Ein Artikel von Dr. David Ulrich, LL.M. (Kent), Rechtsanwalt bei WILHELM Rechtsanwälte, Berlin
Deutlich mehr Home-Office-Mitarbeiter, Business-Clouds und neue externe Dienstleister – seit 2017 hat sich die IT-Landschaft der Unternehmen verändert. Insofern war es Zeit, dass der Gesamtverband der Deutschen Versicherungswirtschaft e. V. (GDV) seine mittlerweile fast sieben Jahre alten Musterbedingungen zur Cyberversicherung überarbeitet. Die neuen Musterbedingen erweitern teilweise den Deckungsumfang – insbesondere hinsichtlich der oben genannten neuen Realitäten – und bleiben doch in vielen Punkten hinter den Bedingungen am Markt zurück.
Deckung von DSGVO-Haftungsrisiken
Zu begrüßen ist, dass die Bedingungen nun auch den Schadensersatz nach Datenschutzverstößen abdecken. Regelmäßig versuchen Cyberangreifer, die beim Unternehmen gespeicherten Daten zu extrahieren und drohen eine Veröffentlichung dieser Daten an. Immer dann, wenn es sich hierbei um Daten eines Dritten handelt, drohen dem Unternehmen Schadensersatzklagen nach Art. 82 Datenschutz-Grundverordnung (DSGVO). Gegen solche Ansprüche gewähren die Musterbedingungen nun explizit Versicherungsschutz.
Klärungsbedürftig: Kriegsklausel und Lösegeld-Ausschluss
Wie auch in der alten Fassung schließen die Musterbedingungen Lösegeldzahlungen zur Entschlüsselung von Daten aus. Das kann erpresste Unternehmen in die Zwickmühle bringen: Gehen sie auf die Forderung der Hacker ein, mindern sie damit möglicherweise für sich und den Versicherer den Schaden. Trotzdem sollen sie die Lösegeldzahlung allein aufbringen? Das birgt Konfliktstoff. Viele am Markt erhältliche Cyberpolicen schließen Lösegelder daher ausdrücklich ein.
Streitpotenzial birgt auch das Thema Kriegsklausel: Staatlich beauftragte Hackerangriffe sind jetzt als kriegerischer Akt vom Versicherungsschutz ausgeschlossen. Doch wie lässt sich das nachweisen? Handelt beispielsweise eine russische Hackergruppe auf staatlichen Auftrag hin oder autonom? Der Versicherer ist zwar in der Beweispflicht. Aber schon der Einwand kann die Schadenregulierung torpedieren.
Anzeigepflicht nur bei Neuverträgen
Auf dem Weg zur Cyberversicherung müssen Unternehmen meist umfangreiche Fragebögen zu ihrer IT-Sicherheit beantworten. Diese Angaben sind nicht auf die leichte Schulter zu nehmen, denn Falschangaben können später den Versicherungsschutz kosten. Cyberversicherer berufen sich dann auf ihr Rücktrittsrecht nach § 19 Versicherungsvertragsgesetz (VVG) und versagen die Deckung komplett. Angaben ihrer Versicherungsmakler müssen sich Unternehmen zuschreiben lassen – ein beträchtliches Haftungsrisiko für Vermittler.
Ob auch vermeintliche Falschangaben im Rahmen einer (automatischen) Vertragsverlängerung zum Rücktritt berechtigen, war in einigen Fällen streitig. Die neuen GDV-Bedingungen stellen klar, dass den Versicherungsnehmer nur im Rahmen der Vertragserklärung Anzeigepflichten treffen. Vermeintlich falsch beantwortete Fragebögen anlässlich eines Renewals müssen somit folgenlos bleiben.
Kein Einwand der „grob fahrlässigen Herbeiführung“
Ebenfalls positiv hervorzuheben ist, dass die Musterbedingungen auf den Einwand der „grob fahrlässigen Herbeiführung des Versicherungsfalls“ (§ 81 Abs. 2 VVG) verzichten. Diesen Einwand erhoben Cyberversicherer zuletzt häufiger. Sie argumentieren dann, das versicherte Unternehmen habe mit mangelhafter IT den Versicherungsfall grob fahrlässig ermöglicht. Pauschal lässt sich das bei jedem erfolgreichen Cyberangriff behaupten. Das Unternehmen muss dann darlegen, warum die IT-Sicherheit trotz des erfolgreichen Angriffs angemessen war. Das erschwert die Schadenregulierung erheblich.
Besser sind konkret benannte Verhaltensregeln für die IT-Sicherheit (Obliegenheiten), die der Versicherungsnehmer einzuhalten hat. Das schafft mehr Rechtssicherheit und kann zu einer besseren Schadenprävention beitragen. Bei der Formulierung der Obliegenheiten bleiben die neuen GDV-Bedingungen jedoch zu unbestimmt und Auslegungsstreitigkeiten drohen.
Versicherungsmakler sollten ihre Produkte prüfen
Wichtig ist: Die Musterbedingungen des GDV sind kein verpflichtender Standard für Versicherer. In der Praxis weichen die allgemeinen Versicherungsbedingungen gerade in der Cyberversicherung meist erheblich von den Musterbedingungen des GDV ab. Dennoch bieten die Musterbedingungen versicherten Unternehmen und Versicherungsvermittlern eine Orientierung, welchen Deckungsumfang die Interessenvertretung der Versicherer vorgibt.
Für Versicherungsmakler gilt daher aufmerksam zu prüfen, ob die zu vermittelnden Bedingungen hinter den Musterbedingungen zurückbleiben. Solche hinter den Musterbedingungen zurückbleibenden Bedingungen könnten – ohne anderweitige Vorteile – eine mögliche Haftung des Versicherungsvermittlers nahelegen. Versicherungsvermittler sollten daher die Musterbedingungen des GDV als Mindestmaß für den Versicherungsschutz ansetzen.
Bild: © jirsak – stock.adobe.com
Dr. David Ulrich 
- Anmelden, um Kommentare verfassen zu können
