Aus Cyber-Schaden wird man klug

Kollisionen bei voller Fahrt voraus

Die Liste der Ausschlüsse in den Cyber-Policen ist lang. Selbst kurz gefasste Obliegenheiten mit drohenden Leistungskürzungen bis zu 100 % haben es in sich. Sowohl Vorsatz als auch pflichtwidriges Verhalten sind ausgeschlossen. Turnusgemäße Datensicherungen gehören zu den obligatorischen Standards. Dass zur Wiederherstellung ebenfalls konsistente Datensätze gehören, die beispielsweise nicht durch beschädigte Dateikopien überschrieben wurden, muss nicht zwangsläufig ausdrücklich in den Vertragsbedingungen aufgeführt sein.

Etliche cyberversicherte Unternehmen haben die DSGVO mit ihren dauerhaften Pflichten faktisch ad acta gelegt. Das Verarbeitungsverzeichnis ist oft nicht auf neustem Stand und das Speichergebot für herkömmliche und besonders schützenswerte Personendaten in der EU zu wenig präsent. Microsoft Teams und Facebook standen während Corona auf dem Prüfstand der Schulbehörden. Man äußerste Bedenken oder erteilte Nutzungsverbote in puncto personenbezogener Daten. Trotz Vereinfachung des Datentransfers in 2021 zwischen EU- und Drittländern kann die Wahl internationaler IT-Anbieter Tücken aufweisen. Die Nutzung von WhatsApp im Vertrieb oder der Leadankauf von Social-Media-Betreibern jenseits des Atlantiks sollte sich beispielsweise in dem Verarbeitungsverzeichnis wiederfinden. Das Verzeichnis gewinnt im Cyber-Schadenfall an Bedeutung. Gut geführt, unterstützt es IT-Forensiker in den Schadenfeststellungen. Lückenhafte oder fehlende Verzeichnisse können die Schadenregulierung unter Umständen mit Ausschlusseinreden beenden oder zu Leistungskürzungen führen. (gg)

Fazit Die Freude über den neuen Bereich Cyber-Versicherung währte auf der Versichererseite kurz. Eine Verdreifachung der Beiträge nach dreifacher Schadenquote in 2021 wirkt rein rechnerisch auch für Makler im Hinblick auf Courtageerlöse interessant. Viele Unternehmenskunden werden dem nicht folgen, zumal es die anstehenden IT-Herausforderungen kaum löst. Die Handlungsalternativen der Versicherer sind begrenzt, aber wirksam. Eine Schadenregulierung mit noch klarerer Kante in der Bedingungsauslegung. Schadenbedingte Kündigungen und Sanierungen der Cyber-Policen. Sehr hohe Selbstbehalte und niedrigere Sublimits für exponierte IT-Bedrohungen. Hohe Anforderungen an die IT-Sicherheit als Vertragsvoraussetzung. Diese Maßnahmen bedeuten in der Versicherungsberatung bestenfalls Mehrarbeit und in ungünstigen Fällen eventuellen Kundenverlust. Ein überlegenswerter Ausweg wäre der Schulterschluss mit IT-Dienstleistern in der Beratung der gemeinsamen Kunden.