Haftungsfalle StaRUG: Makler in der Beratungspflicht
procontra:
Sie warnen davor, dass eine Geschäftsleitung, die sich nicht mit der Cyberdeckung beschäftigt, leicht in eine Haftungsfalle läuft. Warum?
Hans-Peter Schwintowski:
Dazu muss ich kurz ausholen: Alle Unternehmen, unabhängig von ihrer Größe, sind seit dem 1. Januar 2021 verpflichtet, fortlaufend über mögliche Existenzrisiken zu wachen.
procontra:
So steht es im Gesetz, dem „Stabilisierungs- und Restrukturierungsrahmen für Unternehmen“, kurz StaRUG.
Schwintowski:
Die EU verfolgt damit die Idee, potenzielle Insolvenzen so früh wie möglich zu erkennen, um sie abzuwenden und Unternehmenswerte zu erhalten. Es geht also darum, dass Unternehmen neben dem Forderungsausfallrisiko, dem Marktpreis- und Liquiditätsrisiko auch die operationellen Risiken auf dem Schirm haben müssen. Damit sind Risiken gemeint, die durch eine präventive Strategie gut in den Griff zu bekommen sind. Und darunter fallen auch Versicherungsrisiken wie zum Beispiel Cyberversicherungen.
Schwintowski:
Die Geschäftsleitung muss „laufend“ überprüfen, welche Cyberrisiken es gibt und welche für ihr Unternehmen realistisch sind. Sie müssen ein Frühwarnsystem und damit ein individuelles Konzept vorweisen. Das können sie gemeinsam mit Beratern, Wirtschaftsprüfern oder Versicherungsvermittlern beziehungsweise Maklern erstellen, denn noch gibt es keine einfach zu handhabenden, digitalen Frühwarnsysteme am Markt. Unternehmer, die nichts tun, haften auf Schadenersatz. Das hat das Oberlandesgericht Nürnberg 2022 in einem Urteil bestätigt.
Schwintowski:
Unternehmen müssen mit dem Konzept folgende Fragen beantworten: Sind die Prozesse sinnvoll digitalisiert? Ist die IT richtig aufgestellt und vernetzt? Was passiert, wenn das Unternehmen Opfer eines Hackerangriffs wird? Wie sieht die Prävention aus? Damit Unternehmen im Falle eines Hackerangriffs finanziell abgesichert sind und ihre Versicherung auch greift, müssen ein Konzept und genügend Liquidität vorhanden sein. Die Geschäftsleitung muss das Konzept qua Gesetz „laufend“, alle vier bis fünf Monate, überprüfen. Die Alternative zu einem solchen Konzept ist eine Cyberversicherung, die ein Konzept zur Schadenprävention bereits beinhaltet.
Schwintowski:
Dann haftet im Falle einer Insolvenz die Geschäftsleitung wegen grober Fahrlässigkeit, weil sie das digitale Risiko einschließlich der Vorbeugung und Finanzierung nicht beachtet hat. Ganz gleich, welche Rechtsform ein Unternehmen hat: Geschäftsführer riskieren im Falle einer Insolvenz von den Insolvenzverwaltern persönlich mit ihrem Privatvermögen in Anspruch genommen zu werden. Wer sich keine Gedanken macht, lebt gefährlich. Wenn der Abschluss eines Cyberschutzes nicht möglich ist, weil er zu teuer wäre, hat die Geschäftsleitung zumindest etwas unternommen und haftet nicht. Es ist also nicht so, dass Unternehmen eine Cyberversicherung haben müssen. Sie müssen aber dokumentieren, dass sie sich mit dem Thema beschäftigt haben. Das Problem ist, dass viele Unternehmer noch nie etwas vom StaRUG gehört haben. Richtig ist aber auch: Für eine Konzepterstellung muss man Geld in die Hand nehmen.
procontra:
Übernehmen D&O-Versicherer die Schadensumme, die Geschäftsführer im Insolvenzfall dann zahlen müssten?
Schwintowski:
Eigentlich könnte eine D&O die Geschäftsleitung schützen, aber viele Anbieter nehmen bereits in erheblichem Umfang Risikoausschlüsse vor. Die Versicherer denken darüber nach, eine Risikoprüfstrategie zur Obliegenheit im Rahmen der D&O-Versicherung zu machen. Das ist eine Entwicklung, die gerade erst beginnt.
Schwintowski:
Makler müssen ihre Gewerbekunden fragen: Gibt es ein Frühwarnsystem? Oder ist ein Versicherungsschutz sinnvoll? Wenn der Makler das Thema in der Beratung ausspart und sein Gewerbekunde aufgrund eines Cyberangriffs insolvent wird, kommt der Makler in die Haftung. Es handelt sich schließlich um eine wissentliche Pflichtverletzung.
procontra:
Das heißt aber auch, dass Makler durch die Gesetzeslage neue Kunden gewinnen können? Das Thema ist doch ein starker Beratungsaufhänger?
Schwintowski:
Durch die gravierende Rechtsänderung, die mit dem StaRUG eingetreten ist, sind Makler dazu verpflichtet, ihre Kunden darüber aufzuklären. Sie müssen herausfinden, ob die bestehenden Deckungskonzepte noch angemessen sind, um das Haftungsrisiko, das auf den Geschäftsleitungen lastet, von ihren Schultern zu nehmen. Gleichzeitig entlasten sie sich damit selbst von einer drohenden Haftung und haben einen Beratungsaufhänger. Das StaRUG ist also weniger eine Haftungsfalle als eine Chance für Vermittler.