Köln, 30.04.2020
Home Office ist in diesen Zeiten „alternativlos“: Zur Reduzierung von Infektionsmöglichkeiten bei gleichzeitiger Erhaltung der Arbeitsfähigkeit sind viele Unternehmen darauf angewiesen, dass ihre Mitarbeiter ganz oder teilweise zu Hause arbeiten. Und es zeichnet sich bereits ab, dass das Home Office auch nach der Überwindung der Corona-Krise die Arbeit eine viel größere Rolle spielen wird, als dies bislang der Fall war.
Dabei wird regelmäßig nur über arbeitsrechtliche und datenschutzrechtliche Fragen nachgedacht; dass auch das Versicherungsrecht und der Schutz eigener Geschäftsgeheimnisse erhebliche Anforderungen an die Unternehmensleitung stellen, wird häufig vergessen.
I. Versicherungsrechtliche Pflichten beim Übergang ins HomeOffice
Dass praktisch alle Unternehmen gegenüber kriminellen Angriffen aus dem Internet verwundbar sind, hat sich herumgesprochen. Deshalb schließen immer mehr Unternehmen Cyber-Versicherungen gegen solche Risiken ab. Diese Versicherungen sehen jedoch häufig Obliegenheiten hinsichtlich der Einhaltung eines gewissen Schutzniveaus im Bereich des mobilen Arbeitens vor. Verletzt das versicherungsnehmende Unternehmen eine solche Obliegenheit mit Blick auf den konkreten Schadenfall, so kann der Versicherer häufig seine Leistungen gemäß § 28 VVG kürzen oder sogar ganz verweigern.
Dabei reicht jedoch häufig nicht aus, nur einfach Sicherheitsvorkehrungen für das Home Office vorzuschreiben und umzusetzen. Selbst wenn eine hinreichende Absicherung auch für das Home Office besteht, muss ein Unternehmen überlegen, ob es die dauerhafte Verlagerung der betrieblichen Tätigkeit ins Home Office dem Versicherer anzuzeigen hat. Denn eine dauerhafte Veränderung der IT-Struktur in einem Unternehmen führt regelmäßig zu einer Änderung des Risikoprofils und kann deshalb einen sog. gefahrerhöhenden Umstand im Sinne der §§ 23 ff. VVG darstellen. Gefahrerhöhungen sind aber dem Versicherer anzuzeigen, wenn der Versicherungsschutz nicht gefährdet werden soll. Mindestens muss jedes Unternehmen in seinen Versicherungsvertrag schauen, wie dort die Meldepflichten geregelt sind.
II. Geheimnisschutz
Über Datenschutz im HomeOffice wird regelmäßig diskutiert. Dabei wird häufig vergessen, dass Sicherheitsvorkehrungen für die Arbeit im HomeOffice unter dem Gesichtspunkt des Schutzes der betrieblichen Grundlagen, nämlich von Geschäftsgeheimnissen, mindestens ebenso nötig sind. Geschäftsgeheimnisse sind gemäß § 2 Abs. 1 a) GeschGehG Informationen, die (kurz gefasst) nicht allgemein bekannt und daher wirtschaftlich wertvoll sind. Hierzu zählt also alles, was einem Unternehmen Vorsprung vor Wettbewerbern aufgrund besonderer Kenntnisse oder Fertigkeiten verschafft. Um auch rechtlich geschützt zu sein, müssen solche Geheimnisse aber gemäß § 2 Abs. 1 b) GeschGehG auch Gegenstand angemessener Geheimhaltungsmaßnahmen sein.
Das bedeutet, dass jedes Unternehmen angemessene organisatorische, technische und rechtliche Maßnahmen zum Schutz der eigenen Geschäftsgeheimnisse treffen muss, damit der darin verkörperte Wert nicht gefährdet wird. Was „angemessen“ ist, muss im Einzelfall mit Blick auf die Art der Information, ihren Wert für das Unternehmen und natürlich auch das Risiko eines unbefugten Zugriffs bestimmt werden. Auch hierbei kann es also eine Rolle spielen, ob eine solche wertvolle Information „auf dem Betriebsgelände“ verbleibt oder gegebenenfalls „ins Home Office“ mitgenommen wird.
III. Gefährdung von Geheimnis- und Versicherungsschutz als Haftungsfalle
Die Wahrung sowohl des Versicherungsschutzes als auch des Schutzes von Geschäftsgeheimnissen gehört zum Pflichtenkatalog einer Geschäftsleitung. Verliert das Unternehmen mangels angemessener Geheimnisschutzmaßnahmen den Schutz des GeschGehG – und damit quasi sein Geschäftsgeheimnis selbst – oder verweigert der Cyber-Versicherer im Schadensfall berechtigterweise die Deckung, weil sich eine durch nicht hinreichend abgesicherte Home Office-Strukturen geschaffene Gefahrenlage realisiert, führt dies regelmäßig zur Haftung der Geschäftsführer/Vorstände. Gerade weil die Geschäftsleitung Schutzdefizite hingenommen hat, wird sie kaum in der Lage sein, nachzuweisen, dass derartige Maßnahmen im Rahmen ordnungsgemäßen unternehmerischen Ermessens (Business Judgement Rule) getroffen wurden.
IV. Handlungsbedarf
Zu den zugegebenermaßen vielen Pflichten einer Geschäftsleitung in Corona-Zeiten kommen danach noch weitere Pflichten unter dem Gesichtspunkt des Versicherungs- und Geheimnisschutzes hinzu. Gerade versicherungsrechtliche Pflichten lassen sich aber häufig schon dadurch klären, dass man einmal in seinen Versicherungsvertrag schaut, welchen Schutzstandard das Unternehmen einzuhalten hat und welche Meldepflichten bestehen. Ein wesentlicher Schritt zur Wahrung des Geheimnisschutzes kann eine, sogar kurze, Vereinbarung mit den Mitarbeitern im HomeOffice sein.
Vor diesem Hintergrund dürfte es kaum eine Entschuldung dafür geben, dass diese Schritte wegen vordringlicher anderer Aufgaben nicht unternommen wurden.
