Zweites Cyberurteil: Falsche Angaben als arglistige Täuschung gewertet

Groß war die Aufregung um das erste Cyber-Urteil in Deutschland. Das Landgericht Tübingen (Az.: 4 O 193/21) urteilte, dass ein Versicherer auch dann zahlen muss, wenn nicht alle Sicherheitsupdates installiert wurden. Das zweite Urteil des Landgerichts Kiel (Urteil vom 23. Mai 2024, Az.: 5 O 128/21) befasste sich ebenfalls mit Updates, die jedoch nicht installiert wurden, obwohl im Fragenbogen etwas anderes behauptet wurde.

Keine Versicherungsleistung bei falschen Angaben im Risikofragebogen. Das trifft im Grunde auf wohl jede Sparte zu. Meist wird das prominent in den Medien erhoben, wenn bei Gesundheitsfragen gemogelt wird und die BU-Versicherer im Schadenfall nicht zahlen. Ähnlich könnte man auch das zweite Urteil zur Cyberversicherung zusammenfassen.

Dieses noch nicht rechtskräftig, ebenso wenig wie das Tübinger Urteil, welches derzeit vom Oberlandesgericht Stuttgart überprüft wird. Für die Anwaltskanzlei Bach Langheid Dallmayr grenzt sich das Landgericht Kiel zum ersten deutschen Cyberurteil des LG Tübingen ab, welches Server nicht als Arbeitsrechner ansah und auch bzgl. Arglist zurückhaltender war, lautet ein LinkedIn-Kommentar.

Alte Rechner ohne Updates

Aber der Reihe nach. Im konkreten Fall schloss die Klägerin, ein Holzgroßhandel mit 16 Standorten in Norddeutschland, im März 2020 eine Cyber-Versicherung ab, die durch einen Assekuradeur vermittelt wurde. Wie üblich wurden bei der Antragstellung Risikofragen beantwortet, u.a. ob „alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet„ seien. Die Frage wurde mit „Ja“ beantwortet. Auch dass man regelmäßig Sicherheitsupdates durchführt, wurde bejaht.

Das entsprach jedoch nicht der Wahrheit. Es gab im Unternehmen veraltete Rechner, zwei mit Windows 2003 und einen mit der Software Windows 2008. Weder Virenschutz noch Sicherheitsupdates waren installiert und angesichts des Alters der Software waren auch keine Updates verfügbar.

Im September 2020 wurde ein unbefugter Zugriff auf die Systeme des Unternehmens festgestellt. Daraufhin verlangte die Firma vom Versicherer knapp 425.000 Euro. Der Versicherer argumentierte, dass einige Risikofragen falsch beantwortet wurden und der Versicherungsvertrag aufgrund arglistiger Täuschung nichtig sei. Das Landgericht Kiel nahm die Position des Versicherers ein. Eine solche Täuschungshandlung berechtigt den Versicherer zur Anfechtung des Vertrags gemäß § 123 BGB. Die Risikofragen wurden vom IT-Mitarbeiter „im Bewusstsein seiner Unkenntnis ins Blaue hinein“ beantwortet, begründet die Richter ihre Entscheidung. Auch machten sie keinen Unterschied zwischen Arbeitsrechnern und Servern. „Gerade wenn die in der Verfügungsgewalt des Versicherungsnehmers stehenden Rechner in einem Netzwerk verbunden sind, ist ohne weiteres ersichtlich, dass die Gesamtheit des Netzes nur so sicher sein kann, wie deren schwächste Glieder.“

Nur eine Einzelfallentscheidung

Rechtsanwalt Jens Ferner schreibt in einem Blogeintrag, dass das Urteil weitreichende Auswirkungen für Unternehmen und Versicherer gleichermaßen habe, „da sie die Notwendigkeit einer sorgfältigen und vollständigen Offenlegung aller relevanten Risikoaspekte bei Vertragsabschlüssen im Versicherungsbereich hervorhebt.“ Gleichzeitig betont er, dass es sich um einen Einzelfall handelt: „Auf keinen Fall aber ist es so, dass nur weil man zu Beginn sagt, es werden Updates installiert und dann fehlen einzelne Updates, dass hier dann eine Anfechtung durch den Versicherer im Raum steht. Dass im Fall des Angriffs einzelne Updates nicht vorhanden waren oder kurzfristig Lücken ausgenutzt wurden, wird am Ende gerade der versicherte Umstand sein.“

Autor: VW-Redaktion