Warum Monitoring durch den Versicherer rechtlich zum Problem werden kann
Der Cyber-Versicherungsmarkt entwickelt sich rasant weiter. Immer häufiger werden klassische Versicherungspolicen mit präventiven Security-Services kombiniert: Risikoscans, Angriffssimulationen, Phishing-Trainings, 24/7-Monitoring (MDR/EDR) oder sogar Incident-Response-Teams.
Was operativ sinnvoll erscheint, birgt jedoch erhebliche rechtliche Risiken – insbesondere im Schadenfall. Denn sobald Versicherer oder ihnen zurechenbare Akteure Zugriff auf Sicherheits- und Monitoringdaten haben, verschiebt sich die zentrale Frage von „Was ist passiert?“ zu „Wer wusste wann was?“.
Dieser Beitrag beleuchtet die zentralen Konfliktlinien – mit Fokus auf Deutschland und Österreich – und zeigt, warum gut gemeinte Präventionsmodelle zum Bumerang werden können.
Was moderne Cyber-Modelle versprechen – und warum das rechtlich relevant ist
Im Markt werden zunehmend Modelle angeboten, die den eigentlichen Versicherungsschutz mit präventiven Sicherheitsleistungen kombinieren. Typisch ist ein „Rundum“-Ansatz, bei dem neben der Police auch eine Sicherheitsplattform bereitgestellt wird, die den Sicherheitsstatus des Unternehmens sichtbar macht, potenzielle Gefährdungen identifiziert, Schwachstellen priorisiert und konkrete Maßnahmenempfehlungen ausgibt.
Häufig gehören dazu externe Analysen der internetseitigen Angriffsfläche, interne Prüfungen von Konfigurationen (etwa in Verzeichnisdiensten und Cloud-Umgebungen) sowie fortlaufende Servicebausteine wie 24/7-Monitoring, Managed Detection and Response (MDR/EDR) und Incident-Response-Unterstützung im Krisenfall. Nicht selten werden einzelne dieser Leistungen zudem als eigenständiges Produkt angeboten, also unabhängig davon, ob überhaupt ein Versicherungsvertrag besteht.
Genau diese Nähe zwischen Versicherung und operativer IT-Dienstleistung ist rechtlich relevant. Denn sobald der Versicherer selbst oder ein ihm zuzurechnender Akteur dauerhaft in die Sicherheitsüberwachung eingebunden ist oder Zugriff auf Monitoring-, Scan- und Schwachstellendaten erhält, verschiebt sich die Beweis- und Wissenslage erheblich. Was als Prävention gedacht ist, kann im Schadenfall zu einer Zurechnungsfrage werden: Wer hat wann welche Erkenntnisse über den Zustand der IT gehabt, wer hätte reagieren müssen, und welche Rechtsfolgen knüpfen an diese Kenntnis an? Damit wird das Modell nicht nur zu einer technischen, sondern vor allem zu einer aufsichts- und leistungsrechtlichen Konstruktion – und genau an dieser Schnittstelle entstehen die größten Risiken für alle Beteiligten.
Aufsichtsrechtlicher Ausgangspunkt: Versicherer dürfen keine versicherungsfremden Geschäfte betreiben
Aus aufsichtsrechtlicher Sicht ist das Grundprinzip in Deutschland und Österreich vergleichbar: Versicherer sollen im Kern Versicherungsgeschäft betreiben und nicht daneben beliebige, vom Versicherungsgeschäft losgelöste Dienstleistungen am Markt anbieten.
In Deutschland ist der Leitplanken-Paragraf § 15 VAG (Versicherungsfremde Geschäfte). Danach dürfen Erstversicherungsunternehmen neben Versicherungsgeschäften nur solche Geschäfte betreiben, die mit Versicherungsgeschäften in unmittelbarem Zusammenhang stehen. Die BaFin beschreibt die Versicherungsaufsicht in diesem Verständnis ebenfalls klar: Versicherungsgeschäft plus unmittelbar zusammenhängende Geschäfte, aber keine versicherungsfremden Geschäfte.
In Österreich findet sich sinngemäß dasselbe Prinzip im § 6 VAG 2016: Versicherungs- oder Rückversicherungsunternehmen dürfen außer der Vertragsversicherung nur solche Geschäfte betreiben, die mit dieser in unmittelbarem Zusammenhang stehen. Damit wird auch hier deutlich, dass dauerhafte IT-Betriebsdienstleistungen wie MDR/EDR-Monitoring oder kontinuierliches Schwachstellenmanagement schnell „zu weit weg“ vom klassischen Versicherungsgeschäft sein können, insbesondere wenn sie als eigenständiges Produkt verkauft werden.
Wichtig ist dabei: Assistance- oder Krisenunterstützung im Versicherungsfall lässt sich eher als „unmittelbar zusammenhängend“ argumentieren. Ein dauerhaftes, produktisiertes Managed-Security-Angebot, das unabhängig vom Versicherungsvertrag angeboten wird, ist hingegen deutlich schwerer unter dieser Logik unterzubringen.
Der Schadenfall-Sprengsatz: Wissenszurechnung aus Monitoring-Daten
Selbst wenn man die aufsichtsrechtliche Diskussion beiseitelässt oder die Security-Komponente formal über Dritte organisiert, bleibt im Schadenfall ein viel größeres Risiko: Wissen über Schwachstellen, Fehlkonfigurationen oder konkrete Security-Events kann dem Versicherer zugerechnet werden. Ab diesem Moment wird das, was als „Mehrwert“ verkauft wurde, schnell zum Streitpunkt, weil Kenntnis rechtlich Konsequenzen auslöst.
In diesem Zusammenhang sei auf die Bestimmungen des § 19 VVG und § 6 VersVG verwiesen – diese regeln die vorvertraglichen Anzeigepflichten und möglichen Rechtsfolgen bei Nichteinhaltung dieser. Praktisch bedeutet das: Wenn ein Monitoring-/Scan-System oder ein beauftragter Security-Dienstleister vor oder beim Underwriting erkennt, dass etwa MFA fehlt, kritische CVEs ungepatcht sind oder exponierte Dienste offen stehen, kann das die klassische Argumentation „vorvertraglich nicht angezeigt“ erheblich schwächen, wenn diese Erkenntnisse dem Versicherer zugerechnet werden.
Nach Vertragsschluss stellt sich das Thema als Gefahrerhöhung und Obliegenheitsfrage weiter. Bei Gefahrerhöhungen spielen Anzeige, Kenntnis und Fristen eine große Rolle. So sehen § 24 VVG und § 24 VersVG vor, dass ein Kündigungsrecht wegen Gefahrerhöhung erlischt, wenn es nicht binnen eines Monats ab Kenntnis des Versicherers ausgeübt wird. Und im Kontext der Leistungsfreiheit wegen Gefahrerhöhung ist die Kenntnis des Versicherers ebenfalls ein Schlüsselfaktor dafür, ob und inwieweit Einwände durchgreifen. Genau hier wird es in Cyber-Konstellationen praktisch: Ein MDR/SOC sieht oft sehr früh, wenn die Sicherheitslage kippt, Maßnahmen nicht umgesetzt werden oder Konfigurationen riskant sind. Wenn diese Informationen „im Lager des Versicherers“ landen, sind spätere Einwände häufig zumindest angreifbar.
Warum „Wissen des Dienstleisters“ zu „Wissen des Versicherers“ werden kann
Ob und wann Wissen zugerechnet wird, hängt immer von der konkreten Rollenverteilung, Vollmachten, Organisationsstruktur und dem Datenfluss ab. Juristisch gibt es jedoch klare Anknüpfungspunkte, die in Streitfällen regelmäßig herangezogen werden.
Das kann in Versicherungsmodellen relevant werden, wenn ein Assekuradeur, Underwriting-Agent oder ein in Prozesse eingebetteter Dienstleister in einer Weise agiert, die Wissenszurechnung plausibel macht. Dies kann bei einem kontinuierlichem Cyber-Monitoring und Schwachstellenmanagement durch eine Assekuradeur/MAG/Underwriter besonders relevant werden kann.
Wenn der Assekuradeur zugleich vermittelt und IT-Dienstleistung erbringt
In der Praxis werden Cyber-Deckungen häufig über Assekuradeure (MGA/Underwriting Agents) strukturiert, die Zeichnungsvollmachten haben und Policen im Namen des Risikoträgers zeichnen. Genau diese Konstruktionen sind operativ effizient, erzeugen aber zusätzliche Zurechnungs- und Haftungsrisiken, wenn in derselben Struktur auch Security-Dienstleistungen erbracht werden. Ein Underwriting Agent ist typischerweise zeichnungsbevollmächtigt und zeichnet Policen im eigenen Namen, aber für Rechnung eines oder mehrerer Versicherer.
Wenn ein solcher Vermittler zugleich Monitoring, Scans oder Schwachstellenpriorisierung durchführt oder durchführen lässt, entsteht schnell eine „Personalunion“ in der Wissenssphäre. Dann kann der Risikoträger im Streitfall damit konfrontiert werden, dass relevante Informationen bereits im Zeichnungsumfeld vorhanden waren. Das trifft besonders dann, wenn die Sicherheitslage über längere Zeit dokumentiert ist – also Wochen, Monate oder sogar Jahre vor Eintritt eines Versicherungsfalls.
Gleichzeitig kann sich daraus eine zweite Haftungsebene ergeben: Lehnt der Versicherer einen Schaden berechtigt ab, kann der Versicherungsnehmer argumentieren, der Assekuradeur habe als Vermittler und „Security-naher“ Akteur den Kunden nicht ausreichend aufgeklärt, nicht rechtzeitig reagiert oder nicht korrekt eskaliert. Ein nicht gedeckter Cyber-Schaden kann so in einen Vermögensschaden umetikettiert werden, der die Berufshaftpflicht des Assekuradeurs betrifft. Der Konflikt verschärft sich zusätzlich, weil auf EU-Ebene Art 17 RL (EU) 2016/97 (IDD) Versicherungsvertriebsakteure verpflichtet, stets ehrlich, redlich und professionell im bestmöglichen Interesse des Kunden zu handeln. Wer Sicherheitsprobleme faktisch erkennt und sie nicht adressiert oder nicht sauber dokumentiert/kommuniziert, liefert in solchen Konstellationen eine Steilvorlage für Beraterhaftung.
Verheerende Folgen: Warum solche Konstrukte Versicherer im Schadenfall schwächen können
Das Risiko liegt nicht nur in abstrakter Rechtsdogmatik, sondern in einer sehr konkreten Prozessrealität: Sobald dokumentierbare Schwachstellen- und Monitoringdaten existieren, wird in einem Streit über Deckung, Obliegenheiten oder Kündigungsrechte regelmäßig gefragt, wer wann was wusste oder hätte wissen müssen. Dann kann sich der Versicherer in der Lage wiederfinden, dass Einwände zur Gefahrerhöhung oder zur vorvertraglichen Anzeigepflicht nicht mehr sauber durchgreifen, weil die Gegenseite plausibel machen kann, dass das Risiko im System des Versicherers bereits sichtbar war.
Daneben bleibt ein aufsichtsrechtlicher Schatten: Wenn Managed-Security-Leistungen nicht bloß als Hilfsleistung im Versicherungsfall, sondern als dauerhafte IT-Dienstleistung am Markt betrieben werden, stellt sich die Frage, ob das noch ein unmittelbar mit dem Versicherungsgeschäft zusammenhängendes Geschäft ist oder bereits ein versicherungsfremdes Geschäft.
Handlungsempfehlungen für Versicherungsvermittler
Versicherungsvermittler sollten bei Cyber-Deckungen besonders genau überlegen, mit welchem Akteur sie Cyberversicherungen für ihre Kunden platzieren und wie eng Versicherung, Assekuradeur/MGA und etwaige Security-Services organisatorisch „ineinandergreifen“. Der Grund ist weniger die Technik als die Haftungs- und Wissensdimension: Je näher der Vermittler an operativen Security-Daten ist, desto schneller kann aus „Begleitung“ eine faktische Mitverantwortung werden – und genau dort entstehen im Schadenfall die unangenehmsten Reibungen. Zusätzlich ist zu berücksichtigen, dass Versicherungsvertriebstätigkeit unter dem Wohlverhaltensmaßstab erfolgt, stets ehrlich, redlich und professionell im bestmöglichen Interesse des Kunden zu handeln.
Gerade deshalb ist bei Cybermonitoring besondere Vorsicht geboten. Hat der Vermittler Zugriff auf Dashboards, Alerts, Schwachstellenreports oder interne/externe Scan-Ergebnisse, kann das im Nachhinein zum Bumerang werden. Denn dann wird man dem Vermittler im Streitfall sehr schnell entgegenhalten: Er wusste (oder hätte jederzeit wissen können), dass konkrete Schwachstellen oder gefahrerhöhende Umstände vorliegen, und hat dennoch nicht reagiert – etwa indem er den Kunden nachweislich zur Abstellung gedrängt, eine saubere Dokumentation geschaffen oder relevante Änderungen/Erkenntnisse rechtzeitig an den Versicherer weitergegeben hat (soweit das im konkreten Rollenbild, in der Vollmacht- und Kommunikationskette und nach den getroffenen Vereinbarungen geschuldet ist).
Ein typisches Beispiel: Der Vermittler platziert eine Cyberpolice, bekommt „zur Betreuung“ Zugriff auf das Monitoring-Portal, sieht dort über Wochen kritische Findings (zB fehlende MFA, exponierte Dienste, ungepatchte Systeme) und unternimmt nichts. Kommt es später zu einem Angriff und der Versicherer lehnt (aus seiner Sicht berechtigt) ab – etwa wegen nicht erfüllter Sicherheitsanforderungen oder weil risikorelevante Umstände nicht bzw nicht rechtzeitig angezeigt wurden –, kann der beim Kunden entstandene und nicht versicherte Schaden plötzlich zu einem Haftpflichtschaden gegen des Vermittlers werden: „Du hast es gesehen, du hast es nicht gemeldet/aufgeklärt, und genau deshalb stehe ich jetzt ohne Deckung da.“.
Damit landet das Thema sehr schnell in der eigenen Berufshaftpflicht-Versicherung des Versicherungsvermittler. Genau hier kommt aber die nächste Stolperfalle: Selbst wenn der Kunde erfolgreich gegen den Versicherungsvermittler vorgeht, ist keineswegs garantiert, dass die eigene Berufshaftpflichtversicherung konfliktfrei leistet. In vielen Berufshaftpflicht-Konstellationen sind Deckungsstreitigkeiten rund um wissentliche Pflichtverletzung ein klassisches Deckungsproblem; je nach Bedingungswerk kann das bis zur Leistungsfreiheit führen.
Vermittler sollten entweder bewusst keinen Zugriff auf Monitoring-/Schwachstellendaten übernehmen, So reduziert man das Risiko, dass ein abgelehnter Cyber-Schaden in einen Haftpflichtfall „umetikettiert“ wird – und man am Ende nicht nur Deckung in der Cyberversicherung verliert, sondern zusätzlich auch noch über die Deckung in der eigenen Berufshaftpflicht-Versicherung streiten muss.
Handlungsempfehlungen für Versicherer und Risikoträger
Für Versicherer ist die zentrale Empfehlung, Wissens- und Datenflüsse aktiv zu gestalten, statt sie „nebenbei“ entstehen zu lassen. Wenn Zeichnungsvollmachten an Assekuradeure erteilt werden, sollte man diese Struktur so behandeln, als könnte Wissen aus deren Organisation dem Versicherer zugerechnet werden – zumindest als realistisches Streitrisiko. Das spricht für klare Governance, dokumentierte Schnittstellen, technische und organisatorische „Firewalls“ (Need-to-know), und eine saubere Einordnung, welche Leistungen noch als unmittelbar versicherungsnah gelten und welche besser außerhalb des Versicherers, in getrennten Einheiten oder über klar abgegrenzte Assistance-Modelle organisiert werden müssen. Die Anknüpfungspunkte für Wissenszurechnung sind in Streitfällen erfahrungsgemäß genau die Stellen, an denen Gerichte und Gutachter ansetzen.
Fazit: Mehr Daten bedeuten mehr Verantwortung
Modelle mit Rund-Um-Security-Lösungen, Incident Response und 24/7-Monitoring – sind aus operativer Sicht nachvollziehbar und marktseitig attraktiv. Gleichzeitig erzeugen sie einen strukturellen Konflikt: Je näher der Versicherer oder ein ihm zuzurechnender Vermittler an Schwachstellen- und Monitoringdaten rückt, desto eher wird „gesehen = gewusst“ zum Bumerang. Aufsichtsrechtlich bleibt zudem die Leitplanke bestehen, dass Versicherer grundsätzlich keine versicherungsfremden Geschäfte betreiben dürfen, sondern nur Tätigkeiten, die in unmittelbarem Zusammenhang mit dem Versicherungsgeschäft stehen. Im Schadenfall ist daher nicht nur entscheidend, was technisch passiert ist, sondern auch, wer was wann wusste, wie die Rollen organisiert waren und ob Personalunionen oder Datenzugriffe die Positionen der Beteiligten verschoben haben.
Wr. Neustadt, 09.04.2026
Bildnachweis: envato