Die Cyberversicherung: Zur Versicherbarkeit von Lösegeldern bei Ransomware und Bußgeldern im Zusammenhang mit Datenschutzverstößen

Jonathan Eggen

doi:10.33283/978-3-86298-650-7

Keywords

Search publication

Bibliographic data

Edition: 1/2023
Copyright Year: 2023
ISBN-Print: 978-3-96329-476-1
ISBN-Online: 978-3-86298-650-7
Publisher: VVW, Karlsruhe
Series: Hannoveraner Reihe
Volume: 28
Language: German
Pages: 268
Product Type: Monograph

1. Kurzfassung No access
2. Abstract No access
3. Vorwort No access
4. Inhaltsübersicht No access
5. Inhaltsverzeichnis No access
6. Abkürzungsverzeichnis No access
Einleitung No access Pages 1 - 4
1. 1. I. Zur Versicherbarkeit von Lösegeldzahlungen bei Ransomware No access
  2. II. Zur Versicherbarkeit von Bußgeldern bei Datenschutzverstößen No access
2. B. Gang der Untersuchung und Erkenntnisinteresse No access
1. 1. I. Begriff der Cyberversicherung No access
  2. II. Dynamische Marktsituation No access
  3. 1. 1. Neuartige Angriffsmodelle No access
    2. 2. Hohes Schadenspotenzial No access
    3. 3. Unternehmen als Ziele von Angriffen No access
  4. 1. 1. Überblick zu verschiedenen Deckungskonzepten No access
    2. 1. a. Vermögensschaden No access
      2. b. Eintritt einer Informationssicherheitsverletzung No access
      3. aa. Angriff auf elektronische Daten und informationsverarbeitende Systeme (Spiegelstrich 1) No access
        bb. Unberechtigter Zugriff auf elektronische Daten (Spiegelstrich 2) No access
        cc. Eingriffe in informationsverarbeitende Systeme (Spiegelstrich 3) No access
        dd. Verletzung datenschutzrechtlicher Vorschriften (Spiegelstrich 4) No access
        ee. Schadprogramme, die auf Daten oder Systeme wirken (Spiegelstrich 5) No access
    3. 3. Versicherter Gegenstand in anderen marküblichen Policen No access
    4. 4. Eintritt des Versicherungsfalls No access
    5. 5. Obliegenheiten No access
    6. 6. Typische Risikoausschlüsse: Krieg, Terror, Lösegelder und Bußgelder No access
  5. V. Versicherungsrechtliche Einordnung der Cyberversicherung No access
2. 1. 1. 1. Zweifelsfreie Risikodefinition No access
    2. 2. Zufälliger Eintritt des Schadensereignisses No access
    3. 3. Kalkulierbarkeit des Schadens No access
  2. II. Rechtliche Grenzen der Versicherbarkeit No access
1. 1. I. Zum Begriff Ransomware No access
  2. II. Kursorischer Entwicklungsüberblick No access
  3. III. Technische Katalogisierung No access
  4. 1. 1. a. Phishing No access
      2. b. Drive-by-Exploits No access
      3. c. Back-ups und Sicherheitskopien als Angriffsziel No access
    2. 2. Unterschiedliche Erpressungsmethoden No access
    3. 3. Zunehmender Wettbewerb durch Ransomware- as-a-Service No access
  5. V. Zwischenergebnis No access
2. 1. I. Zur Auslegung von Versicherungsbedingungen No access
  2. 1. 1. Definition des Lösegeldbegriffs No access
    2. 1. aa. Ransomware als Informationssicherheitsverletzung No access
        bb. Lösegeldzahlungen als Vermögensschaden No access
        cc. Ransomware als versichertes Ereignis No access
      2. b. Ransomware als definierte Tathandlung No access
      3. c. Ransomware als Netzwerksicherheitsverletzung No access
    3. 1. a. Zur Beweislastverteilung bei vorvertraglichen Ransomwareattacken No access
      2. b. Anwendung des Schadensereignisprinzips No access
      3. c. Anwendung des Manifestationsprinzips No access
    4. 1. (1) Auslegung des Kriegsbegriffs No access
        (2) Auslegung des Terrorbegriffs No access
        bb. Der Fall Merck ./. Ace American No access
        cc. Der Fall Mondelez ./. Zurich Versicherungen No access
        dd. Zwischenergebnis No access
      2. b. Ausschluss bei Verstößen gegen Sanktionen und Embargobestimmungen No access
3. 1. 1. 1. a. Anspruch auf Zulassung gem. 8 Abs. 1 VAG No access
      2. aa. Keine dauernde Erfüllbarkeit der Verpflichtungen gem. § 11 Abs. 1 Nr. 1 VAG No access
        bb. Gefährdung der Belange der Versicherten gem. § 11 Abs. 1 Nr. 4 lit. a VAG No access
        cc. Umfang der aufsichtsbehördlichen Prüfpflicht No access
    2. 2. Missstandsaufsicht gem. § 294 Abs. 2 VAG No access
    3. 1. a. Aufhebung des Bündelungsverbotes No access
      2. b. Fortgeltung übriger Rahmenvorgaben des BAV aus dem Jahr 1998 No access
      3. c. Kritische Betrachtung der aufsichtsbehördlichen Rahmenvorgaben No access
    4. 4. Ergebnis zur versicherungsaufsichtsrechtlichen Zulässigkeit No access
  2. 1. 1. (α) Anonymität der Hacker No access
        (β) Keine Bestimmung organisatorischer Verbundenheit No access
        (ii) Lösegeld als Unterstützungshandlung No access
        (iii) Anwendbarkeit des Tatbestands bei Zahlungen an ausländische Vereinigungen No access
        (iv) Subjektiver Tatbestand No access
        (α) Lösegeldzahlung als erforderliches Mittel der Gefahrenabwehr No access
        (β) Abwägung der widerstreitenden Interessen im Nötigungsnotstand No access
        (γ) Stellungnahme: Notwendigkeit eines vermittelnden Rechtfertigungsansatzes No access
        (ii) Zwischenergebnis No access
        (3) Entschuldigender Notstand No access
        (4) Verbotsirrtum No access
        (5) Ergebnis zur Strafbarkeit nach § 129 Abs. 1 S. 2 Var. 1 StGB No access
        bb. Unterstützung einer terroristischen Vereinigung gem. § 129a Abs. 5 StGB No access
        cc. Geldwäsche gem. § 261 StGB No access
        dd. Zwischenergebnis No access
      2. (1) EU-Cyber-Verordnung Nr. 796/2019 No access
        (2) EU-Terror-Verordnung Nr. 2580/2001 No access
        bb. Ergebnislosigkeit des Listenabgleichs No access
    2. 1. a. Voraussetzungen eines sittenwidrigen Versicherungsvertrages No access
      2. b. Vereinbarkeit der Lösegeldversicherung mit einer effektiven Generalprävention No access
    3. 1. (i) Extraterritorialität von US Secondary Sanctions No access
        (ii) Specially Desginated Nationals and Blocked Persons List No access
        (2) Antiterrorism and Effective Death Penalty Act No access
        (3) Zwischenergebnis No access
        (1) Terrorism Act 2000 No access
        (2) Proceeds of Crime Act 2002 No access
        (3) Zwischenergebnis No access
      2. (i) Zwingende Vorschrift mit internationalem Geltungsanspruch No access
        (ii) Überindividualer Normzweck No access
        (i) Geltung der Verbotsvorschriften am Erfüllungsort No access
        (ii) Übereinstimmung zwischen deutscher Rechtsordnung und Wertungen der Verbotsvorschriften No access
        bb. Zwischenergebnis No access
      3. aa. Sperrwirkung des Art 9 Abs. 3 Rom I-VO No access
        bb. Zulässigkeit der materiellrechtlichen Berücksichtigung No access
      4. aa. Anwendbarkeit des § 138 Abs. 1 BGB No access
        (1) Zur Sittenwidrigkeit im Kontext der Rechtsprechung des BGH No access
        (2) Mittelbarer Schutz deutscher Interessen No access
        (3) Verbotsvorschrift dient der internationalen Staatengemeinschaft No access
    4. 4. Ergebnis zur bürgerlich-rechtlichen Untersuchung No access
4. D. Zusammenfassung der wesentlichen Ergebnisse zur Versicherung von Lösegeldern bei Ransomware No access
1. 1. 1. 1. Zunehmende Datenschutzverstöße No access
    2. 2. Konsequente Sanktionierung: Wettlauf der Bußgeldhöhen No access
    3. 3. Cyberangriffe und Datenschutzverstöße No access
  2. 1. 1. Die Datenschutzgrundverordnung No access
    2. 2. Ergänzende Vorgaben des BDSG No access
    3. 3. Einfluss der europäischen Rechtsprechung: Das „Schrems-II-Verfahren“ No access
    4. 4. Drittstaatliche Datenschutzvorschriften No access
  3. 1. 1. Art. 83 DSGVO No access
    2. 2. § 43 BDSG No access
    3. 3. Drittstaatliche Bußgeldvorschriften No access
2. 1. 1. 1. Bußgelder als Vermögensschaden No access
    2. 2. Bußgeldzahlungen als versichertes Ereignis nach den AVB-Cyber No access
    3. 1. a. Datenschutzverletzung No access
      2. b. Vertraulichkeitsverletzung No access
      3. c. Netzwerksicherheitsverletzung No access
  2. 1. 1. California Consumer Privacy Act No access
    2. 2. Personal Information Protection Law of the People’s Republic of China No access
    3. 3. UK Data Protection Act 2018 No access
  3. 1. 1. Datenschutzverletzung „nicht vorsätzlich oder nicht durch den VN begangen“ No access
    2. 2. Datenschutzverletzung „erstmals während der Vertragslaufzeit“ No access
    3. 3. Versicherungsschutz im Rahmen der „rechtlichen Zulässigkeit“ No access
3. 1. 1. 1. Zulässigkeit des Bußgeldregresses No access
    2. 1. a. LG Bonn: Datenschutzrechtliche Verbandshaftung von Unternehmen No access
      2. b. LG Berlin: Erfordernis der persönlichen Verantwortlichkeit No access
      3. c. Stellungnahme No access
    3. 3. Versicherungsaufsichtsrechtliche Perspektive No access
    4. 1. aa. Straf- und Vollstreckungsvereitelung gemäß § 258 Abs. 1, 2 StGB No access
        bb. Begünstigung gemäß § 257 StGB No access
        cc Untreue gemäß § 266 StGB No access
        dd. Beteiligungshandlung gemäß § 27 StGB und 14 OWiG No access
        ee. Gewohnheitsrechtlich anerkannte Verbotsgesetze No access
      2. aa. Meinungsstand zur Sittenwidrigkeit der Deckung von Bußgeldern No access
        (α) Bußgelder nach Art. 83 Abs. 4 DSGVO No access
        (β) Bußgelder nach Art. 83 Abs. 5 DSGVO No access
        (γ) Bußgelder nach Art. 83 Abs. 6 DSGVO No access
        (ii) Zweck und Leitfunktionen von DSGVO-Bußgeldern No access
        (iii) Beeinträchtigung der Abschreckungswirkung No access
        (2) Verringerte Hemmschwelle bei fahrlässigen Datenschutzverletzungen No access
      3. c. Zwischenergebnis No access
  2. 1. 1. Anwendbares Recht im Kontext der rechtlichen Zulässigkeit No access
    2. 1. a. Rechtliche Zulässigkeit nach der bußgeldverhängenden Rechtsordnung No access
      2. b. Zulässigkeit im Kontext mehrerer Rechtsordnungen No access
    3. 1. aa. Versicherbarkeit von Bußgeldern im europäischen Ausland No access
        (1) Verhängung von civil penalties nach US-amerikanischen Recht No access
        (i) Versicherbarkeit in Delaware No access
        (ii) Versicherbarkeit in Kalifornien No access
        (iii) Zwischenergebnis No access
      2. aa. Ausländische DSGVO-Bußgelder No access
        bb. Drittstaatliche Bußgelder No access
        cc. Sonderfall: Willkürlich verhängte Bußgelder aus Drittstaaten No access
    4. 4. Zwischenergebnis No access
  3. III. Rechtsfolge No access
4. D. Stellungnahme: Versicherungsschutz für Bußgelder als Potemkinsches Dorf No access
1. 1. I. Zur Versicherung von Lösegeldern bei Ransomware No access
  2. II. Zur Versicherung von Bußgeldern bei Datenschutzverstößen No access
2. B. Ausblick No access
3. C. Zusammenfassung der wesentlichen Ergebnisse in Thesen No access
1. A. Literatur No access
2. B. Sonstige Quellen No access