Rechtsprechung zur Cyber-Versicherung: Neue Entwicklungen und Fallstricke
Written By
Counsel
Deutschland
Ich berate als Counsel in den Praxisgruppen Commercial und Streitbeilegung im Frankfurter Büro. Ich bin zudem Mitglied der International Automotive Group und dem internationalen Team für Versicherungsstreitigkeiten (Insurance Disputes SIG).
Unternehmen sollten beim Abschluss einer Cyber-Versicherung strikt auf korrekte Angaben achten. Gerichte setzen hohe Maßstäbe an Sorgfalt und Klarheit der Risikofragen. Werden Updates nicht rechtzeitig ausgeführt oder Sicherheitslücken verschwiegen, droht der Ausschluss vom Versicherungsschutz – mit finanziellen Folgen im Ernstfall.
Der digitale Alptraum für Unternehmen
Das Szenario ist für jedes Unternehmen ein Alptraum. Der Betrieb steht aufgrund eines Cyber-Angriffs still. Dabei spielt es für das Unternehmen letztlich keine Rolle, welche Technik dahintersteckt. Ob Phishing, Malware oder ein Denial-of-Service-Angriff - das Ergebnis bleibt gleich. Das Unternehmen kann nicht mehr arbeiten. Die Systeme sind lahmgelegt. Kunden können nicht bedient werden. Der finanzielle Schaden wächst mit jeder Stunde. Dies haben mittlerweile viele Unternehmen erkannt. Sie haben mit Cyber-Versicherungen vorgesorgt. Doch im teuren Ernstfall kommt oft die böse Überraschung. Das Unternehmen kann – je nach Analyse des Sachverständigen – sicher sein, dass der Versicherer die Antworten auf die Risikofragen genau prüft und nach Gründen sucht, die Deckung zu verweigern.
Wegweisende Entscheidung des OLG Schleswig
Mit dieser brisanten Frage befasst sich nun erstmals ein Oberlandesgericht. Das OLG Schleswig legt dabei strenge Maßstäbe für Unternehmen an. In seinem Beschluss vom 9. Januar 2025 (16 U 63/24) formuliert das Gericht deutliche Worte. Der Versicherer darf von einem größeren Unternehmen bei Risikofragen eine gewisse Sorgfalt erwarten. Keinerlei Kenntnisse über die Gepflogenheiten bei der Cyber-Versicherung genügen nicht. Auch der "gute Glaube", dass schon alles in Ordnung sei, reicht nicht aus. Dies gilt selbst dann, wenn eigentlich externe Dienstleister die IT-Landschaft betreuen.
Der konkrete Fall: Holzgroßhandel gegen Versicherer
Konkret ging es im Fall des OLG Schleswig um Folgendes: Die Klägerin, ein Holzgroßhandel, bestätigte bei Vertragsabschluss eine wichtige Frage. Sie gab an, ihre IT-Systeme seien mit aktueller Sicherheitssoftware ausgestattet und würden regelmäßig aktualisiert. Nach einem Hackerangriff kam die Wahrheit ans Licht. Diese Angaben waren unzutreffend. Der Versicherer verweigerte daraufhin die Deckung. Der Streit landete vor Gericht.
Die Klägerin argumentierte zunächst mit Unklarheiten in der Fragestellung. Sie behauptete, die Frage zur Sicherheitssoftware habe sich nicht auf Server bezogen. Das OLG Schleswig erteilte dieser Sichtweise nunmehr eine klare Absage. Die Frage beziehe sich nach dem Verständnis eines durchschnittlichen Versicherungsnehmers auf alle Rechner. Dies umfasse sämtliche Geräte, die im Netzwerk Funktionen ausüben und in diesem Sinne "arbeiten". Die Annahme, Server seien von dieser Abfrage ausgenommen, sei abwegig.
Auch bei der Frage zu Sicherheits-Updates ließ das Gericht keine Ausreden gelten. Die Frage sei verständlich formuliert gewesen. Es sei nicht erforderlich, genau zu definieren, binnen welcher Zeit ein Update als "rechtzeitig" gelte. Ein Unternehmen mit größerem IT-System müsse um die Gefahr von Cyber-Angriffen wissen. Es müsse die Frage daher klar so verstehen, dass Updates zügig durchzuführen seien. Dies bedeutet: so schnell, wie es bei Betreuung durch mindestens einen IT-Spezialisten möglich sei.
Andere Gerichte, andere Urteile
Das Landgericht Tübingen zeigte sich vor gut zwei Jahren noch großzügiger. In seinem Urteil vom 26. Mai 2023 (4 O 193/21) entschied es zugunsten eines Unternehmens. Dieses Urteil ist allerdings nicht rechtskräftig. Die Klägerin, ein Hersteller von Heizungskomponenten, forderte Leistungen nach einem Trojaner-Angriff. Der Versicherer verweigerte die Deckung wegen angeblich falsch beantworteter Risikofragen.
Das Landgericht ließ die Frage offen, ob die Fragen zu unpräzise waren. Es ging nach einer Beweisaufnahme davon aus, dass das Unternehmen den Kausalitätsgegenbeweis geführt habe. Das bedeutet: Es konnte nachweisen, dass der Schaden auch bei korrekten Angaben entstanden wäre. Zudem konnte kein vorsätzliches oder arglistiges Verhalten nachgewiesen werden. Der Fall liegt nun beim OLG Stuttgart (Az. 7 U 262/23).
Praktische Tipps für Unternehmen
Was bedeutet das für Unternehmen? Zunächst sollten sie beim Abschluss einer Cyber-Versicherung – wie beim Abschluss jeder Versicherung – höchste Sorgfalt walten lassen. Jede Frage des Versicherers muss zutreffend und umfassend beantwortet werden.
Neue Geschäftsführer oder Vorstände sollten besonders vorsichtig sein. Wer die Angaben seiner Vorgänger nicht kennt, sollte genauere Überprüfungen einleiten. Sonst droht ein böses Erwachen, wenn einem der Vorgänger "ein Ei gelegt hat" hat.
Ist der Schadensfall bereits eingetreten, gibt es dennoch Hoffnung. Die Fragenkataloge der Versicherer sind oft uneinheitlich und können Unklarheiten enthalten. Diese lassen sich im Streitfall möglicherweise nutzen. Als letzter Ausweg bleibt der Kausalitätsgegenbeweis. Hierbei muss das Unternehmen nachweisen, dass der Schaden auch bei korrekten Angaben entstanden wäre. Dies ist anspruchsvoll, aber nicht unmöglich.
Fazit: Vorsicht ist besser als Nachsicht
Unternehmen sollten ihre IT-Sicherheit regelmäßig prüfen und bei Versicherungsabschluss mit offenen Karten spielen. Die aktuelle Rechtsprechung zeigt, dass Gerichte bei größeren Unternehmen wenig Verständnis für Nachlässigkeiten haben. Denn am Ende gilt: Eine Versicherung nützt nur dann, wenn sie im Ernstfall auch hilft.
