Cyber-Haftpflicht für Vermessungsdrohnen — Datenverlust, Hacking
Written by the Drohnenversicherer editorial team · reviewed by Anton Kuznetsov, founder
Gewerbliche Vermessungsdrohnen erzeugen hochauflösende Ortho- und LiDAR-Datensätze, die weit über den Flugbetrieb hinaus haftungsrelevant bleiben. Wer als Operator oder Broker ein Deckungskonzept aufbaut, muss drei Risikodimensionen gleichzeitig adressieren: den physischen Betrieb nach EASA-Kategorie Specific (UAS.SPEC) mit nationaler Genehmigung durch die LBA, die datenschutzrechtliche Exposition nach DSGVO sowie die wachsende Cyber-Angriffsfläche vernetzter Drohnensysteme. Dieser Beitrag zeigt, wo Standard-Haftpflichtpolicen enden und wo eine dedizierte Cyber-Haftpflicht beginnen muss.
Warum Standard-Drohnenhaftpflicht bei Datenverlust nicht ausreicht
Klassische Drohnen-Haftpflichtpolicen decken Personen- und Sachschäden Dritter ab, die aus dem Flugbetrieb entstehen. Sie folgen dem Luftfahrthaftpflichtrecht und orientieren sich an den Mindestdeckungssummen der EU-Verordnung 2021/664 sowie den nationalen Vorgaben der LBA. Datenverlust, unberechtigte Datenweitergabe oder die Manipulation von Geodaten durch einen Cyberangriff sind in diesen Bedingungswerken typischerweise ausgeschlossen.
Für Vermessungsunternehmen ist dieser Ausschluss besonders kritisch. Ein kompromittierter Datensatz — etwa durch einen Man-in-the-Middle-Angriff auf die Datenübertragung zwischen Drohne und Bodenstation — kann Folgeschäden beim Auftraggeber auslösen, die weit über den Auftragswert hinausgehen: fehlerhafte Baupläne, verzögerte Genehmigungsverfahren, Regressansprüche aus Werkverträgen. Diese Schadenbilder sind zivilrechtlich komplex und versicherungstechnisch nur über eine Cyber-Haftpflicht mit explizitem Datenschaden-Baustein abbildbar.
Broker, die gewerbliche Vermessungsoperatoren betreuen, sollten bei jeder Programmplatzierung aktiv prüfen, ob der Kunde personenbezogene Daten verarbeitet — was bei Befliegungen im urbanen Raum oder auf bewohntem Gelände regelmäßig der Fall ist — und ob der bestehende Cyber-Schutz diese Betriebsrealität abbildet.
Cyber-Risikoprofil einer Vermessungsdrohne
Moderne Vermessungsdrohnen sind keine isolierten Fluggeräte. Sie kommunizieren über verschlüsselte, aber angreifbare Funkprotokolle mit der Bodenstation, synchronisieren Rohdaten in Echtzeit mit Cloud-Plattformen und sind häufig in unternehmensweite GIS-Infrastrukturen eingebunden. Jeder dieser Übergangspunkte ist ein potenzieller Angriffsvektor.
Konkret relevante Bedrohungsszenarien für Vermessungsoperatoren umfassen:
Die regulatorische Einordnung dieser Risiken ist noch im Entstehen. EASA und LBA adressieren Cybersicherheit im Rahmen der Specific-Kategorie bislang primär über das Operational Risk Assessment (SORA-Methodik), das Cyber-Bedrohungen als Teil des Bodenrisikos bewertet. Eine explizite Cyber-Versicherungspflicht besteht nach aktuellem Stand nicht, jedoch können Auftraggeber aus der Privatwirtschaft oder der öffentlichen Hand entsprechende Nachweise vertraglich fordern.
- GPS-Spoofing: Manipulation der Positionsdaten führt zu fehlerhaften Vermessungsergebnissen und potenziell zu Sachschäden beim Auftraggeber
- Datenleck bei der Cloud-Synchronisation: unverschlüsselte oder unzureichend gesicherte Übertragung von Geodaten mit Personenbezug löst DSGVO-Meldepflichten aus
- Ransomware auf der Bodenstation: Verschlüsselung von Rohdaten und Projektdateien unterbricht laufende Aufträge und erzeugt Betriebsunterbrechungsschäden
- Kompromittierung der Fernsteuerung: unbefugter Zugriff auf das Steuerungssystem kann zu unkontrolliertem Flugverhalten und physischen Schäden führen
- Lieferketten-Angriff auf Firmware: manipulierte Updates von Drittanbietern können Backdoors in die Systemsoftware einschleusen
DSGVO-Exposition und Haftungsrahmen für Vermessungsoperatoren
Sobald eine Vermessungsdrohne Aufnahmen erstellt, auf denen natürliche Personen, Kfz-Kennzeichen oder Gebäude mit Personenbezug erkennbar sind, ist die DSGVO anwendbar. Der Operator ist in diesem Fall Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und haftet für die ordnungsgemäße Verarbeitung, Speicherung und Löschung der Daten. Bei einem Datenschutzverstoß drohen Bußgelder durch die zuständige Landesdatenschutzbehörde sowie zivilrechtliche Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO.
Eine Cyber-Haftpflichtpolice für Vermessungsdrohnen sollte daher explizit folgende Deckungsbausteine enthalten: Haftpflichtschutz für Datenschutzverletzungen gegenüber Dritten, Übernahme von Verteidigungskosten bei Bußgeldverfahren (soweit versicherbar nach deutschem Recht), Kosten für die gesetzlich vorgeschriebene Meldung nach Art. 33 DSGVO sowie Krisenmanagement- und IT-Forensikkosten.
Broker sollten darauf achten, dass die Police zwischen Eigenschäden (First-Party) und Drittschäden (Third-Party) differenziert. Für Vermessungsunternehmen ist die Third-Party-Komponente besonders relevant, da Auftraggeber bei Datenverlust oder -manipulation Regress nehmen können.
Deckungsstruktur: Was eine spezialisierte Cyber-Haftpflicht leisten muss
Eine marktgerechte Cyber-Haftpflicht für Vermessungsdrohnen ist keine Standardpolice aus dem KMU-Cyber-Segment. Sie muss die spezifische Betriebsumgebung — mobile Datenerfassung, heterogene Übertragungswege, projektbezogene Datenhaltung — abbilden. Prämien skalieren mit Faktoren wie Flottenumfang, Anteil BVLOS-Operationen, Datenvolumen und Sicherheitsniveau der IT-Infrastruktur.
Folgende Deckungsbausteine sind für Vermessungsoperatoren typischerweise relevant:
Wichtig für die Programmgestaltung: Cyber-Deckung und klassische Drohnenhaftpflicht müssen aufeinander abgestimmt sein, um Deckungslücken und Doppelversicherungen zu vermeiden. Insbesondere bei physischen Schäden, die durch einen Cyberangriff ausgelöst werden — etwa ein durch GPS-Spoofing verursachter Absturz — ist die Abgrenzung zwischen Luftfahrthaftpflicht und Cyber-Haftpflicht vertraglich zu klären.
- Haftpflicht für Datenschutzverletzungen gegenüber Auftraggebern und betroffenen Dritten
- Kosten für IT-Forensik und Schadensfeststellung nach einem Cyberangriff
- Betriebsunterbrechungskosten durch Ransomware oder Systemausfall
- Krisenmanagement, Rechtsberatung und Kommunikationskosten
- Wiederherstellungskosten für verlorene oder beschädigte Geodaten
- Regulatorische Verteidigungskosten bei DSGVO-Verfahren
Broker-Workflow: Risikobewertung und Programmplatzierung
Die Risikoaufnahme für eine Cyber-Haftpflicht im Vermessungssegment erfordert andere Fragen als die klassische Drohnen-Haftpflicht. Neben den üblichen Angaben zu Flottenzusammensetzung, Betriebsgebiet und EASA-Genehmigungsstatus (UAS.SPEC-Genehmigung durch LBA oder EU-weit anerkannte Standardszenarien) sind IT-sicherheitsrelevante Informationen zu erheben.
Relevante Underwriting-Informationen umfassen: Art und Umfang der verarbeiteten Daten (personenbezogen vs. rein technisch), verwendete Übertragungsprotokolle und Verschlüsselungsstandards, Cloud-Infrastruktur und Zugriffskontrollen, Patch-Management-Prozesse für Drohnen-Firmware sowie bestehende Zertifizierungen wie ISO 27001 oder BSI-Grundschutz-Konformität.
Für die Platzierung empfiehlt sich ein zweistufiger Ansatz: zunächst Klärung, ob der bestehende Drohnen-Haftpflichtvertrag Cyber-Ausschlüsse enthält und wie diese formuliert sind, dann Ergänzung durch eine dedizierte Cyber-Haftpflicht mit explizitem Bezug auf den Drohnenbetrieb. Einige Spezialversicherer bieten kombinierte Produkte an, die beide Risikodimensionen in einer Police zusammenführen — dies vereinfacht die Schadenregulierung erheblich.
Frequently asked questions
- Welche Schäden deckt eine Cyber-Haftpflicht für Vermessungsdrohnen konkret ab?
- Eine spezialisierte Cyber-Haftpflicht deckt Drittschäden aus Datenschutzverletzungen, Datenverlust oder Datenmanipulation ab — also etwa Regressansprüche von Auftraggebern, deren Bauprojekte durch fehlerhafte oder kompromittierte Geodaten verzögert wurden. Hinzu kommen Eigenschäden wie IT-Forensikkosten, Wiederherstellungskosten für Geodaten sowie Betriebsunterbrechungskosten. Die klassische Drohnen-Haftpflicht nach Luftfahrthaftpflichtrecht deckt diese Schadenbilder typischerweise nicht.
- Wann ist eine Cyber-Haftpflicht für Vermessungsoperatoren regulatorisch relevant?
- Eine gesetzliche Pflicht zur Cyber-Versicherung besteht nach aktuellem deutschen Recht nicht. Die DSGVO verpflichtet Vermessungsoperatoren jedoch zur Absicherung personenbezogener Daten und zur Meldung von Datenschutzverletzungen an die zuständige Landesdatenschutzbehörde. Auftraggeber aus der öffentlichen Hand oder der Privatwirtschaft fordern zunehmend den Nachweis einer Cyber-Deckung als Vergabevoraussetzung. Darüber hinaus bewertet die EASA-Specific-Kategorie (SORA-Methodik) Cyber-Risiken als Teil des operationellen Risikoprofils.
- Wie läuft die Antragstellung für eine Cyber-Haftpflicht im Vermessungssegment ab?
- Der Broker erhebt neben den flugbetrieblichen Angaben (Flottenstruktur, LBA-Genehmigungsstatus, Betriebsgebiet) auch IT-sicherheitsrelevante Informationen: Datenverarbeitungsumfang, Übertragungsprotokolle, Cloud-Infrastruktur, Patch-Management und vorhandene Zertifizierungen. Auf Basis dieser Angaben erstellt der Spezialist ein Deckungskonzept, das Cyber-Haftpflicht und bestehende Drohnen-Haftpflicht aufeinander abstimmt. Die Platzierung erfolgt bei spezialisierten Kapazitäten, die den Drohnenbetrieb als versichertes Risiko explizit einschließen.
- Gilt die Cyber-Haftpflicht auch bei BVLOS-Operationen oder autonomen Vermessungsflügen?
- Grundsätzlich ja, sofern die Police den BVLOS-Betrieb nicht ausschließt. Autonome und BVLOS-Operationen erhöhen jedoch das Risikoprofil, da die Angriffsfläche für GPS-Spoofing und Fernzugriff größer ist. Underwriter berücksichtigen dies bei der Deckungsgestaltung: Deductibles steigen bei autonomen Operationen typischerweise, und bestimmte Sicherheitsanforderungen — etwa verschlüsselte Datenlinks oder redundante Positionierungssysteme — können als Obliegenheit vereinbart werden.
- Wie verhält sich die Cyber-Haftpflicht zu einer bestehenden allgemeinen Betriebshaftpflicht des Vermessungsunternehmens?
- Allgemeine Betriebshaftpflichtpolicen enthalten häufig Cyber-Ausschlüsse oder begrenzen die Deckung für Datenschäden erheblich. Für Vermessungsunternehmen mit Drohnenbetrieb empfiehlt sich eine explizite Prüfung der bestehenden Bedingungswerke auf Ausschlussklauseln für Datenverlust, Hacking und DSGVO-Verstöße. Eine dedizierte Cyber-Haftpflicht schließt diese Lücken und sollte mit der Drohnen-Haftpflicht koordiniert werden, um Überschneidungen bei physischen Schäden mit Cyber-Ursache klar zu regeln.
- Welche Sicherheitsmaßnahmen erwartet ein Underwriter von einem Vermessungsoperator?
- Underwriter bewerten das IT-Sicherheitsniveau des Operators als wesentlichen Ratingfaktor. Erwartet werden typischerweise: regelmäßige Firmware-Updates für Drohnen und Bodenstationen, verschlüsselte Datenübertragung, Zugriffskontrollen für Cloud-Systeme, dokumentierte Incident-Response-Prozesse sowie Mitarbeiterschulungen zu Phishing und Social Engineering. Zertifizierungen nach ISO 27001 oder BSI-Grundschutz wirken sich positiv auf die Deckungsbedingungen aus. Fehlende Basismaßnahmen können zu Obliegenheitsverletzungen im Schadenfall führen.
Sprechen Sie mit unserem Spezialistenteam über die Programmgestaltung für Ihre Vermessungskunden — wir unterstützen bei der Risikoaufnahme, der Abstimmung von Cyber- und Luftfahrthaftpflicht sowie der Platzierung bei spezialisierten Kapazitäten.