Verhaltensregeln beachten sichert Ansprüche im Schadensfall

Ein Beitrag von Tobias Strübing, Rechtsanwalt Wirth–Rechtsanwälte Rechtsanwälte in Partnerschaft mbB

Eine Cyberversicherung mindert für die Betroffenen nicht nur die finanziellen Folgen eines solchen Dramas, sondern auch den nervlichen Stress. Häufig ist eine solche Versicherung nämlich mit weiteren Serviceleistungen im Notfall verbunden, die über die reine Erstattung der entstandenen Eigen- und Vermögensschäden hinausgehen:

Viele Versicherer bieten etwa praktische Soforthilfe, beispielsweise eine Hotline, an, denn häufig gilt in solchen Fällen das alte Sprichwort „Zeit ist Geld“. Je länger ein Unternehmen nicht arbeiten kann, desto größer werden die Betriebsunterbrechungsschäden. Eine umfassende Cyberversicherung sollte daher auch Schäden absichern, die daraus entstehen, dass aufgrund eines Hackerangriffs nicht mehr auf Datenbestände und/oder die IT-Infrastruktur zugegriffen oder wegen Bedien- oder Programmierfehlern nicht mehr gearbeitet werden kann. Denkbar und sinnvoll ist zudem ein Versicherungsschutz für aus Betriebsunterbrechungen oder Datenschutzverletzungen entstehende Haftungsansprüche.

Wie schwerwiegend sich ein Cyberangriff auswirkt, hängt maßgeblich davon ab, wie gut die IT-Systeme im Unternehmen sind. Das haben auch Versicherer erkannt und versuchen, über sogenannte Obliegenheiten sicherzustellen, dass die IT-Systeme stets dem aktuellen Stand der Technik entsprechen. Diese Obliegenheiten führen aber nicht selten zu Streitigkeiten. Wir wollen daher heute einen genaueren Blick darauf werfen und empfehlen allen Vermittlern, diese Obliegenheiten im Vorfeld genau zu prüfen und mit ihren Kunden zu besprechen.

Mitwirkung ist erforderlich

Obliegenheiten sind Verhaltensregeln. Darin bestimmt der Versicherer, was der Versicherungsnehmer zu tun oder zu lassen hat, um den Versicherungsschutz zu erhalten. Das Besondere an Obliegenheiten ist, dass sie vom Versicherer gegenüber dem Versicherungsnehmer mit einer Klage nicht durchgesetzt werden können.

Vielmehr führt aber eine Verletzung einer Obliegenheit unter bestimmten Voraussetzungen dazu, dass der Versicherer Leistungen kürzen oder verweigern kann. Daher müssen sie auch transparent und nachvollziehbar regeln, welches konkrete Verhalten von einem Versicherungsnehmer verlangt wird und was passiert, wenn er sich nicht an diese Vorgaben hält.

So ist es auch bei Cyberversicherungen. Die Verträge sehen – aus nachvollziehbaren Gründen – vor, dass die Versicherungsnehmer bestimmte Sicherungsmaßnahmen selbst ergreifen müssen, um den vollen Versicherungsschutz zu erhalten. Das lässt sich mit einer Hausratversicherung vergleichen, die die gestohlene Luxusuhr ihres Versicherungsnehmers nicht ersetzen wird, wenn zum Zeitpunkt des Einbruchs die Wohnungstür sperrangelweit offen stand.

So sollen Versicherungsnehmer unter anderem dafür sorgen, dass die Nutzer der IT-Systeme jeweils eigene Zugänge mit ausreichend komplexen Passwörtern sichern und administrative Zugänge nur den berechtigten Personen zugänglich sind. Ferner wird in der Regel verlangt, dass IT-Systeme über aktuelle Virenscanner und Firewalls und gegebenenfalls auch über zusätzliche Sicherungsmaßnahmen verfügen, wenn besonders sensible Daten verarbeitet werden.

Zudem wird in der Regel verlangt, dass Sicherheitslücken durch das regelmäßige oder anlassbezogene Aufspielen von Software-Updates geschlossen werden. Schließlich sind uns Obliegenheiten begegnet, die von dem Versicherungsnehmer konkrete Datensicherungsmaßnahmen verlangten, um den Versicherungsschutz aufrechtzuerhalten.

Sicherlich wird man sich im Detail über einzelne Formulierungen in den jeweils noch recht jungen Versicherungsbedingungen streiten können. Eines wird aber sehr deutlich und ist auch aus Sicht eines Versicherers absolut nachvollziehbar: Cyberversicherer möchten nur für solche IT-Systeme Versicherungsschutz gewähren, die dem technischen Stand entsprechen und die ausreichend gesichert sind.

Genau das schreibt beispielsweise auch die Datenschutzgrundverordnung vor (Art. 32 Abs. 1 DSGVO). Danach sind Daten durch geeignete technische und organisatorische Maßnahmen angemessen zu schützen. Leider liegen nach unserer Erfahrung aber Theorie und Praxis häufig weit auseinander.

Darauf kommt es an

Es gibt Obliegenheiten, die vor Abschluss des Vertrages, während des laufenden Vertragsverhältnisses oder auch nach Eintritt des Versicherungsfalls zu erfüllen sind. Bekanntermaßen müssen Versicherungsfälle dem Versicherer unverzüglich angezeigt werden. „Unverzüglich“ bedeutet, dass der Versicherungsfall, wie wir Juristen sagen, „ohne schuldhaftes Zögern“ gemeldet werden muss.

Üblicherweise bedeutet das aber nicht, dass der Versicherer quasi noch während des Versicherungsfalls sofort seinen Versicherer kontaktieren muss. In vielen Situationen reicht es völlig aus, einen Versicherungsfall innerhalb der nächsten Tage zu melden, sofern der Schadenort nicht verändert wird oder der Schaden zumindest ausreichend dokumentiert wird.

Aber Achtung! Dies gilt in der Regel nicht bei Cyberversicherungen, und auch darauf sollte in der Beratung explizit hingewiesen werden. Viele Versicherer knüpfen nämlich an den Soforthilfe- oder Assistenz-Service eine Meldeobliegenheit und in diesem Fall heißt dann „unverzüglich“ tatsächlich „sofort“.

Gegenstand des Versicherungsschutzes ist nämlich häufig eine Dienstleistung, die spezialisierte Servicepartner durchführen und die die Sicherung der betroffenen IT-Systeme und gegebenenfalls das Ergreifen von Abwehrmaßnahmen und/oder Maßnahmen zur Wiederherstellung umfasst.

Nach einem Hackerangriff oder einer unbeabsichtigten Beeinträchtigung der IT-Systeme kommt es nicht selten auf wenige Stunden, wenn nicht sogar Minuten an, um geeignete Maßnahmen zu ergreifen, die den Schaden verhindern oder zumindest minimieren können. Daher ist es angezeigt, dass die Versicherungsnehmer sofort nach Bekanntwerden eines potenziellen Versicherungsfalls ihren Versicherer kontaktieren.

Es ist selbstverständlich, dass dabei nicht die eigene IT-Abteilung oder der eigene IT-Dienstleister übergangen werden. Versicherungsrechtlich muss aber auf alle Fälle beachtet werden, dass unmittelbar nach der für die IT zuständigen Stelle auch der Versicherer informiert wird, der gegebenenfalls die IT-Mitarbeiter oder IT-Dienstleister ergänzend beraten kann.

Da das nicht unbedingt etwas ist, woran Versicherungsnehmer in dieser stressbeladenen Situation denken, empfehlen wir dringend, darauf bei Abschluss des Versicherungsvertrages mit Nachdruck hinzuweisen. Wie konkrete Fälle aus unserer Praxis zeigen, kann die Verletzung dieser Obliegenheit recht schnell zu Streitigkeiten über den Umfang des Versicherungsschutzes führen.

Das gehört zur Vermittlung

Die Pflichten eines Versicherungsmaklers gehen bekanntermaßen sehr weit. Sie verlangen zwar nicht, dass der Kunde über jede einzelne Klausel eines Versicherungsvertrages ausführlichst aufgeklärt wird. Das wäre nicht zu leisten und auch lebensfremd.

Wir empfehlen jedoch, dass der Kunde bereits in der Beratung auf mögliche Obliegenheiten, gerade in Bezug auf die zeitlichen Pflichten, ausdrücklich hingewiesen und ihm deutlich gemacht wird, dass der Versicherungsschutz nur unter Einhaltung ganz bestimmter Bedingungen besteht. Idealerweise sollte dies dann auch in der Beratungsdokumentation vermerkt werden.

Fazit

Eine Cyberversicherung schützt umfassend vor Cybereigenschäden, Cyberfremdschäden und einer Betriebsunterbrechung aufgrund von Cyberschäden. Sie ist von zunehmender Relevanz und ein Muss für jede gewerbliche Beratung. Sie ist aber auch mit konkreten und vertieften Beratungspflichten verbunden – erfüllbaren Pflichten. Letztlich ist die Kundenansprache angesichts der zahlreichen Schlagzeilen zu diesem Thema sicherlich nicht schwierig und es besteht eine große Chance auf Aufmerksamkeit und erfolgreiche Abschlüsse.