D&O-Versicherung – Wenn die Police im Ernstfall nicht zahlt
Ein Geschäftsführer eines mittelständischen IT-Unternehmens sitzt im Besprechungsraum seiner Anwälte. Vor ihm liegt ein Schreiben der D&O-Versicherung. Der Wortlaut ist höflich, die Botschaft vernichtend: Deckungsablehnung. Der Versicherer verweigert die Übernahme der Rechtsverteidigungskosten im laufenden Strafverfahren wegen Verstoßes gegen das Außenwirtschaftsgesetz. Die Begründung: grobe Fahrlässigkeit bei der Einstellung eines nordkoreanischen IT-Workers ohne angemessene Identitätsprüfung. Der Geschäftsführer hatte sich auf die Versicherung verlassen. Jetzt steht er mit Verteidigungskosten von geschätzt zweihunderttausend Euro und einer potenziellen Schadensersatzforderung von mehreren Millionen Euro allein da. Sein Privatvermögen ist existenziell bedroht.
Diese Situation ist keine Fiktion. Sie spiegelt die Realität zahlreicher Manager wider, die erst im Schadensfall erkennen, dass ihr vermeintlicher Versicherungsschutz Lücken aufweist. Directors-and-Officers-Versicherungen, kurz D&O, sind komplexe Produkte mit zahlreichen Ausschlüssen und Voraussetzungen. Viele Policen decken Sanktionsverstöße überhaupt nicht ab. Andere schließen die Deckung aus, wenn dem Manager grobe Fahrlässigkeit oder wissentliche Pflichtverletzung vorgeworfen wird. Wieder andere erfordern den Nachweis eines funktionierenden Compliance-Management-Systems als Obliegenheit. Wer diese Anforderungen nicht kennt, wiegt sich in falscher Sicherheit.
Die Bedrohung durch nordkoreanische IT-Scams verschärft diese Problematik dramatisch. Die Bundesamt-für-Verfassungsschutz-Warnung vom 1. Oktober 2024 hat die Bedrohung offiziell gemacht. Seither kann kein Geschäftsführer mehr behaupten, er habe von der Gefahr nichts gewusst. Versicherer werden argumentieren: Wer nach dieser Warnung weiterhin Remote-Mitarbeiter ohne verschärfte Prüfprozesse einstellt, handelt grob fahrlässig. Grobe Fahrlässigkeit führt bei den meisten D&O-Policen zu Deckungsausschlüssen oder erheblich erhöhten Selbstbehalten. Manager müssen verstehen: Versicherungsschutz ist keine Absolution von Compliance-Pflichten. Er ist ein Sicherheitsnetz für den Fall, dass trotz aller Vorsicht etwas schiefgeht. Ohne diese Vorsicht ist das Netz löchrig.
Diese abschließende Analyse der fünfteiligen Serie untersucht, welche Versicherungsstrategien für Manager tatsächlich Schutz bieten. Sie zeigt, wo systematische Deckungslücken bestehen und wie persönliche Absicherung mit unternehmerischer Risikotragung kombiniert werden kann. Die zentrale Erkenntnis vorweg: Es gibt keine Universallösung. Wirksamer Versicherungsschutz erfordert eine mehrschichtige Strategie aus D&O-Versicherung, Cyber-Versicherung und persönlichen Zusatzpolicen, kombiniert mit präventiven Compliance-Maßnahmen.
D&O-Versicherung: Schutz mit Grenzen
Die Directors-and-Officers-Versicherung ist die klassische Haftpflichtversicherung für Organe von Unternehmen. Sie schützt Geschäftsführer, Vorstände, Aufsichtsräte und leitende Angestellte gegen Haftungsansprüche, die aus ihrer beruflichen Tätigkeit entstehen. Die Police zahlt grundsätzlich zwei Dinge: Die Kosten der Rechtsverteidigung gegen unberechtigte Ansprüche und die Schadensersatzleistungen bei berechtigten Ansprüchen. Dieser Grundschutz erscheint umfassend, die praktische Umsetzung ist jedoch voller Fallstricke.
Der Deckungsumfang einer D&O-Police erfasst typischerweise Vermögensschäden, die durch schuldhafte Pflichtverletzungen bei der Ausübung der Organtätigkeit entstehen. Dies umfasst Verstöße gegen die Sorgfaltspflicht, Organisationsverschulden, Verstöße gegen Kapitalerhaltungsvorschriften und andere typische Managerpflichten. Die Versicherung greift sowohl bei zivilrechtlichen Schadenersatzklagen als auch bei Inanspruchnahme durch Gläubiger in der Insolvenz. Theoretisch deckt sie auch Rechtsverteidigungskosten in Strafverfahren, zumindest solange kein rechtskräftiges Urteil eine vorsätzliche Straftat feststellt.
Die Ausschlüsse sind jedoch erheblich und vielfach existenzbedrohend im Kontext nordkoreanischer IT-Scams. Der erste und wichtigste Ausschluss betrifft vorsätzliche Pflichtverletzungen. Sobald dem Manager nachgewiesen wird, dass er bewusst gegen Gesetze oder Pflichten verstoßen hat, endet der Versicherungsschutz. Dies erscheint zunächst logisch: Versicherungen sollen unvorhersehbare Risiken abdecken, nicht bewusste Rechtsverstöße. Die Problematik liegt in der Beweisfrage. Wann handelt ein Manager vorsätzlich?
Das Oberlandesgericht Frankfurt hat in mehreren Urteilen aus den Jahren 2024 und 2025 die Messlatte niedrig gelegt. Im Kontext von Insolvenzverschleppung entschied das Gericht: Wenn ein Geschäftsführer objektiv hätte erkennen müssen, dass Insolvenzreife besteht, aber keine professionelle Prüfung veranlasst, handelt er wissentlich pflichtwidrig. Wissentlichkeit reicht für den Deckungsausschluss aus, bedingter Vorsatz genügt. Übertragen auf IT-Scams bedeutet dies: Ein Geschäftsführer, der die BfV-Warnung vom 1. Oktober 2024 kennt oder kennen müsste, aber dennoch ohne verschärfte Prüfungen Remote-Mitarbeiter einstellt, könnte als wissentlich pflichtwidrig handelnd eingestuft werden.
Der zweite problematische Ausschluss betrifft Sanktionsverstöße. Viele D&O-Policen enthalten Klauseln, die Ansprüche aus Verstößen gegen internationale Sanktionsregime ausschließen. Die Begründung: Versicherer dürfen rechtlich nicht für Zahlungen aus Sanktionsverstößen aufkommen, da sie sich sonst selbst strafbar machen würden. Diese Sanktionsausschlüsse sind in neueren Policen fast universell und werden zunehmend detailliert formuliert. Sie erfassen nicht nur direkte Sanktionsverstöße, sondern auch Sekundärsanktionen und die Verletzung von Sorgfaltspflichten im Zusammenhang mit sanktionierten Personen oder Ländern.
Die unwissentliche Beschäftigung eines nordkoreanischen IT-Workers fällt direkt unter diese Ausschlüsse. Die EU-Verordnung 2017/1509 verbietet jegliche wirtschaftliche Zusammenarbeit mit nordkoreanischen Staatsangehörigen. Zahlungen an solche Personen verstoßen gegen das Außenwirtschaftsgesetz. Selbst wenn der Manager die wahre Identität nicht kannte, liegt objektiv ein Sanktionsverstoß vor. D&O-Versicherer werden argumentieren: Der Ausschluss greift unabhängig von der subjektiven Kenntnis. Was zählt, ist der objektive Verstoß gegen Sanktionsrecht.
Der dritte Ausschluss betrifft grobe Fahrlässigkeit. Während einfache Fahrlässigkeit von D&O-Policen gedeckt ist, führt grobe Fahrlässigkeit häufig zu Deckungsreduzierungen oder kompletten Ausschlüssen. Grobe Fahrlässigkeit liegt vor, wenn der Manager die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt und auch einfachste, jedem einleuchtende Überlegungen nicht anstellt. Die Schwelle ist niedriger als viele denken. Remote-Einstellungen ohne Video-Interview, ohne Ausweis-Prüfung, ohne Sanktionslisten-Screening werden von Gerichten regelmäßig als grob fahrlässig gewertet. Die BfV-Warnung senkt diese Schwelle weiter: Was vor dem 1. Oktober 2024 vielleicht als einfache Fahrlässigkeit durchging, ist danach grobe Fahrlässigkeit.
Selbst wenn die D&O-Police prinzipiell eingreift, müssen Manager mit Selbstbehalten rechnen. Das Gesetz zur Angemessenheit der Vorstandsvergütung fordert seit 2009 für börsennotierte Aktiengesellschaften einen Mindestselbstbehalt von zehn Prozent des Schadens bis mindestens zum Eineinhalbfachen der festen jährlichen Vergütung. Bei einem Vorstandsgehalt von zweihunderttausend Euro bedeutet dies einen Selbstbehalt von dreihunderttausend Euro. Viele Unternehmen übernehmen diesen Selbstbehalt für ihre Manager, aber nicht alle. In GmbHs gibt es keine gesetzliche Selbstbehaltspflicht, aber viele Versicherer vereinbaren Selbstbehalte von zehn bis zwanzig Prozent. Bei Schadensummen im Millionenbereich sind das existenzbedrohende Beträge.
Die Obliegenheiten nach Eintritt des Versicherungsfalls sind streng. Manager müssen den Schaden unverzüglich melden, typischerweise innerhalb von Tagen oder maximal Wochen. Sie müssen bei der Schadenaufklärung mitwirken und dürfen keine Schuldanerkenntnisse abgeben ohne Zustimmung des Versicherers. Verletzungen dieser Obliegenheiten können zum vollständigen Verlust des Versicherungsschutzes führen. Im Chaos eines aufgedeckten IT-Scams mit gleichzeitigen Behördenanfragen, Kundenreaktionen und internen Untersuchungen übersehen Manager diese Meldefristen leicht. Ein teurer Fehler.
Die Versicherungssummen sind ein weiterer kritischer Punkt. Typische D&O-Policen im Mittelstand haben Deckungssummen zwischen einer und zehn Millionen Euro. Dies erscheint zunächst ausreichend. Die Schadensummen bei IT-Scams können jedoch schnell diese Grenzen überschreiten. Der Chapman-Fall in den USA verursachte Schäden von 17,1 Millionen Dollar bei 309 betroffenen Unternehmen. Pro Unternehmen sind das durchschnittlich über fünfzigtausend Dollar, aber Einzelfälle können dramatisch höher liegen. Hinzu kommen Forensikkosten, Rechtsverteidigungskosten, Bußgelder und Reputationsschäden. Die Versicherungssumme kann schnell erschöpft sein.
Cyber-Versicherung: Der unterschätzte Baustein
Während D&O-Versicherungen primär die persönliche Managerhaftung abdecken, fokussieren Cyber-Versicherungen auf Schäden aus IT-Sicherheitsvorfällen. Diese Unterscheidung verschwimmt zunehmend, da Cyberangriffe regelmäßig auch Managerhaftung auslösen. Die unwissentliche Einstellung eines nordkoreanischen IT-Workers ist sowohl ein Cybersecurity-Vorfall als auch eine Compliance-Verletzung. Wirksamer Schutz erfordert beide Versicherungsbausteine, idealerweise aufeinander abgestimmt.
Cyber-Versicherungen decken typischerweise Eigenschäden und Drittschäden aus IT-Sicherheitsvorfällen. Eigenschäden umfassen die Kosten der Schadensbewältigung: forensische Untersuchungen, Systemwiederherstellung, Krisenmanagement, PR-Beratung, Rechtsberatung. Diese Kosten entstehen unabhängig davon, ob Dritte Schadenersatzansprüche stellen. Bei einem aufgedeckten nordkoreanischen IT-Worker können Forensikkosten allein fünfzig- bis fünfhunderttausend Euro betragen, je nach Komplexität der Analyse. Die Cyber-Versicherung übernimmt diese Kosten, die D&O-Police typischerweise nicht.
Drittschäden sind Schadenersatzansprüche betroffener Kunden, Geschäftspartner oder Personen. Wenn der nordkoreanische IT-Worker personenbezogene Daten gestohlen hat, können betroffene Personen Schadenersatz nach DSGVO geltend machen. Wenn er Geschäftsgeheimnisse entwendet hat, können Kunden für entstandene Wettbewerbsnachteile klagen. Wenn er Malware installiert hat, die sich auf Kundensysteme verbreitet, können diese Kunden Schadenersatz fordern. Die Cyber-Versicherung deckt sowohl die Abwehr unberechtigter als auch die Erfüllung berechtigter Ansprüche.
Ein spezieller Baustein vieler Cyber-Versicherungen ist die Deckung von DSGVO-Bußgeldern. Dies ist rechtlich umstritten. Einige Juristen argumentieren, Bußgelder seien nicht versicherbar, da dies den Strafcharakter unterlaufen würde. Andere sehen Bußgelder als versicherbare Vermögensschäden. Die Versicherungswirtschaft hat sich mehrheitlich auf die Versicherbarkeit festgelegt, allerdings mit Einschränkungen. Bußgelder werden nur gedeckt, wenn sie aus fahrlässigen Verstößen resultieren. Vorsätzliche Verstöße sind ausgeschlossen. Zudem decken viele Policen nur Bußgelder gegen das Unternehmen, nicht gegen natürliche Personen wie Geschäftsführer.
Die Voraussetzungen für Cyber-Versicherungsschutz sind streng und werden zunehmend standardisiert. Versicherer verlangen Mindeststandards der IT-Sicherheit als Obliegenheit. Dazu gehören: Multi-Faktor-Authentifizierung für alle kritischen Systeme, regelmäßige Backups mit Offline-Kopien, Endpoint Detection and Response Software auf allen Geräten, aktuelle Patch-Management-Prozesse, Mitarbeiterschulungen zu IT-Sicherheit. Viele Versicherer führen vor Vertragsabschluss IT-Sicherheitsaudits durch. Unternehmen, die diese Mindeststandards nicht erfüllen, erhalten entweder keine Police oder nur zu deutlich erhöhten Prämien mit reduzierten Deckungen.
Im Kontext nordkoreanischer IT-Scams werden Versicherer zunehmend spezifische Obliegenheiten für Remote-Einstellungen fordern. Dies könnte umfassen: Video-Verifizierung aller Remote-Mitarbeiter, Sanktionslisten-Screenings vor Vertragsabschluss, EDR-Software auf allen Remote-Geräten, VPN-Monitoring. Unternehmen, die diese Anforderungen nicht erfüllen, riskieren im Schadensfall eine Deckungsablehnung wegen Obliegenheitsverletzung. Die Versicherungsbedingungen müssen sorgfältig geprüft und die Anforderungen konsequent umgesetzt werden.
Die Cyber-Versicherung deckt typischerweise keine Sanktionsverstöße. Auch hier greifen ähnliche Ausschlüsse wie bei der D&O-Police. Zahlungen, die gegen Embargobestimmungen verstoßen, sind nicht versichert. Dies bedeutet: Die zwanzigtausend Euro, die ein Unternehmen unwissentlich an einen nordkoreanischen IT-Worker gezahlt hat, werden nicht erstattet. Die Forensikkosten zur Aufklärung des Falls werden hingegen gedeckt. Die Rechtsverteidigungskosten im Strafverfahren gegen den Geschäftsführer wegen AWG-Verstoßes werden nicht gedeckt, da dies in den Bereich der D&O fällt, die aber ihrerseits wegen des Sanktionsausschlusses nicht zahlt. Diese Lücke zwischen den Policen ist gefährlich.
Die Versicherungssummen bei Cyber-Policen liegen typischerweise zwischen einer und zwanzig Millionen Euro, abhängig von Unternehmensgröße und Risikoprofil. Die Prämien sind in den vergangenen Jahren erheblich gestiegen, nicht zuletzt wegen der Zunahme von Ransomware-Angriffen und Cyberkriminalität. Ein mittelständisches IT-Unternehmen mit einhundert Mitarbeitern zahlt für eine Cyber-Police mit fünf Millionen Euro Deckungssumme typischerweise zwischen fünfzehntausend und fünfzigtausend Euro jährlich, abhängig von den implementierten Sicherheitsmaßnahmen. Diese Kosten erscheinen hoch, sind aber marginal im Vergleich zu potenziellen Schadensummen.
Die Kombination aus D&O- und Cyber-Versicherung schafft bereits erheblich besseren Schutz als eine Police allein. Idealerweise werden beide Versicherungen beim gleichen Anbieter abgeschlossen oder zumindest aufeinander abgestimmt. Dies vermeidet Abgrenzungsprobleme im Schadensfall. Manche Versicherer bieten kombinierte D&O-Cyber-Pakete an, die nahtlose Deckung ohne Lücken versprechen. Die Bedingungen solcher Pakete müssen sorgfältig geprüft werden, insbesondere hinsichtlich der Sanktionsausschlüsse.
Persönliche Absicherung für Manager
Die unternehmensbezogenen Versicherungen, D&O und Cyber, schützen primär gegen Ansprüche, die gegen das Unternehmen oder die Organe in ihrer Funktion gerichtet sind. Sie decken nicht alle persönlichen Risiken ab, denen Manager ausgesetzt sind. Hier setzen persönliche Zusatzversicherungen an, die individuell auf den Manager zugeschnitten sind und unabhängig von der Unternehmenszugehörigkeit bestehen bleiben.
Die persönliche D&O-Versicherung, auch Private-D&O oder Side-A-Deckung genannt, greift in Situationen, in denen die unternehmensgetragene D&O-Police nicht zahlt. Dies ist der Fall, wenn das Unternehmen insolvent ist und die Prämien nicht mehr zahlt. Es ist der Fall, wenn die Versicherungssumme der Unternehmens-Police erschöpft ist. Und es ist der Fall, wenn Deckungsausschlüsse greifen, gegen die sich der Manager separat absichern möchte. Die persönliche D&O wird vom Manager privat abgeschlossen und bezahlt, gehört zu seinem Privatvermögen und ist auch bei Jobwechsel übertragbar.
Die Deckung einer persönlichen D&O umfasst typischerweise dieselben Risiken wie die Unternehmens-D&O, aber mit weniger Ausschlüssen. Insbesondere grobe Fahrlässigkeit wird häufig mitversichert. Manche Anbieter decken sogar Verteidigungskosten in Strafverfahren unabhängig vom Ausgang. Die Versicherungssummen liegen typischerweise zwischen einer und fünf Millionen Euro. Die Prämien hängen von der Position, der Branche und der Unternehmensgröße ab. Ein Geschäftsführer eines mittelständischen IT-Unternehmens zahlt für eine persönliche D&O mit zwei Millionen Euro Deckungssumme zwischen fünftausend und fünfzehntausend Euro jährlich.
Der Strafrechtsschutz ist ein weiterer kritischer Baustein. Standard-Rechtsschutzversicherungen decken Strafverfahren wegen vorsätzlicher Straftaten nicht. Dies ist problematisch, da viele Wirtschaftsstrafverfahren mit Vorsatzvorwürfen beginnen, auch wenn sich später herausstellt, dass nur Fahrlässigkeit vorlag. Spezielle Strafrechtsschutzversicherungen für Manager übernehmen die Verteidigungskosten ab dem ersten Ermittlungsschritt, unabhängig vom späteren Verfahrensausgang. Sie decken Anwaltskosten, Gutachterkosten, Gerichtskosten und Kosten für Sachverständige.
Diese Versicherungen sind teuer, aber existenziell wichtig. Die Verteidigung in einem komplexen Wirtschaftsstrafverfahren kostet leicht zweihunderttausend bis eine Million Euro, bei mehrjährigen Verfahren auch mehr. Ohne Versicherungsschutz kann diese finanzielle Belastung Privatvermögen vollständig aufzehren, bevor das Verfahren überhaupt zu Ende ist. Die Prämien für Strafrechtsschutz liegen zwischen dreitausend und zehntausend Euro jährlich, abhängig von Deckungssumme und Risikoprofil. Für Geschäftsführer in risikobehafteten Branchen oder Funktionen ist diese Investition zwingend.
Manche Versicherer bieten Kombinationsprodukte an, die persönliche D&O, Strafrechtsschutz und weitere Bausteine wie Reputationsschutz oder psychologische Krisenbetreuung bündeln. Diese Manager-Schutzpakete haben den Vorteil, dass Abgrenzungsprobleme zwischen verschiedenen Policen vermieden werden. Sie haben den Nachteil höherer Prämien, da die Leistungen umfassender sind. Die Entscheidung hängt vom individuellen Risikoprofil ab. Ein Geschäftsführer eines Start-ups mit Remote-Workforce in einem regulierten Umfeld hat ein deutlich höheres Risikoprofil als ein Geschäftsführer eines Handwerksbetriebs ohne Auslandsgeschäft.
Eine oft übersehene persönliche Absicherung ist die Vermögensschadenhaftpflichtversicherung. Diese deckt Haftpflichtansprüche aus beruflicher Tätigkeit, die nicht über die D&O laufen. Dies kann relevant sein für Aufsichtsratstätigkeiten, Beiratstätigkeiten oder Beratungstätigkeiten außerhalb der Hauptfunktion. Die Deckungssummen sind typischerweise niedriger als bei D&O-Policen, zwischen fünfhunderttausend und zwei Millionen Euro. Die Prämien beginnen bei einigen hundert Euro jährlich.
Kostenrahmen und strategische Überlegungen
Die Gesamtkosten einer mehrschichtigen Versicherungsstrategie erscheinen auf den ersten Blick erheblich. Ein mittelständischer Geschäftsführer, der alle empfohlenen Bausteine abdeckt, zahlt jährlich zwischen zwanzigtausend und achtzigtausend Euro an Versicherungsprämien. Dies setzt sich zusammen aus: Unternehmens-D&O (zehn- bis dreißigtausend Euro, vom Unternehmen getragen), Cyber-Versicherung (fünfzehn- bis fünfzigtausend Euro, vom Unternehmen getragen), persönliche D&O (fünf- bis fünfzehntausend Euro, privat), Strafrechtsschutz (drei- bis zehntausend Euro, privat). Diese Kosten müssen ins Verhältnis gesetzt werden zu den Haftungsrisiken.
Ein einziger Fall eines unwissentlich eingestellten nordkoreanischen IT-Workers kann zu Haftungssummen von mehreren Millionen Euro führen. Die Forensikkosten allein betragen fünfzig- bis fünfhunderttausend Euro. Strafrechtliche Verteidigungskosten liegen bei zweihundert- bis fünfhunderttausend Euro. DSGVO-Bußgelder können zwanzig Millionen Euro oder vier Prozent des Weltumsatzes erreichen. Zivilrechtliche Schadenersatzforderungen von Kunden können in die Millionen gehen. Die persönliche Haftung nach Paragraf 43 GmbH-Gesetz ist unbegrenzt und umfasst das gesamte Privatvermögen inklusive selbstgenutzter Immobilien.
Gegen dieses Szenario sind jährliche Versicherungsprämien von zwanzig- bis achtzigtausend Euro eine vergleichsweise günstige Absicherung. Hinzu kommt: Die unternehmensgetragenen Versicherungen, D&O und Cyber, sind ohnehin Standard in gut geführten Unternehmen. Die zusätzlichen persönlichen Absicherungen kosten den Manager privat etwa acht- bis fünfundzwanzigtausend Euro jährlich. Dies entspricht bei einem Geschäftsführergehalt von zweihunderttausend Euro etwa vier bis zwölf Prozent des Bruttoeinkommens. Eine signifikante, aber verkraftbare Investition in die persönliche Sicherheit.
Die steuerliche Behandlung dieser Kosten ist relevant. Unternehmensgetragene D&O- und Cyber-Versicherungen sind Betriebsausgaben und damit steuerlich voll abzugsfähig. Persönlich getragene Versicherungen sind als Werbungskosten oder Betriebsausgaben absetzbar, sofern sie beruflich veranlasst sind. Die meisten Finanzbehörden erkennen D&O- und Strafrechtsschutz-Versicherungen für Geschäftsführer als beruflich notwendig an. Die Nettokosten nach Steuern sind damit erheblich niedriger als die Bruttopränien.
Die strategische Versicherungsplanung sollte mit einem spezialisierten Versicherungsmakler erfolgen, der auf Manager-Risiken fokussiert ist. Dieser analysiert das individuelle Risikoprofil: Branche, Unternehmensgröße, Geschäftsmodell, internationale Aktivitäten, Remote-Workforce-Anteil, bestehende Compliance-Systeme. Auf Basis dieser Analyse wird ein maßgeschneidertes Versicherungspaket konzipiert. Der Makler koordiniert verschiedene Versicherer und achtet darauf, dass keine Deckungslücken entstehen.
Ein kritischer Punkt ist die regelmäßige Überprüfung und Anpassung des Versicherungsschutzes. Die Bedrohungslandschaft ändert sich. Die BfV-Warnung vom 1. Oktober 2024 zu nordkoreanischen IT-Scams ist ein Beispiel: Eine neue Bedrohung entsteht, bestehende Policen decken sie möglicherweise nicht ausreichend. Manager sollten mindestens jährlich, besser halbjährlich, ihre Versicherungen mit dem Makler durchgehen. Neue Ausschlüsse, veränderte Obliegenheiten und angepasste Versicherungssummen müssen zeitnah berücksichtigt werden.
Die Dokumentation aller Versicherungen und deren Bedingungen ist essentiell. Im Schadensfall muss sofort klar sein, welche Police für welchen Schaden zuständig ist. Ein Versicherungsregister, idealerweise digital und jederzeit zugänglich, listet alle Policen mit Versicherungsnummern, Deckungssummen, Selbstbehalten, Ausschlüssen und Notfallkontakten. Dieses Register sollte auch der Familie des Managers zugänglich sein, falls er selbst nicht handlungsfähig ist.
Versicherung als Teil des Gesamtkonzepts
Versicherungen sind ein unverzichtbarer Baustein des Manager-Schutzes gegen IT-Scam-Risiken. Sie sind jedoch kein Ersatz für Compliance und Prävention. Die optimale Strategie besteht aus drei Ebenen: Erstens, Prävention durch wirksame Compliance-Management-Systeme, die Vorfälle verhindern. Zweitens, Detektion durch technische und organisatorische Kontrollen, die Vorfälle frühzeitig erkennen. Drittens, Absicherung durch mehrschichtige Versicherungsstrategien, die finanzielle Folgen abfedern.
Manager, die nur auf Versicherungen setzen ohne Compliance, werden im Ernstfall erleben, dass die Policen nicht zahlen. Obliegenheitsverletzungen, grobe Fahrlässigkeit und Sanktionsausschlüsse führen zu Deckungsablehnungen. Manager, die nur auf Compliance setzen ohne Versicherungen, setzen ihr Privatvermögen aufs Spiel. Selbst bei bester Compliance kann ein sophistizierter Angriff durchkommen. Die Forensikkosten, Verteidigungskosten und Bußgelder treffen dann das private Vermögen ungefiltert.
Die Kombination beider Ansätze ist zwingend. Ein funktionierendes Compliance-Management-System erfüllt nicht nur die rechtlichen Pflichten aus dem OLG-Nürnberg-Urteil. Es reduziert auch die Versicherungsprämien, da Versicherer das niedrigere Risiko mit besseren Konditionen honorieren. Es stärkt die Position im Schadensfall, da dokumentierte Compliance-Maßnahmen den Vorwurf grober Fahrlässigkeit entkräften. Es erhöht die Wahrscheinlichkeit, dass Versicherungen tatsächlich zahlen, da Obliegenheiten erfüllt sind.
Die Investition in Compliance und Versicherung erscheint kostspielig. Ein mittelständisches Unternehmen mit einhundert Mitarbeitern gibt für ein vollständiges Compliance-Management-System inklusive Software, Schulungen und externer Beratung jährlich zwischen fünfzigtausend und hundertzwanzigtausend Euro aus. Die Versicherungsprämien addieren weitere dreißig- bis achtzigtausend Euro. Gesamtkosten: achtzig- bis zweihunderttausend Euro jährlich. Dies entspricht bei einem Umsatz von zehn Millionen Euro etwa einem Prozent. Ein verhältnismäßiger Aufwand für existenziellen Schutz.
Die Alternative – kein Compliance-System, kein ausreichender Versicherungsschutz – ist keine echte Alternative. Sie ist ein bewusst eingegangenes Risiko mit potenziell existenzvernichtenden Folgen. Nach der BfV-Warnung vom 1. Oktober 2024 wird jeder Geschäftsführer, der dieses Risiko eingeht, im Schadensfall persönlich haften. Die Beweislastumkehr zwingt ihn nachzuweisen, dass er alles Erforderliche getan hat. Ohne Compliance-Dokumentation und ohne Versicherungsschutz ist dieser Nachweis unmöglich. Das Urteil steht fest: persönliche, unbegrenzte Haftung mit dem gesamten Privatvermögen.
Sie benötigen weiteren rechtlichen Rat?
Nutzen Sie unsere Online-Anfrage für einen schnellen Check.
Die Schilderung Ihres Problems und eine kurze Ersteinschätzung sind kostenlos, wenn Sie gekündigt wurden oder einen Aufhebungsvertrag erhalten haben.
Für alle anderen Anliegen können Sie gerne eine kostenpflichtige Erstberatung in Anspruch nehmen.
Jetzt beraten lassen
Kanzleibewertung
