Regelungen zu Drittschäden
Wenn im Zuge eines Cyberangriffes nicht nur Ihr Unternehmen geschädigt wird, sondern auch Dritte, fordern diese meist einen Schadenersatzanspruch gegenüber Ihnen. Eine Cyberversicherung bietet in diesem Fall für gewöhnlich eine klassische Deckung einer Haftpflichtversicherung. Dabei wird die Haftungsfrage geprüft und unberechtigte Ansprüche direkt abgewehrt.
Bei einem Vergleich von Cyberversicherungen werden diese im Hinblick auf Versicherungsleistungen für Dritte geprüft. Wichtig ist dabei auch, ob der Versicherungsschutz eine Abwehr von unberechtigten Forderungen beinhaltet. Ist der Schadensersatzanspruch berechtigt, kommt es darauf an, ob der Versicherer den Versicherten von diesen freistellt.
Erst wenn die Versicherung diese beiden Bedingungen erfüllt bietet sie einen umfassenden Versicherungsschutz.
Weiterhin wird die Versicherungsleistung daraufhin geprüft, ob Ansprüche aus vertraglicher Haftung versichert sind, die aufgrund einer Verletzung der Datenschutzvereinbarung entstanden sind. Auch der Umfagng des Cyber-Schutz wird ermittelt, falls durch eine Cyber-Attacke Schadensersatzanspruch durch Dritte gestellt wird. Werden diese Zahlungen an Dritte nicht vom Versicherer gedeckt, fällt die jeweilige Versicherung in der Bewertung negativer auf.
Optimal versichert sind Sie, wenn Ansprüche aufgrund Datenschutzverletzungen, Schadensersatzansprüche wegen vergeblichen Aufwendungen durch Nichterfüllung eines Vertrages und Mehraufwendungen durch Verzögerungen mitversichert sind.
Ein guter Versicherungsschutz beinhaltet die Verletzung von Persönlichkeitsrechten, die durch den Versicherten entstehen. Ist dieser Schutz allerdings durch Sublimits oder andere Beschränkungen eingegrenzt, schneidet die Versicherung im Vergleich schlechter ab. Nur die Versicherer, welche Ansprüche Dritter durch eine Persönlichkeitsrechtsverletzung ohne eine konkrete Netzwerksicherheitsverletzung mitversichern, bietet einen optimalen Schutz.
Eine Cyberversicherung sollte Ansprüche Dritter im Leistungsumfang beinhalten, die eine Verletzung von Patent-, Namens- / Marken- und Urheberrechten betrifft. Weiterhin sollten auch daraus folgende Verletzungen des Wettbewerbsrechts mitversichert sein. Sind diese Ansprüche allerdings nur im Schutz inbegriffen, wenn eine Netzwerksicherheitsverletzung, also ein Cyberangriff besteht, gilt die Versicherung nicht als umfassender Schutz und fällt in der Bewertung insgesamt schlechter aus.
Ein guter Versicherungsschutz versichert Entschädigungen mit Strafcharakter bzw. Strafschadenersatz mit. In Deutschland gibt es keine Regelung dafür, in den Vereinigten Staaten besteht diese und wird Punitive Damages genannt, in dem Vereinigten Königreich heißt die Regelung Exemplary Damages. Wird die Regelung im Versicherungsvertrag ausgeschlossen, ist die Versicherung als weniger umfassend zu bewerten.
Unter diesem Aspekt wird der Versicherungsvertrag daraufhin geprüft, ob er auch Ansprüche von Versicherten untereinander ohne Einschränkungen beinhaltet. Gibt es Einschränkungen, bestimmte Personen oder Unternehmen betreffend, ist der Schutz nicht als optimal einzustufen. Wichtig ist dabei, dass Ansprüche von mitversicherten natürlichen Personen gedeckt werden, falls diese von einer Datenschutzverletzung betroffen sind. Unter mitversicherten Unternehmen ist dies überflüssig, da diese Anspruch auf Deckung des Eigenschadens haben.
Mit Hilfe eines im Versicherungsvertrag integrierten Haftpflicht-Versicherungsschutz für Organmitglieder wie Geschäftsführer, Vorstände etc., besteht ein Schutz vor Außenansprüchen. Dieser sollte uneingeschränkt für Informationssicherheitsverletzungen durch Kontroll-, Überwachungs- und Auswahlverschulden bestehen.
Vermögensschäden sind weder Personen- noch Sachschäden, sondern materielle Schäden. Diese sollten unbedingt von der Cyber-Versicherung abgedeckt werden. Im Vertrag sollte außerdem festgehalten werden, dass Schäden an Daten und Programmen ebenfalls zu solchen materiellen Schäden zählen.
Auch immaterielle Schäden müssen im Versicherungsschutz inbegriffen sein. Folgendes ist im Bürgerlichen Gesetzbuch geregelt:
§ 253
(1) Wegen eines Schadens, der nicht Vermögensschaden ist, kann Entschädigung in Geld nur in den durch das Gesetz bestimmten Fällen gefordert werden.
(2) Ist wegen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung Schadensersatz zu leisten, kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld gefordert werden.
§ 83
(3) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.
Auch der Geografische Geltungsbereich einer Haftpflichtversicherung sollte geprüft werden. Ist dieser nämlich für die Deckung von Schäden vom Versicherer eingeschränkt, besteht kein Leistungsanspruch bei Schäden in Non-Admitted-Countries. Außerdem müssen auch weitere geografische Kriterien beachtet werden, was den Versicherungsort der betroffenen IT-Systeme angeht.
Der Vertrag sollte dahingehend geprüft werden, ob sich der Versicherer dazu verpflichtet, ein Verfahren zu Führen oder ob er dem Versicherungsnehmer das Recht dazu gibt, das Verfahren selbst zu führen. Es sollte auch geprüft werden, ob der Versicherer dazu befugt ist, weitere Vergleiche zu schließen, damit die Schadensersatzsumme nicht die Summe der Versicherungsleistung übersteigt.
Ein einwandfreien Versicherungsschutz macht sich dadurch bemerkbar, dass sich die Versicherung dazu verpflichtet ein Verfahren zu führen, allerdings den Versicherten dazu berechtigt hat, dieses selbst zu führen. Weiterhin soll der Versicherte dazu berechtigt sein, bei jedem Vergleich o.ä. seine Zustimmung oder Ablehnung auszudrücken, bevor der Versicherer handelt.
Die Versicherungssumme übernimmt Kosten für forensische Untersuchungen, Krisenmanagement usw. Kosten für Verfahrensabwehr dagegen, sollten nicht von der Versicherungssumme abgezogen werden, sondern, da es sich um Rechtskosten handelt, von den Haftpflichtansprüchen.
Einen optimalen Schutz bietet eine Versicherung nur dann, wenn trotz Überschreitung der Versicherungssumme dennoch keine Kürzung der Leistung vorgenommen wird. Es sollte demnach nicht möglich sein, dass der Versicherer seine Leistung in Bezug auf Ansprüche Dritter kürzt, wenn die Versicherungssumme überstiegen wurde.