Cyberversicherung vs Betriebshaftpflicht: Wo ist die Lücke?
Eigenschaden vs Drittschaden - warum beide Policen 2026 zusammengehören
Viele Geschäftsführer glauben, ihre bestehende Betriebshaftpflicht (BHV) decke auch Cyber-Vorfälle ab.
Die Realität sieht anders aus: Die klassische Betriebshaftpflicht schützt vor Drittschäden (also Ansprüchen Dritter), Cyberangriffe verursachen aber überwiegend Eigenschäden im eigenen Unternehmen.
Ransomware-Lösegeld, IT-Forensik, Betriebsunterbrechung, Datenwiederherstellung - das alles ist von der Betriebshaftpflicht praktisch nie gedeckt.
Dieser Vergleich zeigt mit klarer Gegenüberstellung, was beide Policen leisten, wo die Cyber-Lücke der BHV liegt und warum 2026 fast jedes mittelständische Unternehmen beide Policen kombiniert braucht.
Inhaltsverzeichnis
Definition: Was leistet die Betriebshaftpflicht?
Die Betriebshaftpflichtversicherung (BHV) ist die Standard-Haftpflichtpolice für Unternehmen jeder Größe. Sie deckt gesetzliche Schadensersatzansprüche Dritter ab, die durch den Betrieb des Unternehmens entstehen. Klassische Beispiele: Ein Kunde stürzt im Ladenlokal und bricht sich den Arm (Personenschaden), eine Maschine beschädigt das Nachbargrundstück (Sachschaden), ein Beratungsfehler verursacht beim Kunden einen finanziellen Verlust (Vermögensschaden, oft nur als Zusatzbaustein). Wesentliches Merkmal: Die BHV zahlt nur an Dritte - also Personen oder Unternehmen ausserhalb der eigenen Firma. Eigenschäden des Versicherungsnehmers selbst sind nicht versichert. Die Deckungssummen liegen typischerweise zwischen 3 und 10 Mio. Euro pauschal fuer Personen-, Sach- und Vermoegensschaeden. Fuer KMU ist die BHV eine Grundabsicherung, die jeder Betrieb haben sollte - sie ersetzt aber keine spezialisierte Cyberpolice.
Definition: Was leistet die Cyberversicherung?
Die Cyberversicherung ist eine spezialisierte Police fuer digitale Risiken und kombiniert Eigen- und Drittschadendeckung in einem Vertrag. Eigenschaden-Bausteine umfassen: Betriebsunterbrechung nach Cyber-Vorfall (BU-Deckung), Kosten fuer Datenwiederherstellung, IT-Forensik durch externe Spezialisten, Loesegeldzahlungen bei Ransomware (je nach Tarif), Krisen-PR und Reputationsmanagement, Rechtsberatung und Anwaltskosten. Drittschaden-Bausteine umfassen: Schadensersatzanspruechen Dritter wegen Datenschutzverletzungen, Abwehr unberechtigter DSGVO-Klagen, Kostenuebernahme fuer Benachrichtigung betroffener Kunden, DSGVO-Bussgeld-Rechtsschutz (soweit versicherbar). Im Unterschied zur BHV ist die Cyberpolice auf das Schadenbild eines Cyber-Vorfalls zugeschnitten: 24/7-Notfallhotline, IT-Forensiker innerhalb von 2-4 Stunden, vordefinierte Krisenprozesse. Diese spezialisierten Assistance-Leistungen sind in der klassischen BHV strukturell nicht vorgesehen.
Vergleichstabelle: Was deckt wer ab?
Direkte Gegenueberstellung der Kernleistungen:
Ransomware-Loesegeldzahlung - BHV: NEIN. Cyber: JA (je nach Tarif). IT-Forensik nach Hackerangriff - BHV: NEIN. Cyber: JA (24/7-Hotline). Datenwiederherstellung nach Verschluesselung - BHV: NEIN. Cyber: JA. Betriebsunterbrechung durch IT-Ausfall - BHV: NEIN. Cyber: JA (BU-Baustein). Krisen-PR nach Datenleck - BHV: NEIN. Cyber: JA. DSGVO-Bussgeld-Rechtsschutz - BHV: NEIN. Cyber: JA (Tarif-abhaengig). Schadensersatzanspruch Kunde nach Datenleck - BHV: Teilweise (nur als Vermoegensschaden-Zusatz). Cyber: JA (Drittschaden-Baustein). Klassischer Personenschaden (Kunde stuerzt im Buero) - BHV: JA. Cyber: NEIN. Sachschaden am Nachbargebaeude durch Brand - BHV: JA. Cyber: NEIN. Beratungsfehler mit Vermoegensschaden Dritter - BHV: Mit Vermoegensschaden-Baustein ja. Cyber: NEIN.
Fazit: BHV deckt die analoge Welt (Drittschaeden), Cyberpolice deckt die digitale Welt (vor allem Eigenschaeden und spezialisierte Drittschaeden). Beide Policen ueberschneiden sich nur minimal - sie sind komplementaer, nicht austauschbar.
Die Cyber-Luecke der Betriebshaftpflicht im Detail
Die meisten Standard-Betriebshaftpflicht-Policen schliessen Cyber-Risiken sogar explizit aus. Konkret bedeutet das: KEIN Eigenschaden - jeder Euro, den Sie selbst fuer IT-Wiederherstellung, BU, Forensik oder Loesegeld zahlen, traegt Ihr Unternehmen selbst. KEINE Betriebsunterbrechungs-Deckung - waehrend die Server stillstehen, laufen Personalkosten und Mieten weiter, Umsatz bleibt aus. KEINE Loesegeldzahlung - bei Ransomware-Erpressung lehnen klassische BHV-Vertraege die Erstattung kategorisch ab. KEINE Forensik-Kosten - externe IT-Forensiker kosten 200-500 EUR pro Stunde, ein durchschnittlicher Vorfall verursacht 30.000-80.000 EUR Forensik-Aufwand. KEIN spezialisiertes Krisenmanagement - es gibt keine Notfall-Hotline, keinen Krisen-PR-Berater, keinen Rechtsanwalt-Pool. KEINE 24/7-Verfuegbarkeit - die BHV ist eine Schaden-Sachbearbeitung im Tagesgeschaeft, keine Krisen-Eingreiftruppe. Wer bei einem Ransomware-Vorfall auf seine BHV zaehlt, wird in der Regel zurueckverwiesen - der Schaden faellt zu 100 % auf das Unternehmen.
Fall-Beispiele: Wer zahlt wann?
Drei realistische Szenarien zur Verdeutlichung:
Fall 1: Ransomware-Angriff auf einen Produktionsbetrieb. Alle Server verschluesselt, Produktion steht 8 Tage still, Loesegeldforderung 200.000 EUR, IT-Forensik 60.000 EUR, BU-Schaden 450.000 EUR. Wer zahlt: Nur die Cyberpolice. Die BHV verweigert die Leistung komplett, weil es ein reiner Eigenschaden ist - kein Dritter wurde geschaedigt.
Fall 2: Kunde verklagt das Unternehmen nach Datenleck. Hacker haben 50.000 Kundendatensaetze erbeutet, ein Kunde fordert 5.000 EUR Schadensersatz wegen DSGVO-Verletzung. Wer zahlt: Hier waere theoretisch die BHV mit Vermoegensschaden-Baustein zustaendig - praktisch lehnen die meisten Standard-Tarife wegen Cyber-Ausschlussklausel ab. Die Cyberpolice deckt diesen Drittschaden zuverlaessig ab. Empfehlung: Cyberpolice mit klarer Drittschaden-Deckung waehlen.
Fall 3: Server geht durch Hardware-Defekt kaputt. Datenbank ist beschaedigt, Wiederherstellung kostet 25.000 EUR, BU-Schaden 80.000 EUR. Wer zahlt: Cyberpolice ja (wenn Datenverlust-Baustein enthalten ist), BHV nein (kein Drittschaden). Hier zeigt sich: Cyberpolicen decken oft auch nicht-angriffsbedingte IT-Ausfaelle ab.
Wann reicht die Betriebshaftpflicht allein?
Praktisch nie - wenn das Unternehmen irgendeine Form von digitaler Geschaeftstaetigkeit ausuebt. Es gibt theoretisch wenige Konstellationen, in denen eine BHV ohne Cyberpolice ausreichen koennte: rein analoge Kleinbetriebe ohne EDV-System (Marktstand, mobiler Handwerker ohne Backoffice-Software), Unternehmen ohne jegliche Kundendaten-Verarbeitung (sehr selten), Betriebe mit zertifiziertem Air-Gap-IT-System (in der Praxis nicht vorhanden bei normalen KMU). Realistisch gilt 2026: Sobald Ihr Unternehmen Email, Online-Banking, eine Buchhaltungssoftware, ein CRM-System oder Online-Bestellungen nutzt, ist die Cyber-Exposition zu hoch, um sie ohne dedizierte Cyberpolice zu tragen. Die durchschnittlichen Schaeden eines Ransomware-Vorfalls (80.000-250.000 EUR) uebersteigen die finanzielle Tragfaehigkeit der meisten KMU. Wer hier auf die BHV vertraut, geht ein existenzbedrohendes Risiko ein.
Wann sind beide Policen kombiniert noetig?
Der Standardfall 2026 fuer fast alle Unternehmen: BHV plus Cyberpolice nebeneinander. Konkret immer noetig bei: jedem Unternehmen mit Mitarbeitern und Kunden (BHV deckt Personen-/Sachschaeden, Cyber deckt IT-Risiken), allen Betrieben mit Kundendaten-Verarbeitung (DSGVO-Pflicht-Konstellation), allen Dienstleistern mit Kundenkontakt im Geschaeftsraum, jedem Online-Handel und E-Commerce, allen Beratungsberufen mit eigenem Buero. Die beiden Policen sollten beim selben Makler abgeschlossen werden, damit die Schnittstellen sauber abgegrenzt sind und im Schadenfall keine Versicherer sich gegenseitig die Zustaendigkeit zuschieben.
Praxis-Empfehlung: So gehen Sie 2026 vor
Ein strukturierter Pfad zur kombinierten Absicherung: Erstens Bestands-Inventur - lassen Sie sich von Ihrem Makler den genauen Wortlaut der bestehenden BHV-Police vorlegen, explizit die Cyber-Ausschluss-Klausel. Zweitens Risiko-Analyse - was waere der finanzielle Schaden bei 5 Tagen IT-Stillstand? Welche Daten verarbeiten Sie (DSGVO-Bussgeld-Risiko)? Drittens Angebots-Vergleich - mindestens drei Cyberpolicen vergleichen, Leistungen statt nur Preis (24/7-Notfallhotline, BU-Baustein mindestens 14 Tage, Loesegeld-Baustein, DSGVO-Bussgeld-Rechtsschutz, ausreichende Deckungssumme). Viertens Abschluss und Dokumentation - beide Policen idealerweise beim selben Makler buendeln, Schaden-Mapping-Memo zwischen BHV und Cyber dokumentieren. Wer diese vier Schritte einmal durchlaeuft, hat einen sauberen Versicherungs-Stack fuer die naechsten 3-5 Jahre.
Häufige Fragen
Deckt meine Betriebshaftpflicht einen Hackerangriff ab?
Reicht eine Cyber-Klausel in der bestehenden BHV?
Brauche ich beide Policen oder kann ich auf die BHV verzichten?
Wie hoch sollte die Cyber-Deckung im Verhaeltnis zur BHV sein?
Was passiert bei einem Datenleck - zahlt die BHV oder Cyber?
Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.
Kostenlos beraten lassen – in 60 Sekunden
Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.
DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte