Die sogenannte Cyberversicherung gewinnt zunehmend an Bedeutung. Mit dieser Versicherung können Schäden abgesichert werden, wenn ein Unternehmen aufgrund eines Hackerangriffs nicht mehr auf seine Datenbestände und/oder IT-Infrastruktur zugreifen oder wegen Bedien- oder Programmierfehlern nicht mehr arbeiten und seine vertraglichen Verpflichtungen erfüllen kann.
Ein Artikel von Rechtsanwalt Tobias Strübing, Wirth–Rechtsanwälte Rechtsanwälte in Partnerschaft mbB
Aufgrund der zunehmenden Digitalisierung in fast jedem Arbeitsbereich dürfte ein solcher Angriff in den meisten Fällen mindestens zu erheblichen Störungen, wenn nicht sogar zu einem völligen Stillstand in der eigenen Firma führen.
Solche Angriffe nehmen nicht nur ständig zu. In den meisten Fällen sind es zudem die eigenen Mitarbeiter, die durch geschickte Manipulation dazu veranlasst werden, Schadsoftware zu öffnen, Sicherheitsfunktionen auszuhebeln oder vertrauliche Informationen herauszugeben. Umso wichtiger ist es daher, Mitarbeiter regelmäßig zu schulen und für die genannten Angriffe zu sensibilisieren.
Neben der Erstattung der entstandenen Eigen- und Vermögensschäden leisten viele Versicherer auch Soforthilfe, denn häufig gilt in solchen Fällen das alte Sprichwort „Zeit ist Geld“. Je länger eine Produktion stillsteht oder ein Dienstleister nicht arbeiten kann, desto größer werden Betriebsunterbrechungsschäden, die gegebenenfalls erstattet werden müssten. Denkbar ist auch Versicherungsschutz für daraus entstehende Haftungsansprüche oder Datenschutzverletzungen.
Das wissen auch die Versicherer und legen ihren Versicherungsnehmern nicht nur bezüglich der Soforthilfen, sondern auch in vielen anderen Punkten Obliegenheiten auf. Diese Obliegenheiten führen in unserer täglichen Praxis zu einigen Streitigkeiten. Wir wollen daher heute einen genaueren Blick darauf werfen und empfehlen jedem Vermittler, auch diese Obliegenheiten vor Vermittlung zu prüfen und genau mit ihren Kunden zu besprechen.
Den Leistungsanspruch behalten
Obliegenheiten sind zunächst einmal Normen, aus denen sich ergibt, was der Versicherungsnehmer zu tun oder zu lassen hat, um den Versicherungsschutz zu erhalten. Sie stellen somit auf das Verhalten des Versicherungsnehmers ab. Obliegenheiten sind keine unmittelbar erzwingbaren Verbindlichkeiten, sondern bloße Verhaltensnormen (Voraussetzungen), die der Versicherungsnehmer zu erfüllen hat, wenn er seinen Leistungsanspruch behalten will.
Sie müssen für den Versicherungsnehmer transparent und nachvollziehbar regeln, welches konkrete Verhalten von ihm verlangt wird und welche Rechtsfolgen an eine Verletzung geknüpft werden. Versicherer regeln Obliegenheiten, die vor und auch nach Eintritt eines Versicherungsfalles zu beachten sind.
Ähnlich tun es auch einige Cyberversicherer und verlangen von ihren Versicherungsnehmern bestimmte Sicherungsmaßnahmen, um den vollen Versicherungsschutz zu erhalten. So sollen Versicherungsnehmer teilweise dafür sorgen, dass die Nutzer der IT-Systeme jeweils eigene Zugänge mit ausreichend komplexen Passwörtern sichern und administrative Zugänge auch nur entsprechenden Administratoren zugänglich sind.
Ferner wird verlangt, dass IT-Systeme über aktuelle Virenscanner und Firewalls verfügen und gegebenenfalls auch über zusätzliche Sicherungsmaßnahmen verfügen, wenn beispielsweise besonders sensible Daten verarbeitet werden. Außerdem wird verlangt, dass in strukturierter Art und Weise dafür gesorgt wird, dass Sicherheitslücken der genutzten Software durch das Aufspielen von Updates geschlossen werden. Schließlich sind uns Obliegenheiten begegnet, die von dem Versicherungsnehmer konkrete Datensicherungsmaßnahmen verlangten, um den Versicherungsschutz aufrechtzuerhalten.
Auch wenn man sich im Detail über einzelne Formulierungen in den recht jungen Versicherungsbedingungen sicher wird streiten können, so wird aus den vorgenannten Obliegenheiten die Intention der Versicherer rechtlich deutlich klar. Cyberversicherer möchten darüber sicherstellen, dass der Versicherungsschutz nur für solche IT-Systeme zur Verfügung gestellt wird, die dem technischen Stand entsprechen und die ausreichend gesichert sind. Das versteht sich auch angesichts der klaren Regelungen in der Datenschutzgrundverordnung eigentlich von selbst, wird dann aber doch in einigen Fällen nicht ausreichend berücksichtigt, wie uns die Praxisfälle zeigen.
Im Versicherungsfall
Hinzu kommen aber auch Obliegenheiten, die Versicherungsnehmer nach Eintritt des Versicherungsfalles einzuhalten haben. Bekanntermaßen müssen Versicherungsfälle dem Versicherer unverzüglich angezeigt werden. Dies regelt schon das Versicherungsvertragsgesetz. „Unverzüglich“ bedeutet, dass der Versicherungsfall ohne schuldhaftes Zögern gemeldet werden muss. Das bedeutet aber regelmäßig nicht, dass der Versicherungsnehmer quasi noch während des Versicherungsfalls sofort seinen Versicherer kontaktieren muss. So reicht es zur Wahrung dieser Obliegenheit häufig aus, wenn Versicherungsfälle innerhalb der kommenden Tage gemeldet werden und im gegebenen Fall der Schadensort nicht verändert oder bei Veränderung der Schaden ausreichend dokumentiert wird.
Viele Versicherer knüpfen aber auch an den Soforthilfe- oder Assistenz-Service eine Meldeobliegenheit und verlangen von ihren Versicherungsnehmern, dass sie den jeweiligen Dienstleister unverzüglich kontaktieren. Gegenstand des Versicherungsschutzes ist häufig nämlich auch eine Dienstleistung, die Servicepartner der Versicherer anbieten. Diese Dienstleistung beinhaltet dann die Sicherung der betroffenen IT-Systeme und gegebenenfalls das Ergreifen von Abwehrmaßnahmen und/oder Maßnahmen zur Wiederherstellung. Im Falle eines bekannt gewordenen Hackerangriffs oder einer Beeinträchtigung der IT-Systeme dürfte es aber nicht selten auf wenige Stunden, wenn nicht sogar Minuten ankommen, um geeignete Maßnahmen zu ergreifen, die den Schaden verhindern oder zumindest minimieren können.
Daher sollten Versicherungsnehmer solcher Versicherungen im Schadensfall sofort nach Bekanntwerden eines potenziellen Versicherungsfalls die entsprechenden Dienstleister kontaktieren. Selbstverständlich sollten dabei nicht die eigene IT-Abteilung oder eigene IT-Dienstleister übergangen werden. Diese sind weiterhin als Erste zu informieren, soweit sie von dem Angriff und/oder IT-Problemen nicht ohnehin als Erste erfahren haben. Sie kennen die IT-Systeme in der Regel deutlich besser als ein externer Dienstleister. Versicherungsrechtlich sollte aber unbedingt beachtet werden, dass spätestens danach ein etwaiger Dienstleister informiert wird, der Sie oder gegebenenfalls die IT-Mitarbeiter oder IT-Dienstleister ergänzend beraten kann. Das ist nicht unbedingt etwas, an das Versicherungsnehmer im Falle eines IT-Problems als Erstes denken. Wie uns die Praxisfälle zeigen, kann die Verletzung dieser Obliegenheit recht schnell zu Streitigkeiten über den Umfang des Versicherungsschutzes führen.
Die Pflichten eines Versicherungsmaklers gehen bekanntermaßen sehr weit. Diese weitgehenden Pflichten verlangen zwar nicht, dass der Kunde über jede einzelne Klausel eines Versicherungsvertrages aufgeklärt wird. Wir empfehlen jedoch, dass der Kunde bereits in der Beratung auf gegebenenfalls bestehende Obliegenheiten ausdrücklich hingewiesen und ihm deutlich gemacht wird, dass Versicherungsschutz nur unter Einhaltung ganz bestimmter Bedingungen besteht. Idealerweise sollte dies dann auch in der Beratungsdokumentation vermerkt werden.
Themen:
LESEN SIE AUCH
Verhaltensregeln beachten sichert Ansprüche im Schadensfall
Eine Cyberversicherung schützt im Falle eines Hackerangriffs umfassend vor Eigen- und Fremdschäden und einer Betriebsunterbrechung aufgrund von Cyberschäden. Sie ist ein Muss für jede gewerbliche Beratung. Worauf Vermittler während der Beratung besonders hinweisen sollten.
Im Visier der Hacker: Strategien gegen Cyberangriffe
Die Bedrohungen durch Cyberangriffe, Datenlecks und Datenschutzverletzungen sind allgegenwärtig und können schwerwiegende Folgen für Unternehmen sowie Kunden haben. Vor diesem Hintergrund gewinnt ein solides Konzept, das den Schutz aller sensiblen Daten gewährleistet eine immer größere Bedeutung.
Microsoft Exchange: Erste Ausläufer eines aufziehenden Cybersturms
KI – eine Chance für die Versicherungswirtschaft
Künstliche Intelligenz als technologischer Entwicklungsschritt, eröffnet der Versicherungswirtschaft viele Chancen. Dafür bedarf es aber geeigneter Regulierungen sowie technologieoffener Kontrollmechanismen. Aktuarinnen und Aktuare können einen wichtigen Beitrag leisten, um KI in der Branche zu etablieren.
Innovative Versicherungsprodukte für moderne Risiken im B2B-Bereich
Unternehmen müssen sich kontinuierlich an sich verändernde Technologien und Geschäftspraktiken anpassen, um langfristig bestehen zu können. Traditionelle Versicherungsprodukte stoßen hier häufig an ihre Grenzen. Welche Innovationen der Markt im B2B-Bereich bereithält.
Sehen wir die ESG-Pflicht doch einmal positiv
Die ESG-Verpflichtung hat auch etwas Gutes: Sie definiert ein klares Ziel, einen konkreten Zeitrahmen und verbindliche Vorgaben für mehr Datentransparenz. Von den dafür notwendigen Maßnahmen profitieren nicht nur die Konformität mit den Regularien von Datenschutz und -sicherheit sowie die Datenqualität gesamthaft, sondern auch die Geschäftsentwicklung.
Versicherer fordern Rechtsrahmen für automatisierte Binnenschifffahrt
Automatisierte Binnenschiffe könnten schon heute einsatzbereit sein – doch es fehlt an klaren gesetzlichen Vorgaben. Der GDV fordert die Bundesregierung und internationale Flusskommissionen auf, Standards zu schaffen, um die Technologie voranzutreiben.
Berufsunfähigkeitsversicherung 2025: Neue Rahmenbedingungen stärken Stabilität
Die Berufsunfähigkeitsversicherung bleibt auch 2025 ein stabiler Schutz. Franke und Bornberg analysieren die Entwicklungen des Vorjahres und beleuchten die veränderten Rahmenbedingungen, darunter die Erhöhung des Höchstrechnungszinses und neue Produktanpassungen.
VPV Versicherungen: Neuerungen zum Jahreswechsel durch Höchstrechnungszinsanhebung
Mit dem Jahreswechsel bringt die VPV Versicherungen (VPV) umfassende Anpassungen und Neuerungen in mehreren Produktbereichen.
Die Risiken der Silvesternacht und der richtige Versicherungsschutz
Die Silvesternacht ist für viele Menschen ein festlicher Höhepunkt, an dem das alte Jahr verabschiedet und das neue mit Feuerwerk und Feierlaune begrüßt wird. Doch der Übergang ins neue Jahr birgt auch Gefahren, die häufig unterschätzt werden.
Kfz-Versicherung: Preise steigen um 43 Prozent in zwei Jahren
Die Kosten für Kfz-Versicherungen sind in den letzten zwei Jahren massiv gestiegen. Laut Verivox-Kfz-Versicherungsindex zahlen Autofahrer heute 43 Prozent mehr als 2022.
BU-Regulierung: Längere Bearbeitungszeiten durch steigende Anträge
Das BU-Leistungspraxisrating 2024 von Franke und Bornberg liefert detaillierte Einblicke in die Regulierungspraxis von zehn Versicherern. Trotz steigender Antragszahlen und längerer Bearbeitungszeiten gibt es Fortschritte.