Rechtsprechung

Rechtsprechung Cyber und Datenrisiken

Grob fahrlässige Schadenherbeiführung in der Cyberversicherung

Angesichts rasant zunehmender Hackerangriffe auf die deutsche Wirtschaft sind die Cyberversicherer 2021 nach GDV-Angaben mit einer Schaden-Kostenquote von fast 124 Prozent nach 65 Prozent im Vorjahr erstmals in die Verlustzone gerutscht. Weil parallel der Markt für Cyberversicherungen weiterhin schnell wächst, gewinnt das Schadenmanagement, die Schadensachbearbeitung, an praktischer Bedeutung. Oftmals legen forensische Untersuchungen neben dem initialen Eintrittsweg übergeordnete beziehungsweise organisatorisch-strukturelle IT-Sicherheitsschwachstellen bei Versicherungsnehmern offen. Für die Regulierungspraxis stellt sich vor diesem Hintergrund vermehrt die ungeklärte Rechtsfrage, ob und unter welchen Voraussetzungen ein Leistungskürzungsrecht wegen grob fahrlässiger Schadenherbeiführung gemäß § 81 Abs. 2 VVG bestehen kann (vgl. dazu ausführlich Höld, Grob fahrlässige Schadenherbeiführung in der Cyberversicherung, VersR 2023, 353 ff.).

Anders als die meisten Sachversicherungen enthalten die Cyber-Bedingungswerke häufig keine ausdrückliche Regelung zur schuldhaften, insbesondere grob fahrlässigen Schadenherbeiführung, sondern operieren stattdessen mit allgemeinen und besonderen Ausschlüssen (vgl. A1-17 und A3-7 AVB Cyber). Gemäß A1-17.10 AVB Cyber sind im Speziellen – und zwar ohne Rücksicht auf mitwirkende Ursachen – vom Versicherungsschutz ausgeschlossen Versicherungsansprüche aller Personen, die den Schaden vorsätzlich oder durch wissentliches Abweichen von Gesetz, Vorschrift, Beschluss, Vollmacht oder Weisung oder durch sonstige wissentliche Pflichtverletzung herbeigeführt haben. Der Ausschluss entstammt der (D&O- bzw. Vermögensschaden-)Haftpflichtversicherung (vgl. A-7-1 AVB D&O, § 4 Nr. 5 AVB Verm, Ziff. 7.1 AHB) und ist angelehnt an die Regelung des § 103 VVG.

Vereinzelt wird vertreten, dass ein durchschnittlicher Versicherungsnehmer im Wege eines Umkehrschlusses die nicht-vorsätzliche Schadenherbeiführung generell für versichert halten darf. Dem ist zu widersprechen. Natürlich nur außerhalb des Drittschaden-Bausteins (hier gilt § 103 VVG als lex specialis), sind die §§ 74 bis 87 VVG auf die Cyberversicherung prinzipiell anwendbar. Zwar ist § 81 Abs. 2 VVG bezüglich des Service- und Kosten-Bausteins (A2-1–A2-3 AVB Cyber) sowie Eigenschaden-Bausteins (A4-1–A4-2 AVB Cyber) zugunsten des Versicherungsnehmers abdingbar, vgl. § 87 VVG. Dass durch einen allgemeinen Risikoausschluss (hier: den Vorsatzausschluss) das Leistungskürzungsrecht gemäß § 81 Abs. 2 VVG konkludent abbedungen wird, halten wir aber für gekünstelt. Bei aufmerksamer Lektüre erkennt der durchschnittliche Versicherungsnehmer zudem, dass auch grobe Fahrlässigkeit den Cyber-Versicherungsschutz gefährdet (A1-16 AVB Cyber; A3-7 AVB Cyber; A4-1.2 und 2.3 AVB Cyber; B1-3.3 und 4.4 AVB Cyber; B3-1.2.1 AVB Cyber; B3-2.5 AVB Cyber; B3-4.2 AVB Cyber). Obgleich auf einen geschäftserfahrenen Versicherungsnehmer mit IT-Know-how abzustellen ist, hat auch dieser (regelmäßig) keine versicherungsrechtlichen Spezialkenntnisse. Er kennt die Vorschrift des § 81 VVG nicht. Insofern wird er bezüglich des Risikoausschlusses unter A1-17.10 AVB Cyber keine Rückschlüsse auf ihm unbekannte Regelungen im VVG ziehen.

Eine Cyber-, insbesondere eine Ransomware-Attacke unterteilt sich in zwei Phasen: den initialen Angriff und die anschließende Ausbreitung in der IT-Infrastruktur („Lateral Movement“). Typische Eintrittsstellen sind gänzlich unsupportete („EoS“ bzw. „EoL“) bzw. ungepatchte, und damit bekannt vulnerable, Systeme. Oft wird die Ausbreitung von Angriffen oder die Bewegung des Angreifers in einem Netzwerk durch unzureichende Sicherheitsvorkehrungen und Überwachungseinrichtungen begünstigt. Das Verhalten des Versicherungsnehmers muss bezüglich des initialen Angriffs und / oder des Lateral Movement im naturwissenschaftlichen Sinne ursächlich geworden sein, wobei bloße Mitursächlichkeit genügt.

Während sog. Zero-Day-Exploits dem Versicherungsnehmer nicht vorgeworfen werden können, wird der Betrieb unsupporteter bzw. ungepatchter IT-Systeme regelmäßig – entscheidend sind wie immer die Einzelfallumstände – grob fahrlässig sein, erst Recht, wenn IT-Sicherheitsdefizite kumulieren. Durch die Medienberichterstattung und die Informationen des BSI und anderer Institutionen sind Cyberrisiken und die Möglichkeiten zu deren Vorbeugung allgemein bekannt, erst Recht einem Versicherungsnehmer, der eigens eine Cyberversicherung eindeckt und oftmals über eigene IT-Fachabteilungen und Datenschutzbeauftragte verfügt. Faktoren zur Bestimmung des Verschuldensgrads sind u.a. qualitatives IT-Sicherheitsdefizit, quantitatives IT-Sicherheitsdefizit und Zeitraum. Je länger das Supportende her ist oder je länger ein nicht installierter Patch verfügbar ist, desto gravierender ist der Verschuldensschuldvorwurf.

Ansprechpartner
RA Dr. Florian Höld, Köln
florian.hoeld@bld.de

Top 5 Artikel

  1. "Lifetime Achievement Award" für Dr. Reinhard Dallmayr
    News
  2. BLD trauert um Dr. Rainer Büsken
    News
  3. BLD erneut Spitzenreiter im Chambers-Ranking 2025
    News
  4. Auch 2025 wird BLD von The Legal 500 ausgezeichnet
    News
  5. BLD erhält Auszeichnung im Medizinrecht
    News

Newsletter: Anmeldung