Wer zahlt bei Datenverlusten?

In vielen Branchen – so auch im Handel – sind Daten eine wertvolle Ressource. Das gilt für Stamm-
daten, Kundendaten, Zahlungsdaten, Daten aus dem Data Warehouse bis hin zu Daten als Handels-
ware, beispielsweise Musik, Filme, Bilder, Hörbücher oder Software zum Download. Datenverluste können erhebliche finanzielle Konsequenzen nach sich ziehen – angefangen von den Wiederher-
stellungskosten über Umsatzausfälle, Krisenkommunikation und Schadensersatz bis hin zum kompletten Stillstand des Betriebs.  

Mit der zunehmenden Mobilisierung und Virtualisierung der IT-Welt steigt das Verlustrisiko weiter – sowohl durch kriminelle Hacker-Angriffe von außen als auch durch fahrlässiges oder böswilliges Verhalten von innen. Viele Gigabyte an Daten können heute auf einem Smartphone oder einem USB-Stick buchstäblich zur Tür hinaus spazieren und dabei in falsche Hände geraten. Die eigenen Mitarbeiter und ihre mobilen Datenträger gelten denn auch in vielen Unternehmen als schwächstes Glied der IT-Sicherheitskette (siehe Grafik).  

Technische und organisatorische IT-Sicherheitsmaßnahmen wie Virenschutz, Zutrittskontrollen und regelmäßige Mitarbeiterschulungen sind heute unerlässlich. Immer mehr Unternehmen legen zudem in IT-Notfallplänen fest, welche Maßnahmen bei einem Datenverlust ergriffen werden müssen, um den Schaden zu begrenzen. Des Weiteren sollten Unternehmen aber auch prüfen, ob und wie sie sich gegen die finanziellen Risiken von Datenpannen versichern können. Hier ist seit einigen Monaten Bewegung im Markt; erste Gesellschaften bieten inzwischen erweiterte Deckungskonzepte an.  

Die erste Stufe der Absicherung stellt eine klassische Elektronikversicherung dar. Diese Police versichert sämtliche elektronischen Geräte, also auch IT-Hardware und Telefonanlagen. Auch mobile Endgeräte wie Laptops oder Firmenhandys und geleaste Geräte sind versicherbar. „Wer in gemieteten Geschäftsräumen sitzt, muss außerdem die benötigte Verkabelung selbst absichern. Das wird in der Praxis oft vergessen“, weiß Peter Janson, Leiter des Competence Centers IT beim Versicherungsmakler Oskar Schunck in München.

Elektronikversicherung

Üblicherweise wird die Elektronikversicherung als Allgefahrenversicherung angeboten: Versichert sind dann sämtliche Risiken, die nicht explizit im Versicherungsvertrag ausgeschlossen werden. Die meisten Gesellschaften kommen zum Beispiel nicht für Kriegsschäden, Erdbeben oder Atomunfälle auf. Auch Verschleiß und Vorsatz sind in der Regel ausgeschlossen.

Empfehlenswert ist der Abschluss einer Elektronikversicherung pauschal für alle Standorte. Dann spielt es versicherungstechnisch nämlich keine Rolle, ob zum Beispiel der Serverraum in ein anderes Gebäude verlegt wurde, die Firma samt Telefonanlage umzieht oder Mitarbeiter ihre Laptops auch zu Hause nutzen. Werden statt einer Pauschallösung die versicherten Orte einzeln im Vertrag aufgeführt, muss der Versicherungsnehmer Veränderungen (z.B. Umzug) sofort melden. Achtung: Pauschale Deckung ist stets nur für Standorte im Inland möglich, für Auslandsfilialen gelten oft ganz andere Risiken. Stark expandierende Unternehmen müssen zudem die Versicherungssumme entsprechend aufstocken, wenn immer mehr IT angeschafft wird.  

Ohne gesonderte Vereinbarung erstreckt sich die reine Elektronikversicherung bis auf das jeweilige Betriebssystem, nicht aber auf Anwendungsprogramme oder Daten. Um die wertvollen Bits und Bytes mit abzusichern, ist die Ergänzung der Police um eine Datenversicherung erforderlich. Allerdings bleibt auch mit diesem Zusatz der Schutz begrenzt: Versichert sind nämlich bei der einfachen Datenversicherung nur solche Datenverluste, die in unmittelbarem Zusammenhang mit einem Sachschaden an der versicherten Hardware auftreten. Wenn also beispielsweise ein Blitzschlag oder ein Wasserrohrbruch die Festplatte zerstören oder Einbrecher die Rechner mitgehen lassen, sind die Daten versichert. Für Datenverluste durch Viren, Hacker oder schusselige Mitarbeiter kommt die einfache Datenversicherung dagegen nicht auf.

Auch ein Datencrash wegen einer altersschwachen Festplatte oder wegen eines Stromausfalls ist nicht versichert. Zumindest ein Teil dieser Risiken lässt sich zwar über eine sogenannte erweiterte Datenversicherung abfangen. Allerdings bieten nur sehr wenige Gesellschaften Schutz gegen Würmer und Viren an wie beispielsweise die VHV Versicherung oder von einzelnen Versicherungsmaklern ausgehandelte Deckungskonzepte. „Überprüfen Sie bei der erweiterten Datenversicherung stets im Detail die Versicherungsbedingungen“, rät Versicherungsexperte Peter Janson.  

Wichtig zu wissen: Sowohl Elektronik- als auch Datenversicherung kommen ausschließlich für Sachschäden auf. Die Policen decken die Wiederherstellungskosten für beschädigte oder verlorene Daten ab, beispielsweise für zusätzliches Personal oder für Überstunden und Wochenendzuschläge. Nicht selten sind Datenverluste aber auch mit erheblichen Vermögensschäden verbunden. Dieses Risiko war bis vor Kurzem nicht versicherbar, die ersten Policen kommen gerade erst auf den Markt. In Zusammenarbeit mit dem internationalen Spezialversicherer Hiscox bietet beispielsweise Oskar Schunck ein entsprechendes Produkt an. Versicherbar sind zum Beispiel Schadensersatzforderungen, wenn beispielsweise Kundendaten durch ein Sicherheitsleck in die falschen Hände geraten.  

Auch eigene finanzielle Schäden können bis zu einem bestimmten Limit versichert werden, darunter zum Beispiel die Kosten für forensische Untersuchungen, für zusätzliche Krisenkommunikation und erforderliche Informationsmaßnahmen nach einer Datenpanne. Auf Wunsch kann sogar Versicherungsschutz für Hacker-Schäden oder gar für erpresserische Forderungen abgeschlossen werden, beispielsweise falls Cyber-Gangster drohen, die Website lahm zu legen oder gestohlene Daten zu veröffentlichen. Allerdings stellen solche Policen kein Rundum-Sorglos-Paket dar: Wer Vermögensschäden versichern will, muss dem Versicherer zuvor Einblick in sein IT-Sicherheitskonzept gewähren und umfangreiche vertragliche Sorgfaltspflichten einhalten. 

Foto: kebox/Fotolia