Technische Obliegenheiten in Cyberversicherungsverträgen: Verzicht als Alternative?

joffi auf Pixabay

Der Fachkreis Versicherungsrecht veranstaltet aktuell eine Online-Veranstaltung zu den Themen „Nachhaltigkeitsrisiken im Versicherungsvertrag“ und „Cyberversicherung“. VWheute hat seine Verbindungen genutzt und einen Vortrag zum Thema Cyberversicherungen für Sie in einen Gastbeitrag gießen lassen. Der Autor ist Dr. Dan Schilbach, Anwalt bei der KanzleiNoerr LLP, Düsseldorf. Sein Thema sind Technische Obliegenheiten in Cyberversicherungsverträgen. Die Ausführungen sollte jeder in diesem Bereich tätige Manager lesen. Ein Gastbeitrag.

Cyberversicherungen enthalten häufig einen umfangreichen Katalog technisch-organisatorischer Obliegenheiten, die der Versicherungsnehmer erfüllen muss, um seinen Versicherungsschutz im Leistungsfall nicht zu gefährden. Mitunter sind die vom Versicherungsnehmer zu erfüllenden Sicherheitsmaßnahmen auch nur im Rahmen generalklauselartiger Obliegenheiten umschrieben.

So enthalten Cyber-Policen vereinzelt Klauseln, die den Versicherungsnehmer zu Schutzmaßnahmen verpflichten, die dem Stand der Technik entsprechen müssen. Solche Vereinbarungen sind auf Kritik gestoßen, weil sie dem Versicherungsnehmer nicht eindeutig vor Augen führen, welches konkrete Verhalten von ihm zur Wahrung seiner versicherungsvertraglichen Rechte verlangt wird.

I.             „Stand der Technik“-Klauseln

Was genau unter dem Begriff „Stand der Technik“ zu verstehen ist, beurteilt sich allein aus Sicht eines durchschnittlichen Versicherungsnehmers. Aus dessen Sicht beinhaltet jener Begriff einen dynamischen Verweis auf den aktuellen Stand der technischen Entwicklung. Die Ermittlung, welche Sicherheitsmaßnahmen dem aktuellen Stand der Technik entsprechen, kann dem Versicherungsnehmer in der Praxis allerdings gewisse Schwierigkeiten bereiten.

Insoweit stellt sich die Frage, ob die Bezugnahme auf den Stand der Technik in AVB dem Transparenzgebot genügt (§ 307 Abs. 1 Satz 2 BGB). Dafür spricht, dass der Versicherungsnehmer den inhaltlichen Zusammenhang der Klausel begreifen und daher bei Bedarf zum Verständnis fachkundigen Rat einholen kann. Auch ist zu berücksichtigen, dass dem Versicherer bei der Formulierung sicherheitstechnischer Obliegenheiten angesichts der hohen Änderungsdynamik auf dem Gebiet der Informationstechnologie ein gewisser Abstraktionsgrad zugestanden werden muss.

Vor diesem Hintergrund erweist sich der Rekurs auf den Stand der Technik in AVB nicht per se als intransparent. Es empfiehlt sich dennoch, derartige Klauselgestaltungen wegen ihrer fehlenden Praxistauglichkeit zu vermeiden. Denn sie begründen einen erheblichen Interpretationsspielraum und verkomplizieren die Schadenregulierung. So besteht die Gefahr, dass die Frage nach der Einhaltung eines angemessenen IT-Sicherheitsniveaus nach einer Cyber-Attacke zur zentralen Streitfrage wird, wenn es darum geht, ob der Versicherer den Schaden übernimmt oder nicht. Aus Sicht des Cyberversicherers ist zu berücksichtigen, dass Schwierigkeiten bei der Ermittlung des Stands der Technik zu seinen Lasten gehen. Denn den Versicherer trifft die Darlegungs- und Beweislast im Hinblick auf einen möglichen Obliegenheitsverstoß.

II.           Verzicht auf technische Obliegenheiten als Alternative?

Ein zunehmender Trend in der Cyberversicherung scheint dahin zu gehen, überhaupt keine technischen Obliegenheiten mehr in den Versicherungsverträgen zu formulieren. Einige Marktteilnehmer werben sogar damit, dass ihre Cyber-Policen keine versteckten Obliegenheiten, wie z.B. eine Stand-der-Technik-Klausel beinhalten. Der Verzicht auf technische Obliegenheiten bedeutet allerdings nicht zwangsläufig auch, dass der Versicherungsnehmer keine IT-sicherheitsrelevanten Maßnahmen mehr zu beachten hat. Je nachdem, in welchem Umfang der Versicherer das Vorhandensein technischer und organisatorischer Sicherheitsstandards zum Gegenstand seiner vorvertraglichen Risikoprüfung macht, können sich eine Vielzahl damit korrespondierender Verhaltensgebote für den Versicherungsnehmer auch ohne konkrete vertragliche Vereinbarung ergeben.

Fragt der Versicherer z.B. vor Vertragsschluss nach der Einhaltung bestimmter technischer und/oder organisatorischer Schutzmaßnahmen und stellt sich im Schadenfall heraus, dass der Versicherungsnehmer jene Schutzmaßnahmen nicht eingehalten hat, kann sich die Nichteinhaltung nach den gesetzlichen Regelungen zur Gefahrerhöhung (§§ 23 ff. VVG) deckungsschädlich auf den Versicherungsanspruch des Versicherungsnehmers auswirken. Die vom Versicherer vor Vertragsschluss gestellten Risikofragen oder das Ergebnis eines vorvertraglichen Risikoaudits erlangen damit auch über die vorvertragliche Risikoprüfung hinaus weiterhin an Bedeutung.

Verzichtet der Versicherer dagegen vollständig auf eine sorgfältige Risikoprüfung vor Vertragsschluss, kann die Nichteinhaltung bestimmter Sicherheitsstandards dem Anspruch des Versicherungsnehmers im Schadenfall regelmäßig auch nach den Regeln über die Gefahrerhöhung nicht entgegengehalten werden. Dasselbe gilt, wenn die Anwendung der gesetzlichen Regelungen zur Gefahrerhöhung auf den Eintritt bestimmter, vertraglich vereinbarter Umstände beschränkt wird. In diesem Fall besteht für den Versicherer keine rechtliche Handhabe, die sich nach Vertragsschluss ändernde Gefahrenlage deckungsrechtlich einzuwenden.

Der Verzicht auf technische Obliegenheiten kann auf Seiten des Versicherungsnehmers den Eindruck erwecken, dass er überhaupt keine besonderen Schutzmaßnahmen zu treffen hat. Es ist deshalb Aufgabe von Versicherern und Maklern im Rahmen ihrer gesetzlichen Beratungspflichten für entsprechende Transparenz beim Versicherungsnehmer zu sorgen und erkennbare Fehlvorstellungen über den Versicherungsschutz zu korrigieren.

Der Autor: Dr. Dan Schilbach(Noerr LLP, Düsseldorf)

Ein Kommentar

  • Wir mussten uns sehr lange mit diesem Thema beschäftigen und ich muss sagen, ich bin froh, im Nachinein eine Cyberversicherung abgeschlossen zu haben! Genau und die technischen Obliegenheiten sollten mit drin sein! Viel Erfolg beim Vergleichen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

14 − vier =