Das IT-Sicherheitsgesetz ist in Kraft – mit neuen Haftungsrisiken

Seit letztem Freitag ist das IT-Sicherheitsgesetz in Kraft. Es liegt für unterschiedliche Betroffene die Pflicht zu IT-Schutzmaßnahmen sowie Meldepflichten fest. Allerdings ist im Detail noch ziemlich viel unklar. Die „das Gesetz konkretisierende Rechtsverordnung” des Innenministeriums liegt noch nicht vor.

IT-Sicherheitsgesetz: Wer ist wie betroffen?

  • Direkte Auswirkungen gibt es auf alle Betreiber von geschäftlichen Websites und Online-Shops, denn das IT-Sicherheitsgesetz verschärft das Telemediengesetz. Jeder geschäftliche Auftritt oder Dienst im Web muss technisch und organisatorisch vor unerlaubtem Zugriff, Datenschutzverstößen und Angriffen von außen geschützt sein. Diese Vorkehrungen „müssen den Stand der Technik berücksichtigen”. Als Beispiel wird Verschlüsselung genannt (§ 13 Abs. 7 TMG n. F.). Die Nichtbeachtung kann nicht nur zu Bußgeldern (s. u.), sondern auch zu einer Abmahnung durch die Konkurrenz führen.
  • Sofortige Auswirkungen gibt es auch auf Telekommunikationsanbieter. Sie müssen ab sofort ihre Kunden warnen und unterstützen, falls es Anzeichen dafür gibt, dass deren IT-Sicherheit verletzt wurde. Gleichzeitig darf der Provider zu Präventionszwecken die Kundendaten speichern, bis zu sechs Monate.
    Abzuwarten bleibt, mit welchen Aussichten ein geschädigtes Unternehmen damit nun umgekehrt gegen den Provider vorgehen kann, wenn es keine Warnung gab. Hätte der Provider den unnatürlichen Datenstrom erkennen müssen, den der Trojaner über die Mailserver des Kunden schickt?
  • Anbieter von „kritischen Infrastrukturen“ müssen verbindliche Sicherheitsstandards umsetzen und diese dann alle zwei Jahre zertifizieren lassen. Außerdem müssen sie eine Art „Verbindungsstelle“ zum BSI (Bundesamt für Sicherheit in der Informationstechnik) einrichten und das Amt (das bekanntlich auch den Bundestrojaner mit entwickelte …) über Cyber-Attacken, IT-Havarien und IT-Sicherheitsrisiken informieren.
    Dummerweise ist bislang nicht genau klar, für wen diese Pflichten eigentlich gelten. Das Gesetz nennt nur die Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ als Kriterien.
    Unklar ist auch, wie die verbindlichen Sicherheitsstandards genau aussehen werden. Spekuliert wird über verpflichtende ISMS-Audits auf Basis von ISO 27001. Klarheit schafft hoffentlich die Rechtsverordnung des Innenministeriums. Liegt sie vor, haben die betroffenen Unternehmen sechs Monate Zeit zur Einrichtung der „Meldestelle” und zwei Jahre zur Umsetzung der Sicherheitsanforderungen.
    Kleine und mittlere Unternehmen sind vom IT-Sicherheitsgesetz nicht direkt betroffen. Die Zertifizierungsanforderungen größerer Unternehmen werden sich aber auch auf deren Zulieferer und Dienstleister auswirken.

Neues Haftungsrisiko – für Unternehmen und Geschäftsführer / Manager

Das Gesetz verankert durchaus empfindliche Strafen bei Pflichtverletzungen.

  • Ein Online-Shop oder Website-Betreiber, der die Pflicht zum Datenschutz nach Stand der Technik missachtet, kann im schlimmsten Fall mit 50.000 € bestraft werden.
  • Dieselbe Summe kann den Betreiber einer kritischen Infrastruktur treffen, der die Meldepflichten- und -voraussetzungen nicht erfüllt.
  • Das Bußgeld für ein Unternehmen, das die Sicherheitsstandards nicht verwirklicht, kann bis zu 100.000 € betragen.

Das  hat Auswirkungen auf das rechtliche Risiko von Geschäftsführern, Managern oder Vorständen. Sie haften für die Umsetzung gesetzlicher Vorschriften im Unternehmen – im Ernstfall werden sie schnell persönlich zur Kasse gebeten. Glücklich, wer dann eine D&O-Versicherung (Manager-/Geschäftsführerhaftpflicht) hat.

Fazit: Zusätzliche Risiken, Versichern hilft

Den großen Durchbruch in Sachen Cyber-Sicherheit stellt das IT-Sicherheitsgesetz nun wirklich nicht dar. Immerhin zwingt es Unternehmen quer durch alle Branchen und ganz besonders in den betroffenen Sektoren, sich mit ihrer IT-Sicherheit zu befassen.

Befassen sollten sich Unternehmen wie Geschäftsführer aber auch mit ihrem Risikomanagement. Unternehmen brauchen den Schutz einer Cyber-Versicherung, die Geschäftsführer eine D&O-Versicherung. Dies ist durch die neue Rechtslage noch dringlicher geworden.

Haben Sie Fragen zu Cyber-Versicherung oder D&O-Versicherungen?

Ich gebe Ihnen gerne Antwort. Rufen Sie mich an oder schreiben Sie uns eine Nachricht:  Kontakt.

Der Trend geht zum Zweit-Makler. Aus gutem Grund.

Inzwischen nutzen viele unserer Kunden acant als „Zweitmakler“. Ihr angestammter Versicherungsmakler bleibt für die klassischen betrieblichen Versicherungen zuständig, wir betreuen als Fachmakler die Themen Cyberversicherung, Geschäftsführer-/Managerhaftung sowie IT-Projektversicherung.

Wie bei Rechtsanwälten und Ärzten wächst auch bei Versicherungsmaklern der Bedarf an Fachbetreuung für bestimmte Gebiete.

Beispiel Cyber-Police: Der Versicherungstyp ist jung. Die Major Player wie Allianz Global, AXA, ACE, Chubb, R+V, BVK, Hiscox, Württembergische, AIG und die Gothaer haben noch keine jahrelange Schadenerfahrung. Sie passen ihre Produkte deshalb laufend an. Schwerpunkte und Zielgruppen der Policen sind zudem sehr unterschiedlich. Deutsche Versicherern siedeln das Cyber-Thema oft in den Haftpflichtabteilung an, US-Assekuranzen eher bei „Financial Lines“. Daraus ergeben sich  unterschiedliche Vertragsausrichtungen: eher haftpflichtorientiert mit Deckungserweiterung für Eigenschäden im deutschen Fall, Individualpolicen auf Basis von Versicherungsklauseln für Garantieversicherungen oder für Vertrauensschaden und Computermissbrauch bei US-Gesellschaften.

Um zu wissen, was davon für Ihren Bedarf am besten passt und gleichzeitig die geringsten Kosten verursacht, sollte Ihr Versicherungsmakler sich schon etwas häufiger mit Cyber-Risiken befasst haben. Bei persönlichen Haftungsrisiken im Beruf ist das nicht anders. Hier ist es die Rechtsentwicklung, die dafür sorgt, dass sich der Markt für D&O-Policen und andere Betriebs- und Berufshaftpflichtversicherungen laufend ändert. Deshalb sollten Sie auch hier einem Fachmakler vertrauen.

Zweite Meinung?

Sie können sich übrigens auch an uns wenden, wenn Sie eine zweite Meinung zu Versicherungsangelegenheiten einholen wollen. Rufen Sie  an (030 863 926 990) oder schreiben Sie uns.

D&O-Versicherungen und ihre typischen Versicherungslücken

Wenn ein Kunde neu zu uns kommt, prüfe ich als Erstes die vorhandenen Versicherungsverträge auf Versicherungslücken – und zwar die Versicherungen für das Unternehmen selbst ebenso wie die Haftpflichtpolicen für die Entscheidungsträger. Dabei treffe ich immer wieder auf die gleichen Deckungslücken.

D&O-Versicherungen sind für Verantwortungsträger im Unternehmen ein Muss

D&O-Versicherungen sind personenbezogene Haftpflichtpolicen für Geschäftsführer, Vorstände, Abteilungsleiter etc – und unverzichtbar. Ohne diesen Schutz können ein zu spät gestellter Antrag auf Insolvenz, Versäumnisse beim Datenschutz, ein nicht angemeldetes Patent oder andere geschäftliche Entscheidungen bis in die Privatinsolvenz führen. Seit dem „Siemens/Neubürger“-Urteil muss es noch nicht einmal mehr eine echte, eigene Entscheidung sein, die mittelbare Verantwortung für Versäumnisse im Unternehmen reicht  (und zwar im konkreten Fall für Forderungen  in Höhe von 15 Mio. € plus Zinsen gegen den ehemaligen Vorstand, LG München, 10.12.2013 – 5 HK O 1387/10, jetzt in Berufung vor dem OLG München, Az. 7 U 113/14).

Immer wieder die gleichen Fehler

Deshalb schaue ich mir die D&O-Versicherungen neuer Kunden immer sehr genau an. Leider finden sich bei der persönlichen Absicherung von Verantwortungsträgern regelmäßig die folgenden Versicherungslücken:

  • Nach dem Ausscheiden besteht kein oder kein zuverlässiger Schutz mehr: Auch Forderungen an einen ehemaligen Vorstand oder die frühere Geschäftsführerin sind juristisch problemlos möglich. Oft sieht der D&O-Vertrag aber keine Rückwärtsdeckung oder Nachhaftung vor, und per „Claims-made“-Prinzip wird der Haftungszeitraum eingeschränkt. Dann ist der ehemalige Geschäftsführer schutzlos.
  • Nur privatrechtliche Ansprüche sind versichert, öffentlich-rechtliche nicht: Oft umfasst die Haftpflichtversicherung nicht die persönliche Haftung für Steuerschulden des Unternehmens oder Außenstände bei den Sozialversicherungen – dabei sind das oft absolut existenzbedrohende Summen.
  • Ansprüche des Unternehmens selbst gegen den Geschäftsführer, Vorstand oder Aufsichtsrat sind nicht mitversichert. Diese Deckung ist bei Versicherungsgesellschaften unbeliebt, weil sie Angst vor Unregelmäßigkeiten haben. Aber diese Art der Forderung ist in der Praxis eines der größten Risiken für die „Organe“ einer Kapitalgesellschaft.

Solche Lücken lassen sich beheben. Aber dazu muss man sie zunächst einmal aufspüren!

Wie bei allen Versicherungen gilt auch für eine D&O-Police: Schutz bietet Ihnen nicht die Überschrift über dem Vertrag und auch nicht das Geld, das Sie jedes Jahr überweisen. Schutz bieten nur die genauen Details im VertragHat Ihr persönlicher Haftungsschutzschirm ebenfalls Löcher? Ich kann es Ihnen sagen.