Deckungsmatrix Standardpolice
| Schadenkategorie | Typischer Deckungsstatus | Hinweis |
|---|---|---|
| Forensik und Wiederherstellung | Kerndeckung | Versicherer-Dienstleister häufig vorgeschrieben. |
| Betriebsunterbrechung | gedeckt mit Karenz/Haftzeit | Karenz 12–48 h, Haftzeit 30–90 Tage typisch. |
| Lösegeld | Sublimit 10–25 % | Sanktionsklauseln, Genehmigungspflicht. |
| DSGVO-Bußgeld | i. d. R. nicht versicherbar | Aber: Abwehrkosten meist gedeckt. |
| Drittersatz Betroffene | gedeckt | Cyberhaftpflicht-Modul. |
| Krisen-PR / Benachrichtigung | gedeckt | Häufig Sublimit, oft Service über Versicherer. |
| Lieferantenausfall (DBI) | nur mit Erweiterung | Bei Cloud-Outage entscheidend. |
| Phishing / CEO-Fraud | Zusatzmodul | Reine Vermögensschäden oft separat. |
| Kriegsausschluss | aktiv | Siehe Beitrag zu War-Exclusion. |
Eigenschaden, Drittschaden, Service
Eigenschaden umfasst alle Aufwendungen, die das versicherte Unternehmen selbst tragen muss: Forensik, Wiederherstellung von Daten und Systemen, Ertragsausfall in der Betriebsunterbrechung, Mehrkosten, Wiederbeschaffung. Drittschaden meint die Haftpflicht gegenüber Betroffenen und Vertragspartnern. Der Servicebaustein liefert die Krisenarchitektur: Hotline, Incident-Response-Team, Rechtsberatung, Krisenkommunikation — oft der praktisch wichtigste Teil der Police.
Sublimits als versteckte Deckungsbegrenzung
Die nominelle Versicherungssumme sagt wenig über die tatsächliche Leistung. Sublimits für Lösegeld, Krisen-PR, Krisenmanagement, Bußgeld-Abwehrkosten und Betroffenenbenachrichtigung können die echte Leistung erheblich reduzieren. Vor Abschluss sollte eine Übersicht aller Sublimits vorliegen und im Schadenfall vorab kalkuliert werden.
Verzahnung mit Obliegenheiten und Streitfall
Der Deckungsumfang ist nur die halbe Wahrheit. Im Schadenfall werden die vereinbarten Obliegenheiten geprüft (siehe Obliegenheiten), und im Streitfall (siehe Streitfall) entscheiden Bedingungsformulierung, Beweislast und ggf. Sachverständigenverfahren.
Häufige Fragen
- Sind Lösegeldzahlungen gedeckt?
- Grundsätzlich ja, in vielen Tarifen aber mit niedrigem Sublimit (typisch 10–25 Prozent der Versicherungssumme). Zudem greifen Sanktionsklauseln, wenn der Empfänger auf einer Sanktionsliste steht.
- Ist Betriebsunterbrechung gedeckt?
- Ja, jedoch häufig mit Karenzzeit (12–48 Stunden) und Haftzeitbegrenzung (oft 30–90 Tage). Die Berechnung des Ertragsausfalls richtet sich nach den vereinbarten Bedingungen — Detailprüfung erforderlich.
- Werden DSGVO-Bußgelder erstattet?
- Versicherungsrechtlich in Deutschland regelmäßig nicht versicherbar. Manche Policen leisten dennoch auf die Abwehr- und Verfahrenskosten und auf Folgeschäden (Drittersatz an Betroffene).
- Was ist mit Reputationsschäden?
- Echte Reputationsschäden werden in der Regel nicht ersetzt. Gedeckt sind oft Kosten für Krisen-PR und Krisenkommunikation als Schadenminderungsmaßnahme.
- Sind Phishing-Schäden gedeckt?
- Reine Vermögensschäden aus Phishing (z. B. Überweisungsbetrug) sind häufig ausgeschlossen oder nur mit gesondertem Modul (Computer-/Telefonbetrug) gedeckt. Detail in den Bedingungen entscheidend.
- Was leistet die Police bei Lieferantenausfall?
- Bei vereinbarter Dependent-Business-Interruption-Klausel ja. Ohne diese Erweiterung greift die Police nur bei eigenen Systemen, nicht bei Ausfall des Cloud-Anbieters.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
