von Elif Akinci
Wie überall auf der Welt stellen Cyberangriffe auch in der Türkei eine große Bedrohung für Unternehmen dar. In einem Interview im vergangenen Jahr erklärte der Vizepräsident für die EMEA-Region (Europa, Naher Osten, Afrika) von Comodo, einem US-amerikanischen Unternehmen für Cybersicherheit, dass die Türkei auf Platz 5 der weltweit am stärksten von Cyberangriffen betroffenen Länder steht.
Überblick über den türkischen Versicherungsmarkt
Bei der Einführung der Cyberversicherung auf dem türkischen Markt im Jahr 2010 und in den darauffolgenden Jahren war das Interesse potenzieller Versicherungsnehmer an dieser Versicherung groß, da die Unternehmen zahlreichen Cyberangriffen ausgesetzt waren. Da jedoch nicht genügend Policen zur Verfügung standen, waren die Prämien zu hoch, so dass die Nachfrage zurückging. Später, als die Cyber-Haftpflichtversicherung weltweit an Anerkennung gewann, wurden Policen ausländischer Herkunft für potenzielle türkische Versicherungsnehmer verfügbar, insbesondere über Makler. Mit der zunehmenden Verfügbarkeit von Policen sanken auch die Prämien. Heute machen die Cyberversicherungsprämien etwa 60% der Produkthaftpflichtversicherungsprämien auf dem türkischen Markt aus. Da der Prämienrückgang jedoch auf die Verbreitung von Cyber-Haftpflichtpolicen, insbesondere aus dem Ausland, zurückzuführen ist und nicht auf die Cyber-Haftpflichtpolicen türkischer Versicherer, die diese Deckung erst seit 2012 in begrenztem Umfang anbieten, werden die Prämien in der Regel in Fremdwährung festgelegt. Infolge der Covid-19-Pandemie und der anschließenden Weltwirtschaftskrise verlor die türkische Lira täglich an Wert gegenüber ausländischen Währungen. Aufgrund dieser wirtschaftlichen Schwankungen, die bis heute anhalten, sind die Prämien für Cyber-Versicherungen immer noch viel höher als erwartet, so dass kleine und mittlere Unternehmen dieses Risiko selbst tragen müssen. Aus diesem Grund sind Cyberversicherungen eine Versicherungsart, die in der Türkei nur von kapitalstarken Unternehmen abgeschlossen werden.
Rechtliche Entwicklungen im Bereich der Cyberversicherung in der Türkei
Obwohl es in der türkischen Rechtsprechung Entscheidungen zur Haftung bei Cybervorfällen gibt, wurde bisher noch kein Fall mit Bezug zu einer Cyber-Haftpflichtversicherung vor Gericht verhandelt. Dabei ist zu beachten: Es gibt in der Türkei keine gesetzlichen Regelungen oder allgemein anerkannte oder von einem Verband vorgegebene Versicherungsbedingungen für die Cyber-Sparte. Dies ist in Deutschland mit den vom GDV entwickelten AVB Cyber anders. Daher sind türkische AVB zu Cyberversicherungen im Rahmen der im türkischen Handelsgesetzbuch (THGB) geregelten Allgemeinen Versicherungsbedingungen im Rahmen des Grundsatzes der Vertragsfreiheit auszulegen. In diesem Zusammenhang sind bei der Bestimmung der Vertragsbedingungen neben den allgemeinen Vorschriften für Versicherungsverträge im THGB auch die besonderen Vorschriften für Sach- und Haftpflichtversicherungen zu berücksichtigt, da diese so geregelt werden können, dass sie sowohl Eigen- als auch Drittschäden abdecken.
Eine Thema, das im türkischen Recht im Bereich der Cyberversicherung Aufmerksamkeit erregt, ist die Frage, ob Bußgelder vom Versicherungsschutz gedeckt sind. In der Türkei kommt es häufig vor, dass Unternehmen von staatlichen Stellen Bußgelder für Schäden auferlegt werden, die Dritten durch Cyberangriffe entstanden sind. So wurde vor kurzem das größte türkische Online- Lebensmittelunternehmen „Yemeksepeti“ Opfer eines Cyberangriffs, bei dem die Telefonnummern, Benutzernamen und Passwörter von mehr als 21 Millionen Nutzern gestohlen wurden. Die türkische Datenschutzbehörde und das Amt für Informations- und Kommunikationstechnologien verhängten eine Verwaltungsstrafe in Höhe von 1,9 Mio.TL (etwa 54.000 EUR) gegen das Unternehmen, weil es gegen seine Datenschutzverpflichtungen verstoßen und keine Cybersicherheitsmaßnahmen getroffen hatte.
Art. 1404 THGB sieht vor (eigene, nichtamtliche Übersetzung): „Um einen Schaden des Versicherten oder Versicherungsnehmers, der sich aus einer Handlung ergeben könnte, die gegen zwingende Bestimmungen des Gesetzes, der guten Sitten, der öffentlichen Ordnung oder der Persönlichkeitsrechte verstößt, auszugleichen, darf keine Versicherung abgeschlossen werden.“ Die erwähnten Bußgelder wegen Datenschutzverletzungen wären ein entsprechender Schaden. In diesem Fall könnte zu empfehlen sein, bei Abschluss des Versicherungsvertrags solche Bußgelder vom Deckungsumfang ausschließen. Andernfalls könnte der Versicherungsvertrag nach türkischem Recht ggf. rückwirkend als ungültig angesehen werden.
Ein weiterer Punkt, den es zu beachten gilt, ist, dass der Versicherungsnehmer gemäß Art. 1444 THGB nach Vertragsabschluss ohne Zustimmung des Versicherers keine Verhaltensweisen und Handlungen vornehmen darf, die die bestehende Situation verschlechtern oder somit gefahrerhöhende Umstände herbeiführen. Dies bedeutet, dass Versicherer, die eine Cyberversicherung abschließen, technische, systemische und administrative Maßnahmen gegen Cyberangriffe in Übereinstimmung mit den Marktstandards ergreifen müssen. In zahlreichen Entscheidungen der türkischen Oberlandesgerichte wurde festgestellt, dass Unternehmer umsichtig handeln und angemessene technische und sicherheitstechnische Maßnahmen für den einwandfreien Betrieb der von ihnen genutzten Informationsverarbeitungssysteme ergreifen und die Daten in bestimmten Abständen sichern müssen, um zu verhindern, dass ihre Daten aufgrund von Cyberangriffen unbrauchbar werden. Kommt der Versicherungsnehmer dieser Verpflichtung nicht nach, so kann die Versicherungsleistung im Verhältnis zur Pflichtverletzung gekürzt oder ganz verweigert werden.
Fazit Infolge der dargestellten Problemfelder zögern viele Händler und Unternehmen in der Türkei, eine Cyberversicherung zur Deckung ihrer Verluste abzuschließen. Aus diesem Grund glauben wir, dass der erste Schritt für die Türkei darin bestehen sollte, Allgemeine Versicherungsbedingungen für die Cyberversicherung zu verfassen, um sodann die betroffenen Parteien über den Schutzbereich von Cyberversicherung zu aufzuklären und sie zum Abschluss von Cyberversicherungen zu ermutigen.