26 Mrz Cyberversicherung: Rechtliche und praktische Herausforderungen

I. Ausgangslage

Cybergefahren stellen für Unternehmen wie für VR ein schwer kalkulierbares Risiko dar. Dies gilt nicht nur hinsichtlich der möglichen Angriffsszenarien1, sondern auch hinsichtlich des Schadensumfangs, den ein Cyberangriff verursachen kann. Welches Schadenspotential möglich ist, hat die Schadsoftware NotPetya im Jahr 2017 gezeigt. Weltweit wurde insgesamt ein Schaden von bis zu 10 Mrd. $ verursacht. Auf einzelne Unternehmen entfielen dabei Schadenspositionen von bis zu 180 Mio. $2. Bei Cyberrisiken handelt es sich daher um ein Thema, mit dem sich Geschäftsleiter aufgrund ihrer organschaftlichen Vermögensbetreuungs- und Bestanderhaltungspflicht auseinandersetzen müssen. Der Abschluss einer Cyberversicherung dürfte vor diesem Hintergrund für Unternehmen ein zunehmend wichtigerer Bestandteil des Risikomanagements werden3. Unternehmen stehen vor der Aufgabe, sich mit dem vielschichtigen Produkt Cyberversicherung auseinanderzusetzen, einer angesichts der Vielzahl unterschiedlicher und oftmals kaum vergleichbarer Bedingungswerke komplexen Herausforderung. Während es vor wenigen Jahren nur eine Handvoll VR gab, die eine (eigenständige) Cyberversicherung angeboten haben, hat sich das Angebot zuletzt schnell entwickelt. Derzeit gibt es zwar keine Vielzahl, aber jedenfalls eine gute Auswahl an Bedingungswerken auf dem deutschen Markt, die sich jedoch in Aufbau und Systematik, der Definition des Versicherungsfalls, der Beschreibung des versicherten Risikos bzw. den verwendeten Terminologien und daher zwangsläufig im Umfang des gewährleisteten Versicherungsschutzes teilweise erheblich unterscheiden. Die angebotenen Cyberversicherungen sind als spartenübergreifende Produkte konzipiert und bieten Versicherungsschutz – zumindest hier lässt sich ein gewisser Marktstandard feststellen – für Haftpflicht- und Eigenschäden, ergänzt um den sogenannten (Service-)Kosten-Baustein, wonach z. B. die Kosten für externe Sachverständige zur Ermittlung der Ursache und Feststellung des versicherten Schadens übernommen bzw. insgesamt Assistance-Leistungen im Fall eines Cyberangriffs angeboten werden.

Versicherungsrechtliche Literatur, welche die verschiedenen Begrifflichkeiten und Mechanismen in den einzelnen Bedingungswerken anhand der maßgeblichen Sicht des durchschnittlichen VN betrachtet und damit als Mittel zu deren Verständnis dienen könnte, ist noch rar4. Auch veröffentlichte Rspr. zur Cyberversicherung gibt es noch nicht. Ersteres dürfte sich angesichts der vom Gesamtverband der deutschen Versicherungswirtschaft e. V. (GDV) im April 2017 eingeführten Musterbedingungen für die Cyberversicherung (AVB Cyber)5 wohl kurzfristig ändern, Letzteres erfahrungsgemäß auch. Diese Ausgangslage soll zum Anlass dazu genommen werden, einige der am Markt angebotenen Bedingungswerke näher zu betrachten sowie auf wiederkehrende Begriffe und Definitionen in den unterschiedlichen Bedingungswerken einzugehen.

II. Zum versicherten Risiko

1. Bestandsaufnahme der verschiedenen Deckungskonzepte

Welche Cyberrisiken bzw. Bedrohungsszenarien von einer Cyberversicherung umfasst sind, ergibt sich aus den jeweiligen Definitionen im konkreten Bedingungswerk.Während einige Bedingungswerke das versicherten Risiko (ausschließlich oder weitgehend) mittels generell-abstrakter Definitionen umschreiben, gibt es Bedingungswerke, die hierzu hauptsächlich auf abschließend und konkret aufgelistete Angriffsszenarien (Regelbeispiele) zurückgreifen. Regelmäßig findet sich ein kombinierter Ansatz. Auch die in den Bedingungswerken zur Umschreibung des jeweils versicherten Cyberrisikos verwendeten Begrifflichkeiten weichen teilweise erheblich voneinander ab. Mitunter variieren die Begrifflichkeiten sogar zwischen den verschiedenen Deckungsbausteinen einer einzelnen Police6. Unter den AVB Cyber besteht Versicherungsschutz für Vermögensschäden, die durch eine sogenannte „Informationssicherheitsverletzung“ verursacht werden. Andere Bedingungswerke knüpfen demgegenüber an den Eintritt eines im jeweiligen Bedingungswerk näher definierten „Cyberangriffs“, „Cyberschadens“, „Cyber-events“ oder einer „Netzwerksicherheitsverletzung“ an. Eine führende – hinsichtlich ihres Bedeutungsumfangs und ihrer Reichweite ähnlich verstandene – Terminologie hat sich bislang noch nicht durchgesetzt. Im Folgenden soll auf einige Ausgestaltungen näher eingegangen werden.

a) Die Informationssicherheitsverletzung nach den AVB Cyber

Die AVB Cyber umschreiben den versicherten Cyberangriff im Ausgangspunkt abstrakt-generell. Der Versicherungsfall ist der erstmals nachprüfbar festgestellte Vermögensschaden, der durch eine Informationssicherheitsverletzung verursacht wurde, Ziff. A1-2.2 AVB Cyber. Hierunter verstehen die AVB Cyber

„eine Beeinträchtigung der Verfügbarkeit, Integrität, Vertraulichkeit von elektronischen Daten des VN oder von informationsverarbeitenden Systemen, die dieser zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit nutzt“.

Der Versicherungsschutz orientiert sich damit an den sogenannten IT-Grundwerten bzw. Schutzzielen (Vertraulichkeit, Verfügbarkeit und Integrität)7, welche in der Informationstechnik für ein Mindestmaß an Sicherheit herangezogen werden. Die Reichweite des Versicherungsschutzes hängt dabei u. a. vom Verständnis des Begriffs des informationsverarbeitenden Systems ab. Dieser legt fest, welche (technischen) Gerätschaften des VN versichert sind und ist ausschlaggebend dafür, ob z. B. auch Produktionsmaschinen bzw. Fertigungsroboter oder IoT-Geräte („smarte Geräte“) in den Deckungsumfang einbezogen sind. Was unter einem informationsverarbeitenden System zu verstehen ist, definieren die AVB Cyber nicht ausdrücklich. Soweit ersichtlich, handelt es sich auch nicht um einen Fachbegriff der Informationstechnik. Für ein weites Begriffsverständnis spricht indes die Regelung in Ziff. A1-10 AVB Cyber. Dort sind Server, Produktions- oder Vertriebsniederlassungen und Läger exemplarisch für informationsverarbeitende Systeme genannt. Davon ausgehend dürfte unter Berücksichtigung des von den AVB Cyber verfolgten (und für den VN erkennbaren) Zwecks der Absicherung der für die betriebliche Tätigkeit genutzten technischen (IT-)Infrastruktur wohl jedes informations- und kommunikationstechnische System bzw. jedes hieran angebundene System gemeint sein. Der Begriff der informationsverarbeitenden Systeme dürfte daher faktisch alle Systeme erfassen, die durch einen Cyberangriff tatsächlich beeinträchtigt werden können. Die vorgenannten Beispiele wären bei dieser Sichtweise erfasst.

Ferner muss die Informationssicherheitsverletzung durch eines der in den Ziff. A1-2.4 AVB Cyber (abschließend) benannten versicherten Ereignisse ausgelöst worden sein:

-„Angriff auf elektronische Daten oder informationsverarbeitende Systeme des VN“, hierunter dürften mindestens alle von (externen) Dritten gezielt gegen die IT-Systeme des VN vorgenommenen Handlungen fallen,

-„unberechtigte Zugriffe auf elektronische Daten des VN“, beispielsweise das Ausspähen, Verändern oder Löschen von Betriebsgeheimnissen oder personenbezogenen Daten,

-„Eingriffe in informationsverarbeitende Systeme des VN“, davon dürften sowohl vorsätzliche als auch fahrlässige Handlungen von Mitarbeitern des VN erfasst sein,

-„eine Handlung oder Unterlassung, die zu einer Verletzung von datenschutzrechtlichen Vorschriften durch den VN führt“, also externe Angriffe oder eine intern von Mitarbeitern des VN verursachte „Datenpanne“, durch welche der Schutz personenbezogener Daten nicht mehr gewährleistet ist,

-oder „Schadprogramme, die auf elektronische Daten oder informationsverarbeitende Systeme des VN wirken“.

Wie die AVB Cyber knüpft auch eine Vielzahl der übrigen Bedingungswerke, freilich unter Verwendung anderer Begrifflichkeiten, grundsätzlich an den Eintritt eines bestimmten konkret benannten ursächlichen Ereignisses an. Dadurch wird eine weitere Deckungsvoraussetzung geschaffen und der Kreis eintrittspflichtiger Szenarien eingegrenzt.

b) Der Cyberangriff als Tathandlung

Andere Bedingungswerke stellen vorrangig auf eine oder mehrere bestimmte Tathandlungen ab, welche ihrerseits oftmals erläuterungsbedürftig sind. Die insoweit verwendeten Formulierungen erinnern teilweise an die sogenannten Hackerparagraphen des StGB (§§ 202 a–202 d, 303 a und 303 b StGB). Die Beschränkung des Versicherungsschutzes erfolgt durch die Verknüpfung der Tathandlung mit einem bestimmten – abschließend aufgezählten – eingetretenen Erfolg. Ein versicherter Cyberangriff wird in diesen Fällen sinngemäß z. B. als

„jedes unberechtigte Eindringen in das IT-System des VN, das die unberechtigte Nutzung, den unberechtigten Zugang zu dem IT-System oder die unbefugte Löschung, Zerstörung oder Veränderung von Daten zur Folge hat“,

definiert. Der insoweit häufig verwendete Begriff „Eindringen“ ist im Hinblick darauf, ob nur ein zielgerichtetes Handeln gemeint ist, nicht eindeutig. Er dürfte aber wohl in Richtung einer „unbefugten Zugangsverschaffung“ zu verstehen sein, so dass auch eine Beeinträchtigung des versicherten Computersystems durch Viren und Ransomware versichert wäre. Ansonsten dürften hierunter auch weitgehend all diejenigen Handlungen zu verstehen sein, welche die AVB Cyber separat als Angriff, Eingriff oder Zugriff aufzählen. Unklar und durch Auslegung zu ermitteln ist allerdings, ob etwaige Bedienfehler von Mitarbeitern, die zum Ausfall der IT-Systeme führen können, als ein solches „unberechtigtes Eindringen“ zu verstehen und von vorgenannter Definition ebenfalls erfasst wären8. Der Wortlaut spricht eher dagegen. Da die vorgenannte Definition im Gegensatz zu den AVB Cyber nicht auch auf die Verfügbarkeit des IT-Systems abstellt, diese also nicht in den Schutzbereich einbezieht, und darüber hinaus ein Eindringen in das Computersystem notwendig ist, dürften – anders als bei den AVB Cyber – zudem solche Szenarien vom Deckungsschutz ausgenommen sein, bei denen der VN zwar gezielt angegriffen wird, der Angriff aber auf Systeme außerhalb seines Herrschaftsbereichs gerichtet ist, sich also nicht gegen die IT-Systeme des VN wendet. Zu nennen ist beispielsweise eine Denial of Service-Attacke (engl. für „Verweigerung des Dienstes“) gegen den bei einem externen Service-Provider gehosteten Webserver des VN oder Angriffe gegen den DNS-Server (z. B. DNS-Spoofing und Cache Poisoning) mit dem Ziel, die Nichterreichbarkeit der Website des VN (z. B. Online-Shop) herbeizuführen.

c) Netzwerksicherheitsverletzung

Der ebenfalls häufig verwendete Begriff der „Netzwerk-sicherheitsverletzung“ wird beispielsweise als „jeder unzulässige Zugriff auf das IT-System oder jede unzulässige Nutzung des IT-Systems eines Versicherten“ definiert. Ergänzt wird der Versicherungsschutz für Netzwerksicherheitsverletzungen typischerweise um eine Deckung für Datenschutzverletzungen. Unklar ist mit Blick auf die Deckung von Netzwerksicherheitsverletzungen, ob auch mittelbar verursachte Schäden vom Versicherungsschutz erfasst wären, also z. B. Schäden aufgrund eines Stromausfalls, der wiederum auf einen gegen ein Stromversorgungsunternehmen (und nicht den VN) gerichteten Cyberangriff zurückgeht. Insoweit wird der Versicherungsschutz möglicherweise von etwaigen weiteren Deckungsbausteinen abhängen. Sofern es um Schäden aus dem Ausfall von Infrastruktur geht, ist zu beachten, dass fast alle angebotenen Cyberversicherungen einen entsprechenden Deckungsausschluss beinhalten.

d) Gebräuchliche Regelbeispiele

Im Unterschied zu der dargestellten Struktur der AVB Cyber wird das versicherte Risiko teilweise auch mittels einer (mitunter abschließenden) Aufzählung von Regelbeispielen definiert. So heißt es in einem Bedingungswerk, dass eine Informationssicherheitsverletzung insbesondere bei DoS-Attacken, Angriffen mit Trojanern und Viren oder bei einer unberechtigten Aneignung von Zugangscodes zum versicherten System vorliegt. Eine solche Auflistung trägt im Gegensatz zu der Verwendung von abstrakt-generellen Definitionen zwar nicht zur Übersichtlichkeit der Bedingungswerke bei, vermag aber dem in Sachen IT weniger bewanderten VN ein greifbareres Verständnis des Deckungsumfangs zu geben und für die ausdrücklich benannten Fälle Rechtsklarheit zu schaffen. Insoweit ist jedoch zu berücksichtigen, dass nur bei einer nicht abschließenden Auflistung (oder der Verwendung abstrakt-genereller Regelungen) auch weitere, im Bedingungswerk nicht ausdrücklich aufgeführte Risikoszenarien vom Versicherungsschutz umfasst sein können, die bei Abfassung des Bedingungswerks möglicherweise noch nicht bekannt waren oder vom VR als wenig deckungsbedürftig eingeordnet wurden9.

2. Auslegung Allgemeiner Versicherungsbedingungen

Für die vorstehend aufgezeigten Begrifflichkeiten zur Beschreibung des versicherten Risikos besteht oftmals kein im allgemeinen Sprachgebrauch klar umgrenztes Verständnis. Auch handelt es sich hierbei nicht um Begriffe der Rechtssprache oder – soweit nachvollziehbar – ausnahmslos um Fachbegriffe. Um zu ermitteln, was genau von der jeweiligen Versicherung umfasst ist, bedarf es daher der Auslegung der jeweiligen Klauseln.

a) Auslegungsmaßstab: Der durchschnittliche VN

Nach der st. Rspr. des BGH sind AVB so auszulegen, wie ein durchschnittlicher VN sie bei verständiger Würdigung, aufmerksamer Durchsicht und unter Berücksichtigung des erkennbaren Sinnzusammenhangs verstehen muss. Dabei kommt es auf die Verständnismöglichkeiten eines VN ohne versicherungsrechtliche Spezialkenntnisse und damit auch auf seine Interessen an10. Es gilt der Grundsatz objektiver Auslegung11. Im Einzelfall möglicherweise vorhandenes Sonderwissen ist außer Betracht zu lassen. Gleiches gilt insoweit für mangelnde Verständnismöglichkeiten12.

Auch Deckungsausschlüsse sind anhand vorgenannter Kriterien zu messen und darüber hinaus nach st. Rspr. des BGH eng auszulegen. Der Versicherungsschutz darf nicht weiter verkürzt werden, als der erkennbare Zweck der Klausel dies gebietet, und der Anwendungsbereich eines Risikoausschlusses nicht weiter ausgedehnt werden, als es sein Sinn unter Beachtung des wirtschaftlichen Ziels und der gewählten Ausdrucksweise erfordert. Denn der durchschnittliche VN braucht nicht damit zu rechnen, dass sein Versicherungsschutz lückenhaft ist, wenn ihm dies nicht hinreichend verdeutlicht wird13.

b) Begriffe der Rechtssprache

Eine Einschränkung erfahren die vorgenannten Grundsätze, wenn ein in AVB verwendeter Begriff zugleich in der Rechtssprache gebräuchlich ist und dort einen fest umrissenen, in seinen Konturen eindeutigen Bedeutungsinhalt hat14. In einem solchen Fall ist nach st. Rspr. des BGH anzunehmen, dass auch die AVB unter dem betreffenden Begriff nichts anderes verstehen wollen und der VN hinnimmt, was ihm über die Rechtssprache vorgegeben wird15. Dies gilt also auch dann, wenn dieser fachspezifische (juristische) Bedeutungsinhalt für den durchschnittlichen VN nicht ersichtlich ist. Entscheidend ist, dass der VN das Vorliegen eines Begriffs der Rechtssprache erkennt16.

c) Verkehrskreisbezogene Auslegung

Die vorgenannten Grundsätze bzw. die für die Auslegung maßgebliche Perspektive ist anzupassen, wenn ein Versicherungsvertrag typischerweise mit oder für einen bestimmten Personen- oder Kundenkreis17 geschlossen wird. Sind diese Personen insgesamt geschäftserfahren und im Umgang mit AGB vertraut, muss dieser Umstand bei der Auslegung berücksichtigt werden. Maßgeblich sind insoweit die Verständnismöglichkeiten eines durchschnittlichen Mitglieds dieses Personenkreises18. So hat der BGH etwa in Bezug auf die Transportversicherung entschieden, dass die üblicherweise vorhandene Geschäftserfahrenheit der VN bei der Auslegung der Versicherungsbedingungen – und auch der Leistungsausschlüsse – zugunsten des VR entsprechend zu beachten ist19. Betrifft die konkrete Auslegungsfrage nur eine bestimmte Anzahl von Personen innerhalb des typischen Kundenkreises, ist gar auf das Verständnis des durchschnittlichen Mitglieds dieser speziellen Gruppe abzustellen, z. B. auf die Verständnismöglichkeiten eines Rechtsanwalts, wenn es um die Regelungen zur anwaltlichen Selbstvertretung in einer Rechtsschutzversicherung geht20

Zuletzt haben vor allem einige Obergerichte hohe Erwartungen an die Verständnismöglichkeiten geschäftserfahrener VN bzw. versicherter Personen formuliert. Das OLG München etwa hatte die Frage zu entscheiden, ob die Gründung eines Konkurrenzunternehmens und die Abwerbung von Mitarbeitern des VN noch als Pflichtverletzung „bei Ausübung der versicherten Tätigkeit“ und damit als versichert einzustufen war21. Das OLG München war in der Urteilsbegründung u. a. der Auffassung, dass eine versicherte Person die semantische Nähe der vorgenannten Formulierung zu den im Staatshaftungsrecht verwendeten Begrifflichkeiten, konkret zu den Begriffen „in Ausübung“ i. S. v. Art. 34 Satz 1 GG sowie „in Verrichtung“ i. S. v. § 831 Abs. 1 Satz 1 BGB, erkennt. Das OLG hat auf dieser Grundlage entschieden, dass unter der streitgegenständlichen D&O-Versicherung nur solche Handlungen versichert sind, bei denen ein bestimmter innerer und äußerer Zusammenhang zwischen ausgeübter Tätigkeit und (vorgeworfener) Pflichtverletzung besteht22. Vergleichbar hohe Anforderungen an die Verständnismöglichkeiten stellte auch das OLG Düsseldorf im Zusammenhang mit dem D&O-Versicherungsschutz für Ansprüche des Insolvenzverwalters nach § 64 Satz 1 GmbHG23. Für den durchschnittlichen Versicherten einer D&O-Versicherung sei erkennbar, dass die D&O-Versicherung nur dem Schutz von Vermögensinteressen der Versicherungsnehmerin diene. Da ein Anspruch aus § 64 Satz 1 GmbHG keinen Vermögensschaden der Gesellschaft voraussetze, handele es sich dabei nach dem maßgeblichen Verständnishorizont auch nicht um einen vom Umfang einer D&O-Versicherung erfassten versicherten Schadensersatzanspruch24.

3. Grenzen der Auslegung im Kontext von Cyberversicherungen

Die vorstehenden versicherungsrechtlichen Auslegungsgrundsätze gelten auch für die Cyberversicherung. Der typische (durchschnittliche) VN einer Cyberversicherung ist Kaufmann und nach den dargestellten Grundsätzen im Umgang mit AGB geübt und insgesamt geschäftserfahren. Von ihm wird daher u. a. verlangt werden können, dass er die Begrifflichkeiten und Formulierungen in den Cyber-Versicherungsbedingungen nicht nur im jeweiligen Kontext, sondern darüber hinaus im Gesamtzusammenhang des jeweiligen Vertragswerks betrachtet. Daneben stellt sich die Frage, inwieweit ihm auch ein technisches Verständnis abverlangt werden kann. Dabei dürfte zu berücksichtigen sein, dass Cyberrisiken ein aktuelles Thema sind, mit welchem sich Geschäftsleiter, wie eingangs erläutert, ohnehin auseinandersetzen müssen. Legt man nunmehr die strengen Maßstäbe der Gerichte zugrunde, dürfte von dem durchschnittlichen VN einer Cyberversicherung ein Grundverständnis der relevanten IT-Terminologie (und der grundlegenden technischen Zusammenhänge) verlangt werden können, ohne dass IT-Grundbegriffe im jeweiligen Vertragswerk genauer definiert werden müssten. Konkret dürfte dies für Grundbegriffe wie z. B. Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von Daten, Server, Schadprogramm, Viren, Trojaner, Malware oder Firewall gelten. Dies gilt freilich nur, sofern tatsächlich ein gesichertes (Fach-)Verständnis besteht. Insoweit könnten allgemeine einschlägige Nachschlagewerke wie z. B. das BSI-Glossar zu den wichtigen Begriffen der IT-Sicherheit25 als Indiz für einen bestehenden IT-spezifischen „allgemeinen Sprachgebrauch“ herangezogen werden26.

Vor einer Herausforderung steht der VN – und damit im Streitfall auch das Gericht –, wenn technische bzw. IT-spezifische Begriffe verwendet werden, bei denen es sich nicht um (dem durchschnittlichen VN bekannte) Begriffe der IT-Sicherheit handelt. Enthält das Bedingungswerk keine weiteren Hinweise, wie ein solcher Begriff zu verstehen ist, hilft auch eine etwaige Geschäftserfahrenheit und Vertrautheit im Umgang mit AGB nicht bei dessen Auslegung. Soweit es um Deckungsausschlüsse und Nebenabreden geht, wird im Einzelfall möglicherweise eine Lösung über § 307 Abs. 1 Satz 2 BGB (Unwirksamkeit wegen Intransparenz) oder § 305 c Abs. 2 BGB (Zweifel bei der Auslegung gehen zu Lasten des Verwenders) möglich sein. Soweit es um die Definition der essentialia negotii geht, können die vorgenannten Ansatzpunkte jedoch im Einzelfall versagen, da eine AGB-Kontrolle des Vertragskerns bei Fehlen einer gesetzlichen Auffangregelung auch im Hinblick auf die Transparenz nach der Rspr. des BGH27 faktisch ausscheidet. Unklar kann etwa sein, worin der Unterschied zwischen einer Informations- und einer Netzwerksicherheitsverletzung liegen soll, da letztgenannter Begriff z. B. im BSI-Glossar nicht definiert ist. Gleiches gilt für das Verständnis des versicherten Systems, das in einigen Bedingungswerken schlicht als „IT-System“ – insoweit enthält das BSI-Glossar eine Erläuterung –, mitunter aber auch als „Computersystem“ oder als „Internet- und Kommunikationseinrichtung“ beschrieben wird, ohne darüber hinaus näher definiert zu werden. Der Wortlaut hilft dann nicht weiter, wenn es im Schadensfall z. B. nicht um den Ausfall eines Computers, Servers oder Netzwerks geht, sondern einer Produktionsmaschine, eines Mobiltelefons, eines virtuellen Servers bzw. schlicht um den „Ausfall“ der Internetverbindung als solcher.

Im Kontext der Rspr. des BGH zur Wirksamkeit bzw. Transparenz von Regelungen zur Überschussbeteiligung in der kapitalbildenden Lebensversicherung ist in der versicherungsrechtlichen Literatur vorgeschlagen worden, dass dort, wo die Verständnismöglichkeiten und -fähigkeiten eines durchschnittlichen VN überspannt werden, ausnahmsweise auf einen sachkundigen Stellvertreter abgestellt werden müsse. Begründet wurde dies u. a. mit dem Hinweis darauf, dass bei Begriffen der Rechtssprache, wie dargestellt, das Verständnis eines Juristen als Fachmanns maßgeblich sei, so dass bei versicherungstechnischen Begriffen auf das Verständnis eines mit den Gegebenheiten des Versicherungswesens Vertrauten abgestellt werden müsse28. Der mit den Gegebenheiten des Versicherungswesens Vertraute dient nach diesem Ansatz sozusagen als (neutraler) Stellvertreter des VN. Auf den VR könne wegen des Interessenkonflikts nicht abgestellt werden. Diesem Ansatz liegt die Idee zugrunde, eine den beiderseitigen Interessen gerecht werdende Auslegung zu finden und den VN bei der Auslegung von AVB-Regelungen nicht schutzlos zu stellen29.

Überträgt man diesen Ansatz auf die Cyberversicherung, käme es in den vorgenannten Fällen auf den „mit den Gegebenheiten der modernen Informations- und Kommunikationstechnik Vertrauten“ als Stellvertreter des VN an. Wenn eine Cyberversicherung beispielsweise Versicherungsschutz für Denial of Service-Attacken gegen die IT-Systeme des VN verspricht, ohne den Begriff bzw. dessen Reichweite zu erläutern, wären nach dem hier vertretenen Ansatz letztlich die Verständnismöglichkeiten eines IT-Fachmanns ausschlaggebend. Anhand seiner Sichtweise wäre zu beurteilen, welche konkreten Angriffsformen unter den Sammelbegriff „Denial of Service-Attacke“ fallen, welche Angriffsformen davon abzugrenzen sind und welche Szenarien als (regelmäßig nicht versicherter) schlichter Ausfall allgemeiner Internetinfrastruktur wegen Überlastung gelten. Wenngleich sich auch auf Grundlage dieses Ansatzes nicht alle bestehenden Auslegungs- und Abgrenzungsschwierigkeiten beseitigen lassen werden, bestünde damit gleichwohl die Möglichkeit, ein interessengerechtes Ergebnis zu finden, sollte auf den Verständnishorizont des durchschnittlichen VN (ausnahmsweise) nicht abgestellt werden können.

III. Der Versicherungsfall in der Cyberversicherung

Auch mit Blick auf die verwendeten Versicherungsfalldefinitionen hat sich bislang kein Marktstandard herausgebildet. Mehrere VR tendieren aber wohl dazu, dem Eigenschaden-Baustein (und dem Service-Kosten-Baustein) das Manifestations- bzw. Feststellungsprinzip und dem Haftpflicht-Baustein das Claims-Made- bzw. Anspruchserhebungsprinzip zugrunde zu legen.

1. Bestandsaufnahme der verwendeten Versicherungsfallprinzipien

Den AVB Cyber liegt einheitlich für alle drei Deckungsbausteine (Haftpflicht-, Eigenschaden- und Service-Kosten-Baustein) das Manifestationsprinzip zugrunde. Der Versicherungsfall wird danach als der „erstmals nachprüfbar festgestellte Schaden“ definiert, der durch eine Informationssicherheitsverletzung verursacht wurde, vgl. Ziff. A1-4 AVB Cyber. Die Wendung „nachprüfbare erste Feststellung“ dürfte – entsprechend der wortgleichen in der Umwelthaftpflichtversicherung verwendeten Formulierung – nach den maßgeblichen Verständnismöglichkeiten des durchschnittlichen VN dahingehend zu verstehen sein, dass auf der Grundlage von Tatsachen die Verursachung eines Schadens zu einem bestimmten Zeitpunkt feststellbar ist und es auf eine zeitlich unbefristete Nachprüfbarkeit, Dokumentation oder Archivierung von Beweismitteln nicht ankommt30. Hinter dem Manifestationsprinzip31 steht der Gedanke, dass insbesondere bei zeitlich gestaffelten Sachverhalten (Kausalereignis, Schadensereignis, Schadenseintritt, Entdeckung des Schadens) eine eindeutige zeitliche Zuordnung des Versicherungsfalls auf Grundlage des Schadenereignisprinzips (maßgeblich ist hier das Ereignis, das den Schaden unmittelbar herbeiführt) häufig schwer möglich ist32. Gleiches gilt für die Cyberversicherung: Oftmals wird sich der genaue Zeitpunkt des Eintritts des relevanten Cyberangriffs nicht rekonstruieren oder jedenfalls beweissicher darlegen lassen, beispielsweise der exakte Zeitpunkt, in welchem ein Virus seine Funktion erstmals entfaltet oder ein Dritter unerlaubt Zugriff auf das Netzwerk erhalten hat. Demgegenüber dürfte das Vorliegen eines Schadens regelmäßig leicht feststellbar sein. Das Manifestationsprinzip bietet damit – ebenso wie das Claims-Made-Prinzip (hierzu sogleich) – einen Anknüpfungspunkt für die Deckung, der in zeitlicher Hinsicht zuverlässig festzustellen und damit im Streitfall durch den insoweit beweisbelasteten VN auch leicht nachweisbar ist33. Eine genaue zeitliche Zuordnung ist nicht nur für die Bestimmung der Versicherungsperiode relevant, sondern insbesondere auch für die Frage, ab welchem Zeitpunkt der Anspruch des VN auf die typischerweise im Service-Kosten-Baustein enthaltenen Leistungen (Cyberforensik – Ziff. A2-1 AVB Cyber etc.) entsteht und ab wann der VN vertragliche Obliegenheiten zu erfüllen hat.

Abweichend von den AVB Cyber folgt wohl derzeit die Mehrheit der Bedingungswerke hinsichtlich des Haftpflicht-Bausteins dem Claims-Made-Prinzip. Gemeint ist damit die erstmalige Geltendmachung eines Haftpflichtanspruchs gegen den VN während der Dauer des Versicherungsvertrags. Der Versicherungsschutz nach dem Claims-Made-Prinzip knüpft im Vergleich zum Manifestationsprinzip an einen späteren Zeitpunkt an, da ein Cyberangriff regelmäßig erst wahrnehmbar sein muss (sich damit also nach o. g. Definition zunächst manifestiert), bevor Dritte daraus resultierende Ansprüche geltend machen können, z. B. wg. des Abhandenkommens personenbezogener Daten.

Während Manifestations- und Claims-Made-Prinzip in der Cyberversicherung wohl bevorzugt Anwendung finden, ist eine Deckung auf Basis des Schadensereignisprinzips aus den vorgenannten Gründen eher selten, aber nicht unbekannt. Einige Bedingungswerke berücksichtigen dabei den Umstand, dass der tatsächliche Eintritt bzw. genaue Zeitpunkt des Cybervorfalls gegebenenfalls schwer nachweisbar ist, und arbeiten insoweit mit Beweislastumkehrregelungen zugunsten des VN. Mitunter wird Versicherungsschutz bezüglich bestimmter Schäden und/oder der angebotenen Assis-tance-Leistungen (insbesondere der IT-Forensik) auch unabhängig vom sicheren Eintritt eines Versicherungsfalls gewährt, sobald objektive Umstände sein Vorliegen vermuten lassen oder andere Ursachen (z. B. insbesondere Hardware- oder Softwarefehler) mit hinreichender Wahrscheinlichkeit ausgeschlossen werden können.

2. Risiko von Spätschäden

Sowohl eine Deckung auf Basis des Manifestationsprinzips als auch eine Deckung auf Basis des Claims-Made-Prinzips begrenzen grundsätzlich das Spätschadensrisiko für den VR. Sie bergen jedoch aus Sicht des VN umgekehrt das Risiko von Deckungslücken hinsichtlich solcher Cyberangriffe, die sich zwar (nachweisbar) während der Laufzeit der Cyberversicherung ereignet haben, aber erst nach deren Beendigung festgestellt wurden bzw. insoweit Haftpflichtansprüche geltend gemacht wurden. Dies wird dann relevant, wenn zwischen Schadenseintritt und Versicherungsfall ein längerer Zeitraum vergeht, was z. B. bei sogenannten Advanced–Persistent-Threat (APT)-Szenarien (engl. für „fortgeschrittene, andauernde Bedrohung“)34 oder bei der zunächst unentdeckten Entwendung personenbezogener Daten der Fall sein könnte. Jedenfalls enthalten, soweit ersichtlich, alle Cyberversicherungen Regelungen zur Nachhaftung des VR. Eine entsprechende Regelung findet sich beispielsweise in Ziff. A1-5 AVB Cyber, wonach der Versicherungsschutz auch nach Vertragsbeendigung weiter besteht,

„wenn während der Wirksamkeit der Versicherung eine Informationssicherheitsverletzung eingetreten ist, aber ein Vermögensschaden zum Zeitpunkt der Beendigung des Versicherungsverhältnisses noch nicht festgestellt war“.

Soweit es um den Versicherungsschutz für frühere Ereignisse geht, besteht unter Anwendung von Manifestations- und Claims-Made-Prinzip eine Rückwärtsdeckung für solche Cyberangriffe, die bereits vor Beginn des versicherten Zeitraums eingetreten sind, aber erst nach dessen Beginn nachprüfbar festgestellt, bzw. wegen deren Folgen Haftpflichtansprüche erst nach dem Beginn des versicherten Zeitraums erhoben wurden. Vertragliche Voraussetzung dieser Rückwärtsdeckung ist – entsprechend § 2 Abs. 2 Satz 2 VVG – typischerweise, dass der VN keine Kenntnis davon hatte, dass der Eintritt eines Versicherungsfalls bei Abschluss der Versicherung bereits angelegt war. Üblich ist wohl auch, dass die Rückwärtsdeckung nicht über ein bestimmtes im Versicherungsschein festgelegtes Datum hinausgeht. Hierzu enthalten die AVB Cyber in Ziff. A1-6 eine entsprechende Regelung.

IV. Versicherte Schäden und Kosten der Verteidigung im Musterfeststellungsverfahren

Während sich die angebotenen Cyberversicherungen hinsichtlich der Beschreibung des versicherten Risikos teilweise erheblich voneinander unterscheiden, ähneln sie sich, wie eingangs angesprochen (dazu unter I.), grundsätzlich hinsichtlich der versicherten Vermögensschäden (Eigen- und Drittschäden und „Service-„Kosten).

Mit Blick auf die AVB Cyber entspricht der Drittschaden-Baustein grundsätzlich einer Haftpflichtversicherung für den Bereich von Vermögensschäden, die auf Informationssicherheitsverletzungen zurückzuführen sind. So wird nach Ziff. A3-1 AVB Cyber Deckungsschutz gewährt, wenn der VN

„aufgrund gesetzlicher Haftpflichtbestimmungen privatrechtlichen Inhalts von einem Dritten auf Schadensersatz in Anspruch genommen wird“.

Die zitierte Formulierung findet sich wortgleich in Ziff. 1.1 AHB, den Musterbedingungen des GDV für die Haftpflichtversicherung35. In der Haftpflichtversicherung umfasst die Leistung des VR i. S. v. § 100 VVG die Freistellung von begründeten und die Abwehr unbegründeter Ansprüche, wobei der VR insbesondere gemäß § 101 Abs. 1 Satz 1 VVG verpflichtet ist, die gerichtlichen und außergerichtlichen Kosten einer Anspruchsabwehr zu tragen.

Von Interesse ist, ob – bzw. ab welchen Zeitpunkt – unter den angebotenen Bedingungswerken auch die Kosten der Verteidigung in einem Musterfeststellungsverfahren nach §§ 606 ff. ZPO durch den Cyberversicherer zu tragen sind. Diese Frage ist z. B. deshalb von Praxisbedeutung, weil Cyberangriffen typischerweise die Gefahr der Entwendung einer Vielzahl personenbezogener Daten immanent sein dürfte. Die hiervon betroffenen Personen haben gemäß Art. 82 Abs. 1 der europäischen Datenschutz-Grundverordnung (DS-GVO) Anspruch auf Ersatz ihrer hierdurch entstandenen materiellen und immateriellen Schäden, sofern der VN gegen die technischen oder organisatorischen Vorgaben der DS-GVO (schuldhaft) verstoßen hat. Sofern es sich um einen Datendiebstahl größeren Umfangs handelt, ist das Szenario denkbar, dass eine qualifizierte Einrichtung im Wege der Musterfeststellungsklage die Feststellung begehrt, dass ein Verstoß gegen die DS-GVO bzw. die Voraussetzungen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO dem Grunde nach vorliegen.

Bei Art. 82 DS-GVO, der unmittelbar anwendbares Recht ist, handelt es sich um eine gesetzliche Haftpflichtbestimmung im Sinne vorgenannter Definition36. Zu fragen ist, ob durch die Erhebung der Klage, deren spätere öffentliche Bekanntmachung im Klageregister und/oder die Anmeldung von Ansprüchen durch Verbraucher eine Inanspruchnahme durch einen Dritten eintritt. Dies ist in zweierlei Hinsicht zu diskutieren. Zunächst kann „Dritter“ i. S. v. § 100 VVG nur sein, wer gegen den VN in den Schutzbereich des Versicherungsvertrags fallende, auf Schadensersatz gerichtete Haftpflichtansprüche hat bzw. erhebt37. Der Begriff des „Dritten“ wird dabei weit verstanden38. Dem steht gegenüber, dass die gemäß § 606 Abs. 1 Satz 2 ZPO zur Erhebung der Musterfeststellungsklage befugten qualifizierten Einrichtungen nicht selbst Gläubiger des festzustellenden Haftpflichtanspruchs sind, d. h. weder selbst (un)mittelbar geschädigt noch Rechtsnachfolger des geschädigten Dritten. Bei den qualifizierten Einrichtungen dürfte es sich gleichwohl um „Dritte“ handeln. Ihr rechtliches Innenverhältnis zu den Verbrauchern ist zwar nicht ausdrücklich geregelt und in Einzelheiten umstritten39, letztlich geht es im Klageverfahren aber um die Feststellung des Vorliegens oder Nichtvorliegens der tatsächlichen bzw. rechtlichen Voraussetzungen der Ansprüche der Verbraucher selbst (§ 606 Abs. 1 Satz 1 ZPO). Dafür spricht auch, dass diese während der Rechtshängigkeit der Musterfeststellungsklage keine Klage erheben können, deren Streitgegenstand denselben Lebenssachverhalt und dieselben Feststellungsziele betrifft, § 610 Abs. 3 ZPO.

Weitere Voraussetzung der Abwehrverpflichtung ist, dass eine Inanspruchnahme auf Schadensersatz vorliegt. Voraussetzung einer solchen Inanspruchnahme ist eine einseitige Willenserklärung, die ernsthaft darauf gerichtet sein muss, Ersatz für einen nach der Behauptung des Geschädigten vom Versicherten zu verantwortenden Schaden zu erhalten40. So kann bereits in der Einleitung eines selbständigen Beweisverfahrens eine Inanspruchnahme liegen, wenn eindeutig ist, dass der Geschädigte ausschließlich den VN für einen eingetretenen Schaden verantwortlich machen will41. Anders liegt es hingegen dann, wenn der Geschädigte sich nur Klarheit darüber verschaffen will, welche Schäden eingetreten sind, worin die Schadensursache liegt und wer dafür verantwortlich ist. Entscheidend ist, ob der VN einen eindeutigen Hinweis darauf erhält, dass der Gläubiger letztlich Schadensersatzansprüche gegen ihn geltend machen wird42. Ein derartiger „Hinweis“ auf die bevorstehende Anspruchsverfolgung könnte möglicherweise noch nicht in der Klageerhebung (oder deren öffentlicher Bekanntmachung im Klageregister) liegen, sondern erst in der Anmeldung von Ansprüchen zur Eintragung in das Klageregister durch die Verbraucher (§ 608 ZPO). Dafür spricht, dass allein mit der Klageerhebung für den VN noch nicht ersichtlich oder abschätzbar ist, welche (und wie viele) Verbraucher Ansprüche (in welcher konkreten Höhe) anmelden bzw. weiterverfolgen werden. Zudem ist eine Musterfeststellungsklage nach § 606 Abs. 3 ZPO nur zulässig, wenn zwei Monate nach öffentlicher Bekanntmachung der Musterfeststellungsklage mindestens 50 Verbraucher ihre Ansprüche oder Rechtsverhältnisse zur Eintragung in das Klageregister wirksam angemeldet haben. Allerdings dürfte eine Musterfeststellungsklage prozessual bis zum Ablauf der Zwei-Monats-Frist zunächst als zulässige Klage zu behandeln sein, die unzulässig wird, wenn feststeht, dass das Quorum in der Zwei-Monats-Frist nicht erreicht wurde43. Dies spräche wiederum dafür, die Klageerhebung als maßgeblichen Zeitpunkt einer Inanspruchnahme einzuordnen.

Vor allem der Gesetzeszweck der §§ 606 ff. ZPO, gleichartig geschädigten Verbrauchern die Möglichkeit zu eröffnen, Schadensersatz- oder Erstattungsansprüche auch bei Schäden nur geringen Ausmaßes ohne eigenes Prozessrisiko zu verfolgen44, deutet darauf hin, bereits im Musterfeststellungsverfahren selbst eine Inanspruchnahme zu sehen. Auch ist es wahrscheinlich, dass Verbraucher ihre Ansprüche bei obsiegendem Musterfeststellungsurteil in einem Folgeverfahren geltend machen werden. Entsprechend hat die Anmeldung zum Klageregister gemäß § 204 Abs. 1 Nr. 6 a BGB bereits verjährungshemmende Wirkung. Ein obsiegendes Musterfeststellungsurteil ebnet damit gerade den Weg für die spätere Geltendmachung von Schadensersatzansprüchen im Individualverfahren. Das Gericht des Individualprozesses ist dabei gemäß § 613 Abs. 1 Satz 1 ZPO an die tatsächlichen und rechtlichen Feststellungen des Musterfeststellungsverfahrens gebunden. Das Musterfeststellungsverfahren dient mithin nicht nur der Klärung von Vorfragen, sondern einer Entscheidung über die Haftungsfrage selbst und dürfte damit – bereits ab Klageerhebung – eine versicherte Inanspruchnahme darstellen.

V. Risikoausschlüsse und sonstige Einschränkungen des Versicherungsschutzes

1. Terror, Krieg und kriegsähnliche Handlungen

Wie viele andere Versicherungsbedingungen enthält die Mehrzahl der Bedingungswerke zur Cyberversicherung einen Deckungsausschluss für Krieg, Terror und sog. kriegsähnliche Handlungen45. Aus Presseberichten ist bekannt, dass sich derzeit ein US-amerikanisches Gericht im Rahmen einer Deckungsstreitigkeit mit der Frage befassen muss, ob der Virus NotPetya, der nach Erkenntnis einiger Geheimdienste möglicherweise aus staatlicher Feder stammt46, eine „kriegsähnliche Handlung“ darstellt, die unter den im Rechtsstreit maßgeblichen AVB vom Versicherungsschutz ausgenommen wäre47. Es ist daher für die Praxis bedeutsam, ob Cyberangriffe bzw. Schadprogramme, deren Urheberschaft fremden Staaten zugeordnet werden kann, als nicht versicherte kriegsähnliche Handlungen anzusehen und entsprechende Schäden vom Versicherungsschutz ausgenommen sind.

Während unter den AVB Cyber alle Schäden aufgrund von Krieg (A1-17.2), politischen Gefahren (A1-17.3.) und Terrorakten (A1-17.4) vom Versicherungsschutz ausgeschlossen sind, enthalten viele Bedingungswerke daneben einen ausdrücklichen Ausschluss für ähnliche feindselige Handlungen. Sinngemäß kann es etwa heißen, dass kein Versicherungsschutz für Schäden besteht, die auf

„Kriegs- oder kriegsähnlichen Ereignissen oder ähnlichen feindseligen Handlungen (gleichgültig, ob Krieg erklärt wurde oder nicht) beruhen, auch soweit diese im und/oder ausgehend vom virtuellen Raum (Cyberwar) mit Mitteln aus dem Bereich der Informationstechnik begangen wurden“.

Auf Grundlage einer solchen Klausel wäre also z. B. zu entscheiden, ob für den Ausschluss eine zielgerichtete Handlung des (angreifenden) Staates gerade gegen den VN notwendig ist oder ob insoweit auch jeder „Kollateralschaden“ ausreicht, d. h. jede (nicht beabsichtigte und gegebenenfalls weit entfernte) mittelbare Folge. Im Streitfall müsste der VR auch in tatsächlicher Hinsicht beweisen, dass der Virus bzw. der Cyberangriff von einem fremden Staat verübt wurde. Dieser Beweis dürfte praktisch wohl kaum geführt werden können.

2. Bußgelder und Strafen

Auf Grundlage der DS-GVO können Aufsichtsbehörden einem Unternehmen bei Nichteinhaltung der datenschutzrechtlichen Bestimmungen nach Art. 83 Bußgelder von bis zu 20 Mio. EUR bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs auferlegen. Ein gegen den VN erfolgreich geführter Cyberangriff, bei dem der vom VN zu gewährleistende Schutz personenbezogener Daten verletzt wurde (Art. 32 Abs. 1 DS-GVO), könnte daher grundsätzlich ein solches gegen den VN verhängtes Bußgeld nach sich ziehen, ohne dass hier auf die weiteren Einzelheiten eines solchen Szenarios eingegangen werden kann48.

Nach den AVB Cyber sind jedenfalls alle Vermögensschäden aufgrund von Strafen, Bußgeldern oder vergleichbaren behördlichen Maßnahmen gemäß Ziff. A1-17.11 vom Versicherungsschutz ausdrücklich ausgeschlossen. Demgegenüber heißt es in vielen anderen Bedingungswerken, dass Bußgelder und Strafen als versichert gelten, „soweit dies rechtlich zulässig“ ist. Ob und inwieweit dies der Fall ist, ist allerdings umstritten. Einschlägige Rspr. zu der Frage, ob und unter welchen Voraussetzungen Bußgelder und Geldstrafen versicherbar sind, existiert bislang, soweit ersichtlich, nicht49. In der versicherungsrechtlichen Literatur wird die Problematik kontrovers diskutiert. Dies gilt insbesondere mit Blick darauf, ob eine solche Deckungszusage des VR angesichts des mit den Straf- und Bußgeldvorschriften verfolgten Präventionszwecks und der Vergeltungsfunktion sittenwidrig i. S. v. § 138 Abs. 1 BGB und damit nichtig sein könnte. In der Literatur wird teilweise nach der genauen Art der Sanktionierung und des damit verfolgten Zwecks differenziert50. Mitunter wird die Versicherbarkeit auch davon abhängig gemacht, ob die maßgebliche Tat vorsätzlich oder fahrlässig begangen wurde51. Vor diesem Hintergrund ist – auch außerhalb der Cyberversicherung – keine belastbare Aussage zur direkten Versicherbarkeit von Geldstrafen möglich52.

3. Anrechnung von Abwehrkosten auf die Versicherungssumme

Cyberversicherungen enthalten regelmäßig eine Regelung, wonach die vereinbarte Versicherungssumme den Höchstbetrag der Leistungspflicht des VR darstellt und die im Rahmen der Anspruchsabwehr verursachten Verteidigungskosten auf die zur Verfügung stehende Versicherungssumme anzurechnen sind. Derartige Kostenanrechnungsklauseln sind etwa aus der D&O-Versicherung bekannt und werden typischerweise bei der Versicherung von Großrisiken verwendet53. In Haftungsfällen nach einem Cyberangriff, die erhebliche Abwehrkosten erwarten lassen, wird früher oder später zu diskutieren sein, ob solche Anrechnungsklauseln in AVB wirksam vereinbart werden können. Virulent dürfte diese Frage etwa dann werden, wenn eine Vielzahl personenbezogener Daten durch einen Cyberangriff abhandenkommt und die davon Betroffenen auf Grundlage von Art. 82 Abs. 1 DS-GVO materielle und immaterielle Schadensersatzansprüche gegen den VN geltend machen. Bereits nach der gesetzlichen Gebührentabelle ist das Gesamtkostenrisiko in einem umfangreichen „Data Breach“-Fall durch die Vielzahl der zu führenden Rechtsstreitigkeiten erheblich.

Ausgehend von dem Urt. des OLG Frankfurt a. M. vom 9. 6. 201154, das in dem dort zugrundeliegenden Fall eine Kostenanrechnungsklausel für intransparent und daher unwirksam angesehen hat, ist in der Literatur vor allem diskutiert worden, ob Kostenanrechnungsklauseln in D&O-Versicherungen gegen ein mögliches Leitbild von § 101 Abs. 2 Satz 1 VVG verstoßen und aus diesem Grunde „im Zweifel“ unwirksam sind55. § 101 Abs. 2 Satz 1 VVG statuiert, dass der VR die Kosten eines auf seine Veranlassung geführten Rechtsstreits bzw. die Kosten der Verteidigung auch dann zu ersetzen hat, wenn diese, zusammen mit den Aufwendungen des VR zur Freistellung des VN, die Versicherungssumme übersteigen. Die Pflicht des VR zur Kostentragung stellt letztlich eine Fortsetzung seiner Hauptleistungspflicht dar, unbegründete Ansprüche abzuwehren56. Der VR trägt die Verantwortung für die Prüfung der Rechtslage und die Entscheidung zur Anspruchsabwehr57. Konsequenterweise muss er auch die daraus resultierenden Risiken selbst tragen und kann sie nicht dem VN auferlegen58. Ist der VR nun zur Kostenanrechnung berechtigt, so weicht dies zunächst von der gesetzlichen Regelung des § 101 Abs. 2 Satz 1 VVG ab. Fraglich ist aber, ob dies zu einer Unwirksamkeit der entsprechenden Klausel führt. Denn zunächst kann bereits hinterfragt werden, ob § 101 Abs. 2 Satz 1 VVG tatsächlich eine Leitbildfunktion zukommt59. Nimmt man dies an, wäre eine Kostenanrechnungsklausel zudem nur „im Zweifel“ unwirksam. Eine Abweichung ist möglich, wenn die abweichende Klausel den berechtigten Interessen beider Vertragsparteien angemessen Rechnung trägt, der gesetzliche Schutzzweck also auf andere Weise sichergestellt wird60. Im Rahmen der erforderlichen Abwägung ist neben dem sachlichen Interesse des VR, nicht mit unkalkulierbaren Abwehrkosten konfrontiert zu werden, zu berücksichtigen, dass der VN auch dann nicht schutzlos gestellt ist, wenn die AVB eine Kostenanrechnungsklausel enthalten. Der VR hat bei der Prüfung der Rechtslage und der Entscheidung, ob er einen Anspruch abwehrt oder den VN freistellt, nach pflichtgemäßem Ermessen unter Rücksichtnahme auf die Interessen des VN zu handeln61. Verletzt er diese Pflicht schuldhaft und entscheidet sich für die Anspruchsabwehr, wodurch er unnötige Abwehrkosten verursacht, macht er sich gegenüber dem VN gem. §§ 280 Abs. 1, 241 Abs. 2 BGB schadensersatzpflichtig62. Sieht man diese Ausgangslage im Hinblick auf die Interessen des VN als noch angemessen und das gewährleistete Schutzniveau als noch ausreichend an, scheidet eine Unvereinbarkeit von Kostenanrechnungsklauseln mit § 101 Abs. 2 Satz 1 VVG aus.

Kostenanrechnungsklauseln dürften darüber hinaus auch nicht geeignet sein, den Vertragszweck einer Cyberversicherung i. S. v. § 307 Abs. 2 Nr. 2 BGB zu gefährden. Gegen eine Vertragszweckgefährdung spricht, dass der Haftpflichtteil nur einen der drei Bausteine der Cyberversicherung ausmacht und unter diesen nicht den Schwerpunkt der Deckung darstellt. Denn die wesentlichen Vermögensschäden, die aus einem Cyberangriff folgen, sind in der Regel Betriebsunterbrechungsschäden und Kosten der Aufklärung und Datenwiederherstellung63, wohl nicht aber Aufwendungen für die Abwehr oder Freistellung des VN von Schadensersatzansprüchen Dritter.

VI. Fazit und Ausblick

Durch die fortschreitende Digitalisierung und Vernetzung von Arbeitsprozessen sind Unternehmen auf eine funktionsfähige IT-Infrastruktur angewiesen und somit einer stetig zunehmenden Bedrohungslage durch Cyberrisiken ausgesetzt. Cyberrisiken sind damit die Kehrseite der Digitalisierung. Der Abschluss einer Cyberversicherung wird ein verstärkt wichtigerer Bestandteil des Risikomanagements für Unternehmen, welche sich mit dem vielschichtigen Produkt Cyberversicherung auseinandersetzen müssen – einer nicht nur angesichts der Vielzahl unterschiedlicher Bedingungswerke komplexen Herausforderung. Wie aufgezeigt, unterscheiden sich die am Markt verfügbaren Bedingungswerke in Aufbau und Systematik, der Definition des Versicherungsfalls sowie der Beschreibung des versicherten Risikos und damit zwangsläufig im gewährleisteten Versicherungsschutz selbst. Neben den vorgenannten Problemfeldern bestehen freilich noch weitere, hier nicht näher erläuterte Unklarheiten in Bezug auf die Cyberversicherung, die Anlass zu Deckungsunstimmigkeiten geben könnten. Zu denken ist diesbezüglich beispielsweise an die versicherungsvertraglichen Obliegenheiten, die ähnlich wie die Beschreibung des versicherten Risikos Rückgriff auf IT-spezifische Terminologien nehmen64. Es bleibt schließlich abzuwarten, ob und wann die im April 2017 veröffentlichten Musterbedingungen des GDV zu einer Annäherung der Bedingungswerke oder zumindest einem einheitlichen Verständnis hinsichtlich bestimmter Inhalte, Prinzipien oder Begriffe führen werden. Für eine aktuelle Bestandsaufnahme bleibt jedenfalls festzuhalten, dass gegenwärtig noch viel Potential im Hinblick auf die Weiterentwicklung des Verständnisses von Inhalt und Reichweite einer Cyberdeckung besteht.

---

1 Allein im Jahr 2018 waren nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) über 800 Mio. Schadprogramm-Varianten im Umlauf, vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2018, 2018, Ziff. 1.4.7.

2 https://www.welt.de/print/welt_kompakt/webwelt/article185513638/Wird-Hacken-offiziell-zur-Kriegswaffe.html.

3 Vgl. Wrede/Freers/Graf von der Schulenburg, Herausforderungen und Implikationen für das Cyber-Risikomanagement sowie die Versicherung von Cyberrisiken – Eine empirische Analyse, ZVersWiss (2018) 107, 405, 426.

4 Vgl. etwa Achenbach, VersR 2017, 1493 oder Schilbach, SpV 2018, 2.

5 https://www.gdv.de/resource/blob/6100/d4c013232e8b0a5722b7655b8c0cc207/01-allgemeine-versicherungsbedingungen-fuer-die-cyberrisiko-versicherung-avb-cyber–data.pdf. Im Januar 2019 hat nunmehr auch der Verband der Versicherungsunternehmen Österreich (VVO) seine Musterbedingungen für die Cyberversicherung veröffentlicht, vgl. www.vvo.at.

6 Pawig-Sander, Versicherungspraxis 1/2019, 3, 4.

7 Vgl. BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, S. 14, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200_2.pdf?__blob=publicationFile&v=6 (Stand: 10. 4. 2019).

8 Nach Angaben des BSI werden mehr als 50 % der Sicherheitsverstöße durch Innentäter verursacht: http://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Leitfaden/GS-Leitfaden_pdf.pdf?__blob=publicationFile.

9 Schilbach, SpV 2018, 2, 3.

10 Statt vieler BGH, Urt. v. 26. 3. 2014 – IV ZR 422/12, r+s 2014, 228, 231.

11 BGH, Urt. v. 16. 6. 1982 – IVa ZR 270/80, NJW 1982, 2776, 2777 = r+s 1982, 191; Koch, VersR 2015, 133, 137; Reiff, in: Langheid/Wandt, MünchKomm-VVG, 2. Aufl. 2017, AVB Rn. 79.

12 Koch, VersR 2015, 133, 138; vgl. zu AGB im Allgemeinen BGH, Urt. v. 17. 5. 1960 – VIII ZR 61/59, NJW 1960, 1661.

13 St. Rspr. d. BGH, statt vieler BGH, Urt. v. 25. 6. 2003 – IV ZR 32/03, r+s 2003, 412, 413.

14 BGH, Urt. v. 8. 5. 2013 – IV ZR 174/12, r+s 2013, 334, 335; Beschl. v. 25. 5. 2011 – IV ZR 17/10, r+s 2012, 23, 24; Urt. v. 11. 12. 2002 – IV ZR 226/01, r+s 2003, 149, 150, Urt. v. 11. 12. 2002 – IV ZR 226/01, r+s 2003, 149, 150.

15 BGH, Urt. v. 8. 5. 2013 – IV ZR 174/12, r+s 2013, 334, 335; Beschl. v. 25. 5. 2011 – IV ZR 17/10, r+s 2012, 23, 24.

16 BGH, Urt. v. 8. 12. 1999 – IV ZR 40/99, r+s 2000, 100, 102; Koch, VersR 2015, 133, 141; Reiff, in: Langheid/Wandt, MünchKomm-VVG, 2. Aufl. 2017, AVB Rn. 84.

17 Bei einer Versicherung zugunsten Dritter kommt es neben den Verständnismöglichkeiten des durchschnittlichen VN auch auf die Verständnismöglichkeiten der durchschnittlichen Versicherten an, vgl. BGH, Urt. v. 16. 6. 2014 – IV ZR 88/13, r+s 2014 454, 455.

18 BGH, Urt. v. 25. 5. 2011 – IV ZR 117/09, r+s 2011, 295, 296.

19 Vgl. BGH, Urt. v. 25. 5. 2011 – IV ZR 117/09, r+s 2011, 295, 296.

20 BGH, Urt. v. 25. 5. 2011 – IV ZR 117/09, r+s 2011, 295, 296; Urt. v. 10. 11. 2010 – IV ZR 188/08, r+s 2011, 68, 70; kritisch Rixecker, in: Rixecker/Langheid, VVG, 6. Aufl. 2019, § 1 Rn. 44.

21 OLG München, Urt. v. 13. 9. 2017 – 7 U 4126/13, r+s 2017, 589.

22 Vgl. dazu die Urteilsanmerkung von Schimikowski, r+s 2017, 589, 593 oder die Entscheidungsbesprechung von Koch, ZIP 2018, 301.

23 OLG Düsseldorf, Urt. v. 20. 7. 2018 – I-4 U 93/16, r+s 2018, 534, 537.

24 Vgl. hierzu die Entscheidungsbesprechungen von Armbrüster/Schilbach, ZIP 2018, 1853, und Fiedler, VersR 2018, 1298.

25 https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html (Stand: 7. 4. 2019).

26 Malek/Schütz, PHi 2018, 176, 181.

27 BGH, Urt. v. 26. 3. 2014 – IV ZR 422/12, r+s 2014, 228, 230.

28 Rixecker, in: Langheid/Rixecker, VVG, 6. Aufl. 2019, § 1 Rn. 45; vgl. auch Präve, VersR 2000, 138, 140; Römer, NVersZ 1999, 97, 104.

29 Vgl. z. B. Rixecker, in: Langheid/Rixecker, VVG, 6. Aufl. 2019, § 1 Rn. 46.

30 Zum Deckungsumfang und Manifestationsprinzip in der Umweltschadenversicherung LG Düsseldorf, Urt. v. 18. 12. 2018 – 9 S 1/18, r+s 2019, 91, 92.

31 Ziff. 8 der USV-Musterbedingungen des GDV e. V. vom Februar 2016.

32 Schimikowski, in: Langheid/Wandt, MünchKomm-VVG, 2. Aufl. 2017, Umwelthaftpflicht- und Umweltschadensversicherung, Rn. 47.

33 Zum Manifestationsprinzip v. Rintelen, in: Späte/Schimikowski, Haftpflichtversicherung, 2. Aufl. 2015, AHB Ziff. 1 Rn. 93.

34 Hierbei handelt es sich um zielgerichtete Cyberangriffe, bei denen sich ein Angreifer dauerhaften Zugriff auf ein Netz verschafft.

35 Vgl. https://www.gdv.de/resource/blob/6132/6a2283f21432edcdf9291a53e9967fd0/01-allgemeine-versicherungsbedingungen-fuer-die-haftpflichtversicherung–ahb–data.pdf.

36 Zur allgemeinen Definition der gesetzlichen Haftpflichtbestimmungen vgl. BGH, Urt. v. 20. 11. 1970 – IV ZR 1188/68, NJW 1971, 429.

37 Littbarski, in: Langheid/Wandt, MünchKomm-VVG, 2. Aufl. 2017, § 100 Rn. 73.

38 BGH, Urt. v. 13. 4. 2016 – IV ZR 304/13, r+s 2016, 293, 294.

39 Dazu Augenhofer, in: Vorwerk/Wolf, ZPO, 31. Ed. 1. 12. 2018, § 611 Rn. 13; Stadler, in: Musielak/Voit, ZPO, 16. Aufl. 2019, § 608 Rn. 2.

40 BGH, Urt. v. 13. 4. 2016 – IV ZR 304/13, r+s 2016, 293, 296.

41 BGH, Urt. v. 9. 6. 2004 – IV ZR 115/03, r+s 2004, 411, 412.

42 BGH, Urt. v. 9. 6. 2004 – IV ZR 115/03, r+s 2004, 411, 412.

43 Lutz, in: Vorwerk/Wolf, ZPO, 31. Ed. 1. 12. 2018, § 606 Rn. 49.

44 Begr. RegE BT-Drucks. 19/2507 S. 1 f., 16.

45 Soweit ersichtlich schließen etwa 80 % der Bedingungswerke Schäden vom Versicherungsschutz aus, die auf Krieg, politische Gefahren oder Terrorakte zurückzuführen sind.

46 http://www.spiegel.de/netzwelt/netzpolitik/notpetya-ukrainische-firma-warnt-vor-backdoor-in-medoc-a-1156078.html.

47 https://www.welt.de/print/welt_kompakt/webwelt/article185513638/Wird-Hacken-offiziell-zur-Kriegswaffe.html.

48 Insbesondere die Frage, ob der Cyberangriff nicht lediglich die Nichteinhaltung der Vorgaben der DS-GVO durch den VN offenbart hat.

49 Offen lassend BAG, Urt. v. 29. 6. 2017 – 8 AZR 189/15, AG 2018, 108; vgl. allerdings BAG, Urt. v. 25. 1. 2001 – 8 AZR 465/00, NJW 2001, 1962 zur Unzulässigkeit der Erstattung einer Geldbuße durch den Arbeitgeber.

50 Vgl. etwa Dreher, VersR 2015, 781, 787 ff. zum Ahndungszweck kartellrechtlicher Geldbußen; Thomas, NZG 2015, 1409, 1410 f. allgemein zum Zweck von Unternehmensbußen.

51 Eine Übersicht über den Streitstand findet sich bei Armbrüster/Schilbach, r+s 2016, 109.

52 Zur Frage, ob eine gegen das Unternehmen verhängte Geldbuße im Wege des Innenregresses gegen Organe geltend gemacht werden kann bzw. unter einer D&O-Versicherung versichert ist, vgl. Koch, VersR 2015, 655; Lotze/Smolinski, NZKart 2015, 254; Thomas, NZG 2015, 1409.

53 Ihlas, in: Langheid/Wandt, MünchKomm-VVG, 2. Aufl. 2017, D&O-Versicherung Rn. 531.

54 OLG Frankfurt a. M., Urt. v. 9. 6. 2011 – 7 U 127/09, r+s 2011, 509.

55 Dazu u. a. Terno, r+s 2013, 577; Koch, VersR 2016, 1405 sowie Werber, VersR 2014, 1159.

56 Terno, r+s 2013, 577, 580.

57 BGH, Urt. v. 30. 9. 1992 – IV ZR 314/91, r + s 1992, 406, 407.

58 BGH, Urt. v. 7. 2. 2007 – IV ZR 149/03, r+s 2007, 191, 192; Terno, r+s 2013, 577, 580.

59 Hierzu Koch, VersR 2016, 1405.

60 BGH, Urt. v. 7. 3. 2013 – VII ZR 162/12, NJW 2013, 1431, 1432; Werber, VersR 2014, 1159, 163.

61 BGH, Urt. v. 20. 11. 1980 – IVa ZR 25/80, VersR 1981, 180, 181; OLG Saarbrücken, Urt. v. 29. 6. 2011 –  5 U 553/10  – r+s 2012, 71, 72; Koch, VersR 2016, 1405, 1407; Schimikowski, in: Rüffer/Halbach/Schimikowski, VVG, 3. Aufl. 2015, § 100 Rn. 5.

62 Koch, VersR 2016, 1405, 1407, 1408.

63 Cyberrisiken im Mittelstand, Forsa-Befragung Frühjahr 2018, S. 4.

64 So enthalten etwa viele Bedingungswerke Klauseln, die vom VN angemessene Schutzmaßnahmen verlangen, die dem „Stand der Technik“ entsprechen, wobei für den VN unklar sein kann, was genau unter diesem Begriff zu verstehen ist.

Dr. Paul Malek LL. M. und Camilla Schütz: * Dr. Paul Malek ist Rechtsanwalt bei Clyde & Co (Deutschland) LLP, Düsseldorf; Camilla Schütz ist Rechtsreferendarin am Landgericht Düsseldorf.