Am 23. Mai 2024 fällte das Landgericht Kiel (Az. 5 O 128/21) ein Urteil zu einer Cyberversicherung, nachdem der dortigen Klägerin nach einem Hackerangriff hohe Schäden entstanden sind. Ähnlich, wie in dem ersten Urteil zu einer Cyberversicherung (Landgericht Tübingen) drehte sich auch der Fall des Landgerichts Kiel um die Anfechtung eines Versicherungsvertrags aufgrund mutmaßlicher arglistiger Täuschung durch den Versicherungsnehmer. Wir zeigen die Hintergründe.
Wirth Rechtsanwälte unterstützen Sie bei der Durchsetzung Ihrer Versicherungsansprüche. Kontaktieren Sie uns!
Cyberversicherung – Anfechtung wegen arglistiger Täuschung
Im Fall des Landesgerichts Kiel hatte die Versicherungsgesellschaft den Vertrag wegen angeblicher arglistiger Täuschung durch falsche Angaben bei Vertragsabschluss der Cyberversicherung angefochten und sich damit der Leistungspflicht entzogen. Der Versicherungsnehmer widersprach dem und machte schließlich mit der Klage die Erstattung von Schäden in Höhe von fast 500.000 € geltend.
Dieses Urteil beleuchtet wichtige Aspekte der Einstandspflicht von Cyberversicherungen bei Hackerangriffen und die rechtlichen Anforderungen an die Risikobewertung sowie die Folgen unrichtiger Angaben im Antragsprozess.
Die Klägerin, ein Holzgroßhändler mit 16 Niederlassungen in Norddeutschland, schloss am 12. März 2020 eine Cyberversicherung ab, die durch eine Versicherungsagentur vermittelt wurde. Während des Antragsprozesses wurden Risikofragen vom Versicherungsnehmer beantwortet, die als Grundlage für den Vertragsabschluss der Cyberversicherung dienten. Später stellte sich heraus, dass einige dieser Antworten falsch waren und wesentliche Gefahrenumstände verschwiegen wurden.
Im Verlauf der trat dann der Schadensfall ein, woraufhin die Klägerin Ansprüche aus der Cyberversicherung geltend machte. Die Beklagte verweigerte jedoch die Zahlung mit der Begründung, der Versicherungsvertrag sei aufgrund arglistiger Täuschung nichtig.
Im Kern ging es um die Frage, ob die Beklagte berechtigt war, den Versicherungsvertrag wegen arglistiger Täuschung anzufechten. Das Gericht stellte fest, dass die Klägerin im Antragsprozess die Risikofragen falsch beantwortet hatte. Eine solche Täuschung berechtigt den Versicherer gemäß § 123 BGB zur Anfechtung des Vertrags.
Gerechtigkeit ist unser Antrieb
Rechtsfolgen der Anfechtung
Durch die erfolgreiche Anfechtung ist der Versicherungsvertrag von Anfang an unwirksam. Das bedeutet, dass die Beklagte nicht verpflichtet ist, die vereinbarten Versicherungsleistungen zu erbringen. Das Gericht betonte, dass eine Anfechtung insbesondere dann gerechtfertigt ist, wenn die falschen Angaben erheblich auf die Entscheidung des Versicherers Einfluss genommen haben, den Vertrag zu den vereinbarten Bedingungen abzuschließen.
Das Gericht wies die Klage vollständig ab, einschließlich des Feststellungsantrags und der vorgerichtlichen Anwaltskosten. Die Klägerin wurde zur Übernahme der Verfahrenskosten verurteilt.
Diese Entscheidung unterscheidet sich von einem früheren Urteil des Landgerichts Tübingen, in dem eine Zahlungspflicht der Versicherung trotz fehlender Updates bejaht wurde. Hier ging es um die Frage, ob die Versicherung den Vertrag wegen Täuschung anfechten kann, um sich der Leistungspflicht zu entziehen.
Täuschung aus Sicht des Gerichts
Das Gericht kam zu dem Schluss, dass falsche Angaben gemacht wurden, die auch arglistig waren. Die Klägerin habe die Risiken in ihrem IT-System entweder bewusst oder grob fahrlässig verschwiegen, was zur Nichtigkeit des Versicherungsvertrags wegen arglistiger Täuschung führte.
Falschbeantwortung der Risikofragen
Das Landgericht Kiel stellte fest, dass der Versicherungsnehmer (die Klägerin) im Antragsprozess Risikofragen falsch beantwortet hat. Dies betraf insbesondere Sicherheitsmaßnahmen und den Zustand der IT-Infrastruktur. Konkret wurden folgende Fragen fälschlicherweise mit „Ja“ beantwortet:
„Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet.“
„Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden.“
Tatsächlich waren zum Zeitpunkt des Angriffs mehrere zentrale Rechner der Klägerin nicht ausreichend geschützt:
– Ein Windows 2008 Server, der für den Betrieb des Webshops genutzt wurde, hatte keine aktuellen Sicherheitsupdates und keinen Virenschutz.
– Zwei Windows 2003 Rechner, die als Speicherplatz dienten, verfügten ebenfalls über keinen Virenschutz und keine aktuellen Sicherheitsupdates.
– Der Domain-Controller DC09 befand sich noch im Auslieferungszustand von 2019 und hatte weder Sicherheitsupdates noch Virenschutz erhalten.
Das Gericht bewertete die falschen Angaben als arglistige Täuschung. Der Versicherungsnehmer wusste entweder von den fehlenden Sicherheitsmaßnahmen oder handelte zumindest mit „bewusster Unkenntnis“. Der für die IT-Abteilung zuständige Zeuge der Klägerin hatte die Fragen ohne gründliche Überprüfung der tatsächlichen Zustände beantwortet, obwohl dies mit geringem Aufwand möglich gewesen wäre. Dies zeigte sich beispielsweise daran, dass der Zeuge keine Systemüberprüfung durchführte und sich nicht daran erinnerte, Rücksprache mit anderen Mitarbeitern gehalten zu haben.
Verteidigung des Versicherungsnehmers
Der Versicherungsnehmer verteidigte sich gegen den Vorwurf der Falschangaben und führte aus:
Der zuständige Zeuge habe beim Ausfüllen der Risikofragen nicht an bestimmte veraltete Server gedacht und diese spielten zudem keine zentrale Rolle im täglichen Betrieb. Für den Web-SQL-Server mit Windows 2008 habe ein erweiterter Supportvertrag bestanden, was die Beklagte jedoch bestritt.
Die Sicherheitsmaßnahmen seien durch eine doppelte Firewall und eine demilitarisierte Zone (DMZ) ausreichend gewesen. Es liege keine vorsätzliche Täuschung vor, da der Zeuge davon ausgegangen sei, dass die erforderlichen Sicherheitsmaßnahmen von den zuständigen Mitarbeitern und externen Dienstleistern durchgeführt worden seien.
Die Risikofragen zu stationären und mobilen Arbeitsrechnern würden nicht die Server umfassen, die im Unternehmen als Speicherplatz dienten.
Der letzte Aspekt ist besonders interessant und wurde vom Landgericht umfassend erörtert. Es ging darum, ob in Frage 3 nach „stationären und mobilen Arbeitsrechnern“ auch Server umfasst sind.
Gerechtigkeit ist unser Antrieb
Gerichtliche Auslegung
Das Gericht legte dar, dass der Begriff „Arbeitsrechner“ weiter auszulegen ist als nur auf Arbeitsplatzrechner beschränkt. Vielmehr sind alle Computersysteme im Betrieb umfasst, die Funktionen wie Eingabegeräte oder Server übernehmen, da Malware über einzelne Komponenten das gesamte Netzwerk gefährden kann.
Der durchschnittliche Versicherungsnehmer, der eine Cyberversicherung zur Absicherung seines betrieblichen IT-Netzwerkes abschließt, wird erkennen, dass die Risikobewertung des Versicherers wesentlich von den verfügbaren Schutzmaßnahmen gegen IT-Angriffe abhängt. Die Formulierung in Frage 4) nach „durchgeführten“ Sicherheitsupdates bezieht sich auf tatsächlich verfügbare und genutzte Sicherheitsupdates des Herstellers.
Urteil zur Cyberversicherung – Fazit
Das Urteil des Landgerichts Kiel betont die Wichtigkeit wahrheitsgemäßer Angaben bei der Beantwortung von Risikofragen im Versicherungsantragsprozess. Versicherungsnehmer müssen sich vor Abgabe der Antworten ausreichend über ihr eigenes System informieren. Das Urteil bestätigt, dass Versicherer bei arglistiger Täuschung durch den Versicherungsnehmer berechtigt sind, vom Vertrag zurückzutreten. Die Entscheidung zeigt die Bedeutung einer sorgfältigen und vollständigen Offenlegung aller relevanten Risiken bei Vertragsabschlüssen im Versicherungsbereich.
Ihr Recht auf Entschädigung – jetzt beraten lassen!
Sie haben einen Cyberangriff erlebt und stehen vor einem Versicherungsdschungel? Ihre Cyberversicherung verweigert die Leistung im Schadensfall? Das muss nicht sein! Wirth Rechtsanwälte sind hier, um sicherzustellen, dass Ihr Recht auf Entschädigung nicht länger ignoriert wird.
