Rücktritt und Anfechtung in der Cyberversicherung: Aktuelle Urteile und Handlungsempfehlungen

Vermeintlich falsch beantwortete Risikofragen können den Cyberversicherungsschutz kosten. Doch welche Maßstäbe anzusetzen sind, darüber sind sich die Gerichte noch uneinig.

Hackerangriffe sorgen jedes Jahr für Milliardenschäden in der deutschen Wirtschaft. Längst sind nicht mehr nur Konzerne betroffen, sondern auch der Mittelstand. Viele Unternehmen haben daher über eine Cyberversicherung eine Deckung von Cyber-Schäden eingekauft.

Im Vertrieb setzen Cyberversicherer im KMU-Bereich auf weitgehend automatisierte Prozesse. Die Antragstellung erfolgt oft online, eine individuelle Risikoevaluation durch IT-Experten ist in den meisten Fällen aus wirtschaftlichen Gründen nicht vorgesehen. Bei der Bewertung des Risikos stützen sich Cyberversicherer maßgeblich auf Risikofragebögen, die der (angehende) Versicherungsnehmer im Vorfeld des Vertragsschlusses wahrheitsgemäß auszufüllen hat. 

Anhand der Antworten des Versicherungsnehmers erhält der Versicherer Einblick in das IT-Risikomanagement des Versicherungsnehmers. Im Fokus stehen dabei Maßnahmen und interne Prozesse wie etwa der Einsatz von Firewalls oder die Häufigkeit von Updates. In der Regel beantwortet ein mit der IT vertrauter Angestellter des Versicherungsnehmers den Risikofragebogen. Auf Grundlage der Antworten entscheidet sich der Versicherer für oder gegen ein Angebot zur Deckung des Risikos. 

Die herausragende Bedeutung korrekter Antworten bereits in dieser vorvertraglichen Phase ist vielen Versicherungsnehmern nicht bewusst, denn schon eine einzige mutmaßlich falsche Antwort kann später den Versicherungsschutz kosten. Besonders problematisch: Noch hat die Rechtsprechung keine allgemeingültigen Bewertungsmaßstäbe für die Schwere von Anzeigepflichtverletzungen entwickelt und die Auslegung vieler der üblichen Risikofragen in der Cyberversicherung bleibt strittig.

1. Das Rücktrittsrecht des Cyberversicherers

Die Beantwortung von Risikofragebögen fällt versicherungsrechtlich unter die Anzeigeobliegenheiten des § 19 Abs. 1 VVG. Dieser lautet:

Der Versicherungsnehmer hat bis zur Abgabe seiner Vertragserklärung die ihm bekannten Gefahrumstände, die für den Entschluss des Versicherers, den Vertrag mit dem vereinbarten Inhalt zu schließen, erheblich sind und nach denen der Versicherer in Textform gefragt hat, dem Versicherer anzuzeigen. Stellt der Versicherer nach der Vertragserklärung des Versicherungsnehmers, aber vor Vertragsannahme Fragen im Sinn des Satzes 1, ist der Versicherungsnehmer auch insoweit zur Anzeige verpflichtet.

Verletzt der Versicherungsnehmer fahrlässig seine Anzeigeobliegenheit, so kann der Versicherer den Vertrag kündigen (§ 19 Abs. 3 VVG). Eine grob fahrlässige oder vorsätzliche Verletzung berechtigt den Versicherer zum Rücktritt vom Versicherungsvertrag (§ 19 Abs. 2 VVG). Der Versicherungsnehmer hat im Fall eines erfolgreichen Rücktritts keinen Anspruch auf die Versicherungsleistung nach Schadeneintritt.

Doch einen Rücktritt muss der Versicherungsnehmer nicht einfach hinnehmen, denn das Rücktrittsrecht steht unter Vorbehalten:

Vertrag zu anderen Bedingungen geschlossen?

Der Versicherer kann nicht vom Vertrag zurücktreten, wenn er den Vertrag auch bei Kenntnis der nicht angezeigten Gefahrumstände (ggf. zu anderen Bedingungen) geschlossen hätte (§ 19 Abs. 4 VVG).

Hinweis auf Folgen? 

Der Versicherer muss im Rahmen des Risikodialogs auf die Rechtsfolgen einer Falschbeantwortung der Risikofragen hingewiesen haben (§ 19 Abs. 5 S. 1 VVG).

Textform?

Die Fragen hat der Versicherer in Textform zu stellen. Nicht angezeigte Gefahrumstände, nach denen der Versicherer nicht schriftlich fragt, berechtigen nicht zum Rücktritt (§ 19 Abs. 1 S. 1 VVG).

Kenntnis des Versicherers?

Auch ist der Rücktritt ausgeschlossen, wenn der Versicherer den nicht angezeigten Gefahrumstand kannte oder wusste, dass die Antwort des Versicherungsnehmers falsch war und dennoch den Vertrag schloss (§ 19 Abs. 5 S. 2 VVG).

Verletzung kausal?

Tritt der Versicherer auf Grundlage des § 19 Abs. 2 VVG vom Versicherungsvertrag zurück, so ist er bei Eintritt des Versicherungsfalls (gemäß § 21 Abs. 2 S. 1 VVG) dennoch leistungspflichtig, wenn sich die Anzeigeobliegenheitsverletzung auf einen Gefahrumstand bezieht, der weder für den Eintritt des Versicherungsfalls ursächlich ist noch für die Feststellung und den Umfang der Leistungspflicht (sogenannter Kausalitätsgegenbeweis).

Ein Beispiel einer erfolgreichen Argumentation gegen den Rücktritt:

Ein Unternehmen möchte eine Cyberversicherung einkaufen und wendet sich an einen Assekuradeur. Von diesem erhält das Unternehmen einen Risikofragebogen, bei dem jedoch das Vorblatt fehlt, auf dem der Versicherer auf die Folgen einer Falschbeantwortung hinweist. Das Vorblatt erhält der Versicherer erst nach Vertragsschluss zusammen mit der übrigen Dokumentation wie dem Versicherungsschein. 

Ein Schaden tritt ein und auf Basis eines Sachverständigengutachtens behauptet der Versicherer, der Versicherungsnehmer habe Teile des Risikofragebogens falsch beantwortet. Doch das Unternehmen kann vorvertragliche Korrespondenz vorlegen, die beweist, dass der Assekuradeur die Übersendung des Hinweises auf die Folgen der Anzeigepflichtverletzung versäumt hatte. Der Versicherer muss sich das Verhalten seines Assekuradeurs zurechnen lassen und kann sich nicht mehr auf das Rücktrittsrecht berufen.

2. Damoklesschwert Anfechtung

Kritisch wird es, wenn nicht (nur) ein Rücktritt, sondern gar eine Anfechtung des Versicherungsvertrags wegen arglistiger Täuschung im Raum steht:

Täuscht der Versicherungsnehmer den Versicherer arglistig, so ist der Versicherer zur Anfechtung des Vertrags in Gänze berechtigt (§ 21 Abs. 2 S. 2 VVG, § 22 VVG). Das gilt auch für arglistige Täuschungen im Rahmen der vorvertraglichen Anzeige. Arglistig handelt ein Versicherungsnehmer, wenn er durch die bewusste Falschbeantwortung von Risikofragen auf die Entscheidung des Versicherers, den Vertrag abzuschließen, Einfluss nehmen will (BGH r+s 2007, 234; OLG Koblenz r+s 2014, 32 (Ls.); OLG Karlsruhe r+s 2015, 203 (Ls.)). Die Arglist des Versicherungsnehmers muss der Versicherer darlegen und beweisen.

Ist die Anfechtung erfolgreich, so ist der Versicherer nicht mehr zur Leistung verpflichtet. Der Versicherungsnehmer kann sich dann auch auf keine der Vorbehalte berufen, die für den Rücktritt gelten. Weder eine Kenntnis des Versicherers noch fehlende Textform oder gar ein erfolgreicher Kausalitätsgegenbeweis helfen dem Versicherungsnehmer, wie folgendes Beispiel zeigt:

Ein Unternehmen versucht bei mehreren Versicherern Cyberversicherungsschutz einzukaufen. Die ersten drei Versicherer lehnen ab, da das Unternehmen auf den PCs noch mit Windows 95 arbeitet – wie das Unternehmen wahrheitsgemäß in den Fragebögen angibt. Beim Fragebogen des vierten Versicherers beantwortet das Unternehmen die Frage nach dem eingesetzten Betriebssystem wahrheitswidrig, um den Versicherungsschutz endlich zu erhalten – aber mit der Absicht, kurzfristig die Systeme zu modernisieren. 

Das geplante Update kommt jedoch nicht mehr zustande, da ein Hackangriff das Unternehmen lahmlegt. Der Cyberversicherer verweigert die Deckung des Schadens und ficht den Vertrag an, da er sich arglistig getäuscht sieht. Obwohl IT-Experten zu dem Schluss kommen, dass der Hackangriff auch bei einem aktuellen Betriebssystem erfolgreich gewesen wäre, kann der Versicherungsnehmer aufgrund der Anfechtung keinen Kausalitätsgegenweis führen.

3. Aktuelle Rechtsprechung

Das Rücktrittsrecht sowie die Anfechtung spielten bei den ersten beiden zur Cyberversicherung ergangenen Urteilen eine zentrale Rolle. Beiden Fällen lag derselbe Online-Risikofragebogen mit lediglich acht Risikofragen zugrunde. In beiden Fällen wandten die Cyberversicherer eine Verletzung der Anzeigeobliegenheit ein und erklärten den Rücktritt sowie die Vertragsanfechtung wegen arglistiger Täuschung. Die Gerichte bewerteten die Fälle jedoch im Ausgang unterschiedlich.

3.1 LG Tübingen

Im deutschlandweit ersten Urteil zur Cyberversicherung sprach das Landgericht Tübingen einem Versicherungsnehmer Versicherungsschutz aus einer Cyberversicherung zu (LG Tübingen, Urteil v. 26. Mai 2023 - 4 O 193/21).

Der Versicherungsnehmer, ein mittelständisches Unternehmen, wurde Opfer eines Ransomware-Angriffs. Die Angreifer forderten ein Lösegeld in Bitcoin für die Entschlüsselung der Daten, worauf das Unternehmen nicht einging. Die IT-Infrastruktur des Versicherungsnehmers blieb verschlüsselt und musste neu aufgebaut werden​. Es entstand ein beträchtlicher Sach- und Betriebsunterbrechungsschaden.

Das Problem: Mehrere Server des Unternehmens waren veraltet und hatten seit Jahren keine Sicherheits-Updates mehr erhalten, Firewalls waren teilweise deaktiviert. Dennoch hatte der Versicherungsnehmer folgende Fragen des Risikofragebogens mit „Ja“ beantwortet:

Frage 3) Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet. ​

Frage 4) Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme).

[…]

Frage 6) Es werden Hard- und Software (wie Firewalls) zum Schutz des Unternehmensnetzwerks eingesetzt. ​

Aufgrund der vorgeworfenen Falschbeantwortung erklärte der Versicherer den Rücktritt. Zusätzlich erklärte er sich leistungsfrei wegen grob fahrlässiger Herbeiführung des Versicherungsfalls und Gefahrerhöhung.

Dem folgte das Gericht nicht. Frage 3) sei nicht falsch beantwortet, da sich der Begriff „Arbeitsrechner“ nach Ansicht des Gerichts nicht auf Server bezöge. Ein Server sei also kein Arbeitsrechner. Frage 6) zu den Firewalls sei zu weit formuliert und deshalb nicht falsch beantwortet. Der Versicherer könne seine vorvertraglichen Risiko-Fragen nicht nachträglich eng auslegen. Ob der Versicherungsnehmer Frage 4 (Sicherheitsupdates) grob fahrlässig falsch beantwortet habe, sei unerheblich, da dem Versicherungsnehmer an dieser Stelle der Kausalitätsgegenbeweis gelang: Nicht nur die veralteten Server waren von dem Angriff betroffen, sondern auch Server, die Updates erhalten hatten.

Eine Arglist konnte das Gericht beim Versicherungsnehmer ebenfalls nicht erkennen. Die bewusste Falsch- oder Nichtbeantwortung von Fragen genüge für sich genommen nicht für Arglist. Dass die verantwortlichen Mitarbeiter vorsätzlich auf die Entscheidung des Versicherers Einfluss nehmen wollten, habe der Versicherer nicht darlegen und beweisen können. Vielmehr hätte der Assekuradeur im vorvertraglichen Risikodialog den Eindruck erweckt, dass seitens des Versicherers keine hohen Anforderungen an die IT-Sicherheit gestellt werden. 

Weiter erklärte das Gericht, der Versicherungsnehmer führe den Versicherungsfall nicht i.S.d. § 81 Abs. 2 VVG grob fahrlässig herbei, wenn die betreffende Gefahrenlage bereits bei Vertragsschluss bestand und bereits Grundlage der Risikoprüfung des Versicherers war oder hätte sein können. Es sei also Sache des Versicherers, die Risikosituation des Versicherungsnehmers umfassend und anhand konkreter Fragen zielgerichtet zu prüfen. Unzureichende Risikofragebögen gingen zulasten des Versicherers, nicht des Versicherungsnehmers.

3.2 LG Kiel

Dem vor dem LG Kiel (Urteil v. 23. Mai 2024 - 5 O 128/21) entschiedenen Streit lag ein ähnlicher Sachverhalt wie in Tübingen zugrunde. Nicht nur waren die Risikofragen und deren Beantwortung identisch. Auch hatte das geschädigte Unternehmen ebenfalls veraltete Server eingesetzt und der Versicherer hatte aufgrund mutmaßlicher Anzeigepflichtverletzung den Rücktritt sowie im Verlauf des Deckungsprozesses die Anfechtung erklärt. 

Das in Kiel klagende Unternehmen war Opfer eines Cyberangriffs geworden, bei dem die Angreifer Rechnerkapazitäten zum Bitcoin-Mining verwendet hatten. Die Wiederherstellung der Systeme und die damit einhergehende Betriebsunterbrechung führten zu einem Schaden von rund einer halben Million Euro.

Die Kieler Richter bewerteten zentrale Aspekte anders als ihre Tübinger Kollegen: Frage 3 des Risikofragebogens zur Verwendung aktueller Software auf Arbeitsrechnern sei vom Versicherungsnehmer falsch beantwortet, denn unter „Arbeitsrechner“ seien auch Server zu verstehen. Damit legt das Gericht eine fragwürdig weite Auslegung des Begriffs „Arbeitsrechner“ an, obwohl Zweifel bei der Auslegung von Risikofragen zulasten des Versicherers gehen sollten.

Auch Frage 4 zu den Sicherheitsupdates sei objektiv falsch beantwortet worden. Beide Fragen habe der IT-Leiter des Unternehmens arglistig falsch beantwortet, da er ohne die nötigen Rücksprachen und Überprüfungen die Fragen „ins Blaue hinein“ und damit im Bewusstsein seiner Unkenntnis beantwortet habe.

Zum subjektiven Element der arglistigen Anzeigepflichtverletzung, also der erforderlichen Absicht (oder zumindest dem Inkaufnehmen) des IT-Leiters, auf die Entscheidung des Versicherers Einfluss zu nehmen, äußert sich das Gericht nur knapp: Die Kammer sei „nach Wertung aller Gesamtumstände“ davon überzeugt, dass der IT-Leiter „es jedenfalls für möglich hielt, dass die Beklagte [der Versicherer, Anm. d. Verf.] durch seine Antworten zum Vertragsschluss bestimmt wird […]“. 

Der IT-Leiter selbst gab im Verfahren an, die Fragen nicht in bewusster Unkenntnis beantwortet zu haben. Zum einen habe er auf einen zwischenzeitlich verstorbenen, für Sicherheitsupdates zuständigen Kollegen sowie auf einen in der Nachfolge des Kollegen beauftragten externen Dienstleister vertraut, zum anderen habe er an einige vermeintlich nicht benutzte Server schlicht nicht mehr gedacht. Dem schenkte das Gericht offenbar keinen Glauben. 

Mit der vom Gericht vermuteten Arglist entfielen alle weiteren Argumente des Versicherungsnehmers. Der Kausalitätsgegenbeweis blieb ihm verwehrt. Auch das Argument, ein Online-Fragebogen stelle keine Fragestellung „in Textform“ dar, erörterte das Gericht leider nicht weiter.

Die Urteile aus Tübingen und Kiel zeigen, wie schmal der Grat zwischen grober Fahrlässigkeit, bedingtem Vorsatz und Arglist in der Beantwortung von Risikofragebögen sein kann. Die Maßstäbe, die das Gericht im Einzelfall ansetzt, können unterschiedlich sein und vor Gericht zu gegensätzlichen Ergebnissen führen.

4. Umgang mit Risikofragebögen

Risikofragebögen bergen Unwägbarkeiten, wenn selbst Gerichte vergleichbare Sachverhalte und identische Risikofragen unterschiedlich auslegen. Das macht es für Versicherungsnehmer nicht einfacher, Fragebögen in der Cyberversicherung stets korrekt auszufüllen. Klar ist: Ohne umfassende IT-fachliche Expertise sollte kein Versicherungsnehmer einen Risikofragebogen ausfüllen. Ungeprüfte Antworten können fatal sein, wie insbesondere das Urteil des LG Kiel zeigt. Daher lohnt es sich, lieber mehrfach bei den dafür zuständigen Fachkräften nachzuhaken, solange Unklarheiten bestehen.

Häufig passt auch die individuelle Risikolandschaft nicht zu den abgefragten Themen. Solche Abweichungen zwischen den vom Cyberversicherer erfragten Sicherheitsstandards und den eigenen Prozessen und Strukturen sollte der Versicherungsnehmer noch im Rahmen des Risikodialogs erläutern. Das gilt insbesondere, wenn Fragen mehrdeutig sind, wie das Beispiel des Begriffs „Arbeitsrechner“ zeigt. Ein Austausch mit dem Versicherer darüber, was mit einzelnen Begriffen gemeint ist und welches Sicherheitsniveau der Versicherer konkret erwartet, kann hilfreich sein. Einen solchen Dialog gilt es gut zu dokumentieren und unabhängig von der IT zu speichern.

Doch nicht nur die vorvertragliche Dokumentation ist wichtig. Auch eine gute IT-Forensik im Schadenfall kann wertvoll sein, wie der Tübinger Fall zeigte. Wer nachweisen kann, dass der Cyberangriff auch unabhängig von streitgegenständlichen Gefahrumständen erfolgreich gewesen wäre, kann den Kausalitätsgegenbeweis führen – sofern keine Arglist im Raum steht.

5. Fazit

Risikofragebögen bleiben häufiger Anlass für Streit in der Cyberversicherung. Eine klare Linie in der Rechtsprechung könnte künftig sowohl Versicherern wie auch Versicherungsnehmern Orientierung liefern. Obergerichtliche Urteile bleiben deshalb abzuwarten. Eine schnelle Befassung des BGH mit aktuellen Fragen der Cyberversicherung ist nicht abzusehen. Bis dahin sind auch die Cyberversicherer gehalten, ihre Risikofragebögen zu optimieren und ihren vorvertraglichen Dialog mit den Versicherungsnehmern zu intensivieren.

Dieser Beitrag erschien zuerst in der Zeitschrift Die VersicherungsPraxis Ausgabe 09-2024, S. 34 ff.

Beitrag teilen:

Mehr Aktuelles