Im Bedingungsdschungel der Cyberversicherung: Teil 2 – problematische Ausschlüsse und Einordnung der Cyberversicherung in das VVG

Die Cyberversicherung ist noch eine vergleichsweise junge Sparte. Dies zieht aus rechtlicher Sicht Probleme nach sich. In Teil 1 dieses Artikels wurden unbestimmte Begriffe und auslegungsbedürftige Klauseln thematisiert. Teil 2 widmet sich offenen Fragen bei Ausschlüssen in Cyberpolicen und Problemen bei der Einordnung der Cyberversicherung in das Regelwerk des Versicherungsvertragsgesetzes (VVG).

Kein einheitlicher Aufbau der Bedingungen
Am Cyberversicherungsmarkt begegnet man einer Vielzahl von unterschiedlichen Bedingungswerken, deren Aufbau teilweise erheblich variiert. Einige Anbieter schränken den Versicherungsgegenstand bereits bei der Beschreibung direkt wieder ein (versteckte Ausschlüsse). Andere nutzen einen Definitionsteil und grenzen den Deckungsumfang ab. Vorzugswürdig wäre gerade im Hinblick auf die Beweislast eine Einschränkung des Deckungsschutzes im Bereich der Ausschlüsse. Deckt der Versicherer beispielsweise nur Schäden durch „zielgerichtete Angriffe Dritter“, bleiben wichtige Fragen offen. Umfasst der Versicherungsschutz auch Schäden, die durch Schadsoftware entstehen und damit nicht nur zielgerichtet gegen das versicherte Unternehmen gerichtet sind, sondern gerade eine Vielzahl von Systemen? Wie ist das fahrlässige Fehlverhalten von eigenen Mitarbeitern einzuschätzen? Kann ein Mitarbeiter „Dritter“ im Sinn der Versicherungsbedingungen sein?

Problematische Ausschlüsse im Versicherungsschutz
Cyberpolicen enthalten oft auch Ausschlüsse für Programmierfehler. In diesem Fall besteht kein Versicherungsschutz, wenn etwa Entwicklungsfehler eines Programms bei der Anwendung zu Tage treten und einen Systemausfall verursachen. Ebenfalls ausgeschlossen sind regelmäßig Schäden, die darauf beruhen, dass Programme nicht auf dem aktuellen Stand der Technik sind. Wie schon in der Produkthaftpflichtversicherung ist auch hier nicht geklärt, was unter dem Begriff „Stand der Technik“ zu verstehen ist – gerade in Bezug auf die sich ständig ändernden IT-Sicherheitsanforderungen. In der Praxis – und möglicherweise auch als vertragliche Obliegenheit – erfordert dieser Ausschluss daher, dass der Versicherungsnehmer aktuelle Sicherheitssoftware verwendet (Firewall, Antivirensoftware) und erkannte Sicherheitslücken in verwendeten Programmen über „Patches“ schließt.

Abstimmungsvorbehalte bringen Probleme bei der Schadenregulierung
Auch sogenannte Abstimmungsvorbehalte, die in einigen Bedingungswerken vorgeschrieben sind, können Schwierigkeiten in der Schadenregulierung verursachen. Das betroffene Unternehmen muss dabei mit dem Versicherer vorher über die von ihm beabsichtigten Maßnahmen abstimmen, damit die Kosten später übernommen werden. Dies gilt üblicherweise im Hinblick auf die Einschaltung von IT-Forensikern. Leider wird hier der Versicherer oft vor vollendete Tatsachen gestellt, weil der Versicherungsnehmer im Rahmen einer Schadenminderung gerne auf seine eigenen (externen) Ressourcen zurückgreift.

Wie passt die Cyberversicherung zu den Regelungen des VVG?
Die Schadenregulierung in der Cyberversicherung betritt nicht nur bei den verwendeten Begrifflichkeiten und technischen Definitionen Neuland. Auch muss vielfach noch geklärt werden, wie die Regelungen des VVG auf diese Multiline-Versicherung übertragen werden können. Das bisherige Verständnis von vorvertraglichen Anzeigepflichten und Gefahrerhöhungen, Obliegenheiten nach Eintritt des Versicherungsfalls und auch korrespondierende Auskunftspflichten muss gegebenenfalls angepasst werden. Oft ist es obligatorisch, vor einem Vertragsabschluss technische Fragebögen auszufüllen. Gerne werden auch Risikodialoge durchgeführt, um das technische Risiko besser zu verstehen. Wie lassen sich aber derartige neue Pflichten und Dialoge rechtssicher in das Geflecht der vorvertraglichen Anzeigepflichten einbinden?

Insgesamt bleibt festzuhalten, dass bei der Cyberversicherung zahlreiche Terminologien und Klauseln bisher noch unbestimmt und auslegungsbedürftig sind. Auch die Einordnung in das VVG wirft einige neue Fragen auf. Streitfälle bei der Regulierung von Cyberschäden dürften daher noch auf lange Zeit viele Herausforderungen für Rechtsanwälte mit sich bringen.

Beitragsbild: REDPIXEL.PL / Shutterstock

Autor:
Rechtsanwalt Dr. Stefan Steinkühler 
Rechtsanwalt Dr. Stefan Steinkühler steht der VSMA GmbH seit Mitte des Jahres 2020 als juristischer Berater bei haftungs- und versicherungsrechtlichen Themen zur Seite. Er verfügt über langjährige Erfahrungen in der Versicherungswirtschaft. Seine Tätigkeitsschwerpunkte liegen neben der Bearbeitung von Sach-/BU- und Produkthaftungsschäden vor allem Fälle im Bereich der D&O- und VSV-Versicherung sowie der dazugehörigen Managerhaftung.

www.ra-steinkuehler.de