Ein ganz wichtiger Punkt vorab: Cyber-Versicherungen sind keine All-Risk-Versicherungen. Sie ergänzen bestehende Konzepte wie Betriebshaftpflicht, Vertrauensschadenhaftpflicht sowie technische Versicherungen. Das wird deutlich, wenn man sich den Versicherungsfall ansieht und die Allgemeinen Versicherungsbedingungen der traditionellen Deckungskonzepte mit dem Bezug Cyber zu den echten Cyber-Policen betrachtet. Nachstehendes Schaubild zeigt die Deckungslücken bei traditionellen Konzepten auf den Fall Cyber bezogen.

Deckungslücken alleine können nicht der Treiber für den Abschluss einer Cyber-Versicherung sein. In unseren Schulungen, die wir als RWM Group zum Thema Cyber-Versicherungen machen, haben wir festgestellt, dass viele Unternehmen ein unwohles Gefühl beim Thema Cyber haben, jedoch den Abschluss einer Cyber-Police abwartend gegenüber stehen. Die Gründe sind vielfältig. Zum einen fehlt häufig das methodische Wissen im Bereich Risikomanagement und dessen Quantifizierung. Andererseits ist diese Thematik auch bei den betreuenden Vermittlern großteils noch Neuland. Und last but not least hat sich die sich ändernde Gesetzeslage noch nicht durch kommuniziert.

Doch eins nach dem anderen.

In Großunternehmen ist der Begriff Compliance bekannt. Er bedeutet ganz platt: rechtskonforme Ausgestaltung des Unternehmens in der Aufbau- und Ablauforganisation. Solche Compliance-Abteilungen gibt es selten bei kleinen und mittelständischen Unternehmen (KMU), hier ist das meist noch Chefsache.

Ändert sich etwas, sodass Handlungsbedarf besteht?

Seit vergangenem Jahr ist das IT-Sicherheitsgesetz in Kraft. Dieses Gesetzt stärkt die Befugnisse des Bundeskriminalamtes und schreibt verbindliche Sicherheitsstandards für bestimmte Branchen vor. Im Detail auf den Seiten des Bundesministeriums für Sicherheit und Informationstechnologie nachzulesen. Diese Anforderungen sind technisch sehr anspruchsvoll und finden sich im sogenannten KRITIS-Katalog und den BSI-Richtlinien 100 bis 400. Sogar Vorgaben bis zum einfachen Router werden dort gemacht. Das kann man fast gar nicht vollumfänglich erfüllen.

Ebenfalls neu ist eine Verpflichtung zur Meldung von Cyber-Schäden an das Bundeskriminalamt (BKA). Im Bundesdatenschutzgesetz (BDSG) wird es nunmehr zur Pflicht. Und das erste, was man bekommt, ist ein Ordnungswidrigkeitsbescheid und auch Bearbeitungskosten in Höhe von 50 Euro pro Datensatz. Da kann ein gestohlener Laptop eines Außendienstmitarbeiters, der alle A-Kunden auf seiner Excel-Liste hatte, schon richtig teuer werden. Übrigens: Am Pariser Flughafen werden täglich über 50 Laptops geklaut.

In deutscher Gründlichkeit gibt es auch einen entsprechenden Sanktionskatalog, der von Geldbuße bis zum Freiheitsentzug reicht. Und die Höhe der Strafmaße ist erstaunlich hoch.

Hohe Strafen

Im kommenden Jahr wird dann die EU-GSVO Verordnung in Kraft treten – quasi ein „Update“ des Bundesdatenschutzgesetzes. Hier nehmen die Strafmaße fast amerikanisches Niveau an und sind nicht aus der Portokasse zu zahlen. Bis zu 4 Prozent des Weltumsatzes und Werte in Millionenhöhe sind dort zu finden.

Und da Unwissenheit nicht vor Strafe schützt, kann es durch Nicht-Umsetzung solcher gesetzlichen Vorgaben auch dazu kommen, dass eine Managerhaftpflichtversicherung nicht leistet. Und dann wird es für die Repräsentanten des Unternehmens schnell ungemütlich und existenziell risikoreich. Die Exkulpation durch Nachweis, man habe alles organisatorisch und personell Notwendige getan, dürfte hier schwer fallen. Die Schriftsätze, die Sie dann von Anwälten lesen, werden es fachlich in sich haben.

Doch was kann denn nun eine Cyber-Versicherung?

Das nachstehende Schaubild stellt die traditionellen Deckungskonzepte mit dem Bezug Cyber vor. In diesem Schaubild wird aus Sicht des Versicherungsfalls dargestellt, welche Fälle durch traditionelle Policen gedeckt sind und welche explizit Cyber vorbehalten sind.

Prägnant formuliert deckt eine Cyber-Versicherung Eigen- und Fremdschäden ab. Dabei ist der Charakter der Eigenschäden mit dem einer Kombination aus Sach- und Haftpflichtversicherung vergleichbar, während Fremdschäden den Charakter einer Vermögensschadenhaftpflicht- und einer Rechtsschutzversicherung ähneln.

Kommen hierzu dann Assistance-Leistungen wie Schadenabwehr durch den Versicherer, Zugriff auf Spezialisten-Netzwerke von IT-Forensikern oder Soforthilfe bei der gesetzlich vorgeschriebenen Kommunikationspflicht gegenüber den Kunden (Call Center), dann ergibt das die Essenz der Cyber-Policen. Hier liegt ihr besonderer Mehrwert: in der Hilfe im Schadensfall, wenn der Versicherungsfall eintritt. Denn dann ist schnelles Handeln zwingend erforderlich.

Insofern sind allein die Assistance-Leistungen ein ganz klares Argument für eine Cyber-Versicherung.

Erst vor kurzem hat der Versicherungsverband GDV unverbindliche Musterbedingungen für Cyber-Versicherungen herausgebracht.

Das hat seinen Grund darin, dass es aktuell nicht möglich ist, zwei Cyber-Versicherungen direkt zu vergleichen. Jede weist eine unterschiedliche Gliederung auf. Aktuell muss daher noch die mühevolle manuelle Vergleichsarbeit her. Dann muss in einem zweiten Schritt noch der Abgleich zu den bestehenden Deckungskonzepten erfolgen.

Wer muss zahlen?

Das setzt umfassende Kenntnisse in den versicherungstechnischen aber auch juristischen Spielarten voraus. Zumal sich auch noch einige Gebiete „beißen“ beziehungsweise kollidieren. Allein das Thema Schadenstheorie: Claims Made kennt man in den USA, in der deutschen Rechtsprechung ist das unbekannt. Das wird im Schadenfall und gegebenenfalls im Klagefall noch interessant.

On Top dazu ist auch ein juristischer Abgleich der einzelnen Klauseln erforderlich. Man denke an Paragraf 78 VVG. Da geht es um Mehrfachversicherungen. Und wie ist der Fall zu beurteilen, wenn zwei Versicherungen denselben Versicherungsfall abdecken. Wer muss vorrangig leisten, wer nachrangig? Das provoziert zeitintensive Diskussionen im Schadenfall, also genau dann, wenn der Faktor Zeit knapp ist und gehandelt werden muss.

Nun zu der abschließenden Frage, die unter Umständen auch für den Makler haftungsrelevant im Rahmen der Risikoanalyse und aus der Rolle des Sachverwalters ist.

Neu im Programm: Moralische Schäden

Der Rechtsrahmen – nicht zuletzt auch durch EU-Vorgaben getrieben – nimmt für die Repräsentanten (Vorstände, Geschäftsführer, Inhaber, Führungskräfte in exponierter Funktion) ein Ausmaß an, das im Worst-Case-Fall nur aus amerikanischen Anwaltsserien bekannt ist. Und da das Thema Organisationshaftung auch aus anderen Feldern wie der digitalen Buchführung oder dem Bereich des Urheberrechts kommen, sollte man gewappnet sein. Sowohl als Kunde als auch als Makler.

Und da wir schon dabei sind: Wussten Sie, dass in der EU-DSGVO demnächst eine eigenständige Rechtsgrundlage für moralische Schäden geschaffen wird? Mit umgekehrter Beweislage? Das wird interessant im Bereich Social Media. Da ist anwaltliche Post von Abmahnanwälten fast vorprogrammiert. Es ist nur eine Frage der Zeit, bis das flächendeckend bekannt ist.

Auch wenn diese Disziplin noch jung ist und wenig Erfahrungswerte vorliegen, ergibt es Sinn, sich schon jetzt damit intensiv zu beschäftigen. Denn auch durch Einzug von Alexa und Home Automatisation rücken die Gefahrenpotenziale auch in den privaten Bereich. Und das sogar ganz nah, bis hin zum Smartphone.

Und welcher Kunde oder Makler möchte Gegenstand einer Pressemeldung sein mit dem Untertitel: „Fahrlässigerweise existierte keine Cyber-Versicherung“. Ich vermute mal keiner.

Für wen kann das interessant sein?

Sicherlich ist das ein Thema für sach- und gewerbeaffine Makler. Es stellt auch vertrieblich ein gutes Einfallstor für den Gewerbebereich dar. Makler die das Konzept Cyber verstanden haben und auch die relevanten AVBs kennen dürften in den Vorstandsräumen punkten. Derzeit sind Fachmakler mit dem Thema Cyber einfach noch nicht üblich am Markt.

Die Notwendigkeit einer Cyber-Police können Sie nun mit einer einfachen Frage an sich selbst beantworten. Welchen Risikoappetit habe ich beziehungsweise hat mein Kunde? Dass dieses Konzept nötig ist, zeigt sich in der Zahl der installierten Verträge. In Deutschland schätzungsweise aktuell um die 300 Policen. Also ein unbestelltes Marktsegment.

Last but not least ist die Cyber-Police eine perfekte Eintrittskarte und auch ein schönes Differenzierungsmerkmal für den Gewerbemakler. Das jedenfalls bekommen wir als Feedback der Seminar-Teilnehmer unserer Schulungen zum Thema Cyber-Versicherungen. Die nächste Schulung der RWM Group ist übrigens am 14. Juli 2017 in Kassel.

Über den Autoren

Diplom-Kaufmann Christian Müller ist Unternehmens- und Versicherungsberater und TÜV ISO 9001 Auditor. Ehrenamtlich arbeitet er als Vorstand im Bundesverband der Sachverständigen für das Versicherungswesen BVSV. Gemeinsam mit seiner Frau Esther Riehl Müller ist er Teilhaber der RWM Group in Kassel.