Assekuranz Recht Thema des Tages

Cyberversicherung – Achtung, Obliegenheit!

© NDABCREATIVITY – stock.adobe.com

Die sogenannte Cyberversicherung gewinnt zunehmend an Bedeutung. Mit dieser Versicherung können Schäden abgesichert werden, wenn ein Unternehmen aufgrund eines Hackerangriffs nicht mehr auf seine Datenbestände und/oder IT-Infrastruktur zugreifen oder wegen Bedien- oder Programmierfehlern nicht mehr arbeiten und seine vertraglichen Verpflichtungen erfüllen kann.

Ein Artikel von Rechtsanwalt Tobias Strübing, Wirth–Rechtsanwälte Rechtsanwälte in Partnerschaft mbB

Aufgrund der zunehmenden Digitalisierung in fast jedem Arbeitsbereich dürfte ein solcher Angriff in den meisten Fällen mindestens zu erheblichen Störungen, wenn nicht sogar zu einem völligen Stillstand in der eigenen Firma führen.

Tobias Strübing, Rechtsanwalt, Wirth–Rechtsanwälte Rechtsanwälte in Partnerschaft mbB

Solche Angriffe nehmen nicht nur ständig zu. In den meisten Fällen sind es zudem die eigenen Mitarbeiter, die durch geschickte Manipulation dazu veranlasst werden, Schadsoftware zu öffnen, Sicherheitsfunktionen auszuhebeln oder vertrauliche Informationen herauszugeben. Umso wichtiger ist es daher, Mitarbeiter regelmäßig zu schulen und für die genannten Angriffe zu sensibilisieren.

Neben der Erstattung der entstandenen Eigen- und Vermögensschäden leisten viele Versicherer auch Soforthilfe, denn häufig gilt in solchen Fällen das alte Sprichwort „Zeit ist Geld“. Je länger eine Produktion stillsteht oder ein Dienstleister nicht arbeiten kann, desto größer werden Betriebsunterbrechungsschäden, die gegebenenfalls erstattet werden müssten. Denkbar ist auch Versicherungsschutz für daraus entstehende Haftungsansprüche oder Datenschutzverletzungen.

Das wissen auch die Versicherer und legen ihren Versicherungsnehmern nicht nur bezüglich der Soforthilfen, sondern auch in vielen anderen Punkten Obliegenheiten auf. Diese Obliegenheiten führen in unserer täglichen Praxis zu einigen Streitigkeiten. Wir wollen daher heute einen genaueren Blick darauf werfen und empfehlen jedem Vermittler, auch diese Obliegenheiten vor Vermittlung zu prüfen und genau mit ihren Kunden zu besprechen.

Den Leistungsanspruch behalten

Obliegenheiten sind zunächst einmal Normen, aus denen sich ergibt, was der Versicherungsnehmer zu tun oder zu lassen hat, um den Versicherungsschutz zu erhalten. Sie stellen somit auf das Verhalten des Versicherungsnehmers ab. Obliegenheiten sind keine unmittelbar erzwingbaren Verbindlichkeiten, sondern bloße Verhaltensnormen (Voraussetzungen), die der Versicherungsnehmer zu erfüllen hat, wenn er seinen Leistungsanspruch behalten will.

Sie müssen für den Versicherungsnehmer transparent und nachvollziehbar regeln, welches konkrete Verhalten von ihm verlangt wird und welche Rechtsfolgen an eine Verletzung geknüpft werden. Versicherer regeln Obliegenheiten, die vor und auch nach Eintritt eines Versicherungsfalles zu beachten sind.

Ähnlich tun es auch einige Cyberversicherer und verlangen von ihren Versicherungsnehmern bestimmte Sicherungsmaßnahmen, um den vollen Versicherungsschutz zu erhalten. So sollen Versicherungsnehmer teilweise dafür sorgen, dass die Nutzer der IT-Systeme jeweils eigene Zugänge mit ausreichend komplexen Passwörtern sichern und administrative Zugänge auch nur entsprechenden Administratoren zugänglich sind.

Ferner wird verlangt, dass IT-Systeme über aktuelle Virenscanner und Firewalls verfügen und gegebenenfalls auch über zusätzliche Sicherungsmaßnahmen verfügen, wenn beispielsweise besonders sensible Daten verarbeitet werden. Außerdem wird verlangt, dass in strukturierter Art und Weise dafür gesorgt wird, dass Sicherheitslücken der genutzten Software durch das Aufspielen von Updates geschlossen werden. Schließlich sind uns Obliegenheiten begegnet, die von dem Versicherungsnehmer konkrete Datensicherungsmaßnahmen verlangten, um den Versicherungsschutz aufrechtzuerhalten.

Auch wenn man sich im Detail über einzelne Formulierungen in den recht jungen Versicherungsbedingungen sicher wird streiten können, so wird aus den vorgenannten Obliegenheiten die Intention der Versicherer rechtlich deutlich klar. Cyberversicherer möchten darüber sicherstellen, dass der Versicherungsschutz nur für solche IT-Systeme zur Verfügung gestellt wird, die dem technischen Stand entsprechen und die ausreichend gesichert sind. Das versteht sich auch angesichts der klaren Regelungen in der Datenschutzgrundverordnung eigentlich von selbst, wird dann aber doch in einigen Fällen nicht ausreichend berücksichtigt, wie uns die Praxisfälle zeigen.

Im Versicherungsfall

Hinzu kommen aber auch Obliegenheiten, die Versicherungsnehmer nach Eintritt des Versicherungsfalles einzuhalten haben. Bekanntermaßen müssen Versicherungsfälle dem Versicherer unverzüglich angezeigt werden. Dies regelt schon das Versicherungsvertragsgesetz. „Unverzüglich“ bedeutet, dass der Versicherungsfall ohne schuldhaftes Zögern gemeldet werden muss. Das bedeutet aber regelmäßig nicht, dass der Versicherungsnehmer quasi noch während des Versicherungsfalls sofort seinen Versicherer kontaktieren muss. So reicht es zur Wahrung dieser Obliegenheit häufig aus, wenn Versicherungsfälle innerhalb der kommenden Tage gemeldet werden und im gegebenen Fall der Schadensort nicht verändert oder bei Veränderung der Schaden ausreichend dokumentiert wird.

Viele Versicherer knüpfen aber auch an den Soforthilfe- oder Assistenz-Service eine Meldeobliegenheit und verlangen von ihren Versicherungsnehmern, dass sie den jeweiligen Dienstleister unverzüglich kontaktieren. Gegenstand des Versicherungsschutzes ist häufig nämlich auch eine Dienstleistung, die Servicepartner der Versicherer anbieten. Diese Dienstleistung beinhaltet dann die Sicherung der betroffenen IT-Systeme und gegebenenfalls das Ergreifen von Abwehrmaßnahmen und/oder Maßnahmen zur Wiederherstellung. Im Falle eines bekannt gewordenen Hackerangriffs oder einer Beeinträchtigung der IT-Systeme dürfte es aber nicht selten auf wenige Stunden, wenn nicht sogar Minuten ankommen, um geeignete Maßnahmen zu ergreifen, die den Schaden verhindern oder zumindest minimieren können.

Daher sollten Versicherungsnehmer solcher Versicherungen im Schadensfall sofort nach Bekanntwerden eines potenziellen Versicherungsfalls die entsprechenden Dienstleister kontaktieren. Selbstverständlich sollten dabei nicht die eigene IT-Abteilung oder eigene IT-Dienstleister übergangen werden. Diese sind weiterhin als Erste zu informieren, soweit sie von dem Angriff und/oder IT-Problemen nicht ohnehin als Erste erfahren haben. Sie kennen die IT-Systeme in der Regel deutlich besser als ein externer Dienstleister. Versicherungsrechtlich sollte aber unbedingt beachtet werden, dass spätestens danach ein etwaiger Dienstleister informiert wird, der Sie oder gegebenenfalls die IT-Mitarbeiter oder IT-Dienstleister ergänzend beraten kann. Das ist nicht unbedingt etwas, an das Versicherungsnehmer im Falle eines IT-Problems als Erstes denken. Wie uns die Praxisfälle zeigen, kann die Verletzung dieser Obliegenheit recht schnell zu Streitigkeiten über den Umfang des Versicherungsschutzes führen.

Die Pflichten eines Versicherungsmaklers gehen bekanntermaßen sehr weit. Diese weitgehenden Pflichten verlangen zwar nicht, dass der Kunde über jede einzelne Klausel eines Versicherungsvertrages aufgeklärt wird. Wir empfehlen jedoch, dass der Kunde bereits in der Beratung auf gegebenenfalls bestehende Obliegenheiten ausdrücklich hingewiesen und ihm deutlich gemacht wird, dass Versicherungsschutz nur unter Einhaltung ganz bestimmter Bedingungen besteht. Idealerweise sollte dies dann auch in der Beratungsdokumentation vermerkt werden.

Bild: © Wirth–Rechtsanwälte Rechtsanwälte in Partnerschaft mbB

Themen

Lesen Sie auch