Cyberhacks und Datenschutzvorfälle entwickeln sich für die D&Os zunehmend zu einem scheinbar grenzenlosen Haftungsrisiko. In den USA gibt es bereits eine Klagewelle, wonach eine D&O-Police für den entstanden Cyber-Schaden aufkommen muss, weil die Geschäftsführung keine ausreichenden Sicherheitsmaßnahmen zur Verhinderung von Hackerangriffen/Datenklau getroffen hat. (…)
Wie sieht die Situation in Deutschland aus? Neben dem durch das IT-Sicherheitsgesetz obligatorischen Meldung von IT-Sicherheitsvorfällen werden zudem Mindeststandards für die IT-Sicherheit bei den Betreibern solcher IT-Infrastrukturen branchenweit festgelegt. Dazu sollen die Branchen selbst solche Standards entwickeln, die dann vom Bundesamt für Sicherheit genehmigt werden. Zur Umsetzung der Sicherheitsstandards haben die Unternehmen zwei Jahre Zeit, also bis Juli 2017. Danach sollen die Unternehmen alle zwei Jahre nachweisen, dass sie die Anforderungen noch erfüllen. Für Deutschland gilt zudem die EU-Datenschutz- Grundverordnung (EU-DSGVO), die ab dem 25. Mai 2018 umzusetzen ist.
Die oben genannten, in Deutschland geltenden Vorschriften sind Schutzgesetze im Sinne von § 823 Abs. 2 BGB. Daraus ergeben sich wegen eines Organisations- und/oder Kontrollverschuldens verschärfte Haftungslagen für die D&Os im Innen- und Außenverhältnis. Dies gilt sicher nicht nur für Organe von “gefährdeten” Infrastrukturen im Sinne des IT-Sicherheitsgesetzes. Cyber-Attacken und Datenverluste können auch Maßnahmen von Regulierungsbehörden und einen Aktienkursverfall nach sich ziehen. Wichtig für Unternehmen ist also nicht nur, ein gutes Risikomanagement in Bezug auf die Cyber-Sicherheit zu haben, sondern auch in Betracht zu ziehen, das Unternehmensrisiko Cyber im Geschäftsbericht darzulegen und etwaige Angriffe auf die IT-Sicherheit zeitnah über Ad-hoc-Mitteilung zu kommunizieren. Dies gilt insbesondere für publizitätspflichtige Unternehmen.
Für die Risikomanager sind die Klagen in den USA unter anderem deshalb interessant, weil sie sich auch in Deutschland darauf einstellen müssen, dass aus einem Cyber-Schaden zwei Schadenszenarien entstehen können. Zunächst der Cyber-Schaden, der dann in der Folge einen D&O-Schaden wegen Organisations- und Überwachungsverschuldens nach sich zieht. Das Schadenereignis könnte also sowohl die Cyber- und als auch die D&O-Police potenziell triggern. Daher muss dies im Rahmen der Kumulkontrolle bereits beim Underwriting der Verrsicherer/Rückversicherer berücksichtigt werden. Auch wenn am Ende eine Haftung der Organe abgelehnt wird, fallen im Rahmen der D&O-Police gedeckte Abwehrkosten an.
Quelle: Text: Michael Unglaub, versicherungswirtschaft-heute.de; Foto: fotolia.com