Entscheidung des Landgerichts Kiel vom 23.05.2024 – 5 O 128/21
Hintergrund
Die Klägerin betreibt in Norddeutschland einen Holzgroßhandel mit mehreren Standorten und bietet ihren gewerblichen Kunden die Möglichkeit, online Bestellungen aufzugeben.
Um sich gegen Risiken aus Cyberangriffen abzusichern, schloss sie im März 2020 über einen Makler eine Cyber-Versicherung bei der Beklagten ab. Grundlage dieses Vertrages waren die Versicherungsbedingungen der Beklagten.
Im Rahmen des elektronischen Vertragsschlusses musste die Klägerin verschiedene Risikofragen über ein Onlineportal beantworten. Diese wurden von dem IT-Leiter der Klägerin in Zusammenarbeit mit dem Makler bestätigt. Die Fragen betrafen unter anderem die regelmäßige Durchführung von Sicherheitsupdates, die Ausstattung aller Arbeitsrechner mit Antivirensoftware und die generelle IT-Sicherheit der eingesetzten Server.
Im Oktober 2020 wurde das IT-System der Klägerin Opfer eines Hackerangriffs, bei dem Schadsoftware Schwachstellen in Servern mit veralteten Betriebssystemen ausnutzte. Diese Server, , waren nicht mit aktuellen Sicherheitsupdates oder Virenschutzprogrammen versehen. Die Klägerin forderte nach dem Vorfall Versicherungsleistungen in Höhe von rund 425.000 Euro für die Wiederherstellung der IT-Infrastruktur und sonstige Kosten.
Die Beklagte verweigerte jedoch die Leistung und erklärte zunächst den Rücktritt vom Vertrag wegen Verletzung der vorvertraglichen Anzeigepflicht gemäß § 19 VVG sowie später die Anfechtung wegen arglistiger Täuschung gemäß § 22 VVG in Verbindung mit §§ 123, 142 BGB.
Das Landgericht Kiel hat die Klage der Klägerin vollständig abgewiesen.
Gründe
Das Gericht stellte dabei vor allem fest, dass die im Onlineportal beantworteten Risikofragen, insbesondere zur Ausstattung der IT-Systeme mit aktueller Virensoftware und zur Durchführung von Sicherheitsupdates, objektiv falsch beantwortet wurden.
So waren mehrere zentrale Rechner des Unternehmens, nicht durch aktuelle Sicherheitssoftware geschützt, verfügten über keine Sicherheitsupdates mehr oder befanden sich sogar im Ausgliederungszustand.
Der verantwortliche Zeuge, der die Angaben für die Klägerin machte, gab zu Protokoll, die Fragen ohne umfassende Prüfung „ins Blaue hinein“ beantwortet zu haben. Das Gericht bewertete dies als bewusste Unkenntnis, die den Tatbestand der Arglist erfülle.
Da der Zeuge als Gehilfe der Klägerin handelte, wurde sein Verhalten der Klägerin zugerechnet. Die falschen Angaben waren zudem kausal für den Vertragsabschluss und die Höhe der gezahlten Prämien, da die IT-Sicherheit für die Risikobewertung ausschlaggebend ist.
Darüber hinaus legte das Gericht den Begriff der „Arbeitsrechner“ weit aus und erfasste darunter nicht nur die Arbeitsplatzrechner, sondern auch alle zentralen Komponenten des Netzwerks wie Server und Domain-Controller. Es stellte darauf ab, dass die Sicherheit des gesamten Netzwerks stets vom schwächsten Glied abhänge.
Aufgrund der wirksamen Anfechtung des Vertrags wegen der arglistigen Täuschung erklärte das Gericht den Versicherungsvertrag für nichtig, woraufhin der Anspruch der Klägerin auf Versicherungsleistung entfiel.
Weitere Einwendungen, etwa auf Rücktritt oder Leistungsfreiheit wegen Gefahrerhöhung, waren damit rechtlich hinfällig.
Bewertung
Das Urteil des Landgerichts Kiel zeigt eine strenge Rechtsprechung bei Cyberversicherungen auf. Schon das bewusste „Ins-Blaue-Hinein“-Beantworten von Risikofragen begründet eine arglistige Täuschung.
Versicherungsnehmer müssen sicherstellen, dass Angaben zur IT-Sicherheit vollständig, technisch geprüft und korrekt sind.
Ebenso verdeutlicht das Urteil, dass Begriffe wie „Arbeitsrechner“ weit zu verstehen sind und auch Server, Speicherlösungen und Domaincontroller vollständig zu erfassen haben.
Für Unternehmen bedeutet dies, dass sie ihre IT-Infrastruktur revisionssicher dokumentieren und jederzeit den aktuellen Stand der gemeldeten Schutzmaßnahmen belegen müssen, um den Versicherungsschutz nicht zu gefährden. Das Urteil ist damit ein wegweisender Fall, der die hohen Anforderungen an Transparenz und Wahrheitstreue im Bereich der Cyberversicherung ausdrückt und die juristische Relevanz technischer Details unterstreicht.
Marian Szidzek
Lesen Sie mehr zu den Schwerpunkten unserer Kanzlei unter www.rnsp.de.