Der Europäische Gerichtshof sorgt für verschärfte Haftung bei DSGVO-Verstößen, zum Glück kann die Schadenersatzpflicht versichert werden. Fotograf: Laurent Verdier via Pixabay

EuGH verschärft Datenschutz-Haftung – zum Glück lassen sich Datenschutzverletzungen versichern

Die Rechtsprechung des EuGH der letzten Monate verschärft das Risiko, für Datenschutzverletzungen zu haften. Unternehmen können solche Schadenersatzforderungen versichern. Allerdings ist der Versicherungsmarkt schwierig. Als Fach-Versicherungsmakler sorgt die Berliner acant.service GmbH für optimalen Schutz vor ruinösen Schadenersatzklagen aufgrund von Datenschutzverletzungen.

Schadenersatz für Datenschutzverstöße: neue Rechtsprechung steigert das Risiko

Der Europäische Gerichtshof hat in den letzten Monaten mehrere Entscheidungen zur DSGVO und zum Datenschutzrecht getroffen. In der Summe steigern sie das Risiko von Unternehmen, für Datenschutzverletzungen haften zu müssen, beträchtlich.

So können bereits „gefühlsmäßige Beeinträchtigungen“ durch eine Datenschutzverletzung Schadenersatzansprüche begründen. Mehr noch: allein schon die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann Schadenersatz rechtfertigen.

Angesichts dieser Entwicklung wird die Möglichkeit, das Unternehmen durch eine Cyberversicherung auch gegen DSGVO-Verstöße zu versichern, immer wichtiger. Gleichzeitig wird der Versicherungsmarkt zunehmend schwierig. Der Berliner Makler acant.service GmbH hilft Unternehmen dabei, individuell passenden Versicherungsschutz zu gestalten.

Der EuGH und die Schadenersatzpflicht für DSGVO-Verstöße

Der Europäische Gerichtshof hat sich in den letzten Monaten in einer ganzen Reihe von Urteilen zur Haftung für Datenschutzverstöße geäußert. Einige der Entscheidungen sind bemerkenswert:

  • Zwar reicht ein DSGVO-Verstoß für sich genommen nicht, um Schadenersatz zu fordern. Dafür genügen jedoch bereits kleine und auch immaterielle Schäden, beispielsweise „vorübergehende gefühlsmäßige Beeinträchtigungen“ durch den Datenmissbrauch. Eine Bagatellgrenze gibt es nicht. Dieses Fazit aus EuGH, 04.05.2023 – C-300/21 ist besonders dann fatal, wenn Daten einer großen Zahl von Personen missbraucht oder gestohlen werden: diese können dann grundsätzlich alle eine jeweils kleine, in der Summe aber sehr umfangreiche Entschädigung fordern. In dem Fall klagte ein Mann, dem die österreichische Post ohne Einwilligung eine hohe Affinität zu einer bestimmten Partei zugeordnet hatte. Er machte „großes Ärgernis“, einen „Vertrauensverlust“ und ein „Gefühl der Bloßstellung“ als Schaden geltend und forderte 1.000 Euro.

  • Unbefugter Zugriff auf personenbezogene Daten bedeutet zwar nicht automatisch, dass die Datenschutzmaßnahmen unzureichend waren. Allerdings ist das Unternehmen in der Beweispflicht, bei dem sich das Datenleck ereignet hat. Es muss nachweisen, dass es „in keinerlei Hinsicht“ verantwortlich ist. Und wenn eine betroffene Person den Missbrauch ihrer Daten auch nur befürchtet, kann das einen immateriellen Schaden darstellen, der zu Schadenersatz berechtigt. So kann man EuGH, 14.12.2023 – C-340/21 zusammenfassen. Die Klage drehte sich um einen Cyberangriff auf die IT-Systeme der bulgarischen Steuerverwaltung.

  • Datenschutzrechtlich Verantwortliche, also etwa Unternehmen, haften zwar nur dann für Missbrauch der von ihnen gespeicherten personenbezogenen Daten, wenn ihnen ein Verschulden anzulasten ist. Die Höhe der Entschädigung ist jedoch nicht an den Grad des Verschuldens gekoppelt. Damit sind selbst bei geringem Verschulden hohe Entschädigungen möglich, wenn der Datenverlust oder -missbrauch bei den Betroffenen zu hohen Schäden führt. Das Urteil EuGH, 21.12.2023 – C-667/21 kam zustande, nachdem der Angestellte des Medizinischen Dienstes einer Krankenkasse gegen seinen Arbeitgeber klagte.
    Auf seiner Grundlage werden jedoch auch hohe Schadenersatzpflichten begründbar, falls kleine technische Versäumnisse, von einfallsreichen Hackern für großangelegten Datendiebstahl genutzt werden.

  • Um Schadenersatzforderungen zu begründen, müssen Hacker gestohlene Daten nicht zum Identitätsdiebstahl genutzt haben. Ein entsprechender, immaterieller Schaden kann bereits dann bestehen, wenn Daten gestohlen wurden, die die Betroffenen identifizierbar machen. Das ergibt sich aus dem Schlussantrag des Generalanwalts zu den Fällen EuGH – C-182/22 und EuGH – C-189/22, die sich auf eine Datensicherheitsverletzung bei dem Broker Scalable Capital beziehen. Der EuGH hat noch nicht entschieden, folgt aber häufig dem Schlussantrag der Generalanwaltschaft.

Cyberversicherungen und Rechtsschutzversicherungen schützen

Das Risiko datenschutzrechtlicher Haftung wird für Unternehmen kontinuierlich brisanter. Dafür sorgen einerseits immer neue und raffinierte Angriffsmethoden von Cyber-Kriminellen. Andererseits setzt der europäische Gerichtshof einen Rechtsprechungsrahmen, der Schadenersatzforderungen gegen Unternehmen aufgrund von DSGVO-Verstößen in vielen Fällen begünstigt.

Ein Teil der notwendigen Reaktion sind professionelle IT-Sicherheit und Datenschutzvorkehrungen. Doch das genügt nicht. Solche Vorkehrungen gewährleisten nie komplette Sicherheit. Umso wichtiger ist Versicherungsschutz als Ergänzung:

  • Die finanziellen Folgen von Datenschutzverletzungen sind im Standardumfang von Cyber-Versicherungen abgedeckt. Eine Versicherungspolice fängt in der Regel die DSGVO-Schadenersatzpflichten nach einem erfolgreichen Hackerangriff auf.
  • Eine Rechtsschutzversicherung verhindert, dass Rechtsstreitigkeiten nach einem Datenverlust das betroffene Unternehmen ruinieren.

Als Fachmakler hilft acant dabei, den richtigen Versicherungsschutz zu erhalten

Allerdings ist der Markt für Cyber-Versicherungen in den letzten Jahren deutlich schwieriger geworden. Grund sind die massiv gestiegenen Schadensfälle durch erfolgreiche Angriffe auf Unternehmen. Die Versicherer bestehen auf umfangreichen Auflagen und Prüfungen. Außerdem haben sich die Versicherungsbedingungen vieler Angebote klar verschlechtert. Es wird schwieriger, individuell passende Policen zu finden bzw. auszuhandeln.

Umso wichtiger ist die Unterstützung und Beratung durch einen Fachmakler für Cyberversicherungen. Die acant.service GmbH hat 2013 als einer der ersten Versicherungsmakler in Deutschland die Vermittlung von Cyberpolicen begonnen. Inzwischen blickt das Berliner Unternehmen auf mehr als zehnjährige Erfahrung zurück: es kennt den Markt genau, hat direkte Kontakte zu den einschlägigen Versicherern und weiß, wie man auch in einem herausforderungsvollen Markt optimalen Cyber-Versicherungsschutz und individuelle Lösungen gewährleistet.
Interesse? Rufen Sie uns an (0176 10318791) oder schreiben Sie uns eine Nachricht!

Digitales Kaufrecht, Symbolfoto: Mediamodifier via Pix abay

Neues digitales Kaufrecht für elektronische Waren, Dienstleistungen und Angebotsbestandteile

Seit 2022 gilt ein eigenes Kaufrecht für digitale Produkte, digitale Dienstleistungen, digitale Inhalte und andere digitale Angebote

Verkaufen Sie Software, gestalten Sie Web-Designs, bieten Sie kostenpflichtige Downloads an oder beraten Sie per Videomeeting? In diesem Fall gilt für Sie seit dem 01. Januar 2022 ein neues Kaufrecht, wenn Ihre Kunden Verbraucher sind und keine Unternehmen.

Das neue Kaufrecht greift auch dann, wenn nur ein Teil Ihres Angebots aus digitalen Produkten besteht. Wenn Sie elektronische Geräte zusammen mit einer Software oder einer App anbieten, dann fallen diese digitalen Komponenten ebenfalls unter neue Bestimmungen.

Um was genau geht es im Kaufrecht?

Die Vorschriften des Kaufrechts schreiben die Ansprüche fest, die der Verkäufer oder Dienstleister und sein Kunde gegeneinander haben. Damit legt es auch die Optionen im Fall von Problemen fest:

  • Es liefert die Rechtsgrundlage fürs Forderungsmanagement, falls Kunden nicht wie vereinbart zahlen.
  • Es legt Gewährleistung und Haftung fest, falls der Anbieter nicht so liefert oder leistet, wie er müsste.

Die Kernpunkte des neuen digitalen Kaufrechts bei Verbrauchern

  • Im Bürgerlichen Gesetzbuch ist von der „Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen (digitale Produkte)“ die Rede: sie werden im neuen Abschnitt „Verbraucherverträge über digitale Produkte“ geregelt (§327 – §372s BGB).
  • Ob die „Bereitstellung“ per Download oder auf einem Datenträger erfolgt, ist gleichgültig. Ausgenommen vom neuen Kaufrecht sind dagegen einige Bereiche wie z. B. Finanzdienstleistungen und digital vereinbarte Heilbehandlungen.
  • Außerdem gelten neue Regeln für Sachmängel. In Bezug auf die Gewährleistung wird nun zwischen analogen Produkten, digitalen Produkten und „Waren mit digitalen Elementen“ unterschieden (§475a, b, c BGB). Waren mit digitalen Elementen sind Paketangebote: etwa ein GPS-Tracker samt dazugehöriger Software, oder ein Analysegerät mit dazugehöriger Online-Schulung. Für die Software bzw. die Online-Schulung gelten bei Sachmängeln die Vorschriften für digitale Produkte, für die Geräte selbst die Regeln für analoge Waren.
  • Auf kostenlos bereitgestellte quelloffene Software wird das digitale Kaufrecht nicht angewendet. Dafür gilt es explizit auch dann, wenn Verbraucher zwar kein Geld für die Nutzung eines Dienstes oder einer App bezahlen, im Gegenzug aber personenbezogene Daten bereitstellen.
  • Ein digitales Produkt muss das leisten bzw. umfassen, was ausdrücklich vereinbart war (subjektive Anforderungen). Der Kunde kann außerdem erwarten, dass es sich zur „gewöhnlichen Verwendung“ eignet, also die marktüblichen Erwartungen erfüllt. Andernfalls ist es grundsätzlich mangelhaft.
  • Ausnahme: es wurde ausdrücklich vereinbart, dass das Produkt oder die Dienstleistung bestimmte Ausstattungsmerkmale, Funktionen oder Inhalte nicht umfasst. Das muss dem Kunden aber klar gesagt werden.
  • Ein Mangel liegt bei digitalen Produkten außerdem dann vor, wenn sie sich nicht installieren, anschließen bzw. integrieren lassen, oder wenn vereinbarte bzw. notwendige und erwartbare Aktualisierungen ausbleiben.

Bei mangelhaften digitalen Produkten oder Dienstleistungen können Verbraucher den Preis mindern, Nacherfüllung erfordern oder vom Kaufvertrag zurücktreten. Die Wahl liegt bei ihnen, nicht beim Verkäufer.

Digitale Produkte oder Produktbestandteile und Verbraucher als Kunden? Dann sollten Sie reagieren

Wenn Sie bzw. Ihr Unternehmen digitale Produkte an Verbraucher verkaufen oder digitale Dienstleistungen erbringen, sollten sie auf das neue Kaufrecht reagieren:

  • Nehmen Sie sich Vertragstexte, AGB und Pflichtinformationen vor – vermutlich müssen Sie an die neue Rechtslage angepasst werden.
  • Auch Ihre Werbung und Ihr Marketing sollten Sie auf den Prüfstand stellen. Halten Ihre Produkte das, was Werbeaussagen, Testinstallationen, Demos oder Werbe-Clips versprechen? Entsprechen Ihre Dienstleistungsangebote dem, was Käufer vermutlich erwarten bzw. was Marktstandard ist? Diskrepanzen sollten klar zum Ausdruck gebracht werden, sonst können Käufer einen Mangel geltend machen. Noch schlimmer: Verbraucherschutzverein können Sie abmahnen.
  • Auch bei diesem Thema bieten die richtigen Versicherungen Schutz. Produktversicherungen decken das Risiko einer Haftung aufgrund von Produktmängeln ab. Ein Knackpunkt bei dieser Form des Versicherungsschutzes sind regelmäßig Folgeschäden. Lassen Sie sich genau beraten!
  • Für Dienstleister, die ihre Dienstleistungen digital erbringen, ist eine Vermögensschadenhaftpflicht sinnvoll, um mögliche Ansprüche aus der Mängelhaftung in den Griff zu bekommen.
  • Ebenfalls ausgesprochen sinnvoll: eine Rechtsschutzversicherung, die im Falle von Rechtsstreitigkeiten die eigenen Anwalts- und Gerichtskosten absichert.
  • Last but not least: bei Kapitalgesellschaften sollten Geschäftsführer oder Vorstände sich durch eine D&O-Versicherung schützen, weil sie im Fall einer Sorgfaltspflichtverletzung mit dem persönlichen Vermögen haften.

Wir von acant helfen Ihnen dabei, Ihr Unternehmen optimal zu versichern: Schreiben Sie uns, oder rufen Sie an: 030 863 926 990.

IT-Dienstleister hat die Zugangsdaten: Datenschutzverstoss - Symbolbild: Photo Mix via Pixabay

Datenklau mit Zugangsdaten des IT-Dienstleisters: Schadenersatz

Wer hat eigentlich Zugangsdaten zu Ihren IT-Systemen?

Nicht gelöschte Zugangsdaten werden schnell zum teuren Risiko. Zur IT-Sicherheit im Unternehmen gehört es, Zugänge von Mitarbeitern und Dienstleistern regelmäßig zu überprüfen und bei Bedarf zu löschen.

Wenn ein Unternehmen die Zugangsdaten früherer Mitarbeiter und Dienstleister nicht deaktiviert und Unbefugte damit Daten stehlen, drohen Schadenersatzansprüche – und die können ohne Versicherung existenzbedrohend werden.

All das zeigt ein Fall, über den das Landgericht München I vor kurzem entschieden hat (LG München, 09.12.2021 – 31 O 16606/20). Das Urteil unterstreicht, warum Unternehmen unbedingt ihre Haftung für Datenschutzverstöße versichern sollten.

Haftung für Kundendaten, die über den Zugang eines Dienstleisters gestohlen wurden

Das Gericht sprach einem früheren Kunden des Finanzdienstleisters Scalable Capital 2.500 Euro Schadenersatz und einen zusätzlichen Anspruch auf Ersatz aller noch entstehenden Schäden zu.

Der Mann hatte bei dem Online-Broker ein Depotkonto eingerichtet und dazu viele personenbezogene Daten übermittelt. Diese fielen unbekannten Datendieben in die Hände: von der Post- und E-Mail-Adresse sowie der Handynummer über das Geburtsdatum und die Steuer-ID bis zu Wertpapierabrechnungen und der IBAN des Referenzkontos. Auch eine Ausweiskopie und das Porträtfoto fürs Post-Ident-Verfahren wurden entwendet.

Ausgangspunkt waren Zugangsdaten von CodeShip Inc., ein früherer Cloud- bzw. SaaS-Dienstleister von Scalable Capital („Software as a Service“, Cloud-Hosting von Anwendungen). Obwohl die Geschäftsbeziehung schon 2015 geendet hatte, funktionierte der CodeShip-Zugang zur IT von Scalable Jahre später noch immer. Mit diesen Zugangsdaten unternahmen Unbekannte drei großen Daten-Raubzüge: im April, im August und im Oktober 2020 wurden 389.000 Datensätze von insgesamt 33.200 Scalable-Kunden ausgelesen. Die Informationen wurden später für versuchten Kreditbetrug genutzt und im Darknet zum Verkauf angeboten.

Zugangsdaten beim Dienstleister, Haftung beim Auftraggeber

Scalable muss also zahlen, obwohl für den Hack bei CodeShip hinterlegte Zugangsdaten missbraucht wurden. Dabei befasste sich das Gericht gar nicht erst mit der möglichen Verantwortlichkeit von Scalable für Sicherheitsmängel beim früheren Dienstleister. Es sah entscheidende Versäumnisse bei dem Online-Broker selbst: Der hätte den Zugang des ehemaligen Geschäftspartners längst deaktivieren bzw. die Löschung des Zugangs überprüfen müssen.

Stattdessen verließ er sich fahrlässigerweise darauf, dass der frühere Geschäftspartner die Zugangsdaten schon löschen würde. In diesem Versäumnis sahen die Richter einen Datenschutzverstoß. Dieser führte zur Haftung des Finanzunternehmens. Es nützte ihm wenig, dass er nach dem Vorfall sofort Gegenmaßnahmen getroffen hatte und dem betroffenen Kunden noch kein konkreter materieller Schaden entstanden war.

Dem Unternehmen droht eine Klagewelle

Die 2.500 Euro plus Zinsen, die dem klagenden Kunden zugesprochen wurden, sollte man nicht unterschätzen. Von der Datenschutzverletzung waren wie erwähnt mehr als dreißigtausend Kunden betroffen. Sollte sich eine größere Anzahl von ihnen zur Klage entschließen, können schnell gewaltige Summen zusammenkommen.

Das Risiko von Datenschutzverletzungen lässt sich versichern!

  • Immer häufiger gestehen die Gerichte den Betroffenen einer Datenschutzverletzung Anspruch auf Schadenersatz zu.
  • Ein konkreter finanzieller Schaden muss dafür nicht vorliegen. Auch Nichtvermögensschäden begründen Entschädigungsansprüche, etwa Identitätsdiebstahl, Rufschädigung, gesellschaftliche Nachteile oder der Verlust der Vertraulichkeit (LG München I, 02.09.2021 – 23 O 10931/20).
  • Dazu kommen Bußgelder. Die sind bei Verstößen gegen die Datenschutzvorschriften oft von empfindlicher Höhe.

  • Der Verweis auf das hohe IT-Sicherheitsniveau nützte Scalable Capital vor Gericht gar nichts. Ja, die IT-Infrastruktur war gemäß ISO 27001 zertifiziert. Entscheidend war jedoch der nicht gelöschte Zugang. Das bestätigt wieder einmal: Selbst aktuelle Technik und Zertifizierungen garantieren keine IT-Sicherheit. Genau deshalb sind Versicherungen sinnvoll.

  • Die gute Nachricht: Die Haftung aus Datenschutzverstößen lässt sich versichern, solange sie nicht gerade vorsätzlich begangen werden. Auch für das Risiko der Unternehmensleitung, für solche Vorfälle persönlich zu haften, gibt es Versicherungsschutz. Das Gleiche gilt für Eigenschäden aus einer Cyber-Attacke.

acant hilft Ihnen beim Risikomanagement

Wir von acant sind Spezialversicherungsmakler für technische Unternehmensrisiken, Cyber-Bedrohungen und Manager-Haftung. Wir beraten Sie gerne dazu, wie sich das Risiko der Datenschutzhaftung in Ihrem Unternehmen betriebswirtschaftlich sinnvoll versichern lässt. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns!

Geschäftsführerhaftung - Symbolbild Foto: Lena Lindell via Pixabay

GmbH-Geschäftsführerhaftung? Da gibt es doch was vom … Versicherungsmakler

Die Haftung der Gesellschaft ist beschränkt. Nicht die des GmbH-Geschäftsführers.

Sind Sie Geschäftsführer einer GmbH oder auch einer UG (haftungsbeschränkt)? Oder planen Sie die Gründung einer GmbH oder UG, bei der Sie auch selbst die Geschäftsführung übernehmen wollen?

Dann sollten Sie über die GmbH-Geschäftsführerhaftung Bescheid wissen, zumindest in Grundzügen. Und Sie sollten wissen, dass Sie das Risiko persönlicher Haftung durch eine D&O-Versicherung ein gutes Stück weit entschärfen können. (Im Regelfall zahlt die Gesellschaft die Versicherungsprämie.)

Fiktives, aber realistisches Beispiel: Trojaner ruiniert GmbH-Geschäftsführer

Wenn keine Manager-Haftpflichtversicherung vorhanden ist, kann die GmbH-Geschäftsführerhaftung das komplette private Vermögen aufzehren, bis zur Pfändungsgrenze. Und dazu kommt es schneller als gedacht.

Nehmen wir ein (fiktives, aber realistisches) Beispiel: Einer Ihrer Mitarbeiter infiziert mit einem einzigen unvorsichtigen Klick Ihr Firmennetzwerk mit Ransomware. Der Verschlüsselungstrojaner macht im Hintergrund sämtliche Dateien unlesbar. Dann erscheint eine Erpresserbotschaft: 10 Bitcoin für den Code, der die Daten wieder entschlüsselt.

Im Unternehmen geht aufgrund der Verschlüsselung nichts mehr. Sie suchen erst einmal jemand, der weiß, wie man Bitcoin erwirbt und an die Erpresser transferiert. Leider ist die fünfstellige Euro-Summe für den Eintausch der Kryptowährung umsonst, sie erhalten keinen Dateischlüssel. Damit liegen Buchhaltung, Vertrieb und alle anderen Abteilungen lahm, weil kein Zugriff auf Kundendaten, Bestellungen, Abrechnungsprogramme und dergleichen mehr besteht. Betriebsunterbrechung und Lieferverzögerungen sorgen für Auftragsstornierungen und Umsatzverluste. Kunden springen ab, der Ruf des Unternehmens ist schwer beschädigt.

Und dafür macht man Sie verantwortlich, als Geschäftsführer der GmbH. Sie haben sich auf Ihren IT-Administrator verlassen, dessen System zur Datensicherung war jedoch der Aufgabe nicht gewachsen. Die Gesellschafter fordern von Ihnen Schadenersatz für sämtliche Schäden, die der Trojaner angerichtet hat: eine siebenstellige Summe.

Bei jeder Sorgfaltspflichtverletzung droht Haftung

Auch wenn dieser Irrglaube kaum auszurotten ist: Die Haftung mit Ihrem gesamten persönlichen Vermögen droht Ihnen als GmbH-Geschäftsführer keineswegs nur bei Insolvenz der Gesellschaft oder klarem Fehlverhalten in der Geschäftsführung.

Auch durch sogenannte Sorgfaltspflichtverletzungen können Sie sich schadenersatzpflichtig machen, weil Sie Ihre Aufgaben nicht mit der „Sorgfalt eines ordentlichen Kaufmanns“ versehen haben. (Diese Formulierung stammt direkt aus § 43 GmbH-Gesetz.)

Ob im konkreten Fall eine Verletzung der Sorgfaltspflicht vorliegt, ist eine Ermessensfrage. Eine völlig risikofreie Geschäftsführung ist schließlich nicht möglich. Als Sorgfaltspflichtverletzung kann es beispielsweise gelten, wenn …

  • Sie ein offensichtliches Risiko nicht versichert haben, obwohl das möglich gewesen wäre (z. B. Überschwemmungsschäden auf einem Grundstück in Ufernähe, aber auch die Folgen eines Ransomware-Angriffs)
  • nach einem Arbeitsunfall mit hohem Personenschaden der Vorwurf mangelhafter Sicherheitsvorkehrungen erhoben wird
  • ein Rechtsmittel nicht eingelegt wurde, etwa eine Klage, die dem Unternehmen unter Umständen Geld eingebracht hätte.

Im Zweifel entscheidet am Ende ein Richter darüber, ob Sie die konkrete Entscheidung zum Wohle der GmbH und frei von Interessenkonflikten getroffen haben, sich dabei ausreichend informiert hatten und kein unangemessenes Risiko eingegangen sind – also die nötige Sorgfalt an den Tag gelegt haben. Von seinem Urteil kann Ihr persönliches, finanzielles Schicksal abhängen.

In der Praxis besonders gefährlich: Überschuldung, Zahlungsunfähigkeit, Insolvenz

Zu Schadenersatzansprüchen gegen GmbH-Geschäftsführer kommt es besonders häufig in Folge von Überschuldung, Zahlungsunfähigkeit und Insolvenz der Gesellschaft. Nur zwei der damit verbundenen Hauptrisiken für den Geschäftsführer:

  • Er haftet mit seinem Privatvermögen für jede Zahlung, die trotz Insolvenzreife angewiesen wurde und nicht mit der „Sorgfalt eines ordentlichen Geschäftsmanns“ vereinbar ist. (Leitender Gesichtspunkt dafür ist das Interesse der Gläubiger, nicht die Perspektive der Geschäftsführung.)
  • Der Geschäftsführer haftet außerdem, wenn die Gesellschaft zu einem bestimmten Termin rechnerisch überschuldet oder zahlungsunfähig ist und er nicht unverzüglich, spätestens jedoch innerhalb von drei Wochen, Insolvenzantrag stellt. Mit jedem Tag, den die GmbH sich ab dann weiterschleppt, Ausgaben hat und neue Verträge abschließt, wächst die Liste der potenziellen Schadenersatzforderungen. Deshalb folgt aus der Insolvenz der Gesellschaft schnell der private Ruin des Geschäftsführers.

Das ist längst noch nicht alles in Sachen GmbH-Geschäftsführerhaftung

Wohlgemerkt: Das sind längst nicht alle Haftungsrisiken, mit denen ein GmbH-Geschäftsführer konfrontiert ist. Die Liste könnte noch lange fortgesetzt werden, etwa um die Haftung für Fehler von Mitgeschäftsführern, die Haftung für die Forderungsausfälle von Lieferanten, die besonderen Haftungsrisiken für nicht abgeführte Steuern und Sozialversicherungsbeiträge, die Haftung für mangelhafte Compliance etc. etc.

Anders gesagt: Die Haftungsmaterie ist ein komplexes Thema im GmbH-Recht, zu dem es viele Regalmeter an Literatur gibt. Die praktischen Auswirkungen der Rechtslage sind jedoch alles andere als abstrakt.

Und dazu kommt noch ein Punkt: Viele dieser Haftungstatbestände stehen mit Straftatbeständen in Verbindung. Das bedeutet: Erst drohen ein Strafverfahren mit Strafprozess und Verurteilung – und in der Folge noch eine existenzvernichtende Schadenersatzforderung.

„So etwas passiert mit unserer GmbH ja nicht.“

Trotzdem erlebe ich es häufig, dass GmbH-Geschäftsführern das Bewusstsein für ihr persönliches Risiko fehlt. Natürlich kann man darauf setzen, dass schon nichts passieren wird. Aber das ist dann eben Vogel-Strauß-Politik. Denn zu einer Insolvenz oder zum Vorwurf einer Sorgfaltspflichtverletzung kommt es keineswegs nur bei unfähigen Geschäftsführern – das ist schlicht ein allgemeines Berufsrisiko.

Die GmbH-Geschäftsführerhaftung lässt sich versichern. Fragen Sie uns einfach!

Zum Glück kann man vorbauen: durch eine D&O-Versicherung, die Schadenersatzforderungen aus der GmbH-Geschäftsführerhaftung abdeckt. Weil die Haftungsfragen rechtlich so komplex sind, kommt es bei einer Geschäftsführer-Haftpflichtpolice sehr auf die Versicherungsbedingungen an.

acant ist auf D&O-Versicherungen spezialisiert. Haben Sie Fragen? Wir beraten Sie gern, und selbstverständlich kostenlos.

DDoS-Risiko und Haftpflicht-Falle

In den letzten Wochen waren DDoS-Angriffe aus dem Internet der Dinge (Internet of Things, IoT) ein großes Thema. Über Versicherungen hat dabei keiner gesprochen. Dabei wird Versicherungsschutz vor dem Hintergrund immer wichtiger. Zum einen wird man selbst leicht zum Angriffsziel. Und wenn Mittelständler und IT-Unternehmen selbst mit internetfähigen Steuerungen und embedded systems arbeiten, liefern sie schnell ungewollt neue Robotersoldaten für solche Attacken.

Read more

Haftungsfreistellung zum Herunterladen. Kostenlos. Mit Warnung.

Ob wir nicht eine Haftungsfreistellungsklausel hätten, hat uns ein Anrufer vor kurzem gefragt. Er ist Programmierer, Freelancer und will verständlicherweise dafür sorgen, dass er nicht bei jedem von ihm ausgeführten Auftrag grenzenlos haftet.

Fein, haben wir uns gedacht – und tatsächlich eine Musterklausel zur Haftungsfreistellung (PDF) erstellen lassen, die Sie gerne kostenlos herunterladen und übernehmen dürfen. Aber lesen Sie unbedingt die Warnhinweise, die wir dazugepackt haben.

(Spoiler: Haftung kann man durch sogenannte formularmäßige Klauseln bestenfalls begrenzt ausschließen. Eine solche juristische Wunderpille bringt deshalb mehr Schaden als Nutzen. Was wirklich hilft, ist das Versichern der Haftung.)

IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme nicht mehr reagieren, Kundendaten oder wichtige Unternehmenswerte ins Ausland transferiert wurden, Produktionsausfälle und Lieferverzögerungen zu Vertragsstrafen führen, Datenschutzverletzungen einen Shitstorm ausgelöst haben und die Marke beschädigt ist.

Stellt mangelnde IT-Sicherheit ein Führungsversagen dar, das Schadenersatzansprüche begründet? Das ist die entscheidende Frage. Die Antwort ist juristisch komplex, berührt verschiedene Rechtsgebiete, richtungsweisende Gerichtsentscheidungen gibt es noch nicht. Im Ergebnis lautet sie jedoch ja.

Beispiele: Haftungsszenarios

Die folgenden Beispiele sind fiktiv. Aber sie sind realistisch.

  • Ein Hacker schleust Schadsoftware in die Produktionssteuerung ein. Das führt zum Totalschaden mehrerer Fertigungsanlagen. Die Produktion fällt monatelang aus, viele Arbeitnehmer sitzen herum. Das Unternehmen kündigt vielen von ihnen, das Arbeitsgericht hebt die Kündigungen jedoch auf: eine betriebsbedingte Kündigung sei ungerechtfertigt: Sie wären überflüssig, wenn das Management durch eine Cyber- oder Produktionsausfallversicherung Vorsorge gegen den Schaden getroffen hätte. Daraufhin wird der bisherige Geschäftsführer von den Anwälten der Gesellschaft auf Schadenersatz über die Lohnkosten in sechsstelliger Höhe verklagt.
  • Ein als GmbH geführter Online-Shop wird verkauft – einschließlich der digitalen Kundenkartei. Er hat dafür aber nicht die erforderliche Genehmigung seiner bisherigen Kunden. Die Landesdatenschutzbehörde verhängt 10.000 Euro Bußgeld. Der GmbH-Geschäftsführer, der den Verkauf durchgeführt hat, wird von seiner Gesellschaft in Regress genommen.
  • Ein Unternehmen klagt vor dem Finanzgericht gegen einen Umsatzsteuerbescheid für einen zurückliegenden Zeitraum. Dabei stellt sich heraus, dass die Belege, die vor einigen Jahren digital archiviert wurden, nicht mehr abrufbar sind. Ohne Nachweise lässt sich das eigentlich sehr aussichtreiche Verfahren nicht gewinnen, das Unternehmen zu einer Steuernachzahlung in sechsstelliger Höhe verurteilt. Einer der Gesellschafter verklagt den Geschäftsführer auf Schadenersatz.

Compliance und IT-Compliance

Anders ausgedrückt: Wenn Sie Geschäftsführer oder Vorstand einer Kapitalgesellschaft sind, besteht für Sie durchaus ein sehr reelles Risiko, persönlich mit Schadenersatzansprüchen für Cyber-Schäden des Unternehmens konfrontiert zu werden und dafür mit dem eigenen Vermögen zu haften.

Der Grund ist einfach: IT-Compliance ist als umfassende Management-Aufgabe ein Teil der gesamten Compliance-Pflichten. Wie auf anderen Risikofeldern – Korruption, unternehmensinterne Diskriminierung, Steuerrecht etc. – gehört es auch bei der IT-Sicherheit zum Verantwortungsbereich des Managements, durch die unternehmensinterne Steuerung der Prozesse die Gefahren von vornherein einzugrenzen und die systematische Befolgung von Regeln sicherzustellen.

Ich möchte in diesem zweitteiligen Beitrag zur IT-Compliance zeigen, warum das Szenario persönlicher Haftung für Cyber-Schäden keine Panikmache ist, sondern ernstgenommen werden muss:

  • Im ersten Teil geht es um Compliance und Haftung allgemein. Die Gefahr, für Unternehmensschäden persönlich in Haftung genommen zu werden und dabei seine gesamte Existenz zu verlieren, wird nach wie vor von vielen Führungskräften unterschätzt. Sie ist aber sehr real, wie sich an konkreten Beispielen zeigen lässt.
  • Im zweiten Teil sind speziell IT-Compliance und Haftungsrisiken rund um IT-Sicherheitsverletzungen Thema – und die Frage, wie diese Risiken sich wirksam verringern lassen.

Compliance

Sowohl AG-Vorstände wie auch GmbH-Geschäftsführer sind gesetzlich dazu verpflichtet, ein Überwachungssystem einzurichten, mit dem sich Entwicklungen, die den Fortbestand des Unternehmens gefährden können, frühzeitig erkennen lassen. Compliance ist auch Teil des Lageberichts einer Kapitalgesellschaft. (§§ 289, 315, 317 Abs. 2 HGB). Bei börsennotierten AGs müssen die Wirtschaftsprüfer auch die Risikofrüherkennungssysteme kontrollieren (§ 91 Abs. 2 AktG, § 317 Abs. 4 HGB).

Compliance Management ist ein Trendthema. Aber deshalb sollte man nicht darauf schließen, dass es sich dabei nur um eine Modeerscheinung handelt. Die Zahl der Veröffentlichungen ist kaum überschaubar, das Gleiche gilt für Beratungsangebote, Schulungen und den Softwaremarkt für Compliance-Management-Systeme.

All das ein klares Zeichen für den real existierenden Bedarf. Vorstände und Geschäftsführungen benötigen funktionierende Compliance-Lösungen, unabhängig von der Größe der von ihnen geführten Unternehmen.

Compliance Management bedeutet sicherzustellen, dass regelkonformes Verhalten im Unternehmen nicht allein vom Zufall oder dem guten Willen Einzelner abhängt. Die Regeln und Anforderungen müssen zum einen explizit gemacht und zweitens in die geschäftlichen Prozesse selbst eingebettet sein.

Für ein funktionierendes Compliance Management zu sorgen, gehört zu den Sorgfaltspflichten eines Vorstands beziehungsweise eines GmbH-Geschäftsführers. Gute Compliance ist aber nicht nur Prävention gegen Steuer- und Zollprüfungen oder staatsanwaltliche Ermittlungen. Als ein Messwert für Corporate Governance, die Qualität der Geschäftsführung, wird funktionierende Compliance auch von Analysten honoriert. Die Konditionen für Kapitalaufnahme werden günstiger, Versicherungsprämien fallen niedriger aus, denn Compliance ist immer auch Risikovorsorge.

Grundlage der Haftung: die Geschäftsleiterverantwortung

Zuständig und verantwortlich für eine funktionierende Compliance sind grundsätzlich immer die Geschäftsführer einer GmbH beziehungsweise die Vorstände einer Aktiengesellschaft. Das ergibt sich aus ihrer Geschäftsleiterverantwortung, die bei GmbH-Geschäftsführern aus § 43 GmbHG und bei AG-Vorständen aus den § 76 Abs. 1 AktG und § 93 AktG folgt. Zudem hat der Vorstand wie erwähnt die ausdrückliche Pflicht zur Einführung eines Überwachungssystems, „damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Absatz 2 AktG).

Wie weit die Verantwortung reicht, zeigt ein weitreichendes Urteil des Landgerichts München. Die Richter verurteilten einen ehemaligen Siemens-Vorstand zu 15 Millionen Euro Schadenersatz an das Unternehmen. Der Vorwurf: Er hatte kein Compliance-System installiert und damit nicht vorgesorgt, um ein auf schwarzen Kassen beruhendes Schmiergeldsystem zu verhindern (LG München, 10.12.2013, 5 HKO 1387/10). Das Besondere an dem Urteil ist der Umstand, dass diese Missstände gar nicht in den von diesem Vorstand intern verantworteten Bereich fielen.

Das Landgericht dehnte die Compliance-Pflicht also über den Geschäftsbereich eines einzelnen Vorstands hinaus auf die gesamte Vorstandsverantwortung aus. Das Strafgesetzbuch enthält in § 299 StGB das klare Verbot, Bestechungen im Geschäftsverkehr einzufädeln und abzuwickeln. Die Rechtsprechung macht es dem Vorstand einer AG und der Geschäftsführung einer GmbH zur Aufgabe, dafür Sorge zu tragen, dass Straftaten im Unternehmen erst gar nicht möglich sind. Das wurde dem ehemaligen Siemens-Vorstand zum Verhängnis.

Diese Pflicht zum Risikomanagement gilt auch für die Prävention von Cyberstraftaten und IT-Havarien.

Selbst wenn Compliance-Verstöße oder andere Pflichtverletzungen dazu führen, dass man persönlich in Haftung genommen wird, muss das nicht das Ende der eigenen wirtschaftlichen Existenz bedeuten. Und zwar dann nicht, wenn man über eine D&O-Versicherung (Geschäftsführer-Haftpflichtversicherung) abgesichert ist. Fragen Sie uns: 030 863 926 990

Das geplante Kassengesetz: Haftung trotz Zertifikat?

Wer mit Kassen-EDV bzw. Registrierkassen zu tun hat, muss sich auf neue Herausforderungen einstellen. Und auch sonst kann man hier etwas lernen, und zwar: Wenn eine Software oder ein System für einen haftungskritischen Bereich gedacht ist, verringert selbst ein Zertifikat das eigene Haftungsrisiko nicht unbedingt.

Doch der Reihe nach …

Kassensysteme bald nur noch mit BSI-Zertifikat?

Das Bundesfinanzministerium möchte durch neue gesetzliche Vorschriften verhindern, dass in Bargeld-Branchen wie der Gastronomie manipulierte Kassensysteme den Staat um Steuereinnahmen bringen. Es will deshalb verschiedene Dinge ändern:

  • Steuerprüfer sollen jederzeit eine „Kassen-Nachschau” durchführen können, und der Einsatz fehlerhafter Kassensysteme oder fehlende Kassendaten können bis zu 25.000 Euro Bußgeld kosten.
  • Außerdem sollen Kassensysteme manipulationssicher sein und alle relevanten Kassen- und Transaktionsdaten für Berechtigte – wie den Prüfer vom Finanzamt – digital abfragbar machen. Eine „technische Sicherheitseinrichtung” wird Pflicht, bestehend aus einem Sicherheitsmodul, einem Speicher für Kassendaten und einer digitalen Schnittstelle. Und das Ganze muss ein BSI-Zertifikat besitzen.

So steht es im Entwurf zum geplanten „Kassengesetz“. Leider bringt das den Betreibern und Einrichtern von Kassensystemen wohl kaum mehr Rechtssicherheit. Im Gegenteil, es erscheint schwer umsetzbar.

Zertifikat gleich ordnungsgemäß? Von wegen.

Diese Kritik an dem Projekt formuliert ein interessanter Kommentar zu dem Gesetzentwurf von Gerhard Schmidt, Diplom-Informatiker und Chefredakteur beim Forum Elektronische Steuerprüfung.

Schmidt wundert sich über die geplante Einführung vorgeschriebener Positiv-Zertifikate. Ein kurzer Seitenblick auf Buchhaltungssoftware zeigt, warum. Bislang hat die Finanzverwaltung es nämlich rundheraus abgelehnt, für Buchführungssoftware eine belastbare Positiv-Zertifizierung auszustellen, etwa in Form einer so genannten verbindlichen Auskunft. Eine solche Zertifizierung würde dem Betreiber des Programms bescheinigen, dass sein System ordnungsgemäß arbeitet, und ihn damit im Effekt von der Haftung freistellen, wenn es dann doch zu Beanstandungen kommt. Diesen Schutz will das Finanzamt aber nicht gewähren.

Statt solcher Positiv-Zertifikate der Finanzverwaltung gibt es bisher nur „Negativ-Negativ-Zertifikate” der Hersteller von Buchhaltungssoftware: So nennt Schmidt Bescheinigungen der Software-Anbieter, dass mit ihrem Programm etwa GoBD-konform gearbeitet werden kann – was aber nicht ausschließt, dass auch missbräuchliche Anwendungsweisen möglich sind. Es liegt auf der Hand, dass solche Dokumente im Zweifelsfall das Unternehmen kaum vor Ordnungswidrigkeitsverfahren und die Verantwortlichen nicht vor der persönlichen Haftung schützen (Motto: „Sie haben nicht für eine ordnungsgemäße Buchführung in Ihrem Unternehmen gesorgt, Sie haften!”).

Zurück zu den Kassensystemen: Ein BSI-Zertifikat macht bei ihnen nur Sinn, wenn es sich um ein Positiv-Zertifikat handelt, demzufolge das zertifizierte System gar nicht missbräuchlich benutzt werden kann. Diese Prüfung wäre aber praktisch kaum machbar, zumal dann nicht nur ein bestimmtes Produkt, sondern auch jede einzelne Installation überprüft oder geeicht werden müsste. Und ob das BSI für von ihm begutachtete Systeme die volle Haftung übernehmen würde? Daran meldet Schmidt Zweifel an – mit Recht.

Die Haftung wird da bleiben, wo sie jetzt schon ist … bei Ihnen

Im Endeffekt wird bei digitalen Kassensystemen zumindest aus Sicht der Haftungsfrage wohl alles so bleiben, wie es ist: Dafür, dass die Kassen ordnungsgemäß betrieben werden, haftet das Unternehmen und im Durchgriff auch dessen Organe, sprich Geschäftsführer oder Vorstände. Dafür, dass die Kassen ordnungsgemäß funktionieren und nicht beispielsweise von außen manipuliert werden, haftet aber natürlich auch derjenige, der die Systeme herstellt, plant, liefert und /oder einrichtet – und im Zweifel auch dessen Führungspersonal.

Deshalb bleibt Absicherung der Haftung weiterhin zentral. Vor Schadenersatzforderungen und Haftung schützen Elektronik- und Maschinenversicherungen, Cyber-Policen, D&O-Versicherungen (Managerhaftpflicht) sowie persönliche und betriebliche Rechtsschutzversicherungen.

Welche dieser Elemente in welcher Form für Ihren Fall relevant sind und auf welche Sie verzichten können, erfahren Sie vom Versicherungsmakler Ihres Vertrauens. Zum Beispiel von uns – rufen Sie uns an unter 30 863 926 990.

IT-Sicherheitsgesetz: Die neue Kritis-Verordnung

Erst das IT-Sicherheitsgesetz, jetzt erste Kritis-Details

Als im letzten Juli das IT-Sicherheitsgesetz in Kraft trat, blieben entscheidende Fragen offen. Das Gesetz gibt nur einen Rahmen an zusätzlichen IT-Sicherheitspflichten für Betreiber Kritischer Infrastrukturen (Kritis) vor. Diese sind unter anderem dazu verpflichtet, Cyber-Angriffe zu melden und ein IT-Sicherheitsmanagementsystem einzuführen. Unklar war bislang jedoch nicht nur, wie die Mindestsicherheitsstandards im Einzelnen aussehen sollten, sondern auch, wer eigentlich als Kritis-Anlagenbetreiber gilt.

Dazu werden nach und nach in Form von Verordnungen erlassen. Die erste davon ist jetzt da, die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV). Sie regelt zunächst für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, welche Dienstleistungen, Anlagen und Versorgungsgrade als kritisch eingestuft werden. Die noch fehlenden Sektoren aus dem Gesetz – Sektoren Transport und Verkehr,
Gesundheit und Finanz- und Versicherungswesen – werden dann in einer zweiten Verordnung geregelt werden.

730 Anlagen betroffen

Dem Bundesinnenministerium zufolge sind deutschlandweit 730 Anlagen aus den genannten vier Sektoren betroffen. Deren Betreiber müssen nun aktiv werden: Wenn die Verordnung in Kürze im Bundesgesetzblatt verkündet wird, beginnen wichtige Fristen zu laufen: Zwei Jahre später müssen die vom Gesetz geforderten Informationssicherheitsmanagementsysteme (ISMS) zum Schutz der jeweiligen kritischen Infrastruktur installiert sein. Und schon innerhalb von sechs Monaten muss eine Kontaktstelle zum BSI eingerichtet sein.

Allerdings sind nur Anbieter ab einer gewissen Bedeutung direkt im Visier der Verordnung. Eine dezentrale Energieerzeugungsanlage etwa gilt erst dann als Kritis-Infrastruktur, wenn sie 420 MW Nennleistung erzeugt. Ein Wasserwerk muss ein Aufkommen von 22 Mio. Kubikmeter pro Jahr haben, um betroffen zu sein, ein Lebensmittelhändler fast eine halbe Million Tonnen Ware verkaufen. Salopper ausgedrückt: die Fotovoltaik-Anlage auf dem Dach des Gewerbebaus, der Trinkwasserbrunnen im Garten oder die Currywurst-Bude um die Ecke sind nicht betroffen. Einige mittelständische und auch kommunale Versorgungsbetriebe allerdings durchaus.

und ihre Zulieferer, Dienstleister und Auftragnehmer

Überhaupt ändert sich nicht nur für die direkt betroffenen Anbieter und Betreiber etwas, die nun ein ISMS auf Basis von ISO/IEC 27001 installieren müssen. Denn damit werden ja auch die Qualifikationsanforderungen an Dienstleister, Zulieferer und Geschäftspartner verschärft. In der Liefer- beziehungsweise Vertragskette eines Kritis-Unternehmens werden die ISMS-Anforderunge alle Beteiligten direkt oder indirekt betreffen.

Vorteil: Mit der Zertifizierung sind die Hausaufgaben auch fürs Versichern gemacht

Ein Vorteil der Zertifzierung der eigenen IT-Sicherheit besteht darin, dass damit

  1. der Nachweis eines profesionellen Sicherheitsniveaus im Betrieb vorliegt und
  2. eine genaue Analyse der relevanten (Rest-)Risiken deutlich einfacher wird.

Oder mit anderen Worten: Wer eine Zertifizierung durchführt, hat damit beste Voraussetzung, um sich schnell und zu günstigen Prämien versichern, und zwar sowohl das Cyberrisiko wie auch das Haftpflichtrisiko des Unternehmens wie des Managements. Mit einer Zertifizierung hat man die Grundvoraussetzungen für Versicherungsschutz erfüllt.

Mit der ihrer Richtlinie VdS RL 3473 zur Cyber-Security für kleine und mittlere Unternehmen bieten die Versicherer allerdings ein Zertifizierungslevel an, das sich an der ISO 27001 orientiert, aber nicht die Umsetzung sämtlicher Teilaspekte verlangt. Diese kleine Lösung ist ein sinnvolles Instrument für alle „Nicht“-KRITIS Unternehmen, die einerseits ihren Verpflichtungen als Geschäftspartner nachkommen und zugleich die Voraussetzungen für eine Cyber-Versicherung schaffen wollen, ohne dabei einen für KMU unangemessenen Aufwand in Kauf zu nehmen.

Kommunale IT-Dienstleister, Cyber-Risiken und Haftungsrisiko

Technik ist immer nur ein Teil der Absicherung

Das Bewusstsein für Cyber-Gefahren wächst, auch und gerade in Verwaltungen und öffentlichen Einrichtungen. Neue Gesetze, Maßnahmen und Initiativen sollen Sicherheit schaffen. Das ist natürlich grundsätzlich positiv. Allerdings werden kommunale IT-Dienstleister, die für Kommunen und ihre Verwaltungseinrichtungen und Versorgungsbetriebe tätig werden, dadurch vor neue Anforderungen gestellt. Parallel dazu steigt durch die juristische Entwicklung ihr Risiko, mit Haftungsansprüchen konfrontiert zu werden.

Deshalb sollten auch kommunale IT-Dienstleister ihr Interesse nicht nur auf Technologien und Strategien für Intrusion Detection, Disaster Recovery, Data Loss Prevention und ähnliches mehr legen. Technische und organisatorische Standards sind natürlich ein zentraler Teil der IT-Sicherheit. Eine wichtige Rolle können aber auch Versicherungen spielen, die vor den finanziellen Schäden und Haftungsansprüche nach einem Cyber-Angriff oder einer IT-Panne schützen, sowohl im eigenen Haus als auch beim Kunden.

Risikomanagement durch Versichern kommt in der IT-Sicherheitsdebatte oft sehr kurz. Dabei kann ein zusätzlicher Schutzring aus einer geeigneten Cyber-Police sowie aus Haftpflichtversicherungen für den IT-Betrieb und seine Geschäftsführung existenziell wichtig werden. Und zwar schon deshalb, weil eine Versicherung weder durch neue Angriffstechniken noch durch dumme Zufälle ausgehebelt werden kann – ein großer Unterschied zu jeder Technologie.

Das Risiko ist nicht mehr zu ignorieren

Auch bei Kommunal- und Stadtverwaltungen, städtischen Versorgern und anderen Verwaltungseinrichtungen entwickelt sich spätestens jetzt ein Bewusstsein dafür, wie gefährlich Cyber-Angriffe und IT-Havarien sind. Schließlich reagieren Bürger auf leichtsinnigen Umgang mit ihren Daten eben so allergisch wie auf den Ausfall öffentlicher Dienste.

Die Presse dagegen freut sich über solche Fälle: Dass die Berliner Bürgerämter durch eine neue Meldewesen-Software im Februar zunächst nicht entlastet, sondern erst recht lahmgelegt wurden, war wochenlang Medienthema: Selbst die ordnungsgemäße Durchführung der Wahlen sei bedroht, war zu lesen. Für die Politiker der Hauptstadt, das Berliner kommunale IT-Dienstleistungszentrum ITDZ oder den namentlich erwähnten Software-Hersteller keine angenehme Lektüre.

Ein anderes Beispiel liefert der Erpressungstrojaner Locky, der in Nordrhein-Westfalen auch in sechs Kliniken Dokumente und Verzeichnisse verschlüsselte und so den Klinikablauf massiv störte. Das war dann nicht nur Thema in den Abendnachrichten im Fernsehen, es rief auch das Landeskriminalamt auf den Plan, das in einer Pressemitteilung zu mehr Sicherheitsbewusstsein aufrief.

Dabei ist das Problem ja längst bekannt, und es tut sich auch etwas. Schon 2014 hat der Deutsche Städtetag einen Leitfaden zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen veröffentlicht, den die Arbeitsgemeinschaft kommunaler IT-Dienstleister (Vitako) erarbeitet hat. Die IT-Sicherheitsbeauftragten von Ländern und Kommunen arbeiten seit geraumer Zeit in einem eigenen Arbeitsforum bundesweit zusammen. Und in Hessen wurde vor kurzem ein Kommunales Dienstleistungszentrum Cybersicherheit initiiert, das die Kommunen beraten soll.

Dazu kommt das IT-Sicherheitsgesetz

Und natürlich ist da auch das neue IT-Sicherheitsgesetz. Die Kommunalverwaltungen selbst fallen zwar nicht unter die darin erfassten Betreiber kritischer Infrastrukturen, sie sind jedoch ausdrückliche Adressaten des KRITIS-Projekts. Und von den kommunalen Versorgungsbetrieben werden viele zum Kreis der KRITIS- Unternehmen zählen, die auf ein Informations-Sicherheits-Management-System (ISMS) nach Maßgabe von ISO 27001 verpflichtet werden.

Die genaue Abgrenzung der KRITIS-Unternehmen ist noch nicht vollständig,  die gerade beschlossene erste Kritis-Verordnung betrifft zunächst nur die Teilbereiche Energie, IT /TK, sowie Wasser und Ernährung. Nicht für die Betreiber entsprechender Anlagen liegt die Latte damit höher, auch für ihre Dienstleister und Auftragnehmer im IT-Sektor.

Für die IT-Dienstleister wächst das Haftungsrisiko – in mehrfacher Hinsicht

Von der Verwaltung beauftragte IT-Dienstleister der öffentlichen Hand stehen damit vor neuen Herausforderungen und neuen Haftungsrisiken. Das Gleiche gilt für öffentlich-rechtliche Kommunal- und Eigenbetriebe im IT-Bereich.

  • Zum einen steigt mit jedem neuen Cyber-Angriff die Gefahr, in Haftung genommen zu werden, und das um so mehr, je unverzichtbar die IT-Systeme sind, die der Anbieter liefert, installiert oder betreut. Wenn ein Hacker zuschlägt oder es zu einer Datenpanne kommt, kann daran auch ein bislang vertrauensvolles Verhältnis zum öffentlichen Kunden zerbrechen – um so mehr, wenn zum wirtschaftlichen  noch politischer Druck kommt.
    Aus einem echten oder vermeintlichen Programmierfehler oder einer mangelhaft implementierten Sicherheitsfunktion werden dann schnell Schadenersatzforderungen, die die Anwälte beschäftigt halten und dem Dienstleister große Kosten und viel Ärger einbringen können.
  • Neue verpflichtende Zertifizierungen und IT-Sicherheitslevel erhöhen das Haftungsrisiko für die Dienstleister auch schon per se. Wenn Kommunen und ihre Versorgungsbetriebe IT-Sicherheitsleitlinien erlassen, ISO 27001-Zertifizierungen oder IT-Grundschutzlevel fordern, ergeben sich für die Dienstleister, Systemhäuser sowie Software- und Hardware-Zulieferer ja nicht nur inhaltlich neue Anforderungen. Für sie entsteht auch ein zusätzliches Risiko, Pflichtverletzungen zu begehen, denn sie werden ja gesetzlich oder vertraglich auf das entsprechende Sicherheitsniveau verpflichtet.
  • Und dabei geht es nicht nur um die Haftung des Unternehmens oder Betriebs, sondern auch um eine persönliche Haftung der Verantwortlichen. Wenn ein Unternehmen von Gesetzes wegen, durch verbindliche Leitlinien für Informationssicherheit oder durch Verträge auf besondere Standards in der IT-Sicherheit festgelegt ist und diese nicht einhält, dann muss sich sehr schnell auch die Geschäftsführung verantworten.
    Eine solche Inanspruchnahme kann Existenzen vernichten: 2013 verurteilte das Landgericht München einen ehemaligen Siemens-Manager dazu, seinem früheren Arbeitgeber 15 Mio Euro Schadensersatz zu zahlen, weil er nicht für Compliance in den Geschäftsabläufen gesorgt hatte.

Gegenmittel: Unternehmen und Geschäftsführung gezielt versichern

  • Persönliche Haftung:Um die mögliche persönliche Haftung abzudecken, die schnell in existenzgefährdende Bereiche gehen kann, sollte der Vorstand oder die Geschäftsführung durch eine sogenannte D&O- Police (Managerhaftpflichtversicherung) und gegebenenfalls eine Managerrechtsschutzversicherung geschützt sein.
  • Unternehmensrisiken:Aber natürlich benötigt auch der Betrieb selbst Versicherungsschutz für den Fall einer Cyber-Attacke oder IT-Havarie – schließlich ist diese immer mit Kosten verbunden. Da diese Kosten nicht planbar und auch nicht aus Rückstellungen finanzierbar sind, bleibt nur, sie im Schadensfalls aus dem Budget, d. h. aus dem Cash Flow heraus zu bezahlen – oder aber man fängt das Risiko durch planbare Versicherungsbeiträge für eine Cyber-Versicherung auf, die zudem die Steuerlast senken. Aus betriebswirtschaftlicher Sicht und im Hinblick auf den Bilanzschutz ist das natürlich vorteilhafter.Dabei ist das Schadenspotenzial beträchtlich: Es umfasst Eigenschäden wie die Forensik zur Aufklärung des Vorfalls, die Kosten für die Wiederherstellung von Daten und Systemen, Maßnahmen zur Wiederherstellung der beschädigten Reputation und Anwaltskosten. Dazu kommen Schadenersatzforderungen und Haftungsansprüche, wenn Daten Dritter kompromittiert oder vertragliche Verpflichtungen nicht eingehalten werden.

Wenn die Versicherung nicht zur individuellen Situation passt, bietet sie keinen Schutz

Natürlich haben Betriebe im Regelfall bereits typische betriebliche Versicherungen abgeschlossen. Bestehende Sachversicherungen wie Feuer-, Elektronik- oder Maschinenversicherungen sowie die vorhandenen Betriebshaftpflichtversicherungen decken Schäden aus Cyber-Risiken jedoch nur unzureichend oder gar nicht ab. Haftpflichtpolicen beispielsweise greifen nicht, wenn der Schaden ohne eigenes Verschulden eintrat. Maschinen- und Elektronikversicherungen versichern im Regelfall keine Schadensersatzansprüche Dritter. Genau deshalb ist seit einigen Jahren das Produktspektrum der Cyber-Versicherungen entstanden, dass die Folgen digitaler Angriffe im Querschnitt abdeckt – eigene Schäden, Schadensersatzforderungen Dritter und eigene Rechtskosten.
Allerdings ist der Absicherungsbedarf immer sehr individuell. Einer der Gründe dafür, dass Unternehmen wie Kommunen sich für die Cyber-Versicherung nur allmählich erwärmen, liegt sicher im Misstrauen gegenüber Standard-Lösungen begründet. Wer gut beraten wird, muss sich darum allerdings nicht sorgen – schließlich gehört es zur Verantwortung eines Fach-Versicherungsmaklers, die Bausteine einer Police genau zum Risikoprofil des Kunden passend zu kombinieren und kritische Punkte mit den Versicherern individuell nachzuverhandeln. Dabei sollte der Makler auch dafür sorgen, dass bereits durch vorhandene Versicherungen abgedeckte Teilrisiken nicht ein zweites Mal versichert werden.

Was eine gute Cyber-Versicherung leisten sollte: Deckungen und Leistungen im Überblick

So lassen sich aus einem ganzen Spektrum einzelner Bausteine Risiken gezielt abdecken. Eine gute Police umfasst etwa folgende Punkte, soweit diese für den Versicherungsnehmer relevant sind:

Kriminalitätsrisiken, etwa

  • Angriffe durch Viren, Würmer oder Hacker
  • unautorisierter Zugriff durch Mitarbeitern auf das Finanz- und Sachvermögensschäden
  • Erpressungen und Lösegeldforderungen
  • „Kapern“ von EDV-Systemen zur Durchführung krimineller Handlungen

Schädigungen Dritter, z. B.

  • Diebstahl und Manipulation von Daten Dritter
  • Diebstahl von Know-how Dritter
  • Schadenersatzansprüche Dritter wegen Urheberrechtsverletzungen

Vermögensschäden, etwa durch

  • Betriebsunterbrechung durch Hardware-Schäden oder DoS-Attacken
  • Nichtverfügbarkeit des Cloud-Service bzw. des fremden Server-Dienstleisters
  • Mehrkosten durch veränderte Betriebsabläufe
  • Wiederherstellung des Unternehmensimage
  • Ermittlungen durch Datenschutzbehörden

Folgende Kosten sollte eine Cyber-Versicherung für kommunale IT-Dienstleister abdecken, soweit das Risiko in Ihrem Fall relevant ist:

  • Kosten für forensische Untersuchungen
  • Benachrichtigungen aller Betroffenen bei Datenschutzverletzungen (gesetzlich vorgeschrieben)
  • Öffentlichkeitsarbeit, Maßnahmen zur Wiederherstellung der Reputation
  • Kosten bei Erpressung
  • Beauftragung einer Sicherheitsfirma
  • Erstattung von Lösegeldzahlungen
  • Vermögensschaden-Haftpflicht aufgrund von Datenrechtsverletzung (z. B. Markteinbußen des Kunden)
  • Inanspruchnahme durch einen Dritten
  • Verletzung der Persönlichkeitsrechte Dritter durch Online-Inhalte
  • Ersatz und Wiederherstellung von Daten
  • Absicherung des Ertragsausfalls

Fazit: Risikomanagement für kommunale IT-Dienstleister

Die stark steigende Zahl von Cyber-Angriffen übt auch auf kommunale IT-Dienstleister Druck aus. Die Anbieter müssen sich nicht nur mit dem wachsenden Bedrohungsrisiko auseinandersetzen, sondern auch mit einem zunehmend stärker reglementierten Umfeld. In dieser Situation kann Versicherungsschutz ein wichtiger Teil des Risikomanagements sein. Allerdings bringen Versicherungen nur dann ein Plus an Sicherheit, wenn sie sich wirklich an der individuellen Situation des Betriebs ausrichten.

Falls Sie Fragen haben:

Haben Sie Interesse an Cyber-Versicherungen oder konkrete Nachfragen? Wir von der acant.service GmbH sind Spezialmakler für Cyber-Policen und D&O-Versicherungen. Sprechen Sie uns einfach an – wir stehen zu Ihrer Verfügung. Telefon: 030 863 926 990