Cyberversicherung: OLG-Urteil zur Arglistanfechtung
Der Beitrag wurde am 6. Januar im Versicherungsmonitor erstveröffentlicht.
Während die Zahl der Schäden steigt, sind gerichtliche Entscheidungen zur Cyberversicherung weiterhin rar gesät. In Schleswig-Holstein hat sich nun erstmals ein Oberlandesgericht damit befasst, unter welchen Voraussetzungen eine Arglistanfechtung eines Cyberversicherungsvertrags in Betracht kommt. Dabei haben sich die Richter auch zu der Frage geäußert, welche Anforderungen an die Eindeutigkeit von Risikofragen des Versicherers zu stellen sind.
Die Gelegenheit zu dem Cyberversicherungsurteil bot sich dem Schleswig-Holsteinischen Oberlandesgericht im Rahmen einer Berufung gegen das hier schon an anderer Stelle besprochene Urteil des Landgerichts Kiel vom 23. Mai 2024 (Az. 5 O 128/21). In der Vorinstanz war die Klage der von einem Hackerangriff betroffenen Versicherungsnehmerin erfolglos geblieben.
Das Landgericht Kiel entschied, dass der von der Klägerin abgeschlossene Cyberversicherungsvertrag aufgrund einer Anfechtung wegen arglistiger Täuschung nichtig sei und der beklagte Versicherer Deckungsschutz daher zu Recht verweigert habe. Die Anfechtung hatte der Versicherer darauf stützen können, dass die Versicherungsnehmerin über ein Onlineportal des Versicherers gestellte Risikofragen „ins Blaue hinein“ und damit bewusst unrichtig beantwortet habe.
Dieser Auffassung schloss sich das Schleswig-Holsteinische Oberlandesgericht in einem Hinweisbeschluss vom 14. Oktober 2024 (Az. 16 U 63/24) an.
Das Schleswig-Holsteinische Oberlandesgericht teilt die Auffassung der Vorinstanz, dass es für das Bestehen des Anfechtungsrechts nicht darauf ankommt, ob die Risikofragen der Klägerin förmlich in Textform gestellt worden sind oder der Versicherer auf die Folgen unrichtiger Antragsangaben hingewiesen hat.
Risikofragen eindeutig und nicht etwa unklar oder unmissverständlich
Darüber hinaus attestiert das Schleswig-Holsteinische Oberlandesgericht dem Versicherer, dass die Risikofragen, auf deren Falschbeantwortung die arglistige Täuschung gestützt wurde, eindeutig formuliert sind.
Der Adressat einer Risikofrage muss durch diese in die Lage versetzt werden, sich ein vernünftiges Bild von den unter die Frage fallenden Umständen machen zu können. Es ist dabei Sache des Versicherers, die Frage so zu formulieren, dass er bei deren korrekter Beantwortung eine vollständige Kenntnis der für ihn gefahrerheblichen Umstände erhält. Wie eine Risikofrage zu verstehen ist, richtet sich dabei nach der Verständnismöglichkeit eines verständigen Versicherungsnehmers, und zwar vor dem Hintergrund der Versicherung, die abgeschlossen werden soll und dem daraus für ihn erkennbaren Aufklärungsinteresse des Versicherers.
Nach Ansicht des Schleswig-Holsteinischen Oberlandesgerichts ist für die Cyberversicherung daher auf die Verständnismöglichkeiten eines „kaufmännischen, umfassend im Online-Geschäft tätigen Unternehmers“ abzustellen.
Einem solchen Unternehmer werde mit der Frage, ob alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet sind, ausreichend vor Augen geführt, dass sich die Frage auf den aktuellen Virenschutz-Status aller Rechner bezieht, die in dem Netzwerk des Betriebes Funktionen ausüben und in diesem Sinne „arbeiten“.
Einem verständigen Versicherungsnehmer müsse daher einleuchten, dass die Frage sich auch auf Server beziehe. Da ein von der Versicherungsnehmerin eingesetzter Web-SQL-Server weder über einen Virenscanner noch eine Antiviren-Software verfügte, habe die Versicherungsnehmerin die Risikofrage nicht bejahen dürfen, sondern verneinen müssen.
Gleiches gelte für die Frage, ob verfügbare Sicherheits-Updates ohne schuldhaftes Zögern durchgeführt, und für die für den Betrieb des IT-Systems erforderliche Software lediglich Produkte eingesetzt werden, für die es vom Hersteller bereitgestellte Sicherheitsupdates gibt. Diese Frage ziele ersichtlich darauf ab, ob sichergestellt ist, dass die im Netz des Unternehmens verwendete Software mit Herstellerprodukten auf dem neuesten Stand gehalten wird, und Updates so zügig durchgeführt werden, wie das nach den betrieblichen Gegebenheiten möglich und angezeigt ist.
Da für ein von der Versicherungsnehmerin auf einem Server eingesetztes Betriebssystem die Durchführung von Updates tatsächlich nicht gesichert gewesen sei und für dieses seit geraumer Zeit keine Software- und Sicherheitsupdates mehr bereitgestellt wurden, habe die Versicherungsnehmerin auch diese Frage verneinen müssen.
Beantwortung „ins Blaue hinein“ war arglistig
Nach Ansicht des Schleswig-Holsteinischen Oberlandesgerichts trafen die Versicherungsnehmerin bei der Beantwortung der Risikofragen besondere Sorgfaltspflichten, weil die Versicherungsnehmerin mit besonderer Fachkompetenz ausgestattet war. Nach dem IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit (BSI-OPS1.3) hätte es für das Patch- und Änderungsmanagement im Hinblick auf typische Gefahren als Basis-Anforderungen unter anderem ein Konzept für das Management, die Festlegung von Zuständigkeiten und die regelmäßige Aktualisierung von IT-Systemen und Software geben müssen.
Ein Versicherer, der explizit nach dem aktuellen Sicherheitsstatus des IT-Systems frage, könne erwarten, dass ein kaufmännisches Unternehmen derartige Standards beachtet und sich bei der Beantwortung der gestellten Fragen nicht situativ „aus der Lameng“ erklärt, sondern seine Antworten aus der konkret und aktuell verfügbaren Kenntnis anhand der vorbezeichneten Standards gewonnen hat. Da es bei der Versicherungsnehmerin derartige Standards nicht gegeben habe, liege es auf der Hand, dass die umstandslose Bejahung der Fragen sich als eine jeweilige Erklärung ins Blaue hinein darstelle, aus der sich ein bedingter Vorsatz für die bewusst unrichtige Beantwortung der Risikofragen herleiten lasse.
