Es gab nie einen Standard bei den Bedingungswerken der Cyberversicherung und es wird auch auf absehbare Zeit keinen geben. Daran hat auch die Einführung der GDV Musterbedingungen für die Cyberversicherung 2017 nichts geändert. Neue und „kleinere“ Marktteilnehmer auf Versichererseite nutzen zwar mitunter die GDV-Bedingungen. Die Platzhirsche, die sich in den ersten Jahren im Cybermarkt bereits etabliert haben und diesen dominieren, nutzen weiter ihre eigenen Vertragswerke – entsprechend ist die Vielfalt.

Diese fängt schon bei den verschiedenen, von den Versicherern benutzen Definitionen des Versicherungsfalls an: Claims-Made, Verstoß, Manifestation oder Schadensereignis.
Auch der Deckungsumfang hinsichtlich der Frage, welche Ereignisse bzw. Angriffsszenarien versichert sein sollen, variiert von Versicherer zu Versicherer. Dies hängt vor allem damit zusammen, dass die Cyberversicherer unterschiedliche Terminologien benutzen. Was ist ein Cyberangriff? An welchen, leider oft nicht weiter definierten Begrifflichkeiten macht man dies fest?

Insofern finden sich u.a. folgende abstrakten Terminologien: Netzwerksicherheitsverletzung, Informationssicherheitsverletzung, Eingriff ins Computersystem, unberechtigte Eindringen in das Computer System, etc. Wenn eine Definition nicht im Versicherungsvertrag erfolgt, stellt sich natürlich die Frage, was darunter zu verstehen ist. Hierbei handelt es sich nicht um einheitliche Fachbegriffe. Auch lässt sich kaum ein einheitlicher allgemeiner Sprachgebrauch feststellen. Mangels Rechtsprechung stellt sich die Folgefrage, wie man diese Begrifflichkeiten zu verstehen, juristisch ausgedrückt, auszulegen hat? Die Diskussionen mit Versicherern haben gezeigt, dass auch die Versicherer mitunter denselben Begriff unterschiedlich auslegen.

Ein gutes Beispiel ist die Versicherung des Betriebsunterbrechungsschadens in der Cyber-Versicherung. Es besteht Versicherungsschutz für einen unmittelbar durch eine Betriebsunterbrechung entstandenen Ertragsausfallschaden innerhalb der Haftzeit. Die Haftzeit legt den Zeitraum fest, für welchen der Versicherer Entschädigung für den Ertragsausfallschaden leistet. Der Versicherer zahlt längstens jedoch bis zu dem Zeitpunkt, von dem an ein Ertragsausfallschaden nicht mehr entsteht. Offen bleibt, ob dabei auf die technische oder auf die kaufmännische Betriebsbereitschaft abzustellen ist.

Die kaufmännische Betriebsbereitschaft definiert sich als der Zeitpunkt, an dem kein Ertragsausfall mehr vorhanden ist, Gewinn und fixe, fortlaufende Kosten in Gänze durch den Versicherungsnehmer selbst erwirtschaftet werden. Die technische Betriebsbereitschaft wiederum beschreibt den Zeitpunkt, an dem der Schaden beseitigt und die technischen Anlagen und Betriebseinrichtung wiederbeschafft sind. Insoweit gibt es zwei Lager bei den Cyberversicherungen. Erschwerend kommt hinzu, dass im Schadenfall und der Schadenregulierung die Sachverständigen für die Berechnung eines Betriebsunterbrechungsschadens oft den Schaden losgelöst vom jeweiligen Versicherungsvertrag prüfen – frei nach dem Motto: Das haben wir in der BU für die Sachversicherung immer schon so gemacht! Der Betriebsunterbrechungsschaden in der Cyberversicherung unterscheidet sich aber in einigen Punkten von der durch einen Sachschaden verursachten Betriebsunterbrechung (z.B. nach einem Brand). Cyber-Betriebsunterbrechungen betreffen oftmals den gesamten Betrieb und nicht nur einen Unternehmensteil. Die technische Unterbrechung nach einem Cyberangriff ist regelmäßig kürzer als die Unterbrechung wegen eines Sachschadens. Gleichzeitig ist das Risiko eines Reputationsschaden höher, wenn Daten von Kunden oder Geschäftspartnern abhandengekommen sind.

Die Liste der begrifflichen Ungereimtheiten in der Cyber-Versicherung lässt sich beliebig fortführen. Wenn schon kein klares und transparentes Wording in der Cyberversicherung möglich ist, sollte mit dem Versicherer ein gemeinsames Deckungsverständnis erzielt werden. Hier ist vor allem der Versicherungsmakler gefragt. Entweder wird ein Deckungsverständnis im Vorfeld schriftlich festgehalten oder aber man nähert sich durch Regelbeispiele und Schadenszenarien einer Transparenz an. Natürlich könnte man sich auf den Standpunkt stellen und der Meinung sein, dass letztlich bei überraschenden und unangemessenen Vertragsklauseln der Versicherer als Verwender von Allgemeinen Versicherungsbedingungen das Risiko der Wirksamkeit trägt. Bevor man einen mitunter langwierigen Deckungsprozess in Kauf nimmt, sollte man im SInne einer schnellen Schadenregulierung und im Sinne der Versicherungsnehmer bereits vor einem Schadenfall für Klarheit sorgen.

Auch der Aufbau der Versicherungswerke variiert. Einige Anbieter schränken bereits bei der Beschreibung des Versicherungsgegenstandes diesen direkt wieder ein (versteckte Ausschlüsse?). Andere wieder nutzen einen Definitionsteil und grenzen den Deckungsumfang ab, Vorzugswürdig wäre gerade im Hinblick auf die Beweislast eine Einschränkung des Deckungsschutzes im Bereich der Ausschlüsse.
Deckt der Versicherer beispielsweise nur Schäden durch „zielgerichtete Angriffe Dritter“, so ist offen, ob der Versicherungsschutz auch Schäden erfasst, die durch Schadsoftware („malware“) wie etwa Viren entstehen, die nicht nur zielgerichtet gegen das versicherte Unternehmen eingesetzt wird, sondern gerade eine unbestimmte Vielzahl von Systemen verseuchen soll oder die auf (fahrlässigem) Fehlverhalten von eigenen Mitarbeitern beruhen wobei auch fraglich sein kann, ob ein Mitarbeiter „Dritter“ im Sinn der Versicherungsbedingungen ist.

Cyberpolicen enthalten oft auch Ausschlüsse für Programmierfehler, so dass kein Versicherungsschutz besteht, wenn etwa Entwicklungsfehler eines Programms bei der Anwendung zu Tage treten und einen Systemausfall verursachen. Ebenfalls ausgeschlossen sind regelmäßig Schäden, die darauf beruhen, dass Programme nicht auf dem aktuellen Stand der Technik sind. Wie schon in der Produkthaftpflichtversicherung ist auch hier nicht geklärt, was unter dem Begriff „Stand der Technik“ zu verstehen ist – gerade in Bezug auf die sich ständig ändernden IT-Sicherheitsanforderungen. In der Praxis – und möglicherweise auch als vertragliche Obliegenheit – erfordert dieser Ausschluss daher, dass der Versicherungsnehmer aktuelle Sicherheitssoftware verwendet (Firewall, Antivirensoftware) und erkannte Sicherheitslücken in verwendeten Programmen über „patches“ schließt.

Die Schadenregulierung in der Cyber-Versicherung betritt aber nicht nur bei den verwendeten Begrifflichkeiten und technischen Definitionen Neuland. Auch muss vielfach noch geklärt werden, wie die Regelungen des VVG auf diese Multiline-Versicherung, bei der es sich sowohl um eine Haftpflicht-, Eigenschaden- und Kostenversicherung handelt, übertragen werden können. Bisheriges Verständnis von vorvertraglichen Anzeigepflichten und Gefahrerhöhungen, Obliegenheiten nach Eintritt des Versicherungsfalls und auch korrespondierende Auskunftspflichten müssen gegebenenfalls angepasst werden. Häufig müssen vor einem Vertragsabschluss technische Fragebögen ausgefüllt werden. Gerne werden auch Risikodialoge zwischen Underwirting beim Versicherer und Kundenseite durchgeführt, um das technische Risiko besser zu verstehen. Wie lassen sich aber derartige Risikodialoge rechtssicher in das Geflecht der vorvertraglichen Anzeigepflichten einbinden?

Typischerweise enthalten einige Deckungsbausteine in Cyberversicherungen Abstimmungsvorbehalte, weswegen auch hier oftmals Schwierigkeiten in der Schadenregulierung entstehen. Das betroffene Unternehmen muss sich nach den Bedingungen vorher mit dem Versicherer über die von ihm beabsichtigten Maßnahmen abstimmen, damit die Kosten für diese Maßnahmen später übernommen werden können. Dies gilt üblicherweise im Hinblick auf die Einschaltung von IT-Forensikern. Leider wird hier der Versicherer oft vor vollendete Tatsachen gesetzt, weil der Versicherungsnehmer im Rahmen einer Schadenminderung gerne auf seine eigenen (externen) Ressourcen zurückgreift. Auch hier gibt es viele Herausforderungen für einen Rechtsanwalt bei der Schadenregulierung.