Persönliche Haftung

IT-Compliance, Teil 2: Persönliche Manager-Haftung für IT-Sicherheitsmängel

von

Wie fehlende IT-Compliance zu Schadenersatzforderungen gegen die Geschäftsleitung führen kann.

  • Im ersten Teil ging es um Compliance generell, und warum Compliance-Verstöße schnell zur persönlichen Haftung aus Geschäftsleiterverantwortung führen können.
  • In dieser Folge wollen wir uns speziell mit IT-Compliance als Risiko für persönliche Schadenersatzansprüche befassen.

Zur Compliance gehört die IT-Sicherheit des Unternehmens

Maßnahmen, die IT-Sicherheitsstandards und Datenschutz-Vorschriften im Unternehmen verankern, sind für die Compliance genauso wichtig wie Abläufe, die eine korrekte Buchführung garantieren oder Bestechung verhindern. Ohne solide, professionelle IT-Security lässt sich weder das vom Gesetzgeber vorgeschriebene Risikomanagement betreiben noch das von Investoren und Kapitalgebern erwartete Niveau an Corporate Governance erreichen.

Ein großer Teil der Werte des Unternehmens ist digital: Ohne Daten, Hardware, Netzwerke und Systeme sind weder Produktion noch Rechnungswesen, Vertrieb oder Marketing denkbar. Datenbestände bilden das Wissen eines Betriebs ab. Selbst so schwer fassbare Dinge wie das Vertrauen der Kunden in die Datensicherheit und das Prestige der Marke in den sozialen Netzwerken sind digital assets. Sie müssen geschützt werden, weil jede Beschädigung immer auch ein finanzieller Schaden ist.

Diese digitalen Werte sind ein Teil des Kapitals, das der Unternehmensleitung anvertraut wurde. Sie ist rechenschaftspflichtig: Der Vorstand oder die Geschäftsführer müssen ihren verantwortungsvollen Umgang nachweisen. Ein wichtiger Teil davon sind angemessene Vorsorgemaßnahmen zum Schutz und zur Erhaltung dieser Werte. All das gehört zu den Geschäftsführungspflichten.

Die Aufgaben lassen sich delegieren – die Haftung nicht

Dass bedeutet nicht, dass sich das Management selbst um technische Maßnahmen wie die Installation von Datensicherungsroutinen kümmern muss oder persönlich den Verschlüsselungsgrad des Cloud-Anbieters überprüfen sollte. Natürlich werden die fachlichen Aufgaben in aller Regel delegiert – an die IT-Abteilung, andere Fachabteilungen oder auch an externe Dienstleister. Aber die Geschäftsleitung muss Sorge tragen, dass alle Maßnahmen, die zur Herstellung von IT-Compliance nötig sind, von qualifizierten Kräften erledigt werden. Und in jedem Fall bleibt die Geschäftsleitung dafür verantwortlich, dass sie die Beauftragten sinnvoll auswählt und die Ausführung angemessen überwacht. Diese Pflicht selbst lässt sich nicht delegieren, genauso wenig wie die Haftung für Versäumnisse, die daraus folgt.

Es geht auch keineswegs nur um technische Lösungen. IT-Compliance schließt die betrieblichen Prozesse ein. Schließlich nützt die Technik wenig, wenn dann ein von Sorglosigkeit oder Unwissen geprägter Umgang damit Sicherheitslücken aufreißt. Deshalb müssen zur technischen Ausstattung und Überwachung entsprechende betriebsorganisatorische Maßnahmen kommen: Angefangen von der Fortbildung der Mitarbeiter über genau abgestufte Zugriffsmöglichkeiten bis zu klaren, arbeitsrechtlich verbindlichen Regeln zur IT-Nutzung: Dürfen Mitarbeiter das Internet auch für private Zwecke nutzen? Können private Geräte für Arbeitszwecke gebraucht werden? Wer ist für Passwortsicherheit verantwortlich? Wer hat Zutritt zum Serverraum? Was muss wie archiviert werden? Nur wenn auch solche Punkte verbindlich geregelt sind, und alle Mitarbeiter wissen, dass diese Regeln durchgesetzt werden, kann man von IT-Compliance sprechen.

Im Umkehrschluss bedeutet das: Wenn die Geschäftsleitung es versäumt hat, für ausreichende technische und organisatorische Sicherheitsmaßnahmen zu sorgen, dann kann ihr das als Pflichtverletzung ausgelegt werden – und dann drohen Regressansprüche im Schadensfall.

Ein wichtiger Teil der Risikomanagements: IT-Risiken versichern

IT-Risiken lassen sich wie andere betriebliche Risiken in vielen Fällen durch eine Versicherung in den Griff bekommen. Soweit Rechner, Software und Daten betroffen sind, schützen Cyber-Versicherungen vor den finanziellen Folgen von Angriffen, Computer-Sabotage, mangelnder Vorsicht oder Havarien. Weitere einschlägige Versicherungen sind Maschinen- und Elektronikversicherungen. Cyber-Versicherungen bieten den Vorteil, dass sie nicht nur den Wert der betroffenen Geräten und Daten selbst in der Deckung enthalten, sondern auch Bausteine für andere Schadensfolgen wie Ansprüche von Geschädigten, Lieferverzögerungen, Rechtskosten und Kosten für Notfall- und Aufklärungsmaßnahmen.

Vor allem machen Versicherungen das Risiko bilanziell beherrschbar. Anstatt im Schadensfall schlagartig und unvorhergesehen den gesamten Schaden finanzieren zu müssen, lassen sich die Kosten des Schadens in planbare Prämien umwandeln – die zudem als Betriebsausgaben die Steuerlast senken. Ohne Versicherung muss der Schaden dagegen aus dem – versteuerten – Eigenkapital bezahlt oder teuer durch Fremdkapitalaufnahme finanziert werden.

Sinnvoller, angepasster Versicherungsschutz ist ein wichtiger Baustein für IT-Compliance.

Ein Haftungsrisiko: Datenschutzrecht

Datenschutzbestimmungen können besonders leicht zur Stolperfalle für Führungskräfte werden und zu persönlicher Haftung führen. In vielen Fällen übertragen die Gesetze die Verantwortung für die Einhaltung sogar explizit an die Geschäftsführung. Allerdings gibt es viele Regelungen: Einschlägig sind Bundesdatenschutzgesetz (BDSG) , das Telemediengesetz (TMG) , das Telekommunikationsgesetz (TKG) das Signaturgesetz (SigG) und das IT-Sicherheitsgesetz samt der zugehörigen KRITIS-Verordnung, die die Bereiche Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung betrifft. Für 2017 steht die KRITIS-Regelung der Bereiche Finanzen, Transport, Verkehr und Gesundheit an. Und ab 2018 wird die europäische Datenschutzgrundverordnung (EU-DSGVO) zur Anwendung kommen.

Die Strafen, mit denen Unternehmen bei Datenschutzverstößen belegt werden können, haben es in sich. Das BDSG sieht Geldbußen von bis 50.000 Euro vor, für schwere Verstöße bis 300.000 Euro. Das IT-Sicherheitsgesetz ermöglicht Bußgelder bis zu 100.000 Euro. Die EU-DSGVO legt sogar Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes fest.

Ein Kostentreiber neben Bußgeldern ist die gesetzliche Pflicht, nach einem Datenschutzverstoß alle Betroffenen zu informieren. Das muss, rasch, individuell und in rechtlich angemessener Form geschehen – und führt zu entsprechenden Ausgaben. Kopiert hat ein Hacker die Daten von zehntausend Kunden und Interessenten schnell. An jeden ein juristisch stichhaltiges Schreiben aufzusetzen, kostet dagegen viel Zeit und noch mehr Geld.

Und da die Verantwortung für die Einhaltung der Datenschutzvorschriften bei der Geschäftsführung liegt, können aus den Kosten von Versäumnissen sehr schnell Schadenersatzforderungen gegen das Führungspersonal werden.

Ein weiteres Haftungsrisiko: Digitale Buchhaltung

Buchführungspflichten waren schon immer mit Haftungsrisiken belastet. Seitdem die Bücher elektronisch geführt werden, gilt das noch mehr. Zum einen stellt das Handelsgesetzbuch Anforderungen an digitale Handelsbücher (§§ 238, 239, 257 HGB). Zum anderen hat das Bundesfinanzministerium die GoBD veröffentlicht, Grundsätze zur Führung und Aufbewahrung von Unterlagen in elektronischer Form. Sie verlangen, dass digital geführte Bücher vollständig, richtig, übersichtlich und zeitgerecht sein müssen. Jede nachträgliche Änderung, etwa nach einer Fehlbuchung, muss erkennbar sein. Für jede Buchung müssen Belege existieren. Außerdem gilt die Pflicht zur Archivierung: sämtliche Dokumente, auch E-Mails, müssen abrufbereit vorgehalten werden, solange für sie die gesetzliche Aufbewahrungsfrist gilt.

Versäumnisse können sogar ein Straftatbestand sein (§ 283b StGB). In jedem Fall drohen jedoch teure Folgen, denn wenn das Finanzamt Grund hat, an dem Aufzeichnung zu zweifeln oder keine mehr vorliegen, dann wird die steuerliche Bemessungsgrundlage einfach geschätzt.

Noch ein Haftungsrisiko: Vertragsvereinbarungen

Inzwischen sind Vereinbarungen zur IT-Sicherheit und zum Datenschutz Teil vieler Verträge, direkt oder über Liefer- und Geschäftsbedingungen. Der Lieferant kann etwa dazu verpflichtet werden, die IT-Sicherheitsnorm ISO 27001 oder einen BSI-Grundschutzlevel einzuhalten. An Verstöße gegen diese Pflicht kann eine Vertragsstrafe gebunden sein. In anderen Fällen führt das Fehlen oder der Verlust der Zertifizierung zu einer außerordentlichen Kündigung. Auch hier können die resultierenden Einbußen wiederum die persönliche Haftung eines verantwortlichen Geschäftsführers oder Vorstands aktivieren.

Die möglichen Folgen von IT-Sicherheitslücken

Eine mangelhafte oder komplett versäumte IT-Compliance hat teure Folgen. Neben rein wirtschaftlichen Folgen wie Reputationsverlust und entgangenen Aufträgen etwa:

  • Den verantwortlichen Organmitgliedern drohen wegen Organisationsverschulden Bußgelder, im Extremfall sogar Freiheitsstrafen.
  • Dem Unternehmen stehen Schadenersatzforderungen gegen die Organe zu (§§ 91, 93, 116 AktG).
  • Im Raum steht die Abschöpfung des „gesamten wirtschaftlichen Vorteils“ durch Verfall, § 73 StGB, § 29a OWiG
  • Schmerzhaft können Schadenersatzansprüche von Wettbewerbern gemäß § 33 GWB werden.
  • Von Seiten des Finanzamts drohen ein Abzugsverbot, eine Schätzung und die Weiterleitung des Vorgangs an die Staatsanwaltschaft.
  • Gefährdet ist auch das Unternehmens-Rating.
  • Für öffentliche Aufträge kann national eine Sperre die Folge von Compliance-Verstößen sein, international droht die Aufnahme in die „Black List“.

 

IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

von

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme nicht mehr reagieren, Kundendaten oder wichtige Unternehmenswerte ins Ausland transferiert wurden, Produktionsausfälle und Lieferverzögerungen zu Vertragsstrafen führen, Datenschutzverletzungen einen Shitstorm ausgelöst haben und die Marke beschädigt ist.

Stellt mangelnde IT-Sicherheit ein Führungsversagen dar, das Schadenersatzansprüche begründet? Das ist die entscheidende Frage. Die Antwort ist juristisch komplex, berührt verschiedene Rechtsgebiete, richtungsweisende Gerichtsentscheidungen gibt es noch nicht. Im Ergebnis lautet sie jedoch ja.

Beispiele: Haftungsszenarios

Die folgenden Beispiele sind fiktiv. Aber sie sind realistisch.

  • Ein Hacker schleust Schadsoftware in die Produktionssteuerung ein. Das führt zum Totalschaden mehrerer Fertigungsanlagen. Die Produktion fällt monatelang aus, viele Arbeitnehmer sitzen herum. Das Unternehmen kündigt vielen von ihnen, das Arbeitsgericht hebt die Kündigungen jedoch auf: eine betriebsbedingte Kündigung sei ungerechtfertigt: Sie wären überflüssig, wenn das Management durch eine Cyber- oder Produktionsausfallversicherung Vorsorge gegen den Schaden getroffen hätte. Daraufhin wird der bisherige Geschäftsführer von den Anwälten der Gesellschaft auf Schadenersatz über die Lohnkosten in sechsstelliger Höhe verklagt.
  • Ein als GmbH geführter Online-Shop wird verkauft – einschließlich der digitalen Kundenkartei. Er hat dafür aber nicht die erforderliche Genehmigung seiner bisherigen Kunden. Die Landesdatenschutzbehörde verhängt 10.000 Euro Bußgeld. Der GmbH-Geschäftsführer, der den Verkauf durchgeführt hat, wird von seiner Gesellschaft in Regress genommen.
  • Ein Unternehmen klagt vor dem Finanzgericht gegen einen Umsatzsteuerbescheid für einen zurückliegenden Zeitraum. Dabei stellt sich heraus, dass die Belege, die vor einigen Jahren digital archiviert wurden, nicht mehr abrufbar sind. Ohne Nachweise lässt sich das eigentlich sehr aussichtreiche Verfahren nicht gewinnen, das Unternehmen zu einer Steuernachzahlung in sechsstelliger Höhe verurteilt. Einer der Gesellschafter verklagt den Geschäftsführer auf Schadenersatz.

Compliance und IT-Compliance

Anders ausgedrückt: Wenn Sie Geschäftsführer oder Vorstand einer Kapitalgesellschaft sind, besteht für Sie durchaus ein sehr reelles Risiko, persönlich mit Schadenersatzansprüchen für Cyber-Schäden des Unternehmens konfrontiert zu werden und dafür mit dem eigenen Vermögen zu haften.

Der Grund ist einfach: IT-Compliance ist als umfassende Management-Aufgabe ein Teil der gesamten Compliance-Pflichten. Wie auf anderen Risikofeldern – Korruption, unternehmensinterne Diskriminierung, Steuerrecht etc. – gehört es auch bei der IT-Sicherheit zum Verantwortungsbereich des Managements, durch die unternehmensinterne Steuerung der Prozesse die Gefahren von vornherein einzugrenzen und die systematische Befolgung von Regeln sicherzustellen.

Ich möchte in diesem zweitteiligen Beitrag zur IT-Compliance zeigen, warum das Szenario persönlicher Haftung für Cyber-Schäden keine Panikmache ist, sondern ernstgenommen werden muss:

  • Im ersten Teil geht es um Compliance und Haftung allgemein. Die Gefahr, für Unternehmensschäden persönlich in Haftung genommen zu werden und dabei seine gesamte Existenz zu verlieren, wird nach wie vor von vielen Führungskräften unterschätzt. Sie ist aber sehr real, wie sich an konkreten Beispielen zeigen lässt.
  • Im zweiten Teil sind speziell IT-Compliance und Haftungsrisiken rund um IT-Sicherheitsverletzungen Thema – und die Frage, wie diese Risiken sich wirksam verringern lassen.

Compliance

Sowohl AG-Vorstände wie auch GmbH-Geschäftsführer sind gesetzlich dazu verpflichtet, ein Überwachungssystem einzurichten, mit dem sich Entwicklungen, die den Fortbestand des Unternehmens gefährden können, frühzeitig erkennen lassen. Compliance ist auch Teil des Lageberichts einer Kapitalgesellschaft. (§§ 289, 315, 317 Abs. 2 HGB). Bei börsennotierten AGs müssen die Wirtschaftsprüfer auch die Risikofrüherkennungssysteme kontrollieren (§ 91 Abs. 2 AktG, § 317 Abs. 4 HGB).

Compliance Management ist ein Trendthema. Aber deshalb sollte man nicht darauf schließen, dass es sich dabei nur um eine Modeerscheinung handelt. Die Zahl der Veröffentlichungen ist kaum überschaubar, das Gleiche gilt für Beratungsangebote, Schulungen und den Softwaremarkt für Compliance-Management-Systeme.

All das ein klares Zeichen für den real existierenden Bedarf. Vorstände und Geschäftsführungen benötigen funktionierende Compliance-Lösungen, unabhängig von der Größe der von ihnen geführten Unternehmen.

Compliance Management bedeutet sicherzustellen, dass regelkonformes Verhalten im Unternehmen nicht allein vom Zufall oder dem guten Willen Einzelner abhängt. Die Regeln und Anforderungen müssen zum einen explizit gemacht und zweitens in die geschäftlichen Prozesse selbst eingebettet sein.

Für ein funktionierendes Compliance Management zu sorgen, gehört zu den Sorgfaltspflichten eines Vorstands beziehungsweise eines GmbH-Geschäftsführers. Gute Compliance ist aber nicht nur Prävention gegen Steuer- und Zollprüfungen oder staatsanwaltliche Ermittlungen. Als ein Messwert für Corporate Governance, die Qualität der Geschäftsführung, wird funktionierende Compliance auch von Analysten honoriert. Die Konditionen für Kapitalaufnahme werden günstiger, Versicherungsprämien fallen niedriger aus, denn Compliance ist immer auch Risikovorsorge.

Grundlage der Haftung: die Geschäftsleiterverantwortung

Zuständig und verantwortlich für eine funktionierende Compliance sind grundsätzlich immer die Geschäftsführer einer GmbH beziehungsweise die Vorstände einer Aktiengesellschaft. Das ergibt sich aus ihrer Geschäftsleiterverantwortung, die bei GmbH-Geschäftsführern aus § 43 GmbHG und bei AG-Vorständen aus den § 76 Abs. 1 AktG und § 93 AktG folgt. Zudem hat der Vorstand wie erwähnt die ausdrückliche Pflicht zur Einführung eines Überwachungssystems, „damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Absatz 2 AktG).

Wie weit die Verantwortung reicht, zeigt ein weitreichendes Urteil des Landgerichts München. Die Richter verurteilten einen ehemaligen Siemens-Vorstand zu 15 Millionen Euro Schadenersatz an das Unternehmen. Der Vorwurf: Er hatte kein Compliance-System installiert und damit nicht vorgesorgt, um ein auf schwarzen Kassen beruhendes Schmiergeldsystem zu verhindern (LG München, 10.12.2013, 5 HKO 1387/10). Das Besondere an dem Urteil ist der Umstand, dass diese Missstände gar nicht in den von diesem Vorstand intern verantworteten Bereich fielen.

Das Landgericht dehnte die Compliance-Pflicht also über den Geschäftsbereich eines einzelnen Vorstands hinaus auf die gesamte Vorstandsverantwortung aus. Das Strafgesetzbuch enthält in § 299 StGB das klare Verbot, Bestechungen im Geschäftsverkehr einzufädeln und abzuwickeln. Die Rechtsprechung macht es dem Vorstand einer AG und der Geschäftsführung einer GmbH zur Aufgabe, dafür Sorge zu tragen, dass Straftaten im Unternehmen erst gar nicht möglich sind. Das wurde dem ehemaligen Siemens-Vorstand zum Verhängnis.

Diese Pflicht zum Risikomanagement gilt auch für die Prävention von Cyberstraftaten und IT-Havarien.

Selbst wenn Compliance-Verstöße oder andere Pflichtverletzungen dazu führen, dass man persönlich in Haftung genommen wird, muss das nicht das Ende der eigenen wirtschaftlichen Existenz bedeuten. Und zwar dann nicht, wenn man über eine D&O-Versicherung (Geschäftsführer-Haftpflichtversicherung) abgesichert ist. Fragen Sie uns: 030 863 926 990

Das geplante Kassengesetz: Haftung trotz Zertifikat?

von

Wer mit Kassen-EDV bzw. Registrierkassen zu tun hat, muss sich auf neue Herausforderungen einstellen. Und auch sonst kann man hier etwas lernen, und zwar: Wenn eine Software oder ein System für einen haftungskritischen Bereich gedacht ist, verringert selbst ein Zertifikat das eigene Haftungsrisiko nicht unbedingt.

Doch der Reihe nach …

Kassensysteme bald nur noch mit BSI-Zertifikat?

Das Bundesfinanzministerium möchte durch neue gesetzliche Vorschriften verhindern, dass in Bargeld-Branchen wie der Gastronomie manipulierte Kassensysteme den Staat um Steuereinnahmen bringen. Es will deshalb verschiedene Dinge ändern:

  • Steuerprüfer sollen jederzeit eine „Kassen-Nachschau” durchführen können, und der Einsatz fehlerhafter Kassensysteme oder fehlende Kassendaten können bis zu 25.000 Euro Bußgeld kosten.
  • Außerdem sollen Kassensysteme manipulationssicher sein und alle relevanten Kassen- und Transaktionsdaten für Berechtigte – wie den Prüfer vom Finanzamt – digital abfragbar machen. Eine „technische Sicherheitseinrichtung” wird Pflicht, bestehend aus einem Sicherheitsmodul, einem Speicher für Kassendaten und einer digitalen Schnittstelle. Und das Ganze muss ein BSI-Zertifikat besitzen.

So steht es im Entwurf zum geplanten „Kassengesetz“. Leider bringt das den Betreibern und Einrichtern von Kassensystemen wohl kaum mehr Rechtssicherheit. Im Gegenteil, es erscheint schwer umsetzbar.

Zertifikat gleich ordnungsgemäß? Von wegen.

Diese Kritik an dem Projekt formuliert ein interessanter Kommentar zu dem Gesetzentwurf von Gerhard Schmidt, Diplom-Informatiker und Chefredakteur beim Forum Elektronische Steuerprüfung.

Schmidt wundert sich über die geplante Einführung vorgeschriebener Positiv-Zertifikate. Ein kurzer Seitenblick auf Buchhaltungssoftware zeigt, warum. Bislang hat die Finanzverwaltung es nämlich rundheraus abgelehnt, für Buchführungssoftware eine belastbare Positiv-Zertifizierung auszustellen, etwa in Form einer so genannten verbindlichen Auskunft. Eine solche Zertifizierung würde dem Betreiber des Programms bescheinigen, dass sein System ordnungsgemäß arbeitet, und ihn damit im Effekt von der Haftung freistellen, wenn es dann doch zu Beanstandungen kommt. Diesen Schutz will das Finanzamt aber nicht gewähren.

Statt solcher Positiv-Zertifikate der Finanzverwaltung gibt es bisher nur „Negativ-Negativ-Zertifikate” der Hersteller von Buchhaltungssoftware: So nennt Schmidt Bescheinigungen der Software-Anbieter, dass mit ihrem Programm etwa GoBD-konform gearbeitet werden kann – was aber nicht ausschließt, dass auch missbräuchliche Anwendungsweisen möglich sind. Es liegt auf der Hand, dass solche Dokumente im Zweifelsfall das Unternehmen kaum vor Ordnungswidrigkeitsverfahren und die Verantwortlichen nicht vor der persönlichen Haftung schützen (Motto: „Sie haben nicht für eine ordnungsgemäße Buchführung in Ihrem Unternehmen gesorgt, Sie haften!”).

Zurück zu den Kassensystemen: Ein BSI-Zertifikat macht bei ihnen nur Sinn, wenn es sich um ein Positiv-Zertifikat handelt, demzufolge das zertifizierte System gar nicht missbräuchlich benutzt werden kann. Diese Prüfung wäre aber praktisch kaum machbar, zumal dann nicht nur ein bestimmtes Produkt, sondern auch jede einzelne Installation überprüft oder geeicht werden müsste. Und ob das BSI für von ihm begutachtete Systeme die volle Haftung übernehmen würde? Daran meldet Schmidt Zweifel an – mit Recht.

Die Haftung wird da bleiben, wo sie jetzt schon ist … bei Ihnen

Im Endeffekt wird bei digitalen Kassensystemen zumindest aus Sicht der Haftungsfrage wohl alles so bleiben, wie es ist: Dafür, dass die Kassen ordnungsgemäß betrieben werden, haftet das Unternehmen und im Durchgriff auch dessen Organe, sprich Geschäftsführer oder Vorstände. Dafür, dass die Kassen ordnungsgemäß funktionieren und nicht beispielsweise von außen manipuliert werden, haftet aber natürlich auch derjenige, der die Systeme herstellt, plant, liefert und /oder einrichtet – und im Zweifel auch dessen Führungspersonal.

Deshalb bleibt Absicherung der Haftung weiterhin zentral. Vor Schadenersatzforderungen und Haftung schützen Elektronik- und Maschinenversicherungen, Cyber-Policen, D&O-Versicherungen (Managerhaftpflicht) sowie persönliche und betriebliche Rechtsschutzversicherungen.

Welche dieser Elemente in welcher Form für Ihren Fall relevant sind und auf welche Sie verzichten können, erfahren Sie vom Versicherungsmakler Ihres Vertrauens. Zum Beispiel von uns – rufen Sie uns an unter 30 863 926 990.

Kontrolle der Software-Lizenzen: Ja, die dürfen das.

von

Bei einem acant-Kunden meldet sich die Business Software Alliance – und verlangt geradezu ultimativ, sämtliche Lizenzen für alle dort eingesetzten Microsoft-Produkte nachzuweisen, Dazu Angaben, wer was wann wie nutzt. Bei einem Unternehmen mit rund 70 Mitarbeitern bzw. Arbeitsplätzen sowie diversen Servern ist das ein ganz schöner Aufwand.

Wie das denn sein kann, fragt mich der Inhaber. Und auch gleich: Ob ich weiß, was passiert, wenn irgendwo etwas doch nicht hinhaut? Er kontrolliert ja nicht jeden einzelnen Rechner persönlich.

Nun bin ich Versicherungsmakler und kein Fachanwalt für IT-Recht bzw. Urheber- und Medienrecht. Aber immerhin bin ich gelernter Volljurist. Und ich weiß: Im Urheberrechtsgesetz steht, dass im Fall von Urheberverstößen „in gewerblichem Ausmaß“ der Inhaber der Lizenz-Rechte das Recht auf „Vorlage und Besichtigung“ (§ 101a UrhG) hat. Weiter steht da wörtlich: „Besteht die hinreichende Wahrscheinlichkeit einer in gewerblichem Ausmaß begangenen Rechtsverletzung, erstreckt sich der Anspruch auch auf die Vorlage von Bank-, Finanz- oder Handelsunterlagen.“

Die Wachhunde für Software-Lizenzen von der Software Business Alliance, hinter der neben Microsoft auch Adobe, Symantec, Apple, Trend Micro und viele andere Software-Anbieter stehen, dürfen also ganz schön viel. Sogar die Buchführung kontrollieren, wenn sie einen konkreten Verdacht haben. Wenn der kontrollierte Betrieb sich weigert, können die Prüfer sich eine einstweilige Verfügung besorgen und trotzdem loslegen – das steht auch im Gesetz.

Zum Glück hat unser Kunde eine IT-Betriebsvereinbarung, die neben anderen Vorschriften zur IT-Sicherheit alle Mitarbeiter auch dazu verpflichtet, nur lizenzierte Software zu benutzen. (Beim Abschluss einer Cyber-Versicherung sind solche Regelungen ein Pluspunkt und senken die Prämie!)

Nur: Wenn dann doch irgendein Mitarbeiter ein schwarz installiertes Programm nutzt oder der Administrator gar überall Software installiert, für die gar keine ordentliche Lizenz vorliegt, haften die Geschäftsführung oder der Inhaber trotzdem. Das steht ebenfalls ausdrücklich im Urhebergesetz (§ 99 UrhG), und es ist wohl auch ohne diesen Paragraphen ableitbar.  Und noch schlimmer: Urheberrechtsverstöße führen nicht nur zu durchaus heftigen zivilrechtlichen Ansprüchen, sie sind auch eine Straftat ((§§ 106 – 110 UrhG). Da können also schnell mal eine Anzeige und ein Ermittlungsverfahren drohen.

Deshalb empfehle ich immer:

  • Lizenzen genau archivieren und Lizenzbedingungen einhalten. Man fliegt auch als „kleiner Mittelständler“ keineswegs unter dem Radar der Software-Copyright-Luftüberwachung. Nicht darauf vertrauen, dass schon niemand vorbeikommen wird!
  • Klare Vereinbarung mit allen Mitarbeitern, dass eigenmächtig installierte Programme verboten sind. Das bringt die Geschäftsführung zwar nicht aus der Schusslinie, aber zumindest kann sie dann gegen die Angestellten vorgehen, die einem den Ärger einbrocken.
  • Versichern! Zum ist eine D&O-Versicherung für den Inhaber oder die Geschäftsführer notwendig, damit das Fehlverhalten eines Administrators nicht in persönliche Haftungsansprüchen gegen den Chef mündet. Das geht schneller als gedacht.
  • Und zweitens eine Rechtsschutzversicherung einschließlich Strafrechtsschutz, damit man wenigstens die Einleitung eines Ermittlungsverfahrens (Anhörung) bzw. dessen Durchführung mit anwaltlicher Hilfe halbwegs schadlos übersteht

 

Wenn Sie Fragen dazu haben, wie Sie mit Versicherungen auch dieses Risiko in den Griff bekommen: Sie erreichen uns über 030 863 926 990 oder das Kontaktformular

 

Von Winterkorn lernen heißt: sich eine D&O-Versicherung zulegen

von

Über die Abgastest-Tricksereien bei VW haben Sie bestimmt schon jede Menge gelesen. Ich will nicht noch mal alles wiederkäuen. Nur ein paar Anmerkungen aus meiner Warte:

  • Software kann einen ins Verderben reiten – bzw. in die persönliche Haftung. Auch wenn es hier ausnahmsweise daran lag, dass sie funktioniert hat.
  • VW hat, so hört man, die persönliche Haftpflicht der Vorstände mit 500 Millionen Euro abgesichert. Die Zurich-Gruppe, die das Risiko versichert hat, soll schon Rückstellungen bilden.
  • Die 500 Millionen Euro Deckungssumme werden aber nicht reichen. Schließlich drohen viele Milliarden an Schäden – für die die Manager persönlich haftbar gemacht werden dürften.
  • Wenn Winterkorn und seinen Kollegen nachgewiesen werden kann, dass sie selbst hinter den Tricksereien stecken, werden die D&O-Versicherungen nicht zahlen. Das tun sie bei Vorsatz nie. Dann kann der Konzern bei den Vorständen pfänden, was zu holen ist, und bleibt auf dem Rest der Summe sitzen.
  • Bei strafrechtlichen Ermittlungen  oder Anklageerhebung hilft nur eine persönliche Rechtsschutzversicherung, die auch Strafrechtsschutz umfasst. Sie verhindert natürlich keine Verurteilung – aber sie zahlt neben dem Anwalt auch für Gutachter und Sachverständige. Wenn es allerdings zu einer Verurteilung wegen einer vorsätzlichen Straftat kommt, ist der Versicherungsschutz rückwirkend hinfällig.
  • In solchen Fällen gehen dann auch Topmanager in die Privatinsolvenz, so wie Ex-Arcandor-Chef Middelhoff.
  • Wenn die Vorstände tatsächlich nichts von der defeat device gewusst haben sollten, hilft Ihnen das erst mal gar nichts. Es liegt in ihrer Verantwortung als Vorstände, die betrieblichen Prozesse so zu organisieren, dass Pflichtverletzungen unterbleiben,  zumindest aber bekannt und abgestellt werden.
  • Vorstände können sogar für Compliance-Verstöße haftbar gemacht werden, die in einem ganz anderen Geschäftsbereich passiert sind. Das hat auch einem Siemens-Manager das Genick gebrochen: 15 Millionen Euro plus Zinsen.
  • Man muss kein VW-Vorstand sein, um ein solches Haftungsrisiko zu haben. Das ist beim Geschäftsführer eines mittelständischen Unternehmens nicht anders. Gut, dann erreichen die Schäden vielleicht keine zehnstelligen Summen. Aber auch für einige Millionen persönlich geradestehen zu müssen ändert die Lebensperspektive sehr entscheidend.
  • Die D&O-Versicherung zahlt das Unternehmen.
  • Eine Telefonnummer für alle, die noch keine haben: 030 863 926 990. Glauben Sie mir – wenn Sie ein Unternehmen verantwortlich leiten, brauchen Sie eine solche Versicherung. Und wir sind Spezialisten dafür.

Das IT-Sicherheitsgesetz ist in Kraft – mit neuen Haftungsrisiken

von

Seit letztem Freitag ist das IT-Sicherheitsgesetz in Kraft. Es liegt für unterschiedliche Betroffene die Pflicht zu IT-Schutzmaßnahmen sowie Meldepflichten fest. Allerdings ist im Detail noch ziemlich viel unklar. Die „das Gesetz konkretisierende Rechtsverordnung” des Innenministeriums liegt noch nicht vor.

IT-Sicherheitsgesetz: Wer ist wie betroffen?

  • Direkte Auswirkungen gibt es auf alle Betreiber von geschäftlichen Websites und Online-Shops, denn das IT-Sicherheitsgesetz verschärft das Telemediengesetz. Jeder geschäftliche Auftritt oder Dienst im Web muss technisch und organisatorisch vor unerlaubtem Zugriff, Datenschutzverstößen und Angriffen von außen geschützt sein. Diese Vorkehrungen „müssen den Stand der Technik berücksichtigen”. Als Beispiel wird Verschlüsselung genannt (§ 13 Abs. 7 TMG n. F.). Die Nichtbeachtung kann nicht nur zu Bußgeldern (s. u.), sondern auch zu einer Abmahnung durch die Konkurrenz führen.
  • Sofortige Auswirkungen gibt es auch auf Telekommunikationsanbieter. Sie müssen ab sofort ihre Kunden warnen und unterstützen, falls es Anzeichen dafür gibt, dass deren IT-Sicherheit verletzt wurde. Gleichzeitig darf der Provider zu Präventionszwecken die Kundendaten speichern, bis zu sechs Monate.
    Abzuwarten bleibt, mit welchen Aussichten ein geschädigtes Unternehmen damit nun umgekehrt gegen den Provider vorgehen kann, wenn es keine Warnung gab. Hätte der Provider den unnatürlichen Datenstrom erkennen müssen, den der Trojaner über die Mailserver des Kunden schickt?
  • Anbieter von „kritischen Infrastrukturen“ müssen verbindliche Sicherheitsstandards umsetzen und diese dann alle zwei Jahre zertifizieren lassen. Außerdem müssen sie eine Art „Verbindungsstelle“ zum BSI (Bundesamt für Sicherheit in der Informationstechnik) einrichten und das Amt (das bekanntlich auch den Bundestrojaner mit entwickelte …) über Cyber-Attacken, IT-Havarien und IT-Sicherheitsrisiken informieren.
    Dummerweise ist bislang nicht genau klar, für wen diese Pflichten eigentlich gelten. Das Gesetz nennt nur die Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ als Kriterien.
    Unklar ist auch, wie die verbindlichen Sicherheitsstandards genau aussehen werden. Spekuliert wird über verpflichtende ISMS-Audits auf Basis von ISO 27001. Klarheit schafft hoffentlich die Rechtsverordnung des Innenministeriums. Liegt sie vor, haben die betroffenen Unternehmen sechs Monate Zeit zur Einrichtung der „Meldestelle” und zwei Jahre zur Umsetzung der Sicherheitsanforderungen.
    Kleine und mittlere Unternehmen sind vom IT-Sicherheitsgesetz nicht direkt betroffen. Die Zertifizierungsanforderungen größerer Unternehmen werden sich aber auch auf deren Zulieferer und Dienstleister auswirken.

Neues Haftungsrisiko – für Unternehmen und Geschäftsführer / Manager

Das Gesetz verankert durchaus empfindliche Strafen bei Pflichtverletzungen.

  • Ein Online-Shop oder Website-Betreiber, der die Pflicht zum Datenschutz nach Stand der Technik missachtet, kann im schlimmsten Fall mit 50.000 € bestraft werden.
  • Dieselbe Summe kann den Betreiber einer kritischen Infrastruktur treffen, der die Meldepflichten- und -voraussetzungen nicht erfüllt.
  • Das Bußgeld für ein Unternehmen, das die Sicherheitsstandards nicht verwirklicht, kann bis zu 100.000 € betragen.

Das  hat Auswirkungen auf das rechtliche Risiko von Geschäftsführern, Managern oder Vorständen. Sie haften für die Umsetzung gesetzlicher Vorschriften im Unternehmen – im Ernstfall werden sie schnell persönlich zur Kasse gebeten. Glücklich, wer dann eine D&O-Versicherung (Manager-/Geschäftsführerhaftpflicht) hat.

Fazit: Zusätzliche Risiken, Versichern hilft

Den großen Durchbruch in Sachen Cyber-Sicherheit stellt das IT-Sicherheitsgesetz nun wirklich nicht dar. Immerhin zwingt es Unternehmen quer durch alle Branchen und ganz besonders in den betroffenen Sektoren, sich mit ihrer IT-Sicherheit zu befassen.

Befassen sollten sich Unternehmen wie Geschäftsführer aber auch mit ihrem Risikomanagement. Unternehmen brauchen den Schutz einer Cyber-Versicherung, die Geschäftsführer eine D&O-Versicherung. Dies ist durch die neue Rechtslage noch dringlicher geworden.

Haben Sie Fragen zu Cyber-Versicherung oder D&O-Versicherungen?

Ich gebe Ihnen gerne Antwort. Rufen Sie mich an oder schreiben Sie uns eine Nachricht:  Kontakt.

Der Trend geht zum Zweit-Makler. Aus gutem Grund.

von

Inzwischen nutzen viele unserer Kunden acant als „Zweitmakler“. Ihr angestammter Versicherungsmakler bleibt für die klassischen betrieblichen Versicherungen zuständig, wir betreuen als Fachmakler die Themen Cyberversicherung, Geschäftsführer-/Managerhaftung sowie IT-Projektversicherung.

Wie bei Rechtsanwälten und Ärzten wächst auch bei Versicherungsmaklern der Bedarf an Fachbetreuung für bestimmte Gebiete.

Beispiel Cyber-Police: Der Versicherungstyp ist jung. Die Major Player wie Allianz Global, AXA, ACE, Chubb, R+V, BVK, Hiscox, Württembergische, AIG und die Gothaer haben noch keine jahrelange Schadenerfahrung. Sie passen ihre Produkte deshalb laufend an. Schwerpunkte und Zielgruppen der Policen sind zudem sehr unterschiedlich. Deutsche Versicherern siedeln das Cyber-Thema oft in den Haftpflichtabteilung an, US-Assekuranzen eher bei „Financial Lines“. Daraus ergeben sich  unterschiedliche Vertragsausrichtungen: eher haftpflichtorientiert mit Deckungserweiterung für Eigenschäden im deutschen Fall, Individualpolicen auf Basis von Versicherungsklauseln für Garantieversicherungen oder für Vertrauensschaden und Computermissbrauch bei US-Gesellschaften.

Um zu wissen, was davon für Ihren Bedarf am besten passt und gleichzeitig die geringsten Kosten verursacht, sollte Ihr Versicherungsmakler sich schon etwas häufiger mit Cyber-Risiken befasst haben. Bei persönlichen Haftungsrisiken im Beruf ist das nicht anders. Hier ist es die Rechtsentwicklung, die dafür sorgt, dass sich der Markt für D&O-Policen und andere Betriebs- und Berufshaftpflichtversicherungen laufend ändert. Deshalb sollten Sie auch hier einem Fachmakler vertrauen.

Zweite Meinung?

Sie können sich übrigens auch an uns wenden, wenn Sie eine zweite Meinung zu Versicherungsangelegenheiten einholen wollen. Rufen Sie  an (030 863 926 990) oder schreiben Sie uns.

D&O-Versicherungen und ihre typischen Versicherungslücken

von

Wenn ein Kunde neu zu uns kommt, prüfe ich als Erstes die vorhandenen Versicherungsverträge auf Versicherungslücken – und zwar die Versicherungen für das Unternehmen selbst ebenso wie die Haftpflichtpolicen für die Entscheidungsträger. Dabei treffe ich immer wieder auf die gleichen Deckungslücken.

D&O-Versicherungen sind für Verantwortungsträger im Unternehmen ein Muss

D&O-Versicherungen sind personenbezogene Haftpflichtpolicen für Geschäftsführer, Vorstände, Abteilungsleiter etc – und unverzichtbar. Ohne diesen Schutz können ein zu spät gestellter Antrag auf Insolvenz, Versäumnisse beim Datenschutz, ein nicht angemeldetes Patent oder andere geschäftliche Entscheidungen bis in die Privatinsolvenz führen. Seit dem „Siemens/Neubürger“-Urteil muss es noch nicht einmal mehr eine echte, eigene Entscheidung sein, die mittelbare Verantwortung für Versäumnisse im Unternehmen reicht  (und zwar im konkreten Fall für Forderungen  in Höhe von 15 Mio. € plus Zinsen gegen den ehemaligen Vorstand, LG München, 10.12.2013 – 5 HK O 1387/10, jetzt in Berufung vor dem OLG München, Az. 7 U 113/14).

Immer wieder die gleichen Fehler

Deshalb schaue ich mir die D&O-Versicherungen neuer Kunden immer sehr genau an. Leider finden sich bei der persönlichen Absicherung von Verantwortungsträgern regelmäßig die folgenden Versicherungslücken:

  • Nach dem Ausscheiden besteht kein oder kein zuverlässiger Schutz mehr: Auch Forderungen an einen ehemaligen Vorstand oder die frühere Geschäftsführerin sind juristisch problemlos möglich. Oft sieht der D&O-Vertrag aber keine Rückwärtsdeckung oder Nachhaftung vor, und per „Claims-made“-Prinzip wird der Haftungszeitraum eingeschränkt. Dann ist der ehemalige Geschäftsführer schutzlos.
  • Nur privatrechtliche Ansprüche sind versichert, öffentlich-rechtliche nicht: Oft umfasst die Haftpflichtversicherung nicht die persönliche Haftung für Steuerschulden des Unternehmens oder Außenstände bei den Sozialversicherungen – dabei sind das oft absolut existenzbedrohende Summen.
  • Ansprüche des Unternehmens selbst gegen den Geschäftsführer, Vorstand oder Aufsichtsrat sind nicht mitversichert. Diese Deckung ist bei Versicherungsgesellschaften unbeliebt, weil sie Angst vor Unregelmäßigkeiten haben. Aber diese Art der Forderung ist in der Praxis eines der größten Risiken für die „Organe“ einer Kapitalgesellschaft.

Solche Lücken lassen sich beheben. Aber dazu muss man sie zunächst einmal aufspüren!

Wie bei allen Versicherungen gilt auch für eine D&O-Police: Schutz bietet Ihnen nicht die Überschrift über dem Vertrag und auch nicht das Geld, das Sie jedes Jahr überweisen. Schutz bieten nur die genauen Details im VertragHat Ihr persönlicher Haftungsschutzschirm ebenfalls Löcher? Ich kann es Ihnen sagen.