- Die mit Cyberrisiken zusammenhängende Haftung von Geschäftsführern und Vorständen erklären die renommierten Anwälte und Partner der Kanzlei Heuking Dr. Jöster und Dr. Keppler
- Zusätzlich geben Ihnen die Cyber- und D&O-Versicherungsexperten von MRH Trowe einen Einblick zum aktuell Umsetzbaren auf dem Versicherungsmarkt
Risikomanagement in Zeiten von EU-DSGVO und Cyberangriffen:
Das Managerhaftungsrisiko der Zukunft?
1. Einleitung: Bedrohung durch Cyberangriffe steigt
Parallel zur steigenden Digitalisierung unserer Wertschöpfungsketten nehmen auch die Schlagzeilen über erfolgreiche Cyber-Angriffe auf prominente Unternehmen und Organisationen zu. Fast im Wochenrhythmus werden Unternehmen und Verantwortungsträger für Schwächen ihres Cyber Risikomanagements an den „Medienpranger“ gestellt. Neben Reputationsverlust drohen empfindliche bzw. existenzbedrohende finanzielle Einbußen und, insbesondere beim Verlust sensibler Kundendaten, erhebliche Haftungsrisiken für das Unternehmen und deren Verantwortliche. Hier sei neben Schadenersatzforderungen von Geschädigten auch die EU-DSGVO mit bis zu 20 Mio EUR Bußgeld je Verstoß ab 25.5.2018 genannt (weitere Informationen zur EU-DSGVO). Flankierend bauen Anbieter der Cyber Versicherung ihre Schadenabteilungen aus, um der starken Zunahme an Schadenfällen in der jungen Sparte "Cyber Versicherung" Herr zu werden.
Das Dilemma: auch die beste Cyber Prävention kann keine 100% Sicherheit bieten, kein Unternehmen kennt a priori sämtliche Sicherheitslücken der eigenen Infrastruktur und kann diese somit zu hundert Prozent schützen. Der Fall „WannaCry“ verdeutlicht die Dimensionen eines Cyber Risk-Schadensfalls: Werke der Automobilhersteller Nissan und Renault mussten wegen der Virusinfektion ihren Betrieb einstellen. In Deutschland waren unter anderen die Deutsche Bahn sowie Schenker massiv betroffen. Gemäß Schätzungen von Branchenkennern sollen Schäden von bis zu 4 Mrd. Dollar entstanden sein, einzelne Unternehmen gar Verluste bis zu 100 Mio. Dollar zu verzeichnen haben. Auch der „Equifax hack“ hatte für das betroffene Unternehmen gravierende Auswirkungen: Nach Bekanntwerden der Entwendung von ca. 143 Millionen Kundendaten fiel der Kurs der Equifax Aktie um 30 % (Stand 13.09.2017), spezialisierte Anwaltskanzleien bereiten gegenwärtig Sammelklagen gegen das Unternehmen im Umfang von rund 70 Mrd. Dollar vor.
Fand in 2015 oder 2016
ein Cyber-Angriff statt?
Deutschland ist mit seiner mittelständisch geprägten und gut aufgestellten Wirtschaft besonders attraktiv für Cyber-Kriminelle: So gaben 47 % aller, im Rahmen einer Cyber Sicherheitsumfrage 2016 der Allianz für Cyber-Sicherheit (u.a. Initiative des Bundesamtes für Sicherheit in der Informationstechnik) befragten attackierten Unternehmen an, im letzten Jahr Opfer von erfolgreichen Cyberangriffen geworden zu sein. Die digitalen Risiken für Unternehmen sind somit bekannt, die Sensibilität für individuellen Haftungsrisiken von Geschäftsleitern jedoch noch nicht ähnlich ausgeprägt.
Es ist gerade mit Blick auf die "scharf geschalteten" Sanktionen durch die DSGVO (EU-Datenschutz-Grundverordnung; weitere Informationen zur EU-DSGVO) absehbar, dass Führungskräfte persönliche Haftungsszenarien erfahren werden, wenn ein unzureichendes Cyber Risikomanagement etabliert wurde und Gesellschafter nach Schuldigen Ausschau halten (müssen). Doch was heißt dies für die Verantwortungsträger und wie ist hier das Zusammenspiel mit der D&O Versicherung? Die Cyber Versicherungsrecht-Experten der renommierten Wirtschaftskanzlei Heuking Kühn Lüer Wojtek geben eine rechtliche Einschätzung, die Cyber Versicherung- und D&O Versicherungsexperten von MRH Trowe ergänzen diese mit ihren Einblicken zu Entwicklungen im Versicherungsmarkt und Erfahrungen aus ihrer Beratungspraxis.
Zusätzlich bieten wir Ihnen gemeinsam an sich mit dem „Quick Check Cyberhaftung“ eine kompetente Einschätzung zu Ihrer persönlichen Haftungslage und der Ihres Unternehmens sowie einen Benchmark zu vergleichbaren Unternehmen einzuholen.
2. Risikovorsorge als zentrale Organpflicht
Die Geschäftsleitung eines Unternehmens (Geschäftsführer, Vorstände) sind verpflichtet, für alle betrieblichen Bereiche eine Risikovorsorge hinsichtlich aller ersichtlicher Gefahren zu treffen, welche die betrieblichen Abläufe und Existenzgrundlagen bedrohen können.
Soweit den Gefahren nicht durch geeignete Vermeidungsstrategien begegnet werden kann, gehört zur Risikovorsorge auch die Bestellung ausreichenden Versicherungsschutzes. Auskömmlicher Versicherungsschutz ist für betrieblichen Risiken (z. B. Feuer- und Elementarschäden und hieraus resultierende Betriebsunterbrechungen, Haftpflicht- und Produkthaftungsrisiken) zu einer selbstverständlichen Standardabsicherung geworden. Überraschend fristet mit Blick auf vergangene Schadenereignisse die Cyber Versicherung weiterhin ein Schattendasein, wenn auch sie in den letzten Jahren erheblich an Bedeutung zugelegt hat.
2.1 Exkurs: Erfahrungen eines spezialisierten Versicherungsmaklers
Die aktuelle Beratungspraxis aus Sicht eines spezialisierten Versicherungsmaklers bzgl. der Entscheidung, ob eine Cyber Versicherung abgeschlossen wird oder nicht, ist häufig geprägt von der individuellen Wahrnehmung des Cyberrisikos im jeweiligen Unternehmen und dessen was beim jeweiligen Entscheider darüber zur Kenntnis gelangt ist. Diese Wahrnehmung ist wiederum zu selten dadurch beeinflusst, dass die Geschäftsleiter, und/oder deren Beauftragte zur Besorgung von Versicherungsschutz, in der Presse oder in den mannigfaltig vorhandenen Studien zu den Cyber-Risiken für die Unternehmen ihre pro oder contra Argumente suchen. (weiterlesen) Noch seltener liegen fundierte Ergebnisse einer Risikoanalyse im eigenen Unternehmen im Sinne der Feststellung operativer Risiken diesbezüglich vor.</span></p> <p><span style="color: #ffffff;">Vielmehr kommt das Thema „Cyber Versicherung“ häufig erst dann ernsthaft und priorisiert auf die Tagesordnung der Entscheider, wenn ein Cyber-Vorfall das Unternehmen jüngst betroffen hat. Interessanterweise ist dieses Vorgehen völlig ungewöhnlich für die uns bekannten Entscheider, da man üblicherweise nicht auf einen Brandschaden gewartet hat, bevor man eine Feuerversicherung abgeschlossen hat bzw. das Feuerrisiko näher analysiert hat. Das gilt auch für alle anderen, die Bilanz bedrohenden Risikoquellen und deren Risikotransfer auf den Versicherungsmarkt. Hier ist das Cyber-Risiko - Stand 2018 - der Exot.</span></p> <p><span style="color: #ffffff;">Zu erklären ist das Phänomen aus unserer Sicht durch das mangelnde Bewusstsein und die Kenntnis über das jeweils eigene (inkl. persönliches Haftungsrisiko der Geschäftsleiter), individuelle Cyber-Risiko und den dahinterstehenden Angreifern und deren Zielsetzungen. Überdies sind die möglichen Folgen eines Cyber-Vorfalls in Bezug auf den finanziellen Schaden häufig nicht in der Genauigkeit und Detailliertheit bekannt, um eine valide Entscheidung pro oder contra Cyber Versicherung zu treffen. So kann die Entwendung sensibler Kundendaten zu Haftungsansprüchen führen, die damit verbundene Umsätze um ein vielfaches übersteigen.</span></p> <p><span style="color: #ffffff;">Eine Abwägung, ob eine Cyber Versicherung individuell Sinn macht und ob sie aus Gesichtspunkten eines adäquaten Risikomanagements geboten ist, lässt sich im Sinne der Pflichterfüllung der Geschäftsleiterpflichten daher nur nach intensiver Befassung mit dem individuellen Cyber-Risiko treffen. Auch lassen sich erst dann fundierte Aussagen über die Angemessenheit der Prämienhöhen und der jeweiligen Bedingungsgestaltungen treffen.</span></p> <p><span style="color: #ffffff;">Insgesamt ist aufgrund der mangelnden Erfahrungen der Entscheider mit Cyberrisiken, aber der allgemeinen Bekanntheit derselben z.B. aus der Presse, eine andere und intensivere Befassung mit diesem Risiko notwendig, um eine Entscheidung hinsichtlich dieser Versicherungsart zu treffen. Z.B. erleben wir in Beratungsgesprächen, dass die aktuellen Versicherungsprämien deutlich niedriger ausfallen als von der Geschäftsleitung konkret vermutet wurde. Aufgrund dessen wurde aber in der Vergangenheit auf den Einkauf von Versicherungsschutz verzichtet. Und das, obwohl im unversicherten Schadenfall aus dem Kreis der Gesellschafter immer die Frage kommen wird, mit welcher Argumentation seinerzeit keine Cyber Versicherung abgeschlossen wurde. Wir sehen hier bereits erste Diskussionen dieser Art in unserer Schadenpraxis, der direkte Bezug zur <a href="https://360gradmanagerschutz.de/do-versicherung-erklaert/" style="color: #ffffff;">D&O Versicherung</a> ist spätestens hier unübersehbar. Darüber hinaus ist es dringend geboten dieses komplexe Thema in ein ganzheitliches Cyber Security Management einzubetten. So ist es ratsam z.B. IT-Forensiker, PR-Litigation Manager, IT-Security-Berater und spezialisierte Juristen sowie eben spezialisierte Versicherungsmakler zu Rate zu ziehen bzw. in das Notfallmanagement zu integrieren. Sofern noch gar kein Cyber-Notfallplan implementiert wurde, ist dieser schnellstmöglich zu entwickeln. Hinsichtlich Dringlichkeit sei diesbezüglich nochmal auf die <a href="https://360gradmanagerschutz.de/wissenswertes/eu-dsgvo-datenschutz-ab-2018-was-entscheider-beachten-muessen/" style="color: #ffffff;">EU-DSGVO</a> verwiesen.
3. Cyberangriffe als Bedrohung der Betriebsgrundlage - Cyber Versicherung im Aufwind
Spätestens seit den letzten umfassenden Hacker-Attacken, den periodisch aufgedeckten Sicherheitslücken und der weltweit kursierenden Schad-Software ist offensichtlich, dass Cyber-Attacken – wie in der Einleitung skizziert – das Potential haben, betriebliche Abläufe empfindlich zu stören oder sogar zentrale Betriebsgrundlagen zu zerstören.
Drohende Schäden sind unter anderem:
- Betriebsunterbrechungsschäden durch Störung der Systeme bis zur Wiederherstellung der Datensicherheit, Rekonstruktion der Daten und Wiederinbetriebsetzung der Computersysteme,
- Schäden durch Fehlsteuerung von Maschinen oder Betriebsaufläufen (Sabotage) oder durch Manipulation von betrieblichen Kalkulationen
- Datenverluste durch elektronische Betriebsspionage (Ausspähung oder Vernichtung technischen Know-hows), Ausspähung betrieblicher Kalkulationen (etwa geplanter Angebote in laufenden Bieterverfahren) oder sogar Vernichtung der Betriebsgrundlagen durch Löschung von Kundendaten
- Umsatzeinbußen durch Reputationsschäden in der Folge eines Cyber-Vorfalls und ggf. unprofessionellem Krisenmanagement
- Haftpflichtansprüche und Geldbußen nach Datenschutzvorfällen von Geschädigten
- Kosten und Strafen in behördlichen Ermittlungsverfahren nach Datenverlusten (z. B. seitens Datenschutzbehörden). Siehe hierzu Neuerungen durch die EU-DSGVO in 2018 mit einem Strafrahmen bis zu 20 Mio. EUR
Verteilung Cyberangriffe nach Branchen; Cyber Sicherheitsumfrage 2016
Zentrale Frage zur Schadenfolgeabschätzung im Rahmen einer Risikoanalyse ist daher, welche Betriebsgrundlagen durch Stillstand sämtlicher IT-Systeme oder Verlust oder Ausspähung sämtlicher auf diesen gespeicherten Daten gefährdet sind und wie hoch ggf. ein Haftungsanspruch durch Schäden bei Dritten sein kann. Darüber hinaus gilt es Auswirkungen eines Reputationsschadens auf die eigene Marke zu bewerten und deren Sensitivität auf die eigenen Umsätze einzukalkulieren.
Aufgrund der ständig bekannt werdenden Sicherheitslücken auch in Standard-Software ist zugleich ersichtlich, dass sich eine Geschäftsführung keinesfalls auf Qualität und Schutzmaßnahmen der eigenen IT-Abteilung verlassen kann. Es ist mittlerweile ein Gemeinplatz, dass es vollständige IT-Sicherheit nicht gibt.
Da diese Risiken nicht vollständig durch derartige Schutz- und Abwehrmaßnahmen abgewendet werden können, ist Risikovorsorge durch eine Versicherungslösung regelmäßig geboten. Dies,e Erkenntnis scheint auch verstärkt im Mittelstand anzukommen, wie die hohen Wachstumsraten der Cyber Versicherung zeigen.
4. Keine vollständige Delegation möglich
Selbstverständlich muss die Geschäftsleitung sich nicht höchstpersönlich um die Eindeckung auskömmlichen Versicherungsschutzes kümmern, sondern kann diese Tätigkeiten an geeignete Mitarbeiter, Unternehmensabteilungen oder auch einen externen Versicherungsmakler delegieren. Die Risikoanalyse im Bereich der IT-Sicherheit/Cyber Security und die Ausschreibung von Cyber-Risiken einschließlich der Beurteilung der verschiedenen Bedingungswerke der einzelnen Anbieter bedarf inhaltlich der Einschaltung geeigneter Spezialisten, zumal sich bei Cyber-Produkten noch kein Marktstandard etabliert hat und insbesondere die GDV-Musterbedingungen bislang noch nicht die prägende Wirkung hatten wie in anderen Sparten.
Bei der Beurteilung und Analyse der einzelnen Risiken, der Abstimmung der Bedingungswerke und der kaufmännischen Abwägung zwischen eingedecktem Versicherungsschutz einerseits und Prämienhöhe andererseits besteht erheblicher Spielraum. Hat die Geschäftsführung also geeignete Dritte mit der Versicherung von Cyberrisiken beauftragt, wird wegen der hohen fachlichen Anforderungen den jeweiligen Organen kaum der Vorwurf zu machen sein, sie hätten ihre Pflicht zur Risikovorsorge verletzt.
Etwas anderes gilt aber dann, wenn im Ergebnis von dem Abschluss einer Cyber Versicherung gänzlich abgesehen wird. Da eine funktionierende IT zwischenzeitlich nahezu in allen wirtschaftlichen Bereichen, gleich ob bei produzierenden Unternehmen, Handelsunternehmen oder Dienstleistern eine zentrale Betriebsgrundlage darstellt, welche die klassischen Produktionsmittel häufig gänzlich oder weitgehend abgelöst hat, und die Anfälligkeit von derartigen Systemen gegen Cyberattacken allgemein bekannt ist, wird der Nichtabschluss einer Cyber Versicherung regelmäßig als sehenden Auges hingenommene Sicherheitslücke im Hinblick auf zentrale Betriebsabläufe zu werten sein.
Auf Pflichtverletzungsebene dürfte eine Entlastung des Organs dann, wenn überhaupt keine Cyber Versicherung abgeschlossen wurde, äußerst schwierig sein. Erhebliche Verteidigungsspielräume bestehen allerdings regelmäßig im Rahmen der Kausalität, da die nachträgliche Bestimmung, welcher Versicherungsschutz insbesondere unter welchen Anforderungen an das im Rahmen der versicherungsvertraglichen Obliegenheiten geforderte Niveau der IT-Sicherheit pflichtgemäß einzudecken gewesen wäre, und die hieraus abzuleitende Bestimmung des hypothetisch versicherten Schadens aus einer Cyberattacke schwierig und allenfalls durch aufwendige gerichtliche Begutachtung zu klären sein wird.
Auf der Deckungsseite wird der D&O-Versicherer insbesondere nach entsprechender Abschlussempfehlung durch einen Versicherungsmakler in Einzelfällen den Deckungsausschluss der wissentlichen Pflichtverletzung einwenden können. Über den Haftungshebel kann der Versicherungsmakler somit seiner Empfehlung Nachdruck verleihen.
In alten Verträgen gibt es zudem noch Ausschlussklauseln für nicht ausreichend arrangierten Versicherungsschutz. In jüngeren und insbesondere durch geeignete Makler betreuten Verträgen lassen sich – angesichts des derzeit weichen D&O-Versicherungsmarktes – derartige Klauseln kaum durchsetzen und sind in den heutigen Vertragsbeständen kaum noch zu finden.
5. Deckung der Organhaftungsansprüche über D&O-Versicherungsschutz
Grundsätzlich kann die aus dem Nichtbestehen einer Cyber Versicherung resultierende Organhaftung über eine D&O-Versicherung abgedeckt werden. Der Nichtversicherte und hypothetisch bei entsprechender Befassung der Geschäftsführung abgedeckte Schaden aus einer Cyberattacke kann wiederum versicherter Vermögensschaden im Rahmen der D&O Versicherung sein.
Auf Pflichtverletzungsebene dürfte eine Entlastung des Organs dann, wenn überhaupt keine Cyber-Versicherung abgeschlossen wurde, äußerst schwierig sein. Erhebliche Verteidigungsspielräume bestehen allerdings regelmäßig im Rahmen der Kausalität, da die nachträgliche Bestimmung, welcher Versicherungsschutz insbesondere unter welchen Anforderungen an das im Rahmen der versicherungsvertraglichen Obliegenheiten geforderte Niveau der IT-Sicherheit pflichtgemäß einzudecken gewesen wäre, und die hieraus abzuleitende Bestimmung des hypothetisch versicherten Schadens aus einer Cyberattacke schwierig und allenfalls durch aufwendige gerichtliche Begutachtung zu klären sein wird.
Auf der Deckungsseite wird der D&O-Versicherer insbesondere nach entsprechender Abschlussempfehlung durch einen Versicherungsmakler in Einzelfällen den Deckungsausschluss der wissentlichen Pflichtverletzung einwenden können. Über den Haftungshebel kann der Versicherungsmakler somit seiner Empfehlung Nachdruck verleihen.
In alten Verträgen gibt es zudem noch Ausschlussklauseln für nicht ausreichend arrangierten Versicherungsschutz. In jüngeren und insbesondere durch geeignete Makler betreuten Verträgen lassen sich – angesichts des derzeit weichen D&O-Versicherungsmarktes – derartige Klauseln kaum durchsetzen und sind in den heutigen Vertragsbeständen kaum noch zu finden.
6. Fazit: Cyberrisiken & Organhaftung
Im Ergebnis setzen sich Organe erheblichen Haftungsrisiken aus, wenn sie Cyberrisiken gänzlich ignorieren und den Prozess der Risikoanalyse und Absicherung durch geeignete Versicherungslösungen nicht anstoßen. Im Rahmen der inhaltlichen Ausgestaltung, welche die Hinzuziehung von Spezialisten erfordert, sind die Haftungsrisiken hingegen eher gering. Schäden aus nicht versicherten Cyberattacken können - wenn keine wissentliche Pflichtverletzung vorliegt - unter D&O-Versicherungen versichert sein. Spezifische Ausschlüsse sind derzeit selten.