Cyber-Versicherung muss nach Hackerangriff wegen Falschangaben nicht zahlen
Der aus einem Hackerangriff resultierende Schaden muss nicht aus der abgeschlossenen Cyber-Versicherung beglichen werden, wenn der Versicherungsvertrag wirksam angefochten wurde. Der Anfechtungsgrund der arglistigen Täuschung ist gegeben, wenn bei Vertragsschluss gestellte Fragen zur Abschätzung des Schadensrisikos falsch beantwortet worden sind (LG Kiel, Urt. v. 23.05.2024, Az. 5 O 128/21).
Worum geht es?
Die Klägerin macht gegen die Beklagte Ansprüche aus einer Cyber-Versicherung geltend. Sie betreibt an 16 Standorten einen Großhandel mit der Möglichkeit einer Online-Bestellung führ ihre ausschließlich gewerblich tätig werdenden Kunden. 2020 kam es zu einem Hackerangriff über eine eingeschleuste Schadsoftware, welche das IT-System der Klägerin herunterfuhr, sodass der Betrieb zunächst stillstand. Insgesamt entstand ein Schaden von über 400.000 €, welchen die Klägerin aus einer abgeschlossenen Cyber-Versicherung ersetzt haben wollte.
Wie entschied das Gericht?
Das LG wies die Klage ab. Der Klägerin steht gegen die Beklagte kein Anspruch auf Zahlung von Versicherungsleistungen aus dem Versicherungsvertrag zu, da dieser aufgrund einer von der Beklagten rechtzeitig erklärten Anfechtung wegen arglistiger Täuschung nach §§ 20, 22 VVG in Verbindung mit §§ 123 I, 142 I BGB nichtig sei. Die Klägerin habe die Beklagte bei Vertragsschluss über vertragsrelevante Risiken arglistig getäuscht, indem sie die gestellten Fragen zur Abschätzung des Schadensrisikos durch ihren beauftragten Verhandlungsgehilfen falsch beantworten ließ, der seine Angaben im Bewusstsein seiner Unkenntnis ins Blaue hinein machte. Die Frage, ob alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet sind, wurde mit “ja“ beantwortet. Ebenso wurde die Frage nach der Durchführung verfügbarer Sicherheitsupdates ohne schuldhaftes Zögern und dem Einsatz von Produkten für die Software für Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme etc., für die vom Hersteller Sicherheitsupdates bereitgestellt werden, bejaht. Tatsächlich war jedoch unstreitig kein Virenschutzprogramm installiert und Sicherheitsupdates des Herstellers für die Klägerin nicht verfügbar. Die galt auch für den zu Betrieb des Internet-Shops als Verbindung zum Warenwirtschaftssystem der Klägerin eingesetzten Computers. Auch einen erweiterten Supportvertrag, über den weiterhin Sicherheitsupdates hätten abgerufen werden können, hatte die Klägerin für zumindest diesen Computer nicht abgeschlossen. Schließlich befanden sich die Domaincontroller anderer Modelle noch im Auslieferungszustand von 2019, das heißt es waren weder Sicherheitsupdates aktualisiert noch Virenscanner installiert worden.
Praxishinweis
Eine arglistige Täuschung setzt voraus, dass der Versicherungsnehmer willentlich falsche Angaben macht, dabei auf den Entschluss des Versicherers Einfluss nehmen will und sich dabei bewusst ist, dass letzterer den Vertrag nicht abschließen wird, wenn der Versicherungsnehmer die Wahrheit sagt. Hierzu trägt der Versicherer grundsätzlich die Beweislast. Da es sich hierbei um subjektive Elemente des Versicherungsnehmers handelt, wird der Beweis meist durch Indizien geführt.
Bildnachweis:solarseven/Stock-Fotografie-ID:1144604245
