Safe Harbor und die praktischen Folgen

Bye bye, Safe Harbor im Datenschutz

Der EuGH hat bekanntlich im Oktober das Safe-Harbor-Abkommen zwischen den USA und der EU gekippt, das die Übermittlung personenbezogener Daten an Rechenzentren in den USA erlaubte, wenn diese besonders zertifiziert sind. Das war einmal – wer weiterhin auf Basis dieses Abkommens Daten übermittelt, verstößt gegen Datenschutzrecht. Bis Januar 2016 werden solche Datenschutzverstöße zwar erst einmal nicht geahndet, bis dahin wollen die Politiker schauen, ob sie die Situation gelöst bekommen. Aber verlassen sollten Unternehmen sich darauf nicht. Wer  einen Cloud-Service oder E-Mail-Dienstleister mit Sitz bzw. Rechenzentrum in den USA nutzt und an diesen Kundendaten, Adressatenverzeichnisse oder Arbeitnehmerdaten übermittelt, muss damit auf die sogenannten „EU-Standardvertragsklauseln für Auftragsdatenverarbeitung“ umstellen.  Aber auch deren Geltung steht zumindest mittelfristig in Frage. Und überhaupt: Der Großteil der Unternehmen hat dem Themen bisher wenig Beachtung geschenkt und wird daran wohl nichts ändern. Zumal praktikable Lösungen Mangelware sind.

Datenschutzmanagement ist keine Nebensache mehr

„Das Urteil mag eine große Bedeutung für viele Unternehmen haben. Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.“

Das teilte der Berliner Rechtsanwalt Thomas Schwenke den Lesern seines Blogs nach der Safe-Harbor-Entscheidung mit – und hat damit vollkommen recht. Weiter schreibt er:

„Die Datenschutzanforderungen werden Sie ohnehin kaum alle perfekt erfüllen können. Das heißt jedoch nicht, dass Sie es gleich lassen sollten. Ganz im Gegenteil, sollten Sie rechtlich so viel wie möglich richtig machen.“

Ich füge hinzu: Und außerdem brauchen Sie Versicherungsschutz! Das ist gerade jetzt wichtig, weil absolute Compliance in Bezug auf Datenschutzrecht schwierig bis unmöglich ist.

Natürlich kann eine Versicherung nicht den verantwortlichen Umgang mit dem Thema Datenschutz ersetzen. Aber Betriebshaftpflicht, D&O (Managerhaftpflicht) und Cyberversicherung sind die geeigneten Instrumente, um das Unternehmen vor finanziellen Verlusten durch Datenschutzverletzungen zu bewahren. Jedes sinnvolle Risikomanagement schließt in diesem Bereich Versicherungslösungen mit ein.

Das liegt nicht nur am Rechtsrisiko. Mitarbeitern, Kunden und Geschäftspartner erwarten, dass Datenschutz ernst genommen wird. Wer sich darauf nicht einstellt, riskiert nicht nur hohe Folgekosten (und Schadenersatzforderungen), sondern auch einen empfindlichen Reputationsverlust.

Praktische Folgen für Unternehmen

Und was bedeutet das jetzt ganz praktisch? Unternehmen sollten sich darüber klar werden, an wen sie personenbezogene Daten weitergeben, auf welcher vertraglichen Grundlage das geschieht und wer dafür haftet. (Im Zweifel ist das immer erst einmal der eigene Vorstand oder die Geschäftsführung).  Um das Thema müssen sich Betriebe auch dann kümmern, wenn sie keinen Datenschutzbeauftragten haben müssen.

  • Wenn möglich und sinnvoll, sollte man zu Geschäftspartnern wechseln, die die Daten in der EU speichern und verarbeiten.
  • Der Standort der Rechenzentren muss  bei jedem Dienstleister oder Geschäftspartner bekannt sein, an den personenbezogene Daten weitergegeben werden.
  • Wenn es noch keine Datenschutzerklärung gibt, sollte man sie erstellen.
  • Wenn Auftragsdatenverarbeitung ohne Vertrag vorliegt, sollte das unbedingt geändert werden.
  • Wenn Daten in die USA übermittelt werden, müssen die Verträge auf Safe-Harbor-Klauseln überprüft werden. Wenn man fündig wird, besteht Handlungsbedarf. Dazu sollte man sich, wenn nötig, beraten lassen.
  • Weil das Datenschutzrecht sehr im Fluss ist, müssen Unternehmen die Folgen möglicher Datenschutzverstöße versichern. Dazu gehört auch, das Management gegen persönliche Inanspruchnahme aufgrund von Versäumnissen abzusichern: Die Vermeidung von Datenschutzverstößen ist Verantwortung der Geschäftsführung.

Fragen Sie uns jederzeit

Mit dem Versichern von IT-Risiken, Rechtsrisiken und persönlichen Haftungsrisiken kennen wir genau aus.  Und wir haben für alle Ihre Fragen ein offenes Ohr: 030 863 926 990 oder info@acant.de.

 

Das IT-Sicherheitsgesetz wird teuer – Versichern senkt das Kostenrisiko

Es wird mit großer Sicherheit teuer …

Im Sommer dürfte das IT-Sicherheitsgesetz in Kraft treten. Im Moment liegt der Gesetzesentwurf beim Bundestag. Es bringt dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) mehr Bedeutung und für so genannte „Betreiber kritischer Infrastrukturen“ neue Pflichten und Kosten – aber auch für jeden geschäftlichen Website-Betreiber.

Unklar: Betreiber einer kritischen Infrastruktur

Noch ist völlig unklar, wer dazu zählt. Genaue Festlegungen soll es erst später per Rechtsverordnung geben.

Bislang ist die Zielgruppe nur über zwei Merkmale eingegrenzt: Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ (§ 2 Abs. 10 BSIG n. F.) – ziemlicher Gummi also.

Immerhin: Kleinst- und Kleinunternehmen sind ausgenommen. Andere Betreiber müssen …

  • innerhalb von zwei Jahren verbindliche IT-Sicherheitsstandards einführen. (Welche? Auch noch nicht klar …).
  • deren Einhaltung alle zwei Jahre zertifizieren lassen
  • eine permanent erreichbare „Kontaktstelle“ zum BSI einrichten
  • Cyber-Zwischenfälle sowie Störungen und Bedrohungen der IT-Sicherheit unverzüglich an das BSI melden – auch solche, die nicht zu Ausfällen oder Störungen führten. (Immerhin darf dann die Meldung anonym erfolgen)

Neue Sicherheitspflicht für jeden geschäftlichen Website-Betreiber

Eine Änderung im Telemediengesetz verpflichtet zudem Diensteanbieter (d. h. Website- und Webservice-Betreiber) dazu, alles an Cyber- und Datenschutzmaßnahmen zu installieren, was „technisch möglich und wirtschaftlich zumutbar“ (§ 13 TMG n. F.) ist.

Eine Cyber-Versicherung hilft

Meldepflichten, Zertifizierungspflichten, verpflichtende IT-Sicherheitsstandards – all das ist nicht nur in der Umsetzung teuer. Zusätzlich drohen bei Verstößen Bußgelder und Schadenersatzansprüche Dritter.

Genau hier hilft eine Cyber-Versicherung, die Kostenrisiken im Griff zu halten:

  • Bei einem erfolgreichen Cyberangriff, einem technischen Zwischenfall oder menschlichem Versagen im Cyberbereich sind ihr Eigenschaden sowie Ausfall– und Folgekosten versichert (Produktionsausfälle, zerstörte Hardware, Datenwiederherstellung etc.)
  • Wichtiger noch: die Schadenersatzansprüche, die andere in diesem Fall an Sie stellen, sind ebenfalls versichert (denken Sie an Kunden, deren Daten geklaut wurden)
  • Die Versicherer halten Dienstleister für den Krisenfall bereit, die schnelle Hilfe bieten (Datenrettung, Krisen-PR, Rechtsberatung etc.)
  • Und, aktuell im Zusammenhang mit dem IT-Sicherheitsgesetz wichtig: Wenn gegen Ihr Unternehmen ein Bußgeldverfahren aufgrund von IT-Sicherheitsverletzung läuft, sind Ihre Rechtsanwalts- und Gerichtskosten mitversichert.

 

D&O-Versicherungen und ihre typischen Versicherungslücken

Wenn ein Kunde neu zu uns kommt, prüfe ich als Erstes die vorhandenen Versicherungsverträge auf Versicherungslücken – und zwar die Versicherungen für das Unternehmen selbst ebenso wie die Haftpflichtpolicen für die Entscheidungsträger. Dabei treffe ich immer wieder auf die gleichen Deckungslücken.

D&O-Versicherungen sind für Verantwortungsträger im Unternehmen ein Muss

D&O-Versicherungen sind personenbezogene Haftpflichtpolicen für Geschäftsführer, Vorstände, Abteilungsleiter etc – und unverzichtbar. Ohne diesen Schutz können ein zu spät gestellter Antrag auf Insolvenz, Versäumnisse beim Datenschutz, ein nicht angemeldetes Patent oder andere geschäftliche Entscheidungen bis in die Privatinsolvenz führen. Seit dem „Siemens/Neubürger“-Urteil muss es noch nicht einmal mehr eine echte, eigene Entscheidung sein, die mittelbare Verantwortung für Versäumnisse im Unternehmen reicht  (und zwar im konkreten Fall für Forderungen  in Höhe von 15 Mio. € plus Zinsen gegen den ehemaligen Vorstand, LG München, 10.12.2013 – 5 HK O 1387/10, jetzt in Berufung vor dem OLG München, Az. 7 U 113/14).

Immer wieder die gleichen Fehler

Deshalb schaue ich mir die D&O-Versicherungen neuer Kunden immer sehr genau an. Leider finden sich bei der persönlichen Absicherung von Verantwortungsträgern regelmäßig die folgenden Versicherungslücken:

  • Nach dem Ausscheiden besteht kein oder kein zuverlässiger Schutz mehr: Auch Forderungen an einen ehemaligen Vorstand oder die frühere Geschäftsführerin sind juristisch problemlos möglich. Oft sieht der D&O-Vertrag aber keine Rückwärtsdeckung oder Nachhaftung vor, und per „Claims-made“-Prinzip wird der Haftungszeitraum eingeschränkt. Dann ist der ehemalige Geschäftsführer schutzlos.
  • Nur privatrechtliche Ansprüche sind versichert, öffentlich-rechtliche nicht: Oft umfasst die Haftpflichtversicherung nicht die persönliche Haftung für Steuerschulden des Unternehmens oder Außenstände bei den Sozialversicherungen – dabei sind das oft absolut existenzbedrohende Summen.
  • Ansprüche des Unternehmens selbst gegen den Geschäftsführer, Vorstand oder Aufsichtsrat sind nicht mitversichert. Diese Deckung ist bei Versicherungsgesellschaften unbeliebt, weil sie Angst vor Unregelmäßigkeiten haben. Aber diese Art der Forderung ist in der Praxis eines der größten Risiken für die „Organe“ einer Kapitalgesellschaft.

Solche Lücken lassen sich beheben. Aber dazu muss man sie zunächst einmal aufspüren!

Wie bei allen Versicherungen gilt auch für eine D&O-Police: Schutz bietet Ihnen nicht die Überschrift über dem Vertrag und auch nicht das Geld, das Sie jedes Jahr überweisen. Schutz bieten nur die genauen Details im VertragHat Ihr persönlicher Haftungsschutzschirm ebenfalls Löcher? Ich kann es Ihnen sagen.

Cookie-Monster und die Rechtsunsicherheit

In einer idealen Welt würde das Online-Recht klar umsetzbare Vorgaben für Website-Betreiber liefern. Die Wirklichkeit ist weit davon entfernt.

Ein Beispiel von vielen: Ob deutschen Seitenbetreiber jedes Mal vorher um Erlaubnis fragen müssen, bevor sie Cookies setzen, ist höchst umstritten. Die Konferenz der Datenschutzbeauftragten von Bund und Ländern neigt natürlich zur restriktiven Sicht. Ob der BGH zustimmen würde, weiß keiner, jedenfalls bis jetzt. Die Folge ist wieder einmal Rechtsunsicherheit.

Versicherungen sind kein Allheilmittel dagegen – aber sie können das Risiko durchaus begrenzen, auch wenn das nicht allgemein bekannt ist. Die Versicherer bieten entsprechende Produkte unter ganz unterschiedlichen Namen an (Cyber-Versicherung, Media-Police, IT-Safe Care – um ein paar Beispiel zu nennen.) Die genauen Deckungsvereinbarungen muss man sich im Einzelfall anschauen. Aber grundsätzlich lässt sich der Schaden versichern, der entsteht, wenn Ihnen jemand aus den  Cookies Ihrer Unternehmenswebsite einen Strick drehen bzw. einen Verstoß gegen Datenschutzrecht konstruieren will. Zumindest solange, wie die Cookie-Zustimmung noch nicht allgemeiner Standard in Deutschland ist und die fehlende Abfrage nicht als grob fahrlässig ausgelegt werden kann.

Man könnte fast sagen: Auch Rechtsunsicherheit ist ein Stück weit versicherbar.

Cyber-Risiken und Haftungsansprüche in den USA versichern

Gregg Steinhafel, Ex-CEO des US-Einzelhandelsriesen Target, ist ein besonders prominentes Beispiel dafür, wie drastisch die persönlichen Folgen von IT-Sicherheitsmängeln für Manager ausfallen können: Erst verdarben Hacker ihm  die Weihnachtsfeiertage 2013 – mit dem Diebstahl von Kundendaten in großem Stil. Ein halbes Jahr später kostete ihn der Vorfall dann auch noch den Vorstandsposten. Oder wie das  Handelsblatt schrieb: „Daten weg, Kunden weg, Chef weg“.

Und was, wenn ein deutsches Unternehmen Geschäfte in den USA macht und dort für Cyber-Schäden haftbar gemacht werden soll? In Amerika sind Schadenersatzsummen bekanntlich oft (alp-)traumhaft hoch. Sind solche Ansprüche durch die Cyber-Versicherung mit abgedeckt?

Hier muss man ein wenig ins Detail gehen: Grundsätzlich sind Auslandsrisiken durch Haftungsansprüche Dritter im Normalfall mitversichert. Eine Cyber-Versicherung bzw. Haftpflicht-Police bietet Deckung also auch im Ausland.

Es gibt aber Länder, die ausgeschlossen sind – zum Beispiel solche, die nur die Regulierung durch vor Ort registrierte Versicherungen zulassen. Und praktisch alle großen Versicherer schließen Ansprüche in den USA und Kanada durch Standardklauseln aus – das „litigation law“ dort ist einfach zu hemmungslos für eine pauschale Deckung. Trotzdem ist es oft möglich,  Haftpflichtansprüche in den USA auch ohne teure Zusatzdeckungen mitversichert zu bekommen, vor allem bei auf weltweiten Schutz spezialisierte Gesellschaften wie z. B. ACE. Die Versicherer wollen das Risiko aber vorher einzelfallbezogen in Augenschein nehmen.

Deutsche Unternehmen, die ihr USA-Geschäft mit in ihre Cyber-Versicherung einschließen wollen, sollten also dafür sorgen, dass die Deckung ihrer Police entsprechend erweitert wird, möglichst ohne Kosten. Und auf zwei weitere Dinge gilt es aufzupassen:

  • Die Mitarbeiter sollten mitversichert sein. Denn auch in den USA kann schnell eine persönliche Haftung entstehen.
  • Und zweitens: Manche Versicherer verfügen über ein eigenes Data Breach Team in den USA, das im Schadensfall als schnelle Eingreiftruppe fungiert – ein entscheidender Vorteil.

Übrigens: Auf solche Details zu achten, ist Teil meiner Aufgabe als Versicherungsmakler. Haben Sie Fragen dazu? Rufen Sie mich an: 030 863926 990.

Rückgedeckte Pensionszusage und verdeckte Gewinnausschüttung

Eine rückgedeckte Pensionszusage (Direktzusage) an Gesellschafter-Geschäftsführer wird schnell zur steuerlichen Stolperfalle für die Gesellschaft, weil das Finanzamt eine verdeckte Gewinnausschüttung sieht.  Besonders riskant ist es, wenn die Ansprüche ausbezahlt oder durch Einmalzahlungen abgefunden werden.  Mehrere Entscheidungen des Bundesfinanzhofs (BFH) aus jüngerer Zeit zeigen wieder einmal eindrücklich, wie gefährlich dieses Terrain für GmbHs und ihre Gesellschafter bzw. Gesellschafter-Geschäftsführer ist. (Die Gerichtsentscheide zur verdeckten Gewinnausschüttung füllen ohnehin Bände – das sagt schon alles.)

Stellt das Finanzamt eine verdeckte Gewinnausschüttung fest, dann ist die Zahlung oder Übertragung keine betrieblich veranlasste  Ausgabe mehr, die das Gesellschaftsergebnis und damit die Steuern mindert. Vielmehr handelt es sich dann um Kapitaleinkünfte des Begünstigten, die Gesellschaft hätte in diesem Fall 25  Prozent Kapitalertragssteuern einbehalten müssen.

Vereinbarungen zwischen Gesellschaft und Geschäftsführer müssen in puncto Steuer- und Gesellschaftsrecht mit großer handwerklicher Sorgfalt erarbeitet werden, um dies zu vermeiden. Bei späteren Umwandlungen, Abfindungen, Ausschüttungen und dergleichen mehr ist erst recht größte Vorsicht geboten.  Drei vom BFH entschiedenen Fälle zeigen, wie eng der Spielraum im konkreten Fall sein kann.

  • Ein beherrschender Gesellschafter-Geschäftsführer verfügte über eine Pensionszusage für sein Ausscheiden nach dem vollendeten 60. Lebensjahr. Statt dessen wurden ihm dann bereits mit dem 60. Lebensjahr eine Einmalzahlung ausgeschüttet, außerdem blieb er weiter in der Gesellschaft tätig. Für den BFH lag hier eine verdeckten Gewinnausschüttung vor. (BFH, 23.10.2013, AZ I R 89/12).
  • Ein anderer Gesellschafter-Geschäftsführer erhielt ab dem Erreichen der vereinbarten Altersgrenze seine monatliche Pension, war aber gleichzeitig in Teilzeit weiterhin als Geschäftsführer tätig. Um eine verdeckte Gewinnausschüttung zu vermeiden, wäre es laut Urteil (BFH, 23.10.2013, AZ I R 60/12) notwendig gewesen, entweder das aufgrund der Teilzeittätigkeit gezahlte Gehalt auf die Versorgungsleistung anzurechnen oder die Versicherungsleistung erst zu einem späteren Zeitpunkt zu bezahlen.
  • In einem dritten Fall ließ sich der beherrschende Gesellschafter-Geschäftsführer seine Pensionsansprüche durch Zahlung eines Einmalbetrags abgelten statt wie vereinbart einer monatlichen Rente, er wollte seinemm Sohn die GmbH ohne laufende Belastung übertragen können. Hier monierte der BFH das Fehler der erforderlichen vorherigen Vereinbarung in Schriftform – und erkannte wiederum eine verdeckte Gewinnausschüttung (BFH,  11.9.2013, AZ I R 28/13).

Das sind, wie gesagt, nur Beispiele für die missglückte Handhabung von Pensionszusagen. Eine weitere typische Stolperfalle sind übrigens zu niedrig vereinbarte Altersgrenzen. Wenn Sie sich für die juristischen Details interessieren, finden Sie in diesem Beitrag von Dr. Claudia Veh weitere Informationen. Wenn Ihnen dagegen weniger die steuerrechtliche Detailfragen als vielmehr Ihre Altersvorsorge am Herzen liegt, dann sollten Sie sich unbedingt beraten lassen.

Die Beratung sollte sich auch keineswegs nur auf steuerrechtliche und gesellschaftsrechtliche Fragen beschränken, so wichtig diese auch sind. Genau so wichtig aber ist es, den eigentlichen Zweck des Ganzen im Auge zu behalten: eine optimale, solide Altersabsicherung für den Chef. Das erfordert auch eine umfassende, praktische Kenntnis des Marktes für Vorsorgeprodukte.

Haben Sie Fragen zu Ihrer Altersvorsorge? Sie erreichen mich per E-Mail, über das Kontaktformular oder telefonisch (030 863926990, mobil: 0176 10318791)

Cloud-Kunde zahlt nicht, Cloud-Anbieter löscht Daten? Vorsicht, Haftungsrisiko.

Cloud Services sind mittlerweile Alltag in der IT-Branche. Und damit rücken auch rechtliche Probleme in den Fokus, an die vorher kaum jemand gedacht hat, die aber eben den Geschäftsalltag bestimmen. Zum Beispiel die Frage, wie ein Cloud-Dienstleister reagieren soll, wenn der Unternehmenskunde für das vereinbarte Bereithalten der Daten, Software etc.  nicht bezahlt. Kann der Cloud-Service die Daten dann einfach löschen?

Eher nicht, zumindest nicht „einfach so” – so könnte man einen Beitrag von Rechtsanwalt Jens Ferner zusammenfassen. Vorsicht ist schon deshalb angebracht, weil es um große Haftungssummen gehen kann. Kundenkartei, Produktdaten oder Buchhaltungsvorgänge – diese Daten sind viel wert und ihr Verlust führt schnell zu teuren Folgeschäden. Entsprechend hoch können dann spätere Schadenersatzansrpüche durch den Kunde oder einen Insolvenzverwalter ausfallen.

Auch wenn Cloud-Anbieter eine entsprechende Regelung in den AGB  hat, kann er Probleme bekommen, so Rechtsanwalt Ferner. Der Bundesgerichtshof den Hostingvertrag zwar vor einigen jahren als Mischform von Miet- und Werkvertrag gekennzeichnet (BGH, 4. 3. 2010 -III ZR 79/09). Aber für IT-Rechtsexperte Ferner überwiegen speziell beim Cloud-Vertrag die mietvertraglichen Aspekte.

Und der Vermieter eines Lagerraums etwa darf die dort untergebrachten Dinge auch nicht einfach entsorgen, wenn der Kunde nicht zahlt – er muss sie einlagern und gegebenenfalls verwerten. Analog dazu, so Jens Ferner, müsse auch der Cloud-Anbieter vorgehen: Die Daten zumindest vorerst sichern. Das sei angesichts der niedrigen Kosten auch zumutbar. Anders als der Lagerverwalter darf er die Daten aber nicht verwerten – der Datenschutz verhindert den Zugriff darauf. Doch wie lange das Speichern für den nichtzahlenden Kunden dauern soll, dazu macht der Fachbeitrag leider keine genauen Angaben. „Durch ein geeignetes und beweissicheres Prozedere kann man hier dafür Sorge tragen, dass die Daten letztlich gelöscht werden können.” lautet die eher vage Aussage.

Natürlich muss es nicht sein, dass das Gericht in einem konkreten Fall  die Sichtweise von Jens Ferner teilt. Aber die Möglichkeit besteht durchaus. Und das Szenario zeigt wieder einmal, dass man als IT-Dienstleister sehr viel schneller in Haftungsfallen treten kann, als einem lieb ist. Gut, wenn die Haftpflichtversicherung  des Unternehmens und die persönliche Haftungspolice des Geschäftsführers aktuell und genau auf die Risiken hin angepasst sind, die sich aus dem eigenen Geschäftsmodell tatsächlich ergeben.

  • Natürlich kann auch der beste Versicherungsvertrag Vorsicht nicht ersetzen und Pech nicht verhindern. Aber eine gute Betriebs- und Produkthaftpflichtversicherung bietet nicht nur finanziellen Schutz bei begründeten und berechtigten Schadenersatzansprüchen gegen das Unternehmen. Sie hilft auch, unbegründete Ansprüche juristisch abzuwehren, denn sie übernimmt die Anwalts- und Gerichtskosten.
  • Außerdem gewährt eine gute Haftpflichtversicherung grundsätzlich auch bei Fahrlässigkeit Versicherungsschutz.
  • Wenn ein Gericht die Datenlöschung später als vorsätzlich begangene Straftat einstuft, wird kein Versicherer bezahlen. Aber: Juristen machen einen Unterschied zwischen Vorsatz , bedingtem Vorsatz und Fahrlässigkeit.  Im konkreten Fall ist diese Unterscheidung sehr wichtig – dafür, ob die Versicherung bezahlt, aber auch für die Frage, ob der Geschäftsführer bzw. Inhaber eines Unternehmens persönlich haftet oder strafrechtlich belangt wird. Richtig versichert zu sein  bedeutet auch, sich einen guten, fachkundigen Strafverteidiger leisten zu können, und das  nicht erst mit Eröffnung des gerichtlichen Verfahrens,  sondern bereits ab Einleitung der Ermittlungen.

Den Beitrag von Jens Ferner finden Sie hier: „Cloud-Computing und IT-Vertragsrecht: Dürfen Anbieter Daten der Kunden bei Zahlungsverzug löschen?”

Haben Sie Fragen zu Versicherungsmöglichkeiten und Risikomanagement in Bezug auf ein konkretes IT-Geschäftsfeld?

Sprechen Sie mich an.

Datenschutz bringt echte Marktvorteile – und nicht nur Karma-Punkte

Versichern und vermeiden

Als Versicherungsmakler liegt es mir am Herzen, dass die Risiken, gegen die ich die von mir betreuten Unternehmen versichere, möglichst nie Realität werden.

Nicht, weil die Versicherung dann zahlen muss. (Als Versicherungsmakler bin ich kein Versicherungsvertreter, das kann man gar nicht oft genug wiederholen. Ich verkaufe nicht Produkte eines Versicherers, ich „verkaufe” vielmehr Know-how und Beratung, damit der Versicherungsnehmer markt- und risikogerechten Versicherungsschutz bekommt. Dabei stehe ich auf Seiten des Versicherungsnehmers. Dazu bin ich sogar gesetzlich verpflichtet.)

Sondern deshalb, weil kein Schaden immer besser ist als selbst ein anstandslos regulierter Schaden. (Das erspart dem versicherten Unternehmen Ärger und mir  Arbeit, schließlich kümmere ich mich auch um Schadensregulierung.)

Und deshalb liegt mir das Thema Datenschutz am Herzen.

 

Datenschutz: vom Nerd-Thema zum Risikofaktor

Zu den großen Risiken im IT-Umfeld gehört mittlerweile das des Datenlecks. Aus einem Dornröschenthema für Fachjuristen und engagierte Nerds ist in wenigen Monaten ein echtes Damoklesschwert geworden, das jetzt über allen baumelt, die die Zeichen der Zeit nicht erkannt haben.

Denn inzwischen legen auch die Verbraucher Wert auf Datenschutz. „Datenschutz darf Geld kosten” – so fasste der vzbz die Ergebnisse einer Umfrage unter Verbrauchern zusammen, die er bei TNS Emnid in Auftrag gegeben hatte. Mehr als ein Drittel der Befragten zeigt sich demnach bereit, größere Datensicherheit auch mit einem höheren Preis zu honorieren. Und für Unternehmen ist inzwischen auch klar, wie riskant es ist, wenn das eigene Risikomanagement im Blindflug erfolgt.

(Etwa bei der Cloud – wenn man persönliche Daten von Dritten an einen Dienst außerhalb der EU übergibt, noch dazu unverschlüsselt bzw. mit Schlüsseln, die auf dem Server dort liegen, und der Vertrag außerdem keine Grundlage für Regressansprüche an den Cloud-Anbieter hergibt,  falls doch etwas passiert, und auch keine Lösch- oder Auskunftsansprüche nach deutschem Recht – das ist dann z. B. Blindflug.)

Aber eigentlich wollte ich gar nicht  von den Risiken beim Datenschutz reden – sondern von den Chancen. Denn das ist ja das Gute: Beim Thema „Datenschutz” geht es nicht darum, nur den Teufel an die Wand malen – man kann auch auf real existierende Vorteile verweisen. Ein funktionierendes Datenschutzkonzept ist ein echter Marktvorteil geworden. Sowohl bei Unternehmenskunden wie auch bei Endverbrauchern.

Datenschutz-Risiko: Quasi ein Schnelltest

Wie groß der eigene Handlungsbedarf ist, lässt sich – zumindest vorab – schon mit ein paar einfachen Punkten herausfinden.  Wer das alles so spontan unterschreiben kann, ist schon mal recht gut aufgestellt:

  • Bei uns gibt es einen Datenschutzbeauftragten, und zwar nicht nur pro forma. (Oder: Wir brauchen wirklich keinen.)
  • Sowohl in den Verträgen mit unseren Kunden wie auch mit unseren Dienstleistern sind Datenschutzansprüche klar geregelt, auch der Haftungsfall.
  • Für alle personenbezogenen Daten, die wir speichern, haben wir entweder eine gesetzliche Befugnis oder eine nachweisbare Einwilligung der Betreffenden. Und wir können personenbezogene Daten komplett löschen und tun dies auch, wenn der Nutzer sich abmeldet, kündigt o. ä.  Und zwar auch von allen Backup-Systemen etc.
  • Unsere Security-Policies und Schutzmaßnahmen sind auf den Stand der Zeit. Und auch die Privat-Geräte der Mitarbeiter bilden keine Lücke im System.
  • Falls doch etwas passiert, und wir verantwortlich sind (und das sind wir selbst dann, wenn unser Provider/Dienstleister/Cloud-Dienst/Mitarbeiter … schuld ist), dann kommen zwar Schadenersatzforderungen auf uns zu, aber wir sind versichert. Wir haben das Thema Datenschutz schließlich rechtzeitig mit unserem Versicherungsmakler durchgesprochen.

Falls Sie Fragen oder Anmerkungen zum Thema „Datenschutz-Risiken und Versicherungen“ haben: Sprechen Sie mich an.

 

 

 

Bring your own device (BYOD): Bring Dein eigenes Gerät, die Firma haftet?

Drei Studien, ein Problem

  • Fast ein Drittel aller deutschen Unternehmen mit mehr als 1.000 Mitarbeitern hat durch BYOD bereits wichtige Daten verloren. Das besagt eine Studie, über die Heise berichtet.
  • Andererseits erlaubt mit  43 % annähernd die Hälfte der IT-Unternehmen hierzulande den Mitarbeitern, eigene Geräte für die Arbeit zu nutzen, von denen wiederum nur 60 % dafür feste Regeln aufstellen –  so eine andere Studie vom Branchenverband Bitkom.
  • Wobei Betriebsvereinbarungen etc. oft ohnehin wenig bringen: Fast die Hälfte der Arbeitnehmer bis 32 schert sich schlichtweg nicht um Verbote und Einschränkungen und nutzt die eigenen Geräte einfach trotzdem. Das ergab eine Fortinet-Umfrage zum BYOD-Verhalten der „Generation Y“.

Kaum noch ohne BYOD

Dass BYOD für  die Rechner- und Datensicherheit des Unternehmens  ein Horror ist, liegt auf der Hand. Heterogene Hardware, unterschiedliche Betriebssysteme, eine völlig uneinheitliche Ausrüstung  mit Firewalls, Virensoftware und Backup-Programmen, wenn überhaupt vorhanden. Dazu Nutzer, die das jeweilige Gerät als Teil ihrer persönlichen Ausrüstung begreifen, an allen möglichen Orten im Internet unterwegs sind, unkontrolliert herunterladen und installieren, mit weiß wem Kontakt haben und fleißig Wechseldatenträger nutzen …

Arbeitsrechtlich bzw. juristisch ist BYOD ebenfalls ein Alptraum. Arbeit und Privatsphäre, persönliche und Unternehmensdaten, Privatbesitz und Firmeneigentum – alles vermischt sich. Da freut sich der Anwalt, wenn es zu Konflikten kommt …

Dazu kommen die steuerlichen Unklarheiten, wenn Privat- und Firmeneigentum, berufliche und private Nutzung sich vermischen.

Trotzdem kann man BYOD oft kaum noch wirksam verbieten – s.o. Außerdem macht ein BYOD-VErbot die Suche nach jungen Talenten für den „Mangelberuf Anwendungsentwickler“  und ähnliche Jobs sehr viel schwieriger.  Daneben ist BYOD der Preis (und der Köder) für die erhöhte Verfügbarkeit wichtiger Leute und spart oft Anschaffungskosten.

Schutzmaßnahmen festklopfen

Ganz wichtig: Eine verbindliche und arbeitsrechtlich wirksame Richtlinie zu BYOD etablieren.

Wichtig ist aber auch, die einschlägigen Risiken klar zu erfassen und versichert zu haben. Gerade an dieser Front ist das Unternehmen abhängig vom Verhalten Dritter und anfällig für Pleiten, Pech und Pannen.

Wenn das ganz große Datenleck oder der Komplettverlust wichtiger Firmendaten da ist, hilft Ihnen auch ein Haftungsanspruch gegen den Sündenbock  nicht mehr viel.  Dann retten  Sie nur noch gute Nerven und eine ausreichende Deckung in Ihrer Versicherungspolice.

Punkte für eine BYOD-Richtlinie

Dennoch: Die arbeitsrechtliche Absicherung von  BYOD ist absolut zentral – schon deshalb, um das Bewusstsein der Mitarbeiter zu schärfen und um Rechtsstreitigkeiten mit dem eigenen Personal von vornherein den Boden zu entziehen. Welche Punkte  in Sachen BYOD im Arbeitsvertrag oder per Betriebsvereinbarung zu klären sind, haben die Rechtsanwälte Sebastian Dramburg und Matthias Sziedat in einem Gastbeitrag für Deutsche-Startups.de aufgelistet. Die von ihnen genannten Punkte kurz zusammengefasst:

  • Klare Regeln dazu, wer wie viel bezahlt für Anschaffung, Zubehör und Reparaturen
  • Haftung bei Softwarenutzung ohne Lizenz
  • Regeln für Verlust oder Beschädigung
  • Klare Abmachungen zum Umgang mit persönlichen Daten des Mitarbeiters auf dem Gerät
  • Regeln für den Fall des Ausscheidens des Mitarbeiters oder bei akuten Konflikten

Fragen an Ihren Versicherer

Zusätzlich sollten Sie sich aber bei jedem dieser Punkte auch fragen: Wie steht mein Unternehmen da, wenn die Richtlinie nicht greift?

Ist das neue iPhone, das der Marketingchef auf der Messe liegen lässt, versichert? Wenn der Entwickler im Streit geht und das Unternehmen keinen Zugriff mehr auf den bislang erstellten Code auf dessen Laptop hat, wer bezahlt dann die Vertragsstrafe an den Kunden? Wie steht es, wenn der Vertriebsmitarbeiter sich einen Trojaner einfängt und die Kunden verteilt, die dann Schadensersatz fordern? Kann man für den Schaden vorsorgen, der entsteht, wenn ein Mitarbeiter die Kundendaten auf „seinem“ Laptop für ein eigenes Unternehmen nutzt?

Wie immer gilt: Das sind zum einen Themen für Ihre IT-Sicherheit. Das alles sind aber auch Versicherungsfragen.  Sie sollten Sie Ihrem Versicherungsmakler oder Ihrem Versicherer stellen, bevor es passiert.

Fazit

BYOD ist ein Risiko, an dem Sie aber vermutlich kaum vorbeikommen. Um das Risiko zu begrenzen, müssen Sie es auf drei Ebenen angehen:

  1. auf Ebene der  IT-Sicherheit: in Bezug auf die Geräte selbst,
  2. auf arbeitsrechtlicher Ebene: in Bezug auf Ihre Mitarbeiter
  3. auf Unternehmensebene:  in Bezug auf Ihre betrieblichen Versicherungen

Außerdem sollten Sie mit dem Steuerberater über dieses Thema sprechen.

Links

Agile Software-Projekte und Vertragsrecht

Es ist ja schön, wenn Software-Projekte mit zeitgemäßen, agilen Methoden wie Scrum oder Lean Startup durchgeführt werden. Aber wie soll man das im deutschen Vertragsrecht mit seiner Einteilung in Werkvertrag und Dienstvertrag angemessen abbilden? Was soll im Vertrag stehen, wenn das Endprodukt beim Abschluss noch gar nicht klar ist?

Schließlich gibt es im agilen Umfeld keine lange Pflichten- und Lastenhefte. Es geht ja darum,  für neue oder unbekannte Aufgaben neue, noch nicht bekannte Lösungen zu finden und den genauen Bedarf im Prozess selbst zu ermitteln. Trotzdem sollen zwischen Auftraggeber und Software-Dienstleister solide rechtliche Verhältnisse herrschen.

Diesen Fragen widmet sich Björn Schotte, Geschäftsführer des Webentwicklers Mayflower, in einem zweistündigen Webinar. Er skizziert  aus der Perspektive des Software-Dienstleisters mehrere Vertragsmodelle für agile Projekte, die sein Unternehmen auch tatsächlich verwendet.

Hier klicken, um den Inhalt von www.youtube.com anzuzeigen

Seine Grundthese: Die rechtlichen Rahmenbedingungen müssen auf beiden Seiten eines agilen Projektes kooperatives Verhalten erwirken. Nicht-kooperatives Verhalten wird sanktioniert. Der Auftraggeber kann unter bestimmten Bedingungen die Zusammenarbeit beenden oder etwa Zahlungen für einzelne User Stories verweigern. Der Dienstleister kann unter bestimmten Umständen die Zusammenarbeit als Dienstvertrag (T&M) fortführen.

Die Formalisierung einer kooperativen Grundeinstellung ergibt auch aus meiner Sicht als Versicherungsexperte viel Sinn: Kooperation und Vertrauen vermindern schlicht das Risiko und damit die Kosten des Risikomanagements. Wenn es gelingt, etwas so schwer Greifbares wie Kooperationsbereitschaft in ein greifbares, überzeugendes Vertragswerk zu gießen, sinken die Versicherungskosten für das Software-Projekt.

Denn natürlich kann man auch Software-Projekte separat versichern, also zum Beispiel

  • Honorar-Ausfälle durch außerordentliche Vertragskündigung bzw. Rücktritt,
  • anfallende Vertragsstrafen und
  • eine Nachhaftung des Dienstleisters.

Das macht – neben zeitgemäßen Verträgen – den Schutz von Auftraggeber und Dienstleister komplett.  Wenn Sie mehr wissen wollen:  Fragen Sie mich – dafür bin ich ja da, als Versicherungsmakler und Rechtsanwalt.