Ein Unternehmen zu gründen und endlich die eigenen Visionen zu verwirklichen, ist eine prägende Eigenschaft von Persönlichkeiten, die mit Ihrem Tun die Welt verändern. Leider können diese Entfaltungsmöglichkeiten von vielen unvorhersehbaren Ereignissen eingeschränkt werden. Grund genug, sich im Rahmen der Unternehmensgründung mit den Aufgaben des Risikomanagements zu beschäftigen.
Die ersten Schritte beim Risikomanagement für Startups
Das Erkennen möglicher Risiken im Rahmen der Unternehmensgründung und –führung kann dank verschiedener Analysemöglichkeiten mit einem gewissen Aufwand greifbar gemacht werden. Fehler-, Möglichkeiten- und Einflussanalyse (FMEA), Fehlerbaumanalyse (FTA), aber auch Risiko-Checklisten und Expertenbefragungen bieten nur einen kleinen Überblick über mögliche Werkzeuge und Hilfsmittel. Egal, welches Werkzeug für die Auswertung eingesetzt wird, es empfiehlt sich immer, mit einem hohen Maß an Kreativität ein Brainstorming durchzuführen, um auch exotische Vorstellungen zu berücksichtigen. Folgende Vorgehensweise hat sich in der Praxis etabliert:
- 1. Risikoidentifizierung
- 2. Risikoklassifizierung
- 3. Risikobeseitigung
- 4. Kontrolle
Fallen unter Punkt 1 und 2 die genannten Analysemöglichkeiten, so sei auch auf eine weitere, einfache Möglichkeit der Veranschaulichung hingewiesen:
In der oben dargestellten XY-Achse können die identifizierten Risiken eingetragen und bewertet werden. Im Rahmen des dritten Punktes besteht dann die Möglichkeit, über organisatorische Maßnahmen Einfluss auf die Entstehung der Risiken zu nehmen. Können diese Maßnahmen nicht den gewünschten Erfolg erziehen, so empfiehlt sich die Abwägung, das Risiko selbst zu tragen oder entsprechenden Versicherungsschutz einzukaufen.
Die Aufgabe, entsprechenden Versicherungsschutz im Markt zu erwerben, stellt eine anspruchsvolle Herausforderung dar, welche in der Praxis häufig leider nicht die entsprechende Würdigung findet. „Aufwendungen für die richtigen Versicherungen finden bei Startups bisher nur in einem geringen Maße Berücksichtigung“ sagt Mark Wilhelm, der Düsseldorfer Fachanwalt für Versicherungsrecht. Im Gegensatz zu marktüblichen Retail-Produkten besteht für Startups jedoch eine große Herausforderung darin, den richtigen Versicherungsschutz zu finden. Nachfolgend werden einige Anregungen zum Thema der betrieblichen Haftpflichtversicherungen dargestellt.
Die Verhandlung mit dem Haftpflichtversicherer
Empfehlung: Im Rahmen einer Vertragsverhandlung sollten dem Anbieter sowohl die AGBs als auch weitere besondere Vertragsvereinbarungen offen gelegt werden.
Web-basierte Startups können in einer schier unendlichen Individualität entstehen und Ihr Geschäft betreiben. Um nur einige Geschäftsfelder zu nennen:
- Herstellung und Handel mit Software
- Dienstleistungen im Bereich Wartung und Vertrieb
- die Anbahnung, der Abschluss und die Abwicklung von Verträgen
- das Betreiben von Suchportalen, Suchmaschinen und Auktionshäusern
- Jobbörsen, Expertennetzwerke
Interessanterweise stellt die Nutzung von Vergleichsportalen, laut den Ergebnissen der Forschungsgruppe Wahlen 2006, mit 71 Prozent die höchste Frequentierung von Internetseiten dar, vertragliche Abwicklungen folgen mit 57 Prozent. 96,1 Prozent der zwischen 14- und 29-jährigen Deutschen nutzen, nach einer ARD-Studie, das Internet. Es steht also einer sehr großen Gruppe von Internetnutzern eine vergleichsweise geringe Anzahl von Onlineanbietern zur Verfügung. Trotz der ungleichen Marktverteilung von Anbietern und Nutzern beziehungsweise Käufern besteht ein harter Konkurrenzkampf zwischen den Betreibern der Internetseiten.
Dieser Konkurrenzkampf wird häufig unter dem Motto „doppelte Produktqualität zur Hälfte des Preises“ geführt. Die Verlängerung von Gewährleistungsfristen, überdurchschnittlicher Service und eine radikale Kostenrationalisierung führen zu einer interessanten Ausgangssituation für den Käufer. „Weitestgehend keine Beachtung in den Versicherungsverträgen finden erweiterte Garantien oder Vertragserweiterungen gegenüber den Abnehmern“ sagt Wilhelm.
In jedem Fall sollte daher geklärt sein, welche Vertragsvariante im Rahmen des Verkaufes angeboten wird. Die Erfolg versprechende Erfüllung eines Kaufvertrages oder das Schulden einer Bemühung im Rahmen des Werkvertrages haben ganz unterschiedliche Auswirkungen auf die jeweiligen rechtlichen Folgen eines möglichen Schadens.
Risiken für Startups bei der Datenspeicherung
Empfehlung: Die gesetzlichen Anforderungen des Bundesdatenschutzgesetzes (BDSG) sollten geprüft und kommuniziert werden. Zudem sollte die Absicherung von möglichen Datenverlusten, Datenbeschädigungen oder ungewollten Weitergaben mit dem Haftpflichtversicherer untersucht werden.
Individualisierte Massengeschäfte erfordern die Speicherung von persönlichen Daten der Käufer und Nutzer. Diese Speicherung ist für die Abwicklung der Dienstleistungen notwendig, stellt jedoch auch ein nicht zu unterschätzendes Gefahrenfeld unter Berücksichtigung der Persönlichkeitsrisiken dar. Ein relativ banales Problem entsteht schon in der personellen Aufstellung.
„Häufig versäumen Startups bei entsprechender Expansion und Datenvolumen einen Datenschutzbeauftragten zu benennen“, sagt der Koblenzer Fachanwalt für IT-Recht Elmar Kloss. „Neben den gesetzlichen Vorgaben eines Impressums, welches heute auf fast jeder Homepage vorhanden ist, darf auch eine Datenschutzerklärung nicht fehlen. Auch Cookies erfordern eine Einwilligung des Besuchers“.
Besondere Erwähnung sollen hier auch die rechtlichen Vorgaben der §§ 27 ff. BDSG finden, in welchem die Vertraulichkeit von Informationen gesetzlich dokumentiert ist. Im Bezug auf eine IT-Haftpflichtversicherung sollte mit dem Versicherer klar kommuniziert werden, welche kundenrelevanten Daten wo gespeichert werden. Der Verlust, die Beschädigung oder die Weitergabe von Daten an unbefugte Dritte kann schnell zu einem Millionenschaden führen. Beispielhaft sei hier der Datenskandal der Deutschen Bahn, der Deutschen Telekom oder Sony genannt.
Versicherungsrisiken beim Cloud-Computing
Empfehlung: In dem Provider-Vertrag sollte auf eine Exit-Strategie geachtet werden, das heißt, auf die Weitergabe der Daten an einen anderen Cloud-Anbieter. Die durchgeführte Art der externen Datenspeicherung sollte zudem auch mit dem Versicherer kommuniziert werden.
Das externe Speichern von Daten über Cloud-Computing ist für viele Versicherer aktuell noch ein böhmisches Dorf. Auch stellen die verschiedenen Datenschutzrichtlinien ein Problem dar. Rechtsanwalt Kloss beurteilt die Situation wie folgt: „Das Europäische Datenschutzrecht will greifbare Daten, welche die EU nicht verlassen. Damit stehen die gesetzlichen Vorgaben und die grundlegende Idee des Cloud-Computing, eines weltweiten Web-basierten Daten-Netzwerks, in einem Zielkonflikt. Speziell personenbezogene Daten dürfen nicht überall auf der Welt gespeichert werden.“
Umso wichtiger ist es, die möglichen Risiken eines Datenskandals vertraglich zu regeln. In einem Vertrag mit einem Cloud-Anbieter sollte eine Exit-Strategie eingebaut werden, welche im Falle einer Zahlungsunfähigkeit des Anbieters die Weitergabe der Daten auf einen anderen Marktteilnehmer beziehungsweise die Rückgabe der Informationen an das Startup-Unternehmen ermöglicht.
Dem eigenen Versicherer sollte die durchgeführte Variante der externen Speicherung mitgeteilt werden, ebenfalls sollte ein expliziter Einschluss möglicher Vermögens- und Reputationsschäden gewährleistet sein (speziell wenn es in einem Schadenfall zu einer möglichen kostenintensiven Ablehnung eines unberechtigten Schadens gegenüber Ihnen kommen sollte).
Versicherung gegen Download-Schäden
Empfehlung: Sowohl das Herunterladen von Informationen als auch das Versenden von E-Mails kann durch eine entsprechende Infizierung zu Schäden eines Dritten führen. Beide Szenarien sollten mit dem Versicherer diskutiert werden.
Gemäß §§ 321b-f BGB besteht für den Betreiber einer Internetseite die Verpflichtung, dem User aktuell circa 20 Informationen zur Verfügung zu stellen. Diese Informationen werden häufig durch optionale Download-Vorgänge bereit gestellt. Das Herunterladen dieser Informationen kann eine Petrischale für Viren und Trojaner darstellen und zur Beschädigung von Daten bei Dritten führen.
Gleiches gilt für das Versenden von E-Mails mit negativ behafteten Anhängen. In der Rechtsprechung sind die Beschädigung von Daten und die daraus resultierenden Vermögensschäden durchaus strittig, da eine Zuordnung zwischen Sach- oder Vermögensschaden relativ komplex ist. Umso wichtiger ist es, beide Varianten (Sach- und Vermögensschäden) im Vertrag versichert zu haben.