Die Versicherung von Lösegeldern im Zusammenhang mit Entführungen oder Produkterpressungen etwa bei Lebensmitteln, aber auch als Bestandteil von Cyberversicherungen ist nichts Neues. Entsprechende Versicherungsprodukte galten in Deutschland lange Zeit als unzulässig und aufgrund eines Verstoßes gegen den ordre public Grundsatz als sittenwidrig. Diese Sichtweise gab das damalige Bundesaufsichtsamt für Versicherungswesen, die Vorgängerbehörde der Bafin, zwar bereits 1998 in einem bis zu diesem Frühjahr gültigen Rundschreiben auf. Es dauerte allerdings noch bis zum Jahr 2017, bis die Bafin das Verbot einer Bündelung mit anderen Versicherungsleistungen für Cyberversicherungen aufgab. Heute ist die Versicherung von Lösegeldern ein fester Bestandteil vieler Cyberversicherungen.
Diese Hintergründe muss man kennen, will man das Bafin Rundschreiben 01/2026 zum Betrieb von Lösegeldversicherungen richtig einordnen. Denn das Rundschreiben fasst die Voraussetzungen und Änderungen, die die Bafin bereits in der Vergangenheit formuliert hat, lediglich zusammen. Inhaltlich werde nichts geändert, so die Bafin. Also alles nur „alter Wein in neuen Schläuchen“?
Entwicklungen der Zulässigkeitsvoraussetzungen
Die Versicherung von Lösegeldern wurde in Deutschland ursprünglich als unzulässig angesehen. Begründet wurde dies mit einem Verstoß gegen den ordre public Grundsatz und § 138 Abs. 1 BGB. Davon betroffen waren insbesondere Versicherungen, welche Lösegeldforderungen bei Entführungen abdecken sollten. Ebenfalls in Rede standen Versicherungen gegen Erpressungen, etwa im Zusammenhang mit der Vergiftung von Lebensmitteln. Die Ablehnung einer Versicherung von Lösegeldern basierte dabei insbesondere auf dem Gedanken, dass die Möglichkeit einer Versicherung entsprechende erpresserische Handlungen fördern könnte.
Mit Rundschreiben vom 21. Juli 1998 beschrieb das Bundesaufsichtsamt für Versicherungswesen, die heutige Bafin, erstmals, unter welchen Voraussetzungen von der Zulässigkeit einer Lösegeldversicherung ausgegangen werden könnte. Dieses Umdenken wurde insbesondere mit positiven Erfahrungen im EU/EWR-Raum begründet. Der Betrieb einer entsprechenden Versicherung wurde jedoch an strenge Voraussetzungen geknüpft. Besonders im Fokus stand dabei die Geheimhaltung entsprechender Versicherungsverträge, um etwaige polizeiliche Ermittlungen nicht zu beeinträchtigen und Erpressungen gerade wegen des Bestehens einer entsprechenden Versicherung zu verhindern. Verfügt wurden daher ein Werbe- sowie ein Kopplungsverbot mit anderen Versicherungen. Auch musste die Laufzeit einer entsprechenden Versicherung grundsätzlich auf ein Jahr begrenzt werden und zur Vermeidung der Risikoerhöhung eine den wirtschaftlichen Verhältnissen des jeweiligen Versicherungsnehmers entsprechende Versicherungssumme vereinbart werden. Darüber hinaus musste sich der Versicherungsnehmer durch ein kompetentes Sicherheitsunternehmen beraten lassen. Zur Geheimhaltung beitragen sollte weiter, dass lediglich drei Personen innerhalb eines Unternehmens vom Bestand der Versicherung Kenntnis haben durften, eine mit der Schadenregulierung betraute Stelle direkt dem Vorstand unterstellt sein musste und Mitarbeiter umfangreich zur Verschwiegenheit verpflichtet wurden. Auch unterlag die Lösegeldversicherung ursprünglich noch einer Genehmigungspflicht.
In den letzten Jahren folgten jedoch zumindest partielle Lockerungen dieser Voraussetzungen durch die Bafin. Zunächst entfiel im Jahr 2000 die gesonderte Genehmigungspflicht (VerBAV 2000, 171). Im Bafin Journal 03/08 führte die Bafin aus, dass Vertragsverlängerungsklauseln um ein Jahr dann zulässig sein sollen, wenn rechtzeitig ein entsprechendes Renewal Statement vom Versicherungsnehmer eingereicht wird. Dies sollte sicherstellen, dass die Versicherungssumme weiterhin den Angemessenheitsanforderungen entspricht, also die Höhe der Versicherungssumme den wirtschaftlichen Verhältnissen des Unternehmens entspricht, diese insbesondere nicht überschreitet. Für den Fall des Ausbleibens eines solchen Statements sei die automatische Auflösung des Versicherungsvertrags zu regeln.
Im Bafin Journal 06/14 nahm die Bafin dann 2014 auch hinsichtlich der Geheimhaltung Lockerungen vor. Im gewerblichen Bereich war es seither bei unumgänglicher Erforderlichkeit gestattet, mehr als die ursprünglich benannten drei Personen einzuweihen, etwa wegen der notwendigen Einbeziehung von Dienstleistern (Charterer oder Crew-Agents). Eine weitere Ausnahme bildeten Krisenstäbe.
Ab 2017 gestattete die Bafin schließlich die Bündelung von Lösegeld- mit Cyberversicherungen, ohne dabei aber eigenständige Vorgaben für Cyberversicherungen zu machen. Die bisherigen Vorgaben wurden lediglich leicht angepasst: Weiterhin sollte ein Werbeverbot gelten, sodass Versicherer ausschließlich für die Cyberversicherung, nicht aber für einen in dieser enthaltenen Lösegeldbaustein werben durften. Auch wies die Bafin in ihrem Journal 09/17 darauf hin, dass die Ermittlungsarbeit der Polizei nicht beeinträchtigt und der Datenschutz gewährleistet werden müsse.
„Neue“ Vorgaben der Bafin
Das neueste Rundschreiben der Bafin 01/2026 fasst die Voraussetzungen sowie Änderungen der vergangenen Jahre zusammen und ersetzt zudem das bisher gültige Rundschreiben aus dem Jahr 1998. Die Bafin weist jedoch ausdrücklich darauf hin, dass das Rundschreiben keine inhaltlichen Neuerungen enthält. Bereits in den vergangenen Journalen führte die Bafin aus, dass sich das ursprüngliche Rundschreiben seit Veröffentlichung in der Praxis bewiesen habe und daher, sofern nicht ausdrücklich angepasst, in seiner Ursprungsform weitergelte. Das neueste Rundschreiben löst zwar mit seinem Inkrafttreten (01.04.2026) das bisherige Rundschreiben ab, enthält jedoch lediglich die bisherigen Anforderungen unter Aufnahme der vorgenannten Änderungen.
Die Bafin bleibt daher ihrer bisherigen Linie treu und lässt die Lösegeldversicherung weiterhin nur unter den in den letzten Jahren konkretisierten Anforderungen zu. Zielrichtung bleibt dabei die Achtung der Geheimhaltung sowie die Vermeidung von Beeinträchtigungen der polizeilichen Ermittlungsarbeit und Vermeidung kollusiven Zusammenwirkens zwischen Täter, Opfer oder Mitarbeitern des Versicherungsnehmers oder Versicherers.
Bedeutung für die Praxis von Cyberversicherungen
Rundschreiben der Bafin stellen zunächst keine rechtsverbindlichen Anordnungen der Bafin gegenüber Versicherern oder Versicherungsnehmern dar. Die Bafin teilt in diesen lediglich ihre Rechtsansichten mit und wie sie ihr Verwaltungshandeln ausrichten würde, wenn sie z.B. im Rahmen der Rechtsaufsicht über einen entsprechenden Fall zu entscheiden hätte. Ob eine Auffassung der Bafin also von den entsprechenden Vorgaben des VAG gedeckt wäre, sofern sie sie zum Gegenstand einer Verfügung machen würde, ist eine andere Frage.
Für die Versicherung von Lösegeldern (nicht nur) in Cyberversicherungen wirft das die Frage auf, ob diese tatsächlich gegen ein gesetzliches Verbot (§ 134 BGB) oder die guten Sitten (§ 138 BGB) verstößt. Ein gesetzliches Verbot besteht nicht. Der Gesetzgeber hat sich bis heute nicht zu einem Versicherungsverbot entschieden, obwohl dies in den letzten Jahren schon mehrfach diskutiert wurde. Ob Lösegeldversicherungen einen Verstoß gegen die guten Sitten darstellen, wird in der Literatur kontrovers diskutiert und lässt sich bis heute nicht klar beantworten. Die überzeugenderen Gründe sprechen aber gegen eine Sittenwidrigkeit. Gerichtliche Entscheidungen existieren, soweit ersichtlich, nicht. Sowohl für Versicherungsnehmer im Hinblick auf die Unwirksamkeit entsprechender Versicherungen als auch für Versicherer im Hinblick auf etwaige Verfügungen der Bafin bedeutet das schlicht Rechtsunsicherheit.
Insoweit ist auffällig, dass die Bafin sich in ihrem neuen Rundschreiben allein mit formalen Vorgaben für Lösegeldversicherungen befasst und der Kernfrage eines gesetzlichen Verbots und der Sittenwidrigkeit ausweicht. Ersichtlich ist, dass die Bafin hier nicht den Ersatzgesetzgeber spielen will. Auffällig ist aber auch, dass die Bafin mit keinem Wort anspricht, warum sie das Rundschreiben 01/2026 eigentlich veröffentlicht hat, da dieses doch im Vergleich zu den vorangegangenen Rundschreiben – in den Worten der Bafin – inhaltlich nichts ändert.
Auch der Bafin ist aber natürlich nicht verborgen geblieben, dass die Lösegeldversicherung durch Cyberversicherungen einen ganz anderen Stellenwert erhalten hat als dies noch in der Vergangenheit der Fall war. Man wird daher in dem Rundschreiben zunächst einmal die unausgesprochene Betonung des Umstands sehen müssen, dass die Bafin sich dieser Entwicklung bewusst ist und sie beobachtet. Positiv gewendet könnte man daher zu dem Schluss gelangen, dass die Bafin durch ihre Vorgaben letztlich eine Entwicklung hin zu mehr IT-Sicherheit fördern will. Das gilt zuerst für die Versicherungsnehmer, die sich nicht vorschnell und allein auf eine Lösegeldversicherung verlassen sollen. Das gilt aber auch für Versicherer. Die Lösegeldversicherung mag in vielen Cyberversicherungen ein fester Bestandteil sein. Eine umfassende Risikoprüfung und Förderung der IT-Sicherheit durch alle Marktteilnehmer gibt es in der Praxis aber leider nicht immer. Allzu oft ist in Schadenfällen leider festzustellen, dass sich Versicherungsnehmer im Zweifel auf ihre Cyberversicherung verlassen und – obwohl das Thema Ransomware beileibe kein neues ist – notwendige technische, organisatorische und personelle Risikovorkehrungen nur unzureichend, teilweise aber auch schlicht gar nicht, umsetzen.
Dass die Bafin in ihrem Rundschreiben vor diesem Hintergrund aber nur ihre bisherigen Rundschreiben zusammenfasst, ist eine verpasste Chance. Mehr als deutlich merkt man dem Rundschreiben die Grundgedanken aus dem Jahr 1998 an, als es noch allein um die Versicherung gegen Entführungen und Produkterpressungen ging. Für eine Cyberversicherung sind die Vorgaben gerade im Schadenfall schlicht unpraktikabel. Im Rundschreiben findet diese nur im Zusammenhang mit der Ausnahme vom Verbot einer Bündelung mit anderen Versicherungsleistungen Erwähnung.
Die nahezu unveränderte Übertragung der Grundsätze lässt dabei jedoch außer Acht, dass die Cyberversicherung auf anderen Grundvoraussetzungen beruht. Im Gegensatz zur Personen- oder Produktlösegeldversicherung handelt es sich bei der Cyberversicherung inzwischen um ein Massenprodukt. Die dahinterstehenden Versicherer halten folglich kein limitiertes Portfolio an Versicherungen, sondern verfügen über Massenbestände. Daraus ergeben sich hinsichtlich der Anforderungen der Bafin an die Gestaltung der Lösegeldversicherung im Cyberversicherungskontext einige Spannungsfelder.
So stellt sich beispielsweise bereits bei Vertragsabschluss die Frage, inwieweit es tatsächlich einer gesonderten Beratung durch ein kompetentes externes Sicherheitsunternehmen bedarf. Nicht nur fehlt eine Konkretisierung, was für Anforderungen an ein solches zu stellen sind. Idealerweise sollte ein Versicherungsnehmer aber auch bereits über eine technisch wie organisatorisch ausreichende IT-Sicherheit verfügen. Selbst dann, wenn Cyberversicherer mit detaillierten Risikofragebögen und vertraglichen Sicherheitsanforderungen arbeiten, können sie eine entsprechende IT-Sicherheit bei Versicherungsnehmerin auf diesem Wege allenfalls mittelbar beeinflussen. Der Trend geht derzeit in der Praxis zudem eher zu weniger Fragen und Obliegenheiten.
Im Ransomware-Schadenfall ist eine separate Schadenbearbeitung zur Lösegeldversicherung durch eine gesonderte und dem Vorstand direkt unterstellte Stelle schlicht nicht durchführbar. Die Verhandlung und Zahlung eines Lösegeldes, die von Versicherern erfahrungsgemäß nie empfohlen wird, steht innerhalb der Schadenbearbeitung nicht isoliert und kann es auch nicht. Wenn Daten nur durch eine Lösegeldzahlung zurückerlangt werden können oder eine Veröffentlichung verhindert werden soll, steht die Frage einer Lösegeldzahlung in direktem Zusammenhang zu anderen Versicherungsbestandteilen, sei es der Betriebsunterbrechung- oder Haftpflichtdeckung. Im Einzelnen bleibt hier auch vieles unklar. Wie soll etwa die gesonderte Bearbeitung aussehen? Wann soll die Hinzuziehung von Dienstleistern erforderlich sein und wann nicht?
Ebenfalls offen bleibt die Frage, welche genauen Maßstäbe die Bafin an die Angemessenheit der festzulegenden Versicherungssumme stellt. Die Zielrichtung, dass die Höhe der Versicherungssumme das subjektive Risiko einer Erpressung nicht erhöhen soll, lässt dabei weite Interpretationsspielräume zu. Damit einher geht zudem die Frage der praktischen Umsetzbarkeit hinsichtlich der jährlichen Überprüfungen im Rahmen des Renewals. Durch die Masse an Versicherungsverträgen im Cyberbereich entsteht hier ein deutlich höherer Aufwand hinsichtlich der Überprüfung im Vergleich zur klassischen Personen- oder Produktlösegeldversicherung. Eine im Cyberversicherungsvertrag enthaltene Lösegeldklausel müsste insofern zudem über eine gesonderte automatische Erlöschensklausel verfügen.
Fazit
Die Bafin hält also auch für Cyberversicherungen an ihren bisherigen Grundsätzen zur Zulässigkeit von Lösegeldversicherungen fest. Gerade zu Cyberversicherungen macht sie leider keine spezifischen Vorgaben, sondern will diese letztlich wie andere Lösegeldversicherungen behandelt sehen. Für alle Marktteilnehmer ist das eine Herausforderung. Es bleibt weiter abzuwarten, ob die Bafin in den nächsten Jahren mit Blick auf die doch deutlich abweichende Situation bei Cyberversicherungen weitere Ausführungen zu diesen machen will und gegebenenfalls sogar von den Vorgaben für die allgemeine Lösegeldversicherung abkoppeln wird.
