Rechtsanwältin Eva Mustermann, Musterstraße 1, 12345 Musterhausen, Tel.: 01234/56789, eva@mustermann.de
Versicherungsfalldefinitionen der Cyber-Versicherung
Als Multiline-Versicherung mit unterschiedlichen Versicherungssparten behandelt die Cyber-Versicherung unterschiedliche Versicherungsfälle. Nur wenn deren Voraussetzungen erfüllt sind, besteht Versicherungsschutz.
Versicherungsfall der Cyber-Haftpflichtversicherung
Je nach Anbieter ist der Versicherungsfall der Cyber-Haftpflichtversicherung in Anlehnung an die Allgemeinen Versicherungsbedingungen für die Haftpflichtversicherung (AHB) wie folgt oder ähnlich definiert:
„Der Versicherungsfall ist die erstmalige schriftliche Geltendmachung eines zivilrechtlichen Anspruchs auf Ersatz eines unter (…) genannten Schadens.“
Ebenso wie in der Betriebshaftpflichtversicherung besteht Versicherungsschutz also grundsätzlich nur, wenn die erhobenen Schadenersatzansprüche zivilrechtlicher Natur sind. Während aber in der Betriebshaftpflichtversicherung Versicherungsschutz für Personen-, Sach- und sich daraus ergebende Vermögensschäden besteht, sind Personenschäden in der Cyber-Versicherung weitestgehend ausgeschlossen. Dafür besteht Versicherungsschutz neben den Sachschäden und den Güterfolgeschäden auch für reine Vermögensschäden.
Zum Zuge kommt die Cyber-Haftpflichtversicherung aber immer nur dann, wenn definierte Pflichtverletzungen seitens des Versicherungsnehmers begangen worden sind. Beispielhaft sind hier die folgenden zu nennen:
Rechtswidrige digitale Kommunikation
Unter digitaler Kommunikation versteht man Kommunikation, die mit Hilfe digitaler Medien stattfindet. Unter digitalen Medien versteht man elektronische Medien , die mit digitalen Codes arbeiten. Der Gegenbegriff ist die analoge Kommunikation. Unter analoger Kommunikation ist in erster Linie die Kommunikation mittels Sprache und Buchstaben ohne Einsatz elektronischer Medien und digitaler Codes zu verstehen. Im Einzelfall wird es durchaus Abgrenzungsschwierigkeiten geben können.
Als Tathandlungen kommen in Betracht: Beleidigung, üble Nachrede, Geschäftsschädigung, unlauterer Wettbewerb oder Wettbewerbsbeschränkungen, Verletzung von Urheber-, oder Warenzeichen-, Geschmacksmusterrechten oder vergleichbaren Immaterialgüterrechten.
Beispielhaft sind hier insoweit folgende Tathandlungen zu nennen: Unzulässige Fotoveröffentlichung im Internet, Verbreitung pornografischen Materials, Setzen von Hyperlinks zu fremden Webseiten, Verwendung fremder Texte usw.
Verstoß gegen vertragliche oder gesetzliche Datenschutz- und Datenvertraulichkeitsregeln
Hier kann es zur Verletzung von Persönlichkeitsrechten und zur Schädigung von Unternehmen kommen, wenn deren Daten der Öffentlichkeit zugänglich gemacht werden.
Verstoß gegen das Gebot der Netzwerksicherheit
Netzwerksicherheitsverletzungen können zu einer Haftung des Netzwerkbetreibers für Drittschäden führen. Hat der Versicherungsnehmer sich vertraglich zur Einhaltung bestimmter Standards verpflichtet, so können bei einem Verstoß Vertragsstrafen fällig werden.
Beispiele: Über ein drahtloses Netzwerk werden urheberrechtsgeschützte Dateien heruntergeladen. Nach gegenwärtiger Rechtsprechung kann der Betreiber des Netzwerkes als „Störer“ in Anspruch genommen werden, wenn das Netzwerk nicht ausreichend gesichert war.
Eine Haftung des Netzwerkbetreibers kann entstehen, wenn sein Netzwerk virenbedingt für berechtigte Dritte nicht erreichbar ist, Daten Dritter beschädigt werden oder verloren gehen.
Versicherungsfall der Cyber-Eigenschadenversicherung
In Anbetracht der Unterschiedlichkeit der versicherten Eigenschäden stellen Cyber-Eigenschadenversicherungen auf verschiedene Versicherungsfälle ab.
Versicherungsfall der Cyber-Betriebsunterbrechung
Ein Unterbrechungsschaden erstreckt sich regelmäßig über einen längeren Zeitraum. In der Betriebsunterbrechungsversicherung wird daher von einem gedehnten Versicherungsfall gesprochen. Bei gedehnten Versicherungsfällen ist der Anfang und das Ende zu definieren.
Einige Versicherer formulieren in Analogie zur herkömmlichen Betriebsunterbrechungsversicherung in der Cyber-Versicherung den Beginn des Versicherungsfall und damit der Haftzeit mit „der ersten Feststellung des Netzwerkeingriffes“.
Der Netzwerkeingriff wiederum ist die unberechtigte Benutzung des Computer-Systems oder ein Cyberangriff. Ein Cyberangriff setzt einen direkten Angriff in Form eines zielgerichteten Eindringens voraus. Bei diesen Versicherern wäre also eine Betriebsunterbrechung, die durch einen ungezielten Angriff verursacht worden ist, nicht versichert.
Andere Versicherer lösen sich von der Versicherungsfallkonstruktion der Betriebsunterbrechung und definieren den Versicherungsfall, indem sie auf den unbefugten Zugang, einer Infektion durch einen Computervirus oder einen Denial of Service (DoS) Angriff abstellen. Bei einem DoS Angriff werden auf unbegrenzte Zeit die Leistungen oder Ressourcen einer Organisation lahm gelegt. Meistens handelt es sich dabei um einen Angriff gegen Unternehmensserver, so dass man diese nicht mehr verwenden oder nicht mehr auf sie zugreifen kann.
Wenn nicht auf einen zielgerichteten Angriff abgestellt wird, ist eine Betriebsunterbrechung durch Computerviren, die per Maleware versandt werden, ebenfalls versichert.
Versicherungsfall in der Cyber-Diebstahl-Versicherung oder Computerbetrug-Versicherung
Insbesondere bei der Formulierung des Versicherungsschutz in Bezug die Straftatbestände der §§ 202 a bis b StGB (Ausspähen von Daten, Abfangen von Daten) und des § 263 a StGB (Computerbetruges) wird der Umfang und die Reichweite des Versicherungsschutzes in den Cyber-Versicherungen unübersichtlich und es ist vielfach nicht klar, was gewollt ist.
Der Versicherungsfall des Cyber-Diebstahls wird ein Schaden, der auf den „Verlust von Geldern und Waren, die Übertragung von Wertpapieren oder die unbefugte Lieferung von Waren, der aus einer externen Datenübertragung resultiert“ beschrieben.
Eine Definition des Begriffs des Cyber-Diebstahls findet sich weder im Gesetz noch in den Versicherungsbedingungen. Ganz offensichtlich geht es bei dem Versicherungsschutz auch nicht um einen auf das Ausspähen von Daten oder das Abfangen von Daten allein resultierenden Schaden.
Unklar ist ob unter der Überschrift des Cyber-Diebstahlsschadens lediglich der Geldverlust durch eine rechtsgrundlose Auszahlung von Geldmünzen und –scheinen gemeint ist? Wenn es um die Übertragung von Wertpapieren geht, stellt sich ebenfalls die Frage, was gemeint ist. Denkbar ist die Übertragung von einem Depot in ein anderes oder lediglich die sachliche Übertragung mittels Indossamentes.
Wenn Versicherungsschutz auch geboten wird gegen den Verlust von Waren aufgrund einer unbefugten Lieferung dieser Waren, wäre klärungsbedürftig, was eine unbefugte Lieferung ist? Gibt der Eigentümer als Eigentümer seine Ware aufgrund fehlerhafter Daten in seinem Computersystem an einen Dritten heraus, so mag diese Verfügung ohne Rechtsgrund erfolgt sein. Als Eigentümer war der Versicherungsnehmer aber zur Herausgabe berechtigt. Von einer unbefugten Lieferung wird man also nicht so ohne weiteres sprechen können.
Der Versicherungsfall in der Computerbetrugs-Versicherung wird beschrieben, mit „der ersten Feststellung eines Computerbetruges“, der zu einer irrtümlichen und rechtsgrundlosen Überweisung von Geld geführt hat.
Der Computerbetrug wird von den Versicherern allerdings vollkommen anders definiert als im Strafrecht. Der Reichweite des gebotenen Versicherungsschutzes kommt man ein wenig näher, wenn zunächst der Tatbestand der strafrechtlichen Computerkriminalität vergegenwärtigt wird.
§ 263 a StGB kennt 4 Tatmodalitäten:
Programmmanipulation
Hierzu folgender Fall.
Auf Bitten des alleinigen Inhabers des Unternehmen A verändert der Chefprogrammierer das Buchhaltungsprogramm des Unternehmens A derart, dass die Rechnungsbeträge zwar genau auf einen Zehntel-Cent berechnet werden, dann aber stets entgegen den Regeln zur Rundung auf ganze Cent-Beträge aufgerundet werden. Hierdurch erzielt der Unternehmer einen Mehrerlös zu Lasten seines Kunden von € 50.000,00.
Wäre der Versicherungsnehmer der Cyber-Versicherung nun Kunde des Unternehmers so hätte er zwar einen Schaden erlitten, es bestünde aber schon deswegen kein Versicherungsschutz, weil nicht in seine, sondern in das Computersystem des Untern Bank eingegriffen worden ist.
Verwendung unrichtiger oder unvollständiger Daten
Das obige Unternehmen A verhält sich beanstandungslos. Es hat mit seinem Kunden B vereinbart, dass dieses ihm die Daten über den Materialverbrauch als Diskette zur Verfügung stellt. Die Dateien auf dieser Diskette sind von B bewusst unrichtig und unvollständig erstellt worden, sodass der Unternehmer A dem B, nachdem er diese Daten in seinen Computer eingepflegt hat, zu wenig in Rechnung stellt.
Hier besteht kein Versicherungsschutz zugunsten des Unternehmens A, da dem geschädigten zu wenig in Rechnung gestellt worden ist. Es wurde dem Schädiger kein Geld überwiesen.
Unbefugte Verwendung von (richtigen) Daten
Unbefugt ist insbesondere die praktisch häufige Nutzung einer gefälschten Debit-Karte oder einer Original-Debit-Karte mit PIN am Geldautomaten, wenn letztere durch verbotene Eigenmacht oder sonst wie deliktisch erlangt wurde. Zu Schaden kommen können insoweit nicht nur Banken und Sparkassen, sondern auch Betreiber von Online-Portalen zum Kauf oder sonstigem Bezug von Dienstleistungen, da auch hier eine erteilte Vollmacht zur Nutzung der Bank- oder Kreditkarte vorgespiegelt wird.
Auch hier würde kein Versicherungsschutz zur Verfügung stehen, weil das geschädigte Unternehmen nicht zu einer Überweisung von Geld veranlasst worden ist.
Sonstige Unbefugte Einwirkung auf den Ablauf
Diese Tatmodalität wurde vom Gesetzgeber in erster Linie geschaffen, um Hardware-Manipulationen und weniger um Software-Manipulationen zu erfassen. Hierzu folgender Fall:
A erwarb von B ein Computerprogramm, das für den Spielverlauf bei Geldspielautomaten maßgebend ist. Mit diesem auf einer Diskette gespeicherten Programm und einem Laptop begab er sich in eine Gaststätte, in der ein Geldspielautomat steht. Er spielte mehrfach, um Daten aus dem laufenden Programm in seinen Computer eingeben zu können und so den Programmverlauf zu berechnen. Dieses Wissen verwendete er dann bei weiteren Spielen, bei denen er durch das Drücken der sog. »Risiko«-Taste (diese ermöglicht es, entweder den Gewinn zu verlieren oder zu vervielfältigen) zu bestimmten Zeitpunkten jeweils ein bestimmtes Gewinnbild erzeugte und so den Automaten leer spielte.
Zwar machte sich der A hier des Computerbetruges strafbar. Der Automatenbetreiber hätte hier aber keinen Versicherungsschutz, weil wiederum die Voraussetzungen des Computerbetrugsversicherungsfalls nicht erfüllt wären.
Aber selbst dann, wenn hier eine Softwaremanipulation vorgenommen worden wäre, könnte der Versicherungsschutz im Zweifel bereits deswegen verneint werden, da ein Spielautomat mit selbstständig funktionierender Software ohne Internetanbindung nicht als Computer-System nach Maßgabe der Versicherungsbedingungen aufgefasst würde.
Nach allem zeigt sich, dass es nicht einfach ist, einen Fall zu konstruieren, der unter die Cyber-Computerbetrugsversicherung fallen könnte. Voraussetzung ist nämlich eine Beeinflussung des Computersystems des Versicherungsnehmers per Internet mit der Folge, dass fälschlicherweise Geldüberweisungen (nicht Dienstleistungen oder Warenlieferungen) an den Schädiger getätigt werden.
Die Versicherungsbedingungen setzen des Weiteren voraus, dass diese Überweisung irrtümlich geschah. Soll hiermit zum Ausdruck gebracht werden, dass Versicherungsschutz nur dann besteht, wenn nicht eine automatische, sondern eine Überweisung durch das Personal des Versicherungsnehmers erfolgt? Da ein Computerprogramm nicht irren kann, drängt sich dieser Eindruck auf.
Versicherungsfall der Cyber-Erpressungsversicherung
Der Versicherungsfall tritt ein, wenn der Versicherungsnehmer mit
- dem Verlust oder der Beschädigung seines Netzwerkes,
- dem Verlust von Geldern oder Wertpapieren des Versicherungsnehmers,
- dem unberechtigten Verändern der Webseite des Versicherungsnehmers oder
- dem Verlust, der Bekanntgabe oder der unbefugten Nutzung von vertraulichen Daten
als empfindliches Übel im Sinne des § 253 StGB bedroht worden ist und deswegen Erpressungsgelder zahlt. Der § 253 StGB verlangt als abgenötigtes Opferverhalten aber nicht zwingend eine Vermögensverfügung wie die Zahlung von Geld. Nach der Rechtsprechung reicht jedes Tun, Dulden oder Unterlassen des Opfers, wenn nur der Erpresser mit der Absicht, sich zu Unrecht zu bereichern, handelte.
Verlangt also der Erpresser, dass der versicherte Unternehmer ein Produkt nicht weiter vorantreibt oder sich aus einem Marktsegment zurückzieht, so wäre der daraus resultierende Vermögensschaden nicht versichert. Nicht versichert wäre auch die Bedrohung des Versicherungsnehmers mit den obigen Übeln, wenn der Täter ohne Bereicherungsabsicht handelte und deswegen nicht der Tatbestand der Erpressung, sondern lediglich der Nötigung vorläge.
Insoweit ist zu konstatieren, dass der unter die Cyber-Versicherung fallende Erpressungsversicherungsschutz hinter dem außerhalb der Cyber-Versicherung erhältlichen Versicherungsschutz zurückbleibt. Die Erpressungsversicherung außerhalb der Cyber-Versicherung kennt als versicherte Ereignisse neben der Erpressung auch die Nötigung und weitere Gegebenheiten und sieht zudem sehr viel weitergehenden Kostenersatz vor. Der Kostenersatz beschränkt sich nicht nur auf die Zahlung von Erpressungsgeldern, sondern auch auf die Kosten der Krisenberater, die Aufwendungen für Dolmetscher, Reise- und Kosten der Unterkunft sowie Arzt- und Krankenhauskosten.
Assistance-Leistungen
Der Verlust von Kundendaten oder Daten von Geschäftspartnern kann für den Versicherungsnehmer das Risiko schwerwiegender Reputationsschäden in sich tragen. Zur Schadensbegrenzung macht es daher Sinn, ein Krisenmanagement zu betreiben. In der Regel werden betroffene Unternehmen Pressekommunikationen regelmäßig nicht im notwendigen Umfang und abrufbereit betreiben können. Cyber-Versicherungen sehen deshalb als zusätzliche Bestandteile Unterstützungsleistungen vor.
Dies sind etwa die Bereitstellung von Experten wie PR-Fachleute, Rechtsanwälte, IT-Forensiker zur Datenwiederherstellung oder zusätzlicher Serverkapazitäten.
Das könnte Sie auch interessieren:
Die Haftpflichtversicherung - Haftungsschutz für fremde Schäden
Welche Risiken übernimmt man mit dem Kauf eines Grundstücks?
Wichtige Punkte im Grundstückskaufvertrag: Gewährleistung für Mängel des Grundstücks und Erschließungskosten