Achtung Risikofragen! Zur Anfechtung von Cyber-Policen wegen Angaben „ins Blaue hinein“

Sachverhalt

Die Klägerin schloss im März 2020 bei der Beklagten eine Cyber-Versicherung ab. Der Vertragsabschluss setzte in einem ersten Schritt das Ausfüllen eines Online-Formulars voraus, das auch zahlreiche Fragen zur Einordnung des Versicherungsrisikos enthielt (sog. Risikofragen). Das Formular vervollständigte der von der Klägerin beauftragte Makler mit der Hilfe des Leiters der klägerischen IT-Abteilung. Dabei beantworteten sie die Frage, ob alle stationären und mobilen Arbeitsrechner mit aktueller Sicherheitssoftware ausgestattet seien, mit „Ja“. Ebenso bestätigten sie, dass die Klägerin Sicherheitsupdates ohne schuldhaftes Zögern durchführe und nur Softwares benutze, für den der Hersteller solche Updates bereitstelle.

Spätestens am 18.9.2020 gelang es einem externen Angreifer, eine Schadsoftware bei der Klägerin einzuschleusen und die IT-Kapazitäten der Klägerin zum Mining von Bitcoins zu missbrauchen. Als Einfallstor nutzte der Hacker einen Rechner der Klägerin, auf dem noch ein (nicht aktualisiertes) Windows 08-Betriebssystem lief. Als dies der Klägerin auffiel, fuhr sie ihr IT-System herunter und brachte ihren gesamten Betrieb dadurch zum Stillstand. Die Kosten für den notwendigen Neuaufbau ihrer IT-Infrastruktur verlangte die Klägerin von der Beklagten erstattet, welche jedoch für den Cyber-Angriff die Gewährung von Versicherungsschutz wegen nachträglicher Anfechtung des Versicherungsvertrages verweigerte.

Die Beklagte erklärte zunächst den Rücktritt vom Vertrag wegen Verletzung der vorvertraglichen Anzeigepflicht und im Rahmen des Gerichtsverfahrens zusätzlich die Anfechtung wegen arglistiger Täuschung. Bei wahrheitsgemäßer Beantwortung der Risikofragen wäre – so die Beklagte – der Versicherungsvertrag niemals abgeschlossen worden.

Das Urteil des LG Kiel v. 23.05.2024, 5 O 128/21

Das Gericht entschied, dass der Versicherungsvertrag wegen der Anfechtung der Beklagten nichtig sei. Vertreten durch ihren Makler und ihren IT-Abteilungsleiter habe die Klägerin bei Vertragsschluss falsche Erklärungen über den Stand der IT-Sicherheit abgegeben. Bei einer arglistigen Täuschung i.S.d. §§ 20, 22 VVG i.V.m. §§ 123 Abs. 1, 142 Abs. 1 BGB komme es – anders als bei einem Rücktritt nach § 19 Abs. 2 VVG – nicht darauf an, ob die Risikofragen in Textform (§ 126b BGB) gestellt wurden. Dass die Fragen vorliegend zunächst nicht auf gedrucktem Papier, sondern in einem Online-Formular standen, sei also unschädlich. Die Täuschung erfolgte auch arglistig, da hierfür die Beantwortung der Fragen „ins Blaue hinein“ ausreiche. Es könne die Klägerin also nicht entlasten, dass ihr IT-Leiter den Begriff „Arbeitsrechner“ falsch ausgelegt habe, dabei nicht an die einzelnen veralteten Rechner gedacht habe oder dass er darauf vertraut habe, die zuständigen Mitarbeiter und Dienstleister würden die Maßnahmen zur Absicherung des Netzwerks ordnungsgemäß durchführen. Er hätte ohne Weiteres das Sicherheitsniveau des Netzwerks überprüfen können und es deshalb vor dem Ausfüllen des Online-Formulars tun müssen. Bei wahrheitsgemäßer Beantwortung der Fragen hätte die Beklagte nach Überzeugung des Gerichts den Versicherungsvertrag nicht oder zu anderen Konditionen abgeschlossen, was die Klägerin auch für möglich hielt und billigend in Kauf nahm. Die Voraussetzungen für die Anfechtung wegen arglistiger Täuschung lagen also insgesamt vor.

Vereinbarkeit mit dem „ersten Cyber-Urteil“ des LG Tübingen vom 26.05.2023?

Zu einem erstaunlich ähnlichen Sachverhalt entschied das LG Tübingen im „ersten Cyber-Urteil“ am 26.5.2023, dass der von der Beklagten erhobene Arglisteinwand (§ 21 Abs. 2 S. 2 VVG) nicht begründet war. Im zugrundeliegenden Fall hatte die Versicherungsnehmerin exakt dieselben Risikofragen wie im kommentierten Urteil des LG Kiel teilweise falsch beantwortet. Das LG Tübingen kam zum Ergebnis, dass der Verstoß gegen die vorvertragliche Anzeigepflicht nicht arglistig gewesen sei aufgrund folgender Besonderheit des Sachverhalts: Auf einer Veranstaltung, die vor Vertragsschluss stattgefunden hatte, wurde Vertretern der Versicherungsnehmerin der Eindruck vermittelt, dass der Versicherer keine hohen Anforderungen an die IT-Sicherheit stelle und etwa bezüglich der notwendigen Firewall „jede Fritzbox“ ausreichen würde. Die Vertreter der Versicherungsnehmerin konnten deshalb nicht davon ausgehen, dass die richtige Beantwortung der betreffenden Frage für den Vertragsschluss ausschlaggebend sei. Das Urteil des LG Tübingen steht also nur auf den ersten Blick in Widerspruch zum kommentierten Urteil des LG Kiel.

Anmerkungen für die Praxis

Beide Urteile unterstreichen, welche Bedeutung die Verletzung von Anzeigeobliegenheiten bei der Regulierung der sich häufenden Cyberversicherungsfälle zukommt. Versicherungsnehmer sollten daher bei der Beantwortung der Risikofragen besonderes vorsichtig sein und im Zweifel den Stand ihrer IT-Infrastruktur vor Beantwortung der Fragen noch einmal kritisch überprüfen. Darüber hinaus sollten sie während der Vertragslaufzeit jede relevante Änderung ihrer IT-Infrastruktur bei ihrem Versicherer melden. Eine besondere Schwierigkeit ergibt sich dabei für Versicherungsnehmer freilich, wenn Risikofragen unpräzise sind und die Policen keine konkreten Vorgaben zu dem einzuhaltenden Sicherheitsniveau oder der vorzuweisenden IT-Infrastruktur enthalten. Um Streitigkeiten wie die der beiden „Cyber-Urteile“ vorzubeugen, sollten also Versicherer möglichst präzise und transparente Risikofragen formulieren, die für Versicherungsnehmer – und für die angerufenen Gerichte – keinen Interpretationsspielraum lassen.

(LG Kiel, Urteil v. 23.05.2024, 5 O 128/21)