Cyberversicherungen enthalten häufig einen umfangreichen Katalog technisch-organisatorischer Obliegenheiten. Der aus dem Versicherungsrecht stammende Begriff Obliegenheit bedeutet umgangssprachlich ausgedrückt „Verhaltensregel“ oder „Verpflichtung“. Sie gelten allein gegenüber dem Versicherungsnehmer. Die auferlegten Obliegenheiten muss der Versicherungsnehmer erfüllen, um seinen Versicherungsschutz im Schadensfall nicht zu gefährden.
Obliegenheiten werden innerhalb eines Versicherungsvertrages festgesetzt und sind somit zentraler Vertragsbestandteil. Innerhalb der Cyberversicherung zielen Obliegenheiten darauf ab, den Versicherungsnehmer von einem grob fahrlässigen Verhalten abzuhalten, welches möglicherweise einen Schadensfall auslösen könnte. So sollen grundsätzlich Cyber-Schäden sowie der Eintritt des Versicherungsfalles verhindert werden. Da die Erstattung von Cyber-Schäden in der Regel sehr kostspielig ist, sichert der Versicherer seine Versicherungsleistung entsprechend ab: Nur derjenige Versicherungsnehmer hat Anspruch auf die volle Kostenerstattung, der auch alle vereinbarten Obliegenheiten einhält.
Grundsätzlich hat der Versicherungsnehmer sowohl technische als auch organisatorische Obliegenheiten zu erfüllen:
Vereinzelt enthalten Cyberversicherungsbedingungen Klauseln, die den Versicherungsnehmer zu technisch bzw. organisatorischen Sicherheitsmaßnahmen verpflichten, die dem Stand der Technik entsprechen.
Was genau unter dem Begriff „Stand der Technik“ zu verstehen ist, beurteilt sich allein aus Sicht eines durchschnittlichen Versicherungsnehmers. Aus dessen Sicht beinhaltet jener Begriff einen dynamischen Verweis auf den aktuellen Stand der technischen Entwicklung. Die Ermittlung, welche Sicherheitsmaßnahmen dem aktuellen Stand der Technik entsprechen, kann dem Versicherungsnehmer in der Praxis allerdings gewisse Schwierigkeiten bereiten.
Vor diesem Hintergrund empfiehlt es sich, derartige Klauselgestaltungen wegen ihrer fehlenden Praxistauglichkeit zu vermeiden. Denn sie begründen einen erheblichen Interpretationsspielraum und verkomplizieren die Schadenregulierung. So besteht die Gefahr, dass die Frage nach der Einhaltung eines angemessenen IT-Sicherheitsniveaus nach einer Cyber-Attacke zur zentralen Streitfrage wird, wenn es darum geht, ob der Versicherer den Schaden übernimmt. Aus Sicht des Cyberversicherers ist zu berücksichtigen, dass Schwierigkeiten bei der Ermittlung des Stands der Technik zu seinen Lasten gehen. Denn den Versicherer trifft die Darlegungs- und Beweislast im Hinblick auf einen möglichen Obliegenheitsverstoß.
Ein zunehmender Trend scheint dahin zu gehen, überhaupt keine technischen Obliegenheiten mehr in den Versicherungsverträgen zu formulieren
Der Verzicht auf technische Obliegenheiten bedeutet allerdings nicht zwangsläufig auch, dass der Versicherungsnehmer keine IT-sicherheitsrelevanten Maßnahmen mehr zu beachten hat. Je nachdem, in welchem Umfang der Versicherer das Vorhandensein technischer und organisatorischer Sicherheitsstandards zum Gegenstand seiner vorvertraglichen Risikoprüfung macht, können sich eine Vielzahl damit korrespondierender Verhaltensangebote für den Versicherungsnehmer auch ohne konkrete vertragliche Vereinbarung ergeben.
Fragt der Versicherer z.B. vor Vertragsschluss nach der Einhaltung bestimmter technischer und/oder organisatorischer Schutzmaßnahmen und stellt sich im Schadensfall heraus, dass der Versicherungsnehmer jene Schutzmaßnahme nicht eingehalten hat, kann sich die Nichteinhaltung nach den gesetzlichen Regelungen zur Gefahrenerhöhung (§§ 23 ff. VVG) deckungsschädlich auf den Versicherungsanspruch auswirken.
Die vom Versicherer vor Vertragsschluss gestellten Risikofragen oder das Ergebnis eines vorvertraglichen Risikoaudits erlangen damit auch über die vorvertragliche Risikoprüfung hinaus weiterhin an Bedeutung.
Verzichtet der Versicherer dagegen vollständig auf eine sorgfältige Risikoprüfung vor Vertragsschluss, kann die Nichteinhaltung bestimmter Sicherheitsstandards dem Anspruch des Versicherungsnehmers im Schadenfall regelmäßig auch nach den Regeln über die Gefahrenerhöhung nicht entgegengehalten werden. Dasselbe gilt, wenn die Anwendung der gesetzlichen Regelungen zur Gefahrenerhöhung auf den Eintritt bestimmter, vertraglich vereinbarter Umstände beschränkt wird. In diesem Fall besteht für den Versicherer keine rechtliche Handhabe, die sich nach Vertragsschluss ändernde Gefahrenlage deckungsrechtlich einzuwenden.
Der Verzicht auf technische Obliegenheiten kann auf Seiten des Versicherungsnehmers den Eindruck erwecken, dass er überhaupt keine besonderen Schutzmaßnahmen zu treffen hat. Es ist deshalb Aufgabe von Versicherern und Maklern im Rahmen ihrer gesetzlichen Beratungspflichten für entsprechende Transparenz beim Versicherungsnehmer zu sorgen und erkennbare Fehlvorstellungen über den Versicherungsschutz zu korrigieren
Sollte der Versicherungsnehmer seinen Obliegenheiten nicht nachkommen, liegt eine sogenannte Obliegenheitsverletzung vor. Insgesamt gibt es dabei drei Dimensionen von Obliegenheitsverletzungen mit unterschiedlichen Konsequenzen: