Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

OLG Schleswig: Cyberversicherung muss bei falschen Angaben nicht für Schäden aus Hacker-Angriffen aufkommen

Eine Cyberversicherung kann den Vertrag wegen arglistiger Täuschung anfechten, wenn falsche Angaben zu IT-Sicherheitsstandards gemacht werden. Es genügt, wenn der Kunde die Angaben ins Blaue hinein macht. Eine besondere Täuschungsabsicht ist nicht erforderlich.

Gibt ein Kunde bei Abschluss einer Cyberversicherung falsche Informationen an, beispielsweise über regelmäßige Updates oder den Einsatz von Antiviren-Software, kann der Versicherer den Vertrag wegen arglistiger Täuschung anfechten. Dabei reicht es aus, wenn der Kunde seine Angaben ins Blaue hinein macht. Eine besondere Täuschungsabsicht oder Arglist ist nicht erforderlich (OLG Schleswig, Beschl. v. 14.10.2024 - Az.: 16 U 63/24).

Das klagende Unternehmen schloss im Jahr 2020 bei der Beklagten eine Cyberversicherung ab. Bei Vertragsabschluss beantwortete die Klägerin die folgenden Fragen wie folgt

"Risikofragen:

1. Die IT des Unternehmens wird durch mindestens einen IT-Spezialisten betreut: Ja 

2. Es werden regelmäßig (mindestens wöchentlich) Datensicherungen durchgeführt: Ja

3. Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet: Ja

4. Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme): Ja

5. Es existieren Regelungen zum Umgang mit IT-Zugangsdaten im Unternehmen, deren Umsetzung überwacht wird: Ja

6. Es werden Hard- und Software (wie Firewalls) zum Schutz des Unternehmensnetzwerks eingesetzt: Ja

7. Mitarbeiter dürfen private Geräte für dienstliche Zwecke verwenden: Ja

8. Gab es in den letzten drei Jahren einen Cyber-Schaden oder einen Datenschutzvorfall im Unternehmen?: Nein

Als es dann zu einem Hackerangriff und einem entsprechenden Schaden kam, nahm die Klägerin die Versicherung in Anspruch. 

Dabei stellte sich jedoch heraus, dass der Mitarbeiter der Klägerin die Fragen objektiv nicht richtig beantwortet hatte. 

So wurde für den Betrieb des Webshops ein SQL-Server mit dem Betriebssystem Windows 2008 eingesetzt, für den seit Januar 2020 keine Software- und Sicherheitsupdates mehr bereitgestellt wurden. Der Support und damit die Zusatzfunktionen für diese Software endeten bereits im Jahr 2015. Einen vom Hersteller angebotenen erweiterten Support- und Updatevertrag hatte die Klägerin für dieses Gerät nicht abgeschlossen. Dieser Server war auch nicht zusätzlich durch eine Firewall geschützt und verfügte über keine Antivirensoftware.

Die Assekuranz lehnte eine Entschädigung ab und focht den Vertrag wegen arglistiger Täuschung an. 

In der 1. Instanz wies das LG Kiel die Klage ab, weil bei Vertragsabschluss die Versicherungsfragen bewusst falsch beantwortet worden seien, vgl. die Kanzlei-News v. 11.06.2024.

Im Berufungsverfahren teilte das OLG die Einschätzung des LG Kiel und bejahte eine arglistige Täuschung.

Die Richter wiesen dabei darauf hin, dass es dabei ausreiche, wenn die Angaben ins “Blaue hinein” gemacht wurden. Eine besondere Täuschungsabsicht sei nicht nicht erforderlich:

"Die Annahme einer von einem Versicherungsnehmer begangenen arglistigen Täuschung erfordert kein besonderes Unwerturteil und bedarf auch nicht der Feststellung einer Bereicherungsabsicht. Sie setzt eine Vorspiegelung falscher oder ein Verschweigen wahrer Tatsachen gegenüber dem Versicherer zum Zwecke der Erregung oder Aufrechterhaltung eines Irrtums voraus. 

Der Versicherungsnehmer muss vorsätzlich handeln, indem er bewusst und willentlich auf die Entscheidung des Versicherers einwirkt. Dabei entlastet Unkenntnis den Versicherungsnehmer nicht, wenn er im Bewusstsein seiner Unkenntnis Angaben „ins Blaue hinein“ macht; unter solchen Umständen schließt auch guter Glaube Arglist nicht aus, wenn der Handelnde das Fehlen einer zuverlässigen Beurteilungsgrundlage nicht offenlegt. 

Weiterhin rechtfertigen bewusst falsche Angaben allein den Schluss auf eine arglistige Täuschung noch nicht; eine bewusst unrichtige Beantwortung einer Antragsfrage muss nicht zwangsläufig in Manipulationsabsicht erfolgen; vielmehr muss in subjektiver Hinsicht hinzukommen, dass der Versicherungsnehmer auf die Entschließung des Versicherers Einfluss nehmen will und sich daher bewusst ist, dass dieser möglicherweise (bedingter Vorsatz) seinen Antrag nicht oder nur unter erschwerten Bedingungen annehmen werde, wenn er die Wahrheit sage (….)."

Den Versicherungsnehmer träfen besondere Sorgfaltspflichten, auch angesichts seiner Größe von mehr als 400 Mitarbeitern und einem Umsatz von mehr als 140 Mio. EUR.

"Die Klägerin treffen bei der Beantwortung der Risikofragen nach den Umständen besondere Sorgfaltspflichten. 

Sie ist nicht (um ein typisches Beispiel aus der Fallgruppe unrichtiger Angaben bei der Antragstellung zu nennen) ein „kleiner angestellter Handwerker“, der eine Berufsunfähigkeitsversicherung beantragt. Sie ist ein Unternehmen mit mehr als 400 Mitarbeitern und einem Jahresumsatz (laut Deklaration) von rund 143,5 Mio. €. In der Sache geht es auch nicht etwa (um im Beispiel zu bleiben) um die mangelnde Erinnerung an eine knapp fünf Jahre zurückliegende einmalige Behandlung wegen Rückenbeschwerden, sondern um Angaben zum aktuellen Status der Sicherheit eines umfassenden IT-Systems. 

Schon deshalb, weil die Klägerin (…) und der Zeuge (…) .als Leiter der fünfköpfigen IT-Abteilung denknotwendig mit einer gewissen Fachkompetenz ausgestattet ist, der sich nach eigenen Angaben in seiner zeugenschaftlichen Vernehmung vom 28. Februar 2024 zudem in regelmäßigem Austausch mit dem Systemadministrator (…) befand, der jedenfalls einer der in der Risikofrage Nr. 1 erfragten betreuenden IT-Spezialisten war (…), kann von ihnen in Bezug auf die Beantwortung von derlei Fragen eine besondere Sorgfalt erwartet werden. 

Das gilt umso mehr, da, worauf die Beklagte (…) zutreffend und unwidersprochen verweist, nach dem IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit (BSI-OPS1.3) in Ansehung des Patch- und Änderungsmanagements im Hinblick auf typische Gefahren (u.a. mangelhafte Kommunikation und unzureichende Ressourcen beim Änderungsmanagement) als Basis-Anforderungen u.a. ein Konzept für das Management, die Festlegung von Zuständigkeiten und die regelmäßige Aktualisierung von IT-Systemen und Software gelten." 

Rechts-News durch­suchen

05. Dezember 2024
Ein Unternehmen täuscht Verbraucher durch ein irreführendes TÜV-Logo und geschönte Kundenbewertungen, was als Wettbewerbsverstoß eingestuft wurde.
ganzen Text lesen
02. Dezember 2024
Die Nutzung von Adressdaten eines Kunden für Briefwerbung ist nach der DSGVO grundsätzlich zulässig, solange keine überwiegenden Interessen des…
ganzen Text lesen
28. November 2024
Eine per Videotelefonie vor einer Behörde in den USA geschlossene Ehe ist in Deutschland unwirksam, wenn die Erklärungen aus Deutschland abgegeben…
ganzen Text lesen
28. November 2024
Die Verwendung eines Grimasse-Emojis in WhatsApp gilt nicht als Zustimmung zu Lieferverzögerungen bei einem Kauf.
ganzen Text lesen

Rechts-News durchsuchen