Lohnen sich Cyber-Versicherungen für Apotheken?

ApoRisk, ein auf Apothekenversicherungen spezialisiertes Vermittlungsunternehmen, soll Apotheken mit inhaltlich unzutreffenden und irreführenden Werbeaussagen gewonnen und Versicherungen abgeschlossen haben, die die jeweilige Risiken gar nicht im versprochenen Umfang abdecken. Darüber berichtete die DAZ bereits vor zwei Wochen, inzwischen wird der Fall auch in anderen Medien thematisiert. Vor dem Landgericht Lübeck im vergangenen Juli ging es konkret um eine Cyber-Versicherung, die gar keine Markt- und Bestandsgarantie beinhaltet (Aktenzeichen 16 O 89/20). Zum Kundenkreis gehören laut eigenen Angaben 5.000 Apothekerinnen und Apotheker, davon 2.000 Inhaberinnen und Inhaber mit 2.800 bis 3.000 Apotheken. Etwa 35 Prozent von ihnen sollen eine Cyber-Versicherung abgeschlossen haben. Es sollen Rahmenverträge mit Standesorganisationen existieren – die genannten Apothekerverbände Mecklenburg-Vorpommern und Hessen verneinen jedoch auf DAZ-Anfrage, dass entsprechende Angebote aktuell bestehen.

Bereits vor dem Urteil des Landgerichts Lübeck gab es Verfahren vor dem Landgericht und Oberlandesgericht Karlsruhe (Aktenzeichen 18 O 34/16 und 6 U 164/16), in denen ApoRisk die Verbreitung von belästigenden Werbemails untersagt wurde. Auch das Landgericht Mönchengladbach hat nach dem erneuten Versand zahlreicher Werbemails im September diesen Jahres ein entsprechendes Verbot ausgesprochen (Aktenzeichen 8 O 26/21).

Klage vom Wettbewerber

Geklagt hatte ein Wettbewerber, und zwar der ebenfalls auf Apotheken und Sanitätshäuser spezialisierte Versicherungsmakler Steffen Benecke. Gemeinsam mit seinem Anwalt Jascha Arif hatte er die entsprechenden Unterlagen und Geschäftspraktiken zuvor geprüft. ApoRisk bestreitet gegenüber der DAZ die Vorwürfe und erkennt keine Benachteiligung der eigenen Kunden. Den Rechtsstreit habe man in erster Linie verloren, weil eine entsprechende Rahmenvereinbarung mit der Versicherungsgesellschaft Helvetia als Beweismittel für das Gericht nicht ausreichend war und eine schriftliche Vorabzusage nicht zur Kenntnis genommen wurde. In der Urteilsbegründung liest man jedoch, dass dem Gericht sehr wohl die Rahmenvereinbarung als auch die schriftliche Vorabzusage vorlagen und es auf dieser Grundlage nicht für erwiesen hält, ob tatsächlich eine Markt- und Bestandsgarantie existiert.

Nur die Spitze des Eisbergs? Nach Informationen der DAZ könnten auch weitere Helvetia- Versicherungsleistungen von der ApoRisk irreführend beschrieben worden sein. Aus Unterlagen geht hervor, dass der Versicherungsvermittler den Schutz vor Retaxationen mit Deckungssummen in sechs- bis siebenstelliger Höhe bewirbt. In den jeweiligen Versicherungen mit der Helvetia finden sich dagegen nur Summen in mittlerer fünfstelliger Höhe 

Der Klägeranwalt Jascha Arif hält die ganze Thematik für sehr heikel. Betroffene Apothekeninhaberinnen und -inhaber, die die Cyber-Versicherung „PharmaRisk Cyber“ oder auch andere ApoRisk-Versicherungen im Bereich des Inventar- und Haftpflichtschutzes abgeschlossen haben, sollten nachprüfen, ob sich die versprochenen Versicherungsleistungen tatsächlich in der Vereinbarung zwischen ApoRisk und der Helvetia finden. Doch gleichzeitig fürchtet er, dass dieses „Kleingedruckte“ den Versicherungsnehmern gar nicht vorliegt.  (Anmerkung: Die Redaktion stellt klar, dass mit der Wiedergabe der Aussage des Herrn Arif nicht der Vorwurf erhoben werden soll, die ApoRisk stelle ihren Kunden nicht die Allgemeinen Versicherungsbedingungen der Helvetia zur Verfügung.) Daher rechnet er damit, dass nun entsprechenden Anfragen von den Betroffenen direkt an die Helvetia gestellt werden. Vor diesem Hintergrund hält er es für geboten und appelliert an die Helvetia, hier proaktiv auf die betroffenen ApoRisk-Kunden mit einem Informationsangebot zuzugehen.

Doch bei der Helvetia scheint man an einer öffentlichen Aufarbeitung des Falls derzeit offenbar kein Interesse zu haben. Etwaige Beschwerden von versicherten Apotheken seien nicht bekannt, heißt es auf Anfrage. Einen detaillierten Fragenkatalog der DAZ beantwortet der verantwortliche Abteilungsleiter für Firmenkunden, Matthias Gärtner, nur ausweichend: „Feedback unserer Kunden zu den Produkten und Services der Helvetia nehmen wir gerne entgegen“, hört man von Gärtner aus der Frankfurter Versicherungszentrale.

Sofortige Kündigung des Maklervertrages gerechtfertigt?

Welche Versicherungsleistungen genau betroffen sind, kann auch Arif bisher nicht abschließend erfassen. ApoRisk vertritt dagegen nach wie vor den Standpunkt, dass Kunden „zu keiner Zeit benachteiligt waren und den vollen Versicherungsschutz haben“. Bei den wettbewerbsrechtlichen Verfahren in Lübeck ging es exemplarisch um einen Fall. Der Klägeranwalt hält es jedoch für möglich, dass die Versicherungen in weitaus mehr Fällen nicht oder nur zum Teil aufkommt, wenn es um den Ausfall der Infrastruktur, der Honorierung von Sachverständigen oder Lösegeldzahlungen für gekidnappte Daten kommen sollte. Auf die Apotheken könnten dann existenzbedrohende Situationen zukommen, weil sie im Schadensfall auf hohen Kosten sitzenblieben. Seit Beginn der Gerichtsprozesse steht er im Kontakt mit mehreren Apothekerinnen und Apotheker, die Versicherungen mit ApoRisk abgeschlossen haben. Der Jurist hält sogar eine sofortige Kündigung des Maklervertrages mit ApoRisk für gerechtfertigt. „Die eklatanten Falschangaben und fortwährende geflissentliche Gesetzesverstöße dürften zu einer schwerwiegenden Störung des Vertrauensverhältnisses geführt haben“, sagt Jascha Arif und weist auf § 314 Absatz 2 Satz 2 sowie Satz 3 des Bürgerlichen Gesetzbuches (BGB) hin, die Betroffenen ein Sonderkündigungsrecht aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gewähren. Diese Norm sei auch auf Makler- und Versicherungsverträge anwendbar. Eine schwerwiegende Störung der Vertrauensgrundlage aufgrund eines erheblichen Täuschungsversuchs sei als wichtiger Kündigungsgrund anerkannt. Der Klägeranwalt denkt sogar noch weiter: Möglicherweise bestehe neben einem Kündigungsrecht auch ein Anfechtungsrecht wegen arglistiger Täuschung nach § 123 BGB.

Welchen Stellenwert haben Cyber-Versicherungen generell für Apotheken? Gegenüber der DAZ äußert sich ein Spezialist für Informationssicherheit, der unter anderem Arztpraxen und MVZ berät. Er persönlich hält Cyber-Versicherungen für nicht grundsätzlich verkehrt. Auch Apothekeninhaberinnen und -inhaber könnten von bestimmten Versicherungsleistungen profitieren, doch dies würde sie gleichzeitig nicht von der Verantwortung entbinden, sich gegen Datenverlust und -missbrauch zu schützen. „Sollten Kunden- und Patientendaten durch ein Leck oder einen Angriff verloren gehen, dann spielt Geld nur eine sekundäre Rolle“, so der Sicherheitsexperte. Vielmehr sollten Abwehrstrategien und Backup-Lösungen zuvor eingerichtet worden sein, um die Katastrophe überhaupt zu verhindern und das Ausmaß zu minimieren. Eine Investition in Cybersicherheit bedeute also mehr als nur den Abschluss einer Versicherung.         

Im Falle eines Falles seien Drittschäden wie die Schadensersatzforderungen von Kunden nur die eine Seite. Viel gravierender und länger andauernd würde der Image- bzw. Reputationsverlust auf das Unternehmen wirken. Darüber hinaus entstehen Kosten durch die Datenwiederherstellung und Systemrekonstruktion. Ob eine Versicherung tatsächlich einspringe, wenn der Apothekenbetrieb über Tage oder Wochen unterbrochen werden muss, hält der Experte für fraglich. Geht es um kriminelle Handlungen, also einen sogenannten Hacker-Angriff, müssten Betroffene unter Umständen zunächst die Kosten für die Analyse, Beweissicherung und Schadensbegrenzung selbst tragen. Außerdem entstehen Anwalts- und Prozesskosten. Hier sei die Cyber-Versicherung wie eine Rechtsschutzversicherung anzusehen, und daher sollte man nachprüfen, ob diese Leistungen bereits durch bestehende Rechtsschutzversicherungen angeboten werden.           

Einige Unternehmen machen offenbar einen großen Bogen um Cyber-Versicherungen

Der IT-Spezialist kennt einige Unternehmen, die einen großen Bogen um Cyber-Versicherungen machen und das Risiko von Cyber-Kriminalität lieber vollständig selbst tragen – „natürlich nicht, ohne zuvor in eine entsprechende Sicherheitsarchitektur investiert zu haben“, ergänzt er. Der Hintergrund: Sollten Kriminelle Lösegeld für die Herausgabe der gekidnappten Daten erpressen, dann zahlen die Unternehmen die Summe unmittelbar selbst aus einer zuvor eingerichteten (schwarzen) Kriegskasse. So müsste keine Versicherung oder Ermittlungsbehörde kontaktiert werden. Der Fall würde nicht öffentlich und ein Imageschaden könnte verhindert werden. Keinesfalls dürfe bei den betroffenen Unternehmen die Ansicht entstehen, dass es sich gar nicht um Lösegeld, sondern um eine Art Dienstleistungshonorar handle, weil der Datendiebstahl auf wichtige Schwachstellen im jeweiligen IT-System hinweisen würde.

Und der IT-Experte warnt darüber hinaus vor der naiven Vorstellung, Unternehmer und Datendiebe könnten ein symbiotisches Verhältnis führen: „Ein kompromittiertes System ist nicht mehr vertrauenswürdig! Alle Daten und alle Programme können manipuliert worden sein und dazu führen, dass Informationen weiterhin an Dritte weitergegeben werden.“ Daher müssten nach einem solchen Vorfall zwingend Maßnahmen durchgeführt werden. Vor diesem Hintergrund könnte eine Cyber-Versicherung, die all diese Leistungen abdeckt, durchaus nützlich sein, so der Spezialist für Informationssicherheit. Doch er rät Apothekeninhabern und -inhaberinnen, Cyber-Security als Ganzes zu betrachten und eher in effek­tive Sicherheitsmaßnahmen als in Versicherungen zu investieren.