Cyberversicherung: OLG Schleswig verwirft Berufung

Das OLG Schleswig (Az.: 16 U 63/24) hat nunmehr am 09.01.2025 entschieden, dass eine Versicherungsnehmerin keinen Anspruch auf Leistungen aus einer Cyber-Versicherung hat, weil der Vertrag wegen arglistiger Täuschung wirksam angefochten wurde – die geführte Berufung gegen die Entscheidung des Landgerichts Kiel wurde damit verworfen. Der Streit drehte sich um die unrichtige Beantwortung von Fragen im Versicherungsantrag, die zu einer Nichtigkeit des Vertrages führten.

Bemerkenswert ist, dass das OLG Schleswig schon im letzten Jahr in einem Hinweisbeschluss diese Entscheidung in Aussicht gestellt hatte – offenkundig ist aber wohl die Revision zum BGH geplant. Damit dürfte der durch spannende Fall zu einer ersten höchstgerichtlichen Entscheidung hinsichtlich der Angaben gegenüber einer führen!

Die arglistige Täuschung wurde insbesondere durch das Verhalten eines Zeugen begründet, der im Antrag falsche oder unsachgemäße Angaben zu den IT-Sicherheitsstandards des Unternehmens gemacht hatte. Obwohl der behauptete, er sei davon ausgegangen, dass „alles in Ordnung“ sei, stellte das Gericht fest, dass er sich der fehlenden Genauigkeit seiner Angaben bewusst sein musste. Das Formular des Versicherers enthielt spezifische Fragen zu technischen Sachverhalten, die nach Ansicht des Gerichts mit der gebotenen Sorgfalt beantwortet werden mussten:

Es trifft zwar zu, dass die Fragen ausgehend vom Verständnishorizont eines durchschnittlichen Versicherungsnehmers auszulegen sind, dies nach der Rechtsprechung des Bundesgerichtshofs indes vor dem Hintergrund der Versicherung, die abgeschlossen werden soll (…), mithin einer Cyber-Versicherung für ein Unternehmen mit mehr als 400 Mitarbeitern und einem Jahresumsatz von rund 143,5 Mio. €, das umfassend im online-Geschäft tätig ist. Dementsprechend kann der Versicherer bei der Beantwortung der Fragen eine gewisse Sorgfalt erwarten, die sämtlich erkennbar vereinzelt auf spezifische technische Sachverhalte zielen (vgl. Hinweisbeschluss …).

Vor diesem Hintergrund kann den Zeugen nicht entlasten, dass er nach der wiederholten Behauptung der Klägerin (…) keinerlei Kenntnisse über die Gepflogenheiten bei einer Cyber-Versicherung gehabt habe, ebenso wenig, dass er, in dem Glauben, es sei alles in Ordnung, keinen Grund gehabt habe, eine Gefährdung seines Arbeitgebers durch einen Cyber-Angriff hinzunehmen (..). Auch wenn er (nicht zuletzt vor dem Hintergrund der … Einbindung externer Unternehmen in die Entwicklung des Warenwirtschaftssystems und die Gestaltung der Serverlandschaft) in eine genügende Sicherung der IT vertraut haben sollte, so wusste er doch, dass er … über die erfragten Umstände tatsächlich keine hinreichend genauen Kenntnisse hatte, um die Fragen valide beantworten zu können; ebenso wenig konnte er angesichts der Vielzahl der ihm gestellten dezidierten Fragen zu einzelnen Aspekten der IT-Sicherheit annehmen, den Anforderungen der Fragen mit Antworten nach dem Glauben oder Meinen entsprechen zu können.

Sofern er, wie die Klägerin vorbringt, wirklich geglaubt hat, dass „alles in Ordnung“ sei, kann er dabei in Anbetracht der Umstände schlechterdings nicht guten Glaubens gewesen sein. Vielmehr rechtfertigt sein Erklären praktisch auf gut Glück den Vorwurf bewusster Unrichtigkeit.

Die unzureichende Kenntnis und die „Antworten auf gut Glück“ wurden damit als bewusst unrichtige Angaben gewertet, die das Vertrauensverhältnis zwischen den Parteien unrettbar zerstörten.

Das Urteil verdeutlicht die hohen Anforderungen an die Sorgfaltspflichten bei Vertragsverhandlungen mit Versicherern, insbesondere im Bereich der Cyber-Versicherung. Unternehmen sollten sicherstellen, dass die Angaben im Antrag vollständig und korrekt sind. Dies umfasst auch die Einbindung von Experten, um komplexe technische Fragen adäquat zu beantworten. Unrichtige Angaben können nicht nur den Vertragsabschluss gefährden, sondern auch im Schadensfall dazu führen, dass Versicherungsleistungen verweigert werden. Es bleibt abzuwarten, ob man den Weg zum BGH sucht, bisher ist hier nichts bekannt.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft. Ich bin Softwareentwickler, in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.