Unternehmen sind nicht nur steigenden Cyberrisiken ausgesetzt. Auch mögliche Bußgelder nach einem Cybervorfall können ordentlich ins Kontor hauen. Gleichzeitig bleibt die Versicherbarkeit dieser Bußgelder unsicher.
Das sind wesentliche Ergebnisse des Berichts „The Insurability of Cyber Fines“, der der Versicherungsmakler Aon gemeinsam mit der Wirtschaftskanzlei A&O Shearman veröffentlicht hat.
In Deutschland zum Beispiel stufen die Studienautoren die Versicherung von Cyberbußgeldern als sittenwidrig im Sinne des Paragrafen 138 Satz 1 Bürgerliches Gesetzbuch (BGB) ein. Denn wenn Unternehmen ihre Strafe einfach an einen Versicherer abgeben könnten, würde der Sanktionscharakter ja untergraben.
Diese Faktenlage beruht aber auf Fällen, bei denen Unternehmen willentlich der Konkurrenz schaden wollten. Wie es bei Fahrlässigkeit aussieht, ist nicht abschließend geklärt. Bis das der Fall ist, sollten Unternehmen lieber davon ausgehen, dass solche Bußgelder hierzulande nicht versicherbar sind, empfiehlt der Bericht.
Ebenfalls unsicher ist es, ob bei der Managerhaftpflichtversicherung (D&O-Versicherung) hierzulande vielleicht andere Regeln gelten könnten. Wenn Unternehmen ein Bußgeld zahlen müssen, versuchen sie mitunter Manager, beziehungsweise deren Haftpflicht, dafür in Regress zu nehmen. Ob das versicherbar ist, sei auch noch nicht ganz klar.
Die Kosten für etwaige Gerichtsverfahren oder Reputationsschäden übernehmen die Versicherer aber schon.
Europa ist dabei besonders streng: DSGVO, NIS2, Dora, Cyber Resilience Act und EU AI Act – die Liste der Regelwerke mit teils enormen Bußgeldrahmen ist lang. Für multinationale Unternehmen ist die Lage besonders heikel: Sie müssen oft parallel verschiedene, sich überlappende Anforderungen erfüllen.
Hinzu kommt, dass nicht nur Geldbußen drohen. Laut Bericht können auch Sanktionen wie Betriebsaussetzungen, Pflichtaudits oder Lizenzentzüge den Geschäftsbetrieb massiv treffen.
Und wer haftet, wenn es schiefläuft? Zunehmend auch der Vorstand persönlich. Neue regulatorische Vorgaben erhöhen die individuelle Verantwortung von Führungskräften spürbar. „Aufsichtsbehörden verfolgen heute einen deutlich aktiveren Ansatz, daher müssen Führungskräfte verstehen, wie Bußgelder und Sanktionen in den einzelnen Jurisdiktionen behandelt werden“, erklärt Philipp Seebohm, Executive Director Specialties bei Aon Deutschland, „und sicherstellen, dass ihre Governance‑, Reporting‑ und Compliance‑Strukturen einer intensiven regulatorischen Prüfung standhalten“.
Was bedeutet das konkret für Unternehmen? „Unternehmen brauchen heute eine deutlich proaktivere Haltung gegenüber Cyber- und Compliance-Risiken“, so Seebohm weiter. „Die Kombination aus komplexer Regulatorik, steigenden Bußgeldrahmen und unvollständiger Versicherbarkeit macht klar: Nur wer seine Sicherheits-, Governance- und Resilienzstrukturen konsequent weiterentwickelt, kann regulatorischen Druck reduzieren und langfristig handlungsfähig bleiben.“
