Auflagen in der Cyberversicherung
Auflagen in der Cyberversicherung
Die Cyberversicherung gewinnt zunehmend an Bedeutung, auch wegen der wachsenden Gefahren im Netz.
Häufig verwendet der Cyberversicherer sog. Auflagen bezüglich der IT-Sicherheit beim Versicherungsnehmer. Diese Auflagen sehen vor, dass der Versicherungsnehmer Maßnahmen zur IT-Sicherheit binnen einer Umsetzungsfrist zukünftig implementieren soll oder schon über solche Sicherheitsstandards verfügt.
Werden diese Auflagen nicht erfüllt, kann der Versicherungsschutz entfallen oder verschuldensabhängig gekürzt werden. Dies richtet sich danach, wie die Auflage rechtlich formuliert wurde.
Wird schon im Risikofragebogen nach einer bestimmten bestehenden oder zukünftigen IT-Sicherheit gefragt, könnte bei einer Falschangabe ein Rücktrittsrecht des Versicherers bestehen, wenn der Versicherungsnehmer diese Angabe grob fahrlässig tätigte. Soweit nach zukünftigen Sicherheitsmaßnahmen gefragt wird, kommt es drauf an, ob der Versicherungsnehmer die Planungen der IT-Sicherheitsmaßnahme bejaht, obwohl er weiß, dass er diese nicht vornehmen wird. Dann würde eine Leistungsfreiheit wegen Arglist bestehen. Besteht jedoch bei der Beantwortung der Risikofragen ein Umsetzungswille der zukünftigen IT-Sicherheitsmaßnahmen, scheidet eine Anzeigepflichtverletzung aus.
Die Auflage kann auch als Risikobegrenzung formuliert werden. Danach sind bestimmte Gefahren verschuldensunabhängig von vornherein vom Versicherungsschutz ausgeschlossen bzw. mit einer Selbstbeteiligung im Versicherungsfall versehen. Dabei sind Risikoausschlussklauseln regelmäßig eng auszulegen im Sinne der Verständnismöglichkeit eines durchschnittlichen Versicherungsnehmers einer vergleichbaren Versicherung.
Üblicherweise werden Auflagen als vom Versicherungsnehmer zu erfüllende Obliegenheiten formuliert. Danach hat der Versicherungsnehmer binnen einer bestimmten Umsetzungsfrist IT-Sicherheitsvorkehrungen zu treffen. Bis zum Ablauf der Umsetzungsfrist bestehen keine Einschränkungen des Versicherungsschutzes. Danach kann der Versicherer seine Leistung beschränken, sofern die Umsetzungsfrist nicht eingehalten wurde.
Bei arglistiger oder vorsätzlicher Obliegenheitsverletzung besteht regelmäßig eine Leistungsfreiheit des Versicherers. Bei einem grob fahrlässigen Verstoß gegen die Obliegenheit besteht die Möglichkeit des Versicherers zu verschuldensabhängiger Leistungskürzung.
Die Einschränkungen des Versicherungsschutzes bestehen bei Vorsatz oder grober Fahrlässigkeit nicht, wenn der Verstoß gegen die Obliegenheit nicht ursächlich für den Eintritt des Versicherungsfalls war (sog. Kausalitätsgegenbeweis).
Auch bei der Auflage als Obliegenheit ist der Wortlaut zugunsten des Versicherungsnehmers eng auszulegen im Sinne eines durchschnittlichen Versicherungsnehmers mit einer vergleichbaren Versicherung, wenn die Obliegenheit in den Allgemeinen Versicherungsbedingungen vorformuliert ist.
Wurde die Obliegenheit individuell vereinbart, ist zu prüfen, ob sie individuell dem Versicherungsnehmer vom Versicherer ernsthaft zur Disposition gestellt wurde. Ist dies nicht der Fall, liegt jedenfalls eine einseitige Individualvereinbarung vor. Bei Verbrauchern gelten dann die zuvor benannten Auslegungsgrundsätze. Dies wird im Einzelfall auch für Unternehmen vertreten, jedenfalls dann, wenn der Versicherer als erfahrener Vertragspartner die Klausel vorgibt (OLG Düsseldorf, r+s, 2019, 88).
Es besteht somit schon beim Abschluss der Cyberversicherung Beratungsbedarf im Hinblick auf die Formulierung der Auflage und deren Rechtsfolgen.
Dies gilt auch im Schadenfall. Denn nicht jede Leistungskürzug oder Leistungsablehnung des Cyberversicherers ist versicherungsrechtlich zulässig.
Gerne stehen wir für eine Beratung und Vertretung bei cyberversicherungsrechtlichen Fällen zur Seite.