Ein Unternehmen in Norddeutschland hat einen Rechtsstreit um Ansprüche aus einer Cyberversicherung verloren. Das Landgericht entschied, dass die Versicherung aufgrund arglistiger Täuschung des Versicherungsnehmers nicht zur Zahlung verpflichtet sei. Konkret ging es um falsche Angaben, die bei Abschluss der Versicherung gemacht wurden, insbesondere zu den Sicherheitsvorkehrungen im IT-System des Unternehmens.

Anzeige

Das Unternehmen, das an 16 Standorten tätig ist, hatte bei der Beklagten eine Cyberversicherung abgeschlossen. In den Risikofragen des Antrags wurde unter anderem angegeben, dass alle Arbeitsrechner des Unternehmens mit aktueller Sicherheitssoftware ausgestattet und Sicherheitsupdates ohne Verzögerung durchgeführt würden. Diese Angaben erwiesen sich im Nachhinein als falsch, da sich herausstellte, dass im IT-System des Unternehmens mehrere gravierende Sicherheitsmängel vorhanden waren. So wurden veraltete Server ohne aktuelle Sicherheitsupdates und Virenschutz eingesetzt, was die Anfälligkeit für Cyberangriffe erheblich erhöhte. Diese Lücken wurden dem Versicherer jedoch verschwiegen oder falsch dargestellt.

Der entscheidende Punkt des Urteils war, dass die falschen Angaben bei den Risikofragen als arglistige Täuschung bewertet wurden. Das Gericht befand, dass der zuständige Mitarbeiter des Unternehmens die Fragen ins Blaue hinein beantwortet und somit den Versicherer über das tatsächliche Risiko getäuscht hatte.
Als Folge erklärte die Versicherung den Rücktritt vom Vertrag und verweigerte die Zahlung von Schadensersatz in Höhe von über 424.000 Euro. Allerdings ist das Urteil des Landgerichts Kiel (5 O 128/21) noch nicht rechtskräftig.

Anzeige

Das Geschehen ähnelt einem Fall, dem sich das Landgericht Tübingen widmete. Auch dort sah sich der Cyberversicherer leistungsfrei, weil veraltete Server im Einsatz waren und Sicherheits-Updates fehlten. Der Unterschied zum vorliegenden Fall: Ein Sachverständigen-Gutachten kam in Tübingen zu dem Schluss, dass von der heruntergeladenen Schadsoftware die alten und neuen Server gleichermaßen betroffen waren. Und: die fehlenden Sicherheitsupdates wirkten sich nicht auf den Eintritt oder die Höhe des Schadens aus, so die Richter (Versicherungsbote berichtete).