Weshalb eine D & O Versicherung in Kombination mit einer Cyberdeckung in Zukunft immer wichtig wird?

Cyberhacks und Datenschutzvorfälle entwickeln sich für die D&Os zunehmend zu einem scheinbar grenzenlosen Haftungsrisiko. In den USA gibt es bereits eine Klagewelle, wonach eine D&O-Police für den entstanden Cyber-Schaden aufkommen muss, weil die Geschäftsführung keine ausreichenden Sicherheitsmaßnahmen zur Verhinderung von Hackerangriffen/Datenklau getroffen hat. (…)

Wie sieht die Situation in Deutschland aus? Neben dem durch das IT-Sicherheitsgesetz obligatorischen Meldung von IT-Sicherheitsvorfällen werden zudem Mindeststandards für die IT-Sicherheit bei den Betreibern solcher IT-Infrastrukturen branchenweit festgelegt. Dazu sollen die Branchen selbst solche Standards entwickeln, die dann vom Bundesamt für Sicherheit genehmigt werden. Zur Umsetzung der Sicherheitsstandards haben die Unternehmen zwei Jahre Zeit, also bis Juli 2017. Danach sollen die Unternehmen alle zwei Jahre nachweisen, dass sie die Anforderungen noch erfüllen. Für Deutschland gilt zudem die EU-Datenschutz- Grundverordnung (EU-DSGVO), die ab dem 25. Mai 2018 umzusetzen ist.
Die oben genannten, in Deutschland geltenden Vorschriften sind Schutzgesetze im Sinne von § 823 Abs. 2 BGB. Daraus ergeben sich wegen eines Organisations- und/oder Kontrollverschuldens verschärfte Haftungslagen für die D&Os im Innen- und Außenverhältnis. Dies gilt sicher nicht nur für Organe von “gefährdeten” Infrastrukturen im Sinne des IT-Sicherheitsgesetzes. Cyber-Attacken und Datenverluste können auch Maßnahmen von Regulierungsbehörden und einen Aktienkursverfall nach sich ziehen. Wichtig für Unternehmen ist also nicht nur, ein gutes Risikomanagement in Bezug auf die Cyber-Sicherheit zu haben, sondern auch in Betracht zu ziehen, das Unternehmensrisiko Cyber im Geschäftsbericht darzulegen und etwaige Angriffe auf die IT-Sicherheit zeitnah über Ad-hoc-Mitteilung zu kommunizieren. Dies gilt insbesondere für publizitätspflichtige Unternehmen.
Für die Risikomanager sind die Klagen in den USA unter anderem deshalb interessant, weil sie sich auch in Deutschland darauf einstellen müssen, dass aus einem Cyber-Schaden zwei Schadenszenarien entstehen können. Zunächst der Cyber-Schaden, der dann in der Folge einen D&O-Schaden wegen Organisations- und Überwachungsverschuldens nach sich zieht. Das Schadenereignis könnte also sowohl die Cyber- und als auch die D&O-Police potenziell triggern. Daher muss dies im Rahmen der Kumulkontrolle bereits beim Underwriting der Verrsicherer/Rückversicherer berücksichtigt werden. Auch wenn am Ende eine Haftung der Organe abgelehnt wird, fallen im Rahmen der D&O-Police gedeckte Abwehrkosten an.

Quelle: Text: Michael Unglaub,  versicherungswirtschaft-heute.de; Foto:  fotolia.com

FacebookXINGYouTubeTwitter
Wir verwenden auf unserer Website Cookies, um Ihnen ein optimales Nutzererlebnis zu bieten. Dazu zählen Cookies, die essentiell für den Betrieb der Website und für die Steuerung unserer kommerziellen Unternehmensziele notwendig sind, sowie solche, die lediglich zu anonymen Statistikzwecken, für Komforteinstellungen oder zur Anzeige personalisierter Inhalte genutzt werden. Sie selbst entscheiden, ob Sie nur essentielle Cookies zulassen möchten oder alle Cookies. Bitte beachten Sie, dass auf Basis Ihrer Einstellungen womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen. Weitere Informationen finden Sie in unseren Datenschutzhinweisen.
Rechtliche Erstinformationen