Neues aus der Versicherungspraxis

Die GDV-Musterbedingungen und was daraus wurde

Die Bedingungsvielfalt nimmt kein Ende – tatsächlich haben die meisten neuen Marktteilnehmer ihre Produkte – mit mehr oder weniger großen Abweichungen – auf die GDV-Musterbedingungen aufgesetzt. Doch die den Markt bislang dominierenden Player halten mehrheitlich an ihren ursprünglichen und teils sehr individuellen Wording-Strukturen und Begrifflichkeiten fest.

Das liegt zum Einen sicher daran, dass die etablierten Produkte teilweise weitergehende Deckungselemente bieten, die in den Musterbedingungen so (noch) nicht abgebildet sind. Zu einem weitaus größeren Teil jedoch dürfte ein Hindernis darin begründet sein, dass eine Angleichung der historisch gewachsenen und teils aus anglo-amerikanischen Mutterhäusern übernommenen Bedingungswerke nicht ohne Weiteres möglich ist – wie so oft steckt auch hier der Teufel im Detail.

Das jüngst veröffentlichte Rating für gewerbliche Cyber-Policen (Franke und Bornberg Research GmbH) bringt die Problematik auf den Punkt: „Wir beobachten deutliche Unterschiede in Aufbau und Umfang der Cyber-Bedingungen. Vom großen Komplettpaket über Baukastensysteme bis hin zu eng gefassten Kern-Deckungen ist alles vertreten. Was der eine Versicherer über eine Rechtsschutzversicherung löst, die an den Cyber-Hauptvertrag angedockt wird, webt der andere in Cyber-Drittschadendeckung und Krisen-Dienstleistungen ein. Die Konsequenzen für Versicherungsfall, Entschädigung und das Verhältnis zu anderen Versicherungsverträgen können gravierend sein,“ erklärt Michael Franke, geschäftsführender Gesellschafter Franke und Bornberg.

Das Dilemma mit der Deutlichkeit

Als Sparten-Hybrid – die Cyber-Sparte ist ein Konglomerat unterschiedlicher Versicherungszweige – hat die Cyber-Versicherung in der Bedingungskonzeption einige besondere Aufgabenstellungen zu bewältigen. In einem Cyber-Wording müssen nämlich sowohl Regelungsinhalte zur Eigenschadenversicherung, darunter fallen etwa Datenwiederherstellung oder Ertragsausfall, als auch zur Haftpflichtversicherung berücksichtigt und auf eine sinnvolle Art und Weise miteinander verknüpft sein. Zudem fallen Elemente der Vertrauensschadenversicherung ebenso unter den Deckungsschutz wie der Erpressungsfall, der Versicherungsfall sein sollte, auch wenn möglicherweise noch kein Schaden entstanden ist. Und es wird noch komplexer. Viele Deckungserweiterungen, die keinen unmittelbaren Bezug zum jeweils definierten Cyber-Risiko haben verkomplizieren die Struktur der Bedingungswerke zusätzlich. Denn: eine Deckungserweiterung, die nicht so recht zur inneren Logik und dem Aufbau des Wordings passt, erfordert eine umfangreiche textliche Sonderstellung. Zusammengenommen alles Aspekte, die nicht zur Übersichtlichkeit und Orientierung beitragen.

GDV-konforme Begrifflichkeit? Die Informationssicherheitsverletzung

Um mit diesem Umstand umzugehen, haben die Versicherer bei ihrer Bedingungskonzeption sehr unterschiedliche Lösungen gefunden. Ein Blick in den Aufbau der einzelnen auf dem Markt erhältlichen Produkte zeigt die ersten fundamentalen Unterschiede.

Der Begriff „Informationssicherheitsverletzung“, den man in vielen Cyber-Bedingungswerken findet,  ist dafür ein gutes Beispiel; die Lösung, die der GDV vorschlägt, durchaus gelungen. Versicherungsschutz besteht nach den GDV Musterbedingungen für einen Vermögensschaden, der durch eine Informationssicherheitsverletzung hervorgerufen wird  Die GDV Musterbedingungen definieren die Informationssicherheitsverletzung dabei nach zwei Kriterien: Zum einen erfordert der Begriff eine Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit elektronischer Daten. Zum anderen ist es notwendig, dass bestimmte, abschließend aufgeführte Ereignisse die Informationssicherheitsverletzung auslösen, um den Versicherungsfall unter der Cyber-Police zu initiieren. Genannt werden hier beispielsweise Angriffe auf elektronische Daten oder informationsverarbeitende Systeme sowie Handlungen und Unterlassungen, die zu einer Verletzung datenschutzrechtlicher Bestimmungen führen.

Die durch den GDV gewählte Struktur folgt hier dem Beispiel der Sachversicherung benannter Gefahren. Für das Auslösen des Versicherungsfalles ist es dort erforderlich, dass eine der benannten Gefahren wie Feuer oder Sturm den definierten Sachschaden, sprich die Zerstörung, Beschädigung und teils auch das Abhandenkommen versicherter Sachen, hervorgerufen hat.

Einige Bedingungswerke verwenden nun ebenfalls den Begriff der Informationssicherheitsverletzung, jedoch mit deutlichen Abweichungen hinsichtlich der Definition und der Einordnung  des Begriffes in den Bedingungsrahmen. Manche Versicherer etwa setzen die Informationssicherheitsverletzung als Oberbegriff für dann weiter definierte Unterfälle, beispielsweise als Klammer  für Datenschutzverletzung, (Daten-)Vertraulichkeitsverletzung oder Netzwerksicherheitsverletzung. Der Begriff der Netzwerksicherheitsverletzung umfasst dann in der Regel eine abschließende Auflistung  „versicherter Gefahren“, wie die Übermittlung von Schadsoftware oder die unberechtigte Aneignung von Zugangscodes von Versicherten. Die Inhalte einer solchen Auflistung jedoch sind von Versicherer zu Versicherer sehr verschieden und in jedem Bedingungswerk individuell gestaltet.

Was bedeutet das konkret? Die Folgen der Begriffsverwirrung

Es ist leider so, dass mit der Nutzung wortidentischer, doch bedeutungsverschiedener Begrifflichkeiten eine Vergleichbarkeit suggeriert wird, die tatsächlich nicht gegeben ist. Eine weitere Folge der beschriebenen Vorgehensweise ist eine im Vergleich zur GDV-Lösung deutliche Verkomplizierung der Materie: Neben, unter oder an der Informationssicherheitsverletzung werden – im günstigsten Fall mindestens eine, oftmals jedoch auch mehrere – weitere Begriffsebenen wie Netzwerksicherheitsverletzung oder Datenschutzrechtsverletzung eingezogen. Ganz anders die GDV Musterbedingungen, die in diesem Punkt durch Klarheit und Prägnanz überzeugen.

Auch der Erpressungsfall hat so seine Tücken. An die Versicherung von Erpressungsgeldern stellt die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFIN) zu Recht einige inhaltliche und organisatorische Anforderungen. Trotz der Abschwächung dieser Anforderungen Ende 2017 agieren viele Versicherer in diesem Deckungsbereich noch mittels separater Bausteine. Für den Fall, dass ein Kunde sich gegen den Zukauf des „Erpressungsbausteins“ entscheidet, ist leider sehr genau zu prüfen, in welchem Umfang eine Deckung für den Erpressungsfall dann noch gegeben ist.

Während einige Versicherer bei Verzicht auf den Sonderbaustein nur die Zahlung etwaiger Lösegelder aus dem Deckungsumfang streichen, fallen bei anderen nicht nur das Lösegeld, sondern auch die Aufwendungen für Krisenberater aus dem Versicherungsschutz. Teilweise wird bei Nichtzukauf des Bausteins der Erpressungsfall auch vollständig aus der Deckung ausgeklammert.

Fazit: Den Fokus auf den Unterschieden halten

Zusammenfassend lässt sich festhalten, dass vor allem die Unvergleichbarkeit der Produkte eine Konstante ist, die den Markt der Cyber-Wordings derzeit bestimmt. Denn auch wenn das Bedingungswerk des GDV eine gute Grundlage bietet, kommen nach wie vor viele neue, individuelle Wordings auf den Markt. Wann sich hier einheitliche Begrifflichkeiten etabliert haben werden – und ob das überhaupt möglich ist – bleibt spannend zu beobachten. Bis dahin gilt: Wer auch immer sich mit dem Thema beschäftigt, muss sich intensiv mit den Bedingungswerken auseinandersetzen. Nur so lassen sich die Produkte unterschiedlicher Anbieter sinnvoll in Bezug stellen und miteinander vergleichen.

 

Unsere Webseite verwendet Cookies. Mehr erfahren

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen