Nicht nur wegen seiner Pionierrolle in der Cyber-Versicherungs-Rechtsprechung, sondern auch wegen der inhaltlichen Ausführungen zu häufig von Versicherern erhobenen Deckungseinwendungen, ist die landgerichtliche Entscheidung lesenswert. In seinem Urteil vom 26.05.2023 – Az. 4 O 193/21 (https://www.landesrecht-bw.de/bsbw/document/JURE230050192) – trifft das Landgericht Feststellungen zu den Voraussetzungen einer vorvertraglichen Anzeigepflichtverletzung sowie zu den Voraussetzungen der Anwendbarkeit des § 81 Abs. 2 VVG (grob fahrlässige Herbeiführung des Versicherungsfalles) in der Cyber-Versicherung. Insbesondere Letzteres beleuchtet Finlex im Folgenden genauer, da das Urteil ein wichtiges Zeichen im Cyber-Versicherungsmarkt setzt. Es wird dazu beitragen, dass der aktuelle Trend einiger Versicherer ausgebremst wird, sich in Cyber-Schadenfällen auf eine Leistungskürzung wegen grob fahrlässiger Herbeiführung des Versicherungsfalles zu berufen.
Gesetzliche Regelung zur vorsätzlichen bzw. grob fahrlässigen Herbeiführung des Versicherungsfalles
Gemäß § 81 Abs. 1 VVG ist der Versicherer nicht zur Leistung verpflichtet, wenn der Versicherungsnehmer vorsätzlich den Versicherungsfall herbeiführt. Die grob fahrlässige Herbeiführung des Versicherungsfalles ist in § 81 Abs. 2 VVG geregelt und berechtigt den Versicherer dazu, im Falle der grob fahrlässigen Herbeiführung des Versicherungsfalles durch den Versicherungsnehmer, seine Leistung in einem der Schwere des Verschuldens des Versicherungsnehmers entsprechenden Verhältnis zu kürzen (sogenannte Quotelung).
Urteil des LG Tübingen
In dem Rechtsstreit, der dem Urteil des LG Tübingen zugrunde liegt, stritten sich die Versicherungsnehmerin und der Cyber-Versicherer darum, ob ein bei der Versicherungsnehmerin eingetretener Cyber-Schadenfall vom Versicherungsschutz gedeckt ist. Bei dem Cyber-Vorfall hatten unbekannte Angreifer mittels einer Phishing-Mail einen Verschlüsselungs-Trojaner (Ransomware) in das IT-System der Versicherungsnehmerin eingeschleust und somit fast die gesamte IT-Infrastruktur der Versicherungsnehmerin lahmgelegt. Da nicht alle Server der Versicherungsnehmerin mit den aktuellen Sicherheitsupdates des Betriebssystems ausgestattet waren, die Versicherungsnehmerin entsprechende vorvertragliche Fragen des Versicherers allerdings dahingehend beantwortet hatte, dass alle Arbeitsrechner mit aktueller Software ausgestattet seien und verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt werden, berief sich der Versicherer in dem Rechtsstreit auf eine Verletzung von vorvertraglichen Anzeigepflichten, um die Leistungspflicht abzulehnen. Ferner trug der Versicherer vor, die Versicherungsnehmerin habe aufgrund fehlender bzw. unzureichender Sicherheitsmaßnahmen zur Abwehr eines Cyber-Angriffs den Versicherungsfall grob fahrlässig herbeiführt.
Hinsichtlich den Voraussetzungen der Anzeigepflichtverletzung durch die Versicherungsnehmerin bei Beantwortung von vorvertraglichen Fragen des Versicherers kommt das LG Tübingen zu dem Ergebnis, dass es an der Kausalität zwischen der (möglicherweise) falschen Beantwortung von Risikofragen und dem Eintritt des Versicherungsfalles bzw. dem Ausmaß des entstanden Schadens fehlt, wenn feststeht, dass bei dem Cyber-Angriff eine vorhandene Schwachstelle zwar ausgenutzt wurde, die Schwachstelle jedoch unabhängig von der Aktualität des betroffenen Systems bestanden habe. Im zu entscheidenden Fall hätte ein Einspielen der versäumten Updates weder den Angriff selbst abgewehrt noch das Ausmaß des angerichteten Schadens beeinflussen können. Da im Falle der arglistigen Verletzung von vorvertraglichen Anzeigepflichten die Leistung des Versicherers auch ohne Kausalität zwischen der (Falsch-)Beantwortung der Frage durch die Versicherungsnehmerin und dem Schaden ausgeschlossen ist, hat sich das Gericht auch zu den Voraussetzungen der Arglist geäußert, diese im Ergebnis jedoch ablehnt.
Das Gericht äußert sich erfreulicherweise auch zu den Voraussetzungen der Anwendbarkeit des § 81 Abs. 2 VVG (grob fahrlässige Herbeiführung des Versicherungsfalles) in der Cyber-Versicherung. Danach ist der Anwendungsbereich des § 81 Abs. 2 VVG dann nicht eröffnet, wenn die betreffende Gefahrenlage bereits bei Vertragsschluss bestand und bereits Grundlage der Risikoprüfung des Versicherers war bzw. hätte sein können. Das Gericht führt aus, dass der Versicherer es selbst in der Hand hat, die Existenz zusätzlicher Sicherheitsmaßnahmen durch passende Risikofragen abzuklären. Verzichtet der Versicherer hierauf, akzeptiert er damit die Versicherungsnehmerin mit der bestehenden Risikolage. Er kann von Beginn an bestehende Risiken nicht über § 81 Abs. 2 VVG (ganz oder teilweise) der Versicherungsnehmerin aufbürden.
Auswirkungen des Urteils
Mit dem Urteil des LG Tübingen ist das letzte Wort zu den Voraussetzungen des § 81 VVG in der Cyber-Versicherung zwar noch nicht gesprochen, da das Urteil lediglich feststellt, unter welchen Voraussetzungen für die Anwendung des § 81 Abs. 2 VVG kein Raum ist. Viele weitere Fragen bleiben daher weiterhin offen und werden höchstwahrscheinlich auch zukünftig zwischen Versicherern und Versicherungsnehmern für Diskussionsstoff sorgen. Es wird aus dem Urteil jedoch erfreulicherweise sehr deutlich, dass die Hürde, die Versicherer nehmen müssen, um sich auf eine grob fahrlässige Herbeiführung des Versicherungsfalles berufen zu können, nicht unerheblich ist. Um überhaupt in den Anwendungsbereich des § 81 VVG zu gelangen, ist es erforderlich, dass der Versicherer konkret nach bestimmten IT-Sicherheitsmaßnahmen im Unternehmen fragt, um sich ein detailliertes Bild über den IT-Sicherheitsstand zu verschaffen, und sich die Gefahrenlage seit Vertragsschluss bei der Versicherungsnehmerin geändert hat.
Abzuwarten bleibt, ob der Versicherer die ausführlich und nachvollziehbar begründete Entscheidung des Landgerichtes akzeptiert oder gegen die Gerichtsentscheidung Berufung zum Oberlandesgericht einlegen wird. In jedem Fall ist das Urteil eine erste richtungsweisende Entscheidung für den Cyber-Versicherungsmarkt, die Versicherungsnehmer freudig stimmen kann.
Einwand der grob fahrlässigen Herbeiführung des Versicherungsfalles in der Schadenpraxis
Es werden in letzter Zeit gehäuft Fälle beobachtet, in denen Versicherer mit dem Einwand der grob fahrlässigen – wenn nicht gar vorsätzlichen – Herbeiführung des Versicherungsfalles die Leistungspflicht ablehnen bzw. den Leistungsumfang kürzen wollen. Diesem Vorgehen der Versicherer standen wir schon vor dem Urteil des LG Tübingen sehr kritisch gegenüber. Besonders problematisch sind in der Schadenbearbeitung Fälle, in denen Versicherer mit pauschalen Aussagen den Versicherungsschutz verweigern bzw. kürzen, ohne die Umstände des Einzelfalles oder Regelungen zur Beweislast zu berücksichtigen. Nach der gesetzlichen Beweislastverteilung obliegt es dem Versicherer, den Beweis für das Vorliegen der Voraussetzungen der Risiko-Ausschluss-Tatbestände der §§ 81 Abs. 1 und 2 VVG zu führen. Leider wird der erforderliche Beweis von den Versicherern in der Schadenbearbeitung jedoch häufig durch pauschale Vorwürfe ersetzt. Das in unseren Augen sehr erfreuliche Urteil des LG Tübingen kommt daher zur genau richtigen Zeit, um den Versicherern bei der Erhebung des Vorwurfs der grob fahrlässigen Herbeiführung des Versicherungsfalles auszubremsen.
AVW Cyber-Spezialkonzepte
Mit den AVW Cyber-Policen sind Versicherungsnehmer ohnehin gut gegen den Einwand der grob fahrlässigen Herbeiführung des Versicherungsfalles gewappnet. Die AVW Cyber-Bedingungen sehen in der Regel vor, dass der Versicherer sich im Fall einer grob fahrlässigen Herbeiführung des Versicherungsfalles nicht auf sein Leistungskürzungsrecht gemäß § 81 Abs. 2 VVG berufen kann. Damit ist dem Einwand des Versicherers von vornhinein ein Riegel vorgeschoben, sodass sich langwierige und ggf. kostenintensive Diskussionen um die Voraussetzungen des Leistungskürzungsrecht des Versicherers erübrigen.
Wenn Sie hierzu noch weitere Fragen haben, wenden Sie sich gerne an Ihren Kundenmanager.