Ein Rettungsschirm mit Löchern

Es ist ein Trend, der für manch böses Erwachen sorgt: Die D&O-Versicherung wird zunehmend und fälschlicherweise als Rettungsschirm für Cyber- und Vertrauensschaden-Ansprüche verkannt. Wieso sich diese Schadenansprüche meistens nicht über D&O regulieren lassen und weshalb eine Spezialdeckung wie die Vertrauensschaden- oder Cyber-Versicherung die sichere Option für alle Beteiligten ist, zeigen wir am Beispiel eines Hackerangriffs auf.

Schadenszenario Hackerangriff

In unserer digitalen Welt nimmt die Cyber-Kriminalität stetig zu. Hacker nutzen die IT- Sicherheitslücken eines Unternehmens aus und verursachen einen finanziellen Schaden (z. B. durch Cyber-Erpressung). Ohne eine Spezialdeckung wie die Cyber- oder Vertrauensschaden-Versicherung ist es auf den ersten Blick naheliegend, eine leitende Person im Unternehmen für diese Sicherheitslücke verantwortlich zu machen und auf Schadenersatz in Anspruch zu nehmen. Dahinter steht die Argumentation: Die Sicherheitslücke hätte im Vorfeld durch die verantwortliche Person verhindert werden müssen – aus Sicht des Unternehmens ein D&O-Schadenfall.

Was macht den Schaden zum D&O-Schaden?

Doch bei jedem D&O-Schadenfall ist die Kernfrage, ob die versicherte Person tatsächlich wegen eines vermeintlichen Fehlverhaltens haften muss und die Schuld für den Schaden überhaupt trägt.

In vielen Schadenszenarien ist es sehr schwierig, ein Fehlverhalten der verantwortlichen Person und somit die Haftung zu begründen. Denn bei der Beurteilung eines Fehlverhaltens kommt es immer auf die Erkenntnismöglichkeiten des Verantwortlichen vor Eintritt des Schadenereignisses an („ex ante“). Dass z. B. in den IT-Systemen eine Sicherheitslücke besteht oder auch der Schutz vor kriminellen Mitarbeitenden oder Dritten nicht optimal ist, wird in vielen Fällen gerade erst durch das Schadenereignis selbst sichtbar.

Eine Frage der Vorhersehbarkeit

Die Geschäftsführung oder ein Vorstandsmitglied schuldet aber nur die Sorgfalt einer ordentlichen und gewissenhaften Geschäftsleitung. Er oder sie ist nicht dafür verantwortlich, jeden noch so fernliegenden Schaden zu antizipieren und abzuwenden. Besonders Schäden, die durch kriminelle Energie entstehen (wie ein Hackerangriff), sind nur sehr schwer vorherzusehen und zu verhindern. Häufig spielt hierbei auch menschliches Versagen von Mitarbeitenden eine tragende Rolle; das ist ein wenig vorhersehbares Risiko. Folglich ist es schwer, die Haftung eines Vorstandsmitglieds oder der Geschäftsführung zu begründen und Schadenansprüche wie z. B. einen Hackerangriff über die D&O-Versicherung regulieren zu wollen. Hinzu kommt: Je besser sich ein Unternehmen vor Schäden schützt, desto schwerer ist es, eine Haftung eines Vorstandes oder Geschäftsführenden zu begründen, wenn es im Einzelfall doch einmal zu einem Schaden kommt.

Der richtige Schutz mit Spezialdeckungen

Eine Vertrauensschaden- oder Cyber-Versicherung bietet in diesen Fällen zuverlässigen Schutz und kann auch in der aktuellen harten Marktphase finanzielle Vorteile bringen: Immer mehr D&O-Versicherer bewerten das D&O-Risiko besser, wenn Unternehmen eine Vertrauensschaden- und Cyber-Versicherung vorhalten. Deshalb empfehlen wir, den Abschluss einer Vertrauensschaden- und Cyber-Versicherung sehr sorgfältig zu prüfen und nicht auf das generelle Eingreifen der D&O-Versicherung zu vertrauen.
 

Lesen Sie mehr zur Absicherung von IT-Risiken, z. B. wie Risikofinanzierung den Risikotransfer in angespannten Marktphasen stärkt.

31.05.2022