Cyber-Versicherung: Arglistige Täuschung und Deckungsschutz

Das Oberlandesgericht Schleswig (16 U 63/24) hat am 14. Oktober 2024 einen Hinweisbeschluss in der Berufung einer Klägerin verkündet, die Leistungen aus einer Cyber-Versicherung beanspruchte.

Der Versicherer hatte den Vertrag jedoch wegen arglistiger Täuschung angefochten. Die Entscheidung beleuchtet zentrale Fragen des Versicherungsrechts, insbesondere die Anforderungen an die Antragsstellung und die Reichweite der Täuschungshaftung. Dabei wird die vorangegangene Entscheidung des LG Kiel bestätigt!

Sachverhalt

Die Klägerin, ein Holzgroßhändler mit Online-Bestellmöglichkeit, betrieb veraltete IT-Systeme ohne aktuelle Sicherheitsupdates und Virenschutz. Bei Abschluss der Cyber-Versicherung im Jahr 2020 beantwortete ein Vertreter der Klägerin sogenannte Risikofragen wahrheitswidrig. So wurde behauptet, dass alle Rechner mit aktueller Software zur Schadsoftwareerkennung ausgestattet seien und Sicherheitsupdates unverzüglich durchgeführt würden.

Der Versicherer erklärte später die Anfechtung des Vertrags wegen arglistiger Täuschung. Die Klägerin zog daraufhin vor Gericht, um Deckungsschutz zu erlangen, scheiterte jedoch bereits vor dem Landgericht Kiel. Auch das OLG wies die Berufung zurück und bestätigte die Wirksamkeit der Anfechtung.


Rechtliche Analyse

Arglistige Täuschung (§ 123 BGB)

Eine arglistige Täuschung setzt voraus, dass der Täuschende mit Vorsatz unrichtige Angaben macht, um den Vertragspartner zur Abgabe einer Willenserklärung zu bewegen. Im konkreten Fall:

  • Falsche Angaben: Der Vertreter der Klägerin beantwortete die Risikofragen ins Blaue hinein, obwohl ihm die tatsächlichen IT-Verhältnisse nicht bekannt waren.
  • Kausalität: Das Gericht stellte fest, dass die falschen Angaben kausal für den Vertragsabschluss waren, da der Versicherer unter Kenntnis der wahren Tatsachen keinen Vertrag oder nur zu anderen Konditionen abgeschlossen hätte.

Besonderheit: Zurechenbarkeit! Die Arglist des Vertreters wurde der Klägerin zugerechnet. Nach § 278 BGB haftet ein Unternehmen für das Verhalten seiner Erfüllungsgehilfen, hier des Vertreters, der die Fragen beantwortet hat.

Dabei macht das OLG deutlich, dass nicht mit der Lupe gesucht wird, sondern das allgemeine Verständnis bei Fragen ausschlaggebend ist:

Die Frage Nr. 3, ob alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von
Schadsoftware ausgestattet sind, bezieht sich, wie das Landgericht (U 12f.) zutreffend befunden und begründet hat, nach dem maßgeblichen Verständnis eines durchschnittlichen Versicherungsnehmers – hier nach der Art der Versicherung (vgl. BGH, Urteil vom 21. April 2010, IV ZR 308/07, VersR 2010, 809, Rn. 12 bei juris) also eines kaufmännischen, umfassend im online-Geschäft tätigen Unternehmers – ersichtlich auf den aktuellen Virenschutz-Status aller Rechner, die in dem Netzwerk des Betriebes Funktionen ausüben und in diesem Sinne „arbeiten“.

Mit Rücksicht darauf, dass nach allen stationären und mobilen Rechnern gefragt wird und auch im Hinblick auf den
abgefragten Schutz gegen Angriffe von außen nicht im mindesten einleuchtet, warum Server von dieser Abfrage
ausgeschlossen sein sollten, ist die Annahme abwegig, dass mit „Arbeitsrechnern“ nur „Arbeitsplatzrechner“ gemeint gewesen sein könnten, und tatsächlich ist auch gar nicht ersichtlich, dass der … (vgl. seine bemerkenswert ehrliche Aussage zu Protokoll vom 28. Februar 2029, S. 3ff., Bl. 387ff. LGA) die Frage anders verstanden und deshalb so wie erfolgt beantwortet hätte. Dementsprechend lässt sich Gegenteiliges auch nicht aus dem Glossar im Teil D des Versicherungsvertrages entnehmen, auch wenn dort der Begriff des IT-Systems umschrieben wird. Eine zwingende Definition des hier maßgebenden Begriffs des „Arbeitsrechners“ ist nicht enthalten, so dass es noch nicht einmal darauf ankommt, dass dem Zeugen … der Vertragstext mit dem Glossar bei Beantwortung der Risikofragen noch gar nicht vorlag und daher seine Vorstellung auch nicht hat prägen können

Obliegenheiten des Versicherungsnehmers

Die Klägerin war verpflichtet, die Fragen wahrheitsgemäß zu beantworten. Solche Obliegenheiten dienen dem Schutz des Versicherers vor unkalkulierbaren Risiken. Die unterlassene Offenlegung des Zustands der IT-Systeme stellte einen Verstoß gegen diese Obliegenheiten dar:

Ein Versicherer, der eine Cyber-Versicherung anbieten
will und explizit nach dem aktuellen Sicherheitsstatus des IT-Systems fragt, kann ohne weiteres erwarten, dass ein kaufmännisches Unternehmen, zumal eines von der Größe der Klägerin, derartige Standards beachtet und sich bei der Beantwortung der gestellten Fragen nicht (wie etwa der Handwerker im Beispiel) situativ „aus der Lameng“ erklärt, sondern seine Antworten – erst recht wenn sie von dem Leiter der IT-Abteilung, der in IT- Sicherheitsfragen bereits qua Aufgabe sensibilisiert sein musste, gegeben werden – aus der konkret und aktuell verfügbaren Kenntnis anhand der vorbezeichneten Standards gewonnen hat.

Bedeutung von Sicherheitsvorkehrungen

Die Entscheidung betont die Relevanz der IT-Sicherheit im Rahmen von Cyber-Versicherungen. Sicherheitsupdates und Schadsoftware-Erkennungsprogramme stellen grundlegende Schutzmaßnahmen dar, deren Fehlen die Risikoeinschätzung des Versicherers maßgeblich beeinflusst.

Rückweisung der Berufung (§ 522 Abs. 2 ZPO)

Das Gericht stellt die zurückweisung der Berufung gemäß § 522 Abs. 2 ZPO in Aussicht, da die Erfolgsaussichten der Berufung offensichtlich fehlten. Eine mündliche Verhandlung war nicht erforderlich, da keine grundsätzliche Bedeutung oder Rechtsfortbildungsbedarf bestand.

Cyberversicherung: Was sollten Unternehmen bedenken

Eine kann Unternehmen wirksam vor Schäden durch Cyberangriffe schützen, erfordert jedoch eine sorgfältige Vorbereitung und regelmäßige Überprüfung. Ehrlichkeit, technische Aktualität und die Einhaltung der vertraglichen Bedingungen sind entscheidend, um Streitigkeiten wie im Fall des OLG Schleswig zu vermeiden. Beim Abschluss einer Cyberversicherung gibt es mehrere zentrale Aspekte, die Unternehmen beachten sollten, um Probleme wie im besprochenen Fall zu vermeiden. Hier sind die wichtigsten Punkte in verständlicher Sprache erklärt:

Wahrheitsgemäße und vollständige Angaben machen

  • Risikofragen: Beantworten Sie die vom Versicherer gestellten Risikofragen ehrlich und vollständig. Dazu gehören Fragen zu Ihrer IT-Sicherheitsinfrastruktur, beispielsweise über Virenschutzprogramme, Sicherheitsupdates und Firewalls.
  • Dokumentation: Sammeln und dokumentieren Sie alle relevanten Informationen über Ihre IT-Systeme, damit Sie auf Nachfrage belegen können, dass die Angaben korrekt waren.
  • Keine Vermutungen: Geben Sie keine Antworten „ins Blaue hinein“. Unwissenheit über den Zustand Ihrer Systeme könnte als arglistige Täuschung gewertet werden.

IT-Sicherheitsstandards einhalten

  • Aktualität der Systeme: Stellen Sie sicher, dass alle Betriebssysteme und Softwarelösungen regelmäßig aktualisiert werden. Veraltete Systeme erhöhen nicht nur das Risiko für Cyberangriffe, sondern auch die Wahrscheinlichkeit von Versicherungsstreitigkeiten.
  • Grundschutzmaßnahmen: Ein Mindestmaß an IT-Sicherheitsmaßnahmen – wie Antivirensoftware, Firewalls und Backup-Systeme – sollte etabliert sein. Der Versicherer wird dies häufig voraussetzen.
  • Externe Prüfungen: Lassen Sie Ihre IT-Infrastruktur regelmäßig durch professionelle Dienstleister wie Penetrationstests überprüfen.

Vertrag und Bedingungen genau prüfen

  • Deckungsumfang: Verstehen Sie genau, welche Risiken und Schäden durch die Cyberversicherung abgedeckt sind (z. B. , Datenverlust, Haftpflichtansprüche).
  • Ausschlüsse: Prüfen Sie die Ausschlüsse sorgfältig. Manche Policen decken z. B. keine Schäden durch grobe Fahrlässigkeit oder den Betrieb veralteter Systeme.
  • Mitteilungspflichten: Stellen Sie sicher, dass Sie während der Laufzeit der Versicherung alle Änderungen Ihrer IT-Sicherheitsmaßnahmen dem Versicherer mitteilen, falls dies verlangt wird.

IT- und Versicherungsabteilungen einbinden

  • Interne Zusammenarbeit: Arbeiten Sie eng mit Ihrer IT-Abteilung zusammen, um technische Fragen im Antrag korrekt zu beantworten.
  • Externe Beratung: Ziehen Sie bei Bedarf einen spezialisierten Rechtsanwalt oder Versicherungsmakler hinzu, um mögliche rechtliche oder technische Fallstricke zu identifizieren.

Schulungen und Prävention

  • Mitarbeiterschulungen: Schulen Sie Ihre Mitarbeiter regelmäßig im sicheren Umgang mit IT-Systemen, da menschliche Fehler oft Einfallstore für Cyberangriffe sind.
  • Notfallpläne: Entwickeln Sie Notfallpläne für Cyberangriffe und testen Sie diese regelmäßig. Dies zeigt dem Versicherer Ihre Professionalität und erhöht die Wahrscheinlichkeit, im Ernstfall abgesichert zu sein.

Regelmäßige Überprüfung der Versicherung

  • Jährliche Überprüfung: Überprüfen Sie den Versicherungsvertrag und Ihre IT-Sicherheitsstandards mindestens einmal jährlich, um sicherzustellen, dass alles noch den Anforderungen entspricht.
  • Anpassungen: Passen Sie die Police an, wenn Ihr Unternehmen wächst oder neue IT-Systeme eingeführt werden.
Cyber-Versicherung: Arglistige Täuschung und Deckungsschutz - Rechtsanwalt Ferner

Die nun vom OLG vorliegende Orientierung macht deutlich: Schon beim Abschluss der Cyberversicherung muss organisiert vorgegangen werden. Es sollte ein strukturierter Informationsfluss mit Abklärung bei den Zuständigen Abteilungen stattfinden – oder man riskiert, dass die Versicherung am Ende nicht mehr vorhanden ist. Gefordert ist hier das Management: Wer die recht einfach umzusetzenden Vorgaben nicht angeht, dem droht der interne Regress seiner Gesellschaft, wenn sich aufgrund eines Organisationsfehlers die Versicherung durch die Hintertüre verabschiedet.

Fazit

Die Entscheidung des OLG Schleswig verdeutlicht, wie entscheidend korrekte und vollständige Angaben im Versicherungsantrag sind, insbesondere bei Cyber-Versicherungen. Unternehmen sollten sorgfältig prüfen, ob ihre IT-Systeme den im Antrag gestellten Anforderungen genügen. Andernfalls droht die Anfechtung des Vertrags wegen arglistiger Täuschung und der Verlust des Versicherungsschutzes.

Die Quintessenz dieser Entscheidung liegt in der klaren Mahnung an Versicherungsnehmer, sich ihrer Obliegenheiten bewusst zu sein und wahrheitsgemäße Angaben zu machen. Arglistige Täuschung führt nicht nur zum Verlust des Deckungsschutzes, sondern kann auch Haftungsrisiken nach sich ziehen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.