Obliegenheiten in der Cyberversicherung

Die Erfüllung der geltenden Obliegenheiten durch den Versicherungsnehmer ist essenziell, um den Versicherungsschutz zu erhalten und im Schadensfall in vollem Umfang von den vereinbarten Leistungen zu profitieren. Im Rahmen der Beratung müssen Makler ihre Kunden daher auch über die vertraglichen Pflichten informieren, die vor und nach dem Abschluss einer Cyberversicherung zu beachten sind.

Dieser Artikel bietet einen Überblick über typische Obliegenheiten in der Cyberversicherung, zeigt die Konsequenzen bei Nichteinhaltung auf und bietet Tipps für den Umgang mit Obliegenheiten in der Kundenberatung.

Typische Obliegenheiten in der Cyberversicherung

Das Versicherungsvertragsgesetz (VVG) unterscheidet grundsätzlich zwischen vorvertraglichen Obliegenheiten und Obliegenheiten, die während der Vertragslaufzeit gelten. Hier ist eine Übersicht der gängigen Pflichten in der Cyberversicherung.

Wichtige Obliegenheiten vor Vertragsabschluss

Vor dem Abschluss einer Versicherung gilt die vorvertragliche Anzeigepflicht. Das bedeutet, dass der Versicherungsnehmer alle Fragen des Versicherers vollständig und wahrheitsgemäß beantworten muss. In der Cyberversicherung geht es hierbei um die spezifischen Risikofragen der Versicherer, die das Vorhandensein notwendiger IT-Mindeststandards überprüfen.

Gut zu wissen:

Die Anforderungen an die Cyber-Sicherheit eines Unternehmens, die die Voraussetzung für den Schutz der Cyberversicherung darstellen, können über drei verschiedene Wege definiert werden. Neben den vom Versicherer vor Vertragsabschluss gestellten Risikofragen müssen auch die Obliegenheiten beachtet werden, die sich aus den individuellen Versicherungsbedingungen oder aus gesetzlichen Regelungen ergeben.

Wichtige Obliegenheiten während der Vertragslaufzeit

Während der Vertragslaufzeit müssen Versicherungsnehmer in der Cyberversicherung zwei verschiedene Arten von Vertragsverpflichtungen einhalten. Zum einen müssen sie die vom Versicherer geforderten technischen und organisatorischen Präventionsmaßnahmen implementieren und pflegen. Zum anderen müssen sie sich an spezifische Meldepflichten im Schadensfall halten.

Zu den Präventionsmaßnahmen, die Versicherungsnehmer ergreifen müssen, gehören typischerweise:

Viele Anbieter von Cyberversicherungen fordern von Unternehmen, dass sie über IT-Sicherheitsmaßnahmen wie Firewalls, Antivirenprogramme, regelmäßige Updates und ein solides Patchmanagement verfügen. Je nach Branche kann zusätzlich die Einhaltung bestimmter Standards (z. B. ISO 27001) erforderlich sein.

Auch das Durchführen von regelmäßigen Backups ist ein häufiger Bestandteil der geforderten IT-Vorgaben der Versicherer. Je nach Versicherungsanbieter gelten konkrete Anforderungen hinsichtlich Backup-Frequenz und Speicherort (z. B. Cloud oder externe Datenträger).

Viele Versicherer setzen ein funktionierendes Rechte- und Rollenkonzept als IT-Sicherheitsmaßnahme voraus. Je nach Anbieter ist auch ein abgestuftes Rechtekonzept erforderlich, das administrative Zugänge auf die IT-Verantwortlichen beschränkt.

Eine regelmäßige Sensibilisierung der Mitarbeitenden für Cyber-Bedrohungen ist eine häufig gestellte Anforderung an die Cyber-Sicherheit im Unternehmen. Dazu gehört zum Beispiel die Durchführung von Schulungen zu IT-Sicherheit und Cyber-Risiken wie Phishing.

Hinzu kommen spezifische Obliegenheiten im Schadensfall. Dazu gehören:

Der Versicherungsnehmer ist dazu verpflichtet, die Versicherung im Falle eines Schadens unverzüglich in Kenntnis zu setzen. Bis wann ein Versicherungsfall spätestens zu melden ist, ist im Versicherungsvertrag festgelegt.

Die Mitwirkungspflicht bedeutet, dass der Versicherungsnehmer den Versicherer bei der Bearbeitung des Schadensfalls unterstützen muss. Darunter fällt zum Beispiel die Bereitstellung aller verfügbaren Informationen und Unterlagen, die für die Schadenregulierung notwendig sind.

Dazu gehört das Ergreifen von Maßnahmen, um den Schaden so gering wie möglich zu halten. Im Falle einer Cyberversicherung bedeutet das, IT-Forensiker oder andere Spezialisten hinzuzuziehen, um das Ausmaß und die Auswirkungen des Cyber-Vorfalls zu begrenzen.

Wird das versicherte Unternehmen Opfer einer Ransomware-Attacke, besteht ein Verbot, ohne die Zustimmung des Versicherers Lösegeld zu zahlen.

Im Falle eines Cyber-Angriffs oder eines anderen Cyber-Vorfalls sind Unternehmen zur lückenlosen Dokumentation des Vorfalls und zur Beweissicherung verpflichtet. Auf Nachfrage des Versicherers müssen diese Informationen vorgelegt werden.

Der Versicherungsnehmer ist dazu verpflichtet, eine Gefahrerhöhung zu verhindern. Sollte sie unvermeidlich sein, muss der Umstand direkt beim Versicherer gemeldet werden. Im Kontext einer Cyberversicherung kann eine solche Gefahrerhöhung zum Beispiel durch die Installation einer unsicheren oder ungeprüften Software entstehen.

Hinzu kommen allgemeine Obliegenheiten wie die rechtzeitige und vollständige Zahlung der Versicherungsprämie und das zeitnahe Aufzeigen von Änderungen des Jahresumsatzes oder sonstigen Änderungen, die sich auf die Eintrittswahrscheinlichkeit von Cyber-Vorfällen oder die mögliche Schadenshöhe auswirken könnten.

Konsequenzen bei Verletzung von Obliegenheiten

Eine Verletzung der vertraglichen Obliegenheiten während der Versicherungslaufzeit kann dazu führen, dass der Versicherer im Schadensfall die Leistungen kürzt oder der Versicherungsschutz komplett erlischt. Ob es zu einer Leistungskürzung oder gar zu einer Leistungsverweigerung des Versicherers kommt, hängt davon ab, welche Schuld der Versicherungsnehmer trägt.

Während eine fahrlässige Verletzung der Obliegenheiten in der Regel eine Leistungskürzung nach sich zieht, kann eine grob fahrlässige oder vorsätzliche Obliegenheitsverletzung dazu führen, dass der Versicherer leistungsfrei wird. Weitere mögliche Konsequenzen sind die sofortige Kündigung des Vertrages und die Rückforderung von bereits geleisteten Versicherungsleistungen. Eine arglistige Täuschung des Versicherers durch den Versicherungsnehmer kann darüber hinaus zu einer strafrechtlichen Verfolgung führen.

Bei einer vorsätzlichen oder grob fahrlässigen Verletzung der vorvertraglichen Anzeigepflicht hat der Versicherer darüber hinaus das Recht, vom Versicherungsvertrag zurückzutreten. Hier sind zwei Beispielszenarien, die in der Kundenberatung zur Illustration verwendet werden können.

Beispiel 1:

Ein IT-Administrator deaktiviert bewusst die Firewall, um sich für eine bestimmte Aufgabe das Arbeiten zu erleichtern, obwohl er weiß, dass er dadurch ein erhebliches Sicherheitsrisiko schafft. Cyber-Kriminelle nutzen die Sicherheitslücke aus, um sich Zugriff auf die Systeme des Unternehmens zu verschaffen und Kundendaten zu stehlen. In diesem Fall ist der Versicherer leistungsfrei, weil das Risiko vorsätzlich herbeigeführt und die geltenden Obliegenheiten verletzt wurden.

Beispiel 2:

Ein Unternehmen führt regelmäßige Sicherheits-Updates durch, allerdings nicht in gleichem Umfang für alle Systeme. Der Teil der Systeme, der nicht regelmäßig mit Updates bespielt wird, wird während einer Cyber-Attacke kompromittiert. Da das Unternehmen die unterschiedlichen Update-Frequenzen nicht in der Beantwortung der Risikofragen des Versicherers angegeben hat, kürzt der Versicherer die Schadenersatzzahlungen.

Obliegenheiten in der Kundenberatung: Tipps für Makler

Um ihre Kunden im Schadensfall vor Leistungskürzungen oder Leistungsverweigerung durch den Versicherer zu schützen, müssen Makler sicherstellen, die geltenden Obliegenheiten in der Kundenberatung eingehend zu erläutern. Hier sind ein paar hilfreiche Tipps und bewährte Praktiken, wie Makler hierbei am besten vorgehen.

Kunden sorgfältig über die Obliegenheiten informieren

Eine klare und transparente Kommunikation der Obliegenheiten ist essenziell, um den Versicherungsschutz im Ernstfall zu gewährleisten. Kunden müssen die Bedeutung und den Umfang ihrer vertraglichen Pflichten vollumfänglich verstehen. Dabei ist es wichtig, auf unnötige Fachbegriffe zu verzichten.

Im Rahmen der Beratung sollte den Kunden aufgezeigt werden, welche Obliegenheitsverletzungen besonders kritisch sind und zur Leistungsfreiheit des Versicherers führen können. Um Kunden an die Einhaltung der Vertragspflichten zu erinnern, können Checklisten als Handout bereitgestellt werden, die eine Übersicht der wichtigsten Obliegenheiten bieten.

Kunden bei der Erfüllung der Obliegenheiten unterstützen

Makler sollten ihre Kunden sowohl vor Vertragsabschluss als auch während der Vertragslaufzeit aktiv bei der Einhaltung der Obliegenheiten unterstützen. Dazu gehört zum Beispiel die Unterstützung der Kunden bei der Beantwortung der Risikofragen oder die Vermittlung einer IT-Sicherheitsberatung, um in Zusammenarbeit mit externen Experten die Sicherheitsstandards zu erreichen, die für den Abschluss einer Cyberversicherung vorausgesetzt werden.

Darüber hinaus sollten Makler Check-ins mit ihren Kunden vereinbaren, bei denen die Kunden zu einer regelmäßigen Überprüfung ihrer IT-Sicherheitsmaßnahmen ermutigt werden, und bei Bedarf Mitarbeiterschulungen empfehlen, um die Mitarbeitenden weiter für Cyber-Bedrohungen zu sensibilisieren.

Beratung und Empfehlungen dokumentieren

Aufgrund der schwerwiegenden Konsequenzen, die eine Verletzung der geltenden Versicherungspflichten nach sich ziehen kann, sollte sichergestellt werden, dass die Beratung der Kunden sorgfältig dokumentiert wird. Mit Beratungsprotokollen können Makler rückwirkend nachweisen, dass sie ihre Kunden umfassend über die Obliegenheiten informiert haben.

Auch die während der Beratung empfohlenen Maßnahmen zur Umsetzung der gestellten IT-Sicherheitsanforderungen und zur Erfüllung der Obliegenheiten sollten zwecks Dokumentation festgehalten werden.

Dieser Artikel dient ausschließlich Informationszwecken und ist nicht als Beratung zu verstehen. Die CyberDirekt GmbH lehnt jegliche Haftung für Handlungen ab, die Sie aufgrund der in diesem Artikel enthaltenen Inhalte vornehmen oder unterlassen.