„Pech hat, wer zum Präzedenzfall wird“

Marcus Heide im Interview mit
Bernd M. Schäfer · Geschäftsführender Gesellschafter der ATLAS Versicherungsmakler für Sicherheits- und Wertdienste GmbH

Marktplatz Sicherheit: Herr Schäfer, die Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO), die uns alle – wie Weihnachten – völlig überraschend getroffen haben, sind längst noch nicht überall umgesetzt. Ihre grundsätzliche Einschätzung?

Bernd M. Schäfer: Das alles ist nicht ganz neu. Schon vor dem 25. Mai 2018 waren Datenschutzregeln zu beachten und es gab Sanktionen für Verstöße. Nun hat die EU sowohl die Regeln als auch den Strafrahmen verschärft. Darauf hat jede einzelne Firma zu reagieren. Ein Konstruktionsfehler liegt nach meiner Ansicht darin, dass es keine Abstufung abhängig von der Firmengröße gibt. Aber das müssen wir wohl so hinnehmen.

Sind in der DSGVO Aspekte versteckt, um die sich besonders das Sicherheitsgewerbe kümmern muss?

Auf jeden Fall. Die Medien heben ja vor allem das bei Verstößen mögliche Bußgeld in Höhe von vier Prozent vom weltweiten Umsatz beziehungsweise bis zu 20 Millionen Euro hervor, denn das klingt spektakulär. Und natürlich sind solche Strafen schmerzhaft. Viel problematischer gerade für Kleinunternehmen, die bekanntlich einen hohen Anteil unter den rund 5.000 Sicherheitsfirmen in Deutschland ausmachen: Bei Verstößen gegen die DSGVO drohen unter Umständen auch Freiheitsstrafen zwischen zwei und drei Jahren.

Mal abgesehen davon, dass niemand gerne im Gefängnis sitzt und Freiheitsstrafen sich nicht gut im Lebenslauf machen – was ist das Problematische daran speziell für Sicherheits-Dienstleister?

Freiheitsstrafen gibt es nicht für Vergehen, sondern für Verbrechen. Und sie treffen naturgemäß nicht das Unternehmen, sondern die Person direkt, die gegen die DSGVO verstoßen hat. Genauso wie Bußgelder, die 50.000 Euro betragen können. Aber damit nicht genug: Wer eine Strafe von mehr als 90 Tagessätzen erhält, dem wird automatisch die Gewerbeerlaubnis entzogen, denn dann besteht nach § 34a des Gewerberechts nicht mehr die Eignung zur Führung eines Sicherheits-Unternehmens. Das ist das Ende der Firma. Lassen Sie mich mal ein höchst unwahrscheinliches, aber dennoch mögliches Horrorszenario malen: Die Personalsachbearbeiterin eines Wachdienstes verstößt gegen die DSGVO. Dann bekommt das Unternehmen möglicherweise ein Bußgeld auferlegt, der Geschäftsführer im Rahmen seiner Verantwortung eine Freiheitsstrafe samt Bußgeld, der Datenschutzbeauftragte ebenso und die Sachbearbeiterin auch. Wir reden hier also nicht von abstrakten Datenschutzregeln, sondern in der Tat davon, dass Einzelne sozusagen „aus dem Verkehr“ gezogen werden können. Die Botschaft ist nach meiner Meinung noch nicht wirklich in der Branche angekommen.

Wie kann man sich davor schützen?

Die Antwort ist nicht ganz einfach. Zunächst einmal sollte man sich schlichtweg an die Datenschutzregeln halten. Keiner weiß freilich heute so genau, wie diese konkret anzuwenden sind. Dazu wird es Gerichtsurteile geben, und in ein paar Jahren sind die Gesetze weitgehend ausgelegt. Dumm ist nur, wenn man selbst einer dieser Fälle ist, auf die die neueste Auslegung gerade angewendet wird. Alle freuen sich über den Präzedenzfall – nur der natürlich nicht, der selbst dieser Präzedenzfall ist.

Als Versicherungsmakler haben Sie doch bestimmt eine passende Police im Angebot.

Tatsächlich gibt es keine einheitliche Versicherungslösung, mit der man die Gefahr von Bußgeld und Freiheitsstrafen bannen kann. Versicherungen zum Ausgleich von Bußgeldern gibt es in Deutschland grundsätzlich nicht. Es gibt aber drei Policen, die in Kombination relative Sicherheit bei Verstößen gegen die DSGVO bieten, allerdings nicht alle Lücken komplett schließen.

Welche Versicherungen sind das?

Da ist zum einen die so genannte D&O-Versicherung, also die Manager-Haftpflicht. Sie ist in der Regel entbehrlich für kleine, inhabergeführte Unternehmen, indes empfehlenswert für GmbH und andere Kapitalgesellschaften mit mehreren Gesellschaftern. Sie ersetzt den Schaden, den ein Firmenorgan – beispielsweise ein Geschäftsführer, Prokurist oder Aufsichtsrat – seiner Firma zufügt. Zu raten ist heute natürlich, auch den Datenschutzbeauftragten einzuschließen – das ist bislang noch nicht Standard. Die Sachlage ist dann die folgende: Nach wie vor gibt es keinen Ausgleich für das Bußgeld, das vom Unternehmen zu zahlen ist. Weil aber ein Firmenorgan dem Unternehmen aus Pflichtverletzung einen Schaden zugefügt hat, kann das dazu führen, dass sich ein Ersatzanspruch aus der D&O-Versicherung herleiten lässt. Die Versicherungsunternehmen handeln hier derzeit unterschiedlich. Das ist alles noch im Fluss. Durchwinken und die Preise anheben oder Ausschlussklauseln formulieren? Wir werden sehen.

Spielt auch die Betriebshaftpflichtversicherung eine Rolle?

Diese muss jedes Sicherheits-Unternehmen pflichtgemäß nach § 6 BewachV abschließen, um die Zulassungsvoraussetzung nach § 34a GewO zu schaffen. Sie ersetzt generell jene Personen-, Sach- und Vermögensschäden, die ein Unternehmen über seine Mitarbeiter anderen zugefügt. Beispiel: Der Pfortenmitarbeiter eines Wachdienstes lässt die Schranke runter und beschädigt dabei ein hindurchfahrendes Fahrzeug. Die meisten Betriebshaftpflicht-Policen schließen Vermögensschäden durch Verletzungen des Datenschutzes mit ein, auch mit Blick auf die DSGVO. Mindestens muss Versicherungsschutz in Höhe von 12.000 Euro bestehen, da dies die Summe der Pflichtversicherung nach § 6 BewachV darstellt. Viele Unternehmen haben unwissentlich tatsächlich nicht mehr versichert, denn in vielen Fällen sind die hervorgehobenen Versicherungssummen für Vermögensschäden mit beispielsweise 1.000.000 Euro durch Ausschlüsse im Kleingedruckten inhaltsleer. Das Problem bei Vermögensschäden ist nicht, den Verstoß nachzuweisen, sondern den Schaden an sich. Nehmen wir an, die Kundenliste eines großen Sicherheits-Dienstleisters taucht mit Namen der Kontaktpersonen, Umsätzen und Deckungsbeiträgen im Internet auf. Das ist ärgerlich, ja verhängnisvoll. Es nutzt dem betroffenen Auftraggeber wenig, wenn der Verantwortliche im Sicherheits-Unternehmen ausgemacht und mit Strafen belegt wird. Wie aber soll er die Höhe des Schadens bemessen? Selbst wenn die Hälfte seiner Kunden ihre Aufträge bei dem Auftraggeber kündigt, ist der Nachweis der Kausalität nur sehr schwer zu führen.

Bleibt die dritte Versicherung.

Das ist der Strafrechtsschutz, der die Aufwendungen für die Verteidigung in Straf- und Ordnungswidrigkeitenverfahren ersetzt, also die Kosten etwa für Rechtsanwalt, Gutachter und das Gericht. Doch nur die wenigsten Sicherheits-Dienstleister haben überhaupt davon gehört. Der Grund liegt bei den Versicherungsagenturen, mit denen viele Wachfirmen zusammenarbeiten. Diese Agenturen sind nicht auf die Sicherheitsbranche spezialisiert, sodass ihnen das entsprechende Fachwissen fehlt. Sie sind auch keine Makler, die sich die besten Policen zusammenstellen können, sondern sie müssen ausschließlich die Produkte ihrer eigenen Gesellschaft vertreiben. Oftmals ist das Thema Strafrechtsschutz als Direktions- oder Verbotsrisiko eingestuft, sodass umfangreiche Rückfragen in der Direktion nötig werden. Zudem wird dann der Einschluss des Risikos sehr teuer, sodass sich die Police nur schwer verkaufen lässt.

Ein Versicherungslaie kann das doch gar nicht überblicken.

Schlimm ist, dass die Agenturen dann statt einer existenzsichernden Strafrechtsschutzversicherung eine weniger wichtige Firmenrechtsschutzversicherung verkaufen. Der darin enthaltene Strafrechtsschutz-Baustein ist aber unzureichend und schützt die Unternehmen nicht in gleicher Weise wie eine eigenständige Strafrechtsschutzversicherung. Die Versicherungsnehmer werden so mit einem Schmalspur-Standardprodukt in trügerische Sicherheit gewiegt. Und sie tragen dann ein Risiko, dessen sie sich gar nicht bewusst sind. Atlas dagegen zwei Rahmenvereinbarungen zu sehr guten Konditionen im Programm, die eigens auf Sicherheits-Dienstleister zugeschnitten sind. Aus unserer Sicht ist das die zweitwichtigste Deckung.

D&O- und Betriebshaftpflichtversicherung sowie Strafrechtsschutz – klingt beruhigend, aber auch teuer.

Wichtig ist, dass jedes Unternehmen sein Risiko kennt und dann eine klare Entscheidung treffen kann. Heute ist es allerdings so, dass es Haftpflichtversicherungen gibt, die gerade den Mindeststandard nach § 6 BewachV erfüllen, aber auch nicht mehr. Diese Policen erfüllen weder den Mindeststandard des Bundesverbands der Sicherheitswirtschaft (BDSW) noch die neue DIN 77200-1, aber sie genügen vielen Auftraggebern und Sicherheits-Unternehmen, weil bei kollektiver Unkenntnis über Haftungsrisiken und Deckungslücken alleine der Preis als Kriterium gewählt wird. Würden die Auftraggeber verstehen, dass drei Viertel der in Deutschland tätigen Bewachungsunternehmen zwar für strafbare Handlungen ihrer Mitarbeiter haften, aber dafür keinen Versicherungsschutz haben, so würden sie diesen Versicherungsschutz von ihren Dienstleistern einfordern. Stattdessen wird auf Versicherungssummen fokussiert, nicht aber geprüft, ob die Diebstahlhandlung oder die Brandstiftung durch das Wachpersonal überhaupt versichert sind.

Was folgt daraus?

Das Ergebnis eines solchen Schadens: Der Auftraggeber muss im besten Fall auf seine eigene Versicherung zurückgreifen, was zu Beitragserhöhungen führen wird. Problematisch sind jedoch zum Beispiel Schäden nach Diebstahl durch Sicherheits-Mitarbeiter. Hat hierfür das Bewachungsunternehmen keinen Versicherungsschutz, so wird die Forderung gegen das Sicherheits-Unternehmen ins Leere gehen, die Insolvenz folgt. Der Auftraggeber hat jedoch selbst regelmäßig keinen Versicherungsschutz für einfachen Diebstahl, sodass je nach Schadenhöhe auch sein Geschäftsergebnis gefährdet ist, weil er von niemandem einen Ersatz seines Schadens erhält. Auf den Punkt gebracht: Die Entscheidung jedes Unternehmens lautet: Möchte ich einen unkontrollierten Blindflug für wenig Geld oder möchte ich eine Absicherung haben, die mich ruhig schlafen lässt? Dass Letzteres teurer ist als die erste Variante, liegt auf der Hand.

www.atlas-vsw.de

Weitere Interviews

Interview mit Alexander Krause

Interview mit Ralf Balzerowski

Interview mit Lars Müller