Cybercrime oder Cyberwar?

Cyberversicherungen

2017 wurde der amerikanische Lebensmittelkonzern Mondelez (Toblerone, Stimorol, Milka u.v.a.) Opfer einer Cyberattacke mit der Malware Petya bzw. NotPetya. Mondelez hat eine Cyberversicherung bei der Schweizer Versicherungsgesellschaft Zurich. Diese weigert sich jedoch den Schaden von behaupteten US$ 100 Mio. (!) zu übernehmen. Zurich wendet ein, die Police mit Mondelez enthalte einen Passus, der Risiken aus „feindlicher oder kriegsähnlicher Handlung“ durch eine „Regierung oder souveräne Macht“ ausschliesst. In der Folge hat Mondelez bei einem Gericht im US-Bundesstaat Illinois gegen Zurich Klage eingereicht. Gemäss beim Gericht eingereichter Unterlagen wurden bei Mondelez 1’700 Server und 24’000 Laptops dauerhaft beschädigt.

Ueli Grüter zum Cyberstreit zwischen Mondelez und Zurich in der Sendung 10vor10 von SRF vom 07.02.2019

Beweislast liegt bei Zurich

Da es sich um einen Versicherungsausschluss handelt, muss Zurich nun beweisen, dass die Cyberattacke gegen Mondelez ein feindliche oder kriegsähnliche Handlung einer Regierung oder einer souveränen Macht war. Dies dürfte ein sehr schwierig zu erbringender Beweis sein, da er wohl nur mittels Informationen von Geheimdiensten möglich ist, die für einen Zivilprozess wohl schwierig zu bekommen sind. Kann Zurich den Beweis nicht erbringen, wird Zurich wohl zahlen müssen. Bei der Sache Mondelez versus Zurich dürfte es sich um einen Präzedenzfall handeln, wurden doch bis jetzt nur Fälle von Cybercrime und nicht von Cyberwar gerichtlich beurteilt.

Unterschied zwischen Cybercrime und Cyberwar

Der Unterschied zwischen Cybercrime und Cyberwar ist, dass Cybercrime von Privaten begangen wird, währenddem Cyberwar von einem Staat (oder einer Volksgruppe) ausgeht (s. auch Wikipedia zur Definition des Begriffs „Krieg“: https://de.wikipedia.org/wiki/Krieg).

Sind Cyberversicherungen sinnvoll?

Immer, wenn in einem Fall eine Versicherung eine Zahlung verweigert, stelle sich auch die Frage, ob sich ein solche Versicherung denn überhaupt lohnt. Dies kann man sich natürlich auch bei einer Cybersicherung fragen. Bei allen Versicherungen sind für diese Einschätzung folgende Punkte bzw. Fragen wichtig:

Welches sind die konkreten Risiken und sind sie durch die Versicherung wirklich gedeckt bzw. eben nicht ausgeschlossen?

Ist die Summe der Versicherungsdeckung genügend hoch?

Was ist bei Cyberversicherungen besonders zu beachten?

Da die Risiken für die Versicherungen im Bereich Cybercrime besonders hoch sind, neigen sie dazu, diverse Risiken vom Versicherungsschutz auszuschliessen. Aus diesem Grund ist es bei der Cyberversicherung besonders wichtig, genau hinzuschauen und auch das „Kleingedruckte“ zu lesen und kritisch zu hinterfragen. Wenn nicht klar ist, ob ein Risiko wirklich gedeckt ist oder Klauseln nicht klar sind, müssen diese Punkte unbedingt mit der Versicherung erörtert werden. In der Folge sollte sich eine Versicherung auch zur Deckung von strittige Risiken explizit und schriftlich bekennen.

Offensichtlich haben sich weder Mondelez, noch Zürich mit der Ausschlussklausel betreffend Cyberwar ausdrücklich befasst. Sonst würden sie sich jetzt nicht vor Gericht gegenüberstehen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch

Stiftung für Konsumentenschutz SKS konstruiert „Sammelklage“ gegen VW und AMAG

Ueli Grüter in der Tagesschau von SRF vom 07.09.2017 zur SKS-Sammelklage
Ueli Grüter in der Tagesschau von SRF vom 29.12.2017 zur SKS-Sammelklage

Zu den spektakulärsten Prozessen gehöhren die Sammelklagen (Class Actions) in den USA. Da klagt ein Rechtsanwalt für Tausende von Geschädigten auf Schadenersatz, z.B. auch gegen den Volkswagenkonzern im Diesel-Skandal. In den USA lebt eine eigentliche juristische Industrie von Sammelklagen, weil man in diesen Verfahren aufgrund der Hebelwirkung Millionen herausholen kann. Zudem werden aufgrund dieses Umstandes die Prozesse oft durch Vergleich, also eine Vereinbarung der Parteien im Prozess erledigt. Neben dem Big-Business für Rechtsanwälte und den mehr oder weniger grossen Entschädigungen für die Betroffenen (ich habe im Rahmen eines Vergleichs mit Amazon wegen einem Buchkartell eine Entschädigung von US$ 10.07 erhalten …), verhelfen Sammeklagen, neben der Punitive Damages (Strafzahlungen in Millionenhöhe im Zivilprozess) vor allem auch dem Konsumentenschutz zum Durchbruch.

Diesen Hebel möchte nun auch die Stiftung für Konsumentenschutz (SKS) für die Durchsetzung des schweizerischen Konsumentenrechts nutzen. Denn dieses ist bis dato „toter Buchstabe“. Konsumentinnen und Konsumenten klagen nicht, weil das Prozessrisiko für den einzelnen zu gross ist. Die Konsumentenschutzorganisationen klagen nicht, weil sie die notwendigen finanziellen Ressourcen nicht haben. Einen Ausweg aus diesem Dilemma sieht die SKS offenbar in der Sammelklage – obwohl des eine solche in der Schweiz formell gar nicht gibt!

Das scheint für die SKS kein Hindernis zu sein. Sie konstruiert einfach eine Sammelklage. Geht das überhaupt und wenn ja, wie?

Bei einer echten Sammelklage, wie es sie eben z.B. in den USA gibt, ist es möglich, mit einer einzigen Klage für alle Betroffenen zu klagen. Bei der US-Class-Action ist es sogar so, dass auch für diejenigen geklagt wird, die nicht explizit ihre Teinahme zugesagt haben. Wer nicht dabei sein will (weil er z.B. selber klagen will) muss dies explizit erklären (sogenanntes Opt-Out).

SKS versucht nun in der Schweiz in einem Musterprozess eine Sammelklage zu imitieren. Effektiv handelt es sich jedoch um eine Einzelklage (vorab eine Klage auf Feststellung unlauteren Verhaltens im Namen von SKS selbst) sowie eine Klagehäufung (mehrere einzelne Schadenersatzklagen gegen den gleichen Beklagten). Dabei hofft SKS wohl auch, wie dies eben häufig in den USA geschieht, dass ihre Prozessgegner nach einem ersten Urteil gegen sie einknicken und in einen Vergleich, also eine Vereinbarung zugunsten aller Kläger einwilligen.

Der Challenge bei diesem Vorgehen liegt m.E. weniger bei den Rechtfragen, sondern bei den technischen Fragestellungen und in der Kommunikation mit Hunderten, ja möglicherweise Tausenden von Personen, die ihre Ansprüche gegen VW und AMAG an die SKS abtreten. Da liegt eben der entscheidende faktische Unterschied zu einer effektiven Sammelklage, wie sie in den USA existiert. Aus diesem Grund dürften denn auch Sammelklagen, wenn auch nur konstruierte, in der Schweiz kein Big-Business werden.

Gerade deswegen muss man der SKS gegenüber besonders dankbar sein, dass sie die Mühsal einer konstruierten Sammelklage auf sich nimmt – für einen bissigen Konsumentenschutz auch in unserem Land!

Wie managed ein Gericht 6’000 praktisch identische Einzelklagen?

Da es in der Schweiz die formelle Sammelklage nicht gibt, wurden in der Sache gegen VW und AMAG 6’000 Einzelklagen eingereicht, die nun vom Gericht grundsätzlich auch einzeln beurteilt werden müssen. Immerhin dürfte es sich um eine sogenannte Klagehäufung handeln, bei der ein Gericht die Prozesse zusammenlegen kann. Nichtsdestotrotz handelt es sich bei den beanstandeten Dieselfahrzeugen um individuelle Güter (unterschiedliches Alter, unterschiedlicher Kilomenterstand, unterschiedlicher Zustand), sodass das Gericht wohl nicht umhin kommt, 6’000 Fahrzeuge einzeln zu beurteilen. Und die Kläger müssen ebenfalls auf jedes Fahrzeug individuell eingehen und den individuellen Schaden belegen. Dies entspricht der Substantiierungspflicht. Wenn die Kläger dieser Pflicht nicht nachkommen, könnte das Gericht seinerseits auf die Sache nicht eingehen. Interessant wäre in diesem Kontext zu vernehmen, inwiefern sich die Sache sowohl auf Seiten der Parteien, wie auch beim Gericht standardisieren lässt. Evtl. gibt es da einmal die Möglichkeit, von Seiten der Hochschule Einblick zu nehmen um daraus für künftige entsprechende Prozesse zu lernen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch