AssCompact suche
Home
Steuern & Recht
29. Februar 2024
Erstes Urteil zur Cyberversicherung setzt neue Maßstäbe

2 / 2

Erstes Urteil zur Cyberversicherung setzt neue Maßstäbe

Erstes Urteil zur Cyberversicherung setzt neue Maßstäbe

Cyberversicherer scheitert mit Leistungsverweigerung

Das sah der beklagte Cyberversicherer naturgemäß anders. Er nutzte die Gunst der Stunde und nahm die vermeintliche Falschbeantwortung als Grund, die Leistung zu verweigern. Zunächst erklärte er den Rücktritt vom Vertrag, mit der Behauptung, die Klägerin habe die oben genannte Frage absichtlich falsch beantwortet. Hilfsweise führte der Versicherer Leistungsfreiheit aufgrund einer Gefahrerhöhung und Leistungsfreiheit aufgrund vorsätzlicher, mindestens aber grob fahrlässiger Herbeiführung des Versicherungsfalls an. Es handelt sich also um Einwendungen, die so oder so ähnlich in vielen Versicherungsstreitigkeiten vorkommen. Und auf den ersten Blick scheint der Fall auch klar zu sein. Immerhin war die Software teilweise so veraltet, dass dafür nicht mal mehr Sicherheitsupdates verfügbar waren. Allerdings scheiterte der Versicherer mit all ihren Einwänden vor dem Landgericht Tübingen und wurde dazu verurteilt, der Klägerin etwa 2,9 Mio. Euro zu zahlen.

Das Landgericht Tübingen stellte zunächst fest, dass die Klägerin die Frage bezüglich der Sicherheitsupdates allenfalls fahrlässig falsch beantwortet hatte, vor allem aufgrund der Äußerungen des Assekuradeurs. Dieser hätte den Eindruck erweckt, dass der Versicherer keine allzu hohen Anforderungen an die IT-Sicherheit stellte. Entscheidend sei auch gewesen, dass dieser Assekuradeur auf eine Nachricht der Klägerin nicht mehr reagiert hatte, in der sie ihm vor Abschluss des Vertrages mitgeteilt hatte, auch ältere Server einzusetzen, die nicht mehr upgedatet werden konnten. Da der Assekuradeur ein Versicherungsvertreter mit besonderer Vollmacht ist, hat das Landgericht dessen Handlungen und Aussagen, vor allen Dingen aber dessen Wissen um die alten Server, dem Versicherer zugerechnet. Für den weiteren Verlauf unterstellte das Landgericht somit die Kenntnis von den „alten“ Servern und es ging davon aus, dass den Mitarbeitern der Klägerin nur der Vorwurf einer leicht fahrlässigen Verletzung der oben wiedergegebenen Gefahrfrage gemacht werden kann.

Gericht: Keine Leistungsfreiheit trotz alter Server

Die Folge dieser Wertung des Landgerichtes war, dass die Klägerin den Kausalitätsgegenbeweis führen konnte. Dieser Kausalitätsgegenbeweis kann immer dann geführt werden, wenn die Gefahrfragen nicht arglistig falsch beantwortet wurden. Er führt dann zu einer Leistungsverpflichtung des Versicherers, wenn die Verletzung der Anzeigepflicht – hier die fehlenden Sicherheitsup-dates – weder für den Eintritt oder die Feststellung des Versicherungsfalles noch für die Feststellung oder den Umfang der Leistungspflicht ursächlich geworden ist.

Da diese technische Frage vom Landgericht nicht selbst beantwortet werden konnte, holte es ein Sachverständigengutachten ein. Mit diesem Gutachten sollte verbindlich und objektiv geklärt werden, ob die fehlenden Sicherheitsupdates den Schaden verursacht oder erhöht haben. Der Sachverständige kam jedoch zu dem Schluss, dass die heruntergeladene Schadsoftware sowohl die alten als auch die neuen Server gleichermaßen betroffen hatte. Der Ransomware war die Aktualität der Server also egal und die fehlenden Sicherheitsupdates hatten offensichtlich keinen Einfluss auf den Schaden. Damit konnte die Klägerin den Kausalitätsgegenbeweis führen und der beklagte Versicherer blieb zur Leistung verpflichtet.

Aus diesem Grund scheiterte der Versicherer auch mit dem Einwand, er sei aufgrund einer Gefahrerhöhung leistungsfrei. Gemäß § 26 Abs. 3 Nr. 1 Versicherungsvertragsgesetz (VVG) wird er nämlich dann nicht wegen einer vermeintlichen Gefahrerhöhung leistungsfrei, wenn der Versicherungsnehmer den Kausalitätsgegenbeweis führen kann. Ohnehin scheint es in diesem Fall aber fraglich zu sein, ob eine Gefahrerhöhung vorlag. Auch wenn es dem Landgericht im Ergebnis nicht darauf ankam, waren die Server schon bei Vertragsschluss veraltet und hatten keine Sicherheitsupdates bekommen. Eine Gefahrerhöhung liegt aber nur dann vor, wenn sich nach Abschluss des Versicherungsvertrages die Risikosituation zum Nachteil des Versicherers auf Dauer geändert hat. Das war nach den Ausführungen des Landgerichts aber ohnehin nicht der Fall.

Das war schließlich auch der Grund, warum der Versicherer mit seinem Einwand, dass die Klägerin den Versicherungsfall vorsätzlich oder zumindest grob fahrlässig herbeigeführt habe, scheiterte. Obwohl technische Maßnahmen zur Verfügung standen, um den Schaden auch bei veralteter Software zu verhindern oder zu begrenzen, war der Anwendungsbereich für diesen Einwand nicht gegeben, da die Gefahrenlage bereits zum Zeitpunkt des Vertragsabschlusses bestanden hatte.

Was Vermittler beachten sollten

Neben dem altbekannten Thema einer vorvertraglichen Anzeigepflichtverletzung zeigt dieses Urteil, was zukünftig in der Cyberversicherung eine besondere Rolle spielen könnte. Um IT-Systeme sicher zu halten, sind verschiedene technische, aber auch datenschutzrechtliche Maßnahmen zu ergreifen, die sich ständig und mit zunehmender Geschwindigkeit weitentwickeln. Es reicht daher nicht nur Gefahrfragen genau zu lesen und wahrheitsgemäß zu beantworten. Um dem Einwand einer Gefahrerhöhung oder sogar der grob fahrlässigen Herbeiführung des Cyberversicherungsfalles aus dem Weg zu gehen, müssen diese technischen und rechtlichen Weiterentwicklungen ständig beobachtet und angepasst werden. Ansonsten riskieren Versicherungsnehmer solcher Versicherungspolicen ihren Versicherungsschutz. So ist es genauso gut möglich, dass Schadsoftware vorhandene Sicherheitslücken ausnutzt, die durch entsprechende technische Maßnahmen nicht oder nicht rechtzeitig geschlossen wurden. Verfolgt man die aktuelle Berichterstattung, dann wird dieses Risiko auch immer größer. In einem solchen Fall dürfte es dann schwierig werden, den oben beschriebenen Kausalitätsbeweis zu führen.

Die Entscheidung des Landgerichts zeigt für Vermittler zudem zweierlei: Aufgrund der Masse an Schadsoftware in Kombination mit dem Faktor Mensch sollte eine Cyberversicherung in der Beratung standardmäßig empfohlen werden, da durch Cybervorfälle für Unternehmen hohe Schäden drohen können. Zudem fordert die Vermittlung solcher Versicherungen von Vermittlern zumindest ein technisches Grundverständnis der zu versichernden Risiken, um Gefahrfragen wahrheitsgemäß mit dem Kunden beantworten zu können. Außerdem sollten Kunden auf die besondere Bedeutung nachvertraglicher Obliegenheiten und das Risiko etwaiger Gefahrerhöhungen etc. hingewiesen werden.

Diesen Artikel lesen Sie auch in AssCompact 02/2024 und in unserem ePaper.

Bild: © Funtap – stock.adobe.com

Seite 1 Erstes Urteil zur Cyberversicherung setzt neue Maßstäbe

Seite 2 Cyberversicherer scheitert mit Leistungsverweigerung

 
Ein Artikel von
Tobias Strübing