29 Apr Die Cyberversicherung und die Gefahr durch das Home-Office
- Einleitung
Mit der fortschreitenden Digitalisierung des Arbeitsplatzes gehen neben der Vielzahl an neuen Möglichkeiten auch ebenso viele neue Gefahren für die Sicherheit eines Unternehmens einher. Dabei zeigen Umfragen und Stichproben, dass viele, insbesondere mittelständische, Unternehmen darauf nicht recht vorbereitet sind1. Sogar Bundesbehörden sind von Cyberangriffen betroffen2. Die Kosten, die durch einen Cybervorfall entstehen, können sehr schnell einen Schaden in Millionenhöhe verursachen und somit sogar im Extremfalle die gesamte Existenz eines Unternehmens bedrohen3.
Seit 2011 werden in Deutschland die ersten Cyberpolicen auf dem Versicherungsmarkt angeboten4. In der Zwischenzeit ist insoweit zwar umfangreiche Fortentwicklungsarbeit bereits getan worden, dennoch besteht auch weiterhin Verbesserungsbedarf im Bereich der noch vergleichsweise neuartigen Versicherung5. Gleichzeitig steigt – ganz aktuell – der Bedarf an Cyberversicherungen auch vor dem Hintergrund der vermehrten Tätigkeit der Arbeitsnehmerinnen und Arbeitnehmer im Home-Office6.
Der Beitrag soll die Cyberversicherung auf den Prüfstand stellen und, insbesondere mit Blick auf die noch immer aktuelle Corona-Lage, die besonderen Gefahren des Home-Office erörtern.
- Die Cyberversicherung
Die Cyberversicherung ist oftmals eine Kombination aus Haftpflicht-, Betriebsausfall- und Datenversicherung für Eigen- und Drittschäden7. Sie ist das Resultat aus der unzureichenden Deckung der entsprechenden einzelnen Versicherungen. Ein Vergleich zwischen den einzelnen Produkten am Markt ist vergleichsweise schwer, weil noch kein einheitlicher Standard der Cyberversicherung besteht8. Mit Veröffentlichung der „AVB-Cyber“ durch den Gesamtverband der Deutschen Versicherungswirtschaft e. V. (GDV) im April 2017 wurden Musterbedingungen geschaffen, die sowohl dem VR bei der Entwicklung seiner Produkte helfen als auch dem VN als Vergleichsmaßstab dienen sollen9.
2.1 Versicherungsgegenstand
Gegenstand der Versicherung sind Vermögensschäden […], die durch eine Informationssicherheitsverletzung verursacht worden sind10. Eine Informationssicherheitsverletzung liegt vor, wenn die Verfügbarkeit, Integrität oder Vertraulichkeit von elektronischen Daten, die der VN zur Ausübung der betrieblichen oder beruflichen Tätigkeit nutzt, beeinträchtigt sind11. Dabei ist entscheidend, dass eben diese Verletzung durch bestimmte Ereignisse, wie Schadprogramme oder unberechtigte Zugriffe, ausgelöst wird12.
Die Verfügbarkeit von elektronischen Daten kann etwa durch sog. (D)DoS-Attacken, die gezielt die Netzinfrastruktur überlasten, um einen Datenverlust oder eine Nutzungsbeeinträchtigung hervorzurufen, beeinträchtigt werden13. Die Integrität der elektronischen Daten hingegen ist verletzt, wenn durch eine Schadsoftware die Daten verändert oder unvollständig werden14. Die Vertraulichkeit von elektronischen Daten ist beeinträchtigt, wenn diese einem Unberechtigten zugänglich werden und zwar unabhängig davon, ob ein Zugriff oder die bloße Kenntnisnahme stattgefunden hat15. Typisch für diese Verletzung sind sog. „Phishing“-Angriffe. Dabei wird mit Hilfe von gefälschten E-Mails oder Websites versucht, Zugangsdaten für einen bestimmten Dienst zu erlangen16. Unerheblich für die Informationssicherheitsverletzung ist dabei, ob sich der Zugang zu den Daten mittels einer Umgehung der Sicherheitsvorkehrungen verschafft wird oder ob die Daten unabsichtlich bzw. fahrlässig zugänglich gemacht werden17. Diese „Phishing“-Angriffe haben im Jahr 2020 stark zugenommen18.
Darüber hinaus ist erforderlich, dass die Nutzung der Systeme und somit der Daten zu beruflichen Zwecken erfolgen muss. Ein Schutz von ausschließlich privaten Geräten besteht grundsätzlich nicht. Fraglich ist jedoch, inwieweit eine kombinierte Nutzung der Geräte sowohl zu privaten als auch zu beruflichen Zwecken von dem Schutz der Cyberversicherung umfasst ist.
Im Home-Office werden teilweise die eigenen privaten Geräte zu beruflichen Zwecken genutzt. Folglich ist zu prüfen, welche Tätigkeiten von der Regelung in den AVB-Cyber umfasst sind. Maßgeblich für die Auslegung von AVB ist das Verständnis eines durchschnittlichen VN ohne versicherungsrechtliche Spezialkenntnisse bei verständiger Würdigung, aufmerksamer Durchsicht und Berücksichtigung des erkennbaren Zusammenhangs19. Zwar stehen die Geräte im Home-Office teilweise im Privateigentum der Mitarbeiter. Aus Sicht eines durchschnittlichen und verständigen VN ist jedoch die vorgenommene Tätigkeit an eben diesen Geräten entscheidend. Um im Home-Office arbeiten zu können, müssen sich die Mitarbeiter mit dem IT-System ihres Arbeitgebers verbinden. Im Anschluss wird über diesen Zugang mit dem System und den entsprechenden Daten des Unternehmens gearbeitet. Die Mitarbeiter nutzen also die elektronischen Daten bzw. die informationsverarbeitenden Systeme im Rahmen ihrer beruflichen Tätigkeit. Richtigerweise ist somit die Arbeit aus dem Home-Office mit privaten Geräten grundsätzlich vom Versicherungsschutz umfasst20.
2.2 Obliegenheitsklauseln und Ausschlüsse
Damit der Schutz der Versicherung eingreift, müssen seitens des VN viele Obliegenheiten erfüllt werden21. So ist beispielsweise notwendig, dass alle Nutzer individuelle Zugänge und komplexe Passwörter erhalten oder besondere Schutzmaßnahmen im Falle der mobilen Verwendung der Geräte mit Hilfe der 2-Faktor-Authentifizierung o. Ä. ergriffen werden22.
Darüber hinaus muss vom VN ein Schutz gegen schädliche Software durch ein Antivirenprogramm sowie ein wöchentlicher Sicherungsprozess der Daten auf physischen Datenträgern eingerichtet werden23. Zum Teil enthalten die AVB einiger VR das Erfordernis eines täglichen Sicherungsprozesses24. Hier stellt sich insbesondere die Frage, ob der Begriff der „täglichen“ Sicherung tatsächlich dahingehend verstanden werden muss, dass jeden Tag eine Sicherung der Daten auf einem externen Datenträger geschehen muss oder ob nicht die Sicherung etwa an Werktagen ausreichend ist. Richtigerweise muss eine externe Sicherung von Daten nur dann erfolgen, wenn neue Informationen hinzugekommen sind25. Eine Sicherung muss daher an Tagen, an denen in dem Unternehmen gearbeitet wird, stattfinden.
Teilweise wird vertreten, dass es dem VN durch die vielen Obliegenheiten schwer gemacht wird, tatsächlichen Deckungsschutz durch die Versicherung zu erreichen26. Jedoch muss für den VR der versicherte Schaden kalkulierbar bleiben. Dies entspricht dem legitimen Interesse des VR und verstößt somit nicht gegen das Verbot der Aushöhlung des § 307 Abs. 1, 2 Nr. 2 BGB27. Die Einrichtung von eigenständigen Schutzmaßnahmen zur prophylaktischen Schadensbegrenzung kann folglich zum Schutz des VR vor uferlosen Schadenspositionen nicht als gravierende Benachteiligung für den VN gesehen werden. Vielmehr nimmt in der Regel auch jede Privatperson vergleichbare Schutzmechanismen im alltäglichen Gebrauch von informationsverarbeitenden Systemen vor.
Ferner bestehen in den AVB auch eine Reihe von allgemeinen und besonderen Leistungsausschlüssen. So ist die Versicherungsleistung beispielsweise bei einem Versicherungsfall durch Krieg, politischen Gefahren, Terror oder Ausfall der Infrastruktur ausgeschlossen28. Das Gleiche gilt für Versicherungsfälle aufgrund von vorvertraglichen Vertragsverletzungen, die Zahlung von Lösegeld oder behördliche Maßnahmen, wie Bußgelder29. Daneben bestehen sowohl im Eigenschaden-Baustein als auch im Drittschaden-Baustein besondere Ausschlüsse. Im Bereich der versicherten Eigenschäden ist insbesondere der Ausschluss durch eine geplante Abschaltung des Systems oder Löschung von Daten sowie der Einsatz von ungetesteter oder unzureichender informationsverarbeitenden Systeme beachtlich30. Hier ergibt sich die Problematik, dass regelmäßig neue Systeme und Programme entwickelt werden und diese grundsätzlich zur effizienten Arbeit vom VN auch verwendet werden müssen. Welche Systeme dabei als ungetestet oder unzureichend anzusehen sind, ist für den VN nicht ersichtlich. Hinsichtlich der Entschädigung von Drittschäden gilt der Ausschluss der Versicherungsleistung zum Beispiel für Ansprüche von verbundenen Unternehmen und Angehörigen sowie gesetzlichen Vertretern des VN31.
Folglich wird der VN vor einen sehr umfangreichen Katalog an Obliegenheiten und Ausschlüssen gestellt, die es gegenüber dem betrieblichen Schadensrisiko abzuwägen gilt.
2.3 Umfang der Versicherungsleistung
Die Entschädigungsleistung ist je Versicherungsfall durch die Versicherungssumme begrenzt. Davon umfasst sind in der Regel Eigen- und Drittschäden. Im Rahmen der eigenen Schäden werden insbesondere der Unterbrechungsschaden sowie die Kosten zur Wiederherstellung von Daten ersetzt. Die Berechnung der Entschädigungsleistung ergibt sich hier nicht nach dem konkret entgangenen Gewinn oder anhand der laufenden Kosten, sondern richtet sich nach dem vereinbarten Tagessatz für die Dauer der betrieblichen Unterbrechung32. Hinsichtlich der Drittschäden entspricht die Cyberversicherung den Bestimmungen einer Haftpflichtversicherung. Demnach ersetzt die Versicherung den Schaden, der dadurch entsteht, dass der VN wegen einer Informationssicherheitsverletzung aufgrund gesetzlicher Haftpflichtbestimmungen von einem Dritten (berechtigt) in Anspruch genommen wird33.
Daneben ersetzt die Versicherung sog. „Service-Kosten“. Davon umfasst sind neben (erforderlichen und angemessenen) Schadensfeststellungskosten auch Kosten zur Benachrichtigung und Krisenkommunikation. Darüber hinaus sind Aufwendungen für erforderliche Maßnahmen, die der VN zur unmittelbaren Schadensvermeidung getroffen hat, versichert34.
2.4 Zwischenfazit
Die unterschiedlichen Ausgestaltungsmöglichkeiten des Versicherungsprodukts führen unvermeidlich dazu, dass sich der VN intensiv mit der Risikoanalyse seines Unternehmens befassen muss. Soweit keiner der vielen Ausschlussgründe eingreift und der VN alle Obliegenheiten erfüllt, bietet die Cyberversicherung einen verhältnismäßig umfassenden Schutz und ersetzt neben eigenen Schäden auch solche von Dritten. Dabei sind die Kosten für eine Cyber-Versicherung von dem Umsatz des Unternehmens und der gewünschten Versicherungssumme abhängig und beginnen bei einer Jahresprämie von 350 EUR35. Derzeit ist jedoch eine Entwicklung der VR zu erkennen, die bei steigenden Preisen nicht mehr die gewünschte Deckung verspricht sondern nur noch eine begrenzte Deckung gewährt36.
- Unbestimmtheit und Unsicherheit
Hinsichtlich der Obliegenheiten und Ausschlüsse in den AVB-Cyber bestehen Zweifel an der Bestimmtheit einiger Klauseln, die nachfolgend erörtert werden sollen. Darüber hinaus können sich durch die verwendete Vorrangigkeitsklausel Unsicherheiten ergeben.
3.1 Verstoß gegen 307 Abs. 1 S. 1 BGB
Die Formulierungen der AVB-Cyber hinsichtlich der Obliegenheiten des VN müssen einer AGB-Kontrolle der §§ 307 ff. BGB standhalten. In Betracht kommt insbesondere eine Unwirksamkeit der Klausel über die Einhaltung „alle(r) gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherheitsvorschriften“37 im Hinblick auf die Unbestimmtheit und somit unangemessene Benachteiligung des VN gem. § 307 Abs. 1 S. 1 BGB. Die AVB Cyber enthalten dabei keinen abschließenden Normenkatalog oder eine Bezugnahme auf bestimmte Vorschriften38. So kann der VN sein Handeln nicht anhand konkreter Angaben der gesetzlichen Normen in den AVB anpassen. Jedoch ist die abstrakte Inbezugnahme von Normen im Rahmen von Obliegenheiten nach überwiegender Auffassung richtigerweise durchaus zulässig39. Unter Sicherheitsvorschriften werden dabei Regelungen verstanden, die dem Schutz der versicherten Gefahr dienen; durch das Einhalten dieser Vorschriften soll eine Minderung der Gefahr eintreten40. Im Falle der Cyberversicherung sind dabei insbesondere Vorschriften über die datenschutzrechtliche Sicherheit relevant41. Insgesamt kann daher trotz eines allgemeinen Hinweises auf die gesetzlichen Sicherheitsvorschriften nicht auf eine Unbestimmtheit der Klausel, die eine unangemessene Benachteiligung iSv § 307 Abs. 1 S. 1 BGB darstellt, geschlossen werden.
Problematisch sind darüber hinaus die fachspezifischen technischen Formulierungen, die nicht weiter durch die AVB definiert werden. Zwar ist der VN einer Cyberversicherung in der Regel selbst Unternehmer und daher im Umgang mit AVB geschäftserfahren42. Es ist jedoch fraglich, inwieweit von dem VN auch ein technisches Know-how verlangt werden kann.
Grundsätzlich ist festzuhalten, dass ein Verständnis für technische Begriffe des täglichen Lebens und auch solche, die im Zusammenhang mit der Führung eines Unternehmens stehen, von dem VN erwartet werden können. So müssen Begriffe wie Firewall oder 2-Faktor-Authentifizierung43 nicht von den AVB definiert werden. Schwieriger dürfte es jedoch bereits bei Begriffen wie Code-Signing oder Patch-Management-Verfahren44 werden. Richtigerweise kann jedoch von dem VN erwartet werden, solche Begrifflichkeiten etwa durch Nachschlagen zu klären. Der VN muss hinsichtlich der Kosten und Nutzen ohnehin umfassend prüfen, ob der Abschluss einer Cyberversicherung erforderlich ist. Dem VN einer Cyberversicherung ist demnach zumutbar, hinsichtlich technischer Begriffe ein Nachschlagewerk zu nutzen45.
Bei Begrifflichkeiten außerhalb eines Nachschlagewerkes müsste sich der VN dann eines sachkundigen Vertreters bedienen46. Dann wäre für die Beurteilung der Bestimmtheit der Klausel das Verständnis desjenigen maßgeblich, der sich mit den Termini von informationstechnischen Systemen auskennt. Die Verlagerung des Empfängerhorizonts von dem VN auf einen fachkundigen Vertreter stößt jedoch bereits in mittelständigen Unternehmen auf große Hürden. Es ist nicht interessengerecht und vertretbar, dass sich der VN, der nicht aufgrund seiner Art oder Größe des Betriebes über einen eigenen IT-Bereich verfügt, eines externen Fachmanns bedienen muss, um die fachspezifischen Formulierungen in den AVB Cyber zu verstehen. Denn die Auslegungsmaßstäbe von AVB entspringen dem Gedanken, dass dem VN kein unzumutbares Risiko oder unbillige Belastung auferlegt werden darf47. Werden neben den Begrifflichkeiten eines Nachschlagewerks Fachtermini benutzt, die nicht durch die AVB selbst definiert werden und zu deren Verständnis es eines fachspezifischen Dritten bedarf, liegt im Ergebnis daher eine Unbestimmtheit der Klauseln iSv § 307 Abs. 1 S. 2 BGB vor.
3.2 Bußgelder nach DSGVO
Des Weiteren erscheint problematisch, dass in den Musterbedingungen die Entschädigung des VN bei Zahlung von Bußgeldern nach der DSGVO ausgeschlossen ist48. Zwar ist es in Deutschland generell umstritten, ob eine Versicherung von bzw. gegen Bußgelder(n) zulässig ist49. Dabei ist insbesondere die Frage maßgeblich, wie die Deckung der Schäden, die durch die Zahlung von Bußgeldern entstehen, mit der Funktion der Bußgelder zu vereinbaren ist. Die Bußgelder weisen einen Doppelcharakter auf, der einerseits den Verstoß gegen bestimmte Vorschriften sanktionieren und andererseits präventiv solche Verletzungen verhindern soll50. Infolge einer Abdeckung dieser „Schäden“ durch die Versicherung kann der Zweck der Bußgelder gefährdet und der Versicherungsschutz somit gem. § 138 Abs. 1 BGB sittenwidrig sein51.
Unabhängig davon ist die Absicherung bei einer Verletzung der DSGVO jedoch für den VN – gerade vor dem Hintergrund der Wahrscheinlichkeit eines sehr hohen Bußgeldes – von entscheidender Bedeutung. Wird beispielsweise bei einem Cyberangriff der dem VN obliegenden Schutz personenbezogener Daten verletzt (Art. 32 Abs. 1 DSGVO), kann ein Bußgeld von bis zu 20 Mio. EUR verhängt werden, vgl. Art. 83 DSGVO. Andere VR sind dementsprechend dazu übergegangen, eine Versicherung dieser Bußgelder anzubieten, „soweit diese rechtlich zulässig“ sind52. Teilweise wird vertreten, dass der Versicherungsschutz von dem Grad des Verschuldens der maßgeblichen Tat abhängt53. Demzufolge wäre eine Versicherung von Bußgeldern, die auf der fahrlässigen Verletzung von personenbezogenen Daten beruht, zulässig, wohingegen ein vorsätzlicher Verstoß nicht dem Versicherungsschutz unterliegen könnte. Ob eine derartige Versicherung möglich ist, bleibt mangels bestehender Rechtsprechung im Rahmen der Cyberversicherung, abzuwarten54. Eine Absicherung dieser Schäden ist für den VN vor dem Hintergrund des steigenden Bewusstseins der Bürger für den Datenschutz jedoch von großer Bedeutung.
3.3 Vorrangigkeitsklauseln
Ferner bestehen Unsicherheiten hinsichtlich der verwendeten Vorrangigkeitsklauseln in den AVB von Cyberversicherungen. Demnach soll bei einer neben der Cyberversicherung bestehenden Versicherung der Schutz aus der Cyberversicherung vorrangig sein55. Die Regelung dient vor allem der Minderung des Schadens. Dies wird vor allem durch die vom VR angebotenen Soforthilfen zur Unterstützung des VN erreicht, um bestehende Probleme effizient und schnell zu beheben56. Darüber hinaus soll durch die Klausel der Streit zwischen den VR über die Leistungspflicht vermieden werden57. Problematisch wirkt sich diese Klausel hingegen aus, wenn es um den gesamtschuldnerischen Innenausgleich zwischen den VR gem. § 78 Abs. 2 S. 1 VVG geht. So könnte die Vorrangigkeitsklauseln sowohl eine Vorleistungspflicht des Cyberversicherers als auch eine ausschließliche Leistungspflicht und somit einen konkludenten Verzicht auf den Innenausgleich darstellen58. Für den VN ändert sich durch die Vorrangigkeitsklausel zunächst nichts an seinem vertraglichen Verhältnis zu anderen VR. Es ist jedoch unklar, inwieweit sich der VN durch diese Klausel gegebenenfalls in der Geltendmachung des Versicherungsfalles gegenüber anderen (nachrangigeren) Versicherungen gehindert fühlt. Die Vorrangigkeitsklausel könnte bei dem durchschnittlichen und verständigen VN den Anschein erwecken, dass er nur die Cyberversicherung in Anspruch nehmen kann59.
Die Regelung des § 78 Abs. 2 VVG ist zunächst grundsätzlich dispositiver Natur60. Der Wortlaut der Klausel lässt keinen eindeutigen Schluss auf die Rechtsfolgen zu. So kann die Klausel dahingehend verstanden werden, dass der VR lediglich in Vorleistung treten will oder dass ein anderer Versicherungsvertrag gegenüber der Cyberversicherung subsidiär sein soll61. Maßgeblich ist somit der Sinn und Zweck der Klausel. Demnach soll die Klausel dem VN im Versicherungsfall eine schnelle und sichere Leistung garantieren. Richtigerweise kann jedoch nicht davon ausgegangen werden, dass die vorrangige Versicherung gänzlich auf ihren Innenausgleich gegenüber einer anderen Versicherung verzichtet. Vielmehr soll durch die Vorrangigkeitsklausel lediglich der Schaden gemindert und dann iSd Vorschriften zur Mehrfachversicherung gem. § 78 Abs. 2 S. 1 VVG weitere VR in Regress genommen werden.
- Home-Office als Gefahrerhöhung?
Durch die Corona-Pandemie hat die Arbeit im Home-Office stark zugenommen. War es zu Beginn des Jahres 2020 noch ungewöhnlich, von Zuhause aus zu arbeiten, haben sich die Unternehmen mittlerweile darauf eingerichtet. Die Arbeit im Home-Office und ggf. am eigenen PC des Arbeitnehmers ist zwar grundsätzlich von der Versicherung umfasst62. Fraglich ist jedoch, ob durch die steigenden Anzahl der Arbeitsplätze im Home-Office eine Gefahrerhöhung iSd AVB-Cyber vorliegt. Dies kann dazu führen, dass der VR die Versicherung kündigt oder eine Vertragsänderung vornimmt, die eine Leistungsfreiheit zur Folge haben kann.
Eine Gefahrerhöhung liegt vor, wenn sich nach Abgabe der Vertragserklärung des VN die tatsächlich vorhandenen Umstände so verändern, dass der Eintritt des Versicherungsfalles (…) wahrscheinlicher wird63. Dies gilt nicht, wenn sich die Gefahr nur unerheblich erhöht hat oder den Umständen entsprechend mitversichert sein soll64. Um die Verbreitung des Coronavirus zu verhindern, wurden viele Arbeitnehmer zu Beginn des Jahres 2020 geradezu überstürzt ins Home-Office geschickt und sind für die Cybersicherheit selbst verantwortlich geworden65. Um dabei schnell ein funktionierendes Home-Office zu ermöglichen, wurde oftmals die IT-Sicherheit vernachlässigt66. Problematisch sind dabei insbesondere fehlende Firewalls, ungesicherte Netzwerke sowie eine unzureichende Aktualisierung von Sicherheitsupdates. Der Zugriff des heimischen Netzwerkes auf den Unternehmensserver hat weitere Sicherheitslücken zur Folge67. Im ersten Halbjahr 2020 sind die Cyberattacken um 67 % gestiegen68. Dabei machten sich Angreifer insbesondere diese Sicherheitslücken des Home-Office zu nutze69.
Eine Zunahme von Angriffen für sich stellt zwar keine Gefahrerhöhung dar, da es sich bei Cyberattacken um Bestandteile der Versicherung selbst handelt70. Maßgeblich ist jedoch eine Gesamtwürdigung aller Umstände71. Durch die Corona-Pandemie und die damit verbundene Auslagerung des Arbeitsplatzes ins Home-Office haben sich die tatsächlichen Umstände im Jahr 2020 derart verändert, dass eine messbar erhöhte Schadenswahrscheinlichkeit eingetreten ist. Eine erhebliche Gefahrerhöhung durch die Arbeit im Home-Office kann folglich angenommen werden. Folglich müsste der VN eine vermehrte Arbeit im Home-Office dem VR mitteilen und von diesem gestatten lassen oder zumindest die Gefahrerhöhung unverzüglich anzeigen72.
Zu beachten ist, dass die erhöht vorkommenden Cyberattacken regelmäßig nach einem gleichen Muster ablaufen. Dabei wird mittels Ransomware oder Phishing in das Steuerungssystem eines Unternehmens eingegriffen und dieses lahmgelegt. Gegen Zahlung eines Lösegeldes wird dann versprochen, die Daten wieder freizugeben73. Versicherungsfälle oder Schäden, die aus der Zahlung von Löse- und Erpressungsgeldern resultieren, sind jedoch von der Cyberversicherung ausgeschlossen74. Dieser Ausschluss ist mittlerweile überholt und wird in den AVB zahlreicher VR nicht mehr angeführt75. Grund dafür ist die mittlerweile geltende Aufhebung der Regelung, dass Lösegeldversicherungen nicht mit anderen Versicherungen kombiniert werden dürfen76. Dies gilt wiederum nur, wenn über das Bestehen des Versicherungsschutzes hinsichtlich des Lösegeldes eine Geheimhaltungsobliegenheit des VN herrscht77.
- Fazit
Vor dem Hintergrund der wachsenden Digitalisierung und der zunehmenden Arbeit im Home-Office ist der Abschluss einer Cyberversicherung im Jahr 2021 auch für mittelständische Unternehmen zum Schutz vor Cyberattacken von Bedeutung. Dennoch ist die Cyberversicherung auch heute noch ein vergleichsweise neues Produkt, welches den stetigen und schnellen Veränderungen der Technik gerecht werden muss. Insbesondere gibt es keine gefestigte Rechtsprechung im Rahmen der Cyberversicherung, die eine Korrektur der teilweise zu unbestimmten Klauseln in den AVB beeinflusst. Die Cyberversicherung stellt aufgrund ihrer Vielzahl an Ausschlüssen keinen abschließenden Schutz vor der persönlichen Inanspruchnahme dar78. Daher bleibt es zwingend erforderlich, dass jedes Unternehmen für sich eine konkrete Risikoanalyse und Abwägung der Gefahr gegenüber den zu erfüllenden Obliegenheiten und Ausschlüssen vornimmt. Nur so kann der Schutz der Cyberversicherung effektiv wirken.
1 Fromme, Gehackt, https://www.sueddeutsche.de/wirtschaft/cyberversicherung-gehackt-1. 5147782 (14.12.2020).
2 Schmidt-Kasparek, Finanzaufsichtsbehörde wird Opfer von Spam-Attacke, https://www.versicherungsmagazin.de/rubriken/branche/finanzaufsichtsbehoerde-wird-opfer-von-spam-attacke-2781924. html (7.1.2021).
3 Vgl. Wenig, „Cyber-Gefahren können für Firmen existenzbedrohend werden“, https://www.versicherungsbote.de/id/4899730/Cyber-Gefahren-konnen-fur-Firmen-existenzbedrohend-werden/ (Stand: 2.12.2020).
4 BT-Drucks 19/23070, S. 52.
5 Wenig, Cyberversicherungen: Es gibt noch Verbesserungsbedarf, https://www.versicherungsbote.de/id/4900055/Rating-von-Cyber-Versicherungen-zeigt-es-gibt-noch-Verbesserungsbedarf/ (Stand 7.12.2020).
6 Renner, Der Bedarf an Cyber-Versicherungen wächst, https://www.versicherungsbote.de/id/4899740/Der-Bedarf-an-Cyber-Versicherungen-wachst/ (Stand: 4.12.2020).
7 Achenbach, VersR 2017, 1493 (1497).
8 Wenig, Cyberversicherungen: Es gibt noch Verbesserungsbedarf, https://www.versicherungsbote.de/id/4900055/Rating-von-Cyber-Versicherungen-zeigt-es-gibt-noch-Verbesserungsbedarf/ (Stand 7.12.2020).
9 Pressemitteilung GDV, https://www.gdv.de/de/medien/aktuell/gdv-stellt-musterbedingungen-fuer-cyberversicherung-vor-8270 (Stand: 19.4.2017).
10 GDV, Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung, https://www.gdv.de/resource/blob/6100/d4c013232e8b0a 5722b7655b8c0cc207/01-allgemeine-versicherungsbedingungen-fuer-die-cyberrisiko-versicherung–avb-cyber–data.pdf (Stand: April 2017); Elektronische Daten sind keine Sachen iSd Musterbedingungen und somit ist der Verlust ein Vermögensschaden.
11 GDV, Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung, https://www.gdv.de/resource/blob/6100/d4c013232e8b0a 5722b7655b8c0cc207/01-allgemeine-versicherungsbedingungen-fuer-die-cyberrisiko-versicherung–avb-cyber–data.pdf (Stand: April 2017).
12 Siehe Fn. 9.
13 Malek/Schilbach, VersR 2019, 1321 (1322).
14 Malek/Schilbach, VersR 2019, 1321 (1322).
15 Malek/Schilbach, VersR 2019, 1321 (1322).
16 Vgl. Renner, Der Bedarf an Cyber-Versicherungen wächst, https://www.versicherungsbote.de/id/4899740/Der-Bedarf-an-Cyber-Versicherungen-wachst/ (Stand: 4.12.2020).
17 Malek/Schilbach, VersR 2019, 1321 (1322).
18 Renner, Der Bedarf an Cyber-Versicherungen wächst, https://www.versicherungsbote.de/id/4899740/Der-Bedarf-an-Cyber-Versicherungen-wachst/ (Stand: 4.12.2020).
19 Vgl. BGH, Urt. v. 23.6.2004 – IV ZR 130/03, NJW 2004, 2589 (2590) = r+s 2004, 385.
20 So auch Malek/Schilbach, VersR 2019, 1321 (1323).
21 Vgl. AVB-Cyber B3-4.
22 AVB-Cyber A1-16. 1.
23 AVB-Cyber A1-16. 1.
24 Fortmann, r+s 2019, 429 (436).
25 Fortmann, r+s 2019, 429 (436).
26 So Achenbach, VersR 2017, 1493 (1496) zur IT-Haftpflichtversicherung.
27 Vgl. BGH, 3.3.1988 – XZR 54/86, NJW 1988, 1785 (1787) mwN.
28 AVB-Cyber A1-17.
29 AVB-Cyber A1-17.
30 AVB-Cyber A4-2. 3.
31 AVB-Cyber A3-7.
32 Achenbach, VersR 2017, 1493 (1500).
33 AVB-Cyber A3-1.
34 AVB-Cyber A2-3. 1; nicht umfasst sind allg. Aufwendungen zur Erhaltung oder Nachrüstung von informationsverarbeitenden Systemen.
35 Zimmermann, NJW 2020, 973 (975).
36 Fromme, Gehackt, https://www.sueddeutsche.de/wirtschaft/cyberversicherung-gehackt-1. 5147782 (14.12.2020).
37 AVB-Cyber A1-16. 1.
38 Vgl. Dickmann, r+s 2020, 131 (137).
39 Langheid/Rixecker, Versicherungsvertragsgesetz, 6. Aufl. 2019, § 28, Rn. 21; Rüffer/Halbach/Schimikowski/Felsch, Versicherungsvertragsgesetz, 3. Aufl. 2015, § 28, Rn. 14.
40 Fortmann, r+s 2019, 429 (437).
41 Ausführlich Fortmann, r+s 2019, 429 (437 f).
42 Malek/Schütz, r+s 2019, 421 (424).
43 AVB-Cyber A1-16. 1 b).
44 AVB-Cyber A1-16. 1 d).
45 Bsp.: Bundesamt für Sicherheit in der Informationstechnik, Glossar der Cyber-Sicherheit, https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Informationen-und-weiterfuehrende-Angebote/Glossar-der-Cyber-Sicherheit/Functions/glossar.html?nn=518566&cms_lv2=132788 (Stand: 4.2.2021).
46 Malek/Schütz, r+s 2019, 421 (424).
47 MünchKomm-BGB/Basedow, vor § 305, Rn. 12.
48 AVB-Cyber A1-17. 11.
49 Fortmann, r+s 2019, 429 (432).
50 Vgl. Lenz, https://www.haufe.de/recht/deutsches-anwalt-office-premium/25-do-versicherung-v-vertragsstrafen-kautionen-bussgelder-und-entschaedigungen-mit-strafcharakter-punitive-und-exemplary-damages-ziff511_idesk_PI17574_HI7372862. html (Stand: 13.1.21), Rz. 165.
51 Malek/Schütz, r+s 2019, 421 (428).
52 Malek/Schütz, r+s 2019, 421 (428).
53 Vgl. Armbrüster/Schilbach, r+s 2016, 109 (112).
54 zu dem Streitstand in der Literatur Malek/Schütz, r+s 2019, 421 (428).
55 AVB-Cyber A1-12.
56 Schilbach, VW 2020, 90 (92); vgl. auch Achenbach, VersR 2017, 1493 (1498).
57 Schilbach, VW 2020, 90 (92).
58 Fortmann, r+s 2019, 429 (439); Schilbach, VW 2020, 90 (93).
59 So auch Schilbach, VW 2020, 90 (92).
60 Fortmann, r+s 2019, 429 (439).
61 Fortmann, r+s 2019, 429 (439).
62 S.o.
63 AVB-Cyber B3-2. 1. 1.
64 AVB-Cyber B3-2. 1. 3.
65 Renner, Der Bedarf an Cyber-Versicherungen wächst, https://www.versicherungsbote.de/id/4899740/Der-Bedarf-an-Cyber-Versicherungen-wachst/ (Stand: 4.12.2020).
66 Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2020, S. 33.
67 Renner, Der Bedarf an Cyber-Versicherungen wächst, https://www.versicherungsbote.de/id/4899740/Der-Bedarf-an-Cyber-Versicherungen-wachst/ (Stand: 4.12.2020).
68 Wenig, Cyberangreifer nutzen Angst vor Corona, https://www.versicherungsbote.de/id/4900113/Cyberrisiken-Angreifer-nutzten-Angst-vor-Corona-aus/ (Stand: 7.12.2020).
69 Wenig, Cyberangreifer nutzen Angst vor Corona, https://www.versicherungsbote.de/id/4900113/Cyberrisiken-Angreifer-nutzten-Angst-vor-Corona-aus/ (Stand: 7.12.2020).
70 Fortmann, r+s 2019, 429 (438).
71 Fortmann, r+s 2019, 429 (438).
72 AVB-Cyber B3-2. 2.
73 Wenig, Cyberangreifer nutzen Angst vor Corona, https://www.versicherungsbote.de/id/4900113/Cyberrisiken-Angreifer-nutzten-Angst-vor-Corona-aus/ (Stand: 7.12.2020).
74 AVB-Cyber A1-17. 7.
75 Vgl. Fortmann, r+s 2019, 429 (435).
76 Vgl. BaFin, Rundschreiben 3/1998 (VA), https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben /rs_9803_va_loesegeldversicherung.html (zuletzt abgerufen: 4.1.2020).
77 Vgl. Fortmann, r+s 2019, 429 (435).
78 So auch Grieger, WM 2021, 8 (15).
Prof. Dr. Martin Notthoff
Der Verfasser, Rechtsanwalt, Fachanwalt für Versicherungsrecht und Notar, ist Partner von Göhmann Rechtsanwälte und Notare, Hannover, sowie Honorarprofessor an der Hochschule Hannover. Er dankt der wissenschaftlichen Mitarbeiterin, Frau Referendarin Henrieke Hartmann, für ihre verdienstvolle Mitarbeit im Zuge der Vorbereitung des Manuskripts.