Postu­lat Ammann (18.3565): Scha­dens­deckung. Ereig­nis­li­mi­te bei Cyber­an­grif­fen

Eingereichter Text

Der Bun­des­rat wird beauf­tragt, die Ein­füh­rung einer Ereig­nis­li­mi­te bei Cyber­an­grif­fen zu prü­fen, ab wel­cher der Bund in einer fest­ge­leg­ten Höhe die Scha­dens­deckung über­nimmt.

Begründung

Die Digi­ta­li­sie­rung führt zu einer star­ken Ver­net­zung der Wirt­schaft. Dies bringt vie­le Vor­tei­le, erhöht aber auch das Risi­ko von Gross­ereig­nis­sen, wel­che rie­si­ge Schä­den anrich­ten kön­nen. Das der­zei­ti­ge Bedro­hungs­po­ten­zi­al von Cyber-Risi­ken ist des­halb sehr hoch; dies wird allein in der Schweiz jähr­li­che Kosten bis zu 9,5 Mil­li­ar­den Fran­ken ver­ur­sa­chen. Bei solch hohen Scha­dens­sum­men und mög­li­chen Geschä­dig­ten, stellt sich die Fra­ge nach der Rol­le des Staa­tes.

Die Risi­ken des “täg­li­chen Lebens” sind bereits heu­te ver­si­cher­bar und dies wird auch von immer mehr Unter­neh­men genutzt. Bei Gross­ereig­nis­sen hin­ge­gen stellt sich die Fra­ge der Ver­si­cher­bar­keit bzw. der dazu not­wen­di­gen Ver­si­che­rungs­ka­pa­zi­tä­ten. Die Scha­dens­sum­men bei einem gro­ssen Cyber­an­griff auf zen­tra­le Infra­struk­tu­ren oder auf einen gro­ssen Bereich der Wirt­schaft wären für Ver­si­che­rer nicht mehr ver­kraft­bar. In die­sem Bereich könn­te also ohne­hin nur eine beschränk­te Ver­si­che­rungs­pflicht ein­ge­führt wer­den, wie man sie z.B. im Bereich der Atom­kraft­wer­ke kennt. Gleich­zei­tig stellt sich die Fra­ge, wie weit der Staat selbst Schä­den abgel­ten soll­te. Denn der Bund könn­te sich bei einem Gross­ereig­nis einer gewis­sen Deckung auf­grund des öffent­li­chen Druckes kaum ent­zie­hen. Ähn­li­che Fra­gen wur­den auch bei der Aus­ar­bei­tung eines Modells einer flä­chen­decken­den Erd­be­ben­ver­si­che­rung gestellt. Damals zeigt sich der Bund bereit, einen Betrag von 10 Mil­li­ar­den Fran­ken pro Ereig­nis zu über­neh­men. Die Fra­ge ist, ob eine sol­che Lösung auch im Bereich der Cyber-Risi­ken ein­ge­führt wer­den könn­te.

In einem Bericht soll auf­ge­zeigt wer­den, wie eine sol­che Deckung ein­ge­führt wer­den könn­te und was für Kon­se­quen­zen dies hät­te. Was für Aus­wir­kun­gen hät­te eine sol­che Rege­lung auf die Wirt­schaft, ins­be­son­de­re auf die Ver­si­che­rungs­bran­che – Stich­wort “Moral Hazard”? Wel­che gesetz­li­chen Anpas­sun­gen müss­ten vor­ge­nom­men wer­den um eine sol­che Deckung auf Bun­des­ebe­ne ein­zu­füh­ren? Ab wel­cher Ereig­nis­li­mi­te müss­te der Bund eine gewis­se Deckung über­neh­men um den grösst­mög­li­chen Scha­den abzu­wen­den, ohne dabei die Ver­si­che­rungs­bran­che zu kon­kur­ren­zie­ren? Wie stellt sich der Bun­des­rat zu einer sol­chen staat­li­chen Auf­fang­lö­sung für Cyber-Risi­ken?

Stellungnahme des Bundesrats vom 29.8.18

Der Bun­des­rat beob­ach­tet die Ent­wick­lung des Ver­si­che­rungs­markts für Cyber-Risi­ken mit gro­ssem Inter­es­se und stellt fest, dass in jüng­ster Zeit sehr vie­le neue Ange­bo­te in die­sem Bereich ent­stan­den sind. Dabei stellt sich tat­säch­lich die Fra­ge, wie mit den Risi­ken von Gross­ereig­nis­sen mit gra­vie­ren­den Aus­wir­kun­gen auf die gan­ze Schweiz umge­gan­gen wer­den kann.

Der Bei­rat “Zukunft Finanz­platz Schweiz” hat sich in sei­nem Bericht über die Rah­men­be­din­gun­gen für die Ver­si­cher­bar­keit von Cyber-Risi­ken unter ande­rem mit die­ser Fra­ge befasst. Der Bericht wur­de dem Bun­des­rat im Juni 2017 unter­brei­tet. Dar­in kom­men die Exper­tin­nen und Exper­ten zum Schluss, die Fra­ge einer staat­li­chen Deckung für Cyber-Schä­den als Opti­on zu einem spä­te­ren Zeit­punkt zu prü­fen, falls auf dem Ver­si­che­rungs­markt dafür “nicht genü­gend Markt­ka­pa­zi­tät oder wesent­li­che Markt­lücken ent­ste­hen”.

Der Bun­des­rat teilt die Ein­schät­zung des Bei­rats, dass eine Prü­fung der Opti­on einer staat­li­chen Deckung von Cyber-Risi­ken erst dann erfol­gen soll­te, wenn abge­schätzt wer­den kann, wel­ches Poten­ti­al die markt­wirt­schaft­li­chen Lösun­gen haben. Weil der Markt für Cyber-Ver­si­che­run­gen in der Schweiz erst seit kur­zem besteht und sich aktu­ell rasch wei­ter­ent­wickelt, scheint es nicht sinn­voll, dass der Staat bereits heu­te fest­legt, ob eine Ereig­nis­li­mi­te ein­ge­führt wer­den und wie hoch sie gege­be­nen­falls sein soll. Auch über die Aus­wir­kun­gen einer mög­li­chen staat­li­chen Auf­fang­lö­sung könn­te zum heu­ti­gen Zeit­punkt nur spe­ku­liert wer­den, da für eine sol­che Abschät­zung zunächst eine Kon­so­li­die­rung des sich erst ent­wickeln­den Mark­tes nötig wäre.

Schliess­lich hält der Bun­des­rat eine Dis­kus­si­on um eine staat­li­che Deckung von Cyber-Risi­ken ins­be­son­de­re auch des­halb für ver­früht, weil sie dazu füh­ren könn­te, dass markt­wirt­schaft­li­che Lösun­gen der Risi­ko­ab­si­che­rung, wie Ver­si­che­rungs­pools, Rück­ver­si­che­run­gen und Alter­na­ti­ver Risi­ko­trans­fer am Kapi­tal­markt für Cyber-Risi­ken nicht mehr geprüft wür­den. Eine Über­nah­me von Rest­ri­si­ken der Ver­si­che­rungs­bran­che durch den Bund stün­de zudem ord­nungs­po­li­tisch im Gegen­satz zu Bestre­bun­gen, die Eigen­ver­ant­wor­tung der Finanz­in­sti­tu­te zu stär­ken, wie zum Bei­spiel mit den “Too-big-to-fail” Bestim­mun­gen.

Bereits beur­teilt wer­den kann hin­ge­gen die recht­li­che Situa­ti­on. Heu­te besteht kei­ne Ver­fas­sungs­grund­la­ge für eine Deckung von Cyber-Schä­den durch den Bund. Für eine staat­li­che Auf­fang­lö­sung, wie sie im Postu­lat skiz­ziert wird, wäre des­halb vor all­fäl­li­gen gesetz­li­chen Anpas­sun­gen eine Ver­fas­sungs­än­de­rung nötig.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.