Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

27.03.1987 - 

Verzicht auf Identifizierbarkeit des Schadenstifters:

DV- Mißbrauchversicherung mit neuen Features

Ein Schaden, wie er jetzt beim VW-Werk entstanden ist, dürfte die Ausnahme bleiben. Jetzt schon zu behaupten, daß Delikte wie Computerbetrug oder -untreue oder gar Softwaresabotage vorliegen, wäre sicherlich verfrüht. Fest steht jedoch, daß EDV eine mehr oder weniger wesentliche Rolle in der spektakulären Affaire gespielt hat. Anlaß genug, sich über neue Bedingungen bei entsprechenden Versicherungen schlau zu machen.

Die Vertrauensschaden- und die Computermißbrauch-Versicherung - kurz VSV beziehungsweise CMV genannt - gehören in Deutschland immer noch zu den jungen Versicherungssparten. So wurde zum Beispiel die CMV erst 1971 eingeführt und wird derzeit nur von einigen wenigen Versicherungen angeboten. Ihren Ursprung haben diese Versicherungsformen im anglo-amerikanischen Versicherungsmarkt, wo die VSV/CMV unter dem Begriff "Fidelity" oder "Crime Insurance" seit Jahrzehnten bekannt und in den USA beinahe ebenso stark im industriellen Versicherungsgeschäft verbreitet sind, wie in Deutschland zum Beispiel die Feuer- oder Haftpflichtversicherung.

Schäden am Vermögen des Arbeitgebers abgedeckt

Auf eine Kurzformel gebracht, deckt die VSV Schäden am Vermögen des Arbeitgebers ab, die ihm durch deliktische und zum Schadensersatz verpflichtende vorsätzliche Verhaltensweisen jedweder Art durch die versicherten Mitarbeiter - gemäß dem VSV/CMV-Bedingungen "Vertrauenspersonen" genannt - entstehen; dagegen handelt es sich bei der CMV lediglich um eine Ausschnittsdeckung zur VSV, weil nur deliktische vorsätzliche Handlungen im Zusammenhang mit einem Computer versichert sind, wie zum Beispiel Computerbetrug oder -untreue oder Softwaresabotage. Grundlage des Versicherungsschutzes sind für die VSV die "Allgemeinen Bedingungen für die Vertrauensschadenversicherung (ABV)" und für die CMV die "Allgemeinen Bedingungen der Computermißbrauch-Versicherung

(ABCM)", die von allen anbietenden Versicherern verwendet werden. Im

Vergleich zum angloamerikanischen Versicherungsmarkt sind die von den meisten Versicherern zur Verfügung gestellten Versicherungssummen relativ gering und betragen bislang oft nicht mehr als eine Million Mark, im CMV-Bereich äußerstenfalls fünf Millionen Mark, zudem ist der Versicherungsumfang im Vergleich zur amerikanischen Deckung erheblich eingeschränkt.

Während seit Einführung dieser beiden Versicherungsprodukte

außer einigen redaktionellen Änderungen kaum Bedingungsverbesserungen vorgenommen wurden, läßt nunmehr die zur amerikanischen Versicherungsgruppe Chubb - einem der Marktführer in USA in diesem Versicherungszweig - gehörende Federal, mit zwei Produktinnovationen aufhorchen:

- dem Verzicht auf die Identifizierbarkeit des Schadenstifters durch die Klausel 28 im Rahmen der ABV und der Klausel 14 im Rahmen der CMV-Bedingungen sowie

- den Allgemeinen Bedingungen für die Versicherung von Vermögensschäden durch Datenmißbrauch (ABDM 86).

Nachgewiesener Schaden reicht nicht aus

Gemäß ° 1 Abs. 3 der ABV beziehungsweise ° 1 Abs. 2 ABCM 84 ist Voraussetzung der Entschädigungsleistung, daß der Name der Vertrauensperson feststeht, die den Schaden verursacht hat. Vertrauenspersonen sind grundsätzlich die versicherten Mitarbeiter des Arbeitgebers des Versicherungsnehmers. Es reicht also für die Gewährung des Versicherungsschutzes nicht der Nachweis des Versicherungsnehmers aus, daß ihm durch eine vorsätzliche unerlaubte Handlung einer versicherten Vertrauensperson ein Schaden an seinem Vermögen entstanden ist; vielmehr muß darüber hinaus der Schadenstifter konkret namhaft gemacht und dessen Täterschaft vom Versicherungsnehmer nachgewiesen werden.

Zwar kann im Einzelfall - wie auch bei anderen Versicherungszweigen - die prozessuale Beweiserleichterungsregel des Beweises des ersten Anscheins (= prima facie Beweis) helfen, wonach ausreicht, daß der Versicherungsnehmer einen Sachverhalt darlegen und beweisen kann, aus dem sich mit hoher Wahrscheinlichkeit auf den Eintritt des Versicherungsfalles im Sinne dieser Bestimmungen schließen läßt, nämlich, daß nur ein ganz bestimmter versicherter Mitarbeiter als Täter in Betracht kommt. Das gilt jedoch nur dann, wenn der dargelegte Sachverhalt auf einen typischen Geschehensablauf hinweist. Diese Beweiserleichterungsregel entfällt mit der Folge, daß der Versicherungsnehmer den vollen Beweis führen muß, wenn der Versicherer andererseits nachweist, daß die ernsthafte Möglichkeit eines anderen Geschehensablaufes besteht. Letzteres wird zum Beispiel dann vorliegen, wenn ein nicht versicherter Mitarbeiter oder sogar ein außenstehender Dritter in Betracht kommt oder mehrere Mitarbeiter aufgrund gemeinschaftlichen Planes kollusiv zusammen gearbeitet haben und deren Zusammenwirken nicht nachweisbar ist. Eine solche Einschränkung des Versicherungsschutzes, soweit definitiv feststeht, daß nur eine bestimmte Person oder mehrere aus dem Mitarbeiterkreis als Täter in Betracht kommen, führt zu unbilligen Harten für den Versicherungsnehmer. Diesem Umstand wollen die neuen Klauseln 28 und 14 im Rahmen der VSV und CMV mithin Rechnung tragen, die folgenden Wortlaut haben:

Dazu im einzelnen:

Nach ° I Abs. 3 ABV und ° 1 Absatz 2 ABCM 84 ist Voraussetzung für den Versicherungsschutz, daß der Name der Vertrauensperson feststeht, die den Schaden verursacht hat. Vertrauenspersonen sind dabei nach ° 2 ABCM 84 sämtliche Mitarbeiter des Versicherungsnehmers, nach ° 2 ABV die im Versicherungsschein benannten Personen, wobei aus ° 5 Ziff. 2 und ° 6 Ziff. 1a ABV zu entnehmen ist, daß es sich ebenfalls grundsätzilch bei den Versicherten um solche Personen handeln muß, die mit dem Versicherungsnehmer ein Dienst- oder Arbeitsverhältnis haben. Somit besteht letztlich nur

dann Versicherungsschutz, wenn der Arbeitgeber (Versicherungsnehmer) dem Versicherer gegenüber nachweisen kann, daß eine ganz bestimmte Person der Täter ist.

Durch die neue Klausel 28 zur VSV beziehungsweise 14 zur CMV wird nunmehr jeweils in Ziff. 1 Versicherungsschutz auch für den Fall gewährt, daß der Schadenstifter nicht identifiziert, das heißt nicht festgestellt werden kann. Wegen des Bezugs zu ° 1 Abs. 3 ABV beziehungsweise ° 1 Abs. 2 ABCM 84 muß jedoch zumindest feststehen, daß es sich bei dem Täter um eine Vertrauensperson handelt.

Es besteht jedoch die Gefahr, daß bei Ersatz des Schadens durch den Versicherer der Versicherungsnehmer das Interesse an einer Strafverfolgung des Mitarbeiters verlieren könnte oder aus falschverstandener Rücksichtnahme auf den Mitarbeiter oder aus Angst vor negativer Publizität sogar ein polizeiliches Ermittlungsverfahren ganz verhindern möchte. Für den Versicherer ist es jedoch unzumutbar, weiterhin Versicherungssschutz für eine Vertrauensperson zur Verfügung stellen zu müssen, die durch die Nichtaufdeckung der Straftat zu weiteren Vermögensdelikten animiert sein könnte. Auch stellen solche Personen schlechthin eine Gefahr für die Rechtsordnung dar, ist doch die Möglichkeit nicht von der Hand zu weisen, daß kriminell erfolgreich handelnde Mitarbeiter dazu veranlaßt werden, auch außerhalb ihres Arbeitsverhältnisses Straftatbestände zu begehen. Sinn dieser Deckungserweiterung kann und soll es nicht sein, Straftäter zu schützen, sondern aus Billigkeitsgesichtsgründen dem Versicherungsnehmer, der sich vor dem Risiko unredlicher Mitarbeiter durch Abschluß einer solchen Versicherung mit dementsprechender Prämienzahlung schützen will, nicht deshalb den Versicherungsschutz versagen, weil ein Mitarbeiter eventuell mit besonders hoher krimineller Intelligenz gearbeitet und alle ihn eindeutig identifizierenden Tatspuren beseitigt hat.

Strafanzeige nicht immer verlangt

Deshalb ist bei Vereinbarung der Klausel 28 zur VSV beziehungsweise 14 zur CMV auch nach dem eindeutigen Wortlaut Voraussetzung des Versicherungsschutzes, daß Strafanzeige bei der Polizei gestellt wird. Nach dem Wortlaut der "normalen" VSV/CMV dagegen wird eine solche Strafanzeige ausdrücklich nicht verlangt. Das ist jedoch bei Identifizierbarkeit - und damit bei Eintritt der Leistungspflicht des Versicherers - nicht unbedingt notwendig, scheidet doch ein solcher Mitarbeiter bei Kenntniserlangung des Versicherungsnehmers von einer solchen deliktischen Handlung nach ° 5 Abs. 2 b ABV und ABCM 84 "automatisch" aus dem Versicherungsschutz aus und eröffnet zudem die Identifizierbarkeit des schädigenden Mitarbeiters dem Versicherer die Möglichkeit: der Regreßnahme gegen den Mitarbeiter in Höhe seiner Leistung, deren Erfolgsaussichten bei Strafverfolgungsmaßnahmen und zum Beispiel eventuellem Freiheitsentzug geringer sein könnten.

Demzufolge sieht auch der letzte Satz der Ziff. 1 der Klausel 28 beziehungsweise 14 vor, daß bei Verletzung dieser Obliegenheit der Versicherer gemäß ° 6 Abs. 2 ABV/ ABCM 84 von seiner Verpflichtung zur Leistung frei ist, ohne daß es einer Kündigung des Versicherungsvertrages bedarf.

Kaufmännischer Verlust vom Schutz ausgeschlossen

Die Ziffern 2 der Klausel 28 zur VSV beziehungsweise 14 zur CMV stellen lediglich eine Klarstellung dar. Damit soll nur noch einmal deutlich zum Ausdruck gebracht werden, daß ansonsten die Bestimmungen der VSV beziehungsweise CMV gelten so mit Voraussetzung des Versicherungsschutzes insbesondere eine vorsätzlich unerlaubte Handlung ist. Sonstige Vermögensschäden des Versicherungsnehmers, die nicht durch deliktisches Handeln seiner Mitarbeiter, sondern durch andere Umstände eingetreten sind, wie zum

Beispiel kaufmännischer Verlust, sind demnach vom Versicherungsschutz ausgeschlossen.

Ebenfalls handelt es sich bei Satz 1 der Ziff. 3 um eine reine Klarstellung, weil bei allen Versicherungsverträgen der Versicherungsnehmer immer die Beweislast für das Vorliegen eines Versicherungsfalles trägt.

Schutz gegen Datenmißbrauch Dritter

Die Versicherung gegen den Datenmißbrauch Dritter (= DMV) wird auf der Grundlage der "AIIgemeinen Bedingungen für die Versicherung von Vermögensschäden durch Datenmißbrauch Dritter (ABDM 86)" angeboten. Hierdurch soll der bisherige Versicherungsschutz durch eine VSV/CMV wie folgt ergänzt werden:

Gemäß ° 2 ABV können nur Schäden durch Vertrauenspersonen versichert werden, worunter grundsätzlich nur Mitarbeiter zu verstehen sind. Darüber hinaus sind durch individuelle Vereinbarung im Einzelfall auch sonstige für den Versicherungsnehmer freiberuflich tätige Personen versicherbar. Dagegen kann nach dem Wortlaut des ° 2 ABCM grundsätzlich nur Versicherungsschutz für Arbeitnehmer des Versicherungsnehmers zur Verfügung gestellt werden. Schäden, die dem Arbeitgeber durch vorsätzliche unerlaubte Handlungen von Personen entstehen, mit denen kein Arbeitsvertrag besteht, sind somit vom Versicherungsschutz ausgeschlossen. Gerade jedoch das Eindringen außenstehender Dritter in das DV-System des Versicherungsnehmers - schlagwortartig als Hackerproblem bezeichnet - gewinnt wegen der Zunahme des Dialogverkehrs und der Einführung von Electronic Banking und ähnlichen Anwendungen immer mehr an Bedeutung, zumal das Eindringen in den Dialogverkehr für einen "Computer-Freak" technisch relativ einfach und der Stand der EDV-Sicherung generell unbefriedigend ist und die Entwicklung von Datenschutzsystemen generell der DV-Entwicklung nachhängt.

Die mit der EDV-Kriminalität befaßten Polizeidienststellen sind über diese Entwicklung beunruhigt, da zwar Art und Form des Eindringens in EDV-Systeme technisch nachvollzogen werden können, jedoch die Identifizierung des Täters bisher nur selten möglich ist. Darüber hinaus ist die Verunsicherung von Firmen mit EDV-Systemen auch aus psychologischer Sicht verständlich, da man seinen Mitarbeitern meist traut oder sich doch zumindest durch verstärkte Personalkontrollen beziehungsweise hausinterne EDV-Sicherungsmaßnahmen vor einem Schaden meint schützen zu können, was natürlich nicht oder nur im begrenzten Maße für außenstehende Dritte gilt.

Dieser Entwicklung im Bereich der EDV-Kriminalität will die Versicherung gegen den Datenmißbrauch Dritter Rechnung tragen.

Bereicherung von außen durch einen Dritten

Diese neue Versicherung lehnt sich in Versicherungsterminologie und -umfang stark an die CMV an. Wie bei der CMV auch, sind nur Schäden versichert, die dem Versicherungsnehmer selbst und unmittelbar entstehen. Diese Vermögensschäden müssen durch eine vorsätzliche rechtswidrige Bereicherung eingetreten sein. Im Gegensatz zu den ABCM, nach denen diese Bereicherung durch eine Vertrauensperson erfolgen muß, ist bei der DMV -Voraussetzung des Versicherungsschutzes, daß die Bereicherung von einem außenstehenden Dritten vorgenommen wird. Nach ° 2 ABCM wird der Begriff des außenstehenden Dritten in dem Sinne definiert, daß es sich dabei um Personen handeln muß, mit denen zum Zeitpunkt des Versicherungsfalles kein Arbeits-/ Dienstvertrag besteht. In Ergänzung dazu sind jedoch gemäß ° 4 Ziffer 1 Schäden durch Personen ausgeschlossen, die im Rahmen eines EDV-Dienst-, Wartungs- oder sonstigen EDV-Werkvertrages tätig waren.

Sachbeschädigung nicht versichert

Die versicherten Tatbestände, zum Beispiel Herstellung, Veränderung, Beschädigung von EDV-Programmen, sind identisch mit denen der CMV gemäß ° 1 Ziffer 1 ABCM. Dagegen besteht im Gegensatz zu der CMV kein Versicherungsschutz, wenn außenstehende Dritte ohne Bereicherung beziehungsweise Bereicherungsabsicht lediglich eine vorsätzliche Schädigung des Versicherungsnehmers durch zum Beispiel Löschen von EDV-gespeicherten Daten verursachen, somit einen reinen Sachbeschädigungstatbestand begehen. Der Grund dafür liegt darin, daß bei Schäden an Hard- beziehungsweise Software im Einzelfall kaum feststellbar sein wird, ob es sich um einen systemimmanenten beziehungsweise produktbezogenen Schaden beziehungsweise Anwendungsfehler des Versicherungsnehmers oder seiner Mitarbeiter handelt oder durch außenstehende Dritte verursacht wurde.

Keine Ausdehnung für Datenträger notwendig

Zudem besteht für das Risiko der Beschädigung, Zerstörung oder Beiseiteschaffen von Datenträgern inklusive Programmen und gespeicherten Daten sowie von Datenverarbeitungsanlagen oder Teilen davon durch Dritte bereits Versicherungsschutz im Rahmen einer Elektronikversicherung beziehungsweise Elektronikversicherung für Datenträger (= "Datenträgerversicherung" ), so daß für eine dementsprechende Ausdehnung des Versicherungsschutzes im Rahmen dieser neuen Versicherungsform kein Versicherungsschutzbedarf bestand. Auch im Rahmen der DMV ist gemäß ° 5 Ziffer 2 Voraussetzung des Versicherungsschutzes, daß bei Eintritt eines Versicherungsfalles unverzüglich eine Anzeige bei der zuständigen Polizeidienststelle erfolgt.

Gegenüberstellung von Soll und Ist

Diese Bedingungsinnovationen sollen verständlicherweise nicht Schäden aus Schwund und Verderb beziehungsweise Inventurdifferenzen abdecken beziehungsweise Schäden, die sich lediglich durch Gegenüberstellung von Soll- und Istbeständen ergeben. Dieser auch für die VSV und CMV geltende Grundsatz wird noch einmal dadurch klargestellt, daß sowohl im Rahmen der Verwendung der Klausel 14 beziehungsweise 28 als auch der Datenmißbrauchversicherung der Versicherer die sogenannte "Schwund- und Verderb- und Mankoklausel" verwendet.

Zudem wird die Datenmißbrauchversicherung nur im Zusammenhang mit einer VSV/CMV einschließlich des Verzichtes auf die Identifizierbarkeit des Schadenstifters angeboten, so daß letztlich eine Bündelpolice bei Vereinbarung dieser Bedingungsverbesserungen abgeschlossen wird. Dieses Junktim ist allerdings aus Gründen des Schutzes von Versicherungsnehmerinteressenten erforderlich. Würde nämlich nur die DMV allein versicherbar sein, dann würde der Versicherer bei Nichtnachweisbarkeit der Täterschaft außenstehender Dritter einwenden, als Täter kämen auch Mitarbeiter des Versicherungsnehmers in Betracht, so daß dann der Versicherungsfall nicht nachweisbar wäre.

Andererseits könnte bei ausschließlicher Vereinbarung einer VSV/CMV in Verbindung mit der Klausel 28 beziehungsweise 14 der Versicherer bei Nichtnachweisbarkeit der Täterschaft eines Mitarbeiters einwenden, Täter könne auch einen außenstehender Dritter sein. Um

dem Beweisnotstand des Versicherungsnehmers in solchen Fällen gerecht zu werden, ist es erforderlich, die Datenmißbrauch-Versicherung nur in Verbindung mit der VSV und CMV einschließlich der Nichtidentifizierbarkeit des Täters abzuschließen.

Steht nämlich der Schaden am Vermögen des Versicherungsnehmers fest und kommen als Täter nur Mitarbeiter beziehungsweise außenstehende Dritte in Betracht, dann reicht das für die Beweisführung des Versicherungsnehmers aus und der Versicherer ist zur Leistung verpflichtet, soweit er nicht entgegenstehende Sachverhalte darlegen und beweisen kann.

Zusätzlich wird der Versicherer bei Einschluß der Klausel "Nichtidentifizierbarkeit des Schadenstifters" mit dem Versicherungsnehmer einen höheren Selbstbehalt vereinbaren. Dieser Mehrbelastung für den Versicherungsnehmer liegt ein ordnungspolitischer Gesichtspunkt zugrunde, weil der Versicherungsnehmer durch einen zusätzlichen finanziellen Beitrag dazu veranlaßt werden soll, nach seinen besten Kräften bei der Täteridentifizierung mitzuhelfen und nicht etwa aus falschverstandener Rücksichtnahme diesen Mitarbeiter, dessen Gefährlichkeit für die Rechtsordnung bei erforderlichem Handeln sicherlich nicht geringer sein wird, zu schützen beziehungsweise die Strafverfolgung zu verhindern.