Global menu

Our global pages

Close

Die Cyber-Versicherung – Notwendigkeit individueller Verträge

  • Germany
  • Insurance and reinsurance

21-01-2019

1. Einleitung

Die Cyber-Versicherung ist ein relativ junges Versicherungsprodukt. Von Maklern, Versicherern oder dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) entwickelte Allgemeine Versicherungsbedingungen (AVB) können für den Abschluss der jeweiligen Cyber-Versicherung stets nur ein Grundgerüst sein, das der Individualisierung bedarf. Individualisierte AVB führen in der Regel zu reibungslosen Schadenregulierungen. Die Individualisierung der AVB wird stets im Spannungsfeld zwischen dem Absicherungsbedürfnis des Versicherungsnehmers und der Bereitschaft zur Risikoübernahme des Versicherers erfolgen.Mit der Individualisierung von Cyber-Versicherungsverträgen befasst sich der nachfolgende Beitrag.

2. Systematik

Die Cyber-Versicherung dient der Absicherung von Vermögensschäden, die ein Versicherungsnehmer durch eine Informationssicherheitsverletzung (Cyber-Vorfall) erleidet. Personen-, Sach- und sich daraus ergebende Folgeschäden sind nicht versichert.

Cyber-Versicherungsverträge sind in der Regel modular aufgebaut. Diese Module beinhalten regelmäßig drei wesentliche Funktionen der Cyber-Versicherung. Mit dem Modul der Drittschadenversicherung bietet die Cyber-Versicherung dem Versicherungsnehmer Haftpflichtversicherungsschutz, wenn ein Dritter den Versicherungsnehmer aufgrund einer Informationssicherheitsverletzung auf Schadenersatz in Anspruch nimmt. Das Modul der Eigenschadenversicherung bietet Versicherungsschutz für den durch eine Informationssicherheitsverletzung entstandenen eigenen Vermögensschaden des Versicherungsnehmers (zum Beispiel nicht verfügbare IT-Systeme oder Daten). Mit dem dritten Modul bietet die Cyber-Versicherung dem Versicherungsnehmer wertvolle Serviceleistungen im Schadensfall (zum Beispiel forensische Aufklärung, zügige Wiederherstellung von Daten, Krisenkommunikation, PR-Beratung).

3. Reibungslose Schadenregulierung durch individualisierte Vertragsklauseln

Damit die Schadenregulierung nach den vorgenannten drei Modulen möglichst reibungslos funktioniert, ist den Parteien des Versicherungsvertrages zu raten, Vertragsstandards zur Cyber-Versicherung(z. B. Musterbedingungen des GDV für die Cyber-Versicherung Stand April 2017, Musterbedingungen des jeweiligen Versicherers) nicht einfach kritiklos zu übernehmen. Vertragsstandards, auch solche von großen Maklerhäusern, bedürfen der individuellen Anpassung auf die konkret zu versichernden Risiken.

3.1 Versicherungssummen

Bereits die Ermittlung der angemessenen Versicherungssummen in der Cyber-Versicherung stellt die Vertragsparteien regelmäßig vor größere Herausforderungen. Auf Erfahrungen aus vergangenen Cyber-Schäden können die wenigsten Versicherungsnehmer zurückgreifen (glücklicher Weise). Der Versicherungsnehmer muss in Zusammenarbeit mit dem Versicherer, dem Makler (gegebenenfalls dem Inhouse-Broker), seiner IT-Abteilung etc. ermitteln, welche größtmöglichen Schäden durch eine Informationssicherheitsverletzung entstehen können. Hierbei sind nicht nur die eigenen Vermögensschäden (zum Beispiel durch Betriebsunterbrechungen) vorherzusehen. Genauso muss der Versicherungsnehmer prognostizieren, welchen Drittschaden eine Informationssicherheitsverletzung nach sich ziehen kann. Welche Vermögensschäden können zum Beispiel bei einem Kunden des Versicherungsnehmers aufgrund einer Datenrechtsverletzung entstehen? Es liegt auf der Hand, dass sich beispielsweise bei einer Unternehmensberatung ganz andere Fragen als bei einem Unternehmen der Rüstungsindustrie stellen. Welche Assistance-Leistungen des Versicherers sind für den Versicherungsnehmer im Schadenfall relevant? Welche Tagessätze von Kommunikationsberatern und PR-Spezialisten sollten bereits in dem Versicherungsvertrag als verbindlich und erstattungsfähig anerkannt gelten?

Die vorgenannten Fragen wird sich der Versicherungsnehmer vor Abschluss des Versicherungsvertrages stellen müssen, um angemessene individuell passende Versicherungssummen und Entschädigungshöchstgrenzen mit dem Versicherer zu vereinbaren.

3.2 Materielle Versicherungsdauer

Des Weiteren werden sich die Parteien des Versicherungsvertrages darüber Gedanken machen müssen, welche materielle Dauer der Versicherungsvertrag haben soll. Häufig dürfte es sinnvoll sein, zugunsten des Versicherungsnehmers eine Rückwärtsversicherung sowie eine Nachhaftungszeit zu vereinbaren. Eine Informationssicherheitsverletzung kann bereits weit vor Abschluss des Versicherungsvertrages stattgefunden haben, ohne dass der Versicherungsnehmer und seine Mitarbeiter diese Informationssicherheitsverletzung zur Kenntnis genommen haben. Dies kann dazu führen, dass ein anschließend während der Laufzeit des Versicherungsvertrages entdeckter Vermögensschaden nicht versichert wäre. Eine Rückwärtsversicherung im Sinne des § 2 VVG bewirkt, dass auch in einem solchen Fall Versicherungsschutz besteht (z. B. in Teil A, Ziffer 1.6 AVB GDV vorgesehen).

Des Weiteren kann noch während der Laufzeit des Versicherungsvertrages eine Informationssicherheitsverletzung stattfinden, der Vermögensschaden zum Zeitpunkt der Beendigung des Versicherungsverhältnisses jedoch noch nicht festgestellt sein. Für solche Situationen sollte der Versicherungsnehmer eine Nachhaftung mit dem Versicherer vereinbaren. Dann sind auch solche Informationssicherheitsverletzungen über eine Nachhaftungsklausel versichert (vgl. unter anderem Teil A, Klausel 1.5 AVB GDV).

Des Weiteren wird der Versicherungsnehmer sich für seinen Anspruch auf Erstattung von Betriebsunterbrechungsschäden über die maximale Haftzeit Gedanken machen müssen. Der Versicherungsnehmer wird sich fragen, welche größtmögliche zeitliche Betriebsunterbrechung durch eine Informationssicherheitsverletzung denkbar ist und mit dem Versicherer über die sich hieraus ergebende maximal versicherbare Haftzeit einigen müssen. Je länger die vereinbarte Haftzeit sein wird, desto höher wird die zu entrichtende Prämie sein.

3.3 Fälligkeit der Entschädigungsleistung

Die Parteien des Versicherungsvertrages sollten sich auch über den Zeitpunkt der Fälligkeit der Entschädigungsleistung nach dem Cyber-Versicherungsvertrag Gedanken machen. Nach den AVB GDV (dort Teil A, Klausel 1.13.3) kann der Versicherer „die Zahlung der Entschädigungsleistung unter anderem aufschieben, solange ein behördliches oder strafgerichtliches Verfahren gegen den Versicherungsnehmer oder seinen Repräsentanten aus Anlass des Versicherungsfalls“ läuft. Ob ein behördliches oder strafgerichtliches Verfahren gegen den Versicherungsnehmer im Zusammenhang mit dem Versicherungsfall eingeleitet wird, ist für den Versicherungsnehmer kaum steuerbar. Ebenfalls kann der Versicherungsnehmer nur geringfügig Einfluss auf die Dauer solcher Verfahren nehmen. Kann der Versicherer jedoch während der Dauer solcher Verfahren die Fälligkeit von Entschädigungsleistungen aufschieben, kann bei einer länger andauernden Betriebsunterbrechung ein existenzbedrohender Vermögensschaden für den Versicherungsnehmer eintreten. Daher ist eine Klausel, wonach aufgrund der Einleitung eines öffentlichen Verfahrens oder eines noch fortdauernden Verfahrens eine Entschädigungsleistung aufgeschoben werden kann, aus Sicht des Versicherungsnehmers kaum akzeptabel. Der Versicherer kann sich auch ohne die Klausel nach Teil 1.13.3 AVB GDV schützen, indem er Entschädigungen während laufender öffentlicher Verfahren gegen den Versicherungsnehmer unter einem Rückforderungsvorbehalt leistet.

3.4 Beteiligung am Schaden

Regelmäßig werden Versicherer die Beteiligung des Versicherungsnehmers am Cyber-Schaden verlangen. Dass ein Versicherungsnehmer sich an einem Schaden beteiligt, hat häufig eine disziplinierende Wirkung und wird daher von Versicherungsnehmern meist akzeptiert. Wie hoch die (prozentuale oder absolute) Beteiligung eines Versicherungsnehmers an einem Schaden sein soll, werden die Parteien im Rahmen der Vertragsverhandlungen festlegen.

Problematisch dürfte es jedoch sein, wenn ein Versicherungsnehmer sich an dem Betriebsunterbrechungsschaden infolge einer Informationssicherheitsverletzung mit Karenzzeiten beteiligen soll. Eine vereinbarte Karenzzeit bewirkt, dass ein Versicherungsnehmer einen Anspruch auf Erstattung entstandener Betriebsunterbrechungsschäden erst nach dem Ablauf von vereinbarten Wartezeiten (zum Beispiel 5 Tage) hat. Der Versicherungsnehmer, der Versicherer und die vom Versicherer beauftragten IT-Forensiker werden im Schadenfall mit Hochdruck daran arbeiten, eine durch eine Informationssicherheitsverletzung verursachte Betriebsunterbrechung möglichst kurz zu halten. Oft wird die Unterbrechung kürzer als die Karenzzeit sein. Eine vereinbarte Karenzzeit kann dann dazu führen, dass der Versicherungsnehmer Betriebsunterbrechungsschäden regelmäßig selbst tragen wird und so der Versicherungsschutz wirtschaftlich entwertet wird. Der Versicherer und der Versicherungsnehmer werden sich bei Vertragsschluss Gedanken darüber machen müssen, ob die Vereinbarung einer prozentualen Selbstbeteiligung an den entstandenen Schäden nicht vollkommen ausreichend ist und eine zusätzliche Karenzzeit nicht unangemessen wäre.

3.5 Obliegenheiten

Nachvollziehbarerweise verlangen Versicherer beim Abschluss eines Cyber-Versicherungsvertrages, dass der Versicherungsnehmer Obliegenheiten (Verhaltensnormen) einzuhalten hat, um im Schadenfall den vollen Anspruch auf seine Versicherungsleistung zu haben. Verletzt ein Versicherungsnehmer eine vereinbarte Obliegenheit zumindest grob fahrlässig, so ist der Versicherer zur anteiligen Kürzung des Versicherungsanspruches berechtigt (vgl. § 28 Abs. 2 VVG). Die Vereinbarung von Obliegenheiten dient ebenfalls der Disziplinierung von Versicherungsnehmern, der Vermeidung des Eintritts von Versicherungsfällen und somit auch der Risikominimierung.

Allerdings müssen Obliegenheiten ein klares Verhaltensprogramm vorgeben, damit der Versicherungsnehmer weiß, was er konkret tun oder unterlassen muss, um seinen Versicherungsanspruch nicht zu gefährden. Obliegenheiten, wonach Versicherungsnehmer „alle gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherheitsvorschriften einzuhalten hat“ (vgl. unter anderem Teil A, Klausel 1.16.2 AVB GDV), geben dem Versicherungsnehmer jedoch kein eindeutiges Verhaltensprogramm vor. Diese in Cyber-Versiche rungsverträgen oftmals vorkommende Generalklausel bietet dem Versicherer im Schadenfall vielmehr die Möglichkeit, sämtliches Fehlverhalten eines Versicherungsnehmers als Obliegenheitsverletzung und somit als Grund zur Kürzung des Versicherungsanspruches zu bewerten. Folglich wirkt eine solche generalklauselartig formulierte Obliegenheit wie ein Damoklesschwert, das über der Schadenregulierung schwebt. Eine Obliegenheit, wonach der Versicherungsnehmer alle gesetzlichenund behördlichen Sicherheitsvorschriften einzuhalten hat, geht daher zu weit. Der Versicherungsnehmer sollte eine solche generalklauselartige Obliegenheit nicht akzeptieren. Der Versicherungsnehmer sollte den Versicherer während der Vertragsverhandlungen stattdessen auffordern, diejenigen gesetzlichen und behördlichen Regelungen, die dem Versicherer besonders wichtig sind, im Versicherungsvertrag als konkrete Obliegenheiten aufzuführen. Dann würde der Versicherungsnehmer das Handlungsprogramm, das ihm die Obliegenheiten vorgeben, konkret kennen und beachten können. Dieses Vorgehen dürfte das Absicherungsinteresse des Versicherungsnehmers und die Absicherungsbereitschaft des Versicherers ausreichend berücksichtigen.

3.6 Gefahrerhöhungen

Der Versicherer kann Versicherungsleistungen nach §§ 23, 26 VVG auch dann kürzen, wenn ein vom Versicherungsnehmer nicht mitgeteilter gefahrerheblicher Umstand zu einem Schaden geführt hat. Was ein gefahrerheblicher Umstand in einem Cyber-Versicherungsvertrag ist, dürfte in jedem Schadenfall stets individuell zu klären sein. Eine Klausel, wie in Teil A, Ziffer 1.16.2 AVB GDV vorgesehen, wonach „ein Umstand, der zu einem Schaden geführt hat, ohne Weiteres als besonders gefahrdrohend“ gilt, benachteiligt den Versicherungsnehmer. Mit dieser Klausel wird durch eine retrospektive Betrachtung (vom Schaden her) jeder kausale Beitrag eines Schadens zu einem gefahrerheblichen Umstand, der eine Anspruchskürzung begründen könnte.

Tatsächlich muss ohne die vorgenannte Klausel ein gefahrerheblicher Umstand, der zur Anspruchskürzung führen kann, stets aus der Ex-ante-Betrachtung ermittelt werden. Eine Anspruchskürzung ist nur möglich, wenn aus der Sicht des Versicherungsnehmers vor dem Schaden (Ex-Ante-Sicht) der gefahrerhebliche Umstand als solcher erkennbar war. Daher sollte der Versicherungsnehmer die obige Klausel (Teil A, Ziffer 1.16.2 AVB GDV), wonach zur Ermittlung eines gefahrerheblichen Umstands eine retrospektive Betrachtungsweise möglich wäre, nicht akzeptieren.

3.7 Ausschlüsse

Nachvollziehbarerweise wollen Versicherer nicht sämtliche Schäden, die aufgrund einer Informationssicherheitsverletzung entstehen, übernehmen. Cyber-Versicherungsverträge enthalten deshalb, wie andere Versicherungsverträge auch, Ausschlüsse vom Versicherungsschutz. Der Versicherungsnehmer wird sich fragen müssen, ob er die vom Versicherer vorgeschlagenen Ausschlüsse akzeptieren kann oder ob er nicht gerade die vom Versicherer als ausgeschlossen vorgeschlagenen Risiken als besonders gefahrträchtig für sein Unternehmen ansehen wird.

So nennen die AVB GDV in Teil A, Ziffer 1.17, unter anderem Krieg, politische Gefahren und Terrorakte als vom Cyber-Versicherungsschutz ausgeschlossen. In der heutigen digitalisierten Welt werden kriegerische Aktionen und Terrorakte zukünftig wahrscheinlich häufiger in Form von Cyber-Angriffen auf Unternehmen stattfinden. Will der Versicherungsnehmer diese Risiken versichert wissen und im Rahmen der Vertragsverhandlungen die vom Versicherer vorgeschlagenen Standardausschlüsse nicht akzeptieren, wird dies mit einer Erhöhung der Prämien einhergehen.

4. Fazit

Der Versicherungsnehmer kann standardisierte Versicherungsbedingungen selten akzeptieren. Im Rahmen des Abschlusses eines Cyber-Versicherungsvertrages ist eine offene Kommunikation zwischen Versicherer und Versicherungsnehmer über die abzusichernden Risiken und die Absicherungsbereitschaft des Versicherers erforderlich. Nur dann, wenn der Versicherungsvertrag den individuellen Interessen der Parteien Rechnung trägt, macht der Abschluss eines Cyber-Versicherungsvertrages Sinn.

Veröffentlicht in: VersicherungsPraxis 1-2019, S. 14-16

For more information contact

< Go back

Print Friendly and PDF
Subscribe to e-briefings