Blog Single
Vortrag von Rechtsanwalt Dr. Peter Dickstein, Fachanwalt für Versicherungsrecht, den er am 27.03.2025 bei der Regionsgruppe Nord des Berufsverbandes Compliance Manager (BLM) e.V. in den Räumlichkeiten der Rechtsanwälte Pragal & Prinzenberg hielt. Der Titel der Veranstaltung war „Straf- und zivilrechtliche Haftungsrisiken bei der Prävention und Abwehr von Cybererpressungen“.
Herr Rechtsanwalt Dr. Peter Dickstein hielt als Fachanwalt für Versicherungsrecht den unten aufgeführten Vortrag zur Cyberversicherung neben Herrn Rechtsanwalt Dr. Oliver Pragal der die strafrechtliche Perspektive beleuchtete und Herrn Rechtsanwalt Wolfgang Prinzenberg, der zur zivilrechtlichen Haftung vortrug.
Wesentliche Grundzüge der Cyberversicherung
Die Cyberversicherung gewinnt wegen der erheblichen Zunahme von Cyberangriffen immer mehr an Bedeutung, und zwar auch für mittelständische und kleinere Unternehmen, was der heute uns von Herrn Persihl überlassene Artikel aus dem Zeit-Magazin deutlich zeigt.
Ich möchte hier über den Versicherungsschutz der Cyberversicherung, auch im Hinblick auf Auflagen des Versicherers, und zum Ausschlusstatbestand der Kriegsklausel referieren.
Schließlich möchte ich die jüngere Rechtsprechung zur Verletzung von vorvertraglichen Anzeigepflichtobliegenheiten darstellen, die sich in der Praxis erheblich zu Lasten des Versicherungsnehmers auswirken kann.
In der Cyberversicherung existieren eine Vielzahl von individuellen Allgemeinen Versicherungsbedingungen, die voneinander abweichen können. Deshalb sollte vor Abschluss der Cyberversicherung das Bedingungswerk sorgfältig geprüft werden, auch im Hinblick auf und zu erfüllenden Auflagen.
Dies gilt auch schon besonders für vorvertragliche Anzeigepflichtobliegenheiten durch die Beantwortung von Risikofragen. Deren Falschbeantwortung kann empfindliche Rechtsfolgen nach sich ziehen, wie dem vollständigen Verlust des Versicherungsschutzes, worauf ich auch noch eingehen werde.
I. Versicherungsschutz in der Cyberversicherung Die Cyberversicherung bietet zum einen Schutz für Eigenschäden beim Versicherungsnehmer selbst, wobei nach den Musterbedingungen des GDV ausschließlich Vermögensschäden versichert sind, keine Sach- oder Personenschäden. In diesem Rahmen ist die Wiederherstellung von elektronischen Daten und informationsverarbeitenden Systemen (wie z. B. Server oder Arbeitsplatzrechner) vom Versicherungsschutz umfasst. Dabei sehen einzelne Versicherungsbedingungen abweichend davon vor, dass doch ein Sachschaden versichert ist, und zwar auf der IT-Hardware, soweit dieser durch den Cyberangriff entstanden ist Zudem ist regelmäßig der Betriebsunterbrechungsschaden versichert, der infolge eines Cyberangriffs bei dem versicherten Unternehmen entstand.
Weiterhin deckt die Cyberversicherung regelmäßig die Kompensation von Drittschäden ab, die durch den Cyberangriff bei Dritten entstanden sind und der Versicherungsnehmer aufgrund von gesetzlichen Vorschriften in
Anspruch genommen wird.
Soweit der Versicherungsnehmer seine IT auf einen Dienstleister outgesourct hat, sind Schäden regelmäßig nicht versichert, wenn der Cyberangriff auf den Dienstleister erfolgt, wobei der Dienstleister in der Regel über eine eigene Cyberversicherung verfügt, wonach im Zweifel gefragt werden sollte.
Auch hier gibt es individuelle Abweichungen. So können solche Schäden doch versichert sein, wenn der Angriff auf den Dienstleister sich unmittelbar auf den IT-Bereich des VN auswirkt.
Schließlich sehen einzelne Bedingungen einen Strafrechtsschutz vor, wenn dem VN infolge des IT-Angriffs ein strafrechtlicher Vorwurf gemacht und diesbezüglich ihm kein Vorsatz nachgewiesen wird. Il. Lösegeld Nach den Musterbedingungen des GDV wird ein Lösegeld nicht versichert. Grund dafür soll sein, dass kein Anreiz geschaffen werden soll, weil das Risiko eines Cyber-Angriffs versichert ist.
Doch gibt es auch hier individuelle Abweichungen. So sieht z. B. die Ergo-Cyber-Versicherung auch dafür Versicherungsschutz vor. Maßgeblich dafür ist, dass die Abwehr der akuten Bedrohungslage nicht oder nur mit einem unverhältnismäßig hohen Aufwand möglich ist und der Versicherer dieser Zahlung zustimmte.
Dabei ist die Höhe dieser Zahlung durch die vereinbarte Versicherungssumme begrenzt. Als Obliegenheit ist in diesem Zusammenhang geregelt, dass nicht mehr als drei Vertrauenspersonen Kenntnis von der Cyberversicherung haben dürfen.
Il. Kriegsklausel
Wie schon erwähnt, können die AVB der Cyberversicherung individuell voneinander abweichen, besonders bei Großrisiken, also bei Versicherungsschutz für größere Unternehmen. 1.) Weit gefasster Kriegsbegriff «;
Der GDV hat schon 2017 Musterbedingungen veröffentlich, die Stand Februar 2024 zum Teil neu verfasst wurden.
Eine wesentliche Änderung in den AVB Cyber 2024 liegt in der Neufassung der sogen. Kriegsklausel.
Während die AVB-Cyber 2017 noch auf dem allgemeinen völkerrechtlichen Kriegsbegriff für den Risikoausschluss abstellten, wonach ein Krieg eine Auseinandersetzung zweier Staaten mit physischer Gewalt vorrausetzt, weiten die AVB 2024 den Kriegsbegriff entscheidend aus.
Denn danach liegt der Ausschlusstatbestand eines Krieges bereits dann vor, wenn ein Staat den Cyberangriff in Auftrag gab oder er diesen kontrollierte. Ein Akt der physischen Gewalt muss daneben nicht mehr vorliegen. Diese Kriegsklausel basiert im wesentlichen auf den Vorgaben des Versicherungsmarktes Lloyds in London im Zuge des Ukraine-Krieges mit der Gefahr von russischen Cyber-Attacken.
2.) Angriff auf kritische Infrastruktur
Entscheidend ist weiterhin, dass der Cyber-Angriff auf eine „kritische Infrastruktur“ nach dem Gesetz über das Bundesamt für Sicherheiten in der Informationstechnik (BSI-Gesetz) erfolgt sein muss, wodurch beim VN der Versicherungsfall entstanden ist. Unter das BSI-Gesetz fallen allgemein gesagt sämtliche Bereiche, die wesentlich für das Gemeinwesen sind, wie z. B. das Staatswesen mit der Verwaltung, der Energiebereich, Transport und Verkehr oder Medien- und Kulturbereich.
Dadurch soll die „Streuwirkung“ solcher Angriffe vom Versicherungsschutz ausgenommen werden.
3.) Darlegungs- und Beweislast
Darlegungs- und beweisbelastet für das Vorliegen eines staatlichen Cyberangriffes ist der Versicherer. Denn er beruft sich auf den Risikoausschluss. In diesem Sinne muss er sich auf „objektive“ Hinweise berufen. Diese können beispielsweise dann vorliegen, wenn nachgewiesen wird, dass der Cyberangriff von Gruppen oder Personen erfolgte, die schon in der Vergangenheit im Auftrage eines Staates Cyberangriffe vornahmen. Es bleibt aber dabei, dass der Versicherer grundsätzlich spätestens vor Gericht den Vollbeweis für den staatlichen Cyberangriff führen muss. Verbleiben insoweit Zweifel, greift die Kriegsklausel nicht.
IV) Auflagen in der Cyberversicherung
Die Cyberversicherer bieten häufig schon ohne vorherige Sicherheitsprüfung die Cyberversicherung an. Deswegen sehen die AVB Auflagen vor, die der VN zu erfüllen hat.
Auch diese können individuell je nach Bedingungswerk abweichen. Mithin sollten auch diese Auflagen vor Abschluss des Versicherungsvertrages sorgfältig gelesen und geprüft werden. Auflagen sind rechtlich als Risikobegrenzungen, Risikoausschlüsse oder Obliegenheiten ausgestaltet.
1. Risikobegrenzung
Der Versicherer kann beispielsweise bis zur Auflagenumsetzung einenprozentualen oder fixen Selbstbehalt vorgeben.
Beispiel: Bis zur Umsetzung der Auflage, wie z. B. der Implementierung eines bestimmten IT-Sicherheitssystems, besteht ein erhöhter Selbstbehalt in Höhe von „x“ oder 50 %.
Die Risikobegrenzung entfällt bei Erfüllung der Auflage.
Beispiele für Maßnahmen sind die Einführung einer „Multi-Faktor-Authentifizierung“” (MFA) für Fernzugriffe, die Durchführung einer Phishing-Kampagne oder die Erstellung eines Notfallplanes für Cyberrisken.
2.) Risikoausschlüsse
Risikoausschlüsse sind von vornherein vom Versicherungsschutz ausgeschlossen. Auf ein Verschulden des VN kommt es nicht an.
Beispiel: Nicht versichert sind Versicherungsfälle aufgrund von oder im Zusammenhang mit einem externen Zugriff auf das Computersystem des VN, der ohne Multi-Faktor-Authentifizierung erfolgt ist.
Tritt der Versicherungsfall ohne die MFA ein, ist er vom Versicherungsschutz jedenfalls dem Wortlaut nach ausgeschlossen.
Wichtig ist, dass teilweise Risikoausschlüsse rechtlich eigentlich sogen. verhüllte Obliegenheiten darstellen. Der BGH stellt dabei darauf ab, ob das Risiko beim Erfüllen des Tatbestandes nicht versichert sein soll, oder ob in erster Linie ein bestimmtes Verhalten des VN gefordert wird, von dem es abhängt, ob er den zugesagten Versicherungsschutz behält oder verliert.
Fordert die Auflage den VN zu einem konkreten Handeln auf – wie eben zur dauerhaften MFA – liegt eigentlich kein Risikoausschluss, sondern eine sogen. verhüllte Obliegenheit vor. Dann kann sich der VN auf $ 28 VVG berufen. Zunächst muss ein wirksamer Hinweis auf die Rechtsfolgen des Verstoßes gegen die verhüllte Obliegenheit vorliegen.
Zudem sollte geprüft werden, ob der Verstoß nur fahrlässig erfolgte. Denn dann besteht weiterhin voller Versicherungsschutz.
Bei grober Fahrlässigkeit kann der Versicherer die Leistung verschuldensabhängig prozentual kürzen.
Schließlich ist ein Vorteil bei einer verhüllten Obliegenheit, dass dem VN der sogen. Kausalitätsgegenbeweis offensteht nach $ 28 Abs. 3 VVG, und zwar sowohl bei Vorsatz als auch bei grober Fahrlässigkeit.
Der VN muss dann nachweisen, dass der Versicherungsfall auch ohne den Verstoß eingetreten wäre. In der Praxis werden dafür üblicherweise Sachverständigengutachten eingeholt.
3.) Obliegenheit
Häufig werden Auflagen als echte Obliegenheiten verfasst. Sollte dagegen verstoßen werden, greift nach dem bereits erwähnten $ 28 VVG ein abgestuftes Sanktionssystem.
Bei Vorsatz entfällt der Versicherungsschutz. Bei grober Fahrlässigkeit besteht ein verschuldensabhängiges Leistungskürzungsrecht des Versicherers, wobei der Grad des Verschuldens im Einzelfall anhand des konkreten Sachverhalts zu bestimmen ist.
In der Cyberversicherung werden Auflagen häufig mit einer Umsetzungsfrist versehen.
Beispiel: Durchführung einer Phishing-Kampagne bis zur nächsten Versicherungsperiode sowie anschließende
(mindestens … jährlich) Phishing Kampagnen.
Werden diese Umsetzungsfristen nicht eingehalten, liegt eine Obliegenheitsverletzung vor mit den zuvor benannten Rechtsfolgen, wobei auch hier dem VN der vorgenannte Kausalitätsgegenbeweis offensteht.
Der VN sollte jedenfalls vor Abschluss der Cyberversicherung prüfen, ob er die Umsetzungsfristen einhalten kann, um kein Risiko einzugehen.
Denn anderenfalls wäre er auf das good-will des Versicherers angewiesen, wenn er eine Verlängerung der Umsetzunggsfrist beantragt.
V. Verstoß gegen eine vorvertragliche Anzeigepflichtobliegenheit
Da wie schon erwähnt Cyberversicherungen häufig ohne vorherige Sicherheitsprüfung abgeschlossen werden, stellt der Versicherer vorvertragliche Risikofragen, die der VN wahrheitsgemäß zu beantworten hat.
Eine Falschbeantwortung kann erhebliche nachteilige Auswirkungen auf den Versicherungsschutz haben.
1.) Kündigung
Verletzt der VN fahrlässig seine Anzeigepflichtobliegenheit, kann der Versicherer den Vertrag kündigen (8 19 Abs. 3 VVG). Diese Kündigung wirkt sich für die Zukunft aus (ex-nunc).
2.) Rücktritt
Eine grob fahrlässige oder vorsätzliche Verletzung berechtigt den Versicherer zum Rücktritt vom Versicherungsvertrag ($ 19 Abs. 2 VVG).
Dieser Rücktritt wirkt sich ex-tunc, also rückwirkend aus, mit der Folge, dass dann der Versicherungsschutz entfällt.
Allerdings hat auch hier der VN noch Verteidigungsmöglichkeiten. So kann er auch hier den Kausalitätsgegenbeweis antreten, d. h. geltend machen, dass der verschwiegene Umstand keine Einfluss auf den Eintritt des Versicherungsfals oder auf die Feststellung des Versicherungsanspruchs hatte ($ 21 Abs. 2 VVG). Auch dieser Nachweis wäre ggfls. durch die Einholung eines Sachverständigengutachtens zu führen.
3.) Anfechtung
Als „Damoklesschwert“ über jede Anzeigepflichtobliegenheitsverletzung hängt die Anfechtung des Versicherungsvertrages durch den Versicherer über den VN.
Täuscht der VN arglistig, so kann der Versicherer den ganzen Vertrag anfechten (88 21, 22 VVG). Arglistig handelt der VN, wenn er durch die bewusste Falschbeantwortung von Risikofragen auf die Entscheidung des Versicherers zur Vertragsannahme Einfluss nehmen wollte.
Zwar muss der Versicherer die Arglist des Versicherungsnehmers darlegen und nachweisen, doch trägt der VN die sog. sekundäre Darlegungslast. Er muss die Gründe für die Falschangabe vortragen.
In Bezug auf die Anfechtung sind in der jüngeren Vergangenheit mehrere landgerichtliche Entscheidungen in der ersten Instanz und — soweit ersichtlich — erstmals in der Berufungsinstanz ergangen, nämlich vom OLG Schleswig (Hinweisbeschluss v. 14.10.2024 – 16 U 63/24).
Das OLG Schleswig bestätigte darin das Urteil des LG Kiel vom 23.05.2024 (50 128/21).
Gegenstand des Verfahrens war ein Rechtsstreit eines Holzgroßhändlersmit Onlineshop. Dieser schloss im März 2020 eine Cyberversicherung ab.
Sein IT-Leiter bestätigte im Risikofragebogen, dass „alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung von Schadensoftware“ ausgestattet seien. Zudem bestätigte er, dass „verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt“ werden, die für den Betrieb des IT-Systems erforderlich seien.
Schließlich erklärte er, dass lediglich Produkte eingesetzt werden, für die vom Hersteller Sicherheitsupdates bereitgestellt werden.
Im Oktober 2020 kam es zu einem Cybervorfall.
Es stellte sich heraus, dass zum Zeitpunkt des Abschlusses des Versicherungsvertrages verschiedene Altsysteme im Einsatz waren, für die es beim Hersteller keine Software — und Sicherheitsupdates gab. Außerdem hatten zentrale Systeme, darunter der für den Online-Shop eingesetzte Server, keinen aktuellen IT-Schutz.
Der Versicherer erklärte daraufhin den Rücktritt vom Versicherungsvertrag und hat diesen gleichzeitig wegen arglistiger Täuschung angefochten.
Das OLG Schleswig und das LG Kiel befassten sich dann mit der Frage, wie Risikofragen nach dem Verständnis eines durchschnittlichen Versicherungsnehmers auszulegen sind. Auf diese Verständnis-möglichkeit kommt es an.
Der VN argumentierte u. a., dass der Begriff „Arbeitsrechner“ als „Arbeitsplatzrechner“ zu verstehen sei, also nicht auf einen zentralen „Server“.
Dem folgten das LG Kiel und das OLG Schleswig nicht. Dem im IT-Bereich tätigen Mitarbeiter des Unternehmens, der für die Beantwortung der Risikofragen zuständig war, hätte klar sein müssen, dass auch ein Server ein „Arbeitsrechner“ im Sinne der Risikofrage sei.
Zudem hätte der IT-Leiter wissen müssen, dass der Versicherer vorvertraglich nach Sicherheitsupdates fragte, die unverzüglich, als „ohne schuldhaftes Verzögern“, hätten durchgeführt werden müssen. Im Ergebnis folgte das OLG Schleswig dem LG Kiel, dass der IT-Leiter des VN Angaben „ins Blaue hinein“, als wissentlich ohne verlässliche Grundlage, gemacht habe. Dieser Umstand rechtfertige die Anfechtung des Versicherungsvertrages.
Diese Rechtsfolge ist umso gravierender für den VN, weil ihm dadurch der Kausalitätsgegenbeweis, der beim bloßen Rücktritt möglich gewesen wäre, bei der Anfechtung wegen Arglist ausgeschlossen ist. Der VN blieb somit auf einen Schaden von rd. einer halben Million Euro sitzen.
Dies ist umso bemerkenswerter, als zuvor das LG Tübingen bei einer identischen Risikofrage meinte, dass Server keine stationären bzw. mobilen Arbeitsrechner seien ( LG Tübingen Urteil vom 26.05.2023 -— 4 © 128/21). Insoweit habe der VN die Risikofrage nach IT-Schutz in Bezug auf den Begriff „Arbeitsrechner“ einschränkend verstehen dürfen.
Es bleibt abzuwarten, wie andere Gerichte über diese Frage urteilen, insbesondere der BGH, sollte ein solcher Fall dorthin zur Entscheidung gelangen.
Jedenfalls sollte der VN darauf achten, die vorverträglichen Risikofragen sorgfältig zu prüfen und sich — wenn nötig — die notwendige Expertise einzuholen.
Bestehen Zweifel über den Inhalt der Risikofrage, sollte dies mit dem Versicherer vor Beantwortung geklärt werden, damit es im Schadenfall nicht zu unliebsamen Überraschungen kommt.
Hamburg, den 25.03.2025
Gez. Dr. Peter S. Dickstein
Rechtsanwalt
Fachanwalt für Versicherungsrecht
Bankkaufman