Cyberversicherung vs. Betriebshaftpflicht — Die gefährliche Deckungslücke
Betriebshaftpflicht und Cyberschäden — ein gefährlicher Irrtum
Es ist einer der häufigsten und teuersten Irrtümer im Schweizer Versicherungswesen: «Meine Betriebshaftpflicht deckt das schon ab.» Dieser Satz fällt regelmässig, wenn KMU-Inhaberinnen und -Inhaber auf das Thema Cyberversicherung angesprochen werden. Und er ist in der überwältigenden Mehrheit der Fälle falsch.
Gemäss Schätzungen des Schweizerischen Versicherungsverbands (SVV) gehen rund 40 % der Schweizer KMU davon aus, dass ihre bestehende Betriebshaftpflichtversicherung auch Cyberschäden abdeckt. Die Realität: In den allermeisten Policen sind Cyberschäden explizit ausgeschlossen — oder bestenfalls nur in einem winzigen Teilbereich rudimentär gedeckt.
Das Ergebnis ist eine gefährliche Deckungslücke — die sogenannte «Cyber-Gap». Dieses Gap kann im Ernstfall existenzbedrohend sein: Ein Ransomware-Angriff, ein Datenleck oder ein CEO-Fraud erzeugt Kosten von durchschnittlich CHF 180’000 bis CHF 450’000 bei Schweizer KMU, und keine Franken davon werden von der Betriebshaftpflicht übernommen.
In diesem Ratgeber klären wir die Unterschiede, zeigen Ihnen die Deckungslücken anhand konkreter Beispiele und erklären, warum Sie beide Versicherungen benötigen.
Betriebshaftpflicht — was sie deckt und was nicht
Der Zweck der Betriebshaftpflichtversicherung
Die Betriebshaftpflichtversicherung ist eine der grundlegendsten Unternehmensversicherungen in der Schweiz. Sie schützt Ihr Unternehmen vor Schadenersatzansprüchen Dritter, die durch Ihre Geschäftstätigkeit verursacht werden. Konkret deckt sie:
- Personenschäden: Ein Besucher rutscht in Ihrem Büro aus und bricht sich den Arm
- Sachschäden: Ein Mitarbeiter beschädigt beim Kunden ein Gerät
- Vermögensschäden (Folgeschäden): Finanzielle Verluste Dritter, die aus einem Personen- oder Sachschaden resultieren
Was die Betriebshaftpflicht bei Cyberschäden NICHT deckt
Die Betriebshaftpflicht ist für die physische Welt konzipiert. Sie schützt vor greifbaren Schäden — vor Dingen, die man anfassen kann. Cyberschäden sind aber immateriell: Sie betreffen Daten, Systeme und digitale Prozesse. Und genau hier liegt das Problem.
Die meisten Schweizer Betriebshaftpflicht-Policen enthalten eine oder mehrere der folgenden Ausschlussklauseln:
- Cyber-Ausschluss: Expliziter Ausschluss von Schäden durch Cyberangriffe, Hacking, Malware
- Daten-Ausschluss: Kein Schutz bei Verlust, Diebstahl oder unbefugter Offenlegung von Daten
- Reine Vermögensschäden: Die Betriebshaftpflicht deckt Vermögensschäden in der Regel nur als Folge eines Personen- oder Sachschadens, nicht als eigenständigen Schaden
- Immaterielle Güter: Schäden an Software, Daten und digitalen Systemen sind keine «Sachen» im Sinne der Police
Die Konsequenz: Wenn ein Hacker in Ihr System eindringt und Kundendaten stiehlt, ist das ein reiner Vermögensschaden ohne vorherigen Sachschaden — und damit in der Betriebshaftpflicht nicht gedeckt. Wenn Ihre Systeme durch Ransomware ausfallen und Sie Aufträge nicht erfüllen können, ist das eine Betriebsunterbrechung ohne physischen Schaden — ebenfalls nicht gedeckt.
Der grosse Vergleich: Was deckt was?
Die folgende Tabelle zeigt auf einen Blick, welche Schäden von welcher Versicherung abgedeckt werden:
| Schadenart | Betriebshaftpflicht | Cyberversicherung |
|---|---|---|
| Personenschäden (physisch) | Ja | Nein |
| Sachschäden (physisch) | Ja | Nein |
| Vermögensschäden (Folge von Sach-/Personenschäden) | Ja | Nein |
| IT-Forensik und Incident Response | Nein | Ja |
| Datenwiederherstellung | Nein | Ja |
| Betriebsunterbrechung (IT-Ausfall) | Nein | Ja |
| Cyber-Erpressung / Ransomware | Nein | Ja |
| Krisenmanagement / PR | Nein | Ja |
| Benachrichtigungskosten (nDSG) | Nein | Ja |
| Haftpflicht bei Datenschutzverletzung | Nein | Ja |
| Haftpflicht bei Netzwerksicherheitsverletzung | Nein | Ja |
| Haftpflicht bei Persönlichkeitsrechtsverletzung (digital) | Teilweise | Ja |
| Rechtsschutz Cyber | Nein | Ja |
| Social Engineering / CEO-Fraud | Nein | Ja (je nach Police) |
| Vertrauensschaden (Mitarbeiterkriminalität) | Optional | Teilweise |
| Produkthaftpflicht | Ja | Nein |
| Umweltschäden | Optional | Nein |
| 24/7-Notfallhotline (Cyber) | Nein | Ja |
| Forensik-Soforthilfe | Nein | Ja |
| Krisenmanagement-Experten | Nein | Ja |
Das Bild ist eindeutig: Es gibt praktisch keine Überschneidung zwischen den beiden Versicherungen. Sie decken völlig unterschiedliche Risikobereiche ab. Die eine kann die andere nicht ersetzen.
Fünf konkrete Beispiele: Was zahlt wer?
Beispiel 1: Ransomware verschlüsselt alle Systeme
Ein Schweizer Produktionsbetrieb (35 Mitarbeitende) wird Opfer einer Ransomware-Attacke. Alle Server und Arbeitsplätze sind verschlüsselt, die Produktion steht still.
| Kostenposition | Betrag | Betriebshaftpflicht | Cyberversicherung |
|---|---|---|---|
| IT-Forensik | CHF 35’000 | Nein | Ja |
| Datenwiederherstellung | CHF 28’000 | Nein | Ja |
| Betriebsunterbrechung (14 Tage) | CHF 196’000 | Nein | Ja |
| Lösegeldforderung (nicht bezahlt) | — | — | — |
| Neue Hardware | CHF 12’000 | Nein | Teilweise |
| Total | CHF 271’000 | CHF 0 | CHF 259’000 |
Resultat: Die Betriebshaftpflicht zahlt keinen Rappen. Die Cyberversicherung übernimmt den Grossteil des Schadens (abzüglich Selbstbehalt und Hardware).
Beispiel 2: Kundendaten werden gestohlen
Ein Online-Händler (18 Mitarbeitende) erleidet ein Datenleck — 12’000 Kundendatensätze mit Namen, Adressen und Kreditkartendaten werden gestohlen.
| Kostenposition | Betrag | Betriebshaftpflicht | Cyberversicherung |
|---|---|---|---|
| IT-Forensik | CHF 25’000 | Nein | Ja |
| Benachrichtigung Betroffener | CHF 120’000 | Nein | Ja |
| Rechtskosten (EDÖB, Klagen) | CHF 45’000 | Nein | Ja |
| Schadenersatz an Betroffene | CHF 60’000 | Nein | Ja |
| Krisenmanagement / PR | CHF 18’000 | Nein | Ja |
| Kreditüberwachung Betroffene | CHF 36’000 | Nein | Ja |
| Total | CHF 304’000 | CHF 0 | CHF 304’000 |
Resultat: Die Betriebshaftpflicht schliesst Datenschutzverletzungen typischerweise aus. Die gesamte Schadensumme fällt in den Deckungsbereich der Cyberversicherung.
Beispiel 3: Mitarbeiter verursacht versehentlich Datenlöschung beim Kunden
Ein IT-Dienstleister (8 Mitarbeitende) führt ein Wartungsupdate beim Kunden durch. Durch einen Fehler wird die gesamte Datenbank des Kunden gelöscht.
| Kostenposition | Betrag | Betriebshaftpflicht | Cyberversicherung |
|---|---|---|---|
| Datenwiederherstellung beim Kunden | CHF 40’000 | Teilweise | Ja |
| Betriebsunterbrechung des Kunden | CHF 85’000 | Teilweise | Ja |
| Rechtskosten | CHF 15’000 | Ja | Ja |
| Total | CHF 140’000 | ca. CHF 15’000 | CHF 140’000 |
Resultat: Hier gibt es eine seltene Grauzone. Die Betriebshaftpflicht könnte argumentieren, dass es sich um einen Sachschaden (Zerstörung von Daten) handelt. In der Praxis wird dies jedoch häufig abgelehnt, da Daten in vielen Policen nicht als «Sache» gelten. Die Cyberversicherung deckt den Schaden klar ab.
Beispiel 4: CEO-Fraud per gefälschter E-Mail
Die Buchhalterin eines Handelsunternehmens (22 Mitarbeitende) erhält eine täuschend echt gefälschte E-Mail vom «CEO» mit der Anweisung, CHF 95’000 an ein ausländisches Konto zu überweisen.
| Kostenposition | Betrag | Betriebshaftpflicht | Cyberversicherung |
|---|---|---|---|
| Überweisungsverlust | CHF 95’000 | Nein | Ja (Social Engineering) |
| IT-Forensik | CHF 8’000 | Nein | Ja |
| Rechtskosten | CHF 12’000 | Nein | Ja |
| Total | CHF 115’000 | CHF 0 | CHF 115’000 |
Resultat: CEO-Fraud ist ein reiner Vermögensschaden ohne Personen- oder Sachschaden — die Betriebshaftpflicht greift nicht. Voraussetzung für die Cyberversicherung: Der Baustein «Social Engineering» muss in der Police enthalten sein.
Beispiel 5: Malware wird versehentlich an Kunden weitergeleitet
Eine Kommunikationsagentur (15 Mitarbeitende) versendet eine infizierte Datei an 50 Kunden. Bei drei Kunden führt die Malware zu Systemausfällen.
| Kostenposition | Betrag | Betriebshaftpflicht | Cyberversicherung |
|---|---|---|---|
| Schadenersatzforderungen der 3 Kunden | CHF 120’000 | Nein | Ja |
| Eigene IT-Forensik | CHF 15’000 | Nein | Ja |
| Rechtskosten | CHF 22’000 | Nein | Ja |
| Reputationsmanagement | CHF 10’000 | Nein | Ja |
| Total | CHF 167’000 | CHF 0 | CHF 167’000 |
Resultat: Obwohl es sich um eine Haftpflicht-Situation handelt (Sie haben Dritten geschadet), fällt dies unter die Netzwerksicherheits-Haftpflicht der Cyberversicherung, nicht unter die Betriebshaftpflicht.
Die «Cyber-Gap» — warum beide Versicherungen nötig sind
Die fünf Beispiele zeigen ein klares Muster: Zwischen Betriebshaftpflicht und Cyberversicherung klafft eine systematische Lücke, die sogenannte «Cyber-Gap». Diese Lücke entsteht, weil die Betriebshaftpflicht in einer Zeit konzipiert wurde, in der Geschäftsrisiken primär physischer Natur waren.
Die Cyber-Gap visuell dargestellt
| Risikobereich | Abgedeckt durch |
|---|---|
| Physische Schäden an Dritten | Betriebshaftpflicht |
| Digitale Schäden an Dritten | LÜCKE → Cyberversicherung schliesst sie |
| Eigene digitale Schäden | LÜCKE → Cyberversicherung schliesst sie |
| Physische Schäden am Eigentum | Sachversicherung |
| Mitarbeiterunfälle | Unfallversicherung (UVG) |
Ohne Cyberversicherung sind Sie im digitalen Raum faktisch unversichert — unabhängig davon, wie umfassend Ihre übrigen Versicherungen sind.
Gibt es Betriebshaftpflicht-Policen mit Cyber-Baustein?
Einige wenige Schweizer Versicherer bieten inzwischen Cyber-Erweiterungen als Zusatzbaustein zur Betriebshaftpflicht an. Diese bieten typischerweise:
- Deckungssummen von CHF 25’000–100’000 (oft zu niedrig für einen realen Vorfall)
- Nur ausgewählte Bausteine (häufig nur Forensik und Datenwiederherstellung)
- Keine Betriebsunterbrechungsdeckung
- Keine 24/7-Hotline mit spezialisierten Cyber-Experten
- Keine Social-Engineering-Deckung
Diese Erweiterungen können als erster Basisschutz sinnvoll sein, ersetzen aber keine eigenständige Cyberversicherung. Sie sind vergleichbar mit einem Regenponcho: besser als nichts, aber kein Ersatz für einen richtigen Regenschutz bei einem Sturm.
Kostenvergleich: Betriebshaftpflicht vs. Cyberversicherung
Viele KMU befürchten, dass eine zusätzliche Cyberversicherung ihr Versicherungsbudget sprengt. Ein Blick auf die Zahlen zeigt, dass diese Sorge unbegründet ist:
| Versicherungstyp | Typische Jahresprämie (KMU, 25 MA) | Typische Deckungssumme |
|---|---|---|
| Betriebshaftpflicht | CHF 800–3’000 | CHF 3–5 Mio. |
| Cyberversicherung | CHF 1’500–3’500 | CHF 1–2 Mio. |
| Beide zusammen | CHF 2’300–6’500 | Kombination |
Die Mehrkosten für eine Cyberversicherung betragen also CHF 1’500–3’500 pro Jahr — weniger als CHF 300 pro Monat für ein KMU mit 25 Mitarbeitenden. Angesichts eines durchschnittlichen Cyberschadens von CHF 180’000 ist das ein hervorragendes Kosten-Nutzen-Verhältnis.
Bündelrabatte nutzen
Einige Schweizer Versicherer bieten Kombi-Rabatte, wenn Sie Betriebshaftpflicht und Cyberversicherung beim gleichen Anbieter abschliessen. Der typische Rabatt beträgt 5–15 % auf die Cyberprämie. Allerdings sollte der Preis nicht das alleinige Kriterium sein — die Deckungsqualität ist wichtiger.
Tipp: Ein unabhängiger Broker wie BTAG Versicherungsbroker AG kann sowohl Betriebshaftpflicht als auch Cyberversicherung am Markt vergleichen und die optimale Kombination für Ihr Unternehmen finden — ob gebündelt oder separat, je nachdem, wo das bessere Gesamtpaket liegt.
Was KMU jetzt tun sollten — drei konkrete Schritte
Schritt 1: Bestehende Betriebshaftpflicht auf Cyber-Ausschlüsse prüfen
Nehmen Sie Ihre aktuelle Betriebshaftpflicht-Police zur Hand und suchen Sie gezielt nach den folgenden Begriffen:
- «Cyber», «elektronische Daten», «Datenschutz»
- «Ausschluss digitaler Risiken» oder «IT-Risiken»
- «Reine Vermögensschäden»
- «Immaterielle Güter»
Wenn Sie eine oder mehrere Ausschlussklauseln finden — was bei den meisten Policen der Fall sein wird — haben Sie die Bestätigung: Ihre Betriebshaftpflicht deckt Cyberschäden nicht ab.
Schritt 2: Cyberrisiken bewerten
Stellen Sie sich die folgenden Fragen:
- Wie lange könnte Ihr Unternehmen ohne IT-Systeme arbeiten?
- Welche Daten verarbeiten Sie (Kundendaten, Finanzdaten, Gesundheitsdaten)?
- Sind Sie Teil einer digitalen Lieferkette?
- Hatten Sie in der Vergangenheit Cybervorfälle oder Beinahe-Vorfälle?
Je mehr dieser Fragen Sie mit «relevant» oder «kritisch» beantworten, desto dringender ist der Abschluss einer eigenständigen Cyberversicherung.
Schritt 3: Professionelle Beratung einholen
Der Cyberversicherungsmarkt in der Schweiz ist komplex, und die Unterschiede zwischen den Anbietern sind erheblich. Ein unabhängiger Versicherungsbroker kann:
- Ihre bestehenden Policen auf Deckungslücken prüfen
- Ihren spezifischen Cyberschutzbedarf ermitteln
- Angebote mehrerer Versicherer vergleichen
- Die optimale Kombination aus Betriebshaftpflicht und Cyberversicherung zusammenstellen
Detaillierte Informationen zu den verschiedenen Deckungsbausteinen finden Sie in unserem Ratgeber Deckungsumfang einer Cyberversicherung. Grundlegendes Wissen bietet unser Artikel Was ist eine Cyberversicherung?.
Häufig gestellte Fragen
Deckt meine Betriebshaftpflicht Phishing-Schäden?
Nein. Phishing führt typischerweise zu einem reinen Vermögensschaden (z. B. unrechtmässige Überweisung) oder zu einem Datenschutzverstoss. Beides fällt nicht unter die Betriebshaftpflicht, sondern unter die Cyberversicherung.
Was ist, wenn mein IT-Dienstleister einen Fehler macht — zahlt dann seine Haftpflicht?
Die Berufshaftpflicht Ihres IT-Dienstleisters deckt nur Fehler, die er direkt verursacht hat (z. B. fehlerhafte Konfiguration). Schäden durch externe Angriffe auf Ihre Systeme sind dadurch nicht gedeckt, auch wenn Ihr IT-Dienstleister die Systeme betreut. Für den Schutz Ihres Unternehmens benötigen Sie eine eigene Cyberversicherung.
Brauche ich beide Versicherungen, auch wenn ich ein sehr kleines Unternehmen bin?
Ja. Die Betriebshaftpflicht schützt vor physischen Haftpflichtrisiken, die Cyberversicherung vor digitalen. Beide Risikobereiche bestehen unabhängig von der Unternehmensgrösse. Für Kleinstunternehmen gibt es beide Versicherungen zu günstigen Prämien.
Kann ich die Cyberversicherung als Baustein in meine Betriebshaftpflicht integrieren?
Einige Versicherer bieten Cyber-Erweiterungen zur Betriebshaftpflicht an. Diese bieten aber typischerweise nur eine Basisdeckung mit niedrigen Deckungssummen (CHF 25’000–100’000). Für die meisten Unternehmen empfehlen wir eine eigenständige Cyberversicherung mit adäquater Deckungssumme und umfassenden Bausteinen.
Fazit: Die Cyber-Gap schliesst sich nicht von allein
Die Betriebshaftpflichtversicherung ist und bleibt eine unverzichtbare Grundversicherung für jedes Schweizer Unternehmen. Aber sie wurde für die physische Welt geschaffen und bietet im digitalen Raum keinen Schutz. Die Annahme, dass die Betriebshaftpflicht Cyberschäden irgendwie mitversichert, ist ein Irrtum, der im Ernstfall Hunderttausende von Franken kosten kann.
Die Lösung ist einfach: Beide Versicherungen abschliessen. Die Mehrkosten von CHF 1’500–3’500 pro Jahr für eine eigenständige Cyberversicherung sind minimal im Vergleich zum potenziellen Schaden — und sie sichern das ab, was die Betriebshaftpflicht konstruktionsbedingt nicht leisten kann.
Ihr nächster Schritt: Lassen Sie Ihre bestehende Betriebshaftpflicht und Ihren Cyber-Schutz von BTAG Versicherungsbroker AG kostenlos analysieren. BTAG identifiziert Deckungslücken, vergleicht alle Schweizer Anbieter und stellt die optimale Versicherungskombination für Ihr Unternehmen zusammen. Jetzt kostenlose Gap-Analyse anfragen