Cyberrisiken und Versicherungsschutz

Inhaltsverzeichnis

• Cover
• Titel
• Copyright
• Autorenangaben
• Über das Buch
• Zitierfähigkeit des eBooks
• Vorwort
• Abkürzungsverzeichnis
• Einleitung
• A. Problemstellung und Zielsetzung
• I. Fortschreitende Digitalisierung
• II. Einfallstor für Cyberkriminalität
• 1. Cybervorfälle
• 2. Motivation der Täter
• III. Risikominimierung und -transfer
• B. Gang der Arbeit
• Kapitel 1: Cyberrisiken
• A. Cyberrisiken im Allgemeinen
• I. Anknüpfungspunkt: Verwendung von IT
• II. Hinter der Verwirklichung der Risiken stehende Ursachen
• B. Angriffsszenarien
• I. Data Breach
• II. Schadprogramme
• III. Denial of Service-Attacke
• IV. CEO Fraud
• V. Phishing
• C. Auswirkungen
• I. Eigenschäden
• II. Drittschäden
• D. Umgang mit Cyberrisiken
• I. Cyberrisiken und Strafrecht
• II. Gesetzgeberische Bestrebungen zur Schaffung von IT-Sicherheit
• III. Cyberrisiken und Versicherungsschutz
• 1. Versicherbarkeit von Cyberrisiken
• 2. Spezielle Cyber-Versicherungen
• 3. Traditionelle Versicherungspolicen
• Kapitel 2: Die spezielle Cyberversicherung
• A. Einführung in die Cyberversicherung
• I. Definition der Cyberversicherung
• II. Marktentwicklung
• 1. Der deutsche Cyberversicherungsmarkt
• 2. Zahlen und Fakten
• III. Untersuchungsgegenstand
• B. Versicherungsumfang nach den AVB Cyber von 2017
• I. Allgemeines zu den AVB
• 1. Aufbau der Musterbedingungen
• 2. Auslegung von AVB
• a. Auslegungsmaßstab
• b. Verkehrskreisbezogene Auslegung
• c. Grenzen der Auslegung
• aa) Kontrollfreiheit des Vertragskerns
• bb) Abstellen auf das Verständnis eines IT-Fachmannes
• cc) Stellungnahme
• II. Versichertes Risiko in der Cyberversicherung
• 1. Informationssicherheitsverletzung
• a. Schutzgut
• aa) Elektronische Daten des Versicherungsnehmers
• (1) Speicherform
• (2) Inhaberschaft der Daten
• (a) „Dateneigentum“
• (b) Zuweisung des Datenrechts
• (aa) Inhaber des Datenträgers
• (bb) Erzeugung der elektronischen Daten
• (cc) Möglichkeit der Einwirkung auf die Daten
• (dd) Stellungnahme
• bb) Informationsverarbeitende Systeme
• (1) Auslegung des Begriffs
• (2) Inanspruchnahme externer Dienstleistungen
• (a) Outsourcing
• (b) Ausschluss bei Verfügbarkeitsbeeinträchtigungen
• (c) Wirksamkeit des Ausschlusses
• (aa) § 305c Abs. 1 BGB
• (bb) § 307 Abs. 1 S. 1 i.V.m. Abs. 2 BGB
• (cc) § 307 Abs. 1 S. 2 BGB
• (d) Reichweite des Ausschlusses
• cc) Nutzung zur Ausübung der betrieblichen oder beruflichen Tätigkeit
• b. Schutzziele
• aa) Verfügbarkeit
• bb) Integrität
• cc) Vertraulichkeit
• c. Auslösendes Ereignis der Informationssicherheitsverletzung
• aa) Versicherte Ereignisse
• (1) Angriff auf Daten oder Systeme
• (2) Unberechtigter Zugriff auf elektronische Daten
• (3) Eingriff in informationsverarbeitende Systeme
• (a) Begriffsbestimmung
• (aa) Der Eingriff als beherrschbares Verhalten
• (bb) Der Eingriff als unerwünschtes Verhalten
• (b) Konkrete Eingriffsbeispiele
• (c) Abgrenzung zu einem Angriff
• (4) Verletzung von datenschutzrechtlichen Vorschriften durch den Versicherungsnehmer
• (a) Datenschutzrechtliche Vorschriften
• (b) Verantwortlicher
• (c) Verletzung durch Unterlassen
• (5) Schadprogramme
• bb) Systeme „des Versicherungsnehmers“
• (1) Bedeutung bei Inanspruchnahme externer Dienstleistungen
• (2) Im (Home-)Office genutzte, private Geräte
• 2. Vermögensschaden
• a. Abgrenzung zu Sachschäden
• b. Mittelbare Vermögensschäden
• aa) Abgeleitete Vermögensschäden, die auf dem Abhandenkommen des Datenträgers beruhen
• bb) Abgeleitete Vermögensschäden, die auf der Beschädigung des Datenträgers beruhen
• 3. Übertragung der Erkenntnisse auf die Angriffsszenarien
• a. Data Breach
• b. DoS-Attacke
• c. Schadprogramme
• d. CEO-Fraud
• e. Phishing
• 4. Schlussfolgerungen
• III. Versicherungsfall
• 1. Manifestationsprinzip
• a. Problematik: Feststellung der Informationssicherheitsverletzung
• b. Meinungsstand
• c. Stellungnahme
• 2. Beweislast für das Vorliegen des Versicherungsfalls
• 3. Versicherter Zeitraum
• a. Nachdeckung
• aa) Notwendigkeit der Nachhaftungsregelung
• bb) Gründe für die Vertragsbeendigung
• (1) Benannte Beendigungsgründe
• (2) Erweiterung der Nachdeckung auf den Widerruf (§ 8 Abs. 1 VVG)
• (a) Der Widerruf nach § 8 Abs. 1 VVG und seine Folgen
• (b) Stellungnahme
• b. Rückwärtsdeckung
• aa) Notwendigkeit der Rückwärtsdeckung
• bb) Voraussetzungen für die Rückwärtsdeckung nach A1-6 AVB Cyber
• cc) Verhältnis zu § 2 Abs. 2 S. 1 VVG
• 4. Schlussfolgerungen
• IV. Einschränkungen und Ausschlüsse des Versicherungsschutzes
• 1. Obliegenheiten
• a. Obliegenheiten vor Eintritt des Versicherungsfalls
• aa) Gesetzliche Obliegenheiten
• (1) Vorvertragliche Anzeigepflicht, § 19 VVG
• (a) Sinn und Zweck
• (b) Relevanz bei Cyberrisiko-Versicherung
• (aa) Musterfragebogen des GDV zur Risikoerfassung
• (bb) Risikokategorien
• (c) Rechtsfolgen bei Verletzung der Anzeigeobliegenheiten
• (aa) Verwirkung der Rechte durch Versicherer
• (bb) Nach dem Verschulden abgestuftes Sanktionssystem
• (2) Gefahrerhöhung, §§ 23 – 27 VVG
• (a) Begriff der Gefahrerhöhung
• (b) Cyberrelevante Gefahrerhöhungen
• (aa) Steigende Zahl an Cyberangriffen
• (bb) Nutzung von nicht länger unterstützter Software
• (cc) Zunehmende Homeoffice-Tätigkeiten
• (c) Rechtsfolgen
• (aa) Kündigung
• (bb) Prämienerhöhung
• (cc) Leistungsfreiheit
• bb) Vertragliche Obliegenheiten
• (1) Gewährleistung der IT-Sicherheit
• (a) Datensicherung
• (aa) Inhalt der Obliegenheit
• (bb) Turnus der Datensicherung
• (b) Zugangssicherung
• (aa) Komplexität eines Passworts
• (bb) Geräte mit erhöhtem Risiko
• (c) Schutz gegen Schadsoftware
• (d) Sicherheitsupdates
• (aa) Notwendigkeit der Vornahme von Sicherheitsupdates
• (bb) Verkehrskreisbezogene Kenntnis
• (e) Technikstandard in Cyberversicherungspolicen
• (aa) „Stand der Technik“
• (bb) Verstoß gegen das Transparenzgebot
• (cc) Zu gewährendes Schutzniveau im versicherten Unternehmen
• (2) Einhaltung von Sicherheitsvorschriften
• (a) Gesetzliche Sicherheitsvorschriften
• (aa) Auf die Gewährleistung der IT-Sicherheit abzielende Vorschriften
• (bb) Datenschutzrechtliche Vorschriften
• (b) Behördliche Sicherheitsvorschriften
• (c) Vertragliche Sicherheitsvorschriften
• (d) Wirksamkeit der Klausel
• (aa) Verstoß gegen das Transparenzgebot
• (bb) Stellungnahme
• (3) Beseitigung von gefahrdrohenden Umständen auf Verlangen des Versicherers
• (4) Rechtsfolgen bei Obliegenheitsverletzung
• (a) Kündigung
• (b) Leistungsfreiheit
• (aa) Vertraglich vereinbarte Leistungsfreiheit
• (bb) Beweislastverteilung
• b. Obliegenheiten bei und nach Eintritt des Versicherungsfalles
• aa) Gesetzliche Obliegenheiten nach § 82 VVG
• (1) § 82 Abs. 1 VVG
• (2) § 82 Abs. 2 VVG
• (3) Rechtsfolge
• bb) Vertragliche Obliegenheiten
• (1) Anzeigepflicht
• (2) Auskunftspflicht
• (3) Sonstige vertragliche Obliegenheiten
• (4) Rechtsfolge
• (a) Leistungsfreiheit
• (b) Erforderlicher Hinweis durch Versicherer
• c. Zurechnung des Verhaltens Dritter
• aa) Allgemeines
• bb) Repräsentantenhaftung
• cc) Repräsentanten im Sinne von A1-9 AVB Cyber
• dd) Herausforderung beim Einsatz externer IT-Dienstleister
• 2. Risikoausschlüsse
• a. Krieg, Terror, politische Gefahren
• aa) Krieg
• (1) “NotPeyta“ als kriegerischer Akt
• (2) Kriegsbegriff
• (a) Allgemeine versicherungsrechtliche Deutung
• (b) Auslegung der Klausel A1-17.2 AVB Cyber
• (3) Schlussfolgerungen
• bb) Terror
• cc) Politische Gefahren
• b. Lösegeldforderungen
• aa) Möglichkeit der Absicherung von Lösegeldforderungen
• bb) Umsetzung in der Praxis
• c. Absicherung von Bußgeldern
• aa) Abweichende Regelung in Vertragswerken
• (1) Rechtliche Zulässigkeit
• (a) Verstoß gegen ein Verbotsgesetz im Sinne von § 134 BGB
• (b) Sittenwidrigkeit nach § 138 BGB
• (2) Weitere Wirksamkeitsbedenken
• bb) Fazit
• d. Vorsatz und wissentliche Pflichtverletzungen
• aa) Allgemeines
• bb) Regelungsgehalt
• cc) Unterlassen von notwendigen Sicherheitsmaßnahmen
• (1) Herbeiführung des Versicherungsfalls durch Unterlassen, § 81 VVG
• (2) Grob fahrlässige Herbeiführung des Versicherungsfalles, § 81 Abs. 2 VVG
• (3) Beweislastverteilung
• e. Cyberangriffe auf Fahrzeuge
• f. Ausfall Infrastruktur
• aa) Allgemeines
• bb) Wirksamkeit des Risikoausschlusses
• (1) Ausfälle von Gebietskörperschaften und Infrastrukturbetrieben
• (2) Betroffenheit von dem Ausfall
• (3) Fazit
• V. Deckungsbausteine der AVB Cyber
• 1. Service-/Kostenbaustein (A2)
• a. Aufwendungen vor Eintritt des Versicherungsfalles
• aa) Unmittelbar bevorstehender Schaden
• bb) Erforderliche Maßnahmen
• cc) Anzeigeobliegenheit
• (1) Sinn und Zweck
• (2) Über die Anzeige hinausgehender Abstimmungsvorbehalt
• dd) Verhältnis zu § 83 VVG und § 90 VVG
• b. Kostenpositionen nach Eintritt des Versicherungsfalles
• aa) Ermittlungs-/Schadensfeststellungskosten
• bb) Benachrichtigungskosten
• cc) Call-Center-Kosten
• dd) Kosten für weiteres Krisenmanagement
• ee) Abstimmungs-/Zustimmungsvorbehalte
• c. Schlussfolgerungen
• 2. Drittschadenbaustein (A3)
• a. Haftungsszenarien
• aa) Aus Vertragsverhältnis
• (1) Pflichtverletzungen
• (a) Nicht (vertragsgemäße) Leistung
• (b) Verletzung von Sorgfaltspflichten
• (c) Verletzung von Informationspflichten
• (d) Verletzung von vertraglichen Geheimhaltungspflichten
• (e) Vorvertragliche Pflichtverletzung
• (2) Vertretenmüssen
• (a) Beweislast
• (b) Standardisierte Haftungsbeschränkungen
• (c) Zurechnung des Verhaltens eines Drittens
• (3) Schaden
• bb) Deliktische Ansprüche
• (1) Verkehrssicherungspflicht
• (2) Haftungsgrundlagen
• (a) Art. 82 DSGVO
• (aa) Verstoß gegen die DSGVO
• (bb) Pflichtiger
• (cc) Verschuldensunabhängige Haftung und Exkulpationsmöglichkeit
• (dd) Erstattungsfähiger Schaden
• (b) § 69 Abs. 1 S. 1, S. 4 TKG
• (c) § 1 Abs. 1 S. 1 ProduktHaftG
• (d) § 823 Abs. 1 BGB
• (aa) Produkthaftung
• (bb) Weitere Haftungsszenarien
• (e) § 823 Abs. 2 BGB i.V.m. einem Schutzgesetz
• b. Übernahme durch den Versicherer
• aa) Vorliegen eines Vermögensschadens
• (1) Persönlichkeitsrechtsverletzungen
• (2) Deckungserweiterung in A3-4.1 AVB Cyber
• bb) Vertragliche Haftungsansprüche
• (1) Auf Vertragserfüllung beruhende Ansprüche
• (2) Ansprüche außerhalb der gesetzlichen Haftpflicht
• c. Inanspruchnahme durch einen Dritten
• aa) Ansprüche mitversicherter Unternehmen
• bb) Geltendmachung durch qualifizierte Einrichtung im Musterfeststellungsverfahren
• (1) Die Musterfeststellungsklage
• (2) Qualifizierte Einrichtung als Dritter
• d. Schlussfolgerungen
• 3. Eigenschadenbaustein (A4)
• a. Betriebsunterbrechung
• aa) Unterbrechungsschaden
• (1) Berechnung der Entschädigung
• (2) Dauer der Entschädigung
• bb) Ausgeschlossene Unterbrechungsschäden
• (1) Beabsichtigte Maßnahmen
• (2) Einsatz neuer IT-Systeme, Verfahren oder Software
• (3) Einsatz ungetesteter IT-Systeme, Verfahren oder Software
• (4) Einsatz unlizenzierter IT-Systeme, Verfahren oder Software
• (5) Softwarefehler
• b. Wiederherstellung von Daten
• aa) Versicherte Daten
• bb) Notwendige Aufwendungen und Notwendigkeit der Datenwiederherstellung und Schadprogrammentfernung
• (1) Notwendige Aufwendungen
• (2) Notwendigkeit der Datenwiederherstellung
• cc) Risikoausschlüsse
• c. Schlussfolgerungen
• C. Zusammenfassung und Bewertung
• Kapitel 3: Absicherung von Cyberrisiken durch traditionelle Versicherungen
• A. IT-Klauseln in Unternehmensversicherungen
• I. Sachversicherungen
• 1. Klassische Elektronikversicherung
• a. Beeinträchtigung von Daten
• b. Obliegenheiten des Versicherungsnehmers
• c. Überschneidung mit dem Deckungsschutz der Cyberversicherung
• 2. Klauseln Datenversicherung
• a. Versicherte Gefahren
• aa) Gefahren in den IT-Systemen des Versicherungsnehmers
• bb) Gefahren in den IT-Systemen eines externen IT-Dienstleisters
• cc) Klauseln „erweiterte Datenversicherung“
• dd) Klauseln Softwareversicherung
• b. Entschädigungsleistung
• c. Überschneidung mit dem Deckungsschutz der Cyberversicherung
• 3. Klauseln Mehrkostenversicherung
• a. Entschädigungsleistung
• b. Überschneidung mit dem Deckungsschutz der Cyberversicherung
• II. Haftpflichtversicherungen
• 1. „Klassische“ Haftpflichtversicherung
• 2. Betriebshaftpflichtversicherung
• a. Übernahme von IT-Risiken
• aa) Versicherte Risiken
• (1) Datenveränderungen bei Dritten
• (2) Störungen des Zugangs Dritter zum elektronischen Datenaustausch
• (3) Verletzung von Persönlichkeitsrechten
• bb) Nicht versicherte Risiken
• (1) Ausschluss für IT-spezifische Leistungen
• (2) Weitere Risikoausschlüsse
• b. Obliegenheiten
• c. Überschneidung mit dem Deckungsschutz der Cyberversicherung
• 3. Haftpflichtversicherung für IT-Dienstleister (BBR-ITD)
• a. Versicherte Tätigkeiten
• b. Versicherte Datenschäden
• aa) Software/Hardwarebezogene Tätigkeiten
• (1) Versicherte Schäden
• (2) Vorkehrungen zur Gewährleistung der Sicherheit der Daten
• (a) Verhüllte Obliegenheit
• (b) Auslegung der Klausel
• (c) Rechtsfolge der Qualifizierung der Klauseln als verhüllte Obliegenheiten
• (aa) Unwirksamkeit wegen Verstoß gegen § 307 Abs. 1 S. 2 BGB
• (bb) Differenzierte Betrachtung
• (cc) Stellungnahme
• bb) Providertätigkeiten
• cc) Zwischenfazit
• c. Überschneidungen mit dem Deckungsschutz der Cyberversicherung
• III. Zusatzbaustein Cyber-Assistance
• 1. Bedeutung von Assistance-Leistungen für Unternehmen
• 2. Assistance-Leistungen des Cyber-Assistance-Bausteins
• a. Assistance im Falle von Cybermobbing
• b. Assistance im Falle des Identitätsmissbrauchs
• aa) Versichertes Risiko: Identitätsmissbrauch
• bb) Identitätsmissbrauch im Unternehmen
• cc) Ausgestaltung der Unterstützung
• c. Assistance im Falle des Datenverlustes
• aa) Versichertes Risiko: Datenverlust
• bb) Versicherte Daten
• B. Silent Cyber
• I. Einführung in die Problematik
• II. Mit „non affirmative“ Risiken verbundene Herausforderungen
• 1. Deckung eines nicht einkalkulierten Schadens
• 2. Fehlende Transparenz
• a. Unsicherheit auf Seiten der Versicherer und Versicherungsvermittler
• b. Gefahr für den Versicherungsnehmer
• 3. Bindung an den geschlossenen Vertrag
• a. Anspruch auf Vertragsanpassung
• b. Kündigungsmöglichkeit des Versicherers
• aa) Kündigung nach Eintritt des Versicherungsfalles
• bb) Kündigung von Versicherungsverträgen nach § 11 VVG
• c. Leistungspflicht des Versicherers im Versicherungsfall
• III. „Non-affirmative“ Risiken in traditionellen gewerblichen Versicherungen
• 1. Technische Versicherungen
• a. Allgefahrenversicherungen
• aa) Elektronikversicherung
• bb) Maschinenversicherung
• b. Cyberrisiko als Ursache für einen Sachschaden
• 2. Feuerversicherung
• a. Benannte Gefahren
• b. Versicherte Schäden
• aa) Schäden an Betriebsstätten
• bb) Betriebsunterbrechungsschäden
• c. Obliegenheit zur Anzeige von Gefahrerhöhungen, § 23 Abs. 3 VVG
• 3. D&O-Versicherung zur Absicherung der Unternehmensleitung
• a. Versicherungskonzept der D&O-Versicherung
• b. Cybersicherheit als Teil der unternehmerischen Leitungsverantwortung
• aa) Vornahme von Maßnahmen zur Gewährleistung der IT-Sicherheit
• (1) Die Business Judgment Rule
• (2) Die Verantwortlichkeit der Geschäftsleitung
• bb) Absicherung des Risikos durch eine Versicherungslösung
• c. Versicherte Vermögensschäden
• d. Drohende Zweckentfremdung der D&O-Versicherung?
• 4. Vertrauensschadenversicherung
• a. Versicherungskonzept der Vertrauensschadenversicherung
• b. Versicherungsschutz für vorsätzliche unerlaubte Handlungen
• c. Ersatz von Vermögensschäden
• IV. Bewertung der Problematik
• 1. Erkenntnisse der BaFin
• 2. Lösungsansatz
• a. Gezielte Absicherung von Cyberrisiken durch traditionelle Produkte
• b. Risikoausschluss für Cyberrisiken
• C. Zusammenfassung
• Kapitel 4: Verhältnis zwischen einzelnen Versicherungen
• A. Mehrfachversicherung, § 78 VVG
• I. Rechtsfolgen im Außenverhältnis
• II. Rechtsfolgen im Innenverhältnis
• B. Subsidiaritäts- und Vorrangigkeitsklauseln
• I. Subsidiaritätsklauseln
• II. Vorrangigkeitsklausel, A1-12 AVB Cyber
• 1. Gründe für die vorrangige Leistungspflicht des Cyberversicherers
• 2. Regelungsgehalt der Vorrangigkeitsklausel
• a. Rechtsfolgen im Außenverhältnis
• aa) Abbedingung der Wahlmöglichkeit nach § 78 Abs. 1 VVG
• bb) Stellungnahme
• b. Rechtsfolgen im Innenverhältnis
• aa) Abbedingung des Gesamtschuldnerausgleichs nach § 78 Abs. 2 S. 1 VVG
• bb) Meinungsstand
• cc) Kritische Analyse
• dd) Stellungnahme
• ee) Zwischenergebnis
• C. Zusammenfassung
• Schlussteil
• A. Risikominimierung
• B. Risikotransfer
• C. Resümee
• Literaturverzeichnis