützt.

Für IT-Sicherheitsversäumnisse im Unternehmen haften Sie als GmbH-Geschäftsführer schneller, als Ihnen lieb sein kann. Persönlich, mit Ihrem privaten Vermögen.

Dieser Beitrag fasst im Überblick zusammen:

  • warum das Gewährleisten von IT-Sicherheit zu den Pflichten von GmbH-Geschäftsführern gehört,
  • wie schnell ein Cyber-Angriff zu immensen Schäden führt und
  • warum die Haftung dafür in vielen Fällen an der Geschäftsführung der GmbH hängen bleibt.

Dagegen können Sie sich versichern. Das sollten Sie auch tun – mit einer Cyberversicherung für Ihr Unternehmen, und einer D&O-Police, die Ihre Managerhaftpflicht deckt.

Der Beitrag erklärt ausführlich, warum das nicht aus der Luft gegriffen ist. Sie können uns auch direkt nach Versicherungsschutz für Cyberangriffe und Geschäftsführer-Haftung fragen: 030 863 926 990

IT-Sicherheit – die Achillesferse der Unternehmen

Unternehmen bieten Cyberkriminellen eine große Angriffsoberfläche. Das gilt auch für mittelständische und kleinere Unternehmen. Opfer eines gezielten oder zufälligen Cyberangriffs zu werden, ist heute Betriebsrisiko.

Schließlich kommen überall Rechner und Smartphones zum Einsatz, werden E-Mails geschrieben, werden Buchungen per Software erledigt und Bestell- oder Kundendaten abgespeichert. Maschinen, Fahrzeuge und Gebäudetechnik sind zunehmend vernetzt. Mitarbeiter nutzen Firmengeräte häufig auch privat. Umgekehrt hängt in Home-Office-Zeiten das Firmennetzwerk nicht selten von der Sicherheit privater WLAN-Router ab.

Ein erfolgreicher digitaler Angriff kostet das Unternehmen viele Nerven, eine Menge Zeit und vor allem sehr viel Geld. Der Schaden kann schnell existenzbedrohend sein – das ist keine Übertreibung. Systemausfälle dauern in der Regel Tage und Wochen, oft sogar Monate – bis dahin ist nur eingeschränkter Geschäftsbetrieb möglich. Jeder Kunde, Mitarbeiter oder Außenstehende, von dem personenbezogene Daten entwendet wurden, muss benachrichtigt, gegebenenfalls auch entschädigt werden. Auch der Notfalleinsatz von IT-Spezialisten, Anwälten und Experten von Krisen-PR ist nicht umsonst. Weitere Kostenrisiken: Schadenersatzklagen, verlorene Kunden, ein beschädigtes Image.

Der IT-Branchenverband Bitkom fand heraus, dass drei von vier deutschen Unternehmen Opfer von Datendiebstahl, Industriespionage oder Sabotage wurden. Er geht von einer Schadenssumme von 100 Mrd. Euro jährlich aus.

Das Gewährleisten von IT-Sicherheit ist Chefsache

IT-Sicherheit ist ein Thema, mit dem sich die Unternehmensführung beschäftigen muss. Natürlich muss der Chef oder die Chefin nicht selbst eine Firewall installieren. Aber sie müssen den Aufgabenbereich in qualifizierte Hände legen und zudem überwachen, ob die IT-Abteilung, der Administrator oder ein externen Dienstleister sich tatsächlich um angemessene digitale Sicherheit kümmern.

Das liegt auch im Eigeninteresse der Geschäftsführung. In einer GmbH oder UG (haftungsbeschränkt) führen Pflichtverletzungen schnell in die persönliche Haftung. Zu diesen Pflichten gehört der Schutz vor Cyberangriffen. GmbH-Geschäftsführer und AG-Vorstände tragen die Verantwortung dafür, dass die Gesellschaft funktionierende Lösungen für diese Bedrohung etabliert. Das gilt unabhängig davon, ob sie persönlich Interesse an digitaler Technologie haben.

Geschäftsführerhaftung: Wurde das IT-Sicherheitsthema versäumt, haftet der GmbH-Geschäftsführer

Kann die Geschäftsführung nach einer Cyber-Attacke nicht beweisen, dass sie für angemessene Vorkehrungen gesorgt hat, dann droht ihr die persönliche Haftung gegenüber der Gesellschaft oder Dritten, unter anderem für …

  • Schäden des Unternehmens z. B. durch beschädigte Geräte oder Waren, verdorbene Vorräte und den Lohn für untätige Mitarbeiter
  • Umsatzeinbußen durch die Betriebsunterbrechung: Maschinen stehen still, der Online-Shop ist nicht erreichbar etc.
  • Schadenersatz für geschädigte Kunden, Lieferanten oder Geschäftspartner sowie Vertragsstrafen für Verzögerungen, Nichterfüllung etc.
  • Schadenersatz für den Verlust personenbezogener Daten: Unternehmen, die personenbezogene Daten verarbeiten (und das sind so gut wie alle, man denke nur an Kunden- und Arbeitnehmerdaten), haften für materielle und immaterielle Schäden aus nicht DSGVO-konformer Verarbeitung
  • Kosten für das Neuinstallieren oder Wiederhochfahren der Systeme, für Forensik, Krisenmaßnahmen und Krisenberater (wie Anwälte und PR-Fachleute)
  • Schäden durch Imageverlust oder abgewanderte Kunden, auch solche Schäden sind grundsätzlich schadenersatzpflichtig, selbst wenn sie schwerer zu beziffern sind

Fragen zur Haftung für Schäden durch Cyberangriffe

Eine schwere IT-Sicherheitsverletzung beschert der GmbH außerplanmäßige Kosten. Das senkt den Gewinn und den Wert der Anteile. Wie wahrscheinlich ist es, dass die GmbH-Gesellschafter das auf sich beruhen lassen?

Der Geschäftsführer ist von vornherein in einer ungünstigen Situation, denn er muss die Verschuldensvermutung widerlegen, die das BGB ihm aufbürdet. Ohne ordnungsgemäß dokumentierte IT-Maßnahmen wird ihm dieser Nachweis schwer gelingen.

Haftung per AGB ausschließen?

Lässt sich die Haftung der Gesellschaft gegenüber Kunden und Geschäftspartnern nicht durch Allgemeine Geschäftsbedingungen ausschließen, so dass der Rückgriff auf den Geschäftsführer gar nicht erst notwendig wird?

Leider nein: Verhindert ein Cyberangriff, dass die Lieferung nicht vollständig oder fristgerecht erfolgt oder vertrauliche Informationen verloren werden, hilft kein Verweis auf AGB-Klauseln zum Haftungsausschluss vereinbart. Kann das funktionieren? Die vertragsgemäße Lieferung stellt ebenso wie die Vertraulichkeit eine wesentliche Vertragspflicht dar und kann nicht vertraglich abbedungen werden.

Arbeitnehmer in Haftung nehmen?

Vielleicht hat ein Arbeitnehmer den verhängnisvollen Dateianhang unvorsichtigerweise geöffnet. Den Mitarbeiter für sein Fehlverhalten persönlich haftbar zu machen, ist jedcoh ebenso wenig erfolgversprechend, Die Haftung von Arbeitnehmern ist auf fahrlässiges Handeln beschränkt. Und selbst dann wird bei mittlerer Fahrlässigkeit der Schaden in der Regel quotiert – ein Teil wird also dem Arbeitgeber zugewiesen.

Bei grober Fahrlässigkeit mag der Arbeitnehmer voll haftbar sein, doch selbst dann setzt die Rechtsprechung des Bundesarbeitsgerichts enge Grenzen. Ansprüche aus Haftung über ein Jahresgehalt des Mitarbeiters hinaus sind kaum möglich. Gemessen an den Kosten eines Cyberangriffs ist das ein Tropfen auf den heißen Stein.

Externen IT-Dienstleister haftbar machen?

Selbst wenn die IT-Dienstleistungen von externen Unternehmen eingekauft wurden, ist es schwierig, nach einem Cyberangriff einen Schadenersatzanspruch gegenüber dem Dienstleister durchzusetzen. Der Dienstleister haftet für die IT-Leistung, die er als Hauptleistung erbringt. Sie muss jedoch nicht zwangsläufig dem Stand der Technik entsprechen. Selbst wenn die installierte Technik versagt, ein Virus von der Antivirensoftware nicht erkannt wurde oder Hacker eine Server-Sicherheitslücke fanden: Gehörte es zur Hauptleistung, solche Angriffsflächen auszuschließen? Das scheitert vermutlich schon am Budget, den ein derart umfassender Auftrag erfordert hätte.

Die Geschäftsführerhaftung ist die einfachste Weg zum Schadenersatz

Schadenersatzansprüche aus einem Cyberangriff bleiben daher meist am GmbH-Geschäftsführer hängen, sowohl die Haftung gegenüber dem Unternehmen als auch gegenüber Dritten.

Maßstab für die Geschäftsführerpflichten bzw. die Geschäftsführerhaftung ist auch in puncto IT die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ (§ 43 Abs. 2 GmbHG).

Eine Pflicht ergibt sich zudem aus dem Aktiengesetz (§ 91 Abs. 2 AktG). Es verlangt vom Vorstand, „geeignete Maßnahmen“ zur Risikoerkennung und -vermeidung. Die Rechtsprechung geht von einer „Ausstrahlungswirkung“ aus und überträgt diese Leitungspflicht auf GmbH-Geschäftsführer: diese müssen ebenfalls für Organisationsstandards sorgen, die eine Bestandsgefährdung des Unternehmens vermeiden. Cyberangriffe bedeuten eine Bestandsgefährdung.

Ein Organisationsverschulden und damit eine Pflichtverletzung durch mangelnde IT-Sicherheitsvorsorge kann sich aus weiteren Vorschriften ergeben:

  • § 109 TKG schreibt für Telekommunikationsanbieter technische Schutzmaßnahmen vor
  • § 13 Abs. 7 TMG verpflichtet Anbieter von Telemedien zu Maßnahmen gegen unerlaubten Zugriff, zum Schutz personenbezogener Daten und zum Verhindern von Störungen durch äußere Angriffe.
  • § 8a BSIG enthält Vorgaben zur Sicherheit in der Informationstechnik für Betreiber Kritischer Infrastrukturen.
  • § 25a Abs. 1 Nr. 5 KWG macht Finanzdienstleistern und Kreditinstituten Auflagen zur Geschäftsorganisation und schreibt ein Risikomanagement-System vor.
  • Art. 24 DSGVO verlangt eine IT nach dem Stand der Technik. Daraus folgt zugleich die Verpflichtung, dies durch eine sorgfältige und vollständige Dokumentation nachzuweisen.

IT-Risiken als Haftungsfalle: Handlungsempfehlungen für GmbH-Geschäftsführer

  • Zunächst muss das Cyber-Risiko des Unternehmens analysiert werden. Es geht um ganz konkrete Szenarien: Mit welcher Wahrscheinlichkeit sind welche Art von Sicherheitsverletzungen möglich, welche Konsequenzen und Kosten ergeben sich?

    Für diese Aufgabe benötigen Sie Ihre IT-Verantwortlichen. Ideal ist ein Experte speziell für IT-Sicherheit mit Zertifizierung nach ISO 27001. Weil Risikomanagement weit über Technologie hinausgeht, sollen Sie auch uns einbeziehen. Wir von acant sind als Versicherungsmakler auf Cyberrisiken spezialisiert und kennen die Schadensszenarien aus der Praxis. Schließlich haben wir regelmäßig damit zu tun.

  • Ein zweiter, wichtiger Schritt zur Abwehr der persönlichen Haftung: Sie müssen eine umfassende, aussagekräftige Dokumentation sicherstellen: dazu gehört der Ist-Zustand, die relevanten Bedrohungsszenarien und die Vorsorge- und Schutzmaßnahmen, die ergriffen werden. Zu diesen Maßnahmen gehört auf jeden Fall ein professionelles Datensicherungskonzept und ein praxistauglicher Notfallplan.

  • Dritter Schritt sind betriebliche Versicherungen. Einschlägig sind Cyberversicherungen, Vertrauensschadenversicherungen, Elektronik- oder Maschinenversicherungen sowie Deckungen für Rechtsschutz und Betriebshaftpflicht. Welche dieser Versicherungen zu konkreten Risiken des Unternehmens und des Geschäftsführung passen und betriebswirtschaftlich sinnvoll sind, hängt vom Einzelfall ab.

    Das Versichern des Unternehmens ist solides Risikomanagement. Schließlich weisen Sie Sie damit die Sorgfalt der Geschäftsführung bei der Abwehr von IT-Bedrohungen nach. Nicht wenige Juristen halten den Abschluss einer Cyber-Versicherung durch die Geschäftsführung für verpflichtend.
  • Das persönliche Element der Vorsorge ist eine D&O-Versicherung: diese deckt als Absicherung für den GmbH-Geschäftsführer dessen Geschäftsführerhaftung.

Bei diesen Schritten können wir von acant Sie und Ihr Unternehmen unterstützen. Genau dafür sind wir als Spezialmakler für Cyberrisiken und Geschäftsführerhaftung da. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

D&O-Versicherung prüfen - Symbolfoto: analogicus via Pixabay

Corona-Krise und Insolvenz-Sonderregeln: Geschäftsführer-Haftpflicht jetzt versichern oder verlängern

D&O-Versicherung für Geschäftsführer: Schutz vor Schadenersatz aufgrund persönliche Haftung für Pflichtversäumnisse

D&O-Versicherungen schützen Organe von Kapitalgesellschaften vor persönlicher Haftung: Geschäftsführer, Vorstände, Aufsichtsratsmitglieder und andere Mitglieder der Unternehmensführung sowie Prokuristen leitende Angestellte. Abgeschlossen werden sie allerdings in der Regel von der Gesellschaft. Der Versicherungsfall tritt ein, wenn Schadenersatzansprüche gegen den Geschäftsführer geltend gemacht werden – z. B. von der Gesellschaft selbst, weil der Geschäftsführer ihr gegenüber für Pflichtverletzungen haftet.

Besonders für AG-Vorstände und GmbH-Geschäftsführer ist das Haftungsrisiko sehr groß: sie sollten in jedem Fall gegen Schadenersatzansprüche aufgrund von Pflichtverletzungen versichert sein. Die D&O-Police kann der letzte Anker sein, der den privaten Ruin verhindert. Das ist keine Übertreibung.

Die Gefahr, mit dem gesamten Privatvermögen zu haften, ist vielen Geschäftsführen nicht wirklich bewusst. Doch nicht nur grob fahrlässige oder vorsätzliche Führungsversäumnisse führen in die Haftung. Grundsätzlich genügt ein einfacher Fehler.

Insolvenzverschleppung beispielsweise ist strafbar und begründet  Schadenersatzansprüche gegen den Geschäftsführer, Das gilt auch dann, wenn dem Geschäftsführer die rechnerische Überschuldung des Unternehmens gar nicht bekannt war.
Die derzeitige Aussetzung der Insolvenzantragspflicht ändert wenig am Risiko, durch eine Insolvenz in Haftung zu geraten, im Gegenteil. Doch dazu gleich mehr. Vorher lohnt sich ein Blick auf die Lage auf dem Markt für D&O-Versicherungen.

Corona-Krise und Marktprobleme: D&O-Versicherungen werden teuer und schwieriger zu bekommen

Ein Versicherungsprodukt, das Schadenersatzforderungen gegen Geschäftsführer deckt, lohnt sich für die Versicherer vor allem dann, wenn es der Wirtschaft gut geh. Dann fallen weniger Haftungsfälle an als in der Krise.

Da ist es kein Wunder, dass es auf dem Markt für diese Management-Haftpflichtversicherungen zurzeit keine Schnäppchen mehr gibt. Im Gegenteil, die Gesellschaften fahren das Geschäft eher zurück. Das war lange anders, die Versicherer waren bei Prämien und Konditionen vergleichsweise großzügig. Nun wird gegengesteuert. Manche Versicherungen bieten gar keine D&O-Versicherungen mehr an. Zumindest steigen die Prämien, besonders bei größeren Unternehmen.

Trotzdem: Jetzt erst recht

Dennoch sollten Geschäftsführer und Vorstände gerade jetzt aktiv werden und dafür sorgen, dass ihre Gesellschaft ihnen Versicherungsschutz besorgt oder bestehende Policen verlängert. Schließlich ist aktuell das Risiko besonders groß, in einer Haftungssituation zu enden. Die wirtschaftlichen Aussichten bleiben mittelfristig unsicher. Daran ändern kurze konjunkturelle Zwischenhochs wenig.

  • Für Geschäftsführer, die bisher keine D&O-Deckung haben, lautet der Rat: Jetzt abschließen. Das Produkt wird teurer, das Angebot wird immer kleiner, Warten verschlechtert die Position als Versicherungsnehmer.

  • Für bereits versicherte Geschäftsführer und Vorstände gilt: Ja, die Prämie wird teurer, wenn die Verlängerung ansteht. Noch wichtiger ist allerdings der Versicherungsschutz selbst. Denn viele Versicherer nehmen Änderungen vor, Deckungsausschlüsse kommen dazu. Eine genaue Prüfung der Versicherungsbedingungen ist wichtig. Wo die Konditionen stimmen, sollte eine vorzeitige Verlängerung der Police angestrebt werden.

  • Wichtig ist auch das Vertragsverhältnis zwischen dem Geschäftsführer und der Gesellschaft. Ist die GmbH verpflichtet, für den Geschäftsführer eine D&O-Versicherung abzuschließen? Ist ein bestimmter Deckungsumfang vereinbart? Und ist auch die Haftung nach einem Ausscheiden als Organ festgelegt? Das ist wichtig, aufgrund des „Claims-made“-Prinzips – dazu gleich mehr.
In jedem Fall können wir von acant helfen. Einer der Schwerpunkte von uns ist das Vermitteln von Versicherungsschutz für die persönliche Haftung des Managements: Geschäftsführung, Vorstand und Aufsichtsorgane. Wir kennen den Markt sehr genau und wissen, wie die besten Optionen am Markt aussehen.

Die Sache mit der „Claims-made“-Deckung

Ein wichtiger Aspekt von D&O-Versicherungen: Die Regulierung basiert auf dem „Claims-made“-Prinzip. Das bedeutet: Entscheidend ist nicht der Versicherungsschutz zu dem Zeitpunkt, als die Pflichtverletzung begangen wurde, sondern zum Zeitpunkt der Geltendmachung.

Beispiel: Im August 2020 durchläuft die GmbH eine Krise, es wird jedoch keine Insolvenz angemeldet. Im März 2021 kommt es doch zum Insolvenzantrag. Im Mai 2021 fordert der Insolvenzverwalter vom früheren Geschäftsführer Schadenersatz für Zahlungen der GmbH von August bis März. Begründung: Der Insolvenzantrag hätte schon im August, spätestens September 2020 gestellt werden müssen.

Sollte er damit Recht bekommen, dann gelten für die Regulierung der Forderung die Versicherungskonditionen vom Mai 2021. Welche D&O-Versicherungsvertrag im August 2020 galt, ist nicht ausschlaggebend.

Und genau deshalb ist es wichtig, die Entwicklung der Versicherungsbedingungen der eigenen Managerhaftpflicht genau im Auge zu behalten. Außerdem ist es wichtig, die einschlägige Rechtsprechung zu kennen, etwa zur Möglichkeit des Insolvenzverwalters, bestehende D&O-Policen zu kündigen.   Wir können Ihnen sagen, wie weit Ihr Versicherungsschutz konkret reicht.

Verlängerte Aussetzung der Insolvenzantragspflicht: eher Zusatzrisiko als Freibrief für Geschäftsführer

Die Regierung hat auf die Corona-Krise schon im März mit der befristeten Aussetzung der Insolvenzantragspflicht für GmbH-Geschäftsführer reagiert. Das galt zunächst bis Ende September. Jetzt wurde beschlossen, diese Regelung bis Jahresende zu verlängern.

Allerdings ist das nicht der Freibrief in Sachen Insolvenzrisiko, als der er oft verkauft wird. Trotz Insolvenzreife auf den Insolvenzantrag verzichten, das geht auch derzeit nur unter zwei Bedingungen:

  1. Das Unternehmen ist aufgrund der Pandemie insolvenzreif geworden. Das wird widerlegbar vermutet, wenn es nicht schon zum 31.12. 2019 insolvenzreif war.
  2. Eine Sanierung des Unternehmens hat reale Aussicht auf Erfolg.

Besonders der zweite Punkt kann später zur Haftungsfalle werden. Denn der GmbH-Geschäftsführer muss möglicherweise später nachweisen, dass er im Jahr 2020 nicht leichtfertig vom Insolvenzantrag Abstand genommen hat. Dafür muss zum Beispiel einen soliden, ausgearbeiteten, umsetzbaren Sanierungsplan existieren. Kann der Geschäftsführer die Sanierungsperspektive trotz Insolvenzreife nicht mit konkreten Zahlen und Informationen belegen, droht ihm nachträglich doch noch eine Anklage wegen Insolvenzverschleppung.

Und das bedeutet: die Gefahr der persönlichen Haftung mit dem Privatvermögen wird sehr konkret. Und damit die Frage, ob Versicherungsschutz besteht.

Wie bekommen Sie ihr persönliches Risiko in den Griff? Gemeinsam finden wir die optimale Lösung

Als Spezialmakler für Geschäftsführerhaftung vermitteln und optimieren wir seit vielen Jahren Versicherungen für die Manager-Haftpflicht. Wir finden auch für Ihre konkrete Situation die optimale Versicherungslösung. Sprechen Sie uns an.

Umsatzsteuersenkung: Bei Steuerrechtsproblemen hilft die Rechtsschutzversicherung, Symbolfoto Gerd Altmann via Pixabay

Umsatzsteuersenkung? Eine gute Rechtsschutz-Versicherung umfasst Steuerrechtsschutz

Deckt Ihre Rechtsschutzversicherung auch Umsatzsteuer-Ärger?

Die Senkung der Umsatzsteuer-Sätze hat für viele Unsicherheiten und Probleme gesorgt – und zeigt außerdem, wie sinnvoll eine gut betreute betriebliche Rechtsschutzversicherung ist: dann umfasst die Police auch Steuerrechtsschutz und Steuerstrafrechtsschutz.

Dass die „Mehrwertsteuer“ von Juli bis zum Jahresende vorübergehend abgesenkt wurde, sorgt in vielen Fällen für Komplikationen: etwa bei langfristigen Servicevereinbarungen, Abonnements sowie Lizenz– und Rahmenverträgen, bei Vorauszahlungen, Abschlagsrechnungen, späteren Zusatzleistungen und ähnlichem mehr.

Das genaue Abgrenzen von Einzelleistungen oder Lieferungen und mögliche Rechnungsstornos schaffen – trotz der offiziellen Ausführungen – jede Menge möglicher Fehler-Quellen. Dummerweise können Umsatzsteuer-Irrtümer drastische Folgen haben. Es drohen Änderungsbescheide, gegen die man vorgehen muss, vielleicht sogar ein Bußgeld und im schlimmsten Fall ein Steuerstrafverfahren.

In Ihrer betrieblichen Rechtsschutzversicherung sollten Steuerrecht und Steuerstrafrecht „drin“ sein

Die gute Nachricht: In einer zeitgemäßen Rechtsschutzversicherung sind die Kosten von Rechtsstreitigkeiten rund um die Umsatzsteuer vermutlich versichert. Je nach Police besteht sogar Strafrechtsschutz.

  • Ihr Unternehmen muss gegen einen Änderungsbescheid mit Umsatzsteuer-Nachforderungen klagen? Anwalts- und Prozesskosten sind in der Regel gedeckt.
  • Müssen Sie sich gegen Bußgeldforderungen wegen Umsatzsteuerverkürzung zur Wehr setzen? Auch das ist im Rahmen des Ordungswidrigkeiten-Rechtsschutzes mitversichert.
  • Dem Geschäftsführer oder Vorstand wird Hinterziehung von Umsatzsteuer vorgeworfen? Das ist ihm Rahmen von Strafrechtsschutz bzw. Steuerstrafrechtsschutz versicherbar.
  • Ein Kunde fordert Entschädigung, weil ihm fehlerhaft Umsatzsteuer berechnet wurde und kein Vorsteuerabzug möglich ist? Die Abwehr solcher zivilrechtlichen Ansprüche sollte in der Rechtsschutzversicherung gedeckt sein.

Wichtig: Ob Ihre Rechtsschutzpolice all das tatsächlich abdeckt, können wir gern für Sie ermitteln. Wir prüfen Ihren Versicherungsvertrag kostenlos und unverbindlich.

Übrigens: Eine Rechtsschutzversicherung kann die Finanzierungskosten senken

Wenn das Unternehmen auch für mögliche Rechtsstreitigkeiten vorgesorgt hat, dann kann das Kreditkosten senken. Angesichts verbreiteter Liquiditätsschwierigkeiten werden solche Aspekte besonders wichtig. Mehr dazu steht im Beitrag: „Wenn die Hausbank nach Rechtsschutzversicherungen fragt„.

Ist in Ihrer Rechtsschutzversicherung Steuerrecht und Steuerstrafrecht mit drin?

Als Fachmakler für Unternehmen können wir von acant Ihnen alle Fragen zum Unternehmensrechtsschutz beantworten. Außerdem prüfen wir Ihre Rechtsschutzversicherung und alle anderen Policen kostenlos und unverbindlich. Sie erreichen uns unter 030 863 926 990.

DSGVO-Bußgelder Symbolbild, Foto: Achim Thiemermann via Pixabay

DSGVO-Bußgelder berechnen – und versichern

Konzept für die Bußgeldhöhe bei Datenschutzverstöße durch Unternehmen

Vor kurzem haben die zur „deutschen Datenschutzkonferenz“ zusammengefassten Datenschutzbeauftragten ein Konzept vorgestellt, nach dem sie Bußgelder bei DSGVO-Verstößen berechnen wollen.

Die Kalkulation ist durchaus kompliziert und einzelfallabhängig. Eines lässt sich aber direkt sagen: Es kann sehr schnell sehr teuer werden.

Drei Schritte zum DSGVO-Bußgeld

Grundsätzlich wird ein DSGVO-Bußgeld dem Konzept zufolge in drei Stufen ermittelt:

  1. Ausgangspunkt ist ein „Grundwert“, der vom Jahresumsatz abhängt. Der niedrigste Grundwert (bis 750.000 Euro Jahresumsatz) ist 972 Euro. Liegt der Jahresumsatz bei zwei Mio. Euro, gilt ein Grundwert von 4.722 Euro. Bei 12. Mio. Euro Jahresumsatz sind es schon 38.194 Euro.
  2. Dann kommt ein sogenannter „Faktor“ ins Spiel, mit dem der Grundwert multipliziert wird. Er soll der Schwere des Datenschutzverstoßes entsprechen: wie lange hat der Verstoß gedauert, gab es frühere Vorfälle, wie schwer sind die Folgen für die Betroffenen, … ? Solche Aspekte entscheiden darüber, ob der Grundwert mit einem Faktor von bis zu 12 oder mehr multipliziert wird.
  3. Schließlich gibt es noch eine Korrekturmöglichkeit, um das Bußgeld je nach Einzelfall noch abzumildern, wenn besondere Umstände vorliegen – etwa dann, wenn andernfalls die Insolvenz droht.

Hausnummer: 5.000 Euro Bußgeld für ein Kleinunternehmen bei fehlender Einwilligung

Was dieses Konzept für die Praxis bedeutet, hat Rechtsanwalt Thomas Helbing aus Berlin zusammengefasst. Zitat: „Bei einem mittleren Verstoß gegen materielle Datenschutzvorschriften (z.B. Verarbeitung ohne Rechtsgrundlage) wird der Betrag mit dem Faktor 6 multipliziert. Da kommen bei einem KMU mit einstelligem Millionenumsatz schnell € 50.000,- zusammen und bei einem Freiberufler mit minimalem Umsatz immerhin € 5.000.

Mit anderen Worten: Wenn ein kleines Unternehmen von nicht mehr als einer halben Mio. Euro Jahresumsatz die Daten eines Kunden speichert, ohne dass dessen Genehmigung nachgewiesen werden kann, droht ihm nach Anwalt Helbings Einschätzung bereits ein Bußgeld von rund 5.000 Euro.

Versichern hilft – auch gegen die Kosten von Datenschutzverstößen

Angesichts solcher Summen sollte man juristische Gegenmaßnahmen ausloten, wenn es zum Bußgeldverfahren kommt. Zum Glück lässt sich auch vorher schon etwas tun: Sie können Ihr Unternehmen klug versichern, auch gegen das DSGVO-Risiko:

  • Es gibt Cyber-Versicherungen, die eine Deckung für Bußgelder wegen Datenschutzverstößen umfassen. Ein typisches Beispiel: Sublimit für DSGVO-Bußgelder von 500.000 Euro pro Schadensfall.
  • Präventiven Schutz bietet zudem der Abschluss einer D&O-Versicherung für die Geschäftsführung oder den Vorstand. Ist ein Datenschutzverstoß durch den Manager oder Geschäftsführer verschuldet worden, kann sich das Unternehmen an dessen Haftpflichtversicherung halten (und gleichzeitig ist er selbst vor dem Ruin geschützt).
  • Zudem können Betriebshaftpflicht- und betriebliche Rechtsschutzversicherungen Teile der Kosten abdecken.

Kostenlose Beratung und Prüfung Ihrer Versicherungspolicen

Was Ihre bestehenden betrieblichen Versicherungen im Fall von Datenschutzverstößen bereits abdecken, und wo es Lücken gibt, die Sie schließen sollten, das erfahren Sie von uns: Wir von acant prüfen Ihre Versicherungsverträge und beraten Sie ausführlich. Natürlich ohne, dass Kosten für Sie anfallen.

Interesse? Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Solche Bußgelder werden bereits laufend verhängt

Übrigens werden die Bußgelder, die bei Datenschutzverstößen verhängt werden, von vielen Geschäftsleuten unterschätzt. Auf der Seite Enforcementtracker.com können Sie sich anschauen, was in verschiedenen Ländern Europas laufend gefordert wird. Das sind mal ein paar Tausend Euros für die unerlaubte Videoaufzeichnung im Döner-Laden, aber auch eine sechsstellige Summe für nicht gelöschte Datensätze vergangener Kunden beim Essenslieferanten Delivery Hero.

Geschäftsführerhaftung - Symbolbild Foto: Lena Lindell via Pixabay

GmbH-Geschäftsführerhaftung? Da gibt es doch was vom … Versicherungsmakler

Die Haftung der Gesellschaft ist beschränkt. Nicht die des GmbH-Geschäftsführers.

Sind Sie Geschäftsführer einer GmbH oder auch einer UG (haftungsbeschränkt)? Oder planen Sie die Gründung einer GmbH oder UG, bei der Sie auch selbst die Geschäftsführung übernehmen wollen?

Dann sollten Sie über die GmbH-Geschäftsführerhaftung Bescheid wissen, zumindest in Grundzügen. Und Sie sollten wissen, dass Sie das Risiko persönlicher Haftung durch eine D&O-Versicherung ein gutes Stück weit entschärfen können. (Im Regelfall zahlt die Gesellschaft die Versicherungsprämie.)

Fiktives, aber realistisches Beispiel: Trojaner ruiniert GmbH-Geschäftsführer

Wenn keine Manager-Haftpflichtversicherung vorhanden ist, kann die GmbH-Geschäftsführerhaftung das komplette private Vermögen aufzehren, bis zur Pfändungsgrenze. Und dazu kommt es schneller als gedacht.

Nehmen wir ein (fiktives, aber realistisches) Beispiel: Einer Ihrer Mitarbeiter infiziert mit einem einzigen unvorsichtigen Klick Ihr Firmennetzwerk mit Ransomware. Der Verschlüsselungstrojaner macht im Hintergrund sämtliche Dateien unlesbar. Dann erscheint eine Erpresserbotschaft: 10 Bitcoin für den Code, der die Daten wieder entschlüsselt.

Im Unternehmen geht aufgrund der Verschlüsselung nichts mehr. Sie suchen erst einmal jemand, der weiß, wie man Bitcoin erwirbt und an die Erpresser transferiert. Leider ist die fünfstellige Euro-Summe für den Eintausch der Kryptowährung umsonst, sie erhalten keinen Dateischlüssel. Damit liegen Buchhaltung, Vertrieb und alle anderen Abteilungen lahm, weil kein Zugriff auf Kundendaten, Bestellungen, Abrechnungsprogramme und dergleichen mehr besteht. Betriebsunterbrechung und Lieferverzögerungen sorgen für Auftragsstornierungen und Umsatzverluste. Kunden springen ab, der Ruf des Unternehmens ist schwer beschädigt.

Und dafür macht man Sie verantwortlich, als Geschäftsführer der GmbH. Sie haben sich auf Ihren IT-Administrator verlassen, dessen System zur Datensicherung war jedoch der Aufgabe nicht gewachsen. Die Gesellschafter fordern von Ihnen Schadenersatz für sämtliche Schäden, die der Trojaner angerichtet hat: eine siebenstellige Summe.

Bei jeder Sorgfaltspflichtverletzung droht Haftung

Auch wenn dieser Irrglaube kaum auszurotten ist: Die Haftung mit Ihrem gesamten persönlichen Vermögen droht Ihnen als GmbH-Geschäftsführer keineswegs nur bei Insolvenz der Gesellschaft oder klarem Fehlverhalten in der Geschäftsführung.

Auch durch sogenannte Sorgfaltspflichtverletzungen können Sie sich schadenersatzpflichtig machen, weil Sie Ihre Aufgaben nicht mit der „Sorgfalt eines ordentlichen Kaufmanns“ versehen haben. (Diese Formulierung stammt direkt aus § 43 GmbH-Gesetz.)

Ob im konkreten Fall eine Verletzung der Sorgfaltspflicht vorliegt, ist eine Ermessensfrage. Eine völlig risikofreie Geschäftsführung ist schließlich nicht möglich. Als Sorgfaltspflichtverletzung kann es beispielsweise gelten, wenn …

  • Sie ein offensichtliches Risiko nicht versichert haben, obwohl das möglich gewesen wäre (z. B. Überschwemmungsschäden auf einem Grundstück in Ufernähe, aber auch die Folgen eines Ransomware-Angriffs)
  • nach einem Arbeitsunfall mit hohem Personenschaden der Vorwurf mangelhafter Sicherheitsvorkehrungen erhoben wird
  • ein Rechtsmittel nicht eingelegt wurde, etwa eine Klage, die dem Unternehmen unter Umständen Geld eingebracht hätte.

Im Zweifel entscheidet am Ende ein Richter darüber, ob Sie die konkrete Entscheidung zum Wohle der GmbH und frei von Interessenkonflikten getroffen haben, sich dabei ausreichend informiert hatten und kein unangemessenes Risiko eingegangen sind – also die nötige Sorgfalt an den Tag gelegt haben. Von seinem Urteil kann Ihr persönliches, finanzielles Schicksal abhängen.

In der Praxis besonders gefährlich: Überschuldung, Zahlungsunfähigkeit, Insolvenz

Zu Schadenersatzansprüchen gegen GmbH-Geschäftsführer kommt es besonders häufig in Folge von Überschuldung, Zahlungsunfähigkeit und Insolvenz der Gesellschaft. Nur zwei der damit verbundenen Hauptrisiken für den Geschäftsführer:

  • Er haftet mit seinem Privatvermögen für jede Zahlung, die trotz Insolvenzreife angewiesen wurde und nicht mit der „Sorgfalt eines ordentlichen Geschäftsmanns“ vereinbar ist. (Leitender Gesichtspunkt dafür ist das Interesse der Gläubiger, nicht die Perspektive der Geschäftsführung.)
  • Der Geschäftsführer haftet außerdem, wenn die Gesellschaft zu einem bestimmten Termin rechnerisch überschuldet oder zahlungsunfähig ist und er nicht unverzüglich, spätestens jedoch innerhalb von drei Wochen, Insolvenzantrag stellt. Mit jedem Tag, den die GmbH sich ab dann weiterschleppt, Ausgaben hat und neue Verträge abschließt, wächst die Liste der potenziellen Schadenersatzforderungen. Deshalb folgt aus der Insolvenz der Gesellschaft schnell der private Ruin des Geschäftsführers.

Das ist längst noch nicht alles in Sachen GmbH-Geschäftsführerhaftung

Wohlgemerkt: Das sind längst nicht alle Haftungsrisiken, mit denen ein GmbH-Geschäftsführer konfrontiert ist. Die Liste könnte noch lange fortgesetzt werden, etwa um die Haftung für Fehler von Mitgeschäftsführern, die Haftung für die Forderungsausfälle von Lieferanten, die besonderen Haftungsrisiken für nicht abgeführte Steuern und Sozialversicherungsbeiträge, die Haftung für mangelhafte Compliance etc. etc.

Anders gesagt: Die Haftungsmaterie ist ein komplexes Thema im GmbH-Recht, zu dem es viele Regalmeter an Literatur gibt. Die praktischen Auswirkungen der Rechtslage sind jedoch alles andere als abstrakt.

Und dazu kommt noch ein Punkt: Viele dieser Haftungstatbestände stehen mit Straftatbeständen in Verbindung. Das bedeutet: Erst drohen ein Strafverfahren mit Strafprozess und Verurteilung – und in der Folge noch eine existenzvernichtende Schadenersatzforderung.

„So etwas passiert mit unserer GmbH ja nicht.“

Trotzdem erlebe ich es häufig, dass GmbH-Geschäftsführern das Bewusstsein für ihr persönliches Risiko fehlt. Natürlich kann man darauf setzen, dass schon nichts passieren wird. Aber das ist dann eben Vogel-Strauß-Politik. Denn zu einer Insolvenz oder zum Vorwurf einer Sorgfaltspflichtverletzung kommt es keineswegs nur bei unfähigen Geschäftsführern – das ist schlicht ein allgemeines Berufsrisiko.

Die GmbH-Geschäftsführerhaftung lässt sich versichern. Fragen Sie uns einfach!

Zum Glück kann man vorbauen: durch eine D&O-Versicherung, die Schadenersatzforderungen aus der GmbH-Geschäftsführerhaftung abdeckt. Weil die Haftungsfragen rechtlich so komplex sind, kommt es bei einer Geschäftsführer-Haftpflichtpolice sehr auf die Versicherungsbedingungen an.

acant ist auf D&O-Versicherungen spezialisiert. Haben Sie Fragen? Wir beraten Sie gern, und selbstverständlich kostenlos.

D&O-Versicherung - Symbolblid von A. Krebs auf Pixabay

Als GmbH-Geschäftsführer sollten Sie Ihre D&O-Versicherung prüfen lassen – möglichst bald

Von wegen „mit beschränkter Haftung“ – Geschäftsführer haften mit ihrem gesamten Privatvermögen

Geschäftsführer einer GmbH oder einer anderen Kapitalgesellschaft haben eine riskante Position. Vielen Geschäftsleuten, die eine GmbH leiten, ist dies nicht klar. Dabei sind die Risiken ganz real: im Zweifel haften sie für Fehler mit dem gesamten privaten Vermögen. Besonders riskant sind finanzielle Schieflagen der GmbH.

So gesehen ist nicht viel dran an der „beschränkten Haftung“.

Das sollte man wissen, wenn man eine GmbH leitet

  • Geschäftsführer haften nicht nur bei Vorsatz oder bei grob fahrlässigen Fehlentscheidungen. Ihnen droht schon bei geringer Fahrlässigkeit die volle Haftung für die gesamten Schäden, der den Gesellschafter oder den Gläubigern der Gesellschaft entsteht.
  • Die Rechtsprechung zieht in Sachen Geschäftsführer-Haftung die Zügel immer weiter an. Gerade in den letzten Jahren haben einige Urteile das Haftungsrisiko weiter vergrößert.
  • Die Haftung kann in den persönlichen Ruin führen: Die Gesellschaft oder der Insolvenzverwalter können grundsätzlich Schadenersatzansprüche bis zur Pfändungsgrenze durchsetzen. Haus und Auto sind dann in der Regel weg. Und auch die Altersvorsorge ist akut gefährdet.
  • Die größten Haftungsrisiken drohen nicht von Lieferanten der Gesellschaft o. ä. Meistens sind es Gesellschafter, die auf Schadenersatz bestehen, und vor allem Insolvenzverwalter, die Ersatz für Zahlungen fordern, die „kurz vor Schluss“ vorgenommen wurden.

„Aber ich habe doch eine D&O-Versicherung?“

Angesichts des Risikos ist eine Manager-Haftpflichtversicherung für Geschäftsführer, eine sogenannte D&O-Versicherung, mehr als sinnvoll. Sie wird (in der Regel) vom Unternehmen abgeschlossen und bezahlt, versichert ist jedoch der Geschäftsführer. Oder vielmehr seine Inanspruchnahme, falls er für seine Entscheidungen haftet.

Allerdings muss man bei D&O-Versicherungen sehr genau hinschauen. Ob die Versicherung im Ernstfall ihre Funktion als Sicherheitsnetz erfüllt, hängt sehr davon ab, was wirklich versichert worden ist. Hier gibt es auch und gerade bei Manager-Haftpflichtversicherungen bedeutende Unterschiede.

Haftung für Zahlungen nach Insolvenzreife

Ein gutes Beispiel dafür lieferte ein Urteil des Oberlandesgerichts Düsseldorf vom letzten Jahr (OLG Düsseldorf, 20. Juli 2018 – 4 U 93/16). Dabei ging es um eines der Haupt-Haftungsrisiken für Geschäftsführer, das sich aus § 64 Satz 1 GmbH-Gesetz ergibt: „Die Geschäftsführer sind der Gesellschaft zum Ersatz von Zahlungen verpflichtet, die nach Eintritt der Zahlungsunfähigkeit der Gesellschaft oder nach Feststellung ihrer Überschuldung geleistet werden.“

Daraus folgt, ganz praktisch gesagt:

  • Wenn die Geschäftsführung der GmbH das Ausmaß der finanziellen Schieflage nicht erkennt, oder sie zwar erkennt, aber in der Hoffnung auf Rettungsmöglichkeiten nicht rechtzeitig Insolvenzantrag stellt, …
  • … dann wird der Insolvenzverwalter später von den Geschäftsführern Ersatz für alle Zahlungen fordern, die dann noch getätigt wurden. (Wenn er das nicht tut, haftet er nämlich selbst.)

Aus der genannten Entscheidung des OLG Düsseldorf folgt nun, dass solche Forderungen des Insolvenzverwalters an den früheren Geschäftsführer nur dann von dessen D&O-Versicherung bezahlt werden müssen, wenn die Haftung aus § 64 GmbHG auch explizit in den Versicherungsbedingungen erwähnt wird.

D&O-Versicherungsvertrag überprüfen lassen – und nur mit Beratung neu abschließen

Dieses Urteil hat handfeste Konsequenzen:

  • GmbH-Geschäftsführer sollten von uns prüfen lassen, ob die Deckung ihrer D&O-Versicherung die angesprochene Haftung umfasst. Ist dies nicht der Fall, muss die Police angepasst oder der Versicherer gewechselt werden.

  • Wer als Gründer für sein Start-Up die Rechtsform GmbH oder UG (haftungsbeschränkt) wählt, sollte unbedingt mögliche Forderungen aus der Geschäftsführer-Haftung versichern. Dabei muss man jedoch genau hinschauen: Haftung im Insolvenzfall – für Gründer ein besonderes Risiko – ist in vielen Start-Up-Policen ausgeschlossen. Auch hier sollten Sie mit uns sprechen.

Wir beraten Sie kostenlos, und als Spezialmakler für D&O-Versicherungen kennen wir den Markt sehr genau. Außerdem geht es uns nicht um den schnellen, einmaligen Abschluss. Wir möchten Ihre Versicherungen gern langfristig betreuen. Das setzt zufriedene Kunden voraus.
Rufen Sie uns an (0176 1031 8791) oder schreiben Sie uns eine Nachricht, wir melden uns umgehend zurück.

Haftungsfreistellung zum Herunterladen. Kostenlos. Mit Warnung.

Ob wir nicht eine Haftungsfreistellungsklausel hätten, hat uns ein Anrufer vor kurzem gefragt. Er ist Programmierer, Freelancer und will verständlicherweise dafür sorgen, dass er nicht bei jedem von ihm ausgeführten Auftrag grenzenlos haftet.

Fein, haben wir uns gedacht – und tatsächlich eine Musterklausel zur Haftungsfreistellung (PDF) erstellen lassen, die Sie gerne kostenlos herunterladen und übernehmen dürfen. Aber lesen Sie unbedingt die Warnhinweise, die wir dazugepackt haben.

(Spoiler: Haftung kann man durch sogenannte formularmäßige Klauseln bestenfalls begrenzt ausschließen. Eine solche juristische Wunderpille bringt deshalb mehr Schaden als Nutzen. Was wirklich hilft, ist das Versichern der Haftung.)

IT-Compliance, Teil 2: Persönliche Manager-Haftung für IT-Sicherheitsmängel

Wie fehlende IT-Compliance zu Schadenersatzforderungen gegen die Geschäftsleitung führen kann.

  • Im ersten Teil ging es um Compliance generell, und warum Compliance-Verstöße schnell zur persönlichen Haftung aus Geschäftsleiterverantwortung führen können.
  • In dieser Folge wollen wir uns speziell mit IT-Compliance als Risiko für persönliche Schadenersatzansprüche befassen.

Zur Compliance gehört die IT-Sicherheit des Unternehmens

Maßnahmen, die IT-Sicherheitsstandards und Datenschutz-Vorschriften im Unternehmen verankern, sind für die Compliance genauso wichtig wie Abläufe, die eine korrekte Buchführung garantieren oder Bestechung verhindern. Ohne solide, professionelle IT-Security lässt sich weder das vom Gesetzgeber vorgeschriebene Risikomanagement betreiben noch das von Investoren und Kapitalgebern erwartete Niveau an Corporate Governance erreichen.

Ein großer Teil der Werte des Unternehmens ist digital: Ohne Daten, Hardware, Netzwerke und Systeme sind weder Produktion noch Rechnungswesen, Vertrieb oder Marketing denkbar. Datenbestände bilden das Wissen eines Betriebs ab. Selbst so schwer fassbare Dinge wie das Vertrauen der Kunden in die Datensicherheit und das Prestige der Marke in den sozialen Netzwerken sind digital assets. Sie müssen geschützt werden, weil jede Beschädigung immer auch ein finanzieller Schaden ist.

Diese digitalen Werte sind ein Teil des Kapitals, das der Unternehmensleitung anvertraut wurde. Sie ist rechenschaftspflichtig: Der Vorstand oder die Geschäftsführer müssen ihren verantwortungsvollen Umgang nachweisen. Ein wichtiger Teil davon sind angemessene Vorsorgemaßnahmen zum Schutz und zur Erhaltung dieser Werte. All das gehört zu den Geschäftsführungspflichten.

Die Aufgaben lassen sich delegieren – die Haftung nicht

Dass bedeutet nicht, dass sich das Management selbst um technische Maßnahmen wie die Installation von Datensicherungsroutinen kümmern muss oder persönlich den Verschlüsselungsgrad des Cloud-Anbieters überprüfen sollte. Natürlich werden die fachlichen Aufgaben in aller Regel delegiert – an die IT-Abteilung, andere Fachabteilungen oder auch an externe Dienstleister. Aber die Geschäftsleitung muss Sorge tragen, dass alle Maßnahmen, die zur Herstellung von IT-Compliance nötig sind, von qualifizierten Kräften erledigt werden. Und in jedem Fall bleibt die Geschäftsleitung dafür verantwortlich, dass sie die Beauftragten sinnvoll auswählt und die Ausführung angemessen überwacht. Diese Pflicht selbst lässt sich nicht delegieren, genauso wenig wie die Haftung für Versäumnisse, die daraus folgt.

Es geht auch keineswegs nur um technische Lösungen. IT-Compliance schließt die betrieblichen Prozesse ein. Schließlich nützt die Technik wenig, wenn dann ein von Sorglosigkeit oder Unwissen geprägter Umgang damit Sicherheitslücken aufreißt. Deshalb müssen zur technischen Ausstattung und Überwachung entsprechende betriebsorganisatorische Maßnahmen kommen: Angefangen von der Fortbildung der Mitarbeiter über genau abgestufte Zugriffsmöglichkeiten bis zu klaren, arbeitsrechtlich verbindlichen Regeln zur IT-Nutzung: Dürfen Mitarbeiter das Internet auch für private Zwecke nutzen? Können private Geräte für Arbeitszwecke gebraucht werden? Wer ist für Passwortsicherheit verantwortlich? Wer hat Zutritt zum Serverraum? Was muss wie archiviert werden? Nur wenn auch solche Punkte verbindlich geregelt sind, und alle Mitarbeiter wissen, dass diese Regeln durchgesetzt werden, kann man von IT-Compliance sprechen.

Im Umkehrschluss bedeutet das: Wenn die Geschäftsleitung es versäumt hat, für ausreichende technische und organisatorische Sicherheitsmaßnahmen zu sorgen, dann kann ihr das als Pflichtverletzung ausgelegt werden – und dann drohen Regressansprüche im Schadensfall.

Ein wichtiger Teil der Risikomanagements: IT-Risiken versichern

IT-Risiken lassen sich wie andere betriebliche Risiken in vielen Fällen durch eine Versicherung in den Griff bekommen. Soweit Rechner, Software und Daten betroffen sind, schützen Cyber-Versicherungen vor den finanziellen Folgen von Angriffen, Computer-Sabotage, mangelnder Vorsicht oder Havarien. Weitere einschlägige Versicherungen sind Maschinen- und Elektronikversicherungen. Cyber-Versicherungen bieten den Vorteil, dass sie nicht nur den Wert der betroffenen Geräten und Daten selbst in der Deckung enthalten, sondern auch Bausteine für andere Schadensfolgen wie Ansprüche von Geschädigten, Lieferverzögerungen, Rechtskosten und Kosten für Notfall- und Aufklärungsmaßnahmen.

Vor allem machen Versicherungen das Risiko bilanziell beherrschbar. Anstatt im Schadensfall schlagartig und unvorhergesehen den gesamten Schaden finanzieren zu müssen, lassen sich die Kosten des Schadens in planbare Prämien umwandeln – die zudem als Betriebsausgaben die Steuerlast senken. Ohne Versicherung muss der Schaden dagegen aus dem – versteuerten – Eigenkapital bezahlt oder teuer durch Fremdkapitalaufnahme finanziert werden.

Sinnvoller, angepasster Versicherungsschutz ist ein wichtiger Baustein für IT-Compliance.

Ein Haftungsrisiko: Datenschutzrecht

Datenschutzbestimmungen können besonders leicht zur Stolperfalle für Führungskräfte werden und zu persönlicher Haftung führen. In vielen Fällen übertragen die Gesetze die Verantwortung für die Einhaltung sogar explizit an die Geschäftsführung. Allerdings gibt es viele Regelungen: Einschlägig sind Bundesdatenschutzgesetz (BDSG) , das Telemediengesetz (TMG) , das Telekommunikationsgesetz (TKG) das Signaturgesetz (SigG) und das IT-Sicherheitsgesetz samt der zugehörigen KRITIS-Verordnung, die die Bereiche Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung betrifft. Für 2017 steht die KRITIS-Regelung der Bereiche Finanzen, Transport, Verkehr und Gesundheit an. Und ab 2018 wird die europäische Datenschutzgrundverordnung (EU-DSGVO) zur Anwendung kommen.

Die Strafen, mit denen Unternehmen bei Datenschutzverstößen belegt werden können, haben es in sich. Das BDSG sieht Geldbußen von bis 50.000 Euro vor, für schwere Verstöße bis 300.000 Euro. Das IT-Sicherheitsgesetz ermöglicht Bußgelder bis zu 100.000 Euro. Die EU-DSGVO legt sogar Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes fest.

Ein Kostentreiber neben Bußgeldern ist die gesetzliche Pflicht, nach einem Datenschutzverstoß alle Betroffenen zu informieren. Das muss, rasch, individuell und in rechtlich angemessener Form geschehen – und führt zu entsprechenden Ausgaben. Kopiert hat ein Hacker die Daten von zehntausend Kunden und Interessenten schnell. An jeden ein juristisch stichhaltiges Schreiben aufzusetzen, kostet dagegen viel Zeit und noch mehr Geld.

Und da die Verantwortung für die Einhaltung der Datenschutzvorschriften bei der Geschäftsführung liegt, können aus den Kosten von Versäumnissen sehr schnell Schadenersatzforderungen gegen das Führungspersonal werden.

Ein weiteres Haftungsrisiko: Digitale Buchhaltung

Buchführungspflichten waren schon immer mit Haftungsrisiken belastet. Seitdem die Bücher elektronisch geführt werden, gilt das noch mehr. Zum einen stellt das Handelsgesetzbuch Anforderungen an digitale Handelsbücher (§§ 238, 239, 257 HGB). Zum anderen hat das Bundesfinanzministerium die GoBD veröffentlicht, Grundsätze zur Führung und Aufbewahrung von Unterlagen in elektronischer Form. Sie verlangen, dass digital geführte Bücher vollständig, richtig, übersichtlich und zeitgerecht sein müssen. Jede nachträgliche Änderung, etwa nach einer Fehlbuchung, muss erkennbar sein. Für jede Buchung müssen Belege existieren. Außerdem gilt die Pflicht zur Archivierung: sämtliche Dokumente, auch E-Mails, müssen abrufbereit vorgehalten werden, solange für sie die gesetzliche Aufbewahrungsfrist gilt.

Versäumnisse können sogar ein Straftatbestand sein (§ 283b StGB). In jedem Fall drohen jedoch teure Folgen, denn wenn das Finanzamt Grund hat, an dem Aufzeichnung zu zweifeln oder keine mehr vorliegen, dann wird die steuerliche Bemessungsgrundlage einfach geschätzt.

Noch ein Haftungsrisiko: Vertragsvereinbarungen

Inzwischen sind Vereinbarungen zur IT-Sicherheit und zum Datenschutz Teil vieler Verträge, direkt oder über Liefer- und Geschäftsbedingungen. Der Lieferant kann etwa dazu verpflichtet werden, die IT-Sicherheitsnorm ISO 27001 oder einen BSI-Grundschutzlevel einzuhalten. An Verstöße gegen diese Pflicht kann eine Vertragsstrafe gebunden sein. In anderen Fällen führt das Fehlen oder der Verlust der Zertifizierung zu einer außerordentlichen Kündigung. Auch hier können die resultierenden Einbußen wiederum die persönliche Haftung eines verantwortlichen Geschäftsführers oder Vorstands aktivieren.

Die möglichen Folgen von IT-Sicherheitslücken

Eine mangelhafte oder komplett versäumte IT-Compliance hat teure Folgen. Neben rein wirtschaftlichen Folgen wie Reputationsverlust und entgangenen Aufträgen etwa:

  • Den verantwortlichen Organmitgliedern drohen wegen Organisationsverschulden Bußgelder, im Extremfall sogar Freiheitsstrafen.
  • Dem Unternehmen stehen Schadenersatzforderungen gegen die Organe zu (§§ 91, 93, 116 AktG).
  • Im Raum steht die Abschöpfung des „gesamten wirtschaftlichen Vorteils“ durch Verfall, § 73 StGB, § 29a OWiG
  • Schmerzhaft können Schadenersatzansprüche von Wettbewerbern gemäß § 33 GWB werden.
  • Von Seiten des Finanzamts drohen ein Abzugsverbot, eine Schätzung und die Weiterleitung des Vorgangs an die Staatsanwaltschaft.
  • Gefährdet ist auch das Unternehmens-Rating.
  • Für öffentliche Aufträge kann national eine Sperre die Folge von Compliance-Verstößen sein, international droht die Aufnahme in die „Black List“.

 

IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme nicht mehr reagieren, Kundendaten oder wichtige Unternehmenswerte ins Ausland transferiert wurden, Produktionsausfälle und Lieferverzögerungen zu Vertragsstrafen führen, Datenschutzverletzungen einen Shitstorm ausgelöst haben und die Marke beschädigt ist.

Stellt mangelnde IT-Sicherheit ein Führungsversagen dar, das Schadenersatzansprüche begründet? Das ist die entscheidende Frage. Die Antwort ist juristisch komplex, berührt verschiedene Rechtsgebiete, richtungsweisende Gerichtsentscheidungen gibt es noch nicht. Im Ergebnis lautet sie jedoch ja.

Beispiele: Haftungsszenarios

Die folgenden Beispiele sind fiktiv. Aber sie sind realistisch.

  • Ein Hacker schleust Schadsoftware in die Produktionssteuerung ein. Das führt zum Totalschaden mehrerer Fertigungsanlagen. Die Produktion fällt monatelang aus, viele Arbeitnehmer sitzen herum. Das Unternehmen kündigt vielen von ihnen, das Arbeitsgericht hebt die Kündigungen jedoch auf: eine betriebsbedingte Kündigung sei ungerechtfertigt: Sie wären überflüssig, wenn das Management durch eine Cyber- oder Produktionsausfallversicherung Vorsorge gegen den Schaden getroffen hätte. Daraufhin wird der bisherige Geschäftsführer von den Anwälten der Gesellschaft auf Schadenersatz über die Lohnkosten in sechsstelliger Höhe verklagt.
  • Ein als GmbH geführter Online-Shop wird verkauft – einschließlich der digitalen Kundenkartei. Er hat dafür aber nicht die erforderliche Genehmigung seiner bisherigen Kunden. Die Landesdatenschutzbehörde verhängt 10.000 Euro Bußgeld. Der GmbH-Geschäftsführer, der den Verkauf durchgeführt hat, wird von seiner Gesellschaft in Regress genommen.
  • Ein Unternehmen klagt vor dem Finanzgericht gegen einen Umsatzsteuerbescheid für einen zurückliegenden Zeitraum. Dabei stellt sich heraus, dass die Belege, die vor einigen Jahren digital archiviert wurden, nicht mehr abrufbar sind. Ohne Nachweise lässt sich das eigentlich sehr aussichtreiche Verfahren nicht gewinnen, das Unternehmen zu einer Steuernachzahlung in sechsstelliger Höhe verurteilt. Einer der Gesellschafter verklagt den Geschäftsführer auf Schadenersatz.

Compliance und IT-Compliance

Anders ausgedrückt: Wenn Sie Geschäftsführer oder Vorstand einer Kapitalgesellschaft sind, besteht für Sie durchaus ein sehr reelles Risiko, persönlich mit Schadenersatzansprüchen für Cyber-Schäden des Unternehmens konfrontiert zu werden und dafür mit dem eigenen Vermögen zu haften.

Der Grund ist einfach: IT-Compliance ist als umfassende Management-Aufgabe ein Teil der gesamten Compliance-Pflichten. Wie auf anderen Risikofeldern – Korruption, unternehmensinterne Diskriminierung, Steuerrecht etc. – gehört es auch bei der IT-Sicherheit zum Verantwortungsbereich des Managements, durch die unternehmensinterne Steuerung der Prozesse die Gefahren von vornherein einzugrenzen und die systematische Befolgung von Regeln sicherzustellen.

Ich möchte in diesem zweitteiligen Beitrag zur IT-Compliance zeigen, warum das Szenario persönlicher Haftung für Cyber-Schäden keine Panikmache ist, sondern ernstgenommen werden muss:

  • Im ersten Teil geht es um Compliance und Haftung allgemein. Die Gefahr, für Unternehmensschäden persönlich in Haftung genommen zu werden und dabei seine gesamte Existenz zu verlieren, wird nach wie vor von vielen Führungskräften unterschätzt. Sie ist aber sehr real, wie sich an konkreten Beispielen zeigen lässt.
  • Im zweiten Teil sind speziell IT-Compliance und Haftungsrisiken rund um IT-Sicherheitsverletzungen Thema – und die Frage, wie diese Risiken sich wirksam verringern lassen.

Compliance

Sowohl AG-Vorstände wie auch GmbH-Geschäftsführer sind gesetzlich dazu verpflichtet, ein Überwachungssystem einzurichten, mit dem sich Entwicklungen, die den Fortbestand des Unternehmens gefährden können, frühzeitig erkennen lassen. Compliance ist auch Teil des Lageberichts einer Kapitalgesellschaft. (§§ 289, 315, 317 Abs. 2 HGB). Bei börsennotierten AGs müssen die Wirtschaftsprüfer auch die Risikofrüherkennungssysteme kontrollieren (§ 91 Abs. 2 AktG, § 317 Abs. 4 HGB).

Compliance Management ist ein Trendthema. Aber deshalb sollte man nicht darauf schließen, dass es sich dabei nur um eine Modeerscheinung handelt. Die Zahl der Veröffentlichungen ist kaum überschaubar, das Gleiche gilt für Beratungsangebote, Schulungen und den Softwaremarkt für Compliance-Management-Systeme.

All das ein klares Zeichen für den real existierenden Bedarf. Vorstände und Geschäftsführungen benötigen funktionierende Compliance-Lösungen, unabhängig von der Größe der von ihnen geführten Unternehmen.

Compliance Management bedeutet sicherzustellen, dass regelkonformes Verhalten im Unternehmen nicht allein vom Zufall oder dem guten Willen Einzelner abhängt. Die Regeln und Anforderungen müssen zum einen explizit gemacht und zweitens in die geschäftlichen Prozesse selbst eingebettet sein.

Für ein funktionierendes Compliance Management zu sorgen, gehört zu den Sorgfaltspflichten eines Vorstands beziehungsweise eines GmbH-Geschäftsführers. Gute Compliance ist aber nicht nur Prävention gegen Steuer- und Zollprüfungen oder staatsanwaltliche Ermittlungen. Als ein Messwert für Corporate Governance, die Qualität der Geschäftsführung, wird funktionierende Compliance auch von Analysten honoriert. Die Konditionen für Kapitalaufnahme werden günstiger, Versicherungsprämien fallen niedriger aus, denn Compliance ist immer auch Risikovorsorge.

Grundlage der Haftung: die Geschäftsleiterverantwortung

Zuständig und verantwortlich für eine funktionierende Compliance sind grundsätzlich immer die Geschäftsführer einer GmbH beziehungsweise die Vorstände einer Aktiengesellschaft. Das ergibt sich aus ihrer Geschäftsleiterverantwortung, die bei GmbH-Geschäftsführern aus § 43 GmbHG und bei AG-Vorständen aus den § 76 Abs. 1 AktG und § 93 AktG folgt. Zudem hat der Vorstand wie erwähnt die ausdrückliche Pflicht zur Einführung eines Überwachungssystems, „damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Absatz 2 AktG).

Wie weit die Verantwortung reicht, zeigt ein weitreichendes Urteil des Landgerichts München. Die Richter verurteilten einen ehemaligen Siemens-Vorstand zu 15 Millionen Euro Schadenersatz an das Unternehmen. Der Vorwurf: Er hatte kein Compliance-System installiert und damit nicht vorgesorgt, um ein auf schwarzen Kassen beruhendes Schmiergeldsystem zu verhindern (LG München, 10.12.2013, 5 HKO 1387/10). Das Besondere an dem Urteil ist der Umstand, dass diese Missstände gar nicht in den von diesem Vorstand intern verantworteten Bereich fielen.

Das Landgericht dehnte die Compliance-Pflicht also über den Geschäftsbereich eines einzelnen Vorstands hinaus auf die gesamte Vorstandsverantwortung aus. Das Strafgesetzbuch enthält in § 299 StGB das klare Verbot, Bestechungen im Geschäftsverkehr einzufädeln und abzuwickeln. Die Rechtsprechung macht es dem Vorstand einer AG und der Geschäftsführung einer GmbH zur Aufgabe, dafür Sorge zu tragen, dass Straftaten im Unternehmen erst gar nicht möglich sind. Das wurde dem ehemaligen Siemens-Vorstand zum Verhängnis.

Diese Pflicht zum Risikomanagement gilt auch für die Prävention von Cyberstraftaten und IT-Havarien.

Selbst wenn Compliance-Verstöße oder andere Pflichtverletzungen dazu führen, dass man persönlich in Haftung genommen wird, muss das nicht das Ende der eigenen wirtschaftlichen Existenz bedeuten. Und zwar dann nicht, wenn man über eine D&O-Versicherung (Geschäftsführer-Haftpflichtversicherung) abgesichert ist. Fragen Sie uns: 030 863 926 990

Das geplante Kassengesetz: Haftung trotz Zertifikat?

Wer mit Kassen-EDV bzw. Registrierkassen zu tun hat, muss sich auf neue Herausforderungen einstellen. Und auch sonst kann man hier etwas lernen, und zwar: Wenn eine Software oder ein System für einen haftungskritischen Bereich gedacht ist, verringert selbst ein Zertifikat das eigene Haftungsrisiko nicht unbedingt.

Doch der Reihe nach …

Kassensysteme bald nur noch mit BSI-Zertifikat?

Das Bundesfinanzministerium möchte durch neue gesetzliche Vorschriften verhindern, dass in Bargeld-Branchen wie der Gastronomie manipulierte Kassensysteme den Staat um Steuereinnahmen bringen. Es will deshalb verschiedene Dinge ändern:

  • Steuerprüfer sollen jederzeit eine „Kassen-Nachschau” durchführen können, und der Einsatz fehlerhafter Kassensysteme oder fehlende Kassendaten können bis zu 25.000 Euro Bußgeld kosten.
  • Außerdem sollen Kassensysteme manipulationssicher sein und alle relevanten Kassen- und Transaktionsdaten für Berechtigte – wie den Prüfer vom Finanzamt – digital abfragbar machen. Eine „technische Sicherheitseinrichtung” wird Pflicht, bestehend aus einem Sicherheitsmodul, einem Speicher für Kassendaten und einer digitalen Schnittstelle. Und das Ganze muss ein BSI-Zertifikat besitzen.

So steht es im Entwurf zum geplanten „Kassengesetz“. Leider bringt das den Betreibern und Einrichtern von Kassensystemen wohl kaum mehr Rechtssicherheit. Im Gegenteil, es erscheint schwer umsetzbar.

Zertifikat gleich ordnungsgemäß? Von wegen.

Diese Kritik an dem Projekt formuliert ein interessanter Kommentar zu dem Gesetzentwurf von Gerhard Schmidt, Diplom-Informatiker und Chefredakteur beim Forum Elektronische Steuerprüfung.

Schmidt wundert sich über die geplante Einführung vorgeschriebener Positiv-Zertifikate. Ein kurzer Seitenblick auf Buchhaltungssoftware zeigt, warum. Bislang hat die Finanzverwaltung es nämlich rundheraus abgelehnt, für Buchführungssoftware eine belastbare Positiv-Zertifizierung auszustellen, etwa in Form einer so genannten verbindlichen Auskunft. Eine solche Zertifizierung würde dem Betreiber des Programms bescheinigen, dass sein System ordnungsgemäß arbeitet, und ihn damit im Effekt von der Haftung freistellen, wenn es dann doch zu Beanstandungen kommt. Diesen Schutz will das Finanzamt aber nicht gewähren.

Statt solcher Positiv-Zertifikate der Finanzverwaltung gibt es bisher nur „Negativ-Negativ-Zertifikate” der Hersteller von Buchhaltungssoftware: So nennt Schmidt Bescheinigungen der Software-Anbieter, dass mit ihrem Programm etwa GoBD-konform gearbeitet werden kann – was aber nicht ausschließt, dass auch missbräuchliche Anwendungsweisen möglich sind. Es liegt auf der Hand, dass solche Dokumente im Zweifelsfall das Unternehmen kaum vor Ordnungswidrigkeitsverfahren und die Verantwortlichen nicht vor der persönlichen Haftung schützen (Motto: „Sie haben nicht für eine ordnungsgemäße Buchführung in Ihrem Unternehmen gesorgt, Sie haften!”).

Zurück zu den Kassensystemen: Ein BSI-Zertifikat macht bei ihnen nur Sinn, wenn es sich um ein Positiv-Zertifikat handelt, demzufolge das zertifizierte System gar nicht missbräuchlich benutzt werden kann. Diese Prüfung wäre aber praktisch kaum machbar, zumal dann nicht nur ein bestimmtes Produkt, sondern auch jede einzelne Installation überprüft oder geeicht werden müsste. Und ob das BSI für von ihm begutachtete Systeme die volle Haftung übernehmen würde? Daran meldet Schmidt Zweifel an – mit Recht.

Die Haftung wird da bleiben, wo sie jetzt schon ist … bei Ihnen

Im Endeffekt wird bei digitalen Kassensystemen zumindest aus Sicht der Haftungsfrage wohl alles so bleiben, wie es ist: Dafür, dass die Kassen ordnungsgemäß betrieben werden, haftet das Unternehmen und im Durchgriff auch dessen Organe, sprich Geschäftsführer oder Vorstände. Dafür, dass die Kassen ordnungsgemäß funktionieren und nicht beispielsweise von außen manipuliert werden, haftet aber natürlich auch derjenige, der die Systeme herstellt, plant, liefert und /oder einrichtet – und im Zweifel auch dessen Führungspersonal.

Deshalb bleibt Absicherung der Haftung weiterhin zentral. Vor Schadenersatzforderungen und Haftung schützen Elektronik- und Maschinenversicherungen, Cyber-Policen, D&O-Versicherungen (Managerhaftpflicht) sowie persönliche und betriebliche Rechtsschutzversicherungen.

Welche dieser Elemente in welcher Form für Ihren Fall relevant sind und auf welche Sie verzichten können, erfahren Sie vom Versicherungsmakler Ihres Vertrauens. Zum Beispiel von uns – rufen Sie uns an unter 30 863 926 990.