Verschlüsselte Buchungssysteme, gestohlene Kreditkartendaten, lahmgelegte Haustechnik – Angriffe aus dem Internet kommen mit Wucht und können jeden Hotelbetrieb empfindlich stören. Wer eine Cyberversicherung abschließt, ist geschützt und sorgenfrei? Ganz so einfach ist es nicht.
Verhaltensregeln und Pflichten, sogenannte Obliegenheiten, gibt es in jedem Versicherungsvertrag. Sie verpflichten den Versicherungsnehmer zur Mithilfe und Schadenvermeidung. Wer sich nicht an die Regeln hält, bekommt die Rechnung im Schadenfall präsentiert – das gilt auch für Cyberversicherungen.
Technische und organisatorische Pflichten
Obliegenheiten in Cyberversicherungen sollen das Bewusstsein für Gefahren beim Versicherungsnehmer schärfen und ihn von grob fahrlässigem Handeln abhalten. Denn Cyberschäden sind nicht nur teuer – in größeren Betrieben kommen schnell sechsstellige Eurobeträge zusammen – sondern legen das Tagesgeschäft häufig komplett lahm.
Cyberversicherer möchten über ihr Regelwerk sicherstellen, dass der Versicherungsschutz nur für solche IT-Systeme zur Verfügung gestellt wird, die dem technischen Stand entsprechen und die ausreichend gesichert sind. Deshalb schreiben sie sowohl technische, als auch organisatorische Obliegenheiten in ihre Verträge.
Technische Obliegenheiten sind sämtliche Maßnahmen für die IT-Sicherheit wie komplexe Passwörter, die Schließung von Sicherheitslücken mittels Virenscannern, Firewalls und Updates, eine regelmäßige Datensicherung und deren getrennte Aufbewahrung. Neu hinzugekommen sind etwa Sicherungsmaßnahmen für Mitarbeitende im Homeoffice.
Einfacher umzusetzen sind die organisatorischen Obliegenheiten. Hier gilt für Hoteliers: Definieren Sie Ihre Sicherheitsziele und -maßnahmen. Machen Sie diese im Unternehmen bekannt und legen Sie verantwortliche Personen fest. Treffen Sie Vorbereitungen für den Ernstfall, etwa mit einem Notfallplan. Die Erfüllung der organisatorischen Pflichten ist dabei wesentlich vom Verhalten der involvierten Personen abhängig.
Wichtig ist auch, wann Sie die Obliegenheiten erfüllen müssen. Einige Versicherer erwarten eine grundlegende IT-Sicherheit schon bei Vertragsabschluss, bei anderen kann später nachgebessert werden.
Wiederkehrender Nachweis über IT-Status
Eigentlich ist es wie beim TÜV für Ihr Auto: Es reicht nicht, dass das Fahrzeug beim Kauf verkehrstüchtig ist. Sie müssen immer wieder nachweisen, dass Sie damit am Straßenverkehr teilnehmen können. IT-Sicherheitsvorkehrungen sind ebenfalls keine einmalige Sache. Sie müssen ständig auf dem aktuellen Stand der technischen Entwicklung sein. Was jedoch der aktuelle Stand ist, lässt sich schwer festmachen. Deshalb verzichten Versicherer darauf, die technischen Obliegenheiten klar im Vertrag zu definieren.
Was also tun, wenn Sie eine Cyberversicherung abschließen wollen oder das bereits getan haben? Verlassen Sie sich nicht nur auf die beworbenen Entschädigungen und Assistenzleistungen im Schadenfall. Schauen Sie auch auf die definierten Obliegenheiten. Um nicht den Leistungsanspruch zu riskieren, müssen Sie wissen, wo und wann Sie aktiv werden müssen.
Sind die Bedingungen zum „Stand der Technik“ ungenau formuliert oder in Form einer Generalklausel wie „Es müssen alle gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherheitsvorschriften eingehalten werden” verfasst, sollten Sie eine Präzisierung der allgemein gehaltenen Passagen verlangen und das am besten schriftlich.
Zum Autor
Alexander Fritz (B. A. Versicherungswirtschaft) ist Geschäftsführer der Fritz & Fritz Risikoberatung UG (Margetshöchheim). Als Sachverständiger ist er auf Risikomanagement-Konzepte und Pakete zur Unternehmensabsicherung für die Hotellerie spezialisiert.
Dieser Beitrag könnte Sie auch interessieren:
Versicherungstipp: Was gilt bei einem Wasserschaden?
Wasserschäden gehören zu den meistgemeldeten Versicherungsfällen in Deutschland – und reichen vom Wasserrohrbruch bis zu „Fugenschäden“. Sie sind umso ärgerlicher, wenn die Versicherung nicht zahlt. Denn das muss sie nicht in allen Fällen.
Jetzt lesen!