Haftpflicht-Versicherungsschutz bei Cyberschäden: Eingeschränkt abwehrbereit

Cyberschäden kosteten deutsche Unternehmen laut Bitkom e.V. im Jahr 2024 rund 178,6 Milliarden Euro.[1] Im Verhältnis zum Cyberrisiko überrascht, dass derzeit knapp 40 Prozent der deutschen Unternehmen keinen Cyberversicherungsschutz haben sollen. 

Neben den klassischen Eigenschäden durch Cyberrisiken sollten Unternehmen auch die Haftung gegenüber Dritten aufgrund von Cybervorfällen im Blick haben.

Beispiel: Die Pack GmbH ist ein Verpackungshersteller mit digitalisierten Produktions- und Logistikprozessen. Hacker verschaffen sich über eine Phishing-Mail Zugang zum internen Netzwerk der Pack GmbH. Die Hacker schleusen einen Virus ein, der Systemschäden verursacht.

Die Pack GmbH beliefert regelmäßig die Lecker AG, einen Lebensmittelkonzern, mit Verpackungen für Frischwaren. Beide Unternehmen sind über eine digitale Schnittstelle für Dateiübertragungen und Bestellvorgänge verbunden. Über die Schnittstelle wird eine Datei mit Etiketten, die einen Virus enthält, an die Lecker AG weitergeleitet.

Der Cyberangriff führt zu Eigenschäden der Pack GmbH:

Die Pack GmbH erleidet IT-Systemschäden, die zu einer Betriebsunterbrechung und einem Datenverlust führen. Die Pack GmbH muss externe IT-Forensiker zur Wiederherstellung des Systems und der Daten beauftragen.

Der Cyberangriff führt zu Fremdschäden bei der Lecker AG:

Das Virus bei der Lecker AG infiziert das Warenwirtschaftssystem, was zu einer Falschetikettierung der Lebensmittelverpackungen führt. Die Lecker AG schafft es, nach einer Woche Betriebsstillstand das Virus durch externe Forensiker zu entfernen. Frischware von einer Woche verdirbt.

Verfügt die Pack GmbH über eine Cyberversicherung, besteht grundsätzlich Versicherungsschutz hinsichtlich der Eigen- und bzgl. der Fremdschäden. Doch was, wenn die Pack GmbH über keine Cyberversicherung verfügt? Der Eigenschaden dürfte dann bei der Pack GmbH verbleiben.[2] Demgegenüber ist fraglich, ob und unter welchen Voraussetzungen der Betriebshaftpflichtversicherer der Pack GmbH Versicherungsschutz bei einer Inanspruchnahme durch die Lecker AG gewährt. 

Welchen Cyberhaftungsgefahren gegenüber Dritten ist also die Pack GmbH ausgesetzt (1.), sind die Cyberhaftungsgefahren unter einer Betriebshaftpflichtversicherung[3] gedeckt (2.) und was lässt sich abschließend festhalten (3.)?

1. Die Cyberhaftungsgefahr

Cyberschäden eines Unternehmens können sich – wie das Beispiel oben zeigt – auf Geschäftspartner und Kunden auswirken. In Betracht kommen Datenverluste und Wiederherstellungskosten, Betriebsunterbrechungen oder Reputationsschäden.

Wirtschaftlich relevant sind sogenannte Supply-Chain-Angriffe (Lieferkettenangriffe). Hacker wählen nicht das wirtschaftlich lohnende Hauptunternehmen als Angriffsziel, sondern greifen schwächer geschützte Zulieferer an.[4] Neben Cyberangriffen können sich auch in dem einen Unternehmen ausgelöste Systemausfälle auf andere Unternehmen auswirken.

Große Firmen investieren viel in IT-Sicherheit, bleiben daher aber über ihre Lieferanten verwundbar.

Sowohl für den ursprünglich angegriffenen Lieferanten als auch für das geschädigte Hauptunternehmen stellt sich die Frage, ob ein Versicherer die Cyberhaftung deckt.

Besteht Deckungsschutz, ist der Versicherer nach § 100 VVG verpflichtet, den Versicherungsnehmer (im obigen Beispiel die Pack GmbH) von berechtigten Ansprüchen Dritter freizustellen oder unberechtigte Ansprüche abzuwehren (im obigen Beispiel Ansprüche der Lecker AG).

2. Deckungsschutz von Cyberrisiken unter den AVB BHV

Die Allgemeinen Versicherungsbedingungen für die Betriebs- und Berufshaftpflichtversicherung[5] bieten kein Rundum-sorglos-Paket für Drittschäden aufgrund von Cyberrisiken.

Doch was sind die versicherten Cyberrisiken unter den AVB BHV (2.1) und was steht einer Deckung entgegen (2.2)?

2.1 Versicherte Risiken

Nach Ziff. A1-6.13.2.1 AVB BHV besteht Versicherungsschutz für Schäden

„– auch Tätigkeitsschäden und Vermögensschäden, die weder durch Personen- noch durch Sachschäden entstanden sind – aus dem Austausch, der Übermittlung und der Bereitstellung elektronischer Daten (z. B. im Internet, per E-Mail oder mittels Datenträger) ausschließlich aus

1. der Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung von Daten (Datenveränderung) bei Dritten durch Computer-Viren und/oder andere Schadprogramme;
2. b) der Datenveränderung aus sonstigen Gründen sowie der Nichterfassung und fehlerhaften Speicherung von Daten bei Dritten und zwar wegen

• sich daraus ergebender Personen- und Sachschäden, nicht jedoch weiterer Datenveränderungen sowie
• der Kosten zur Wiederherstellung der veränderten Daten bzw. Erfassung/korrekten Speicherung nicht oder fehlerhaft erfasster Daten;

3. der Störung des Zugangs Dritter zum elektronischen Datenaustausch.“

Die Tatbestandsvarianten der Ziff. A1-6.13.2.1 lit. a) AVB BHV richten sich nach § 303a Abs. 1 StGB.[6] Voraussetzung der Klausel ist die Datenveränderung beim Dritten durch Computerviren oder andere Schadprogramme. Versicherungsschutz besteht für sämtliche Folgeschäden, insbesondere auch für die praxisrelevante Betriebsunterbrechung beim Dritten. 

Umstritten ist, ob die Datenveränderung erst beim Dritten eintreten darf.[7] Eine solch enge Auslegung zum Zwecke der Abgrenzung von Verantwortlichkeitssphären[8] würde den Versicherungsschutz praktisch einschränken, da nicht immer klar ist, wo die erstmalige Datenveränderung stattfand.

Keine Datenveränderung beim Dritten

Kommt es aufgrund einer vom Versicherungsnehmer übertragenen Schadsoftware zu einem Ransomware-Angriff bei einem Dritten, ist der Versicherungsschutz umstritten.[9] Ein Ransomware-Angriff verschlüsselt Daten auf IT-Systemen und/oder entwendet Daten, die Hacker entschlüsseln bzw. löschen die entwendeten Daten nur gegen Zahlung von Lösegeld.[10]

Beispiel: Die Logistiker GmbH überträgt unbeabsichtigt eine Schadsoftware auf ihren Kunden, die Maschino SE. Die übertragene Schadsoftware führt zu einem Ransomware-Angriff auf die Maschino SE i.S.e. Datenabflusses. Die Angreifer bieten die Löschung der entwendeten Daten gegen die Zahlung eines Lösegelds an.

Kein Versicherungsschutz für Folgeschäden 

Ziff. A1-6.13.2.1 lit. b) AVB BHV ist erstmal weiter gefasst als lit. a) und erfasst Datenveränderungen, die nicht auf Viren oder Schadprogrammen beruhen.[11] Der Versicherungsschutz ist jedoch bei wörtlichem Verständnis der Klausel erheblich eingeschränkt.[12] Versichert sind (nur) Personen- und Sachschäden sowie die Wiederherstellung der veränderten bzw. fehlerhaft gespeicherten/nicht erfassten Daten. Kein Versicherungsschutz besteht für Folgeschäden, die an die Datenveränderung bzw. Nicht- oder Fehlspeicherung anknüpfen.

Beispiel: Die Fräs GmbH vertreibt Fräsmaschinen eines großen Herstellers. Die Fräs GmbH stellt ihren Kunden, darunter der Fertigungs GmbH, per E-Mail Anleitungen des Herstellers für Updates zur Verfügung. Beim Hochladen der Anleitung schleicht sich ein technischer Fehler ein, der die Anleitungen unrichtig macht. Die Updates bei der Fertigungs GmbH schlagen fehl. Voreingestellte Fräsungen gehen verloren und die Geräte können eine Woche lang nicht genutzt werden. Haftungsansprüche aufgrund der Kosten für die Wiederherstellung der verlorenen Daten sind versichert; der daraus resultierende Betriebsunterbrechungsschaden als Folgeschaden ist hingegen nicht abgedeckt.

Versicherungsschutz insb. bei Distributed Denial-of-Service-Attacke

Ziff. A1-6.13.2.1 lit. c) AVB BHV erfasst den Schutz des Versicherungsnehmers insbesondere für Distributed Denial-of-Service-Attacke („DDoS“). Bei einer DDoS-Attacke überlasten die Angreifer gezielt die Verfügbarkeit eines Internetdienstes oder eines Zielsystems (meist Vielzahl einzelner Anfragen ans System).[13] Für Folgeschäden des Dritten wie Betriebsunterbrechungen besteht Versicherungsschutz.

Beispiel: Ein Hacker verteilt seine Angriffsprogramme auf mehreren hunderten PCs während der Kernarbeitszeit der VieleComputer AG. Die mit den Schadsoftwares infizierten PCs werden zum Angriffswerkzeug. Die Hacker bombardieren von den PCs den Web-Server des Versandhändlers Donau SE. Der Angriff führt zum Ausfall des Web-Servers der Donau SE mit der Folge einer Betriebsunterbrechung.[14]

Neben dem Versicherungsschutz stellt sich bei DDoS-Attacken die Frage, ob der Versicherungsnehmer überhaupt für von der Attacke hervorgerufene Schäden haftet. Praxisrelevant ist vorrangig die Abwehr des Versicherers vor unberechtigter Inanspruchnahme durch den Dritten.

2.2 Deckungseinschränkungen

Neben den eingeschränkt versicherten Risiken[15] müssen Unternehmen auch die nachfolgenden Deckungseinschränkungen berücksichtigen.

Verklammerung durch Serienschadenklausel?

Ziff. A1-6.13.4 AVB BHV regelt den Serienschaden. Als Risikobegrenzungsklausel ist die Regelung eng auszulegen.[16]

Beispiel: Die Elektro GmbH ist vom Pech verfolgt und wird innerhalb eines halben Jahres zweimal zur Zielscheibe von Hackern. Die Hacker nutzen unterschiedliche Methoden, um in das System der Elektro GmbH zu gelangen und schleusen jeweils unterschiedliche Viren auch bei Kunden, für die die Elektro GmbH als Zulieferer tätig ist, ein.

Das Beispiel stellt zwei Versicherungsfälle dar, die nicht unter der Serienschadenklausel verklammert werden. Unter einen Serienschaden fällt nur der gleiche Virus, zum Beispiel alle Schäden aufgrund von Virus „ichhacke@alle“.

Häufig Deckungsbeschränkung durch Sublimits

Die AVB BHV enthalten für die Cyber-Haftung kein Sublimit. Die Praxis sieht anders aus. Versicherer wählen meist Sublimits aus, die die Versicherungssumme auf weniger als die Hälfte der Gesamtversicherungssumme begrenzen.[17]

Technische Obliegenheit als latente Deckungsgefahr

Ziff. A1-6.13.2.1 AVB BHV enthält zudem eine technische Obliegenheit. Danach muss der Versicherungsnehmer „seine auszutauschenden, zu übermittelnden und bereitgestellten Daten durch Sicherheitsmaßnahmen und/oder -techniken (z. B. Virenscanner, Firewall) nach dem Stand der Technik sichern und prüfen.“

Verletzt der Versicherungsnehmer die technische Obliegenheit vorsätzlich, ist der Versicherer leistungsfrei. Bei grober Fahrlässigkeit kann der Versicherer seine Leistung quotal zur Schwere des Verschuldens des Versicherungsnehmers kürzen.

Die AVB BHV weichen von der Regelung in § 103 VVG ab.[18] Nach § 103 VVG muss der Versicherer nur dann nicht leisten, wenn der Versicherungsnehmer den Schaden beim Dritten vorsätzlich und widerrechtlich herbeiführte. Mit der Aufnahme der technischen Obliegenheit in den AVB BHV ist der Versicherungsschutz gegen die Inanspruchnahme Dritter eingeschränkt, wenn der Versicherungsnehmer grob fahrlässig gegen die technische Obliegenheit verstieß. Neben dem Abwehrprozess gegen den Dritten droht den Versicherungsnehmern der Deckungsprozess gegen den Versicherer.

Zum Vergleich: Der Drittschadenbaustein in den Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber)[19] weicht nicht von der Regelung in § 103 VVG ab.[20]

3. Fazit

Unternehmen entscheiden häufig allein mit Blick auf die drohenden Cyber-Eigenschäden, ob eine Cyberversicherung abzuschließen ist. Hierbei wird aber häufig unterschlagen, dass die Cyberhaftungsgefahr ebenfalls real und mittels Versicherung minimiert werden kann. Unternehmen sollten daher bei ihrer Cyber-Risikoanalyse stets die potentielle Cyberhaftungsgefahr mit berücksichtigen und die bestehenden Versicherungen darauf hin überprüfen.

Autoren: Dr. David Ulrich und Sabrina Hußmann

Dieser Beitrag erschien zuerst in der Zeitschrift Die VersicherungsPraxis 09-2025, S. 3 ff.

Literatur und Quellen:

[1] Bitkom Research 2024, S. 4, https://www.bitkom.org/sites/main/files/2024-08/240828-bitkom-charts-wirtschaftsschutz-cybercrime.pdf 

[2] Ggf. könnte eine bestehende Vertrauensschadenversicherung einen Teil der Wiederherstellungskosten decken.

[3] Mögliche weitere Versicherungen: Cyberversicherung; Vertrauensschadenversicherung; Besonderen Bedingungen und Risikobeschreibungen für die Haftpflichtversicherung von IT-Dienstleistern (BBR-IT); Zur Gefahr einer Organhaftung bei Verzicht auf Cyberversicherungsschutz: Ulrich/Ruf, Wenn der Cyberschaden zum D&O-Fall wird, VW 2025, 04, 78.

[4] Vgl. Bitkom Research 2024, S. 10, https://www.bitkom.org/sites/main/files/2024-08/240828-bitkom-charts-wirtschaftsschutz-cybercrime.pdf; Bundesamt für Verfassungsschutz, https://www.verfassungsschutz.de/DE/themen/cyberabwehr/akteure-und-angriffsmethoden/akteure-und-angriffsmethoden_node.html.

[5] Musterbedingungen des GDV (Stand: Juni 2025), https://www.gdv.de/resource/blob/6240/d29f255e080cad4fb5b41c4f4b23fd01/02-avb-betriebs-und-berufshaftpflichtversicherung-2020-data.pdf 

[6] Vgl. für die Definitionen MüKoStGB/Wieck-Noodt, 4. Aufl. 2022, StGB § 303a Rn. 11 ff.

[7] So Dickmann Cyberversicherung/Drave, 1. Aufl. 2025, Einleitung Rn. 265; Bertsch/Fortmann, r+s 2021, 549, 551 f.

[8] Beckmann/Matusche-Beckmann VersR-HdB/Spindler, 3. Aufl. 2015, § 40. Rn. 99.

[9]Dickmann Cyberversicherung/Drave, 1. Aufl. 2025, Einleitung Rn. 265.

[10] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/ransomware-angriffe_node.html.

[11] Koch, r + s 2005, 181, 184.

[12] Kritischer auch Prölss/Martin/Lücke, 32. Aufl. 2024, BetrH IT Abs. 2 Ziff. 2 Rn. 9.

[13] https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/Lagebilder/Cybercrime/2021/Code6.html.

[14] Beispiel nach https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/DoS-Denial-of-Service/dos-denial-of-service_node.html.

[15] Vgl. auch zu IT-risikospezifischen Ausschlüssen Ziff. A1-6.13.2.2 AVB BHV und Brock/Möller/Koch, 9. Aufl., AHB 2012, Ziff. 7, Rn. 415 ff. und nicht versicherten Risiken Ziff. A1-6.13.2.2 b) bis c), A1-6-13.4, Ziff. A3-8.25 AVB BHV.

[16] BGH, Urteil vom 17. September 2003, Az. IV ZR 19/03; Brock/Möller/Koch, 9. Aufl., AHB 2012, Ziff. 7, Rn. 411; zu Wirksamkeitsbedenken Prölss/Martin/Lücke, 32. Aufl. 2024, BetrH IT Abs. 4 Ziff. 4 Rn. 2, allg. OLG Frankfurt a. M, Urteil vom 17. März 2021, Az. 7 U 33/19.

[17] Beispiel aus der Praxis: Versicherungssumme EUR 25 Mio., Sublimit für Cyberschäden bei Dritten EUR 10 Mio.

[18] Brock/Möller/Koch, 9. Aufl., AHB 2012, Ziff. 7, Rn. 419.

[19] Musterbedingungen des GDV (Stand: Februar 2024), https://www.gdv.de/resource/blob/6100/a0fed56c4947751cdc20b5206c171d98/01-allgemeine-versicherungsbedingungen-fuer-die-cyberrisiko-versicherung-avb-cyber--data.pdf.

[20] Erichsen/Seiz, r+s 2024, 97, 98.