Haftung

Versicherungslücken stopfen – mit oder ohne Cyber-Versicherung

von

Ohne Cyber-Versicherung drohen Versicherungslücken

„Eine zusätzliche Cyber-Versicherung brauchen wir nicht. Das ist in unseren anderen Versicherungen mit drin. “

Das höre ich öfter. Tatsächlich decken viele Unternehmensversicherungen einen Teil der Risiken durch Internet, Datenverarbeitung und Vernetzung ab: Die Betriebshaftpflicht kann etwa eine Internetversicherungsklausel enthalten, die Elektronikversicherung umfasst Datenverlust und die Vertrauensschadenversicherung den Computermissbrauch durch Mitarbeiter. Wozu also eine Cyberversicherung?

Das Problem sind die vielen Versicherungslücken, die ein solcher Flickenteppich verursacht:

  • Die Haftpflichtversicherung greift nur bei Verschulden. Wenn das Unternehmen nicht dafür kann, dass die Kundendatenbank geknackt wurde, dann zahlt der Versicherer nichts. Nichts für die Ansprüche, die möglicherweise trotzdem an Ihr Unternehmen gestellt werden, und Ihre Eigenschäden schon gar nicht.
  • Die Elektronikversicherung greift nur bei einem Sachschaden. Wenn ein Mensch den Schaden herbeiführt, ersetzt der Versicherer gar nichts.
  • Die Vertrauensschadenversicherung leistet nur bei kriminellem Handeln von Vertrauenspersonen. Wenn externe Computerkriminelle zuschlagen, stehen sie ohne Versicherungsschutz da.

Wenn Cyber-Kriminelle von außerhalb des Unternehmens trotz guter Sicherheitsvorkehrungen eine bislang unbekannte Sicherheitslücke ausnutzen, um Ihre Datenbestände abzuräumen, sind die Schäden nicht versichert, selbst wenn alle drei genannten Versicherungen vorliegen!

Sinnvolle Versicherungen gibt’s nur durch individuelle Analyse

Stellen Sie sich vor, Sie haben nicht eine umfassende Feuerversicherung. Statt dessen sind viele einzelne Brand-Szenarien in unterschiedlichen Policen mitversichert. Kabelbrand in der einen, Brandstiftung durch einen Mitarbeiter in der anderen, und so weiter. Wäre das sinnvoll?

Das Versicherungsthema sollte auch im Cyber-Bereich systematisch angegangen werden:

  • Sie brauchen jemand, der zunächst einmal eine Bestandsaufnahme durchführt: Welche Risiken sind überhaupt von Bedeutung? Welche Risiken sind in Ihrem Haus bereits versichert, welche nicht (Diese Analyse gehört zu meiner Arbeit als Fachmakler für Cyber-Versicherungen und ist Teil meines Vermittlungsauftrags.)
  • Oft stellt sich heraus, dass manche Einzelrisiken gar nicht, andere dagegen doppelt versichert sind (mit doppelten Kosten). Im zweiten Schritt muss ein klares, bedarfsorientiertes Versicherungskonzept erstellt werden. Oft ist eine Cyber-Versicherung als Querschnittslösung sinnvoll, manchmal ist die Erweiterung bestehender Policen klüger. Nicht benötigte Versicherungen oder Einzeldeckungen werden gekündigt.
  • Erst jetzt, wenn der Versicherungsbedarf wirklich klar ist, kann man mit einer Ausschreibung an den Markt gehen. Danach haben Sie einen genau auf Ihre Risiken abgestimmten Versicherungsschutz. Im Idealfall sorgt der Wegfall nicht benötigter Versicherungen dafür, dass kaum Zusatzkosten entstehen.

Was bedeutet das für Ihr Unternehmen?

Das erläutere ich Ihnen am liebsten konkret und persönlich. Rufen Sie mich an und stellen Sie mir Fragen (030 863 926 990) oder schreiben Sie mir eine Nachricht.

Safe Harbor und die praktischen Folgen

von

Bye bye, Safe Harbor im Datenschutz

Der EuGH hat bekanntlich im Oktober das Safe-Harbor-Abkommen zwischen den USA und der EU gekippt, das die Übermittlung personenbezogener Daten an Rechenzentren in den USA erlaubte, wenn diese besonders zertifiziert sind. Das war einmal – wer weiterhin auf Basis dieses Abkommens Daten übermittelt, verstößt gegen Datenschutzrecht. Bis Januar 2016 werden solche Datenschutzverstöße zwar erst einmal nicht geahndet, bis dahin wollen die Politiker schauen, ob sie die Situation gelöst bekommen. Aber verlassen sollten Unternehmen sich darauf nicht. Wer  einen Cloud-Service oder E-Mail-Dienstleister mit Sitz bzw. Rechenzentrum in den USA nutzt und an diesen Kundendaten, Adressatenverzeichnisse oder Arbeitnehmerdaten übermittelt, muss damit auf die sogenannten „EU-Standardvertragsklauseln für Auftragsdatenverarbeitung“ umstellen.  Aber auch deren Geltung steht zumindest mittelfristig in Frage. Und überhaupt: Der Großteil der Unternehmen hat dem Themen bisher wenig Beachtung geschenkt und wird daran wohl nichts ändern. Zumal praktikable Lösungen Mangelware sind.

Datenschutzmanagement ist keine Nebensache mehr

„Das Urteil mag eine große Bedeutung für viele Unternehmen haben. Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.“

Das teilte der Berliner Rechtsanwalt Thomas Schwenke den Lesern seines Blogs nach der Safe-Harbor-Entscheidung mit – und hat damit vollkommen recht. Weiter schreibt er:

„Die Datenschutzanforderungen werden Sie ohnehin kaum alle perfekt erfüllen können. Das heißt jedoch nicht, dass Sie es gleich lassen sollten. Ganz im Gegenteil, sollten Sie rechtlich so viel wie möglich richtig machen.“

Ich füge hinzu: Und außerdem brauchen Sie Versicherungsschutz! Das ist gerade jetzt wichtig, weil absolute Compliance in Bezug auf Datenschutzrecht schwierig bis unmöglich ist.

Natürlich kann eine Versicherung nicht den verantwortlichen Umgang mit dem Thema Datenschutz ersetzen. Aber Betriebshaftpflicht, D&O (Managerhaftpflicht) und Cyberversicherung sind die geeigneten Instrumente, um das Unternehmen vor finanziellen Verlusten durch Datenschutzverletzungen zu bewahren. Jedes sinnvolle Risikomanagement schließt in diesem Bereich Versicherungslösungen mit ein.

Das liegt nicht nur am Rechtsrisiko. Mitarbeitern, Kunden und Geschäftspartner erwarten, dass Datenschutz ernst genommen wird. Wer sich darauf nicht einstellt, riskiert nicht nur hohe Folgekosten (und Schadenersatzforderungen), sondern auch einen empfindlichen Reputationsverlust.

Praktische Folgen für Unternehmen

Und was bedeutet das jetzt ganz praktisch? Unternehmen sollten sich darüber klar werden, an wen sie personenbezogene Daten weitergeben, auf welcher vertraglichen Grundlage das geschieht und wer dafür haftet. (Im Zweifel ist das immer erst einmal der eigene Vorstand oder die Geschäftsführung).  Um das Thema müssen sich Betriebe auch dann kümmern, wenn sie keinen Datenschutzbeauftragten haben müssen.

  • Wenn möglich und sinnvoll, sollte man zu Geschäftspartnern wechseln, die die Daten in der EU speichern und verarbeiten.
  • Der Standort der Rechenzentren muss  bei jedem Dienstleister oder Geschäftspartner bekannt sein, an den personenbezogene Daten weitergegeben werden.
  • Wenn es noch keine Datenschutzerklärung gibt, sollte man sie erstellen.
  • Wenn Auftragsdatenverarbeitung ohne Vertrag vorliegt, sollte das unbedingt geändert werden.
  • Wenn Daten in die USA übermittelt werden, müssen die Verträge auf Safe-Harbor-Klauseln überprüft werden. Wenn man fündig wird, besteht Handlungsbedarf. Dazu sollte man sich, wenn nötig, beraten lassen.
  • Weil das Datenschutzrecht sehr im Fluss ist, müssen Unternehmen die Folgen möglicher Datenschutzverstöße versichern. Dazu gehört auch, das Management gegen persönliche Inanspruchnahme aufgrund von Versäumnissen abzusichern: Die Vermeidung von Datenschutzverstößen ist Verantwortung der Geschäftsführung.

Fragen Sie uns jederzeit

Mit dem Versichern von IT-Risiken, Rechtsrisiken und persönlichen Haftungsrisiken kennen wir genau aus.  Und wir haben für alle Ihre Fragen ein offenes Ohr: 030 863 926 990 oder info@acant.de.

 

Das IT-Sicherheitsgesetz ist in Kraft – mit neuen Haftungsrisiken

von

Seit letztem Freitag ist das IT-Sicherheitsgesetz in Kraft. Es liegt für unterschiedliche Betroffene die Pflicht zu IT-Schutzmaßnahmen sowie Meldepflichten fest. Allerdings ist im Detail noch ziemlich viel unklar. Die „das Gesetz konkretisierende Rechtsverordnung” des Innenministeriums liegt noch nicht vor.

IT-Sicherheitsgesetz: Wer ist wie betroffen?

  • Direkte Auswirkungen gibt es auf alle Betreiber von geschäftlichen Websites und Online-Shops, denn das IT-Sicherheitsgesetz verschärft das Telemediengesetz. Jeder geschäftliche Auftritt oder Dienst im Web muss technisch und organisatorisch vor unerlaubtem Zugriff, Datenschutzverstößen und Angriffen von außen geschützt sein. Diese Vorkehrungen „müssen den Stand der Technik berücksichtigen”. Als Beispiel wird Verschlüsselung genannt (§ 13 Abs. 7 TMG n. F.). Die Nichtbeachtung kann nicht nur zu Bußgeldern (s. u.), sondern auch zu einer Abmahnung durch die Konkurrenz führen.
  • Sofortige Auswirkungen gibt es auch auf Telekommunikationsanbieter. Sie müssen ab sofort ihre Kunden warnen und unterstützen, falls es Anzeichen dafür gibt, dass deren IT-Sicherheit verletzt wurde. Gleichzeitig darf der Provider zu Präventionszwecken die Kundendaten speichern, bis zu sechs Monate.
    Abzuwarten bleibt, mit welchen Aussichten ein geschädigtes Unternehmen damit nun umgekehrt gegen den Provider vorgehen kann, wenn es keine Warnung gab. Hätte der Provider den unnatürlichen Datenstrom erkennen müssen, den der Trojaner über die Mailserver des Kunden schickt?
  • Anbieter von „kritischen Infrastrukturen“ müssen verbindliche Sicherheitsstandards umsetzen und diese dann alle zwei Jahre zertifizieren lassen. Außerdem müssen sie eine Art „Verbindungsstelle“ zum BSI (Bundesamt für Sicherheit in der Informationstechnik) einrichten und das Amt (das bekanntlich auch den Bundestrojaner mit entwickelte …) über Cyber-Attacken, IT-Havarien und IT-Sicherheitsrisiken informieren.
    Dummerweise ist bislang nicht genau klar, für wen diese Pflichten eigentlich gelten. Das Gesetz nennt nur die Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ als Kriterien.
    Unklar ist auch, wie die verbindlichen Sicherheitsstandards genau aussehen werden. Spekuliert wird über verpflichtende ISMS-Audits auf Basis von ISO 27001. Klarheit schafft hoffentlich die Rechtsverordnung des Innenministeriums. Liegt sie vor, haben die betroffenen Unternehmen sechs Monate Zeit zur Einrichtung der „Meldestelle” und zwei Jahre zur Umsetzung der Sicherheitsanforderungen.
    Kleine und mittlere Unternehmen sind vom IT-Sicherheitsgesetz nicht direkt betroffen. Die Zertifizierungsanforderungen größerer Unternehmen werden sich aber auch auf deren Zulieferer und Dienstleister auswirken.

Neues Haftungsrisiko – für Unternehmen und Geschäftsführer / Manager

Das Gesetz verankert durchaus empfindliche Strafen bei Pflichtverletzungen.

  • Ein Online-Shop oder Website-Betreiber, der die Pflicht zum Datenschutz nach Stand der Technik missachtet, kann im schlimmsten Fall mit 50.000 € bestraft werden.
  • Dieselbe Summe kann den Betreiber einer kritischen Infrastruktur treffen, der die Meldepflichten- und -voraussetzungen nicht erfüllt.
  • Das Bußgeld für ein Unternehmen, das die Sicherheitsstandards nicht verwirklicht, kann bis zu 100.000 € betragen.

Das  hat Auswirkungen auf das rechtliche Risiko von Geschäftsführern, Managern oder Vorständen. Sie haften für die Umsetzung gesetzlicher Vorschriften im Unternehmen – im Ernstfall werden sie schnell persönlich zur Kasse gebeten. Glücklich, wer dann eine D&O-Versicherung (Manager-/Geschäftsführerhaftpflicht) hat.

Fazit: Zusätzliche Risiken, Versichern hilft

Den großen Durchbruch in Sachen Cyber-Sicherheit stellt das IT-Sicherheitsgesetz nun wirklich nicht dar. Immerhin zwingt es Unternehmen quer durch alle Branchen und ganz besonders in den betroffenen Sektoren, sich mit ihrer IT-Sicherheit zu befassen.

Befassen sollten sich Unternehmen wie Geschäftsführer aber auch mit ihrem Risikomanagement. Unternehmen brauchen den Schutz einer Cyber-Versicherung, die Geschäftsführer eine D&O-Versicherung. Dies ist durch die neue Rechtslage noch dringlicher geworden.

Haben Sie Fragen zu Cyber-Versicherung oder D&O-Versicherungen?

Ich gebe Ihnen gerne Antwort. Rufen Sie mich an oder schreiben Sie uns eine Nachricht:  Kontakt.

Cyber-Versicherung für Rechtsanwälte: Deckungslücke trotz Deckungserweiterung

von

Cyber-Versicherungsschutz für Rechtsanwälte per Zusatzbaustein?

Vor kurzem rief ein Rechtsanwalt an, der um eine zweite Meinung bat. Der Versicherungsmakler seiner Kanzlei hatte ihm vorgeschlagen, die Deckung seiner Berufshaftpflichtversicherung um einen Cyberversicherungs-Baustein zu erweitern. Der Anwalt war sich nicht recht sicher und fragte uns nach einer zweiten Meinung.

Die Cyber-Deckungserweiterung der AXA

Diesen Baustein bietet AXA seit einiger Zeit speziell für Rechtsanwälte und Notare an.  Die Idee ist eigentlich gut: Statt einer teuren, kompletten Cyber-Police wird die ohnehin vorhandene Berufshaftpflicht quasi durch ein „Plugin” aufgerüstet – und die Kanzlei gegen die finanziellen Folgen von Datenschutzverletzungen und Cyber-Kriminalität geschützt.

Der AXA-Baustein umfasst IT-bedingte Vermögenseigenschäden wie die Datenwiederherstellung und das Reputationsmanagement nach einem Hackerangriff mit Datenverlust. Kosten für die Informations- und Kreditüberwachung, Sachverständige, für internetbezogenen Strafrechtsschutz, Erpressungsgelder und weitere Mehrkosten sind auch „mit drin“.

Haftpflicht ohne Selbstverschulden

Die Beschränkung auf Eigenschäden scheint sinnvoll, denn die Haftpflicht ist bei einem Rechtsanwalt oder Notar ja ohnehin pflichtversichert. Aber: Die Berufshaftpflichtversicherung leistet in aller Regel nur bei einer Pflichtverletzung.  So war es auch bei diesem Anwalt.

Eine Cyber-Attacke oder eine IT-Panne kann dagegen auch ohne eigenes Verschulden eintreten. Ein Trojaner, der eine bislang unbekannte Sicherheitslücke ausnutzt, kann auch bei völlig adäquater IT-Sicherheit zuschlagen. Dann sind möglicherweise Mandantendaten und vertrauliche Informationen kompromittiert. Die Haftungsansprüche der Mandanten an die Kanzlei sind aber nicht versichert – ohne Fahrlässigkeit kein Versicherungsfall!

Deckungserweiterung: Günstige Option – aber nur, wenn es passt

Bei einer großen Kanzlei mit einer individuellen Police hätte sich auch die dafür nötige Deckung zusätzlich aushandeln lassen. Bei einem Einzelanwalt blieb nur die Wahl zwischen der Deckungslücke oder einer kompletten Cyber-Versicherung (die zu einer teilweisen Überdeckung führt). Er hat sich für letzteres entschieden.

Deckungserweiterungen gibt es  übrigens nicht nur für Rechtsanwälte, sondern auch für andere Branchen und Berufsgruppen, etwa Ärzte, Ingenieure und Architekten. Und sie sind auch keineswegs immer sinnlos, im Gegenteil. Man muss nur – wie immer bei Versicherungen – zwei Dinge genau unter die Lupe nehmen: die angebotene Deckung und das eigene Risiko.

Ist  eine Erweiterung Ihrer bestehenden Versicherungen um Cyber-Versicherungsschutz für Sie sinnvoll? Das kann ich für Sie und mit Ihnen klären – rufen Sie mich einfach an: 030 863 926 990.

Das IT-Sicherheitsgesetz wird teuer – Versichern senkt das Kostenrisiko

von

Es wird mit großer Sicherheit teuer …

Im Sommer dürfte das IT-Sicherheitsgesetz in Kraft treten. Im Moment liegt der Gesetzesentwurf beim Bundestag. Es bringt dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) mehr Bedeutung und für so genannte „Betreiber kritischer Infrastrukturen“ neue Pflichten und Kosten – aber auch für jeden geschäftlichen Website-Betreiber.

Unklar: Betreiber einer kritischen Infrastruktur

Noch ist völlig unklar, wer dazu zählt. Genaue Festlegungen soll es erst später per Rechtsverordnung geben.

Bislang ist die Zielgruppe nur über zwei Merkmale eingegrenzt: Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ (§ 2 Abs. 10 BSIG n. F.) – ziemlicher Gummi also.

Immerhin: Kleinst- und Kleinunternehmen sind ausgenommen. Andere Betreiber müssen …

  • innerhalb von zwei Jahren verbindliche IT-Sicherheitsstandards einführen. (Welche? Auch noch nicht klar …).
  • deren Einhaltung alle zwei Jahre zertifizieren lassen
  • eine permanent erreichbare „Kontaktstelle“ zum BSI einrichten
  • Cyber-Zwischenfälle sowie Störungen und Bedrohungen der IT-Sicherheit unverzüglich an das BSI melden – auch solche, die nicht zu Ausfällen oder Störungen führten. (Immerhin darf dann die Meldung anonym erfolgen)

Neue Sicherheitspflicht für jeden geschäftlichen Website-Betreiber

Eine Änderung im Telemediengesetz verpflichtet zudem Diensteanbieter (d. h. Website- und Webservice-Betreiber) dazu, alles an Cyber- und Datenschutzmaßnahmen zu installieren, was „technisch möglich und wirtschaftlich zumutbar“ (§ 13 TMG n. F.) ist.

Eine Cyber-Versicherung hilft

Meldepflichten, Zertifizierungspflichten, verpflichtende IT-Sicherheitsstandards – all das ist nicht nur in der Umsetzung teuer. Zusätzlich drohen bei Verstößen Bußgelder und Schadenersatzansprüche Dritter.

Genau hier hilft eine Cyber-Versicherung, die Kostenrisiken im Griff zu halten:

  • Bei einem erfolgreichen Cyberangriff, einem technischen Zwischenfall oder menschlichem Versagen im Cyberbereich sind ihr Eigenschaden sowie Ausfall– und Folgekosten versichert (Produktionsausfälle, zerstörte Hardware, Datenwiederherstellung etc.)
  • Wichtiger noch: die Schadenersatzansprüche, die andere in diesem Fall an Sie stellen, sind ebenfalls versichert (denken Sie an Kunden, deren Daten geklaut wurden)
  • Die Versicherer halten Dienstleister für den Krisenfall bereit, die schnelle Hilfe bieten (Datenrettung, Krisen-PR, Rechtsberatung etc.)
  • Und, aktuell im Zusammenhang mit dem IT-Sicherheitsgesetz wichtig: Wenn gegen Ihr Unternehmen ein Bußgeldverfahren aufgrund von IT-Sicherheitsverletzung läuft, sind Ihre Rechtsanwalts- und Gerichtskosten mitversichert.

 

D&O-Versicherungen und ihre typischen Versicherungslücken

von

Wenn ein Kunde neu zu uns kommt, prüfe ich als Erstes die vorhandenen Versicherungsverträge auf Versicherungslücken – und zwar die Versicherungen für das Unternehmen selbst ebenso wie die Haftpflichtpolicen für die Entscheidungsträger. Dabei treffe ich immer wieder auf die gleichen Deckungslücken.

D&O-Versicherungen sind für Verantwortungsträger im Unternehmen ein Muss

D&O-Versicherungen sind personenbezogene Haftpflichtpolicen für Geschäftsführer, Vorstände, Abteilungsleiter etc – und unverzichtbar. Ohne diesen Schutz können ein zu spät gestellter Antrag auf Insolvenz, Versäumnisse beim Datenschutz, ein nicht angemeldetes Patent oder andere geschäftliche Entscheidungen bis in die Privatinsolvenz führen. Seit dem „Siemens/Neubürger“-Urteil muss es noch nicht einmal mehr eine echte, eigene Entscheidung sein, die mittelbare Verantwortung für Versäumnisse im Unternehmen reicht  (und zwar im konkreten Fall für Forderungen  in Höhe von 15 Mio. € plus Zinsen gegen den ehemaligen Vorstand, LG München, 10.12.2013 – 5 HK O 1387/10, jetzt in Berufung vor dem OLG München, Az. 7 U 113/14).

Immer wieder die gleichen Fehler

Deshalb schaue ich mir die D&O-Versicherungen neuer Kunden immer sehr genau an. Leider finden sich bei der persönlichen Absicherung von Verantwortungsträgern regelmäßig die folgenden Versicherungslücken:

  • Nach dem Ausscheiden besteht kein oder kein zuverlässiger Schutz mehr: Auch Forderungen an einen ehemaligen Vorstand oder die frühere Geschäftsführerin sind juristisch problemlos möglich. Oft sieht der D&O-Vertrag aber keine Rückwärtsdeckung oder Nachhaftung vor, und per „Claims-made“-Prinzip wird der Haftungszeitraum eingeschränkt. Dann ist der ehemalige Geschäftsführer schutzlos.
  • Nur privatrechtliche Ansprüche sind versichert, öffentlich-rechtliche nicht: Oft umfasst die Haftpflichtversicherung nicht die persönliche Haftung für Steuerschulden des Unternehmens oder Außenstände bei den Sozialversicherungen – dabei sind das oft absolut existenzbedrohende Summen.
  • Ansprüche des Unternehmens selbst gegen den Geschäftsführer, Vorstand oder Aufsichtsrat sind nicht mitversichert. Diese Deckung ist bei Versicherungsgesellschaften unbeliebt, weil sie Angst vor Unregelmäßigkeiten haben. Aber diese Art der Forderung ist in der Praxis eines der größten Risiken für die „Organe“ einer Kapitalgesellschaft.

Solche Lücken lassen sich beheben. Aber dazu muss man sie zunächst einmal aufspüren!

Wie bei allen Versicherungen gilt auch für eine D&O-Police: Schutz bietet Ihnen nicht die Überschrift über dem Vertrag und auch nicht das Geld, das Sie jedes Jahr überweisen. Schutz bieten nur die genauen Details im VertragHat Ihr persönlicher Haftungsschutzschirm ebenfalls Löcher? Ich kann es Ihnen sagen.

Cookie-Monster und die Rechtsunsicherheit

von

In einer idealen Welt würde das Online-Recht klar umsetzbare Vorgaben für Website-Betreiber liefern. Die Wirklichkeit ist weit davon entfernt.

Ein Beispiel von vielen: Ob deutschen Seitenbetreiber jedes Mal vorher um Erlaubnis fragen müssen, bevor sie Cookies setzen, ist höchst umstritten. Die Konferenz der Datenschutzbeauftragten von Bund und Ländern neigt natürlich zur restriktiven Sicht. Ob der BGH zustimmen würde, weiß keiner, jedenfalls bis jetzt. Die Folge ist wieder einmal Rechtsunsicherheit.

Versicherungen sind kein Allheilmittel dagegen – aber sie können das Risiko durchaus begrenzen, auch wenn das nicht allgemein bekannt ist. Die Versicherer bieten entsprechende Produkte unter ganz unterschiedlichen Namen an (Cyber-Versicherung, Media-Police, IT-Safe Care – um ein paar Beispiel zu nennen.) Die genauen Deckungsvereinbarungen muss man sich im Einzelfall anschauen. Aber grundsätzlich lässt sich der Schaden versichern, der entsteht, wenn Ihnen jemand aus den  Cookies Ihrer Unternehmenswebsite einen Strick drehen bzw. einen Verstoß gegen Datenschutzrecht konstruieren will. Zumindest solange, wie die Cookie-Zustimmung noch nicht allgemeiner Standard in Deutschland ist und die fehlende Abfrage nicht als grob fahrlässig ausgelegt werden kann.

Man könnte fast sagen: Auch Rechtsunsicherheit ist ein Stück weit versicherbar.

IT-Projekt mit Freelancern als Subunternehmer: Wie versichern?

von

Folgende Konstellation tritt im IT-Projektgeschäft immer wieder auf: Eine IT-Firma übernimmt einen größeren Auftrag. Zur Abwicklung des Projekts heuert sie eine Reihe Freelancer oder kleinere Dienstleister an. Zum Beispiel, weil sie Personal und Ressourcen nicht dauerhaft aufstocken will. Oder weil für dieses konkrete Projekt besondere Services gebraucht werden, die man sich extern dazu holt.

Damit ist der Auftragnehmer des Kunden seinerseits Auftraggeber gegenüber den Subunternehmen. Juristisch wie versicherungstechnisch ist das oft knifflig.

Häufig besteht der Auftraggeber darauf, dass sein Auftragnehmer eine Projektversicherung aufweist. Eine Projektversicherung wird vor allem dann teuer, wenn es um ein kleines Projektvolumen geht – für die Versicherungen ist eine Million Euro das kleinste Projektvolumen, für das sie Policen verkaufen. Umfasst der tatsächliche Auftrag nur 100.000 Euro, sind die Kosten trotzdem gleich hoch. In diesem Fall muss man sich überlegen, ob man das Risiko nicht auf andere Art und Weise sinnvoller abdeckt – etwa durch eine Versicherung,  die das Unternehmen über das Projekt hinaus absichert und so mehr Schutz bei gleichen Kosten bietet.

Ein Hauptproblem für den „Mittelmann“ ist außerdem die oft unklare juristische Lage. Welchen rechtlichen Status hat das projektbezogen zusammengestellte Team eigentlich? Ist das möglicherweise eine GbR? (Das kann auch dann der Fall sein, wenn der Vertrag mit den Subunternehmern das explizit verneint!) Oder droht im Gegenteil die Einstufung der Freelancer als Scheinselbstständige? Was steht denn genau in den Projektverträgen und ist es auch belastbar?

Mit genau diesen Fragen muss ich mich automatisch befassen, wenn ich nach Versicherungen für das Projekt suche. Dass ich studierter Jurist bin, hilft eine Menge).  Ein positiver Nebeneffekt meiner Arbeit als Versicherungsmakler – denn die Position zwischen Baum und Borke, sprich zwischen Auftraggeber einerseits und Subunternehmern andererseits kann schnell recht ungemütlich werden.

Nicht nur, wenn der Auftraggeber nicht zahlt. Auch bei möglichen Haftungsfragen droht Ärger. Wer zahlt den Schaden – der Subunternehmer bzw. Freelancer, der ihn verursacht hat? Oder der Hauptauftragnehmer,mit dem der Kunde den Vertrag hat? Hat der Kunde womöglich sogar die Möglichkeit zur Durchgriffshaftung, eben weil das Konstrukt eine GbR darstellt, auch wenn das eigentlich niemand so wollte?

Gut, wenn man solche Fragen vorab schon mal durchgesprochen hat – und gleichzeitig eine Police vermittelt bekommt, die genau auf das Projekt und das eigene Risiko zugeschnitten ist.

Cyber-Angriff + Kündigungsschutz = Risiko persönlicher Haftung

von

„Eine Betriebsunterbrechungsversicherung sorgt dafür, dass im Schadensfall – z. B. Betriebsausfall durch Brand – die fixen Kosten übernommen werden. Dazu gehören auch Löhne und Gehälter.

Und weil es solche Versicherungen gibt, wird es schwierig bis unmöglich, Mitarbeiter betriebsbedingt zu kündigen, nur weil  die Firma gerade abgebrannt ist. Begründung der Arbeitsrichter: „Sie, Herr Geschäftsführer, hätten ja versichern können.” Hat der Manager die Versicherung versäumt, droht ihm die persönliche Haftung für die Lohnkosten der Mitarbeiter, die jetzt unproduktiv herumsitzen.

Genau das gleiche Risiko zeichnet sich auch bei Cyber-Angriffen ab. Datenbank platt, Produktion lahmgelegt, enorme Ausfälle – aber Kündigungen gehen trotzdem nicht durch. Statt dessen muss die Geschäftsführung sich mit Fragen zur persönlichen Haftung herumschlagen – wenn es keine Cyber-Risk-Versicherung gab.

Cyber-Risiken sind eben nicht (nur) das Problem der IT-Abteilung. Eine Cyber-Versicherung auch für die Geschäftsführung wichtig.  Und eine D&O-Police zur Absicherung der persönlichen Haftpflicht ebenfalls.

Cyber-Risk – von Sony bis zum Stahlwerk

von

Ein bizarres Schurkenregime, gehässige Tratsch-Mails, Regierungsstäbe im Krisenmodus, jetzt auch noch der Playstation-GAU –  die vielen grellen Details der Sony-Hackerstory verdrängen wichtige Aspekte in den Hintergrund:

  • Eigentlich nichts besonderes. Sony beherrscht die Schlagzeilen. Kaum erwähnt: Die Schäden eines deutschen Stahlwerks durch einen „Hochofen-Hack”. Oder der britische Dienstleister für Software-Entwicklung, pleite aufgrund eine Cyber-Erpressung. Oder, oder, oder: siehe BSI-Lagebericht zur IT-Sicherheit 2014, Punkt 3.3, „Vorfälle in der Wirtschaft”.
    Merke: Cyber-Angriffe sind längst Gegenwart – fast schon Routine. Außer für das Opfer, natürlich. Übrigens: Eine Cyber-Police deckt auch Erpressungsgelder ab.
  • Mit kleinen Mitteln viel bewegt. Nordkorea ist rückständig, die Wirtschaft ein Fiasko. Trotzdem reichte es für den Mega-Treffer beim Großkonzern Sony.
    Merke: Man muss nicht groß, reich und mächtig sein für erfolgreiche Cyber-Angriffe. Nur skrupellos.
  • Wer den Schaden hat, braucht Freunde. Es dauerte lange, bis Sony rechtlich gegen Websites vorging, die die geklaute Daten veröffentlichten, und bis die PR-Gegenreaktion lief.
    Merke: Bei einem Cyber-Angriff brauchen Sie schnell gute Leute auf Ihrer Seite. Eine Cyber-Risk-Versicherung sorgt u. a. auch dafür. Denn es liegt auch im Interesse des Versicherers, die Folgeschäden gering zu halten.
  • Der Rufschaden ist am schlimmsten. Gehässige Bemerkungen über Angelina Jolie sind harmlos im Vergleich zum verlorenen Vertrauen des Marktes. Fast schon 13.000 Retweets bisher:

    Merke: Ein Cyber-Angriff gefährdet den Ruf Ihres Unternehmens – und kostet Sie damit Kunden.

Wenn Sie Fragen zum Thema Cyber-Risk-Versicherungen haben: Ich beantworte sie gerne.