Vom OLG Schleswig stammt die erste obergerichtliche Entscheidung zur Cyberversicherung (Beschluss vom 09.01.2025 – 16 U 63/24). Sie steht in einem für die Praxis äußerst bedeutsamen sachlichen Kontext, denn sie beschäftigt sich mit den Einwendungen des Versicherers im Fall der Verletzung vorvertraglicher Anzeigepflichten durch den Versicherungsnehmer. Und wo etwa bei der Krankenversicherung Fragen des Versicherers noch relativ leicht zu beantworten sein mögen, kann man bei der Cyberversicherung schnell in schwieriges technisches Gelände geraten. Welche konkrete Kenntnis sich die Person verschaffen muss, die die Fragen des Versicherers beantwortet, und wie mit Unklarheiten umgegangen werden sollte, das lässt sich nach dem Beschluss des OLG Schleswig nun besser abschätzen.
Zwar hat das OLG seiner Entscheidung keinen Leitsatz spendiert, aber wenn sie einen hätte, könnte er so lauten: Beantwortet der Versicherungsnehmer Fragen des Cyberversicherers, die dieser vor Abschluss des Versicherungsvertrags stellt, um zu ermitteln, ob der Versicherungsnehmer bestimmte IT-Sicherheitsmaßnahmen umgesetzt hat, die Voraussetzung dafür sind, dass der Versicherer den Versicherungsvertrag überhaupt oder zumindest zu den angebotenen Konditionen abschließt, ohne genaue Kenntnis "ins Blaue hinein", hat der Versicherer das Recht, den Vertrag aufgrund arglistiger Täuschung anzufechten, wenn die Angaben sich in tatsächlicher Hinsicht als unzutreffend erweisen.
Holzgroßhändler mit Cyberproblemen
Vor dem OLG Schleswig landete die Klage eines mittelständischen Unternehmens, das einen Holzgroßhandel mit Onlineshop betreibt. Es hatte im März 2020 einen Cyberversicherungsvertrag abgeschlossen, wobei ihr IT-Leiter auf die vorvertraglichen Fragen eines vom Versicherer für den Vertragsabschluss bevollmächtigten Assekuradeurs bestätigt hatte, dass alle "stationären und mobilen Arbeitsrechner […] mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet" sind und "verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, […] lediglich Produkte eingesetzt [werden], für die vom Hersteller Sicherheitsupdates bereitgestellt werden […]".
Im Oktober 2020 kam es zu einem Cybervorfall. Es stellte sich schnell heraus, dass bereits zum Zeitpunkt des Abschlusses des Versicherungsvertrags verschiedene Altsysteme im Einsatz waren, für die vom Hersteller keine Software- und Sicherheitsupdates mehr zur Verfügung gestellt wurden. Außerdem hatten zentrale Systeme wie der Domain-Controller einen veralteten Softwarestand und einzelne Server, darunter der für den Betrieb des Online-Shops eingesetzte Web-SQL-Server, verfügten über keinen aktuellen Virenschutz.
Der Versicherer war der Ansicht, dass diese Ergebnisse der IT-Forensik nicht zu den Aussagen des IT-Leiters vor Vertragsschluss passten. Er erklärte daraufhin zunächst den Rücktritt vom Versicherungsvertag aufgrund vorvertraglicher Anzeigepflichtverletzung und im weiteren Verlauf der deckungsrechtlichen Auseinandersetzung die Anfechtung des Versicherungsvertrags aufgrund arglistiger Täuschung.
Maßstab für die Auslegung von Risikofragen: Der "kaufmännische, im Online-Geschäft tätige Unternehmer"
Sowohl das LG Kiel als auch in der Berufung das OLG Schleswig haben sich im Rahmen ihrer Entscheidungen ausführlich mit dem rechtlichen Maßstab befasst, der für die Auslegung vorvertraglicher Risikofragen anzulegen ist. Ausgangspunkt ist – wie im Kontext der Auslegung von Allgemeinen Versicherungsbedingungen auch – der Verständnishorizont eines durchschnittlichen Versicherungsnehmers: Für die Cyberversicherung aus Sicht des Senats also der Horizont „eines kaufmännischen, umfassend im Online-Geschäft tätigen Unternehmers.“
Ausgehend davon seien die maßgeblichen Risikofragen entgegen dem Vortrag des Holzgroßhändlers im konkreten Fall eindeutig und nicht unklar oder missverständlich formuliert gewesen. Der Versicherungsnehmer hatte argumentiert, dass aus der Fragestellung, ob alle stationären und mobilen Arbeitsrechner mit einer aktuellen Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet sind, nicht eindeutig hervorgehe, dass sich die Frage auch auf "Server" beziehe. Darauf ließ sich das OLG aber nicht ein. Aus Sicht eines durchschnittlichen Versicherungsnehmers einer Cyberversicherung sei nämlich ersichtlich, dass sich die konkrete Fragestellung auf alle Rechner bezieht, die in dem Netzwerk des Betriebes Funktionen ausüben und in diesem Sinne "arbeiten". Es sei sogar abwegig anzunehmen, dass mit dem Begriff "Arbeitsrechner" nur "Arbeitsplatzrechner" gemeint gewesen sein könnten. Anders hatte dies das LG Tübingen (Urteil vom 26.05.2023 - 4 O 183/21) in einem ähnlichen Fall gesehen, bei welchem dieselben Risikofragen gestellt wurden. Bemerkenswert ist insofern, dass weder das LG Kiel in der ersten Instanz noch das OLG Schleswig auf diese Entscheidung zumindest Bezug nehmen.
In der Sache kam es darauf hier allerdings gar nicht mehr an. Denn das OLG Schleswig gelangte unter Würdigung der im Rahmen der Beweisaufnahme getätigten Zeugenaussagen zu der Überzeugung, dass der IT-Leiter des Unternehmens die Frage gar nicht einschränkend verstanden hatte. In diesem Fall ist es folgerichtig, dass etwaige Unschärfen in der Fragestellung unbeachtlich bleiben müssen. Ist dem Versicherungsnehmer nämlich klar, was mit der Fragestellung unter Berücksichtigung ihres erkennbaren Zwecks und Aufklärungsinteresses des Versicherers gemeint ist, muss er die Frage auch in dem von ihm verstandenen Sinne beantworten. Das hat er mit den Antworten seines IT-Leiters hier nicht getan.
Der Umstand, dass verschiedene mit der Sache befasste Gerichte in Bezug auf dieselben Risikofragen zu einem unterschiedlichen Auslegungsergebnis aus der maßgeblichen Perspektive eines durchschnittlichen Versicherungsnehmers gelangen, unterstreicht gleichwohl die Notwendigkeit, Risikofragen möglichst präzise und eindeutig zu formulieren. Denn unklare Risikofragen sind in entsprechender Anwendung der Unklarheitenregelung des § 305c Abs. 2 BGB – wie Allgemeine Versicherungsbedingungen auch – im Zweifel zu Lasten des Verwenders (im Regelfall mithin des Versicherers) auszulegen.
Arglist aus Unkenntnis
Eine Falschbeantwortung vorvertraglicher Risikofragen durch den Versicherungsnehmer rechtfertigt aber noch nicht zwangsläufig den Schluss, dass diese Falschangaben auch in der Absicht oder wenigstens bedingt vorsätzlich in der Annahme erfolgten, auf den Willen des Versicherers einzuwirken, den Vertrag überhaupt oder zu bestimmten Konditionen abzuschließen. Umgekehrt kann sich der Versicherungsnehmer nicht schon dadurch entlasten, dass er vorträgt, an bestimmte gefahrerhebliche Umstände bei der Beantwortung der Risikofragen nicht gedacht zu haben. Selbst bei gutem Glauben im Hinblick auf die Richtigkeit der eigenen Angaben kann Arglist vorliegen, wenn der Versicherungsnehmer "ins Blaue hinein" objektiv unrichtige Angaben macht, ohne offenzulegen, dass es ihm an einer zuverlässigen Beurteilungsgrundlage fehlt. In diesem Sinne konnte sich der IT-Leiter nicht damit verteidigen, dass er an einzelne IT-Systeme, darunter den für den Betrieb des Online-Shops eingesetzten SQL-Server sowie den Domain-Controller, bei der Beantwortung der Risikofragen nicht gedacht und im Übrigen darauf vertraut habe, dass die IT-Systeme durch den dafür zuständigen Mitarbeiter mit Unterstützung eines externen Dienstleisters auf dem aktuellen Stand gehalten werden.
Ebenso wenig konnte den IT-Leiter entlasten, dass er angeblich keinerlei Kenntnisse über die Gepflogenheiten bei einer Cyberversicherung gehabt habe und in dem Glauben, alles sei in Ordnung, keinen Grund gesehen habe, eine Gefährdung seines Arbeitgebers, der Versicherungsnehmerin, durch einen Cyber-Angriff anzunehmen. Das OLG Schleswig hat dahingehend unter zutreffender Bezugnahme auf die Feststellungen des LG Kiel hervorgehoben, dass der IT-Leiter seine Angaben in bewusster Unkenntnis getätigt hat, obwohl ihm eine Überprüfung des Sicherheitszustands der IT-Infrastruktur der Klägerin vor Beantwortung ohne großen Aufwand möglich gewesen wäre.
Die Regeln über die Anzeigepflicht des Versicherungsnehmers im Sinne von § 19 Abs. 1 VVG dienen dazu, es dem Versicherer zu ermöglichen, das ihm angetragene Risiko zutreffend einschätzen zu können. Um diesen gesetzgeberischen Zweck zu erfüllen, ist der Versicherer – nicht zuletzt im Interesse der Versichertengemeinschaft – auf eine vollständige und wahrheitsgemäße Risikodarstellung durch den Versicherungsnehmer angewiesen. Den Versicherungsnehmer treffen insofern besondere Sorgfaltspflichten bei der Beantwortung vorvertraglicher Risikofragen. Grundsätzlich kann dem Versicherungsnehmer deshalb abverlangt werden, dass er zumutbare Anstrengungen unternimmt, um die vom Versicherer gestellten Risikofragen auf Basis zuverlässiger Informationen zu beantworten.
Dazu gehört, dass er – soweit möglich – die Richtigkeit seiner Angaben selbst überprüft oder sich ggf. durch entsprechende Nachfragen bei Mitarbeitern oder externen Dienstleistern die dazu erforderlichen Informationen beschafft. Insbesondere bei Angaben zum IT-Sicherheitsstatus, die der Versicherungsnehmer mit relativ geringem Aufwand über vorhandene Monitoring- und Administrationstools wie Virenschutz-Konsolen, Windows Server Update Services oder Netzwerk-Monitoring-Systeme überprüfen kann, ist eine solche vorherige Prüfung zu erwarten. Verzichtet der Versicherungsnehmer darauf, die Richtigkeit seiner Angaben zu überprüfen, muss er dem Versicherer zumindest offenlegen, dass er die Fragen nach bestem Wissen beantwortet hat, jedoch keine weitergehenden Erkundigungen eingeholt hat.
IT-Sicherheitsstandards: Sollte ein IT-Leiter kennen
Das OLG Schleswig geht sogar noch einen Schritt weiter. Nach Auffassung des Senats kann "ein Versicherer, der eine Cyberversicherung anbietet und explizit nach dem aktuellen Sicherheitsstatus des IT-Systems fragt, ohne weiteres erwarten, dass ein kaufmännisches Unternehmen gewisse [anerkannte] IT-Sicherheitsstandards – [im konkreten Fall die Basis-Anforderungen des IT-Grundschutz-Kompendiums für die Organisation des Patch-Management-Verfahrens] – beachtet" und sich bei der Beantwortung der gestellten Fragen nicht situativ "aus der Lameng" erklärt, sondern seine Kenntnis anhand der vorbezeichneten Standards gewonnen hat.
Dies soll erst recht gelten, wenn die Fragen von dem Leiter der IT-Abteilung beantwortet werden, der "in IT-Sicherheitsfragen bereits qua Aufgabe sensibilisiert sein musste". Das OLG Schleswig legt damit einen strengen Maßstab an, der in Bezug auf die Prüfung vollständiger und wahrheitsgemäßer Angaben an den durchschnittlichen Versicherungsnehmer einer Cyberversicherung zu stellen ist. Ob andere Gerichte dem folgen werden, bleibt abzuwarten.
In Zukunft wird sich gerade im Bereich regulierter Industrien mit der anstehenden Umsetzung der NIS-2-Richtlinie in nationales Recht aber die Frage stellen, ob der Versicherungsnehmer sich auf die Unkenntnis in Bezug auf die fehlende Umsetzung bestimmter vom Versicherer erfragter Umstände dann berufen kann, wenn eine gesetzliche Verpflichtung zur Umsetzung genau dieser Maßnahmen besteht oder ob nicht umgekehrt der Versicherer sogar das Vorhandensein jener Maßnahmen auch ohne konkrete Frage berechtigterweise erwarten darf.
Rücktritt ohne Relevanz
Mit dem Rücktritt des Cyberversicherers musste sich das OLG Schleswig aufgrund der erfolgreichen Anfechtung nicht weiter befassen. Grundsätzlich kommen die Regelungen zur Arglistanfechtung (§ 22 VVG i.V.m. § 123 Abs. 1 BGB) und die Regelungen über einen Rücktritt vom Versicherungsvertrag aufgrund vorvertraglicher Anzeigepflichtverletzung (§ 19 Abs. 2, 21 VVG) nebeneinander zur Anwendung. Die Regelungen des §§ 19-21 VVG entfalten nämlich keine Sperrwirkung gegenüber den Regelungen der Arglistanfechtung.
Das Rücktrittsrecht des Versicherers knüpft allerdings – anders als das Recht zur Arglistanfechtung – an bestimmte formelle Voraussetzungen, die erfüllt sein müssen, damit eine Anzeigepflicht des Versicherungsnehmers überhaupt formwirksam begründet wird. So ist gemäß § 19 Abs. 1 Satz 1 VVG erforderlich, dass der Versicherer die Risikofragen in Textform stellt. Daneben kann der Versicherer Rechtsfolgen aus der Verletzung vorvertraglicher Anzeigepflichten des Versicherungsnehmers nur dann geltend machen, wenn er den Versicherungsnehmer nach Maßgabe von § 19 Abs. 5 Satz 1 VVG über die Rechtsfolgen einer vorvertraglichen Anzeigepflichtverletzung belehrt hat. Diese formellen Schranken gelten im Kontext der Arglistanfechtung nicht.
Antworten "ins Blaue hinein" reichen nicht
Die vorvertraglichen Anzeigepflichten spielen in der Cyberversicherung eine entscheidende Rolle. Sie bilden die Grundlage für die Risikobewertung des Versicherers und die Entscheidung über den Vertragsschluss. Die Entscheidung des OLG Schleswig veranschaulicht, welche gravierenden Folgen Falschangaben des Versicherungsnehmers haben können.
Unternehmen sollten deshalb darauf achten, ihre vorvertraglichen Angaben sorgfältig zu prüfen und die für die Beantwortung der Risikofragen nötige Expertise vor allem durch die Einbindung der relevanten Entscheidungs- und Wissensträger im Unternehmen sicherzustellen. Gerade in größeren Unternehmensstrukturen kann es schwierig sein, mit zumutbarem Aufwand eine vorherige vollständige Überprüfung der Angaben sicherzustellen. In diesem Fall ist der sicherste Weg transparent offenzulegen, auf Basis welcher Grundlagen und Informationsquellen die Fragen beantwortet werden. Denn ansonsten kann es jedem Unternehmen so gehen wie dem Holzgroßhändler vor dem OLG Schleswig und es bleibt auf seinen Schäden aus einem Cybervorfall sitzen.
Dr. Dan Schilbach ist Rechtsanwalt bei Clyde & Co Europe LLP, Düsseldorf. Er ist spezialisiert auf die Beratung zu haftungs- und deckungsrechtlichen Streitigkeiten im Zusammenhang mit Cyber-Risiken.