Datenschutz bringt echte Marktvorteile – und nicht nur Karma-Punkte

Versichern und vermeiden

Als Versicherungsmakler liegt es mir am Herzen, dass die Risiken, gegen die ich die von mir betreuten Unternehmen versichere, möglichst nie Realität werden.

Nicht, weil die Versicherung dann zahlen muss. (Als Versicherungsmakler bin ich kein Versicherungsvertreter, das kann man gar nicht oft genug wiederholen. Ich verkaufe nicht Produkte eines Versicherers, ich „verkaufe” vielmehr Know-how und Beratung, damit der Versicherungsnehmer markt- und risikogerechten Versicherungsschutz bekommt. Dabei stehe ich auf Seiten des Versicherungsnehmers. Dazu bin ich sogar gesetzlich verpflichtet.)

Sondern deshalb, weil kein Schaden immer besser ist als selbst ein anstandslos regulierter Schaden. (Das erspart dem versicherten Unternehmen Ärger und mir  Arbeit, schließlich kümmere ich mich auch um Schadensregulierung.)

Und deshalb liegt mir das Thema Datenschutz am Herzen.

 

Datenschutz: vom Nerd-Thema zum Risikofaktor

Zu den großen Risiken im IT-Umfeld gehört mittlerweile das des Datenlecks. Aus einem Dornröschenthema für Fachjuristen und engagierte Nerds ist in wenigen Monaten ein echtes Damoklesschwert geworden, das jetzt über allen baumelt, die die Zeichen der Zeit nicht erkannt haben.

Denn inzwischen legen auch die Verbraucher Wert auf Datenschutz. „Datenschutz darf Geld kosten” – so fasste der vzbz die Ergebnisse einer Umfrage unter Verbrauchern zusammen, die er bei TNS Emnid in Auftrag gegeben hatte. Mehr als ein Drittel der Befragten zeigt sich demnach bereit, größere Datensicherheit auch mit einem höheren Preis zu honorieren. Und für Unternehmen ist inzwischen auch klar, wie riskant es ist, wenn das eigene Risikomanagement im Blindflug erfolgt.

(Etwa bei der Cloud – wenn man persönliche Daten von Dritten an einen Dienst außerhalb der EU übergibt, noch dazu unverschlüsselt bzw. mit Schlüsseln, die auf dem Server dort liegen, und der Vertrag außerdem keine Grundlage für Regressansprüche an den Cloud-Anbieter hergibt,  falls doch etwas passiert, und auch keine Lösch- oder Auskunftsansprüche nach deutschem Recht – das ist dann z. B. Blindflug.)

Aber eigentlich wollte ich gar nicht  von den Risiken beim Datenschutz reden – sondern von den Chancen. Denn das ist ja das Gute: Beim Thema „Datenschutz” geht es nicht darum, nur den Teufel an die Wand malen – man kann auch auf real existierende Vorteile verweisen. Ein funktionierendes Datenschutzkonzept ist ein echter Marktvorteil geworden. Sowohl bei Unternehmenskunden wie auch bei Endverbrauchern.

Datenschutz-Risiko: Quasi ein Schnelltest

Wie groß der eigene Handlungsbedarf ist, lässt sich – zumindest vorab – schon mit ein paar einfachen Punkten herausfinden.  Wer das alles so spontan unterschreiben kann, ist schon mal recht gut aufgestellt:

  • Bei uns gibt es einen Datenschutzbeauftragten, und zwar nicht nur pro forma. (Oder: Wir brauchen wirklich keinen.)
  • Sowohl in den Verträgen mit unseren Kunden wie auch mit unseren Dienstleistern sind Datenschutzansprüche klar geregelt, auch der Haftungsfall.
  • Für alle personenbezogenen Daten, die wir speichern, haben wir entweder eine gesetzliche Befugnis oder eine nachweisbare Einwilligung der Betreffenden. Und wir können personenbezogene Daten komplett löschen und tun dies auch, wenn der Nutzer sich abmeldet, kündigt o. ä.  Und zwar auch von allen Backup-Systemen etc.
  • Unsere Security-Policies und Schutzmaßnahmen sind auf den Stand der Zeit. Und auch die Privat-Geräte der Mitarbeiter bilden keine Lücke im System.
  • Falls doch etwas passiert, und wir verantwortlich sind (und das sind wir selbst dann, wenn unser Provider/Dienstleister/Cloud-Dienst/Mitarbeiter … schuld ist), dann kommen zwar Schadenersatzforderungen auf uns zu, aber wir sind versichert. Wir haben das Thema Datenschutz schließlich rechtzeitig mit unserem Versicherungsmakler durchgesprochen.

Falls Sie Fragen oder Anmerkungen zum Thema „Datenschutz-Risiken und Versicherungen“ haben: Sprechen Sie mich an.

 

 

 

EU-Datenschutzgrund­verordnung: Was auf IT-Unternehmen zukommt

Datenschutz ist großes Thema – auch auf EU-Ebene. Doch abseits täglich wechselnder Aufregungen über abgehörte Handys und und Netzknotenpunkte gibt es beim Datenschutz auch Bewegungen, die den Geschäftsalltag der Unternehmen sehr konkret beeinflussen werden: Die neue EU-Datenschutzgrundverordnung nimmt Gestalt an.

Die geltende EU-Richtlinie zum Datenschutz stammt aus dem Jahr 1995. Damals tröpfelten die Daten oft noch mit 28.8 kBit/s durch das Modem in den Rechner. Und mit ähnlicher Geschwindigkeit schien sich auch die Nachfolgeverordnung über die verschlungenen Pfade der europäischen Gesetzgebung zu bewegen. Immerhin – sie hat das EU-Parlament erreicht und wurde dort in einer Kompromissfassung beschlossen .

Verabschiedet sehen will die zuständige Kommissarin, Viviane Reding, die neue Datenschutzverordnung bis April 2014 – das ist sehr ambitioniert. Aber im Mai 2014 sind EU-Wahlen. Und nachdem das Datenschutzthema nun dank Angela Merkels Smartphone endgültig die Schlagzeilen beherrscht, scheint vieles möglich. Es könnte sich also mittelfristig einiges ändern für IT-Unternehmen.

Der jetzige Text der Vereinbarung ist noch längst nicht der Stand, der dann irgendwann auch in Kraft tritt – vorher müssen EU-Kommission und die Regierungen der Mitgliedsstaaten zustimmen. Und allein bis jetzt gab es schon über 3.000 Änderungsanträge, wie Matthias Spielkamp auf iRights.info berichtet.

Interessante Regelungen enthält die Vorlage in jedem Fall:

  • Unternehmen, die von der Verordnung erfasst werden, müssen einen Datenschutzbeauftragten ernennen, eine Risikoanalyse zur Datenverarbeitung erstellen und sich alle zwei Jahre einer Überprüfung unterziehen. Aus Sicht des Risikomanagements ist das eine Risikoerhöhung. Wenn der Audit nicht bestanden wird, drohen ja Geschäftsausfälle.
  • Gelten soll die Verordnung für Unternehmen, wenn sie die Datensätze von mehr als 5000 Nutzern speichern –  das ist schnell erreicht. Demgegenüber wollte die EU-Kommission die Schwelle durch eine Mitarbeiterzahl 250 festlegen. Das ist natürlich ein großer Unterschied. Denn auch kleine Unternehmen haben schnell 5000 Newsletter-Abonnenten, Bestelladressen oder Datensätze in der von ihnen verwalteten Kundendatenbank.
  • Wie immer die Schwelle bestimmt wird: Firmen unterhalb davon brauchen keinen Datenschutzbeauftragten mehr. Das deutsche Datenschutzrecht schreibt im Moment vor, dass ein – externer oder interner – Datenschutzbeauftragter berufen werden muss, wenn mindestens zehn Mitarbeiter mit der Verarbeitung persönlicher Nutzerdaten zu tun haben. (Andererseits: Mit dem Datenschutzbeauftragten ist das Unternehmen die Haftung für Datenschutzverstöße ohnehin nicht los. Die bleibt im Zweifelsfall direkt bei der Geschäftsleitung – wo sie übrigens auch jetzt schon ist.)
  • Auch noch umstritten ist die Frage, wie hoch die Sanktionen bei Verstößen ausfallen. Dieser Aspekt ist aus aus Sicht des Risikomanagements natürlich besonders interessant. Die EU-Kommission wollte Strafen für Unternehmen auf eine Million Euro oder bei zwei Prozent des Jahresumsatzes deckeln. Die Parlamentsvorlage ist deutlich schärfer und legte die Grenze bei 100 Millionen Euro und fünf Prozent vom Umsatz fest. Der „Preis” für Datenschutzverstöße hat natürlich sehr direkte Auswirkungen darauf, wie teuer die Prämien der Vermögensschadenhaftpflicht oder der D&O- (Managerhaftpflicht)-Policen werden.
  • Geregelt wird auch das Recht auf Auskunft über gespeicherte Daten und auf deren Löschung. Beides schreibt das deutsche Datenschutzrecht im Grundsatz ja auch schon vor. Neu wäre aber, dass ein Unternehmen auch dafür verantwortlich ist, alles „Vertretbare“ zu unternehmen, um Dritte, welche die Daten verarbeitet haben, davon in Kenntnis zu setzen, dass der Betroffene die Löschung seiner Daten und damit auch Verlinkungen verlangt. Hier kündigen sich möglicherweise neue Haftungsrisiken an, die durch entsprechende Verträge mit Geschäftspartnern, aber auch durch Anpassung der eigenen Haftpflichtversicherung aufgefangen werden müssen.
  • Persönliche Daten dürfen nur mit Einwilligung erfasst oder verarbeitet werden. Allerdings gibt es eine etwas schwammige Ausnahmeregelung, die bei Datenschutzaktivisten Protest auslöst. Mal abwarten, wie dieser Punkt am Ende gefasst wird.
  • Auch nicht ohne ist für die Anbieter das Recht aus Datenportabilität: Selbst erstellte Profile und Inhalte soll der Nutzer von einem Dienst zum anderen mitnehmen können wie die Rufnummer beim Wechsel des Mobilfunkvertrags. Die bisher genutzte Plattform muss dann die gespeicherten, möglicherweise bereits veröffentlichten und von anderen Nutzern geteilten Inhalte löschen. Auch das ein neues Haftungsrisiko.
  • Datenschutzverstöße wie Datendiebstahl müssen den Betroffenen ohne Verzögerung, mindestens innerhalb 72 Stunden, mitgeteilt werden. Das begründet wiederum mögliche Ansprüche von Kunden, die zu spät über Datenverluste informiert werden.
  • Datenschutzrechtliche Ansprüche von EU-Bürgern werden durch die EU-Verordnung vereinheitlicht. Zur Zeit können Services mit Sitz in den USA sich auf dortige Bestimmungen zurückziehen, auch bei deutschen Kunden. Das wird dann Vergangenheit sein – auch US-Dienste müssen sich an die EU-Vorschriften halten, wenn sie EU-Nutzer haben. Ob das auch durchsetzbar ist, muss man allerdings abwarten.

Wie gesagt: Noch ist vieles im Fluss, die große Schlacht der Lobbyisten, Aktivisten und Einflussgruppen ist noch lange nicht vorbei. Aber eines ist sicher: Datenschutz hat einen Preis, und den zahlen unter anderem die Unternehmen. Zum Beispiel in Form erhöhter Versicherungsprämien für Policen mit erweiterter Deckung. Um so wichtiger ist es, die Versicherungsverträge optimal zu gestalten, um weder Geld zu verschenken noch von Deckungslücken bedroht zu werden.

 

Ein externer Datenschutz­beauftragter braucht eine Zusatz-Versicherung (auch ein Rechtsanwalt)

Externer Datenschutzbeauftragter? Haftpflicht-Zusatzversicherung nötig

Wenn Sie als externer Datenschutzbeauftragter tätig sind und keine Zusatzversicherung bzw. Deckungserweiterung Ihrer Berufshaftpflichtpolice haben, führen Sie eine gewagte Existenz. Sie haben dann Haftungsrisiken übernommen, die vermutlich nicht versichert sind. Das gilt auch, wenn Sie als Rechtsanwalt eine Pflichtversicherung haben.

Ihre Haftung aus der Tätigkeit als externer Datenschutzbeauftragter ist durch die „normale” Berufshaftpflichtversicherung bzw. Vermögensschadenhaftpflicht nicht abgedeckt.

Die Deckungserweiterung kann durchaus zu einer Zusatzprämie führen, die sich im Regelfall am Honorarumsatz der Tätigkeit als Datenschutzbeauftragter bemisst.

Das gilt auch bei Rechtsanwälten

Vielen externen Datenschutzbeauftragten ist nicht bewusst, dass diese Zusatztätigkeit in der Deckung Ihrer Berufshaftpflichtversicherung nicht automatisch enthalten ist. Es ist aber so – das haben mir auf Anfrage alle gängigen Anwaltsversicherer bestätigt. Eine typische Begründung lautet, die Arbeit als Datenschutzbeauftragter sei ja keine freiberufliche Tätigkeit.

Auch bei der Bundesrechtsanwaltskammer konnte ich keine Bestätigung dafür bekommen, dass man dort die Tätigkeit als externer Datenschutzbeauftragter zum typischen Tätigkeitsprofil eines Anwalts zählt, die also unter das Berufsbild des Rechtsanwalts subsumiert werden könnte.

Es bleibt dabei: Als externer Datenschutzbeauftragter brauchen Sie in aller Regel

  • entweder eine eigene Haftpflichtversicherung speziell für diese Tätigkeit, oder
  • eine Erweiterung der Deckung Ihrer Berufshaftpflicht-Police,

… sonst stehen sei im Haftungsfall „nackt” da.

Eine Anmerkung aus Sicht der Kunden

Haben Sie als Datenschutzbeauftragter versäumt, sich für diese Tätigkeit zu versichern, können die Folgen für Ihre Kunden mindestens ebenso problematisch sein. Verschulden Sie einen Datenschutzverstoß, hat der Kunden zwar grundsätzlich einen Anspruch auf Regress für den entstandenen Schaden einschließlich der Vermögensschäden. Doch das wird wenig nutzen, wenn die finanzielle Absicherung dafür fehlt.

Im Zweifel kann sogar eine persönliche Haftung des Geschäftsführers oder Inhabers Ihres Auftraggebers abgeleitet werden (Auswahlverschulden). Schon deshalb sollte jedes Unternehmen, das einen externen Datenschutzbeauftragten unter Vertrag nimmt, einen Versicherungsnachweis speziell für diese Tätigkeit verlangen. Sie selbst wiederum können mit einem solchen Versicherungsnachweis gegenüber potenziellen Kunden punkten.

Interner oder externer Datenschutzbeauftragter? Auch Risiken und Haftung zählen

Ob ein interner oder externer Datenschutzbeauftragter für ein IT-Unternehmen die bessere Wahl ist, hängt nicht nur von den direkten Kosten ab. Wichtig sind auch die Auswirkungen auf das Unternehmensrisiko und mögliche Haftungsgesichtspunkte.

Haftung beim Datenschutz

Für IT-Unternehmen ist es besonders „leicht”, gegen Datenschutzbestimmungen zu verstoßen. Mit personenbezogenen Daten zu arbeiten ist für sie ja Alltag. Dafür genügt es schon, wenn sie für ein anderes Unternehmen eine Datenbank mit dessen Kunden-, Bestell- oder Personaldaten anlegen oder pflegen. Prompt ergibt sich eine ganze Reihe von Rechtspflichten (aus dem Bundesdatenschutzgesetzes BDSG , aber auch aus anderen Gesetzen wie dem  TKG oder dem TMG) und damit eine Menge Stolperfallen.

Die Liste der Details, auf die das Unternehmen beim Datenschutz  achten muss, reicht …

  • von der formellen, schriftlich fixierten Beauftragung  bei Datenverarbeitung im Auftrag des Kunden …
  •  über die Bestellung eines kompetenten  internen oder externen Datenschutzbeauftragten (Pflicht spätestens ab 10 Personen, die  mit personenbezogenen Daten zu tun haben einschließlich freier Mitarbeiter, Praktikanten etc.) sowie …
  • umfangreichen Dokumentationspflichten (interner und externer Verfahrensnachweis) bis hin zu …
  • Auskunfts- und Belehrungspflichten gegenüber Dritten.

Für die Einhaltung der Datenschutzvorschriften ist die Geschäftsführung verantwortlich. Diese Verantwortung lässt sich auch nicht einfach delegieren, bei einem Datenschutzverstoß muss sich der Geschäftsführer oder der Vorstand zumindest ein Organisationsverschulden anrechnen lassen.

Wann haftet ein externer Datenschutzbeauftragter?

Schon aus Haftungsgesichtspunkten ist es oft sinnvoll, einen externen Datenschutzbeauftragen zu engagieren. Dieser haftet grundsätzlich einmal dafür, dass er seine Funktion ordentlich erfüllt –  egal ob es sich um einen Rechtsanwalt handelt oder ob man einen spezialisierten Dienstleister wie etwa den TÜV oder das IITR nutzt. Natürlich kommt es auf die Vertragsgestaltung an, ein kompletter Haftungsausschluss oder die pauschale Beschränkung auf eine bestimmte Summe  ist für externe Datenschutzbeauftragte nach gängiger Rechtsansicht jedoch nicht möglich.

Deshalb brauchen externe Datenschutzbeauftragte auch unbedingt eine Versicherung ihrer beruflichen Vermögensschadenshaftpflicht. Von einem externen Datenschutzbeauftragten sollten Sie sich deshalb auf jeden Fall eine Versicherungsbestätigung vorlegen lassen, als Nachweis einer angemessenen Vermögensschadenhaftpflichtversicherung. Handelt es sich um einen  Rechtsanwalt, dann ist er zwar ohnehin pflichtversichert, aber seine  anwaltliche Berufshaftpflichtversicherung deckt nicht von vornherein mögliche Schäden aus der Tätigkeit als externer Datenschutzbeauftragter ab. Dafür ist eine Erweiterung der Police oder eine Zusatzversicherung notwendig. Das gilt natürlich auch für andere Berufe.

Allerdings kann ein  Unternehmen, das einen externen Datenschutzbeauftragten bestellt, die Haftung nicht einfach an diesen „weitergeben”. Kommt es zu einem Datenschutzverstoß, ist dennoch die Unternehmensleitung die Adresse für den Geschädigten. Muss das Unternehmen aber z. B. Schadenersatz leisten, kann es seinerseits den externen Datenschutzbeauftragen in Anspruch nehmen, falls dieser durch seine Tätigkeit den Verstoß hätte verhindern können und müssen.

Im Gegensatz zu einem internen Mitarbeiter, der als Arbeitnehmer nur beschränkt haftet, muss ein externer Beauftragter nicht etwa grob fahrlässig oder vorsätzlich gehandelt haben, um zu haften – einfaches Verschulden reicht grundsätzlich. Deshalb ist der Versicherungsnachweis wichtig. Er stellt sicher, dass die  die Ansprüche des Unternehmens im Falle eines Falles nicht ins Leere gehen.

Hat die Geschäftleitung jedoch einen unversicherten Datenschutzbeauftragten unter Vertrag genommen und gehen Regressansprüche finanziell ins Leere, muss der Geschäftsführer bzw. Inhaber unter Umständen sogar damit rechnen, dass ihm das als Auswahlverschulden zur Last gelegt und daraus seine eigene persönliche Haftung abgeleitet wird.

Unternehmensrisiken verringern

Eine Anmerkung aus der Sicht des Versicherungsmaklers und Versicherungsexperten: Die Haftung des externen Datenschutzbeauftragten reduziert  das Risiko von Unternehmen und Geschäftsführung und damit den Versicherungsbedarf. Solche Haftungsaspekte sind für das Unternehmen selbst wichtig, sie fallen aber auch für mich als Versicherungsmakler ins Gewicht, wenn ich die Unternehmensrisiken begutachte.

Wie man sieht, ist  betrifft die Arbeit eines Versicherungsmakler nicht nur den Versicherungsabschluss. Meine Kunden und Mandanten erhalten gleichzeitig auch wichtige Anhaltspunkte für ihre Geschäftsentscheidungen.

Noch zwei Anmerkungen:

  •  Ein externer Datenschutzbeauftragter ist selbst aus Sicht des Personalwesens oft die sinnvollere Alternative. Ein interner Datenschutzbeauftragter ist im Rahmen dieser Tätigkeit von Weisungen unabhängig, hat Anspruch auf fortlaufende Weiterbildungen und genießt einen besonderen Kündigungsschutz – das kann zu Konflikten führen.
  • Immer wieder kommen Geschäftsführer auf die Idee, sich selbst zum Datenschutzbeauftragten zu bestellen oder dafür den Steuerberater zu nehmen, aber das  funktioniert nicht. Der Beauftragte darf nach gängiger Rechtsmeinung nicht in einem grundsätzlichen Interessenkonflikt zu seiner sonstigen Tätigkeit für das Unternehmen stehen.