Haftpflichtfrage

Versi­che­rungs­schutz rund um Cyber

Anwalts­kanz­leien nutzen immer häufiger moderne Infor­ma­ti­ons­tech­no­logien. Das macht die Abläufe effizi­enter, schafft aber auch neue Risiken.

Für den Anwalt gelten besondere Rechte und Pflichten. Zum einen geht es hier um die Anforderungen an das Outsourcing in Kanzleien, das durch das Geheimnisschutzgesetz neu geregelt wurde (siehe Klugmann/Leenen/Salz, AnwBl 2018, 219, Volltext AnwBl Online 2018, 283). Außerdem gilt seit dem 25. Mai 2018 die neue Datenschutzgrundverordnung (DSGVO) der EU (siehe dazu das DAV-Merkblatt und die DAV-Muster. Für die Details wird auf die Beiträge verwiesen.

I. Bedro­hungs­po­tential

Die Kanzleien müssen aber nicht nur selbst auf den Daten­schutz achten, sondern sind selbst Angriffen auf ihre Daten und ihren Kanzlei­be­trieb ausge­setzt. Kommt es zum erfolg­reichen Angriff, kann der Kanzlei­be­trieb nicht in gewohnter Weise aufrecht­er­halten werden. Die Mandanten sind zu infor­mieren und ein behördliches Daten­schutz­ver­fahren ist einzu­leiten. Möglicher­weise ist auch eine Krisen­kom­mu­ni­kation nötig. Es entstehen aber nicht nur Eigenschäden. Auch Dritte könnten darüber hinaus Ansprüche geltend machen.

II. Versi­che­rungs­schutz

Grund­legend unter­scheidet sich der Versi­che­rungs­schutz danach, ob Drittschäden und/oder Eigenschäden versi­chert sind. Als Haftpflicht­ver­si­che­rungen versi­chern die Berufs­haft­pflicht­ver­si­che­rungen und die Bürohaft­pflicht­ver­si­cherung grundsätzlich nur die Drittschäden. Die Eigenschäden sind zusätzlich in spezi­ellen Produkten wie einer Cyber-Versi­cherung versi­chert. Die Versi­cherung für externe oder interne Daten­schutz­be­auf­tragte kann verschie­dentlich abgesi­chert sein.

1. Berufs­haft­pflicht­ver­si­cherung

Bei der Berufs­haft­pflicht­ver­si­cherung der Anwälte handelt es sich um eine Haftpflicht­ver­si­cherung. Ansprüche Dritter sind versi­chert, wenn der Anwalt einen Verstoß im Rahmen seiner beruf­lichen Tätigkeit begeht. Versi­che­rungs­schutz sollte auch für berufs­be­zogene Drittschäden bestehen, die sich daraus ergeben, dass der Anwalt Vorschriften über perso­nen­be­zogene Daten sowie beruf­liche Geheim­hal­tungs- und Vertrau­lich­keits­ver­pflich­tungen verletzt. Dies ist versi­chert, weil es zu den Grund­pflichten des Anwalts gehört, verschwiegen zu sein (§ 43a Abs. 2 BRAO). Regelmäßig sollten auch Datenschäden versi­chert sein im Zusam­menhang mit der Ausübung der versi­cherten beruf­lichen Tätigkeit, die aus dem Verlust, der Veränderung oder der Nichtverfügbarkeit von Daten bei Dritten entstehen.

2. Bürohaft­pflicht

Nach der üblichen Bürohaft­pflicht­ver­si­cherung sind Internet-Techno­logien mitver­si­chert, wenn Dritte gesetz­liche Haftpflicht­ansprüche wegen Personen-, Sach- und Vermögensschäden geltend machen. Versi­chert sind speziell Schäden im Zusam­menhang mit der Ausübung der versi­cherten beruf­lichen Tätigkeit aus dem Austausch, der Übermittlung und der Bereit­stellung elektro­ni­scher Daten, zum Beispiel im Internet, per E-Mail oder mittels Datenträger. Voraus­setzung ist dabei aber, dass es sich um Schäden aus der Löschung, Unterdrückung, Unbrauch­bar­ma­chung oder Veränderung von Daten bei Dritten durch Computer-Viren und/ oder andere Schad­pro­gramme handelt. Ebenfalls versi­chert sind Datenveränderungen aus sonstigen Gründen, sowie die Nichter­fassung oder fehler­hafte Speicherung von Daten bei Dritten sind und die sich daraus ergebender Personen- und Sachschäden, nicht jedoch weiterer Datenveränderungen sowie der Störung des Zugangs Dritter zum elektro­ni­schen Daten­aus­tausch. Dies umfasst dann auch die Verletzung von Persönlich­keits- und Namens­rechten; insoweit besteht auch Versi­che­rungs­schutz für immate­rielle Ansprüche. Voraus­setzung ist aber immer, dass der Anwalt auch Vorsorge getroffen hat, dass seine Daten durch Virens­canner, Firewall, etc. gesichert sind und geprüft sind.

Regelmäßig nicht versi­chert sind Haftpflicht­ansprüche wegen Schäden aus der Erstellung, dem Handel, der Imple­men­tierung oder der Pflege von Software. Ebenfalls nicht versi­chert sind die IT-Beratung, IT-Analyse oder Ähnlichem oder auch für Schäden, die aus massenhaft versandten E-Mails, wie de Spamming stammen oder die mit wider­rechtlich erlangten Daten, z.B. aus der Verwendung von Cookies. Anders als in der Berufs­haft­pflicht­ver­si­cherung rechnet man üblicher­weise die Kosten als Leistung auf die Versi­che­rungs­summe an.

3. Cyber

Die Versi­che­rungs­wirt­schaft bietet verschie­dentlich sog. „Cyber-Produkte“ an. Die Cyber­schutz­ver­si­cherung ist eine Kombi­nation aus Dritt- und Eigen­scha­den­de­ckung Die Versi­cherer bieten hier Versi­che­rungs­schutz regelmäßig für reine Vermögensschäden. Schäden aufgrund von oder im Zusam­menhang mit Personen- und/oder Sachschäden sind damit nicht versi­chert. Dabei gelten dann aber die Daten und die Compu­ter­pro­gramme nicht als Sache und sind versi­chert.

Im Gegensatz zur Berufs­haft­pflicht­ver­si­cherung der Anwälte sind die Haftpflicht­ansprüche Dritter und die behördlichen Verfahren dann versi­chert, wenn innerhalb des versi­cherten Zeitraums oder einer sich daran anschließenden vertraglich verein­barten Nachhaf­tungs­frist erstmalig ein Anspruch oder eine Forderung geltend gemacht wird oder das Verfahren erstmalig schriftlich angezeigt ist, sog. claims-made-Versi­cherung wie in der D&O-Versi­cherung statt der Verstoßdeckung. Die Eigenschäden sind versi­chert, wenn erstmalig die Schäden festge­stellt sind. Gleiches gilt für die Service­leis­tungen des Versi­cherers, wenn foren­sische Dienst­leis­tungen gedeckt sind oder eine Krisen­kom­mu­ni­kation erfor­derlich ist, zum Beispiel wenn in den Medien erstmalig negativ berichtet wird.

Drittschäden sind versi­chert, wenn Daten­schutz­ge­setze oder Vertrau­lich­keits­an­for­de­rungen verletzt sind, das Netzwerk­system oder einzelne Computer der Kanzlei nicht mehr einwandfrei funktio­nieren oder auch die digitale Kommu­ni­kation beeinträchtigt ist. Eigenschäden sind versi­chert, wenn die Kanzlei wieder Daten oder Infor­ma­tionen wieder­her­stellen muss oder auch ggf. die Kanzlei erpresst wird, andern­falls bleiben ihre Computer blockiert. Versi­cherer bieten auch Versi­che­rungs­schutz für die Abwehr­kosten des Versi­cherten, wenn gegen ihn wegen einer Daten­schutz­ver­letzung ein Straf-, Ordnungs­wid­rig­keits- oder sonstiges behördliches Verfahren einge­leitet wird.

Der Deckungs­umfang der Cyber­schutz­ver­si­cherung ist grundsätzlich weitge­hender als der der üblichen Bürohaft­pflicht­ver­si­cherung. Der Versi­che­rungsfall ist bei der Bürohaft­pflicht das Schadener­eignis, zum Beispiel wenn die Person verletzt ist, während bei der Cyber-Deckung das claimsmade Prinzip gilt. Bei der Bürohaft­pflicht sind Vertrags­strafen nicht versi­chert, während die Cyber-Deckung auch Vertrags­strafen umfasst, wenn sie auf einem gesetz­lichen Haftpflicht­an­spruch beruhen. Die Betriebs­un­ter­bre­chung ist nur bei Cyber versi­chert, weil auch hier definierte Eigenschäden versi­chert sind. Die Bürohaft­pflicht kann nur Schäden von Dritten als Haftpflicht­ver­si­cherung decken. Die wichtige Wieder­her­stellung von Daten ist demzu­folge bei Cyber nicht nur dann versi­chert, wenn es sich um einen Dritt­schaden, sondern auch dann, wenn es sich um einen Eigen­schaden handelt. Daten Dritter sind in beiden Deckungen versi­chert, wenn sie unbrauchbar gemacht werden, verändert oder gelöscht werden. Nur Cyber beinhaltet aber auch die Absicherung der eigenen Daten, um zum Beispiel ein Mandat überhaupt führen zu können. Erpres­sungen sind nur bei Cyber versi­chert wie auch Abwehr­kosten bei behördlichen Daten­schutz­ver­fahren und auch die unzulässige Nutzung des Systems durch Mitar­beiter, wenn sie ihre Berech­ti­gungen in Schädigungs­ab­sicht überschreiten. Kosten von Sachverständen und Schadener­mitt­lungs­kosten als foren­sische Dienst­leis­tungen sind regelmäßig nicht in der Bürohaft­pflicht­ver­si­cherung enthalten, aber in der Cyber-Versi­cherung.

4. Daten­schutz­be­auf­tragter

Der Versi­che­rungs­schutz bestimmt sich danach, ob es sich um einen internen oder externen Daten­schutz­be­auf­tragten handelt.

Wenn der externe Daten­schutz­be­auf­tragte einen Verstoß begangen hat, haftet die Kanzlei für den Schaden. Sie kann Regress beim Daten­schutz­be­auf­tragten nehmen. Er haftet für jeden schuld­haften Verstoß nach dem zugrun­de­lie­genden Auftragsverhältnis. Hierfür ist ein geson­derter Versi­che­rungs­schutz erfor­derlich, der die Tätigkeit als Daten­schutz­be­auf­tragten speziell versi­chert für die gesetz­lichen Haftpflicht­ansprüche. Anzumerken ist, dass die Berufs­haft­pflicht­ver­si­cherung auch nicht die Vermögensschäden abdeckt, wenn ein Anwalt als externer Daten­schutz­be­auf­tragter tätig ist. Ein Rechts­anwalt übt als extern bestellter Daten­schutz­be­auf­tragter weder den Beruf eines Rechts­an­walts aus, noch ist diese Tätigkeit diesem Beruf ähnlich (BFH BeckRS 2003, 25002381; FG München BeckRS 2017, 137818).

Wenn ein interner Daten­schutz­be­auf­tragter einen Verstoß begangen hat, haftet gleich­falls die Kanzlei. Sie kann dafür ebenfalls Regress nehmen. Anders als der externe Daten­schutz­be­auf­tragte haftet der interne Daten­schutz­be­auf­tragte aber nur eingeschränkt nach arbeits­ver­trag­lichen Grundsätzen. Es handelt sich dann im Übrigen auch nicht um einen Dritt­schaden wie beim externen Daten­schutz­be­auf­tragten. Die Kanzlei hat einen Eigen­schaden. Versi­che­rungs­schutz für den internen Daten­schutz­be­auf­tragten kann im Einzelfall geboten werden über eine D&O-Versi­cherung, speziell die Kanzlei­ma­na­ger­de­ckung oder auch über die ODL (Outside-Direc­torship Liability).

Bei der Versi­cherung von Daten­schutz­be­auf­tragten ist besonders, dass gegenüber dem Unter­nehmen/Kanzlei Ansprüche wegen Daten­schutz­ver­let­zungen geltend gemacht werden. Die Unter­nehmen/Kanzlei können möglicher­weise die Schäden bei dem Daten­schutz­be­auf­tragten regres­sieren. Noch offen ist, ob der Daten­schutz­be­auf­tragte für Geldbußen überhaupt haftet und hierfür Versi­che­rungs­schutz besteht. Grundsätzlich haftet ein Geschäftsführer nicht für dem Unter­nehmen aufer­legte Geldbußen oder Strafen, zumindest hat dies das LAG Düsseldorf im Schie­nen­kar­tellfall entschieden (LAG Düsseldorf CCZ 2015, 185). Das BAG hat wieder zurückver­wiesen, weil es unzuständig ist bei einer kartell­recht­lichen Vorfrage (BAG NJW 2018, 184). In der D&O-Versi­cherung sind auch regelmäßig Strafen/Geldbußen ausge­schlossen.

Anwälten ist zu raten, sich umfassend gegen diese Art von Schäden abzusi­chern. Dabei ist indivi­duell der Versi­che­rungs­bedarf zu prüfen. Den derzeit weitest gehenden Schutz bieten die Cyber-Deckungen.

 


Zurück