Regulierung von Cyber-Schäden in Frankreich setzt Strafanzeige voraus
Das am 24. Januar 2023 verabschiedete Gesetz zur Orientierung und Programmierung des Innenministeriums fügt erstmals einen Artikel zur Cyberversicherung in das französische Versicherungsgesetzbuch ein. Dieser Artikel knüpft die Regulierung von Schäden durch Cyber-Angriffe an die Bedingung, dass der Geschädigte innerhalb von 72 Stunden Strafanzeige erstattet hat.
Trotz einer Zunahme der Cyber-Angriffe in Umfang, Häufigkeit und Komplexität ist festzustellen, dass der französische Markt für Cyberversicherungen bisher schwach entwickelt ist. Für das Jahr 2021 betrug das Prämienvolumen von Versicherungen gegen Cyberrisiken in Frankreich ca. 219 Millionen Euro, was etwa 3,1 % des gesamten Prämienvolumens der gewerblichen Sachversicherung ausmacht und 0,35 % des gesamten Prämienvolumens der Sach- und Haftpflichtversicherung.
Im Anschluss an eine umfassende Konsultation der betroffenen Interessengruppen hat das französische Wirtschafts- und Finanzministerium im September 2022 einen umfassenden Bericht zum Markt der Cyber-Versicherung vorgelegt. Dieser Bericht untersucht die praktischen Probleme der Cyberversicherung und zeigt eine Reihe von Lösungsansätzen auf.
Als eine Maßnahme empfiehlt der Bericht die Verbesserung des rechtlichen Rahmens für die Versicherung von Cyberrisiken. Neben der Entwicklung von Best Practices im Bereich der Vertragsgestaltung wird u. a. empfohlen, gesetzlich klarzustellen, dass Schäden durch Cyber-Erpressung (insbesondere durch sog. Ransomware) versicherbar sind. Gleichzeitig soll den Versicherern die Regulierung solcher Schäden nur unter der Voraussetzung gestattet sein, dass der Geschädigte Strafanzeige gestellt hat. Dies soll verhindern, dass die Absicherung der Risiken zu einer Zunahme von Angriffen führt, da versicherte Opfer geneigt sein könnten, das geforderte Lösegeld zu zahlen und auf eine Strafanzeige zu verzichten.
Die zuletzt genannte Maßnahme hat der französische Gesetzgeber inzwischen umgesetzt. Mit Artikel (L.12-10-1) wurde im Versicherungsgesetzbuch erstmalig eine Bestimmung eingeführt, die speziell die Cyberversicherung betrifft. Danach setzt die Regulierung von Verlusten und Schäden, die durch einen Angriff auf ein automatisiertes Datenverarbeitungssystem verursacht wurden, voraus, dass das Opfer spätestens 72 Stunden nach Kenntniserlangung eine Anzeige bei den zuständigen Behörden erstattet hat. Die Anwendung der Vorschrift ist auf Unternehmer beschränkt. Sie tritt am 24. April 2023 in Kraft.
Der Anwendungsbereich des ursprünglichen Gesetzesentwurfes war, wie im Bericht vorgeschlagen, auf Lösegelder beschränkt. Die verabschiedete Vorschrift betrifft jedoch die Regulierung aller Schäden, die durch Cyber-Angriffe verursacht wurden.
In diesem Zusammenhang ist zu erwähnen, dass im Dezember 2022 die Versicherung von Sachschäden und finanziellen Verlusten aufgrund von Angriffen auf Informations- und Kommunikationssysteme als eigenständige Versicherungskategorien in Artikel A.344-2 Nrn. 32 und 33 des französischen Versicherungsgesetzbuches eingeführt worden sind. Zuvor fielen Cyberversicherungen in die allgemeineren Kategorien Sachversicherung, Haftpflichtversicherung und Vermögensschadenversicherung. Durch die Einführung der neuen Sparten haben die Versicherer die Möglichkeit, für Cyberrisiken eigene Regeln, wie z. B. besondere Garantieausschlüsse vorzusehen.
Gut zu wissen:
Der neue Artikel L.12-10-1 wird die betroffenen Unternehmen vermehrt dazu zwingen, bei Cyberangriffen Strafanzeige zu erstatten. Daneben besteht gemäß der DSGVO auch die Pflicht, den Angriff innerhalb von 72 Stunden der zuständigen Datenschutzbehörde zu melden (in Frankreich der CNIL, die dafür eine spezielle Webseite bereitstellt), falls personenbezogene Daten verletzt wurden (Verlust, Verletzung der Datenintegrität oder -vertraulichkeit).
