RÜCKBLICK: DGVH-TAG AM 15.11.2018
Am 15.11.2018 fand – schon traditionell in den Räumen der GenRe am Theodor-Heuss-Ring in Köln – der DGVH-Tag statt. Im Anschluss an die Hauptversammlung und einem zwanglosen Imbiss folgte am Nachmittag wie gewohnt das offene Forum mit Fachvorträgen. In diesem Jahr dürften die Dozenten nahezu das gesamte Generationen-Spektrum der in der Praxis der Versicherungswirtschaft Tätigen abgedeckt haben, was sich nicht nur in der Aktualität der Themen, sondern auch in den sich anschließenden besonders lebhaften Diskussionen widerspiegelte.
Deckungsunschärfen der Cyberversicherungs-Konzepte
Den Auftakt machte Dr. Paul Malek, LL.M. (Noerr LLP), der sich auf ebenso spannende wie gründliche Art und Weise Deckungsunschärfen im Bereich von Cyberversicherungen widmete. Malek zeigte zunächst die wachsende Brisanz und Erheblichkeit von Cyberangriffen auf, angesichts derer sich gerade auch Geschäftsleiter aufgrund ihrer organschaftlichen Vermögensbetreuungs- und Interessenwahrnehmungspflichten gewissenhaft mit dieser Problematik und damit letztlich auch mit dem Produkt „Cyberversicherung“ auseinandersetzen müssten. Welche Angriffsszenarien bzw. Risiken durch eine Cyberversicherung versichert werden, ergebe sich aus den jeweiligen in der Cyberpolice verwendeten Definitionen. Die vom GDV e.V. im April 2017 veröffentlichten AVB Cyber stellen hinsichtlich des versicherten Risikos z.B. auf die „Informationssicherheitsverletzung“ ab und erstrecken den Versicherungsschutz auf die Funktionsfähigkeit der „informationsverarbeitenden Systeme“ des Versicherungsnehmers. Was Letzteres ist, werde in den AVB Cyber aber beispielsweise nicht legal definiert, sondern müsste im Einzelfall ausgelegt werden, z.B. unter Zuhilfenahme derjenigen Klauseln, die sich im Zusammenhang mit den vertraglichen Obliegenheiten finden. Andere Policen stellten insoweit auf „jedes Eindringen in das Computer System“ des VN ab. Für diese Policen stehe also eher die Tathandlung als das Schutzgut (z.B. Computersystem) im Vordergrund. Daneben gebe es noch Policen, die z.B. auf eine „Informations- und Netzwerksicherheitsverletzung“ oder z.B. die Datenschutzverletzung abstellen. Nach einer Darstellung einer Vielzahl von Formulierungsoptionen verschiedener Cyberversicherungs-Policen und deren Unterschiede konnte festgehalten werden, dass es zwar sinngemäß stets um den Schutz des IT-Systems des Versicherungsnehmers vor bestimmten Cyberangriffen geht. Bei den in Policen hierfür verwendeten Begriffen wie „IT-System“, „informationsverarbeitendes System“, "Cyberrisiko", "Cyberschaden" oder "Cyberangriff" handle es sich aber weder um Begriffe der Rechtssprache noch liefere der allgemeine Sprachgebrauch insoweit ein klar umgrenztes allgemeines Verständnis. Die somit erforderliche versicherungsvertragliche Konkretisierung sei nun aber ihrerseits mit Rechtsunsicherheiten verbunden. So könne – bedingt durch den Charakter des Versicherungsprodukts – zweifelhaft sein, anhand welchen Maßstabes Cyber-Bedingungswerke auszulegen sind und ob hier wirklich auf den durchschnittlichen Versicherungsnehmer ohne IT-Kenntnisse abgestellt werden könne, oder nicht vielmehr auf das Verständnis eines Fachmannes abgestellt werden müsse. Hier stellte Malek eine womöglich provokante Parallele zur Auslegung von Klauseln zur Überschussbeteiligung bei Lebensversicherungen zur Diskussion. Für letztere wird in der Literatur vorgeschlagen, dann auf das Verständnis eines Fachmanns abzustellen, wenn die Möglichkeiten eines durchschnittlichen Versicherungsnehmers ohne versicherungsrechtliche Kenntnisse notwendigerweise versagen müssen. Sollte man (auch) hier tatsächlich auf den Maßstab eines Fachmannes abstellen wollen, setzt sich die Thematik des richtigen Maßstabs bei dem Verhältnis der Cyberpolice zu anderen Versicherungsprodukten, z.B. hinsichtlich der Vertrauensschadenversicherung, gewissermaßen fort. Denn Cyber-Bedingungswerke enthalten typischerweise eine sog. Spezialitätsabrede, aus der sich der Vorrang der Cyberversicherung ergibt, sofern Versicherungsschutz auch unter einem anderen Vertrag besteht. Derzeit sei noch offen, wie diese Klausel aus der maßgeblichen Sicht des durchschnittlichen Versicherungsnehmers, die ja immerhin auch bei der Auslegung von Versicherungsbedingungen im Verhältnis zu dem anderen Versicherer anzuwenden ist, zu verstehen sei. Verliert der Versicherungsnehmer sein Wahlrecht, wenn mehrere Versicherer grundsätzlich eintrittspflichtig sind, oder verpflichtet sich der Versicherer nur dazu, den Schaden im Ergebnis zu tragen? In der zukünftigen Schadenspraxis könnte es etwa darum gehen, ob z.B. Netzwerkdrucker, KeyCard-Systeme oder private dienstlich genutzte Computer der Mitarbeiter jeweils als versichertes „IT-System“ anzusehen sind. Daneben dürfte relevant werden, welche Angriffsformen von der abgeschlossenen Police gedeckt sind. Mitunter ist der Deckungsschutz auf zielgerichtete Angriffe begrenzt – wie aber ist in diesen Fällen mit Angriffen gegen IT-Infrastruktur außerhalb des Verfügungsbereichs des Versicherungsnehmers umzugehen (z.B. DoS-Attacken, Man-in-the-Middle)? Weitere Probleme folgen aus dem Umstand, dass es sich bei der Cyberversicherung um eine sog. Multi-Line-Police, also ein spartenübergreifendes Produkt handelt. Die in anderen Sparten (z.B. Haftpflichtversicherung) diskutierten rechtlichen Themen könnten daher auf die Cyberversicherung übertragbar sein. In Betracht kommt hier beispielsweise das Thema der AGB-rechtlichen Notwendigkeit von Kompensationselementen wegen der (teilweisen) Verwendung des Claims-made-Prinzips in der Cyberversicherung oder die Problematik von Kostenanrechnungsklauseln. Daneben wird es im Einzelfall der Klärung bedürfen, was unter dem regelmäßig verwendeten Begriff „Stand der Technik“ zu verstehen ist, wenn Allgemeine Cyberversicherungsbedingungen z.B. hierauf im Rahmen der Sicherungsobliegenheiten abstellen. Sollte damit tatsächlich der im juristischen Sprachgebrauch insb. aus dem Umweltrecht bekannte Sinngehalt gemeint sein, könnte dies bedeuten, dass der Versicherungsnehmer sich nicht lediglich darauf verlassen kann, „nur“ die im Bereich Cyberversicherung anerkannten allgemeinen Regeln der Technik einzuhalten, denn der „Stand der Technik“ ist definitionsgemäß der „Entwicklungsstand fortschrittlicher Verfahren“, dessen praktische Eignung als gesichert erscheint, der aber noch nicht allgemein bekannt oder anerkannt sein muss. Im Ergebnis besteht damit ein erhöhtes Diskussionsbedürfnis im Bereich der zukünftigen Schadenspraxis, als dessen Ergebnis sich wünschenserterweise ein einheitliches Marktverständnis im Bereich der Cyberversicherung herauskristallisieren wird.
Besondere Haftungsrisiken und Versicherungsanforderungen bei Kapitalmarkttransaktionen
Der Gesellschaftsrechtler und Transaktionsexperte Dr. Thorsten Kuthe (Heuking Kühn Lüer Wojtek PartGmbB) stellte sehr anschaulich die Haftungsrisiken von Unternehmen im Zusammenhang mit Kapitalmarkttransaktionen dar. Vermarktungsinstrumente bzw. Medien, auf die sich Anspruchsteller zur Begründung einer möglichen Haftung zu stützen pflegen, sind Prospekte, Ad hoc-Mitteilungen, Präsentationen und Pressemitteilungen. Aber auch aus einem Platzierungsmemorandum könnten ganz erhebliche Haftungsrisiken erwachsen, die ein besonderes Versicherungsbedürfnis nach sich ziehen. Kuthe stellte zunächst die Grundsätze der Prospekthaftung bei IPO, Kapitalerhöhung und Anleiheemission dar. Machen Anleger bzw. Käufer nach §§ 21, 22 WpHG einen Anspruch auf Prospekthaftung gegenüber dem Emittenten geltend, wird letzterer wiederum Regress bei dem Vorstand nehmen bis schließlich – auch wegen sog. Comfort Letter oder Opinions – Berater in den Fokus des Haftungsszenarios gerieten. Im Fall einer verspäteten oder falschen Ad-hoc-Meldung müssten Emittenten sowohl mit Schadensersatzansprüchen der Anleger bzw. Käufer aus §§ 97, 98 WpHG als auch mit einem Bußgeld der BaFin aus § 120 Abs. 18 S. 2 WpHG rechnen. Ein Anspruch der Anleger/Käufer gegenüber dem Vorstand könne hier hingegen nur aus § 826 BGB bestehen. Anhand einer Case Study zu einem Reverse IPO, bei dem das Unternehmen den entschuldeten „Mantel“ insolventer Unternehmen erwirbt, veranschaulichte Kuthe die Systematik einer derartigen
Transaktion und die konkreten Haftungsrisiken, die hierbei auf Verantwortliche wie Vorstand und Aufsichtsrat, aber auch auf Berater im Bereich der Prospekthaftung zukommen können.
Zusammentreffen wissentlicher und fahrlässiger Pflichtverletzungen in der D&O-Versicherung
Abgerundet wurde die Veranstaltung durch Dr. Theo Langheid (BLD), dessen Veröffentlichung in der Zeitschrift VersR über das Zusammentreffen von vorsätzlichen und fahrlässigen Handlungen versicherter Personen in der D&O-Versicherung für Aufsehen gesorgt hatte und zuletzt durch Vertreter der Wissenschaft auf verschiedenen Veranstaltungen aufgegriffen worden war. Auf einige der Reaktionen auf seine Veröffentlichung ging Langheid explizit ein, stellte Missverständnisse klar und verteidigte seinen Lösungsvorschlag leidenschaftlich. Seine Veröffentlichung hatte sich mit einem Beschluss des BGH vom 27.05.2015, Az. IV ZR 322/14 und dessen mögliche Konsequenzen für den Bereich der D&O-Versicherung beschäftigt. Da innerhalb der D&O-Versicherung der Versicherungsnehmer selbst einen Anspruch gegen den fahrlässig Handelnden habe, der seinerseits wiederum bei dem vorsätzlich Handelnden Regress nehmen könne, erfahre der Versicherungsnehmer am Ende trotz einer Vorsatztat Kompensation durch den Versicherer. Dieses unbillige und in Widerspruch zu § 103 VVG stehende Ergebnis könne – so der Vorschlag von Langheid – mit Hilfe der Grundsätze der gestörten Gesamtschuld gelöst werden. Es sei die Abwehrdeckung auch in diesem Fall uneingeschränkt anzuerkennen, eine Freistellung jedoch nur in dem Verhältnis zu gewähren, in dem die vorsätzliche zu der fahrlässigen Pflichtverletzung stehe. Als Konsequenz haften fahrlässig handelnde versicherte Personen dem Versicherungsnehmer gegenüber lediglich in der Höhe ihres individuellen Verursachungsbeitrages. Langheid schloss den Vortrag mit dem Hinweis auf die praktische Folge, dass der Quoteneinwand bereits im Haftpflichtprozess zu berücksichtigen sei.