Die betriebliche Widmung von Vermögenswerten ist kein bürokratisches Detail, sondern kann die Voraussetzung dafür sein, dass eine Cyberversicherung im Ernstfall leistet.
Cyberversicherungen sind Unternehmensversicherungen — kein Graubereich, kein Ermessensspielraum. Wer als Versicherungsmakler Einzelunternehmer berät, stößt unweigerlich auf eine strukturelle Besonderheit: Der Inhaber ist zugleich Betrieb. Er schläft möglicherweise im selben Haus, in dem er arbeitet, nutzt dasselbe Smartphone für Kundengespräche und private Chats, und führt seine Buchhaltung oft auf demselben Laptop, auf dem er Familienfotos speichert.
Genau diese Vermischung wird im Schadenfall zum Problem. Cyberversicherungen decken in der Regel ausdrücklich nur den versicherten Geschäftsbetrieb ab. Was nicht eindeutig dem Betrieb gewidmet ist, kann im Schadensfall zur Ablehnung oder Kürzung der Leistung führen.
Das scheint trivial — ist es aber nicht. Bei einer GmbH oder AG gibt es eine klare rechtliche Trennung zwischen Gesellschaft und Gesellschafter. Beim Einzelunternehmer fehlt genau diese Trennlinie. Rechtlich ist der Inhaber und sein Unternehmen dieselbe natürliche Person.
Bedingungswerke stellen teilweise gleich im einleitenden Satz der versicherten Risiken klar:
„Versicherungsschutz besteht für Cyber-Schäden im Rahmen des versicherten Geschäftsbetriebs.”
oder formulieren den Deckungsrahmen konsequent um den Begriff des versicherten Unternehmens herum. Sämtliche Definitionen — vom Computersystem über Daten bis hin zu versicherten Ereignissen — sind an den Betrieb des versicherten Unternehmens geknüpft. Ein Cyber-Vorfall ist beispielsweise definiert als Angriff auf „Daten oder Dienste eines versicherten Unternehmens” — nicht auf die privaten Daten einer natürlichen Person.
Für Einzelunternehmer bedeutet das: Sobald ein betroffenes Gerät, ein Datensatz oder ein Vorgang nicht klar dem Geschäftsbetrieb zuzuordnen ist, steht die Deckung auf dem Prüfstand.
Bedingungswerke enthalten oft eine (für den Geschäftsbetrieb) wichtige Erweiterung für private Endgeräte — aber mit einer entscheidenden Bedingung:
„Zu den IT-Systemen der Versicherten gehören auch private IT-Systeme mitversicherter natürlicher Personen, sofern diese für die betriebliche Tätigkeit genutzt werden (Bring your own device), zum Beispiel private Laptops oder Smartphones.”
Andere Bedingungswerke gehen sogar einen Schritt weiter und verlangt zusätzlich den Nachweis formaler Nutzungsrichtlinien:
„Zum Computersystem der versicherten Unternehmen gehören auch private IT-Geräte von Arbeitnehmern, sofern jene für die Tätigkeit bei einem versicherten Unternehmen eingesetzt werden (Bring your own device) und sofern diese nach den von den versicherten Unternehmen herausgegebenen und den Arbeitnehmern bekannt gemachten Nutzungsrichtlinien verwendet werden.”
Beim Einzelunternehmer ohne Angestellte fehlen solche formalen Nutzungsrichtlinien typischerweise vollständig. Es gibt keinen Arbeitgeber, der Richtlinien herausgibt — der Inhaber ist beides in einer Person. Ohne schriftliche Dokumentation, welche Geräte betrieblich gewidmet sind, besteht das Risiko, dass im Schadenfall kein Nachweis der betrieblichen Nutzung erbracht werden kann.
Die Bedingungswerke nehmen mit den o.g. Klauseln die privat genutzten Geräte, sofern sie geschäftlich genutzt werden, zwar grundsätzlich in den Versicherungsschutz auf – versichertes Risiko bleibt aber unverändert der Geschäftsbetrieb des Versicherungsnehmers.
Die praktische Konsequenz: Handelt der Einzelunternehmer im privaten Umfeld — und löst dabei einen Cyber-Schaden aus — besteht für private Daten, IT-Systeme etc. kein Versicherungsschutz.
Ein Beispiel:
Öffnet er auf einem privat genutzten Gerät eine Phishing-E-Mail, gibt betriebliche Daten bekannt, die zu einem Angriff auf betriebliche Daten führt, ist die Deckungsfrage eng verknüpft mit der Frage, ob das Gerät als betrieblich gilt.
Beide Bedingungswerke schützen Daten des versicherten Unternehmens — also Auftragsdaten, Kundendaten, Beschäftigtendaten und Geschäftsgeheimnisse.
Diese Daten werden beispielsweise ausdrücklich als „geschäftlich relevante und der Vertraulichkeit unterliegende Informationen” definiert. Private Fotos, persönliche Kommunikation oder private Finanzdaten sind damit grundsätzlich nicht gedeckt — selbst wenn sie auf demselben Server liegen wie Kundendaten.
Im Schadenfall bedeutet das: Wenn auf einem gemischt genutzten Server Daten unwiederbringlich gelöscht werden, deckt die Cyberversicherung nur den Schaden an den betrieblichen Daten. Die Kosten für die Wiederherstellung privater Daten trägt der Inhaber selbst.
Die folgende Übersicht zeigt typische Konstellationen, in denen fehlende Widmungsdokumentation zur Deckungslücke werden kann:
| Szenario | Deckungsrisiko ohne Dokumentation |
|---|---|
| Ransomware auf privatem Laptop mit Kundendaten | Unklar, ob Gerät als betrieblich gilt → Leistungsablehnung möglich, wenn nicht durch BYOD-Klausel eingeschlossen |
| Phishing-Angriff über privates E-Mail-Konto | Nachweis betrieblicher Nutzung des privaten Email-Kontos kann problematisch werden |
| Datenverlust auf gemischt genutzter NAS | Nur betriebliche Daten ersatzfähig → Abgrenzungsproblem/Kürzung der Kostenerstattung |
| Fake-President-/Überweisungsbetrug | Zahlung muss aus betrieblichem Kontext stammen → private Konten nicht gedeckt |
| BYOD-Gerät ohne Nutzungsrichtlinie | Sofern schriftliche Richtlinien werden → fehlende Voraussetzung |
Ein IT-Inventarverzeichnis aller betrieblich genutzten Geräte sollte erstellt werden. Für jedes Gerät sollte dokumentiert sein:
Bei gemischter Nutzung empfiehlt sich die Einrichtung getrennter Betriebssystembenutzerkonten (betrieblich / privat) sowie eine klare Ordnerstruktur, die betriebliche Daten von privaten trennt.
Auch beim Einzelunternehmer — der keine Mitarbeiter hat — ist eine schriftliche Nutzungsrichtlinie sinnvoll, die formal festhält, welche privaten Geräte betrieblich gewidmet sind und welche Sicherheitsstandards gelten. Diese Richtlinie schafft im Schadenfall den Nachweis betrieblicher Nutzung und erfüllt gleichzeitig die formale Anforderung des Bedingungswerken. Sobald Mitarbeiter beschäftigt werden, welche private Geräte im geschäftlichen Kontext nutzen, wird diese Kür jedenfalls zur Pflicht, um im Schadensfall entsprechende Nachweise erbringen zu können.
Eine klare Trennung der betrieblichen und privaten Finanzströme ist essenziell. Empfehlen Sie Ihren Kunden:
Gerade bei Einzelunternehmern kann eine Überführung von Vermögenswerten vom Betriebs- in das Privatvermögen jederzeit erfolgen – im Betrugsfall ist jedoch nur Vermögen, welches dem Geschäftsbetrieb zugeordnet werden kann, versichert.
Homeoffice-Klauseln, die Schäden aus beruflicher Tätigkeit im Homeoffice mitversichern, klingen nach einer Lösung für das Problem — sind es aber nur bedingt. Wenn über private Geräte aus dem Homeoffice gearbeitet wird, muss sichergestellt sein, dass diese Geräte ebenfalls die Sicherheitsvoraussetzungen der Cyberversicherung erfüllen, damit keine vorvertragliche Anzeigepflichtverletzung oder eine Gefahrerhöhung vorliegt. Der Versicherungsschutz kann in solchen Fällen untergraben werden.
Die betriebliche Widmung von Vermögenswerten ist kein bürokratisches Detail — sie ist die Voraussetzung dafür, dass eine Cyberversicherung im Ernstfall leistet. Die Bedingungswerke machen deutlich: Versicherungsschutz besteht für den Geschäftsbetrieb, nicht für die Privatperson – diese Abgrenzung ist von den Cyberversicherern ausdrücklich gewünscht und wird in den Bedingungswerken und Angebotsunterlagen der Versicherer auch nicht versteckt.
In der Beratung sollte daher gerade bei Einzelunternehmern dem auch Rechnung getragen werden und die Kunden auf die notwendigen Abgrenzungen hingewiesen werden. Die Kunden sollen darauf hingewiesen werden, welche Zahlungsmittelkonten vom Versicherungsschutz umfasst sind und wo der Versicherungsschutz nicht greift.
TEILEN SIE DEN ARTIKEL
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
Finanzinstitutionen,
Kommerzielle Kunden
Finanzinstitute, Private Equity, Werbung & Medien etc.
Am 1. April 2026 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht ihr Rundschreiben 01/2026 (VA) und löste damit eine fast drei Jahrzehnte […]
WEITERLESEN
Am 16. Juni 2026 findet in der Messe Wels ein Branchenhighlight statt – und wir sind mit dabei.
WEITERLESEN
Im Kern geht es darum, Kunden dabei zu helfen, ihre Risiken zu verstehen und zu mindern.
WEITERLESEN
Nach oben scrollen
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen