YOUR
Search

    27.08.2024

    Achtung Risikofragen! Zur Anfechtung von Cyber-Policen wegen Angaben „ins Blaue hinein“


    Knapp ein Jahr nach dem „ersten Cyber-Urteil“ des LG Tübingen entschied das LG Kiel am 23. Mai 2024, dass der Cyberversicherer eine Police wirksam wegen arglistiger Täuschung anfechten kann, wenn der Versicherungsnehmer die vorvertraglichen Risikofragen „ins Blaue hinein“ falsch beantwortet.

    Sachverhalt

    Die Klägerin schloss im März 2020 bei der Beklagten eine Cyber-Versicherung ab. Der Vertragsabschluss setzte in einem ersten Schritt das Ausfüllen eines Online-Formulars voraus, das auch zahlreiche Fragen zur Einordnung des Versicherungsrisikos enthielt (sog. Risikofragen). Das Formular vervollständigte der von der Klägerin beauftragte Makler mit der Hilfe des Leiters der klägerischen IT-Abteilung. Dabei beantworteten sie die Frage, ob alle stationären und mobilen Arbeitsrechner mit aktueller Sicherheitssoftware ausgestattet seien, mit „Ja“. Ebenso bestätigten sie, dass die Klägerin Sicherheitsupdates ohne schuldhaftes Zögern durchführe und nur Softwares benutze, für den der Hersteller solche Updates bereitstelle.

    Spätestens am 18. September 2020 gelang es einem externen Angreifer, eine Schadsoftware bei der Klägerin einzuschleusen und die IT-Kapazitäten der Klägerin zum Mining von Bitcoins zu missbrauchen. Als Einfallstor nutzte der Hacker einen Rechner der Klägerin, auf dem noch ein (nicht aktualisiertes) Windows 08-Betriebssystem lief. Als dies der Klägerin auffiel, fuhr sie ihr IT-System herunter und brachte ihren gesamten Betrieb dadurch zum Stillstand. Die Kosten für den notwendigen Neuaufbau ihrer IT-Infrastruktur verlangte die Klägerin von der Beklagten erstattet, welche jedoch für den Cyber-Angriff die Gewährung von Versicherungsschutz wegen nachträglicher Anfechtung des Versicherungsvertrages verweigerte.

    Die Beklagte erklärte zunächst den Rücktritt vom Vertrag wegen Verletzung der vorvertraglichen Anzeigepflicht und im Rahmen des Gerichtsverfahrens zusätzlich die Anfechtung wegen arglistiger Täuschung. Bei wahrheitsgemäßer Beantwortung der Risikofragen wäre – so die Beklagte – der Versicherungsvertrag niemals abgeschlossen worden.

    Das Urteil des LG Kiel vom 23.05.2024 – 5 O 128/21

    Das Gericht entschied, dass der Versicherungsvertrag wegen der Anfechtung der Beklagten nichtig sei. Vertreten durch ihren Makler und ihren IT-Abteilungsleiter habe die Klägerin bei Vertragsschluss falsche Erklärungen über den Stand der IT-Sicherheit abgegeben. Bei einer arglistigen Täuschung i.S.d. §§ 20, 22 VVG i.V.m. §§ 123 Abs. 1, 142 Abs. 1 BGB komme es – anders als bei einem Rücktritt nach § 19 Abs. 2 VVG – nicht darauf an, ob die Risikofragen in Textform (§ 126b BGB) gestellt wurden. Dass die Fragen vorliegend zunächst nicht auf gedrucktem Papier, sondern in einem Online-Formular standen, sei also unschädlich. Die Täuschung erfolgte auch arglistig, da hierfür die Beantwortung der Fragen „ins Blaue hinein“ ausreiche. Es könne die Klägerin also nicht entlasten, dass ihr IT-Leiter den Begriff „Arbeitsrechner“ falsch ausgelegt habe, dabei nicht an die einzelnen veralteten Rechner gedacht habe oder dass er darauf vertraut habe, die zuständigen Mitarbeiter und Dienstleister würden die Maßnahmen zur Absicherung des Netzwerks ordnungsgemäß durchführen. Er hätte ohne Weiteres das Sicherheitsniveau des Netzwerks überprüfen können und es deshalb vor dem Ausfüllen des Online-Formulars tun müssen. Bei wahrheitsgemäßer Beantwortung der Fragen hätte die Beklagte nach Überzeugung des Gerichts den Versicherungsvertrag nicht oder zu anderen Konditionen abgeschlossen, was die Klägerin auch für möglich hielt und billigend in Kauf nahm. Die Voraussetzungen für die Anfechtung wegen arglistiger Täuschung lagen also insgesamt vor.

    Vereinbarkeit mit dem „ersten Cyber-Urteil“ des LG Tübingen vom 26.05.2023?

    Zu einem erstaunlich ähnlichen Sachverhalt entschied das LG Tübingen im „ersten Cyber-Urteil“ am 26. Mai 2023, dass der von der Beklagten erhobene Arglisteinwand (§ 21 Abs. 2 S. 2 VVG) nicht begründet war. Im zugrundeliegenden Fall hatte die Versicherungsnehmerin exakt dieselben Risikofragen wie im kommentierten Urteil des LG Kiel teilweise falsch beantwortet. Das LG Tübingen kam zum Ergebnis, dass der Verstoß gegen die vorvertragliche Anzeigepflicht nicht arglistig gewesen sei aufgrund folgender Besonderheit des Sachverhalts: Auf einer Veranstaltung, die vor Vertragsschluss stattgefunden hatte, wurde Vertretern der Versicherungsnehmerin der Eindruck vermittelt, dass der Versicherer keine hohen Anforderungen an die IT-Sicherheit stelle und etwa bezüglich der notwendigen Firewall „jede Fritzbox“ ausreichen würde. Die Vertreter der Versicherungsnehmerin konnten deshalb nicht davon ausgehen, dass die richtige Beantwortung der betreffenden Frage für den Vertragsschluss ausschlaggebend sei. Das Urteil des LG Tübingen steht also nur auf den ersten Blick in Widerspruch zum kommentierten Urteil des LG Kiel.

    Anmerkungen für die Praxis

    Beide Urteile unterstreichen, welche Bedeutung die Verletzung von Anzeigeobliegenheiten bei der Regulierung der sich häufenden Cyberversicherungsfälle zukommt. Versicherungsnehmer sollten daher bei der Beantwortung der Risikofragen besonderes vorsichtig sein und im Zweifel den Stand ihrer IT-Infrastruktur vor Beantwortung der Fragen noch einmal kritisch überprüfen. Darüber hinaus sollten sie während der Vertragslaufzeit jede relevante Änderung ihrer IT-Infrastruktur bei ihrem Versicherer melden. Eine besondere Schwierigkeit ergibt sich dabei für Versicherungsnehmer freilich, wenn Risikofragen unpräzise sind und die Policen keine konkreten Vorgaben zu dem einzuhaltenden Sicherheitsniveau oder der vorzuweisen-den IT-Infrastruktur enthalten. Um Streitigkeiten wie die der beiden „Cyber-Urteile“ vorzubeugen, sollten also Versicherer möglichst präzise und transparente Risikofragen formulieren, die für Versicherungsnehmer – und für die angerufenen Gerichte – keinen Interpretationsspielraum lassen.

    Dr. Florian Weichselgärtner
    Etienne Sprösser

    Dieser Blogbeitrag erscheint ebenso im Haufe Wirtschaftsrechtsnewsletter.

    ADVANT Beiten Advises Shareholder of 'Flam…
    Frankfurt, 9 September 2024 – The international law firm ADVANT Beiten has rende…
    Read more
    German Federal Court of Justice (BGH) conf…
    A vote cast contrary to a voting commitment is valid, even if all shareholders e…
    Read more
    ADVANT Beiten Advises Interhyp on Signing …
    Munich/Frankfurt, 20 August 2024 – The international law firm ADVANT Beiten has …
    Read more
    All gone: retroactive withdrawal of the ma…
    The retroactive and complete withdrawal of a non-competition compensation in the…
    Read more
    General meeting: ban on bringing devices s…
    Shareholders may not generally be prohibited from merely carrying mobile phones …
    Read more
    ADVANT Beiten Advises the Herder Publishin…
    Freiburg, 6 August 2024 – The international law firm ADVANT Beiten has advised H…
    Read more
    ADVANT Beiten Advises Shareholders of Fisc…
    Freiburg, 5 August 2024 – The international law firm ADVANT Beiten has advised t…
    Read more
    ADVANT Beiten and ADVANT Nctm Advise BKW o…
    Freiburg, 17 July 2024 – The international law firm ADVANT Beiten has − together…
    Read more
    ADVANT Beiten Advises Dusseldorf-Based MedTech Company CUREosity Again on Financing Round
    Dusseldorf, 2 July 2024 – The international commercial law firm ADVANT Beiten has advised CUREosity GmbH, Dusseldorf, on a growth financing round which brought the medtech company a total of approximately …
    Read more