TOP
Möchten Sie künftige Ausgaben sofort nach Erscheinen erhalten? Abonnieren Sie hier unseren kostenlosen elektronischen Newsletter.
Am 20.–21.1.2021 findet die Haftpflicht Tagung zum ersten Mal digital statt. Nutzen Sie die Gelegenheit und profitieren Sie nur am 6. und 7.12. von der Nikolaus-Aktion und melden Sie sich zum vergünstigten Preis von EUR 250 an. Um den Rabatt einzulösen, geben Sie den Zugangscode 37D1883Nikolaus rechts oben auf der Anmeldeseite ein.
Neben allgemein steigenden Fallzahlen – rund 117,4 Mio. Schadprogrammvarianten im Berichtszeitraum – stellt der der neue Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland 2020 fest, dass die einzelnen Angriffe mit Verschlüsselungstrojanern und einer anschließenden Lösegelderpressung (sogenannte Ransomware-Attacken) immer professioneller werden. Gezielt werden inzwischen Unternehmen aus dem Mittelstand angegriffen, die meist nicht über so gute IT-Systeme und Abwehrmechanismen verfügen wie Großunternehmen, dafür aber finanzstark sind. Das schlägt sich auch in entsprechenden Versicherungsfällen nieder, wobei die Versicherungsbedingungen von Cyberversicherungen für kleine und mittlere Unternehmen oft ähnlich weit sind wie für Großunternehmen.
Für Versicherer hat dies eine steigende Zahl von Cyberschäden mit Betriebsunterbrechungen zur Folge. Bereits die Wiederherstellungskosten, Mehrkosten (soweit versichert) und Schadenminderungskosten (vgl. §§ 82, 83 VVG) sind in den allermeisten Fällen hoch. Hinzu kommen die eigentlichen Betriebsunterbrechungsschäden.
Obwohl Letztere keine Erfindung von Cyberversicherungen sind und hierzu auf Rechtsprechung und Literatur zu insbesondere Sach-Betriebsunterbrechungsversicherungen und technischen Versicherungen zurückgegriffen werden kann, sind hier immer wieder Unsicherheiten und falsche Berechnungen von Betriebsunterbrechungsschäden anzutreffen. Ersetzt werden z. B. keine Pauschalen. Auch die Übertragung von Umsätzen des Vorjahres auf den Unterbrechungszeitraum im laufenden Jahr ist der falsche Ansatz. Insbesondere aber sind fortlaufende Kosten und der Betriebsgewinn nicht als solche versichert, sondern nur ein entsprechender Ertragsausfall.1 Die meisten Cyberversicherungen bringen das mit Klauseln, die Ziff. A4-1.1.2. AVB Cyber GDV 2017 entsprechen oder stark ähneln, auch klar zum Ausdruck. Ersetzt werden nur „der Betriebsgewinn und die fortlaufenden Kosten“, die infolge des versicherten Ereignisses „nicht erwirtschaftet werden können“. Betriebsunterbrechungsversicherungen sind Schadenversicherungen i. S. der §§ 74 ff. VVG,2 wobei die Darlegungs- und Beweislast für das Vorliegen eines Schadens grundsätzlich beim Versicherungsnehmer liegt, der auch über die entsprechenden Informationen verfügt.3
Auch bei der Ermittlung von Betriebsunterbrechungsschäden spielt aktuell übrigens immer wieder die Corona-Pandemie eine Rolle: Wären Erträge ohne das versicherte Ereignis aufgrund der gesamtwirtschaftlichen Entwicklung voraussichtlich nicht erwirtschaftet worden, liegt insoweit auch kein Ertragsausfallschaden vor.
Neben dem Lagebericht des BSI ist auch der Bericht des Financial Stability Board (FSB)4 mit Empfehlungen für den Umgang mit Cybervorfällen und zur IT-Sicherheit lesenswert. Dieser bezieht sich auf die Situation bei Finanzinstituten, bei denen es sich auch um sogenannte KRITIS-Unternehmen handeln kann.5 Auch auf solche werden immer wieder Cyberangriffe verübt. Ausdrücklich wird auf die Gefahren durch die gestiegene Zahl von Remote-Zugängen für Mitarbeiter im Homeoffice zu den Computersystemen von Banken hingewiesen.
Auch Krankenhäuser sind in der Corona-Krise immer wieder Ziel von Angriffen geworden, zuletzt und mit teilweise immer noch nicht behobenen Folgen die Universitätsklinik Düsseldorf im September 2020.
Die Europäische Versicherungsaufsicht (EIOPA) hat in einer Mitteilung angekündigt, dass sie die Praxis des Cyber-Underwriting in der Europäischen Union in Zusammenarbeit mit den nationalen Aufsichtsbehörden überprüfen wolle. Überprüft werden soll u. a. die Einschätzung von Risiken und die Risikotragfähigkeit bei Kumulereignissen. Zu solchen kann es z. B. kommen, wenn aufgrund ein und desselben Ereignisses Cloud-Dienste ausfallen, die von vielen Versicherungsnehmern genutzt werden. Meist schließen nämlich die entsprechenden Definitionen für das Computersystem einer Versicherungsnehmerin von diese genutzten Cloud-Dienste ausdrücklich mit ein. Daneben will die EIOPA aber auch prüfen, ob Cyberversicherungsbedingungen bzw. die in ihnen verwendeten Begrifflichkeiten für alle Marktteilnehmer klar und verständlich genug formuliert sind.
Das LG Bonn hat in einer Entscheidung vom 11. November 2020 das durch den Bundesdatenschutzbeauftragten gegen die 1&1 Telecom GmbH verhängte Bußgeld von EUR 9,55 Mio. auf EUR 900.000 reduziert.
Gegenstand des Ende 2019 gegen 1&1 verhängten Bußgelds war ein aus Sicht des Bundesdatenschutzbeauftragten unzureichendes Authentifizierungsverfahren in der Telefonhotline des Unternehmens. Abgefragt wurden lediglich Namen und Geburtsdatum. Dadurch gelang es einer ehemaligen Lebensgefährtin eines Kunden, über die Telefonhotline aktuelle Adressdaten ihres ehemaligen Lebensgefährten in Erfahrung zu bringen und diesem telefonisch nachzustellen. Der Bundesdatenschutzbeauftragte nahm einen grob fahrlässigen Verstoß von 1&1 und eine Gefährdung auch anderer Kunden an. Gegen die entsprechende Festsetzung hat sich 1&1 vor dem LG Bonn zur Wehr gesetzt.
Bei dem Fall handelt es sich um einen der ersten bekannt gewordenen Fälle, in dem der im Herbst 2019 veröffentlichte Bußgeldkatalog der Datenschutzkonferenz (DSK) für die Zumessung von Bußgeldern nach der DSGVO angewandt wurde. Der Katalog orientiert sich am Umsatz des verantwortlichen Unternehmens. Abhängig von der Schwere, Dauer, den Auswirkungen des Verstoßes und der Zahl der betroffenen Personen wird dann ein Umsatz-Tagessatz mit einem Faktor multipliziert, der das 1- bis 14,4-Fache des Tagessatzes betragen kann. Pauschale Auf- und Abschläge zwischen 25 %und 50 % sind abhängig vom Verschuldensgrad möglich. So können bereits als geringfügig eingestufte Verstöße hohe Bußgelder zur Folge haben.6
Die Entscheidung des LG Bonn, die noch nicht veröffentlich ist, wird man genau lesen müssen. Denn sie wirft zwei grundsätzliche Fragen auf: Zum einen, ob der Bußgeldkatalog der DSK zur Höhe nach angemessenen Bußgeldern führt. Die deutliche Reduzierung des durch den Bundesdatenschutzbeauftragten verhängten Bußgelds weckt Zweifel daran, auch wenn das LG Bonn den Verstoß von 1&1 offenbar nicht als grobe Fahrlässigkeit eingeordnet, also als weniger schwer eingestuft hat. Zum anderen wird man aber auch genau lesen müssen, wie das LG Bonn mit § 41 BDSG umgeht. Im Verfahren stellte sich nämlich auch die spannende Frage, ob es (wie nach §§ 30, 130 OWiG der Fall) für die Verhängung eines DSGVO-Bußgelds erforderlich ist, dass eine Zurechnung über einen Unternehmensleiter erfolgt. Dies verneinte das LG Bonn mit Hinweis auf § 41 BDSG, der nur eine „sinngemäße“ Anwendung des OWiG auf datenschutzrechtliche Verstöße vorsieht.
Alle hier enthaltenen Informationen wurden mit großer Sorgfalt recherchiert und nach bestem Wissen und Gewissen zusammengestellt. Dennoch wird für die Richtigkeit, Vollständigkeit und Aktualität keine Gewähr übernommen. Insbesondere stellen diese Information keine Rechtsberatung dar und können eine solche auch nicht ersetzen.
