+49 221 33 77 23-0
Aktuelles Aktuelles IT-Strafrecht   

Cyberversicherungen als Compliance-Faktor

   
14. Februar 2023

Cyberangriffe können durch ihre betriebsbeeinträchtigenden Auswirkungen zu erheblichen finanziellen Schäden bei betroffenen Unternehmen führen. Cyberversicherungen können solche Einbußen abfedern und somit auch auf das Compliance-Management-System (CMS) des Unternehmens Einfluss nehmen. Nach Abschluss einer Cyberversicherung ist dennoch Vorsicht geboten, damit die Leistungsausschlüsse der Versicherer bei einem Cybervorfall nicht zu einem bösen Erwachen führen.

1.    Leistungsumfang der Cyberversicherung

Versicherungsnehmer können sich an den „Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber), Musterbedingungen des GDV“ mit Stand April 2017 orientieren. Eine Cyberversicherung setzt sich inhaltlich meist aus verschiedenen Versicherungsbausteinen zusammen, bspw. aus einer Haftpflichtversicherung, einer Eigenschadendeckung, einer Versicherung für Betriebsunterbrechungen und einer Rechtsschutzversicherung.

Eine Cybersicherung deckt Vermögensschäden ab, die durch eine Informationssicherheitsverletzung verursacht worden sind. Nicht abgedeckt sind Personenschäden. Krankenhäuser, bei denen Cyberangriffe zu Personenschäden führen können, müssen dies mit ihrem Cyberversicherer abklären und ggf. individuelle Anpassungen treffen.

2.    IT-Sicherheitspflichten des Versicherungsnehmers

Problematisch für Unternehmen kann es nun durch die angesprochenen Leistungsausschlüsse in den AVB Cyber werden. Die AVB Cyber stellen eigenständige Anforderungen an die informationsverarbeitenden Systeme des Versicherungsnehmers, u.a. das Vorhalten von Schutzmaßnahmen wie Berechtigungskonzepte. Besonders wichtig ist die Obliegenheit, dass der Versicherungsnehmer alle gesetzlichen und behördlichen Sicherheitsvorschriften einzuhalten hat. Hierzu zählen die Vorschriften der DS-GVO für den sicheren Umgang mit personenbezogenen Daten. Für viele Sektoren gibt es mittlerweile besondere IT-Sicherheits-Vorschriften. Dies betrifft insbesondere die Kritischen Infrastrukturen bzw. Unternehmen von besonderem öffentlichem Interesse sowie die Anbieter digitaler Dienste nach dem BSIG. Alle Krankenhäuser sind weiterhin seit Einführung des § 75c SGB V ausdrücklich zum Schutz der IT-Sicherheit verpflichtet. Die Leistungsausschlüsse können nun dazu führen, dass eine Leistungsbefreiung oder eine Leistungskürzung eintritt.

3.    IT-Compliance

Eine Cyberversicherung hat einen erheblichen Einfluss auf das CMS eines Unternehmens. Bereits bei der Risikoanalyse im Rahmen des CMS spielt es eine Rolle, welche Risiken für das Unternehmen bestehen und welche Auswirkungen Compliance-Vorfälle haben können. Compliance-Verantwortliche dürften für das Risikofeld der Cybersicherheit regelmäßig eine hohe Bedrohungslage feststellen. Je nach vorgehaltenen Notfallkonzepten und Schadensausmaß im Einzelnen kann ein Cyberangriff zu wochenlangen Betriebsbeeinträchtigungen führen. Die Auswirkungen sind daher immens, können aber durch eine vorhandene Cyberversicherung abgemildert werden, wenn keine Leistungsausschlüsse greifen. Dies senkt das sog. Nettorisiko bei der Risikoanalyse ab.

Möglicherweise sind auch das CMS verbessernde Maßnahmen aufgrund der Feststellungen aus der Risikoanalyse notwendig. Als Beispiel sind hier ungenügende Versicherungsbedingungen zu nennen, die eine Kontaktaufnahme mit dem Versicherer und Anpassungen erforderlich machen.

4.    Fazit

Cyberversicherungen stellen ein sinnvolles Compliance-Element dar und zahlen sich insbesondere für solche Unternehmen aus, die ohnehin umfassende Informationssicherheitsmaßnahmen entsprechend den geltenden Vorschriften ergriffen haben. Versicherungsnehmer müssen daher vor Abschluss die Versicherungsbedingungen mit den etwaigen Leistungsausschlüssen konsequent prüfen, um die für sie passende Variante zu implementieren.


Kontaktieren Sie uns:

 Diana Nadeborn Diana Nadeborn