Logo STC
Kontakt
Logo STC
Kontakt

Technische Obliegenheiten in der Cyberversicherung

Jana Lotz
Stand: 
November 25, 2022
-
4 min
lesen

Cyberversicherungen enthalten häufig einen umfangreichen Katalog technisch-organisatorischer Obliegenheiten. Der aus dem Versicherungsrecht stammende Begriff Obliegenheit bedeutet umgangssprachlich ausgedrückt „Verhaltensregel“ oder „Verpflichtung“. Sie gelten allein gegenüber dem Versicherungsnehmer. Die auferlegten Obliegenheiten muss der Versicherungsnehmer erfüllen, um seinen Versicherungsschutz im Schadensfall nicht zu gefährden. 

1. Zweck und Arten von Obliegenheiten

Obliegenheiten werden innerhalb eines Versicherungsvertrages festgesetzt und sind somit zentraler Vertragsbestandteil. Innerhalb der Cyberversicherung zielen Obliegenheiten darauf ab, den Versicherungsnehmer von einem grob fahrlässigen Verhalten abzuhalten, welches möglicherweise einen Schadensfall auslösen könnte. So sollen grundsätzlich Cyber-Schäden sowie der Eintritt des Versicherungsfalles verhindert werden. Da die Erstattung von Cyber-Schäden in der Regel sehr kostspielig ist, sichert der Versicherer seine Versicherungsleistung entsprechend ab: Nur derjenige Versicherungsnehmer hat Anspruch auf die volle Kostenerstattung, der auch alle vereinbarten Obliegenheiten einhält.

Grundsätzlich hat der Versicherungsnehmer sowohl technische als auch organisatorische Obliegenheiten zu erfüllen:

technische obliegenheiten - Blogbeitrag
© STC Research

2. "Stand der Technik"-Klauseln

Vereinzelt enthalten Cyberversicherungsbedingungen Klauseln, die den Versicherungsnehmer zu technisch bzw. organisatorischen Sicherheitsmaßnahmen verpflichten, die dem Stand der Technik entsprechen. 

  • Bsp.: „Der Versicherungsnehmer hat angemessene, dem Stand der Technik entsprechende Schutzmaßnahmen und Verfahren zu verwenden, um den Eintritt des versicherten Ereignisses zu verhindern."

Was genau unter dem Begriff „Stand der Technik“ zu verstehen ist, beurteilt sich allein aus Sicht eines durchschnittlichen Versicherungsnehmers. Aus dessen Sicht beinhaltet jener Begriff einen dynamischen Verweis auf den aktuellen Stand der technischen Entwicklung. Die Ermittlung, welche Sicherheitsmaßnahmen dem aktuellen Stand der Technik entsprechen, kann dem Versicherungsnehmer in der Praxis allerdings gewisse Schwierigkeiten bereiten.

Vor diesem Hintergrund empfiehlt es sich, derartige Klauselgestaltungen wegen ihrer fehlenden Praxistauglichkeit zu vermeiden. Denn sie begründen einen erheblichen Interpretationsspielraum und verkomplizieren die Schadenregulierung. So besteht die Gefahr, dass die Frage nach der Einhaltung eines angemessenen IT-Sicherheitsniveaus nach einer Cyber-Attacke zur zentralen Streitfrage wird, wenn es darum geht, ob der Versicherer den Schaden übernimmt. Aus Sicht des Cyberversicherers ist zu berücksichtigen, dass Schwierigkeiten bei der Ermittlung des Stands der Technik zu seinen Lasten gehen. Denn den Versicherer trifft die Darlegungs- und Beweislast im Hinblick auf einen möglichen Obliegenheitsverstoß.

3. Verzicht auf technische Obliegenheiten als Alternative zu "Stand der Technik"-Klauseln?

Ein zunehmender Trend scheint dahin zu gehen, überhaupt keine technischen Obliegenheiten mehr in den Versicherungsverträgen zu formulieren

Der Verzicht auf technische Obliegenheiten bedeutet allerdings nicht zwangsläufig auch, dass der Versicherungsnehmer keine IT-sicherheitsrelevanten Maßnahmen mehr zu beachten hat. Je nachdem, in welchem Umfang der Versicherer das Vorhandensein technischer und organisatorischer Sicherheitsstandards zum Gegenstand seiner vorvertraglichen Risikoprüfung macht, können sich eine Vielzahl damit korrespondierender Verhaltensangebote für den Versicherungsnehmer auch ohne konkrete vertragliche Vereinbarung ergeben.

Fragt der Versicherer z.B. vor Vertragsschluss nach der Einhaltung bestimmter technischer und/oder organisatorischer Schutzmaßnahmen und stellt sich im Schadensfall heraus, dass der Versicherungsnehmer jene Schutzmaßnahme nicht eingehalten hat, kann sich die Nichteinhaltung nach den gesetzlichen Regelungen zur Gefahrenerhöhung (§§ 23 ff. VVG) deckungsschädlich auf den Versicherungsanspruch auswirken.

Die vom Versicherer vor Vertragsschluss gestellten Risikofragen oder das Ergebnis eines vorvertraglichen Risikoaudits erlangen damit auch über die vorvertragliche Risikoprüfung hinaus weiterhin an Bedeutung.

Verzichtet der Versicherer dagegen vollständig auf eine sorgfältige Risikoprüfung vor Vertragsschluss, kann die Nichteinhaltung bestimmter Sicherheitsstandards dem Anspruch des Versicherungsnehmers im Schadenfall regelmäßig auch nach den Regeln über die Gefahrenerhöhung nicht entgegengehalten werden. Dasselbe gilt, wenn die Anwendung der gesetzlichen Regelungen zur Gefahrenerhöhung auf den Eintritt bestimmter, vertraglich vereinbarter Umstände beschränkt wird. In diesem Fall besteht für den Versicherer keine rechtliche Handhabe, die sich nach Vertragsschluss ändernde Gefahrenlage deckungsrechtlich einzuwenden.

Der Verzicht auf technische Obliegenheiten kann auf Seiten des Versicherungsnehmers den Eindruck erwecken, dass er überhaupt keine besonderen Schutzmaßnahmen zu treffen hat. Es ist deshalb Aufgabe von Versicherern und Maklern im Rahmen ihrer gesetzlichen Beratungspflichten für entsprechende Transparenz beim Versicherungsnehmer zu sorgen und erkennbare Fehlvorstellungen über den Versicherungsschutz zu korrigieren

4. Folgen bei Nichtbeachtung

Sollte der Versicherungsnehmer seinen Obliegenheiten nicht nachkommen, liegt eine sogenannte Obliegenheitsverletzung vor. Insgesamt gibt es dabei drei Dimensionen von Obliegenheitsverletzungen mit unterschiedlichen Konsequenzen:

  • Schuldhafte Obliegenheitsverletzung: Eine schuldhafte Obliegenheitsverletzung ist zu bejahen, wenn der Versicherungsnehmer eine Gefahrenerhöhung nicht meldet. Eine solche Gefahrenerhöhung kann zum Beispiel vorliegen, wenn die Sicherheitsstandards geändert werden. In einem solchen Fall kann der Versicherer die Cyber-Versicherung fristlos kündigen und folglich im Schadensfall nicht für mögliche Schäden einstehen.
  • Vorsätzliche Obliegenheitsverletzung: Eine vorsätzliche Obliegenheitsverletzung kann vorliegen, wenn der Versicherungsnehmer absichtlich über Tatsachen täuscht, um den Beitrag im Rahmen der Cyber-Versicherung möglichst gering zu halten. In einem solchen Fall handelt der Versicherungsnehmer arglistig. Bei einer vorsätzlichen Obliegenheitsverletzung kann der Versicherer den Versicherungsvertrag anfechten. Wurden Leistungen bereits ausgezahlt, kann der Versicherer diese vom Versicherungsnehmer zurückverlangen.
  • Fahrlässige Obliegenheitsverletzung: Berücksichtigt der Versicherungsnehmer die vom Versicherer geforderte Sorgfalt nicht, so liegt eine fahrlässige Obliegenheitsverletzung vor. Dies kann beispielsweise der Fall sein, wenn der Versicherungsnehmer ohne ein Antivirenprogramm am PC arbeitet. In einem solchen Fall muss der Versicherer für einen möglichen Schaden nicht einstehen.

STC-Makler
Schreiben Sie uns Ihre Nachricht und Sie erhalten innerhalb von 24 Stunden eine Antwort von uns.
02663 97995-0
info@stc-makler.de
Kontakt aufnehmen

Ihr Ansprechpartner, vor allem im Schadenfall

Wir von STC wissen, dass Ihre Zeit ein wertvolles Gut ist und nicht in aufwendigen Diskussionen mit Versicherungsunternehmen verbraucht werden sollte. Als alleiniger Ansprechpartner übernehmen wir daher sämtliche Bearbeitungsschritte im Versicherungsmanagement und verhandeln Konditionen, Rahmenverträge sowie gesonderte Klauseln, sodass Sie sich auf die wichtigen Dinge konzentrieren können.
7.500 zufriedene Kunden
juristisches Know-How
ortsunabhängige Beratung

Wir unterstützen Sie in allen Lebenslagen

Sicher - Transparent - Clever
Zum Kontaktformular
© NDABCREATIVITY, stock.adobe
© 2014-2022 STC GmbH
magnifiercrossmenuCookie Consent mit Real Cookie Banner