LG Kiel zu Falschangaben beim Abschluss einer Cyber-Versicherung

Das Thema Cyber-Versicherungen nimmt in den aktuellen Zeiten eine immer größere Bedeutung ein, da Cyber-Angriffe seit Jahren deutlich zunehmen und es keinesfalls nur bestimmte Branchen oder auch nur größere Unternehmen treffen tut. Eine Versicherung kann hier viele damit im Zusammenhang stehende Risiken minimieren. Aber die Hürden für den Abschluss einer solchen Versicherung, die dann auch wirklich einspringt, wenn es mal soweit ist, sind nicht zu unterschätzen.

Worum ging es nun in der Entscheidung LG Kiel, Urt. v 23.5.2024 – 5 O 128/21?

Ein Unternehmen schloss über einen Makler eine Cyber-Versicherung bei einer Versicherung ab. Hierzu füllte der Makler den Fragenkatalog der Beklagten aus. Nach Rücksprache mit der IT-Abteilung des Vertragspartners gab er an, dass alle Rechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet seien. Ebenso gab der Makler an, dass Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt würden. Also keine sonderlich anspruchsvollen Dinge. Nach Vertragsschluss verschaffte sich ein Dritter Zugang zum IT-System des späteren Klägers und nutzte die Rechenkapazitäten des Unternehmens. Eine Begutachtung des IT-Systems des Klägers, die nach dem Vorfall stattfand, ergab, dass eine veraltete Serversoftware genutzt wurde und dass Anti-Malware-Software fehlte. Die Versicherung verweigerte die Auszahlung der Versicherungssumme.

Nach Ansicht des LG Kiels hat “Die Beklagte hat mit der Klagerwiderung vom 18.08.2021 und damit noch binnen der Jahresfrist des § 124 BGB die Anfechtung des Vertrages wegen arglistiger Täuschung erklärt. Die Klägerin hat die Beklagte bei Vertragsschluss über vertragsrelevante Risiken arglistig getäuscht, indem sie nach Überzeugung der Kammer jedenfalls die im Rahmen der Invitatio gestellten Risikofragen zu Ziffer 3) und 4) durch ihren beauftragten Verhandlungsgehilfen, den Zeugen …, falsch beantworten ließ,“

Die Klägerin müsse sich die Auskünfte ihrer Mitarbeiter zurechnen lassen, den laut der Aussage des Mitarbeiters, der die Angaben gegenüber den Beauftragten machte habe er den Sicherheitsstatus der EDV weder selbst geprüft, noch könne er sich daran erinnern, dies beauftragt zu haben. Das Gericht wertete dies so, dass der MitarbeiterAngaben ins Blaue gemacht habe und dabei billigend in Kauf genommen habe, dass die Angaben zum EDV-Status unrichtig seien. Dies gelte umso mehr, als es sich um Kernsysteme gehandelt habe.

Die Falschbeantwortung der Risikofragen und damit die erfolgte Täuschung sei auch kausal für den ursprünglichen Vertragsschluss gewesen. Der Versicherungsvertrag sei aufgrund der begründeten Anfechtung des Vertrages wegen arglistiger Täuschung nichtig und die Beklagte ist zur Erbringung der vereinbarten Versicherungsleistungen nicht verpflichtet.

Unternehmen, die gegenüber einer Versicherung im Rahmen des Abschlusses einer Cyber-Versicherung Angaben machen, sollten sich daher darüber Gedanken machen, ob hier nicht nach einem Vier-Augenprinzip vorgegangen werden sollte. Die Konsequenzen können sonst unerfreulich sein, wenn ein Schaden einmal eintreten sollte.