Obliegenheiten in der Cyber-Versicherung: Worauf zu achten ist

Foto von Evelyn Nawrath
zuletzt aktualisiert am

Das erwartet Sie hier

Was Obliegenheiten in der Cyber-Versicherung sind, warum Sie diese einhalten sollten und worauf vor Vertragsabschluss zu achten ist.

Inhalt dieser Seite
  1. Was sind Obliegenheiten?
  2. Obliegenheiten in der Cyber Versicherung
  3. Arten von Obliegenheiten
  4. Wann sind Obliegenheiten einzuhalten?
  5. Konsequenzen bei Obliegenheits­­verletzung
  6. Vorteilhafte Obliegenheiten
  7. Fazit

Das Wichtigste in Kürze

  • Obliegenheiten sollten den Versicherten von grob fahrlässigem Handeln abhalten.
  • Es müssen technische und organisatorische Obliegenheiten in der Cyber-Versicherung erfüllt sein.
  • Die ständige Anpassung an den “Stand der Technik” erschwert die Einhaltung technischer Obliegenheiten.
  • Der Versicherer kann die Einhaltung von Obliegenheiten vor, während und/oder nach Eintritt des Versicherungsfalls verlangen.
  • Die Art der Obliegenheits­verletzung bestimmt die Konsequenzen.
  • Vor Vertragsabschluss sollten Sie auf unvorteilhafte Obliegenheiten achten.

Was sind Obliegenheiten und wer legt sie fest?

Icon Achtung

Der Begriff Obliegenheit stammt aus dem Versicherungsrecht und bedeutet umgangssprachlich ausgedrückt “Verhaltensregel” oder “Verpflichtung”. Obliegenheiten gelten alleinig für den Versicherungsnehmer, der sich über diese verpflichtet, bestimmte Regeln gegenüber dem Versicherer einzuhalten. Das Befolgen solcher Regeln ist vom Versicherer jedoch weder erzwingbar noch einklagbar. Vielmehr liegt es im persönlichen Interesse des Versicherungsnehmers, sich an die vereinbarten Obliegenheiten zu halten.

Obliegenheiten als Teil des Versicherungsvertrages

Obliegenheiten werden vertraglich fest­gesetzt und sind somit Bestandteil eines jeden Versicherungsvertrages. Welche Obliegenheiten explizit gelten, kann schnell und einfach in den “Allgemeinen Versicherungsbedingungen” (AVB) der jeweiligen Versicherungspolice nachgelesen werden. Neben dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) sind auch Makler und Versicherer befugt, Obliegenheiten festzulegen. Je nach Art der Versicherung und des jeweiligen Anbieters können Obliegenheiten somit variieren.

Welchen Zweck haben Obliegenheiten in der Cyber-Versicherung?

Wie bereits angemerkt, sind Obliegenheiten in nahezu allen Versicherungsprodukten festgeschrieben. Im Gegensatz zu Obliegenheiten in gängigen Versicherungen wie beispielsweise für Gebäude, sind die Obliegenheiten in der Cyber-Versicherung noch recht jung. Dies erklärt sich jedoch schnell, wenn man bedenkt, dass das Thema Cyber-Versicherung erst seit ein paar Jahren besteht. Dennoch sind Obliegenheiten in der Cyber-Versicherung von ebenso großer praktischer Relevanz wie in anderen Versicherungen.

Obliegenheiten werden dem Versicherten auferlegt

Obliegenheiten in der Cyber-Versicherung zielen in erster Linie darauf ab, den Versicherungsnehmer von grob fahrlässigem Handeln abzuhalten, das einen Cyber-Schaden herbeiführen könnte. Dies geschieht nicht ganz uneigennützig, denn schließlich ist es auch im Sinne des Versicherers, Cyber-Schäden und somit den Eintritt eines Versicherungsfalls zu verhindern. Denn die Erstattung von Cyber-Schäden ist teuer und schlägt der Cyber-Versicherung nicht selten mit einer sechsstelligen Summe zu Buche. Mit der Vereinbarung von Obliegenheiten sichert die Cyber-Versicherung daher ihre Versicherungsleistung ab: Es hat also nur derjenige Anspruch auf volle Kostenerstattung, der auch alle Obliegenheiten einhält.

Welche Arten von Obliegenheiten in der Cyber-Versicherung gibt es?

Um den Leistungsanspruch im Schadensfall nicht zu gefährden, muss der Versicherungsnehmer sowohl technische als auch organisatorische Obliegenheiten erfüllen.

Technische Obliegenheiten

Die technischen Obliegenheiten verlangen vom Versicherungsnehmer sämtliche Maßnahmen zu treffen, die der IT-Sicherheit dienen. Folgende Mindestanforderungen müssen erfüllt sein:

  • Zugänge zu betrieblichen Daten mit komplexen Passwörtern schützen
  • Sicherheitslücken mittels Virenscanner, Firewalls und Updates schließen
  • Daten regelmäßig sichern
  • Datensicherungsmedien von gesicherten Systemen trennen

Weitere Maßnahmen für mehr Cyber-Sicherheit im Homeoffice


“Stand der Technik” erschwert die Definierung

Leider genügt es nicht, obige IT-Sicherheitsvorkehrungen nur einmalig zu treffen. Stattdessen stehen Versicherungsnehmer in der Pflicht, ihre IT-Sicherheit ständig dem aktuellen Stand der technischen Entwicklung anzupassen. Aufgrund des stetigen technischen Fortschritts lässt sich der aktuelle “Stand der Technik” jedoch nur schwer definieren. Dies macht es Versicherungsnehmern fast unmöglich, die technischen Obliegenheiten in der Cyber-Versicherung korrekt zu erfüllen. Abhilfe kann hier das Bundesamt für IT-Sicherheit (BSI) schaffen, da dieses die “Mindeststandards für die Sicherheit in der IT” erarbeitet. Vorteilhaft ist jedoch, dass die Schwierigkeiten bei der Ermittlung des “Stands der Technik” zu Lasten des Cyber-Versicherers gehen.

Icon Website Sicherheit

Verzicht auf technische Obliegenheiten führt zu Kritik

Aktuell zeichnet sich der Trend ab, dass Versicherer keine technischen Obliegenheiten mehr in ihren Versicherungsverträgen formulieren. Was sicherlich unter anderem auf die schwierige Bestimmung des “Stands der Technik” zurückzuführen ist. Dennoch ist dieses Vorgehen kritisch zu beäugen, da ein Verzicht auf technische Obliegenheiten beim Versicherungsnehmer den Eindruck hinterlässt als müsste er keine IT-Schutz­maßnahmen treffen. Dies ist jedoch meist nicht der Fall!

Organisatorische Obliegenheiten

Bei den organisatorischen Obliegenheiten handelt es sich um Voraussetzungen, die der Versicherungsnehmer schaffen muss. Diese sind einfacher umzusetzen und wesentlich vom Verhalten der arbeitenden Personen abhängig.

  • Festlegung von Sicherheitszielen und einer Sicherheitspolitik (schriftliche Security Policy)
  • Vorbereitungen für den Ernstfall treffen mittels Notfallplan/Wiederaufbauplan
  • Patch & Back-Up-Management
  • Informationssicherheits-Managementsystem (ISMS)

Wann sind Obliegenheiten in der Cyber-Versicherung einzuhalten?

Da jeder Versicherer über das Recht verfügt, Obliegenheiten individuell zu gestalten, lässt sich nicht von vornherein sagen, wann was zu beachten ist. Während die Einen auf die Einhaltung von Obliegenheiten bereits “vor Vertragsabschluss” bestehen, fordern Andere die Erfüllung von Obliegenheiten erst “nach Eintritt eines Versicherungsfalls” oder schlicht “während der Vertragslaufzeit”. Wenn Sie sich diesbezüglich unsicher sind, sprechen Sie mit Ihrem Versicherer. Folglich gibt es drei Zeitpunkte, die eine strikte Obliegenheitsbefolgung erfordern können:

Vor Vertragsabschluss

lesen

Um sicherzugehen, dass der Versicherungsnehmer bereits vor Vertragsabschluss alle technischen und organisatorischen Schutz­maßnahmen befolgt, wird dieser einer vorvertraglichen Risikoprüfung durch den Versicherer unterzogen. Die Risikoerfassung erfolgt schriftlich via Fragebogen und ermöglicht dem Versicherer, die Gefahrumstände einzuschätzen und eine risikoadäquate Prämie zu kalkulieren.

Während der Vertragslaufzeit

lesen

Der Versicherungs­schutz durch die Cyber-Versicherung verlangt einerseits die Einhaltung von Obliegenheiten. Andererseits steht der Versicherte während der gesamten Vertragslaufzeit in der Pflicht, den Versicherer über Änderungen, die beispielsweise die Gefahrumstände betreffen, aufzuklären.

Nach Eintritt des Versicherungsfalls

lesen

Kommt es zu einem Schadensfall, muss dieser dem Versicherer sofort angezeigt werden. Viele Versicherer verlangen vom Versicherungsnehmer, eine Schadensdokumentation durchzuführen sowie am Schadensort nichts zu verändern. Manche Versicherer geben gar ganze Checklisten vor, die nach Eintritt eines Versicherungsfalls abzuarbeiten sind. Häufig findet sich darauf die Aufgabe, interne sowie externe Dienstleister zu kontaktieren als auch die eigene IT-Abteilung über das Geschehen zu informieren.

Muss auch der Versicherer Obliegenheiten in der Cyber-Versicherung erfüllen?

Gemäß Versicherungsvertrags­gesetz (VVG) haben auch Versicherer bestimmte Pflichten zu erfüllen. Diese sind jedoch nicht als Obliegenheiten zu verstehen, sondern stellen vielmehr Rechts­pflichten dar. Hauptpflicht des Cyber-Versicherers ist zunächst, die Leistung des Versicherungsnehmers abzusichern und im Schadensfall in vereinbarter Höhe zu erbringen. Im Rahmen der Vertragsanbahnung muss der Versicherer jedoch zuallererst seiner Beratungspflicht nachkommen und den Kunden auf Obliegenheiten im Vertrag aufmerksam machen. Natürlich stehen Versicherer nicht in der Pflicht, den Kunden über jede einzelne Klausel aufzuklären. Dennoch gebietet es die Fairness, den Kunden darauf hinzuweisen, dass bestimmte Bedingungen einzuhalten sind, damit der Versicherungs­schutz nicht leidet.

Konsequenzen bei Verletzung von Obliegenheiten

Kommt der Versicherungsnehmer seinen Obliegenheiten in der Cyber-Versicherung nicht nach, liegt eine Obliegenheits­verletzung vor. Je nach Art beziehungsweise Schwere des Verstoßes, können sich daraus unterschiedliche Folgen für den Versicherten ergeben. Insgesamt gibt es drei Dimensionen von Obliegenheits­verletzungen:

Schuldhafte Obliegenheits­verletzung

lesen

Eine schuldhafte Obliegenheits­verletzung liegt vor, wenn der Versicherte eine Gefahrerhöhung wie beispielsweise die “Änderung von Sicherheitsstandards” dem Versicherer nicht meldet. In diesem Fall kann die Cyber-Versicherung den Vertrag fristlos kündigen und muss im Schadensfall nicht für Cyber-Schäden aufkommen.

Vorsätzliche Obliegenheits­verletzung

lesen

Täuscht der Versicherungsnehmer absichtlich über Tatsachen hinweg, um den Beitrag in der Cyber-Versicherung möglichst gering zu halten, handelt er arglistig. Falschinformationen im Hinblick auf “Risikokategorien” oder “jährliche Umsatzgrößen”, straft der Versicherer mit einer Anfechtung des Versicherungsvertrags ab. Zusätzlich ist es möglich, dass der Versicherer vom Versicherungsnehmer verlangt, bereits erhaltene Leistungen zurückzuzahlen.

Fahrlässige Obliegenheits­verletzung

lesen

Eine fahrlässige Obliegenheits­verletzung in der Cyber-Versicherung liegt vor, wenn der Versicherte die vom Versicherer geforderte Sorgfalt außer Acht lässt. Ein Beispiel dafür wäre das Arbeiten am PC ohne Antivirenprogramm oder das Öffnen schadhafter Emails. Im Falle eines solchen Vergehens, muss die Versicherung für einen evtl. Schaden nicht aufkommen.

Wann sind Obliegenheiten in einem Versicherungsvertrag vorteilhaft?

Damit eine Cyber-Versicherung den gewünschten Nutzen hat, sollte der Versicherungsvertrag vor der Unterzeichnung überprüft werden. Häufig finden sich in diesem unvorteilhafte Klauseln, die sich im Schadensfall negativ auf den eigenen Anspruch auswirken. Achten Sie daher auf:

1. Generalklauseln

Generalklauselartig formulierte Obliegenheiten beispielsweise wie “es müssen alle ­gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherheitsvorschriften eingehalten werden” sind immer negativ. Denn diese berechtigen den Cyber-Versicherer dazu, sämtliches Fehlverhalten des Versicherungsnehmers als Obliegenheits­verletzung zu bewerten. Die Folge wäre eine un­gerechte Kürzung des Versicherungsanspruches, was natürlich nicht zu akzeptieren ist. Bestehen Sie in diesem Fall auf eine Präzisierung der zu allgemein gehaltenen Passagen, um zu wissen, was sie konkret tun oder unterlassen müssen.

2. Handlungsvorgaben

Viele Cyber-Versicherungen definieren in ihren Verträgen zudem spezielle Handlungsvorgaben. Dabei kann es sich zum Beispiel um die Durchführung eines “Sicherungsprozesses zu einem vorgegebenen Zeitpunkt” handeln. Der Versicherungsnehmer muss eine solche Vorgabe jedoch nicht akzeptieren, wenn er dadurch Nachteile hat. Stattdessen kann er darauf bestehen, dass sich die Handlungsvorgabe nach ihm richtet. Auf diese Weise erhält er die Möglichkeit, dass er zum Beispiel das zeitliche Intervall für einen Sicherungsprozess selbst wählt.

3. Lückenhaftigkeit

Wie bereits angemerkt, tendieren Versicherer immer häufiger dazu, auf die Formulierung von Obliegenheiten in Versicherungsverträgen zu verzichten. Dies bedeutet jedoch nicht unbedingt, dass keine existieren. Um sicherzugehen, dass Sie keine technischen beziehungsweise organisatorischen Obliegenheiten befolgen müssen, sollten Sie sich vorab bei Ihrem Versicherer erkundigen.

Fazit

Wie andere Versicherer, definieren auch Cyber-Versicherer Obliegenheiten in ihren Versicherungsverträgen. Dies tun sie jedoch nicht ohne Grund, sondern verfolgen hiermit den Zweck der Risikominimierung. Um den Leistungsanspruch nicht zu riskieren, müssen Versicherungsnehmer bestimmte Obliegenheiten zu bestimmten Zeitpunkten erfüllen. Vorab empfiehlt sich jedoch eine Prüfung des Versicherungsvertrages, um sicherzustellen, dass alle Obliegenheiten in der Cyber-Versicherung den Versicherungsnehmer nicht benachteiligen.

Unsere Berater helfen Ihnen gerne dabei, eine gute Cyber-Versicherung für Sie selbst oder Ihr Unternehmen zu finden. Mithilfe unseres kostenfreien Tarifrechners können Sie bereits vorab schnell und bequem eine Cyber-Versicherung berechnen und so einen ersten Anbietervergleich durchführen. Sollten Sie dann noch Fragen haben oder weitere Informationen benötigen, stehen Ihnen unsere Fachexperten gerne zur Verfügung.

Jetzt Cyber-Versicherung direkt online vergleichen

Ihr kostenfreies Angebot wird passgenau und individuell von unseren mehrfach ausgezeichneten Experten erstellt.

Haben Sie alles gefunden?

Schnelle Frage, Kritik oder Feedback?

Wir helfen Ihnen gerne. Professionelle Beratung von echten Menschen. Rufen Sie uns zum Ortstarif an oder schreiben Sie uns per E–Mail.

Foto von Katharina Tennius
Katharina Tennius
Ihre Ansprechpartnerin