Die Cyberversicherung schützt Unternehmen vor den finanziellen Folgen von Hackerangriffen und anderen Cyberrisiken. Damit der Versicherer – nicht zuletzt im Interesse der Versichertengemeinschaft – das Risiko richtig einschätzen kann, müssen Unternehmen im Antragsverfahren Fragen zu ihrer IT-Sicherheit beantworten. Eine aktuelle Entscheidung des OLG Schleswig (Beschluss vom 09.01.2025 – 16 U 63/24) zeigt, wie wichtig hierbei sorgfältige und korrekte Angaben sind.
Der Fall
Ein Unternehmen mit über 400 Mitarbeitern und einem Jahresumsatz von rund 140 Mio. € beantragte eine Cyberversicherung. Die Risikofragen des Versicherers betrafen u. a.:
- ob alle Arbeitsrechner mit aktueller Virenschutzsoftware ausgestattet sind
- ob regelmäßig Sicherheitsupdates durchgeführt werden.
Der zuständige IT-Leiter beantwortete beide Fragen positiv, obwohl er keine genauen Kenntnisse über den Zustand der IT-Systeme hatte. Tatsächlich fehlte auf einigen Rechnern ein Virenschutz, auf anderen konnten auf Grund des Alters keine Sicherheitsupdates mehr installiert werden.
Nach einem schweren Hackerangriff erklärte der Versicherer die Anfechtung des Vertrags wegen arglistiger Täuschung und verweigerte die Leistung. Das Unternehmen reichte Klage ein – in beiden Instanzen ohne Erfolg.
Sowohl das Landgericht Kiel als auch das Oberlandesgericht Schleswig stellten klar: Wer Risikofragen beantwortet, ohne sich der Richtigkeit seiner Angaben zu vergewissern, handelt arglistig, wenn er seine Unsicherheit nicht offenlegt und sich die Antworten als objektiv falsch herausstellen. In diesem Fall kann der Versicherer den Vertrag rückwirkend anfechten – der Versicherungsschutz entfällt vollständig.
Kernaussagen des Urteils
Arglist auch ohne besondere Verwerflichkeit
- Eine arglistige Täuschung erfordert kein Unwerturteil oder eine Bereicherungsabsicht. Die Vorspiegelung falscher Tatsachen in dem Bewusstsein, auf die Annahmeentscheidung des Versicherers einzuwirken, genügt.
Gutgläubigkeit entlastet nur bei Offenlegung der Unsicherheit
- Wer weiß, dass er nicht über gesicherte Informationen verfügt, darf keine Angaben „ins Blaue hinein“ machen. Selbst guter Glaube an die Richtigkeit schließt Arglist nicht aus, wenn der Handelnde das Fehlen einer zuverlässigen Beurteilungsgrundlage verschweigt.
Zuständige Mitarbeiter gelten als Repräsentanten
- Die falschen Angaben des IT-Leiters sind dem Unternehmen rechtlich zuzurechnen, da er im Rahmen des Antragsprozesses als Vertreter dessen Wissen und Willen erklärt.
Folgen für die Praxis
Diese erste veröffentlichte obergerichtliche Entscheidung zur Cyberversicherung veranschaulicht, worauf Unternehmen bei Beantragung einer entsprechenden Deckung achten sollten:
- Risikofragen sehr gewissenhaft beantworten.
- Alle relevanten Wissensträger einbeziehen, z. B. IT-Abteilung, externe Dienstleister und Datenschutzbeauftragte
Fazit
Unzutreffende Angaben bei der Beantragung einer Cyberversicherung können schwerwiegende Folgen haben. Mit unserer Erfahrung und Beratung stellen wir sicher, dass Sie bestens geschützt sind. Wir begleiten Sie im Antragsprozess und unterstützen Sie bei der Beurteilung der Risikofragen des Versicherers. So sichern Sie sich nicht nur optimalen Versicherungsschutz, sondern wirken auch Risiken hinsichtlich der Deckung im Schadenfall entgegen.
Lutz Rellstab
Prokurist der AVW Versicherungsmakler GmbH und Bereichsleiter Recht und Compliance
