Németországban a tübingeni tartományi bíróság 2023. május 26-án fontos, az EU más országaiban működő cégek számára is tanulságos ítéletet hozott a kiberbiztosítási szerződések alapján érvényesített kárigényekkel (ezen belül is a fedezeti kifogásokkal és a kiberbiztosítási szerződéskötést megelőző tájékoztatási kötelezettséggel) kapcsolatban.
Az ügy előzményei:
A biztosítóval szerződő felet 2020-ban kibertámadás érte. A támadók zsarolóvírust helyeztek el a biztosított céges laptopján, bitcoinban váltságdíjat követeltek, és a laptopon talált üzleti titkok közzétételével fenyegetőztek.
A kiberbiztosítási szerződés alapján a biztosító elállhatott a szerződéstől, ha a biztosított megszegte az előzetes tájékoztatási kötelezettségét. Ezen túlmenően, az alkalmazandó német biztosítási törvény alapján, ha a biztosítási eseményt a biztosított súlyos gondatlansággal okozza, a biztosító jogosult arányosan csökkenteni az általa teljesítendő kifizetést.
A kibertámadás utáni kárrendezés során kiderült, hogy a biztosított nem hajtott végre általános IT biztonsági intézkedéseket, nem telepített több éve elérhető biztonsági frissítéseket, valamint pontatlan válaszokat adott a biztosító szerződéskötés előtti kockázatértékelési kérdéseire (megsértve ezzel az előzetes tájékoztatási kötelezettségét). A biztosító a fenti okokra hivatkozva elállt a biztosítási szerződéstől. A biztosított véleménye szerint az elállás nem volt jogszerű, és emiatt pert indított a biztosító ellen.
A bíróság megállapításai:
A bíróság szerint
a biztosító nem mentesülhet a teljesítés alól, a követelés mérséklése pedig kizárt, ugyanis a biztosító nem bizonyította megfelelően a felperes súlyos gondatlanságát.
A bíróság elsőfokú ítéletében ezzel kapcsolatban az alábbi megállapításokat tette:
Előzetes tájékoztatási kötelezettség. A bíróság megállapította, hogy a biztosítási eseményt nem a szerződéskötést megelőző tájékoztatási kötelezettség esetleges megszegése (a kockázatértékelési kérdések téves megválaszolása) okozta, így az nem befolyásolta a biztosítási fedezet meghatározását vagy terjedelmét.
Megtévesztés. A bíróság szerint az előzetes kockázatértékelési kérdésekre való nem egyértelmű válaszadás önmagában nem minősül megtévesztésnek. A bíróság megállapította, hogy a kérdésekre adott válaszokat szubjektív szempontból is vizsgálni kell, vagyis meg kell nézni, hogy a biztosított a megtévesztés szándékával befolyásolni kívánta-e a biztosító döntését.
Kockázatnövekedés. A bíróság azt is vizsgálta, hogy a szerződéskötést követően nőtt-e a biztosításhoz kapcsolódó kockázat, mert a biztosított nem végezte el a további szoftverfrissítéseket, illetve nem cserélte ki az elavult szervereket. A bíróság szerint a biztosító hallgatólagosan elfogadta a fennálló kockázati helyzetet azzal, hogy a szerződéskötést követően nem kért további kockázati információkat a biztosítottól. (A biztosító a német biztosítási törvény 81. § (2) bekezdése alapján nem háríthatta át a biztosítottra a biztosítás kezdetétől fogva fennálló kockázatokat.)
Tanulságok a biztosítók és a biztosítottak számára
Az ítélet megállapításai nem igazán kedvezőek a kiberbiztosítást nyújtó biztosítók számára.
Fontos ezért, hogy a biztosítók felülvizsgálják szerződéses feltételeiket az alábbi szempontok alapján:
- A kiberbiztosítási szerződés megkötését megelőzően elég szigorúak és pontosak-e a biztosító által végzett kockázatértékelés feltételei, ideértve különösen az ezzel kapcsolatos kérdéseket és a biztosítottól kért nyilatkozatokat?
- Részletesen tartalmazza-e a kiberbiztosítási szerződés a biztosított IT biztonsági kötelezettségeit, elsősorban a GDPR 32. cikke által is előírt technikai és szervezési intézkedések bevezetését, szinten tartását és adott esetben továbbfejlesztését?
- Végül, a kiberbiztosítási szerződés megfelelő jogokat határoz-e meg a biztosító számára (adott esetben akár a szerződés rendkívüli felmondását is), ha a biztosított megszegte akár a kockázatértékeléssel, akár az IT biztonsági intézkedésekkel kapcsolatos kötelezettségeit?
