Cyber-Versichert – auch gegen die eigenen Mitarbeiter

Wer das Cyber-Risiko durch eigene Mitarbeiter versichern will, braucht eine Vertrauensschadenversicherung, die eine Computermissbrauchversicherung einschließt.

Beides ist in vielen gängigen Cyber-Policen enthalten und schützt Ihr Unternehmen vor Schäden durch unvorsichtige oder pflichtvergessene Mitarbeiter – ein Risiko, das sich grundsätzlich nicht ausschließen lässt.

Der Mitarbeiter als IT-Risiko

Das zeigt auch ein Posting vom Datenschutzblog29, das Schusseligkeit (unterwegs verlorene Laptops), schlechte Passwörter und Phisingmails beklagt. Natürlich kann man mit Mitteln der IT etwas dagegen tun.

  1. Man kann lange Passworte mit Sonderzeichen, Großbuchstaben und Zahlen erzwingen. Aber dann klebt das Ergebnis eben als gelbe Haftnotiz am Schreibtisch. (Kann sich ja keiner merken …)
  2. Man kann die Speicher sämtlicher Firmenlaptops verschlüsseln. Aber: siehe Punkt 1.
  3. Man kann und soll die Mitarbeiter über Phishing und Sicherheit informieren. Aber bleibt der E-Mail-Anhang von der jungen, charmanten, neuen Bekannten aus dem Branchenforum deshalb ungeöffnet? Eben.

Und das waren nur Sicherheitsverletzungen aus Dummheit. Ganz schwer kontrollierbar ist ein Mitarbeiter, der dem Unternehmen mit Absicht schaden will – ob aus Rachsucht oder zum eigenen Vorteil.

Die Grenzen der Technik … sind der Beginn des Versicherungsbedarfs

Fazit: Die IT-Administration kann gegen Sicherheitsverletzungen durch Mitarbeiter einiges ausrichten. Allein dadurch das Risiko unter Kontrolle zu halten, ist illusorisch. Das lässt sich jedoch durch speziellen Versicherungsschutz sicherstellen.

  • Eine Vertrauensschadenversicherung zahlt bei Schäden durch Veruntreuung, Unterschlagung, Diebstahl, Geheimnisverrat oder Betrug durch eigene Mitarbeiter – auch Straftaten Dritter lassen sich einschließen.
  • Die Computermissbrauchsversicherung erweitert diesen Schutz auf IT-bezogene Taten wie die Veränderung von Software, das unbefugte Kopieren oder Löschen von Daten oder das Zerstören von Datenspeichern.

Unvorsichtige oder böswillige Mitarbeiter mögen Laptops verlieren, die Firewall umgehen oder Ihre Daten klauen. Eine Versicherungspolice im Unternehmenssafe ist vor ihnen sicher.

Wie teuer ist eine Vertrauensschadenversicherung und/oder eine Computermissbrauchsversicherung speziell für Ihr Unternehmen? Für eine schnelle Auskunft schicken Sie mir eine kurze Nachricht oder rufen mich einfach an.

Cyber-Angriff + Kündigungsschutz = Risiko persönlicher Haftung

„Eine Betriebsunterbrechungsversicherung sorgt dafür, dass im Schadensfall – z. B. Betriebsausfall durch Brand – die fixen Kosten übernommen werden. Dazu gehören auch Löhne und Gehälter.

Und weil es solche Versicherungen gibt, wird es schwierig bis unmöglich, Mitarbeiter betriebsbedingt zu kündigen, nur weil  die Firma gerade abgebrannt ist. Begründung der Arbeitsrichter: „Sie, Herr Geschäftsführer, hätten ja versichern können.” Hat der Manager die Versicherung versäumt, droht ihm die persönliche Haftung für die Lohnkosten der Mitarbeiter, die jetzt unproduktiv herumsitzen.

Genau das gleiche Risiko zeichnet sich auch bei Cyber-Angriffen ab. Datenbank platt, Produktion lahmgelegt, enorme Ausfälle – aber Kündigungen gehen trotzdem nicht durch. Statt dessen muss die Geschäftsführung sich mit Fragen zur persönlichen Haftung herumschlagen – wenn es keine Cyber-Risk-Versicherung gab.

Cyber-Risiken sind eben nicht (nur) das Problem der IT-Abteilung. Eine Cyber-Versicherung auch für die Geschäftsführung wichtig.  Und eine D&O-Police zur Absicherung der persönlichen Haftpflicht ebenfalls.

Wer haftet, wenn IT-Mitarbeiter Fehler machen – das Unternehmen oder der Mitarbeiter selbst?

Shit happens.

Wenn man im IT-Bereich arbeitet, sollte man als Arbeitnehmer natürlich dafür sorgen, dass Schäden so weit wie irgend möglich vermieden werden – dem eigenen Unternehmen zuliebe, der Kunden wegen, und ganz besonders im eigenen Interesse. Aber was passiert, wenn jemand dann doch „Mist gebaut” hat?

Viele IT-ler – vom Support-Mitarbeiter bis hin zum Vorstand oder Geschäftsführer – wissen nicht wirklich über die persönlichen Haftungsrisiken Bescheid, die der Beruf jeden Tag mit sich bringt.

Der Arbeitnehmer haftet gegenüber seinem Arbeitgeber.

Das gilt um so umfassender, je höher er in der Hierarchie steht. Wie für jeden Arbeitnehmer gelten für den IT-Leiter, den Sicherheitsbeauftragten oder Administratoren so genannte „arbeitsvertragliche Nebenpflichten” in Form von Schutz-, Mitwirkungs-, Geheimhaltungs- oder Aufklärungspflichten. Dabei wird juristisch ein „fiktiver“ Maßstab angelegt – als Vergleich dient ein „typischer” Mitarbeiter mit durchschnittlichen Fähigkeiten in einer vergleichbaren Position. Mit anderen Worten: An den leitenden Mitarbeiter werden höhere Anforderungen gestellt als an den gewöhnlichen Mitarbeiter.

Wenn der Arbeitnehmer seine Pflichten aus dem Arbeitsvertrag verletzt und beim Arbeitgeber deshalb ein Schaden eintritt, dann haftet der Mitarbeiter. Im Gesetz (§ 619a BGB) ist für solche Fälle allerdings eine Umkehr der Beweislast verankert: Der Arbeitgeber muss das Verschulden des Arbeitnehmers beweisen.

Die Haftung gegenüber dem Arbeitgeber richtet sich nach dem Grad der Fahrlässigkeit.

Die juristischen Kriterien für die Haftung von Arbeitnehmern im Rahmen des sogenannten innerbetrieblichen Schadensausgleichs wurden von der Rechtsprechung ursprünglich für „gefahrgeneigte Arbeit“ entwickelt. Die neuere Rechtsprechung hat sie aber längst auf jede Tätigkeit ausgeweitet, einschließlich von IT-Berufen. Sie bestimmen, dass der Arbeitnehmer nur beschränkt für Schäden haftet, die er im Rahmen seiner beruflichen Tätigkeit fahrlässig verursacht hat, und zwar abhängig vom Ausmaß der Fahrlässigkeit. (Der Begriff der „Gefahrgeneigtheit“ geistert trotzdem noch immer durch das Vokabular im Arbeitsrecht, er wird im eigentlichen Sinn jedoch heute nur noch dafür benutzt, um in bestimmten Fällen den Schaden zwischen Arbeitnehmer und Arbeitgeber aufzuteilen.)

Juristen unterscheiden zwischen leichter, mittlerer und grober Fahrlässigkeit sowie Vorsatz.

  • Bei leichter Fahrlässigkeit (Kategorie: „Passiert jedem mal”, etwa ein zu Boden gefallenes und deshalb kaputtes iPad) haftet der Arbeitnehmer nicht gegenüber seinem Arbeitgeber.
  • Bei mittlerer Fahrlässigkeit wird es komplizierter. Die liegt dann vor, wenn der Arbeitnehmer seine Sorgfaltspflicht missachtet hat. Ein Beispiel könnte sein, dass ein Gerät mit dem falschen Netzteil verbunden und durch Überspannung beschädigt wurde. In diesem Fall wird der Schaden zwischen Arbeitnehmer und Arbeitgeber aufgeteilt, wobei je nach den Gegebenheiten im konkreten Fall eine Quote (z. B. 40/60 oder 50/50) festgelegt wird. Die Kriterien dafür sind u. a. das Ausmaß des Fehlverhaltens (Wie blöd muss man sich anstellen, damit so etwas passiert?), die Gefahrgeneigtheit der konkreten Arbeit (Wie leicht kann dabei etwas schief gehen?) und die Person des Arbeitnehmers (Wie viel Erfahrung hat er, ist ihm so etwas schon öfter passiert?). Aber auch die Frage nach dem Mitverschulden des Arbeitgebers ist wichtig (Wurde dafür gesorgt, das konkrete Risiko wenn möglich zu verringern, z. B. durch Informationen? Hätte der Arbeitgeber die Möglichkeit gehabt, diese Art Schaden zu versichern, aber darauf verzichtet?) All das fließt in die Beurteilung ein und ergibt dann die Quote der Schuldzuteilung, die im Streitfall vom Gericht festgelegt wird.
  • Einfacher ist der Fall wieder bei grober Fahrlässigkeit („Darf nicht passieren”) oder gar bei Vorsatz. Wer betrunken die Datenbank verwalten will und dabei zerschießt, oder gar bewusst Passwörter an Dritte verrät, der haftet seinem Arbeitgeber in der Regel voll für den Schaden, den dieser dadurch erleidet. Vorsatz ist allerdings nur dann gegeben, wenn Sie als Arbeitgeber beweisen können, dass der Arbeitnehmer den Schaden bewusst herbeiführen wollte. Und auch hier kann die Haftungspflicht des Angestellten dadurch geringer werden, wenn der Arbeitgeber zur Schadenhöhe beitragen hat – weil er zum Beispiel mögliche und zumutbare Versicherungen nicht abgeschlossen hat.

Gegenüber Kunden, Kollegen und unbeteiligten Dritten haftet der Arbeitnehmer voll.

Anders sieht es bei der Haftung gegenüber Dritten wie beispielsweise Kunden des Unternehmens aus. Für die dort eingetretenen, von ihm verschuldeten Schäden haftet der IT-Mitarbeiter persönlich und in voller Höhe.

Bei leichter Fahrlässigkeit, im Einzelfall sogar bei mittlerer und grober Fahrlässigkeit, hat der Mitarbeiter allerdings einen Freistellungsanspruch gegen seinen Arbeitgeber, soweit er nach den gerade genannten Kriterien nicht haften muss.

Versichern!

Noch einmal: Wenn der Mitarbeiter bei seiner Arbeit für das Unternehmen mittelmäßig fahrlässig handelt und dadurch beim Kunden einen Schaden für das Unternehmen verursacht, dann aber ins Feld führen kann, dass diese Tätigkeit ja problemlos hätte versichert werden können, dann hat er sehr gute Chancen, mit diesem Argument vor Gericht Gehör zu finden, soweit ein Rückgriff des Versicherers auf den Mitarbeiter vertraglich ausgeschlossen ist  – das ist gängige Rechtsprechung.

Generall hat das Unternehmen im Streit um die Haftung gegenüber dem Arbeitnehmer immer das Problem der Beweislast.

Dazu kommt, dass die Chancen für Zahlungsfähigkeit im Vergleich bei der Versicherung deutlich besser aussehen – diese kann sich ja rückversichern. Dagegen kann gerade in der IT-Branche ein einfacher Angestellter ganz schnell Schäden anrichten, die seine finanziellen Ressourcen weit übersteigen. Ein Schadenersatzanspruch, den Sie mangels Zahlungsfähigkeit nicht durchsetzen können, nützt Ihnen wenig.

Fazit: Auch die Risiken, die sich aus möglichen Fehlern Ihrer Mitarbeiter ergeben, sollten unbedingt angemessen versichert sein.

Wenn Sie Fragen dazu haben

Ich berate Sie gerne. Rufen Sie mich an oder schicken Sie mir eine Nachricht.