Eignet sich die D&O-Versicherung als Auffanglösung für Cyberrisiken?

Bei Betrachtung beider Versicherungsprodukte stellt man fest, dass die D&O älter als die Cyberversicherung ist. Während die D&O-Versicherung bereits 1997 nach der ARAG/Garmenbeck-Entscheidung des Bundesgerichtshofs, in der erstmals Vorstandsmitglieder wegen einer Fehlentscheidung durch das Unternehmen in Anspruch genommen worden sind, an Bedeutung gewann, ist die Cyberversicherung erst seit 2012 existent auf dem Versicherungsmarkt.

Das Zusammenspiel beider Versicherungsprodukte ist noch nicht geklärt, jedoch ist eine Abgrenzung beider Versicherungsprodukte notwendig, um Haftungs- und Versicherungsfragen für den Unternehmensleiter zu ermitteln. Mit der Verschiebung der Wertschöpfungskette der Unternehmen in den virtuellen Raum steigt die Anzahl der Cyberangriffe gegen deutsche Wirtschaftsunternehmen seit Mitte 2016 stetig an. Fehlt eine wirtschaftliche Absicherung gegen durch Cyberangriffe verursachte Schäden, so können sich Cyberangriffe existenzbedrohend auswirken.

Dabei stellen Cyberangriffe neben der Verletzung von Datenschutzbestimmungen das Risiko mit dem größten Bedrohungspotenzial für Unternehmen dar. Aufgrund des oben gesagten, erscheint es unerlässlich, entsprechenden Versicherungsschutz einzukaufen. Einen absoluten Schutz gegen Cyberrisiken gibt es zwar nicht, aber dennoch sollten sich Unternehmen maximal absichern, um so das Schadenausmaß so gering wie möglich zu halten.

Ferner stellt sich die Frage, wer für Schäden durch Cyberangriffe haftet: das Unternehmen als juristische, die Geschäftsleitung als natürliche Person oder beide zusammen? In diesem Zusammenhang bleibt auch offen, welche Versicherungsarten tangiert sein könnten. Als Beispiel wird der Fall Yahoo herangezogen. Zwischen 2013 und 2016 wurden Yahoo rund drei Milliarden Kundendaten gestohlen. Die Angreifer erlangten durch den Angriff Namen, E-Mail-Adressen und verschlüsselte Passwörter.

Neben den Kunden erlitten auch die Aktionäre einen Schaden in Form von gefallenen Aktienkursen. Problematisch ist allerdings, dass Kunden Schadensersatzforderungen geltend machen konnten, aber Aktionäre dagegen leer ausgingen. Aus diesem Grund verklagten Aktionäre erstmals im Namen des Unternehmens das Management wegen Verletzung einer treuhänderischen Pflicht. Nach drei Jahren wurde der Prozess mit einem Vergleich in Höhe von 29 Mio. US-Dollar beigelegt.

Bislang noch keine Fälle in Deutschland bekannt

Dementsprechend zeigt dieser Fall, dass das Management einer Firma aufgrund von Schäden durch Cyberangriffen in Anspruch genommen werden kann und dies zugleich eine neue Haftungswelle auslösen könnte. In Deutschland sind bislang keine Fälle bekannt, in denen die Geschäftsleitung wegen Schäden nach einem Cyberangriff in Anspruch genommen worden ist. Zwar ist das Schadenpotenzial bekannt, aber es wird wenig darüber diskutiert, wer letztendlich für Schäden durch Cyberangriffe haftet.

Die Schadenverfolgung nach einem Cyberangriff sowie das Vorgehen gegen Schädiger erweist sich häufig schwierig, weil die Schädiger im Ausland nicht zu ermitteln sind. In diesem Zusammenhang stellt sich für Unternehmen die Frage, ob sie Ansprüche gegen Organmitglieder geltend machen können.

Die deutsche Rechtsprechung verfolgt den Ansatz, dass Schadensersatzansprüche des Unternehmens zu verfolgen sind, dies schließt auch die Ersatzpflicht von Unternehmensorganen ein. Folgt man diesem Ansatz, scheint es nicht weitab, Organe für Schäden durch Cyberangriffe in Anspruch zu nehmen. Aufgrund der wachsenden Gefahr durch Cyberkriminalität und der Datenschutzgrundverordnung (DSGVO) erscheint es weitaus möglich, dass sich solche Fälle auch in Deutschland ereignen werden, da ein Vorgehen gegen Cyberkriminelle, eigene Mitarbeiter oder gegen IT-Dienstleiter sich nicht als erfolgversprechend erweist.

Dem Manager müsste lediglich der Vorwurf gemacht werden, die IT-Sicherheitspflichten sorgfaltswidrig verletzt zu haben. So müssten Manager im Schadenfall nachweisen, dass sie alle nötigen Schutzmaßnahmen getroffen haben. Fällt dieser Beweis negativ aus, so haften sie dem Unternehmen gegenüber für entstandene Schäden. In Anbetracht der Tatsache, dass übliche D&O-Policen Cyberrisiken nicht ausschließen, erscheint eine Inanspruchnahme des Managements nicht ganz unwahrscheinlich. Wird dieser Gedanke weiterverfolgt, könnte angenommen werden, dass die D&O-Versicherung zweckentfremdet und zur Auffanglösung wird, wenn keine Cyber-Versicherung vorhanden ist, aber dazu später mehr.

„Ob die D&O-Versicherung tatsächlich eine Cyberpolice ersetzen oder gar überflüssig machen könnte, davon kann nicht die Rede sein.“

Özlem Akbulut, Duale Studentin bei der Deutschen Verkehrs-Assekuranz-Vermittlungs-GmbH

Wechselwirkung zwischen D&O und Cyber

Der Fall Yahoo hat gezeigt, dass zwischen der D&O-Versicherung und der Cyber-Versicherung Wechselwirkungen in der Form bestehen, dass Schäden beiden Versicherungsarten gemeldet werden können und eine Abgrenzung zwischen beiden Versicherungsarten damit erforderlich ist. Eine Abgrenzung ist deshalb notwendig, um eine Zweckentfremdung der D&O-Versicherung zu verhindern. Angenommen ein Unternehmen erleidet einen Cyberangriff und verfügt über keine Cyber-Versicherung, so werden die Gesellschafter versuchen ihre Geschäftsleitung auf Schadensersatz in Anspruch zu nehmen.

Wollen Gesellschafter ihre Geschäftsleitung in Anspruch nehmen, so muss der Geschäftsleitung eine Pflichtverletzung vorwerfbar sein, das heißt, ohne vorwerfbare Pflichtverletzung lässt sich kein Schadenersatzanspruch gegen die Geschäftsleitung begründen. Liegt aber eine vorwerfbare Pflichtverletzung der Geschäftsleitung vor, so können Dritt- und Eigenschäden sowie Kosten für Service-Leistungen in Form eines Schadensersatzanspruches geltend gemacht werden. Das Restrisiko, das bleibt, ist der Zugriff auf Profidienstleister, die den Schaden minimieren. Diesen Zugriff hat man bei der D&O-Versicherung nicht, hier kann nur der Schaden in Form eines Schadenersatzanspruches eingereicht werden. Weiter könnte es sein, dass die Deckungssumme in der D&O-Versicherung nicht ausreichen könnte.

Weiter darf der eigentliche Sinn und Zweck einer D&O-Versicherung nicht vergessen werden. Die D&O-Versicherung soll die Gesellschaft vor allen Arten von Managementfehlern, die auf einer Pflichtverletzung des Managements beruhen, schützen. Zwar können Cyberschäden auch auf einem Fehler des Managements beruhen, aber für Cyberschäden gibt es die Cyber-Versicherung und nicht die D&O-Versicherung.

Ob die D&O-Versicherung tatsächlich eine Cyberpolice ersetzen oder gar überflüssig machen könnte, davon kann nicht die Rede sein. Die Cyber-Versicherung ist ein Versicherungsprodukt, das speziell auf IT-Risiken zugeschnitten und dementsprechend auch erweiterbar ist, da sich die Risiken durch die fortschreitende Digitalisierung fortlaufend ändern. Restrisiken bleiben, wenn Schäden über eine D&O-Versicherung abgewickelt werden, die ein Standard in der Cyber-Versicherung darstellen.

Somit kann die D&O-Versicherung keinen adäquaten Versicherungsschutz gewährleisten. Jedoch kann festgehalten werden, dass die D&O-Versicherung zur Auffanglösung für Cyberrisiken werden kann, wenn die Versicherer nicht entsprechend handeln, aber sie kann eine Cyberversicherung weder ersetzen noch überflüssig machen.

Autorin: Özlem Akbulut, Duale Studentin bei der Deutschen Verkehrs-Assekuranz-Vermittlungs-GmbH

Lesen Sie den vollständigen Beitrag in der neuen September-Ausgabe des Magazins Versicherungswirtschaft.