Versicherungslücken stopfen – mit oder ohne Cyber-Versicherung

Ohne Cyber-Versicherung drohen Versicherungslücken

„Eine zusätzliche Cyber-Versicherung brauchen wir nicht. Das ist in unseren anderen Versicherungen mit drin. “

Das höre ich öfter. Tatsächlich decken viele Unternehmensversicherungen einen Teil der Risiken durch Internet, Datenverarbeitung und Vernetzung ab: Die Betriebshaftpflicht kann etwa eine Internetversicherungsklausel enthalten, die Elektronikversicherung umfasst Datenverlust und die Vertrauensschadenversicherung den Computermissbrauch durch Mitarbeiter. Wozu also eine Cyberversicherung?

Das Problem sind die vielen Versicherungslücken, die ein solcher Flickenteppich verursacht:

  • Die Haftpflichtversicherung greift nur bei Verschulden. Wenn das Unternehmen nicht dafür kann, dass die Kundendatenbank geknackt wurde, dann zahlt der Versicherer nichts. Nichts für die Ansprüche, die möglicherweise trotzdem an Ihr Unternehmen gestellt werden, und Ihre Eigenschäden schon gar nicht.
  • Die Elektronikversicherung greift nur bei einem Sachschaden. Wenn ein Mensch den Schaden herbeiführt, ersetzt der Versicherer gar nichts.
  • Die Vertrauensschadenversicherung leistet nur bei kriminellem Handeln von Vertrauenspersonen. Wenn externe Computerkriminelle zuschlagen, stehen sie ohne Versicherungsschutz da.

Wenn Cyber-Kriminelle von außerhalb des Unternehmens trotz guter Sicherheitsvorkehrungen eine bislang unbekannte Sicherheitslücke ausnutzen, um Ihre Datenbestände abzuräumen, sind die Schäden nicht versichert, selbst wenn alle drei genannten Versicherungen vorliegen!

Sinnvolle Versicherungen gibt’s nur durch individuelle Analyse

Stellen Sie sich vor, Sie haben nicht eine umfassende Feuerversicherung. Statt dessen sind viele einzelne Brand-Szenarien in unterschiedlichen Policen mitversichert. Kabelbrand in der einen, Brandstiftung durch einen Mitarbeiter in der anderen, und so weiter. Wäre das sinnvoll?

Das Versicherungsthema sollte auch im Cyber-Bereich systematisch angegangen werden:

  • Sie brauchen jemand, der zunächst einmal eine Bestandsaufnahme durchführt: Welche Risiken sind überhaupt von Bedeutung? Welche Risiken sind in Ihrem Haus bereits versichert, welche nicht (Diese Analyse gehört zu meiner Arbeit als Fachmakler für Cyber-Versicherungen und ist Teil meines Vermittlungsauftrags.)
  • Oft stellt sich heraus, dass manche Einzelrisiken gar nicht, andere dagegen doppelt versichert sind (mit doppelten Kosten). Im zweiten Schritt muss ein klares, bedarfsorientiertes Versicherungskonzept erstellt werden. Oft ist eine Cyber-Versicherung als Querschnittslösung sinnvoll, manchmal ist die Erweiterung bestehender Policen klüger. Nicht benötigte Versicherungen oder Einzeldeckungen werden gekündigt.
  • Erst jetzt, wenn der Versicherungsbedarf wirklich klar ist, kann man mit einer Ausschreibung an den Markt gehen. Danach haben Sie einen genau auf Ihre Risiken abgestimmten Versicherungsschutz. Im Idealfall sorgt der Wegfall nicht benötigter Versicherungen dafür, dass kaum Zusatzkosten entstehen.

Was bedeutet das für Ihr Unternehmen?

Das erläutere ich Ihnen am liebsten konkret und persönlich. Rufen Sie mich an und stellen Sie mir Fragen (030 863 926 990) oder schreiben Sie mir eine Nachricht.

Von Winterkorn lernen heißt: sich eine D&O-Versicherung zulegen

Über die Abgastest-Tricksereien bei VW haben Sie bestimmt schon jede Menge gelesen. Ich will nicht noch mal alles wiederkäuen. Nur ein paar Anmerkungen aus meiner Warte:

  • Software kann einen ins Verderben reiten – bzw. in die persönliche Haftung. Auch wenn es hier ausnahmsweise daran lag, dass sie funktioniert hat.
  • VW hat, so hört man, die persönliche Haftpflicht der Vorstände mit 500 Millionen Euro abgesichert. Die Zurich-Gruppe, die das Risiko versichert hat, soll schon Rückstellungen bilden.
  • Die 500 Millionen Euro Deckungssumme werden aber nicht reichen. Schließlich drohen viele Milliarden an Schäden – für die die Manager persönlich haftbar gemacht werden dürften.
  • Wenn Winterkorn und seinen Kollegen nachgewiesen werden kann, dass sie selbst hinter den Tricksereien stecken, werden die D&O-Versicherungen nicht zahlen. Das tun sie bei Vorsatz nie. Dann kann der Konzern bei den Vorständen pfänden, was zu holen ist, und bleibt auf dem Rest der Summe sitzen.
  • Bei strafrechtlichen Ermittlungen  oder Anklageerhebung hilft nur eine persönliche Rechtsschutzversicherung, die auch Strafrechtsschutz umfasst. Sie verhindert natürlich keine Verurteilung – aber sie zahlt neben dem Anwalt auch für Gutachter und Sachverständige. Wenn es allerdings zu einer Verurteilung wegen einer vorsätzlichen Straftat kommt, ist der Versicherungsschutz rückwirkend hinfällig.
  • In solchen Fällen gehen dann auch Topmanager in die Privatinsolvenz, so wie Ex-Arcandor-Chef Middelhoff.
  • Wenn die Vorstände tatsächlich nichts von der defeat device gewusst haben sollten, hilft Ihnen das erst mal gar nichts. Es liegt in ihrer Verantwortung als Vorstände, die betrieblichen Prozesse so zu organisieren, dass Pflichtverletzungen unterbleiben,  zumindest aber bekannt und abgestellt werden.
  • Vorstände können sogar für Compliance-Verstöße haftbar gemacht werden, die in einem ganz anderen Geschäftsbereich passiert sind. Das hat auch einem Siemens-Manager das Genick gebrochen: 15 Millionen Euro plus Zinsen.
  • Man muss kein VW-Vorstand sein, um ein solches Haftungsrisiko zu haben. Das ist beim Geschäftsführer eines mittelständischen Unternehmens nicht anders. Gut, dann erreichen die Schäden vielleicht keine zehnstelligen Summen. Aber auch für einige Millionen persönlich geradestehen zu müssen ändert die Lebensperspektive sehr entscheidend.
  • Die D&O-Versicherung zahlt das Unternehmen.
  • Eine Telefonnummer für alle, die noch keine haben: 030 863 926 990. Glauben Sie mir – wenn Sie ein Unternehmen verantwortlich leiten, brauchen Sie eine solche Versicherung. Und wir sind Spezialisten dafür.

D&O-Versicherungen und ihre typischen Versicherungslücken

Wenn ein Kunde neu zu uns kommt, prüfe ich als Erstes die vorhandenen Versicherungsverträge auf Versicherungslücken – und zwar die Versicherungen für das Unternehmen selbst ebenso wie die Haftpflichtpolicen für die Entscheidungsträger. Dabei treffe ich immer wieder auf die gleichen Deckungslücken.

D&O-Versicherungen sind für Verantwortungsträger im Unternehmen ein Muss

D&O-Versicherungen sind personenbezogene Haftpflichtpolicen für Geschäftsführer, Vorstände, Abteilungsleiter etc – und unverzichtbar. Ohne diesen Schutz können ein zu spät gestellter Antrag auf Insolvenz, Versäumnisse beim Datenschutz, ein nicht angemeldetes Patent oder andere geschäftliche Entscheidungen bis in die Privatinsolvenz führen. Seit dem „Siemens/Neubürger“-Urteil muss es noch nicht einmal mehr eine echte, eigene Entscheidung sein, die mittelbare Verantwortung für Versäumnisse im Unternehmen reicht  (und zwar im konkreten Fall für Forderungen  in Höhe von 15 Mio. € plus Zinsen gegen den ehemaligen Vorstand, LG München, 10.12.2013 – 5 HK O 1387/10, jetzt in Berufung vor dem OLG München, Az. 7 U 113/14).

Immer wieder die gleichen Fehler

Deshalb schaue ich mir die D&O-Versicherungen neuer Kunden immer sehr genau an. Leider finden sich bei der persönlichen Absicherung von Verantwortungsträgern regelmäßig die folgenden Versicherungslücken:

  • Nach dem Ausscheiden besteht kein oder kein zuverlässiger Schutz mehr: Auch Forderungen an einen ehemaligen Vorstand oder die frühere Geschäftsführerin sind juristisch problemlos möglich. Oft sieht der D&O-Vertrag aber keine Rückwärtsdeckung oder Nachhaftung vor, und per „Claims-made“-Prinzip wird der Haftungszeitraum eingeschränkt. Dann ist der ehemalige Geschäftsführer schutzlos.
  • Nur privatrechtliche Ansprüche sind versichert, öffentlich-rechtliche nicht: Oft umfasst die Haftpflichtversicherung nicht die persönliche Haftung für Steuerschulden des Unternehmens oder Außenstände bei den Sozialversicherungen – dabei sind das oft absolut existenzbedrohende Summen.
  • Ansprüche des Unternehmens selbst gegen den Geschäftsführer, Vorstand oder Aufsichtsrat sind nicht mitversichert. Diese Deckung ist bei Versicherungsgesellschaften unbeliebt, weil sie Angst vor Unregelmäßigkeiten haben. Aber diese Art der Forderung ist in der Praxis eines der größten Risiken für die „Organe“ einer Kapitalgesellschaft.

Solche Lücken lassen sich beheben. Aber dazu muss man sie zunächst einmal aufspüren!

Wie bei allen Versicherungen gilt auch für eine D&O-Police: Schutz bietet Ihnen nicht die Überschrift über dem Vertrag und auch nicht das Geld, das Sie jedes Jahr überweisen. Schutz bieten nur die genauen Details im VertragHat Ihr persönlicher Haftungsschutzschirm ebenfalls Löcher? Ich kann es Ihnen sagen.

IT-Projekt mit Freelancern als Subunternehmer: Wie versichern?

Folgende Konstellation tritt im IT-Projektgeschäft immer wieder auf: Eine IT-Firma übernimmt einen größeren Auftrag. Zur Abwicklung des Projekts heuert sie eine Reihe Freelancer oder kleinere Dienstleister an. Zum Beispiel, weil sie Personal und Ressourcen nicht dauerhaft aufstocken will. Oder weil für dieses konkrete Projekt besondere Services gebraucht werden, die man sich extern dazu holt.

Damit ist der Auftragnehmer des Kunden seinerseits Auftraggeber gegenüber den Subunternehmen. Juristisch wie versicherungstechnisch ist das oft knifflig.

Häufig besteht der Auftraggeber darauf, dass sein Auftragnehmer eine Projektversicherung aufweist. Eine Projektversicherung wird vor allem dann teuer, wenn es um ein kleines Projektvolumen geht – für die Versicherungen ist eine Million Euro das kleinste Projektvolumen, für das sie Policen verkaufen. Umfasst der tatsächliche Auftrag nur 100.000 Euro, sind die Kosten trotzdem gleich hoch. In diesem Fall muss man sich überlegen, ob man das Risiko nicht auf andere Art und Weise sinnvoller abdeckt – etwa durch eine Versicherung,  die das Unternehmen über das Projekt hinaus absichert und so mehr Schutz bei gleichen Kosten bietet.

Ein Hauptproblem für den „Mittelmann“ ist außerdem die oft unklare juristische Lage. Welchen rechtlichen Status hat das projektbezogen zusammengestellte Team eigentlich? Ist das möglicherweise eine GbR? (Das kann auch dann der Fall sein, wenn der Vertrag mit den Subunternehmern das explizit verneint!) Oder droht im Gegenteil die Einstufung der Freelancer als Scheinselbstständige? Was steht denn genau in den Projektverträgen und ist es auch belastbar?

Mit genau diesen Fragen muss ich mich automatisch befassen, wenn ich nach Versicherungen für das Projekt suche. Dass ich studierter Jurist bin, hilft eine Menge).  Ein positiver Nebeneffekt meiner Arbeit als Versicherungsmakler – denn die Position zwischen Baum und Borke, sprich zwischen Auftraggeber einerseits und Subunternehmern andererseits kann schnell recht ungemütlich werden.

Nicht nur, wenn der Auftraggeber nicht zahlt. Auch bei möglichen Haftungsfragen droht Ärger. Wer zahlt den Schaden – der Subunternehmer bzw. Freelancer, der ihn verursacht hat? Oder der Hauptauftragnehmer,mit dem der Kunde den Vertrag hat? Hat der Kunde womöglich sogar die Möglichkeit zur Durchgriffshaftung, eben weil das Konstrukt eine GbR darstellt, auch wenn das eigentlich niemand so wollte?

Gut, wenn man solche Fragen vorab schon mal durchgesprochen hat – und gleichzeitig eine Police vermittelt bekommt, die genau auf das Projekt und das eigene Risiko zugeschnitten ist.

Sachbeschädigung: Wenn der Manager auf die Konkurrenz losgeht …

In Berlin soll ein LG-Manager in einem „Saturn“-Markt vier Waschmaschinen von Samsung beschädigt haben, was für entsprechendes Medienecho sorgte. Die Polizei ermittelt wegen Sachbeschädigung, LG verteidigt sich mit dem Hinweis, der Mitarbeiter habe die Geräte nur auf wackelnde Türen überprüfen wollen – das jedenfalls berichtete Heise vor einer Weile.

Als Versicherungsmakler frage ich mich bei solchen Geschichten natürlich immer: Zahlt da wohl eine Versicherung? Eines kann man klar sagen: Bei vorsätzlicher Sachbeschädigung zahlt die Versicherung den Schaden nicht. Sie leistet höchstens Rechtsschutz bei Einleitung eines Strafverfahrens.

Wenn der Manager aber im Zuge seiner Tätigkeit für den Arbeitgeber (also LG) die Geräte versehentlich beschädigt haben sollte, dann müsste wohl die Betriebshaftpflicht  für den Schaden einstehen. Falls LG, was theoretisch möglich ist, dafür dann seinen Manager wiederum persönlich in Anspruch nimmt, könnte wiederum dessen D&O-Versicherung eintreten, falls er eine besitzt.

Eine „Directors and Officers“-Police ist quasi eine Berufshaftpflichtversicherung speziell für Geschäftsführer, Vorstände und Aufsichtsräte – und angesichts der gesetzlichen Haftungsrisiken dieser „Organe“ unbedingt empfehlenswert. Selbst wenn man nicht gewohnheitsmäßig an den Türen der Konkurrenz rüttelt.

Nachtrag, 28. 12. 2014: Die Sache hatte jetzt in Südkorea ein juristisches Nachspiel. Wie unter anderem N-TV berichtet, wurden in Südkorea deshalb die Konzernzentrale von LG und eine Haushaltsgerätefabrik von der Polizei durchsucht. Samsung habe mehrere LG-Manager wegen „Verleumdung, Sachbeschädigung und Geschäftsbehinderung“ verklagt.
Da macht sich eine „Directors and Officers“-Police vermutlich inzwischen wirklich bezahlt. Gut, wenn man sie hat.