Bei den Bedingungswerken für Cyberversicherungen wird es auf absehbare Zeit keinen Standard geben. Daran hat die Einführung der Musterbedingungen des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) in 2017 nichts geändert.  Denn diese werden vor allem von großen Versicherern meist nicht genutzt. Entsprechend groß ist die Vielfalt an Vertragswerken – und damit die Anzahl an auslegungsbedürftigen Klauseln und Begriffen.

Unbestimmte Begrifflichkeiten geben Raum für Diskussionen im Schadenfall
Claims-Made, Verstoß, Manifestation oder Schadensereignis: Bereits die von den Versicherern benutzen Definitionen des Versicherungsfalls sind mannigfaltig. Auch die Frage, welche Ereignisse beziehungsweise Angriffsszenarien versichert sein sollen, variiert. Was ist ein Cyberangriff? An welchen Begrifflichkeiten macht man diesen fest? Abstrakte Terminologien wie Netzwerk- oder Informationssicherheitsverletzung, Eingriff oder Eindringen ins Computersystem helfen kaum weiter. De facto handelt es sich dabei um unbestimmte Begriffe, die von der Rechtsprechung noch nicht ausgelegt wurden. Fehlt dazu im Bedingungswerk eine Definition, bleibt im Schadenfall viel Raum für Streitigkeiten.

Wann und wie ist eine Betriebsunterbrechung versichert und wann ist sie es nicht?
Deutlich wird die Auslegungsproblematik am Beispiel des Betriebsunterbrechungsschadens. Hier besteht Versicherungsschutz für einen unmittelbar durch eine Betriebsunterbrechung entstandenen Ertragsausfallschaden innerhalb der Haftzeit. Die Haftzeit gilt längstens bis zu dem Zeitpunkt, von dem an ein Ertragsausfallschaden nicht mehr entsteht. Offen bleibt, ob in der Cyberversicherung auf die technische oder auf die kaufmännische Betriebsbereitschaft abzustellen ist. Die kaufmännische Betriebsbereitschaft definiert sich als der Zeitpunkt, an dem kein Ertragsausfall mehr vorhanden ist. Die technische Betriebsbereitschaft wiederum beschreibt den Zeitpunkt, an dem der Schaden beseitigt und die technischen Anlagen und Betriebseinrichtung wiederbeschafft sind. Je nach Auslegung des Begriffs ergibt sich damit ein großer Unterschied bei der Berechnung des Ertragsausfallschadens.

Erschwerend kommt hinzu, dass Sachverständige den Betriebsunterbrechungsschaden oft losgelöst vom jeweiligen Versicherungsvertrag prüfen – frei nach dem Motto: Das haben wir für die Sachversicherung immer schon so gemacht! Die Betriebsunterbrechung in der Cyberversicherung unterscheidet sich aber in einigen Punkten von der durch einen Sachschaden verursachten. Cyber-Betriebsunterbrechungen betreffen oftmals den gesamten Betrieb und nicht nur einen Unternehmensteil. Die technische Unterbrechung nach einem Cyberangriff ist zwar regelmäßig kürzer als bei einem Sachschaden, dafür ist das Risiko eines Reputationsschadens höher, wenn Daten abhandengekommen sind.

Unbestimmte Begriffe im Vorfeld verbindlich und schriftlich klären
Die Liste der begrifflichen Ungereimtheiten in der Cyberversicherung lässt sich beliebig fortführen. Wenn schon kein klares und transparentes Versicherer-Wording möglich ist, sollte zumindest ein gemeinsames Deckungsverständnis erzielt werden. Hier ist vor allem der Versicherungsmakler gefragt. Entweder wird ein Deckungsverständnis im Vorfeld schriftlich festgehalten, oder aber man nähert sich durch Regelbeispiele und Schadenszenarien einer Transparenz an. Natürlich könnte man sich auf den Standpunkt stellen und der Meinung sein, dass bei überraschenden und unangemessenen Vertragsklauseln letztlich der Versicherer als Verwender von Allgemeinen Versicherungsbedingungen das Risiko der Wirksamkeit trägt. Bevor man einen mitunter langwierigen Deckungsprozess in Kauf nimmt, sollte man im Sinne einer schnellen Schadenregulierung und im Sinne der Versicherungsnehmer jedoch bereits vor einem Schadenfall für Klarheit sorgen.

Bildnachweis: Shutterstock: 1287395230 • Ralf Geithe

Autor:
Rechtsanwalt Dr. Stefan Steinkühler 
Rechtsanwalt Dr. Stefan Steinkühler steht der VSMA GmbH seit Mitte des Jahres 2020 als juristischer Berater bei haftungs- und versicherungsrechtlichen Themen zur Seite. Er verfügt über langjährige Erfahrungen in der Versicherungswirtschaft. Seine Tätigkeitsschwerpunkte liegen neben der Bearbeitung von Sach-/BU- und Produkthaftungsschäden vor allem Fälle im Bereich der D&O- und VSV-Versicherung sowie der dazugehörigen Managerhaftung.

www.ra-steinkuehler.de

X