Cyberversicherung muss trotz veralteter Sicherheitstechnik zahlen
Veraltete Server und fehlende Sicherheitsupdates führen nicht zwangsläufig dazu, dass eine Cyberversicherung ihre Leistung verweigern darf. Das hat das Landgericht Tübingen in einem aktuellen Urteil bestätigt (Urteil vom 26.05.2023, 4 O 193/21). Der Fall zeigt aber auch, dass es im Zweifel auf die vertraglichen Details des Cyberschutzes ankommt.
Cyberversicherungen definieren in ihren Bedingungen zahlreiche Obliegenheiten, damit die Versicherungsnehmer - oft mittelständische Unternehmen - die Prävention nicht vernachlässigen: Dazu gehört in der Regel auch, alle Systeme regelmäßig zu aktualisieren und die Sicherheitstechnik auf dem neuesten Stand zu halten. Ein Urteil des Landgerichts Tübingen zeigt nun aber, dass veraltete Server und fehlende Sicherheitsupdates nicht zwangsläufig dazu führen, dass ein Cyberversicherer seine Leistung verweigern kann. Auf das Urteil weist Rechtsanwalt Tobias Strübing von der Berliner Kanzlei Wirth Rechtsanwälte hin.
Anzeige
In dem verhandelten Rechtsstreit hatte ein Mitarbeiter des klagenden Unternehmens versehentlich eine Schadsoftware heruntergeladen, wie Strübing berichtet. Diese konnte sich auf 16 von 21 vorhandenen Servern ausbreiten und verschlüsselte die Server unwiderruflich, so dass auch wichtige Kunden- und Geschäftsdaten nicht mehr zugänglich waren. Es dauerte Monate, die Daten wieder zugänglich zu machen, die Kosten beliefen sich auf mehrere Millionen Euro. Eine längere Betriebsunterbrechung war unter anderem die Folge des erfolgreichen Hackerangriffs.
Cyberversicherer will vom Vertrag zurücktreten
Das Problem: Elf der insgesamt 21 Server, mit denen das Unternehmen arbeitete, waren bereits bei Vertragsschluss veraltet und hatten zum Teil seit Jahren keine Sicherheitsupdates mehr erhalten. Aus diesem Grund erklärte der Cyberversicherer den Rücktritt vom Vertrag und wollte jede Versicherungsleistung verweigern. Die betroffene Firma klagte daraufhin gegen den Versicherer.
Mit Erfolg, wie Wirth Rechtsanwälte per Pressetext mitteilt. Der Cyberversicherer muss circa 2,5 Millionen Euro an das klagende Unternehmen zahlen. Das Landgericht Tübingen habe nach einer umfangreichen Beweisaufnahme zunächst feststellen können, dass die Klägerin etwaige Anzeigepflichten bestenfalls fahrlässig verletzt hat.
Zudem konnten Firma und Rechtsanwälte den so genannten Kausalitätsgegenbeweis führen. „Das vom Gericht eingeholte Sachverständigengutachten kam nämlich zu dem Ergebnis, dass von der heruntergeladenen Schadensoftware die alten und neuen Server gleichermaßen betroffen waren. Mithin hatten die fehlenden Sicherheitsupdates offensichtlich keinen Einfluss auf den Eintritt oder die Höhe des Schadens“, berichtet die Anwaltskanzlei. Aus diesen Gründen habe sich der Cyberversicherer auch nicht darauf berufen können, wegen einer Gefahrerhöhung leistungsfrei zu sein.
Eine Frage der Bedingungen?
Die umfangreiche Beweisaufnahme macht zugleich deutlich: Ob der Versicherer seine Leistung verweigern kann, hängt im Zweifel von den Details der Vertragsbedingungen ab. Und hier herrscht nach wie vor Wildwuchs. So hat der IT-Dienstleister CyberDirekt in einer aktuellen Studie 16 Bedingungswerke führender Cyber-Versicherer analysiert. Ein Ergebnis: Die Verträge sind wenig standardisiert und unterscheiden sich zum Teil deutlich.
Das gilt auch für die Obliegenheiten, die Versicherungsnehmer einhalten müssen, damit der Versicherer seine Leistung nicht kürzen oder ganz streichen kann. "13 Prozent der Anbieter haben leider sehr offene und damit unklare Obliegenheiten in den Bedingungen, die bei Deckungsstreitigkeiten schnell gegen den Versicherungsnehmer ausgelegt werden können", schreibt CyberDirekt in seiner Marktanalyse. Weitere 31 Prozent der Versicherer würden die Obliegenheiten in abgeschwächter Form definieren, aber dennoch sehr weitreichend und mit teilweise unklaren und unvollständigen Definitionen.
Anzeige
Die Autoren der Studie warnen davor, dass einige Versicherer in ihren Verträgen „die Einhaltung aller gesetzlichen, behördlichen und vertraglich vereinbarten Sicherheitsvorkehrungen” verlangen. Wenn es um sensible Kundendaten geht, dürfte ein regelmäßiges Update der Sicherheitstechnik schon aufgrund der Datenschutzgrundverordnung (DSGVO) dazu gehören - vernünftigerweise.